L'ère des agents intelligents
L'année 2025-2026 marque un tournant dans l'évolution de l'intelligence artificielle : le passage des systèmes qui répondent aux requêtes à des systèmes qui agissent de manière autonome. L'IA agentique, ces systèmes capables de planifier, de décider et d'exécuter des actions sans intervention humaine directe, représente un saut qualitatif qui bouleverse les cadres de gouvernance existants. Selon Microsoft, 80 % des entreprises du Fortune 500 utilisent déjà des agents IA actifs, et 40 % des applications d'entreprise intégreront des agents IA d'ici la fin de 2026.
Qu'est-ce que l'IA agentique ?
Contrairement à l'IA conversationnelle traditionnelle, qui attend une instruction pour produire une réponse, les agents IA sont des systèmes capables de percevoir leur environnement, de formuler des objectifs, de planifier des séquences d'actions et de les exécuter de manière autonome. Un agent IA peut, par exemple, analyser un ensemble de courriels, rédiger des réponses, planifier des réunions, effectuer des recherches et prendre des décisions, le tout sans supervision humaine continue.
Cette autonomie accrue est rendue possible par les progrès des grands modèles de langage, par les architectures d'orchestration multi-agents et par l'intégration croissante de l'IA dans les systèmes d'information des organisations. Des entreprises comme L'Oréal ont créé de véritables « usines à agents », avec l'objectif de passer de 8 agents déployés en 2025 à plus de 20 agents majeurs en 2026.
Les risques spécifiques de l'IA agentique
L'autonomie des agents IA engendre des risques que les cadres de gouvernance actuels ne couvrent pas adéquatement.
L'exposition de données sensibles est le risque le plus cité (55 % des organisations), suivi des actions non autorisées (52 %), du détournement de credentials (45 %) et de l'absence de normes d'identité pour les agents (45 %). Contrairement aux systèmes d'IA classiques, les agents agissent en continu, prennent des décisions en temps réel et interagissent avec de multiples plateformes simultanément, rendant la supervision humaine plus difficile.
Le problème de l'identité numérique des agents est un défi émergent. Les identités non humaines et agentiques devraient dépasser 45 milliards d'ici la fin de 2026, soit plus de douze fois la population active mondiale. Pourtant, seulement 23 % des organisations disposent d'une stratégie formelle de gestion de l'identité des agents. Les mécanismes traditionnels de gestion des accès, identifiants statiques, jetons surprivilégiés, politiques cloisonnées, sont inadaptés à des entités qui opèrent en permanence et de manière décentralisée.
Les actions irréversibles constituent un risque critique. Un agent IA qui exécute une transaction financière, envoie une communication ou modifie une base de données de manière autonome peut causer des dommages avant qu'un humain n'ait la possibilité d'intervenir. La mise en place de points de contrôle humain pour les actions à haut risque est essentielle.
Le cadre de gouvernance à adapter
Le cadre juridique québécois actuel n'a pas été conçu pour des systèmes autonomes. La Loi 25, qui impose la transparence pour les décisions fondées « exclusivement sur un traitement automatisé », prend une dimension nouvelle lorsque les agents IA prennent des séries de décisions enchaînées sans intervention humaine. La question de la responsabilité, qui est responsable lorsqu'un agent IA cause un préjudice ?, devient d'autant plus aiguë.
Singapour a pris les devants en lançant en janvier 2026 le Model AI Governance Framework for Agentic AI, qui établit quatre dimensions de gouvernance : l'évaluation des risques, la responsabilité humaine, la transparence et la sécurité. Le Colorado, aux États-Unis, exigera des évaluations d'impact annuelles pour les systèmes d'IA à haut risque à partir de juin 2026. La Californie, avec sa loi AB 316, empêche désormais les défendeurs d'invoquer l'autonomie d'un système d'IA comme défense face à une réclamation en responsabilité.
Le Québec doit s'inspirer de ces initiatives pour adapter son cadre. Cela implique de clarifier la chaîne de responsabilité pour les actions des agents autonomes, d'imposer des mécanismes de surveillance humaine pour les décisions à haut risque, d'établir des normes d'identité et d'authentification pour les agents IA, de définir des exigences de journalisation et de traçabilité des actions des agents, et de prévoir des mécanismes de révocation rapide en cas de comportement anormal.
Les implications pour les organisations québécoises
Les organisations québécoises qui déploient des agents IA doivent repenser leur gouvernance interne. La gestion des accès doit évoluer vers un modèle de « moindre privilège dynamique », où les permissions des agents sont limitées au strict nécessaire et réévaluées en continu. Des bacs à sable (sandboxes) doivent permettre de tester les agents dans des environnements contrôlés avant leur déploiement en production. Les équipes de cybersécurité doivent intégrer les agents IA dans leur périmètre de surveillance.
La formation des équipes est un enjeu critique. Les gestionnaires, les développeurs et les utilisateurs doivent comprendre les capacités et les limites des agents IA, reconnaître les situations qui exigent une intervention humaine et maîtriser les mécanismes de contrôle à leur disposition.
Conclusion
L'IA agentique n'est pas une perspective lointaine : elle est déjà déployée dans les entreprises québécoises et son adoption s'accélère. La gouvernance de ces systèmes autonomes exige une refonte des approches traditionnelles, fondée sur la responsabilité humaine, la traçabilité et la sécurité. Le Québec doit agir rapidement pour adapter son cadre à cette nouvelle réalité, sous peine de voir se multiplier les incidents dont personne ne voudra assumer la responsabilité.
