Décision Judiciaire sur l’Accès Non Autorisé aux Comptes Amazon par des Agents IA
Un tribunal du District Nord de Californie a statué, à l’étape de l’injonction préliminaire, que lorsque un site web interdit aux agents d’intelligence artificielle (IA) d’accéder aux comptes utilisateurs, un accès continu par ces agents peut violer les lois étatiques et fédérales, même si l’utilisateur a donné son autorisation.
Le Cas
Dans l’affaire Amazon.com Services LLC v. Perplexity AI, Inc, Amazon a allégué que Perplexity avait configuré son agent IA pour, à la demande des utilisateurs de Perplexity, accéder aux comptes Amazon protégés par mot de passe. Les utilisateurs pouvaient demander à la fonctionnalité agentique Comet de parcourir les produits et même de faire des achats en leur nom. Les conditions de service d’Amazon exigent que les agents IA s’identifient et limitent leur accès uniquement aux parties publiques du site web d’Amazon.
Amazon a affirmé que Comet violait ces conditions en accédant au site d’e-commerce d’Amazon dans un état connecté sans s’identifier comme un agent IA, rendant l’activité de Comet indiscernable de celle d’un utilisateur humain. Amazon a donc demandé une injonction préliminaire pour empêcher Comet d’accéder aux comptes des utilisateurs d’Amazon.
La Décision
Le 9 mars 2026, la juge Maxine M. Chesney a accordé la demande d’injonction préliminaire d’Amazon, concluant qu’Amazon était susceptible de l’emporter sur ses allégations en vertu de la Loi fédérale sur la fraude et les abus informatiques (CFAA) et de la Loi californienne sur l’accès aux données informatiques et la fraude (CDAFA). Une question centrale dans l’affaire était de savoir si le consentement de l’utilisateur à l’accès de l’agent IA suffisait comme autorisation ou si les conditions de service de l’opérateur du site contrôlaient.
Le tribunal a tranché en faveur d’Amazon, estimant que l’accès de Comet n’était pas autorisé, malgré la permission accordée par l’utilisateur. Le tribunal a noté qu’Amazon avait envoyé une correspondance de cessation et d’abstention à Perplexity, renforçant sa position selon laquelle l’accès continu aux comptes des utilisateurs d’Amazon par l’agent IA de Perplexity était non autorisé.
Le tribunal a enjoint Perplexity de ne pas accéder aux « systèmes informatiques protégés d’Amazon » en utilisant des agents IA et d’effacer toutes les données des clients d’Amazon qu’il avait collectées via son agent IA sur les zones protégées par mot de passe du site.
Implications pour les Sites Web
Les sites web souhaitant empêcher les agents IA d’accéder aux données de compte, ou de réaliser des actions telles que des achats au nom des utilisateurs, pourraient vouloir rédiger des conditions explicites interdisant ce comportement agentique. Ils pourraient également exiger que les agents IA s’identifient comme tels lors de leurs interactions avec le site, afin que celui-ci puisse traiter le trafic des agents différemment de celui des humains.
Si des agents IA violent ces conditions, les sites web pourraient envisager d’envoyer des correspondances de cessation et d’abstention pour renforcer l’argument selon lequel l’accès est non autorisé. Ces mesures pourraient soutenir les efforts pour obtenir des injonctions bloquant le comportement, bien que le paysage juridique dans ce domaine reste incertain.
Implications pour les Agents IA
Les fabricants d’agents IA accédant à des comptes protégés par mot de passe doivent être conscients de cette décision et de ses implications potentielles. Le jugement suggère que les comportements violant les conditions de service d’un site web peuvent donner lieu à des allégations en vertu de la CFAA et de la CDAFA, et que le consentement de l’utilisateur seul peut ne pas constituer une autorisation suffisante lorsque l’opérateur du site a expressément révoqué cette autorisation.
Cependant, il s’agit d’un jugement préliminaire, et il existe des contre-arguments significatifs, notamment la question de savoir si les conditions de service devraient l’emporter sur la décision affirmative d’un utilisateur de permettre à un agent d’agir sur son propre compte, et si de telles restrictions des conditions de service sont applicables dans ce contexte. L’examen en appel par le neuvième circuit pourrait apporter davantage de clarté.
En attendant, les fabricants d’agents IA doivent également garder à l’esprit que ces lois créent non seulement des droits d’action privés, mais comportent également un risque de responsabilité pénale.