Cox Media Group a commercialisé un service alimenté par l'IA appelé « Active Listening » qui prétendait surveiller les conversations des consommateurs au moyen de leurs appareils intelligents et cibler des publicités en fonction de ce qu'il entendait. Son argumentaire de vente aux petites entreprises comprenait cette phrase : « Inquiétant? Bien sûr. Excellent pour le marketing? Absolument. »
La FTC a enquêté. Ce qu'elle a découvert était sans doute pire qu'une surveillance illégale : le service n'écoutait en fait rien du tout. Il n'utilisait aucune donnée vocale. Il ne plaçait même pas les publicités dans les bonnes zones géographiques. Le produit entier n'était que des listes de courriels reconditionnées, achetées auprès de courtiers en données et revendues avec une marge importante.
Le 21 mai 2026, la FTC a annoncé un règlement de 930 000 $. Cox Media Group versera 880 000 $. Ses deux entreprises partenaires, MindSift LLC et 1010 Digital Works LLC, verseront chacune 25 000 $.
Mais voici la phrase de la plainte de la FTC qui devrait inquiéter toute entreprise exploitant une fonctionnalité d'IA : « Si le service Active Listening avait fonctionné comme annoncé, cette collecte et cette utilisation des données vocales des consommateurs sans consentement adéquat constitueraient en soi une violation de l'article 5 de la FTC Act. »
Autrement dit : même si l'IA avait fonctionné, le cadre de consentement aurait quand même été illégal. C'est cette partie de l'histoire qui compte pour votre entreprise.
Ce qui s'est réellement passé
CMG Media Corporation, faisant affaire sous le nom de Cox Media Group, est une entreprise de médias et de marketing établie en Géorgie. Avec deux entreprises partenaires, MindSift LLC (New Hampshire) et 1010 Digital Works LLC (Wisconsin), CMG a commercialisé un service de marque « Active Listening ».
L'argumentaire était précis. CMG affirmait à ses clients de petites entreprises qu'Active Listening utilisait un algorithme spécial pour écouter en temps réel les conversations captées par les appareils intelligents, afin de cibler la publicité. Le matériel de marketing promettait que « les données vocales vont au-delà des données des moteurs de recherche, de sorte que chaque conversation banale entre deux consommateurs devient un outil pour cibler, recibler et fidéliser vos clients ».
La FTC a allégué que rien de tout cela n'était vrai. Le service n'écoutait pas les conversations. Il n'utilisait pas de données vocales. Il ne plaçait pas les publicités dans les zones géographiques demandées par les clients. Les entreprises revendaient plutôt des listes de courriels obtenues auprès d'autres courtiers en données, avec une marge importante.
La FTC a aussi allégué que les trois entreprises affirmaient à leurs clients que les consommateurs avaient « adhéré » au service Active Listening en acceptant les conditions d'utilisation exigées pour télécharger et utiliser des applications. La FTC a conclu que c'était faux. L'agence a expressément déclaré que le fait de cliquer pour accepter des conditions d'utilisation obligatoires ne constitue pas un consentement positif à la collecte de données vocales à l'intérieur du domicile des consommateurs.
Selon les ordonnances de règlement proposées, CMG versera 880 000 $, et MindSift et 1010 Digital Works verseront chacune 25 000 $. Les fonds serviront à dédommager les clients touchés de CMG. Il est désormais interdit aux trois entreprises de faire de fausses déclarations sur les capacités de leurs services, sur leur collecte et leur utilisation des données vocales, et sur la question de savoir si les consommateurs ont donné leur consentement.
La Commission a voté à 2 contre 0 pour déposer les plaintes et accepter les ententes de consentement.
« Il est une règle fondamentale en affaires que vous devez être honnête avec vos clients, et ces entreprises ne l'ont pas fait », a déclaré Christopher Mufarrige, directeur du Bureau de la protection des consommateurs de la FTC.
(Source : communiqué de la FTC, 21 mai 2026. Numéro de dossier FTC 242 3029.)
La phrase qui devrait inquiéter toute entreprise d'IA
La FTC n'a pas sanctionné Cox Media Group uniquement pour avoir menti sur un produit. Elle a déclaré expressément que si le produit avait fonctionné comme annoncé, la collecte de données elle-même violerait quand même l'article 5 de la FTC Act, en raison d'un consentement inadéquat.
Cette distinction compte pour toute entreprise qui déploie des fonctionnalités d'IA touchant aux données des utilisateurs.
Le modèle d'affaires de Cox Media était trompeur. Celui de la plupart des entreprises d'IA ne l'est pas. Leurs fonctionnalités d'IA fonctionnent réellement. Elles collectent et traitent réellement des données d'utilisateurs. Elles utilisent réellement ces données pour améliorer leurs modèles, personnaliser l'expérience ou tirer des renseignements marketing.
La question que la FTC a maintenant mise au grand jour n'est pas de savoir si votre IA fonctionne. C'est de savoir si vos utilisateurs comprennent ce qu'elle fait, si votre politique de confidentialité décrit fidèlement le flux de données, et si le fait de cliquer sur « J'accepte » sur une page de conditions d'utilisation constitue un consentement adéquat à ce que l'IA fait réellement avec ces données.
La FTC a maintenant indiqué publiquement que ce n'est pas le cas.
Le problème de consentement est structurel, pas exceptionnel
La plupart des produits d'IA s'appuient sur le consentement aux conditions d'utilisation comme fondement juridique de la collecte de données. La position de la FTC dans le règlement Cox laisse entendre que l'acceptation générale de conditions d'utilisation ne constitue pas un consentement suffisant pour un traitement de données envahissant ou inattendu. Si votre fonctionnalité d'IA traite des données comportementales, biométriques, conversationnelles ou de localisation, votre mécanisme de consentement est peut-être déjà insuffisant selon la norme actuelle de la FTC.
La défense « nous ne faisons pas ce que Cox a fait » ne tient pas
La sanction de Cox couvrait deux violations distinctes : la fausse représentation du produit et le consentement inadéquat à la collecte de données. Même si votre entreprise n'a jamais fait de fausse déclaration sur ses capacités d'IA, la seconde violation tient de façon indépendante. Votre politique de confidentialité décrit-elle fidèlement ce que vos fonctionnalités d'IA font aujourd'hui? Pas ce qu'elles faisaient au lancement. Pas ce que le développeur d'origine avait prévu. Ce qu'elles font réellement en ce moment, après chaque mise à jour de fonctionnalité, chaque réentraînement de modèle, chaque intégration de fournisseur.
Si la réponse est « en grande partie » ou « je pense que oui », c'est exactement dans cet écart que la FTC intervient.
La surface d'application s'élargit, elle ne rétrécit pas
Le règlement Cox n'est pas une action isolée. Au seul mois de mai 2026, la FTC a aussi commencé à appliquer la Take It Down Act (qui oblige les plateformes à retirer les images hypertruquées dans un délai de 48 heures), a interdit au courtier en données Kochava de vendre des données de localisation sensibles, et a signalé son intention d'appliquer la Protecting Americans' Data from Foreign Adversaries Act. La California Privacy Protection Agency a, de son côté, élargi l'application de la CCPA pour couvrir la prise de décision automatisée par l'IA. Vingt États américains disposent désormais de lois complètes sur la protection de la vie privée.
L'environnement d'application pour les entreprises d'IA ne devient pas plus clément. Il devient plus précis.
Cinq questions auxquelles vos fonctionnalités d'IA doivent répondre
Avant d'appeler qui que ce soit, votre entreprise peut s'autoévaluer à l'aide de ces cinq questions. Si vous ne pouvez pas répondre aux cinq avec assurance, vous avez des lacunes qui méritent d'être cernées.
1. Votre produit d'IA collecte-t-il ou traite-t-il des données au-delà de ce à quoi les utilisateurs ont expressément consenti?
Pas « au-delà de ce que vos conditions d'utilisation permettent techniquement ». Au-delà de ce qu'un utilisateur raisonnable comprendrait avoir accepté. La FTC a tracé cette distinction de façon explicite dans le règlement Cox. Le consentement par clic sur une page de conditions d'utilisation n'équivaut pas à un consentement éclairé au traitement de données par l'IA.
2. Votre politique de confidentialité décrit-elle fidèlement ce que votre modèle d'IA fait réellement avec les données des utilisateurs?
Pas ce qu'il faisait au lancement. Ce qu'il fait aujourd'hui. Les produits d'IA évoluent plus vite que leur documentation juridique. Si votre IA a ajouté une fonction de personnalisation, un moteur de recommandation ou un pipeline de données d'entraînement après la dernière mise à jour de la politique de confidentialité, vous avez une lacune documentaire.
3. Vos ententes avec vos fournisseurs autorisent-elles des tiers à utiliser les données de vos clients pour entraîner de l'IA?
De nombreux fournisseurs d'API d'IA incluent dans leurs conditions standard des clauses sur l'utilisation des données pour améliorer leurs modèles. Si votre produit envoie des données d'utilisateurs à un fournisseur d'IA, les données de vos clients pourraient entrer dans un pipeline d'entraînement auquel ils n'ont jamais consenti. La position de la FTC sur l'approvisionnement en données auprès de tiers ressort clairement à la fois du règlement Cox et de l'action contre Kochava.
4. La FTC considérerait-elle votre collecte de données comme « déloyale » au sens de l'article 5?
L'article 5 de la FTC Act interdit les pratiques déloyales ou trompeuses. « Déloyale » est plus large que « trompeuse ». Cela vise les pratiques qui causent un préjudice important au consommateur, qui ne sont pas compensées par des avantages contrebalançants, et que le consommateur ne peut raisonnablement éviter. Une collecte de données par l'IA divulguée techniquement en petits caractères, mais pratiquement invisible pour les utilisateurs, peut être « déloyale » même lorsqu'elle n'est pas « trompeuse ».
5. Avez-vous cartographié vos fonctionnalités d'IA par rapport au cadre de gestion des risques liés à l'IA du NIST?
Le NIST AI RMF devient la norme de facto aux États-Unis en matière de gouvernance de l'IA. Les lois d'État sur l'IA, au Colorado, au Texas et ailleurs, y renvoient de plus en plus. Les exigences des marchés publics fédéraux le citent. Si vous n'avez pas cartographié vos fonctionnalités d'IA par rapport aux catégories de risque du NIST AI RMF, vous ne connaissez pas l'ampleur réelle de votre exposition.
Ce que la FTC applique réellement en 2026
Le règlement Cox Media n'est pas une exception. Il s'inscrit dans une tendance qui s'est accélérée durant la première moitié de 2026 :
- 21 mai 2026 : la FTC conclut un règlement avec Cox Media Group, MindSift et 1010 Digital Works pour 930 000 $ relativement à des allégations de marketing trompeur par l'IA et de consentement inadéquat.
- 19 mai 2026 : la FTC commence à appliquer la Take It Down Act, qui oblige les plateformes à retirer les images intimes hypertruquées non consensuelles dans un délai de 48 heures. Des lettres d'avertissement ont été envoyées à des entreprises.
- 4 mai 2026 : la FTC entreprend d'interdire au courtier en données Kochava de vendre des données de localisation sensibles liées à des millions d'appareils mobiles.
- 1er janvier 2026 : les règlements élargis de la CCPA, adoptés par la California Privacy Protection Agency, entrent en vigueur, y compris de nouvelles exigences de transparence et de retrait pour la prise de décision automatisée par l'IA.
- Depuis le début de 2026 : les lois sur la vie privée de l'Indiana, du Kentucky et du Rhode Island entrent en vigueur, portant le total à vingt États américains dotés d'une législation complète sur la protection de la vie privée.
La tendance d'application est claire : la FTC cible la tromperie et le mauvais usage des données liés à l'IA avec une précision croissante, la CPPA applique des règles propres à la prise de décision automatisée par l'IA, et le nombre d'États dotés d'un pouvoir d'application en matière de vie privée augmente à chaque trimestre.
Trois étapes à suivre cette semaine
Ce ne sont pas des conseils juridiques. Ce sont des vérifications pratiques que toute entreprise peut faire en moins de trois heures.
Étape 1 : comparez votre politique de confidentialité à ce que vos fonctionnalités d'IA font réellement.
Ouvrez votre politique de confidentialité dans un onglet de navigateur et la documentation du flux de données de votre produit dans un autre. Comparez-les ligne par ligne. Si les deux documents ne concordent pas, ou si vous n'avez pas de documentation à jour sur le flux de données, c'est votre première lacune.
Étape 2 : vérifiez vos ententes de données avec vos fournisseurs à la recherche de clauses d'entraînement de l'IA.
Sortez toutes les ententes de fournisseurs d'IA que votre entreprise a signées. Cherchez les clauses qui font référence à l'« amélioration des modèles », aux « données d'entraînement », aux « données agrégées » et aux « données anonymisées ». Si une clause permet au fournisseur d'utiliser les données de vos clients pour entraîner ses modèles sans consentement explicite du client, c'est votre deuxième lacune.
Étape 3 : cartographiez vos fonctionnalités d'IA par rapport au cadre de gestion des risques liés à l'IA du NIST.
Téléchargez le cadre de gestion des risques liés à l'IA du NIST, version 1.0 (gratuit sur nist.gov/artificial-intelligence). Examinez la fonction « Map ». Pour chacune de vos fonctionnalités d'IA, déterminez quelles catégories de risque s'appliquent. Si vous ne pouvez pas cartographier chaque fonctionnalité avec assurance, c'est votre troisième lacune.
Que faire si vous avez trouvé des lacunes
Si l'une des cinq questions ci-dessus vous a fait hésiter, ou si les trois étapes ont fait ressortir des lacunes que vous ne soupçonniez pas, ce n'est pas inhabituel. La plupart des entreprises d'IA ont une documentation qui accuse un retard sur les pratiques réelles de leur produit en matière de données. La question est de savoir si cet écart sera cerné par votre propre examen ou par une action réglementaire.
L'audit d'exposition à l'IA de StarGuard Law cartographie six domaines d'exposition juridique pour les entreprises qui déploient de l'IA : conformité des conditions d'utilisation et de la politique de confidentialité, risques liés aux contrats de fournisseurs, propriété de la PI, traitement des données, conformité des plateformes et classification réglementaire. Il s'appuie sur trois cadres faisant autorité (les décisions du U.S. Copyright Office, le cadre de gestion des risques liés à l'IA du NIST et le OWASP LLM Top 10) et fournit un profil de risque chiffré assorti d'étapes de correction précises. Si les questions et vérifications ci-dessus ont fait ressortir des lacunes, c'est par là qu'il faut commencer.
Cet article est à titre informatif uniquement — pas un avis juridique.