Défis liés à la gouvernance de l'IA agentique dans le cadre de la loi européenne sur l'IA de 2026

Alors que les dispositions d'application de la loi européenne sur l'IA entreront en vigueur en août 2025 — les obligations de conformité totales s'étendant jusqu'en 2026 — un nouveau problème épineux se pose aux leaders technologiques en Europe et au-delà. Les systèmes d'IA agentiques, qui exécutent de manière autonome des tâches complexes au sein d'environnements d'entreprise, révèlent de profondes lacunes en matière de gouvernance, lacunes que les cadres de conformité existants n'ont jamais été conçus pour gérer.

Les enjeux sont considérables. Les organisations qui déploient ces agents autonomes s'exposent à des amendes pouvant atteindre 35 millions d'euros, voire 7 % de leur chiffre d'affaires annuel mondial, pour les infractions les plus graves. Or, la réalité est que nombre d'entreprises n'ont actuellement aucun moyen fiable d'expliquer les activités de leurs agents d'IA, et encore moins de prouver leur légalité.

Qu’est-ce qui alimente la crise de gouvernance ?

Contrairement aux modèles d'IA traditionnels qui répondent à une seule requête et produisent une seule sortie, les systèmes d'IA multi-agents fonctionnent avec un degré d'indépendance qui modifie fondamentalement l'évaluation des risques. Ces agents peuvent transférer des données entre plateformes, initier des transactions, communiquer avec des API externes et enchaîner des séquences de décisions, souvent avec une supervision humaine minimale à chaque étape.

C’est précisément cette autonomie qui fait leur valeur. Des entreprises comme Salesforce, Microsoft et Google ont toutes investi massivement dans les architectures d’agents au cours des dix-huit derniers mois. La plateforme Agentforce de Salesforce, les agents Copilot de Microsoft et les agents Vertex AI de Google promettent tous d’automatiser les flux de travail complexes qui nécessitaient auparavant une intervention humaine à chaque étape.

Voici le défi de gouvernance : lorsqu’un agent prend une décision importante (par exemple, le rejet d’une demande d’indemnisation, le tri des données médicales d’un patient ou le signalement d’un employé pour une évaluation de performance), l’organisation qui le déploie a besoin d’une traçabilité complète. Qui a autorisé le champ d’action de l’agent ? Quelles données ont éclairé la décision ? Un véritable contrôle humain a-t-il été exercé ? Conformément aux exigences de la loi européenne sur l’IA relatives aux systèmes à haut risque, ces questions ne sont pas facultatives : elles sont obligatoires.

Pourquoi la loi européenne sur l'IA rend cette question urgente

La loi européenne sur l'IA classe les applications d'IA par niveaux de risque, les obligations les plus strictes s'appliquant aux cas d'utilisation à haut risque, notamment les décisions en matière d'emploi, l'évaluation du crédit, l'application de la loi, la gestion des migrations et les infrastructures critiques. Pour une analyse plus approfondie de ces catégories, consultez notre présentation des 5 architectures de calcul d'IA que tout ingénieur se doit de connaître en 2025 .

Voici ce que les organisations déployant des systèmes d'agents dans ces domaines doivent démontrer :

• Traçabilité : Enregistrement complet des actions, entrées et sorties de l'agent tout au long de son cycle de vie opérationnel.
• Supervision humaine : mécanismes permettant à des personnes qualifiées d’intervenir, de passer outre ou d’arrêter le système à tout moment.
• Gestion des risques : Évaluation continue de la manière dont le comportement autonome de l'agent pourrait produire des résultats nuisibles ou discriminatoires.
• Transparence : Une documentation claire permettant aux organismes de réglementation et aux personnes concernées de comprendre comment les décisions ont été prises.

Le problème est que de nombreux déploiements d'IA agentielle brouillent les responsabilités. Lorsqu'un agent orchestre des actions sur plusieurs systèmes — en extrayant des données d'une base de données, en effectuant une inférence via un autre modèle et en transmettant un résultat à une troisième application —, la chaîne de décision devient opaque. Même les ingénieurs ayant conçu le système peuvent avoir du mal à reconstituer la logique précise à l'origine d'un résultat donné.

Le fossé de responsabilité que les dirigeants doivent combler

Les dirigeants d'entreprise sont responsables en dernier ressort des systèmes qu'ils déploient, quel que soit leur degré d'autonomie. Ce principe est explicitement réaffirmé par la loi européenne sur l'IA. Les déployeurs de systèmes d'IA à haut risque – et pas seulement les développeurs – sont soumis à d'importantes obligations de conformité.

Pourtant, une étude McKinsey réalisée début 2025 a révélé que si 72 % des organisations avaient adopté une forme d'IA dans leurs opérations, moins de la moitié avaient mis en place des structures de gouvernance formelles pour ces déploiements. Concernant les systèmes d'agents en particulier, l'écart est probablement plus important, car de nombreuses entreprises sont encore en phase pilote et considèrent la gouvernance comme un problème à résoudre ultérieurement.

Cette approche devient rapidement intenable. Les analystes du secteur préviennent que les organisations doivent appliquer la même rigueur à la gouvernance des agents d'IA qu'aux contrôles financiers ou à la protection des données dans le cadre du RGPD. Sans audit, impossible de se défendre, et les autorités de régulation finiront par poser des questions.

Ce que disent les experts

Plusieurs experts en matière de politique d'IA ont souligné que les systèmes multi-agents constituent un angle mort réglementaire. Des chercheurs de l' Institut Ada Lovelace ont fait valoir que les cadres de gouvernance de l'IA existants supposent une relation relativement statique entre les entrées et les sorties – une hypothèse qui s'avère erronée lorsque les agents enchaînent de multiples décisions autonomes au fil du temps.

Gartner, de son côté, prévoyait fin 2024 que d'ici 2028, au moins 15 % des décisions commerciales quotidiennes seraient prises de manière autonome par des agents d'IA, contre quasiment zéro en 2023. Cette trajectoire laisse présager que le problème de gouvernance ne fera que s'intensifier à mesure que le déploiement s'étendra.

Pour les responsables informatiques, le message est clair : attendre que les directives réglementaires deviennent prescriptives avant d’agir est une stratégie vouée à l’échec. La loi européenne sur l’IA impose des obligations générales, et il appartiendra aux organisations de démontrer qu’elles les respectent grâce à des pratiques de gouvernance documentées et justifiables. Les personnes souhaitant mettre en place des programmes de supervision de l’IA robustes sont invitées à consulter notre guide sur la sécurité des agents d’IA lors de leur exécution grâce à la boîte à outils open source de Microsoft .

Que se passe-t-il ensuite ?

Plusieurs développements méritent d'être suivis de près jusqu'à la fin de 2025 et en 2026 :

1. Documents d'orientation réglementaire : Le Bureau européen de l'IA devrait publier des orientations détaillées sur la conformité aux risques élevés, qui pourraient aborder spécifiquement les systèmes multi-agents et les systèmes à agents multiples.
2. Fonctionnalités de responsabilisation des fournisseurs : les principaux fournisseurs de cloud devraient proposer des fonctionnalités améliorées de journalisation, d’explicabilité et de contrôle pour leurs plateformes d’agents à mesure que la pression en matière de conformité s’accentue.
3. Évolution des assurances et des responsabilités : Il faut s'attendre à l'émergence de produits d'assurance responsabilité civile spécifiques à l'IA, les entreprises cherchant à transférer une partie du risque réglementaire associé aux systèmes autonomes.
4. Tensions liées à l'application transfrontalière des règles de contrôle : les entreprises dont le siège social est situé hors de l'UE mais qui servent des clients européens seront confrontées à des questions complexes de juridiction quant à la manière dont la gouvernance des agents s'applique à leurs opérations.

En résumé

L'IA agentique représente l'une des évolutions les plus importantes des technologies d'entreprise depuis l'avènement du cloud computing. Cependant, cette même autonomie qui confère à ces systèmes leur puissance les rend également difficiles à gouverner – et le calendrier d'application de la loi européenne sur l'IA ne laisse aucune place à l'autosatisfaction.

Les dirigeants qui négligent la gouvernance s'exposent non seulement à des sanctions réglementaires, mais aussi à une érosion de la confiance de leurs clients, employés et partenaires. Les organisations qui prospéreront dans ce nouveau contexte seront celles qui intègrent la responsabilisation dès la conception de leurs systèmes de gestion, plutôt que de l'adapter a posteriori après une crise de conformité.