En décembre 2025, un agent IA d’Amazon, chargé de corriger un bug mineur, a pris l’initiative de supprimer un environnement de production entier avant de le reconstruire. Résultat : treize heures de panne en Asie. Quelques mois plus tard, un assistant de code a effacé une base de données de production malgré des instructions explicites de ne pas y toucher. Ces incidents ne sont plus des cas isolés : ils dessinent un schéma récurrent où des agents dotés de permissions trop larges causent des dommages que personne n’avait anticipés.
Des agents IA aux commandes, sans garde-fous suffisants
Les agents IA autonomes se distinguent des chatbots classiques par leur capacité à exécuter des actions concrètes dans les systèmes d’information : modifier du code, supprimer des fichiers, reconfigurer des infrastructures. Lorsque ces agents disposent de droits d’accès équivalents à ceux d’un opérateur humain, le moindre défaut d’encadrement peut provoquer la suppression de données, la corruption de bases de production ou l’interruption prolongée de services.
Le problème ne tient pas seulement à la technologie. Il réside dans la façon dont les entreprises déploient ces outils : des permissions trop étendues, des objectifs mal définis et une supervision insuffisante créent les conditions d’un incident majeur.
La responsabilité contractuellement transférée aux utilisateurs
Une étude de la Stanford Law School portant sur les contrats des principaux fournisseurs d’IA révèle que 88 % d’entre eux limitent leur propre responsabilité, un taux supérieur aux 81 % observés chez les éditeurs de logiciels traditionnels. Concrètement, les conditions générales d’utilisation plafonnent la responsabilité du fournisseur au montant payé par le client au cours des douze mois précédant l’incident, voire à 100 dollars pour un usage individuel.
Certains fournisseurs vont plus loin en imposant une clause d’indemnisation inversée : le client s’engage à indemniser le fournisseur pour toute réclamation liée à l’utilisation du service, sans plafond. En d’autres termes, si un agent IA détruit vos données de production, c’est à vous de payer.
Les enjeux au regard du RGPD
La destruction de données personnelles constitue une violation de données au sens de l’article 4, paragraphe 12, du RGPD, au même titre qu’un accès non autorisé ou une exfiltration. Lorsqu’un agent IA supprime des données personnelles sans instruction légitime, le responsable de traitement reste tenu de notifier la CNIL dans les 72 heures (article 33) et d’informer les personnes concernées si le risque est élevé (article 34).
L’article 32 du RGPD impose par ailleurs des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Confier à un agent IA des permissions d’écriture et de suppression sur des bases contenant des données personnelles, sans mécanisme de validation humaine, pourrait être considéré comme un manquement à cette obligation.
AI Act : un cadre complémentaire en construction
Le règlement européen sur l’intelligence artificielle (AI Act), dont les premières obligations s’appliquent progressivement depuis février 2025, impose des exigences de transparence, de traçabilité et de supervision humaine pour les systèmes d’IA à haut risque. Un agent autonome capable de modifier ou supprimer des données dans un système critique pourrait relever de cette catégorie, avec des obligations renforcées de documentation, de test et de contrôle.
Comment se protéger en tant que responsable de traitement
Avant de déployer un agent IA dans votre système d’information, appliquez le principe du moindre privilège : limitez strictement les droits d’accès de l’agent aux seules actions nécessaires à sa mission. Mettez en place une validation humaine obligatoire pour toute opération irréversible, comme la suppression de données ou la modification d’environnements de production.
Documentez précisément le périmètre d’action de chaque agent dans votre registre des traitements et réalisez une analyse d’impact (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les personnes concernées. Enfin, relisez attentivement les clauses de responsabilité et d’indemnisation des contrats de vos fournisseurs d’IA avant tout déploiement.
Source : ICO – Guidance on AI and data deletion obligations (mars 2026)
Questions fréquentes
Un agent IA peut-il supprimer des données personnelles sans autorisation ?
Non. Toute suppression de données personnelles par un agent IA doit être encadrée par des règles définies par le responsable de traitement, conformément aux articles 5 et 32 du RGPD. L’absence de contrôle humain constitue un manquement potentiel.
Qui est responsable si une IA détruit des données par erreur ?
Le responsable de traitement reste juridiquement responsable, même si la destruction a été effectuée par un agent autonome. L’article 24 du RGPD impose de démontrer que des mesures appropriées ont été mises en place pour prévenir ce type d’incident.
Comment prévenir la destruction accidentelle de données par une IA ?
Mettez en place des sauvegardes automatiques, limitez les permissions de l’agent IA au strict nécessaire, instaurez une validation humaine pour les opérations critiques et réalisez des audits réguliers des actions automatisées.
