Blog · Heterostasia

Qui gouverne l'IA quand elle agit à votre place ?

23 juin 2026

D’ici 2028, selon Gartner, 15 % des décisions quotidiennes de travail seront prises de façon autonome par des intelligences artificielles. Aucune en 2024. Sur la même échéance, un tiers des logiciels d’entreprise embarqueront des agents capables d’agir seuls, contre moins de un pour cent aujourd’hui.

Ces chiffres ne décrivent pas un horizon lointain réservé à des entreprises plus avancées que la vôtre. Ils décrivent une bascule déjà engagée, dont vous faites partie dès lors qu’un outil d’IA est entré dans votre organisation.

La question n’est plus de savoir si l’IA va agir à votre place. Elle est de savoir si votre organisation est gouvernée pour ça.

Ce qui change quand l’IA passe de l’outil à l’acteur

Un outil obéit. Il fait ce qu’on lui demande, au moment où on le lui demande, avec les données qu’on lui fournit. La décision reste du côté humain.

Un agent agit. Il planifie, enchaîne des étapes, mobilise d’autres outils, prend des micro-décisions à chaque bifurcation, et produit des effets dans le monde réel : il envoie un e-mail, modifie une base de données, déclenche un paiement, répond à un client. La décision se déplace.

Ce déplacement ouvre trois zones de tension que les organisations n’ont pas encore appris à tenir. Le droit y répond de façon partielle et mouvante. En attendant qu’il se stabilise, c’est à chaque organisation de répondre pour elle-même.

Première question : qui contrôle ce que l’IA sait ?

Une IA agit à partir d’un contexte. Elle ne raisonne pas dans le vide : elle ordonne les informations dont elle dispose, et leur qualité détermine directement la qualité de ses décisions. Un agent qui s’appuie sur des informations contradictoires, non hiérarchisées ou périmées prend de mauvaises décisions avec la même assurance qu’il en prendrait de bonnes.

La gouvernance des informations est donc la première à construire. Elle répond à une question simple : dans votre organisation, qui peut affirmer quoi, et avec quelle autorité ? Qu’est-ce qui fait source de vérité (un contrat, une décision d’équipe, la parole d’un manager, un indicateur de gestion) ? Ce savoir est-il accessible, structuré, daté ?

La plupart des organisations fonctionnent à l’implicite. Ce qui n’est ni écrit ni hiérarchisé ne pose pas de problème tant que des humains font le travail d’interprétation. Quand des agents s’en chargent, l’implicite devient une source d’erreur systématique.

Les organisations qui anticipent construisent une architecture de sources de vérité emboîtées : des cercles d’information où une donnée de niveau supérieur ne peut pas être contredite par une donnée de niveau inférieur, et où chaque couche est formellement identifiée. Construire cette architecture est une décision d’organisation, pas un paramétrage.

Deuxième question : qui peut déléguer quoi à une IA ?

Ici, le droit européen a commencé à poser des repères. L’AI Act (règlement européen 2024/1689) est le premier cadre juridique complet au monde consacré à l’intelligence artificielle. Il classe les usages par niveau de risque et impose des obligations graduées selon ce niveau. Il s’applique directement en France, sans transposition, et ses dispositions clés sont entrées en vigueur en août 2025. La Commission européenne en publie une présentation accessible sur sa page dédiée au cadre réglementaire de l’IA.

Deux de ses articles concernent directement la question de la délégation.

L’article 25 pose une règle de bascule. Dès qu’une entreprise qui utilise un système d’IA y appose son nom, le modifie substantiellement, ou détourne son usage prévu, elle cesse d’être un simple utilisateur : elle devient juridiquement responsable du système, au même titre que celui qui l’a conçu. Autrement dit, la responsabilité ne reste pas chez le fournisseur du modèle. Elle se déplace vers celui qui l’emploie et l’adapte.

L’article 14 ajoute une exigence de supervision humaine effective : les systèmes à haut risque doivent être conçus pour qu’une personne physique puisse réellement les surveiller, à un niveau proportionné aux risques et à l’autonomie en jeu.

Ces deux articles posent une question que peu d’organisations formalisent avant de déployer. Qui, dans votre structure, a autorité pour décider qu’un agent peut agir sur tel périmètre ? Quel processus valide cette délégation ? Quel rôle en répond ? Déléguer une tâche à un agent sans répondre à ces questions, c’est créer une autorité qui n’appartient à personne. Et ce qui n’appartient à personne ne se gouverne pas.

Troisième question : qui répond quand l’IA se trompe ?

C’est la question la moins stabilisée. Quand un système autonome cause un préjudice non voulu, en dehors d’un cadre contractuel clair, aucun régime juridique ne désigne encore nettement le responsable. L’Union européenne a même retiré, en février 2025, le projet de directive qu’elle préparait spécifiquement sur la responsabilité civile en matière d’IA.

Ce qui avance, en revanche, c’est la directive européenne révisée sur la responsabilité du fait des produits défectueux (2024/2853). Elle traite désormais les logiciels et les systèmes d’IA comme des produits, et leurs concepteurs comme des fabricants, tenus à une responsabilité sans faute à prouver. Elle s’appliquera aux produits mis sur le marché à partir de décembre 2026. Elle progresse, sans couvrir encore tous les cas où un agent pleinement autonome cause un dommage.

Dans cet intervalle, la logique de l’AI Act donne déjà la direction : la responsabilité penche vers celui qui déploie et adapte le système, pas vers celui qui a entraîné le modèle. Vous pouvez déléguer l’exécution à un agent. L’imputabilité, elle, reste de votre côté.

Ce que ces trois questions ont en commun

Aucune n’est technique. Aucune ne se règle en choisissant le bon outil ou en ajustant un paramètre. Toutes relèvent de la gouvernance : la façon dont les autorités circulent dans votre structure, dont les décisions se tracent, dont les redevabilités s’attachent à des rôles plutôt qu’à des personnes.

Les organisations qui déploient des agents sans avoir construit cette gouvernance l’apprennent à leurs dépens. Près de neuf pilotes d’agents sur dix échouent avant la mise en production, et la cause première n’est pas la qualité du modèle : ce sont les défauts de gouvernance et de supervision. Près d’une organisation sur deux a superposé des agents sur ses processus existants sans les revoir.

Déployer durablement des intelligences artificielles est d’abord une capacité d’organisation : savoir rendre explicite ce qui fonctionnait jusque-là à l’implicite, les rôles, les redevabilités, les sources de vérité, les seuils de délégation. Ce travail d’explicitation, nous le menons avec les organisations qui veulent s’y engager, dans un accompagnement construit autour de ces trois questions de gouvernance.

Notre diagnostic est la première étape pour situer où vous en êtes.