Les défis de gouvernance de l'IA agentique sous la loi européenne sur l'IA en 2026

Les défis de gouvernance de l'IA agentique sous la loi européenne sur l'IA en 2026

Les agents d'IA promettent de déplacer automatiquement des données entre les systèmes et de déclencher des décisions, mais dans certains cas, ils peuvent agir sans un enregistrement clair de ce qu'ils ont fait, quand et pourquoi ils ont entrepris leurs tâches.

Cela a le potentiel de créer un problème de gouvernance, dont les responsables informatiques sont finalement responsables. Si une organisation ne peut pas retracer les actions d'un agent et n'a pas un contrôle adéquat sur son autorité, les dirigeants ne peuvent pas prouver qu'un système fonctionne de manière sécurisée ou même légale aux yeux des régulateurs.

C'est un enjeu qui va devenir de plus en plus important à partir d'août de cette année, avec l'entrée en vigueur de la loi européenne sur l'IA. Selon le texte de la loi, des pénalités substantielles seront appliquées en cas de défaillance de gouvernance liée à l'IA, en particulier dans des domaines à haut risque, comme le traitement d'informations personnellement identifiables ou les opérations financières.

Ce que les responsables informatiques doivent considérer dans l'UE

Plusieurs étapes peuvent être prises pour atténuer les niveaux de risque élevés, parmi lesquelles se distinguent :

• identité des agents
• journaux complets
• vérifications des politiques
• supervision humaine
• révocation rapide
• disponibilité de la documentation des fournisseurs
• formulation de preuves à présenter aux régulateurs

Il existe plusieurs options que les décideurs peuvent envisager pour aider à créer un enregistrement des activités entreprises par les systèmes agentiques. Par exemple, un SDK Python (kit de développement logiciel), Asqav, peut signer cryptographiquement chaque action d'agent et lier tous les enregistrements à une chaîne de hachage immuable – une technique plus associée à la technologie blockchain. Si quelqu'un ou quelque chose modifie ou supprime un enregistrement, la vérification de la chaîne échoue.

Pour les équipes de gouvernance, utiliser un système de registre centralisé, potentiellement chiffré, pour tous les AIs agentiques est une mesure qui fournit des données bien au-delà des journaux de texte éparpillés produits par des plateformes logicielles individuelles. Indépendamment des détails techniques sur la façon dont les enregistrements sont réalisés et conservés, les responsables informatiques doivent voir exactement où, quand et comment les instances agentiques agissent dans l'ensemble de l'entreprise.

De nombreuses organisations échouent à cette première étape dans tout enregistrement d'activité automatisée pilotée par l'IA. Il est nécessaire de maintenir un registre de chaque agent en opération, chacun étant identifié de manière unique, ainsi que des enregistrements de ses capacités et des permissions accordées. Cette liste d'actifs agentiques s'intègre parfaitement aux exigences de l'article 9 de la loi sur l'IA de l'UE, qui stipule :

Article 9 : Pour les domaines à haut risque, la gestion des risques liés à l'IA doit être un processus continu, basé sur des preuves, intégré à chaque étape de déploiement (développement, préparation, production) et être sous révision constante.

De plus, les décideurs doivent être conscients de l'article 13 de la loi :

Les systèmes d'IA à haut risque doivent être conçus de manière à ce que ceux qui les déploient puissent comprendre la sortie d'un système. Ainsi, un système d'IA d'un tiers doit être interprétable par ses utilisateurs (et non un code opaque), et doit être accompagné d'une documentation suffisante pour garantir son utilisation sécurisée et légale.

Cette exigence signifie que le choix du modèle et ses méthodes de déploiement sont à la fois des considérations techniques et réglementaires.

Mettre le frein

Il est important que tout déploiement agentique offre une possibilité de révocation du rôle opérationnel d'une IA, de préférence en quelques secondes. La capacité de révoquer rapidement doit faire partie des processus de réponse d'urgence. Les options de révocation devraient inclure :

• la suppression immédiate des privilèges
• l'arrêt immédiat de l'accès API
• l'effacement des tâches en attente

La présence d'une supervision humaine, combinée à la présentation d'un contexte suffisant pour que les humains puissent prendre des décisions éclairées, signifie que les opérateurs humains doivent être en mesure de rejeter toute action proposée. Il n'est pas considéré comme adéquat que la personne examinant une décision ne voie qu'une invite ou un score de confiance. Une supervision efficace nécessite des informations sur le contexte, l'autorité de chaque agent et le temps nécessaire pour intervenir afin de prévenir des erreurs.

Considérations multi-agents

Bien que chaque action d'agent doive être enregistrée automatiquement et conservée, les processus multi-agents sont particulièrement complexes à suivre, car des défaillances peuvent se produire parmi les chaînes d'agents. Il est donc important que les politiques de sécurité soient testées lors du développement de tout système destiné à utiliser plusieurs agents.

Enfin, les autorités de gouvernance peuvent exiger des journaux et de la documentation technique à tout moment, et en auront certainement besoin après tout incident dont elles ont été informées.

La question à considérer par les responsables informatiques envisageant d'utiliser l'IA sur des données sensibles ou dans des environnements à haut risque est de savoir si chaque aspect de la technologie peut être identifié, contraint par une politique, audité, interrompu et expliqué. Si la réponse n'est pas claire, la gouvernance n'est pas encore en place.