Cette scène n’est plus un horizon lointain. Selon McKinsey, 70 % du temps de travail administratif pourrait être automatisé par des agents IA d’ici 2030. Des milliers d’organisations déploient déjà des systèmes capables d’agir de manière autonome : planifier, décider, exécuter — sans validation humaine à chaque étape. Face à cette réalité, une question s’impose aux directeurs juridiques : le droit des contrats est-il préparé à des parties qui ne sont pas des personnes ?
L’IA agentique — c’est-à-dire l’IA capable de percevoir son environnement, de planifier et d’agir de façon autonome — bouscule les fondements du droit contractuel classique. Validité des engagements, responsabilité en cas de litige, encadrement des protocoles machine-to-machine, couverture assurantielle : autant de sujets qui appellent une réponse juridique immédiate, avant que les premiers contentieux ne dessinent eux-mêmes les contours du droit applicable.
L’IA agentique : une rupture de paradigme contractuel
L’IA générative produit du contenu sur demande humaine. L’IA agentique, elle, s’en affranchit : elle fixe ses propres sous-objectifs, mobilise des outils externes — bases de données, APIs, systèmes tiers — et prend des décisions séquentielles sans supervision continue. La différence est fondamentale en droit, car elle déplace la question du « qui a décidé ? » vers un acteur algorithmique que le code civil ne connaît pas encore.
Le Professeur Bruno Deffains (Université Paris Panthéon-Assas) a synthétisé ce défi dans Dalloz Actualité en novembre 2025 : l’IA agentique ébranle le paradigme classique de responsabilité centré sur l’individu, en faisant intervenir une multiplicité d’acteurs — développeur, déployeur, utilisateur — dont les responsabilités respectives restent difficilement traçables.
Pour une direction juridique, ce constat n’est pas théorique. C’est une faille de gouvernance opérationnelle à combler maintenant, avant que des engagements non contrôlés ne créent des contentieux aux contours inédits.
La validité des contrats conclus par un agent IA : l’état du droit en 2026
Le consentement algorithmique face à l’article 1128 du Code civil
En droit français, la validité d’un contrat suppose le consentement des parties, leur capacité à contracter, un contenu licite et certain (art. 1128 C. civ.). Or, un agent IA n’est pas une personne juridique. Il ne peut ni consentir ni se voir reconnaître une capacité contractuelle propre. L’article 1128 du Code civil, conçu pour des acteurs humains ou des personnes morales, n’anticipe pas l’intervention d’un système autonome dans la formation du consentement.
La conséquence pratique est directe : un contrat conclu par un agent IA ne vaut que si l’on peut rattacher juridiquement l’engagement à une personne — physique ou morale — qui a habilité cet agent à agir en son nom. Sans cette habilitation préalable et documentée, la validité du contrat conclu par intelligence artificielle est exposée à contestation.
Un contrat conclu par un agent IA ne crée d’obligations que si l’entreprise déployante a expressément et formellement habilité ce système à engager sa responsabilité contractuelle dans un périmètre défini.
La théorie du mandat : un cadre applicable, avec ses limites
La doctrine s’oriente vers la théorie du mandat pour encadrer les actes de l’agent IA : le système agit comme un mandataire, dans les limites d’une habilitation conférée par l’entité qui le déploie. Ce cadre présente l’avantage d’exister en droit positif et de rattacher les effets de l’acte au mandant. Mais il souffre d’une faiblesse structurelle : le mandat suppose un mandataire capable de recevoir le pouvoir d’agir. L’IA, dépourvue de personnalité juridique, ne peut techniquement être mandataire.
Certains auteurs proposent de raisonner par analogie avec le falsus procurator : l’acte conclu par un agent sans pouvoir suffisant est inopposable au prétendu mandant, sauf ratification ultérieure. Dans un contexte où l’agent IA agit en temps réel et génère des engagements à volume industriel, la ratification systématique est évidemment irréaliste. C’est pourquoi la sécurisation passe par le contrat lui-même, en amont : les clauses d’habilitation de l’agent IA doivent définir précisément les catégories d’actes autorisés, les seuils financiers, les contreparties admissibles et les conditions de révocabilité.
L’AI Act européen (Règlement 2024/1689), dont les obligations complètes pour les systèmes à haut risque entrent en application en août 2026, impose également que les systèmes susceptibles d’influencer des décisions contractuelles à fort impact soient soumis à une supervision humaine effective (art. 14.4). Cette exigence de contrôle humain n’est pas qu’une contrainte réglementaire : elle est la condition de la validité contractuelle dans le cadre juridique actuel.
Smart contracts déclenchés par des agents autonomes : quand le code fait loi
L’exécution automatique et l’irréversibilité
Un smart contract est un programme déployé sur une blockchain qui s’exécute automatiquement dès que des conditions prédéfinies sont réunies. Son intégration avec des agents IA crée un mécanisme redoutable : l’agent perçoit une donnée du monde réel — un cours boursier, une livraison confirmée, un délai expiré — et déclenche l’exécution du contrat sans aucune intervention humaine.
La difficulté juridique centrale est celle de l’irréversibilité : le code s’exécute, les fonds se transfèrent, les obligations naissent. Contrairement à un contrat classique dont l’exécution peut être suspendue ou discutée, la transaction blockchain est, par nature, irrévocable. Les travaux académiques récents (SSRN, Jackson, 2025) sur l’architecture Agentic Blockchain Intelligence montrent que des systèmes multi-agents peuvent coordonner des décisions contractuelles complexes via des smart contracts — avec une auditabilité forte, certes, mais une fenêtre de correction quasi nulle une fois l’exécution lancée.
Les questions juridiques que les directions ne peuvent pas ignorer
Plusieurs interrogations restent sans réponse claire en droit français. Quelle est la nature juridique de l’obligation née d’un smart contract déclenché par un agent IA : acte juridique, acte matériel, opération technique ? En cas d’erreur algorithmique ayant conduit au déclenchement, sur quel fondement — vice du consentement, erreur sur la substance, force majeure — peut-on contester l’exécution ? Et surtout : qui supporte le risque d’un comportement imprévu de l’agent ?
Ces questions appellent une réponse contractuelle préventive. Les directions juridiques doivent faire insérer, dans tout accord recourant à ce type d’architecture, des clauses d’audit algorithmique, des mécanismes de suspension d’urgence (kill switches contractuels) et des stipulations claires sur la répartition des risques en cas de dysfonctionnement de l’agent déclencheur.
Protocoles MCP et interactions machine-to-machine : un vide juridique structurant
Le Model Context Protocol : une nouvelle couche d’engagement invisible
Le Model Context Protocol (MCP), développé par Anthropic et désormais porté par la Linux Foundation dans le cadre de l’Agentic AI Foundation (AAIF), est devenu en quelques mois un standard de facto pour connecter les agents IA à des outils externes, des bases de données et des APIs. Il permet à un agent de « découvrir » les capacités d’un serveur distant et d’interagir avec lui de façon structurée — interroger un CRM, déclencher un paiement, accéder à un espace documentaire.
Du point de vue juridique, chaque interaction MCP entre un agent et un service tiers constitue potentiellement une relation contractuelle machine-to-machine qui ne repose sur aucun contrat formalisé entre les parties humaines concernées. L’entreprise dont l’agent IA consomme un service via MCP assume-t-elle une obligation de paiement ? Le prestataire exposant ses capacités via un serveur MCP peut-il opposer ses conditions générales à une entreprise tierce dont l’agent interagit avec lui de façon autonome ? À ce jour, le droit positif ne fournit pas de réponse satisfaisante.
L’encadrement contractuel des APIs : un chantier urgent
Les contrats d’accès aux APIs existants ont été conçus pour des intégrations humainement paramétrées, avec des quotas, des conditions d’usage et des responsabilités clairement imputées à un utilisateur identifié. L’IA agentique opère différemment : elle peut générer un volume d’appels imprévisible, accéder à des fonctions non anticipées par les rédacteurs du contrat et agir dans des délais incompatibles avec toute supervision.
Les directions juridiques doivent engager une revue systématique de leurs contrats d’API pour y intégrer : des clauses de responsabilité adaptées aux actes de l’agent, des mécanismes de journalisation et d’audit des interactions machine-to-machine, des stipulations sur la licéité des données transmises via l’agent, et des obligations de sécurité spécifiques au périmètre des actions autorisées. L’IA Act impose par ailleurs aux déployeurs de maintenir une documentation technique permettant de retracer les décisions prises par le système — une exigence qui doit se refléter dans les contrats de service.
Dans les interactions machine-to-machine via MCP ou API, l’absence de cadre contractuel explicite entre les agents n’exonère pas les entités déployantes de leur responsabilité. Le droit commun s’applique, mais avec des difficultés d’imputation majeures.
Régime assurantiel et IA agentique : construire une protection sur un terrain non balisé
Un angle mort des polices traditionnelles
La question de l’assurance IA agentique est l’une des moins bien traitées par l’industrie assurantielle, et l’une des plus urgentes pour les entreprises qui déploient ces systèmes. Les polices de responsabilité civile professionnelle classiques couvrent les dommages causés par des fautes humaines dans l’exercice d’une activité. Elles n’ont généralement pas été conçues pour couvrir les dommages causés par une décision autonome d’un système algorithmique agissant sans supervision directe.
Cette lacune est documentée : comme le relevait Actu-Juridique dans son analyse des régimes de responsabilité européens, la directive IA sur la responsabilité, retirée par la Commission européenne en février 2025 faute de consensus, laisse un vide normatif précisément sur la répartition des obligations entre producteurs, déployeurs et utilisateurs de systèmes autonomes. En l’absence de texte spécifique, la question de qui est couvert, pour quoi et jusqu’à quel montant reste ouverte dans la grande majorité des polices en vigueur.
Les pistes pour une couverture adaptée
Plusieurs approches complémentaires s’esquissent. D’abord, la révision des polices RC professionnelle et exploitation pour y inclure explicitement les actes des agents IA déployés par l’entreprise, avec une définition précise du périmètre d’autonomie couvert. Ensuite, la souscription de garanties spécifiques aux risques algorithmiques — certains acteurs de l’assurtech, comme Sure, développent des offres intégrant nativement des garde-fous pour les agents autonomes, avec des paramétrages de souscription qui encadrent contractuellement le champ d’action de l’agent.
La documentation de la gouvernance algorithmique joue ici un rôle clé : un assureur qui peut s’appuyer sur des logs d’audit, des seuils d’approbation humaine documentés et des politiques d’usage formalisées acceptera plus aisément de couvrir les risques résiduels qu’une entreprise incapable de démontrer qu’elle exerçait un contrôle effectif sur son agent. L’AI Act, en imposant des obligations de traçabilité et de supervision humaine pour les systèmes à haut risque, fournit indirectement un référentiel pour qualifier le niveau de diligence assurantielle attendu.
Enfin, la question de la réassurance pour les risques cumulatifs mérite d’être posée dès maintenant. Un agent IA peut, en quelques heures, conclure des milliers d’engagements. L’exposition agrégée peut excéder très largement les plafonds habituels. Les directions financières et juridiques doivent modéliser ce scénario avant le sinistre, et non après.
Ce que les directions juridiques doivent faire maintenant
Face à l’IA agentique, l’attente n’est pas une option. Le droit se construira en partie à partir des pratiques contractuelles des entreprises les mieux structurées — et des litiges des moins bien préparées. Plusieurs chantiers sont prioritaires.
Cartographier les agents déployés : identifier tous les systèmes agissant de façon autonome au nom de l’entreprise, recenser les actions qu’ils peuvent déclencher (commandes, paiements, notifications, modifications contractuelles) et qualifier le niveau de risque juridique de chaque catégorie d’acte.
Formaliser les habilitations : rédiger des politiques internes d’habilitation des agents IA, définissant leur périmètre d’action autorisé, leurs seuils de compétence autonome et les conditions d’escalade vers une validation humaine. Ces documents ont une valeur probatoire en cas de litige.
Réviser les contrats existants : auditer les accords-cadres, les CGV, les contrats d’API et les accords de partenariat pour y intégrer des clauses adaptées aux interactions agentiques : habilitation, responsabilité, audit, suspension d’urgence, traitement des données.
Mettre à jour les polices d’assurance : engager avec les assureurs une discussion spécifique sur la couverture des actes des agents IA, obtenir des avenants ou souscrire des garanties dédiées, et documenter la gouvernance algorithmique pour justifier le niveau de diligence exercé.
Anticiper l’AI Act : les obligations complètes pour les systèmes à haut risque entrent en application en août 2026. Les directions juridiques disposent de quelques mois pour évaluer si leurs agents IA relèvent de cette catégorie et préparer la conformité — documentation technique, supervision humaine effective, analyse d’impact.
En conclusion
L’IA agentique introduit dans la pratique contractuelle une rupture que le droit n’a pas encore entièrement absorbée. Entre la validité du contrat conclu par intelligence artificielle, la complexité des smart contracts déclenchés par des agents autonomes, le vide juridique des interactions machine-to-machine et les lacunes des polices assurantielles traditionnelles, les directions juridiques font face à un faisceau de risques qui se matérialisera à la vitesse de déploiement des technologies — c’est-à-dire très vite.
La bonne nouvelle : ces risques sont cartographiables, et les outils juridiques — mandat, responsabilité du fait des choses, régime produits défectueux, droit des contrats informatiques — fournissent des points d’appui solides pour construire un cadre opérationnel. Ce qui manque, c’est la traduction de ces outils dans la réalité technique de l’IA agentique. C’est précisément là qu’une expertise juridique spécialisée en droit du numérique prend toute sa valeur.
***
Le cabinet Haas Avocats accompagne les entreprises dans la sécurisation juridique de leurs projets d’IA agentique : audit des contrats, rédaction des clauses d’habilitation, conformité AI Act, négociation des contrats d’assurance. Contactez notre équipe pour un diagnostic adapté à votre situation.
Sources de référence :
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (AI Act) · Code civil français, art. 1102, 1128, 1231 · B. Deffains, « L’IA agentique : du changement d’échelle technologique au questionnement du modèle juridique classique », Dalloz Actualité, 6 novembre 2025 · Datasulting, « Agents autonomes et IA agentique : guide 2025 » · Solo.io, « Why the Agentic AI Foundation (AAIF) Changes Everything for MCP », 2026 · Actu-Juridique, « Les nuances des nouveaux régimes de responsabilité des IA en Europe »