Open Agent Governance : un protocole ouvert pour documenter et gouverner les décisions des agents IA

Un standard manquant pour les décisions des agents

En 2026, l'IA agentique a quitté le territoire des démonstrations. Les agents autonomes lisent des courriels, exécutent des transactions, modifient des fichiers, déclenchent des actions dans des systèmes tiers. Et plusieurs autorités l'ont rappelé en quelques semaines : Microsoft a publié son Agent Governance Toolkit le 2 avril 2026, le NIST a lancé son AI Agent Standards Initiative au début de l'année, l'ANSSI a formellement déconseillé le déploiement d'agents autonomes en production le 13 avril, et la Cloud Security Alliance pousse son Agentic Trust Framework. Tout le monde voit le même mur arriver : on déploie des systèmes qui prennent des décisions, mais aucun standard ouvert ne dit comment ces décisions doivent être documentées, classifiées et auditées.

C'est précisément le vide que cherche à combler une nouvelle initiative open source : Open Agent Governance, qui publie l'Agent Decision Protocol (ADP) sous licence Apache 2.0. Le projet se veut neutre, indépendant des fournisseurs, et explicitement orienté conformité multi-juridictionnelle, incluant la Loi 25 québécoise.

Le problème que tente de résoudre ADP

Quand un agent IA refuse une transaction, modifie un dossier client, escalade un incident, ou choisit de ne pas escalader, qui peut répondre à ces quatre questions ?

• Quels agents avaient l'autorité de prendre cette décision ?
• Quand l'approbation humaine était-elle obligatoire ?
• Comment retracer la chaîne de responsabilité ?
• Quelles preuves d'audit l'organisation peut-elle fournir à un régulateur ?

Dans la plupart des déploiements actuels, les réponses sont propriétaires, dispersées, ou tout simplement absentes. ADP propose un vocabulaire commun et une structure interopérable pour répondre à ces quatre questions de manière auditable.

Une spécification en sept documents

Le protocole se présente comme un ensemble de sept documents de spécification, déjà disponibles publiquement sur GitHub :

1. Autonomy Taxonomy : cinq niveaux d'autonomie (A1 à A5), du mode supervisé à l'autonomie complète, qui servent de base à toutes les autres décisions de gouvernance.
2. Decision Classification : un cadre de classification à trois axes (type, risque, réversibilité) appliqué à chaque décision.
3. Trace Format : un format de journal d'audit chaîné par hash SHA-256, conçu pour être inviolable et vérifiable a posteriori.
4. Authorization Matrix : une matrice à deux dimensions croisant niveau d'autonomie et type de décision pour déterminer les règles d'approbation.
5. Policy Schema : six gabarits de politiques couvrant les communications, les finances, l'accès aux données et autres domaines sensibles.
6. Regulatory Mapping : un mapping pré-établi vers six cadres réglementaires (AI Act, RGPD, SOC 2, ISO 27001, NIST AI RMF, Loi 25 du Québec).
7. Agent Registry : un schéma standardisé d'identité et de permissions pour chaque agent déployé dans une organisation.

L'ensemble est validé par un JSON Schema dans la version v0.2, ce qui permet une intégration directe dans les pipelines CI/CD et les plateformes de gouvernance existantes.

La classification à trois axes : le cœur du protocole

L'élément le plus structurant d'ADP est sans doute la classification à trois axes que doit recevoir chaque décision prise par un agent.

Type de décision (D1 à D4) : D1 couvre les décisions opérationnelles (exécution dans le périmètre prévu), D2 les choix tactiques (méthodes alternatives), D3 les décisions stratégiques (impact organisationnel), et D4 les décisions de modification de l'agent lui-même, qui exigent toujours une approbation humaine.

Niveau de risque (R1 à R4) : R1 désigne un risque négligeable (réversible, aucune donnée sensible), R2 un risque modéré, R3 un risque élevé impliquant des personnes ou des opérations critiques, et R4 un risque critique systématiquement escaladé.

Réversibilité : totale, partielle ou irréversible. Une décision irréversible (suppression de données, paiement émis, communication publique) déclenche par défaut une exigence d'approbation, indépendamment des deux autres axes.

L'objectif est simple : permettre à n'importe quelle organisation de déterminer, à partir d'un triplet (D, R, réversibilité), si la décision peut être prise de manière autonome, requiert une validation humaine, ou doit être bloquée.

Traçabilité par hash chaîné : auditer sans confiance

Le format de trace défini par ADP utilise une chaîne de hash SHA-256 inspirée des journaux d'événements en sécurité. Chaque entrée référence le hash de l'entrée précédente, ce qui rend toute modification rétroactive du journal détectable. Pour les régulateurs et les auditeurs, c'est un changement de paradigme : on ne demande plus à l'organisation de jurer que ses logs sont fiables, on lui demande de fournir une preuve cryptographique d'intégrité.

Cette approche s'aligne directement sur les exigences de transparence et de traçabilité de l'AI Act européen et de la directive du Conseil du Trésor québécois sur l'utilisation de l'IA dans le secteur public, dont les organismes doivent se conformer d'ici juin 2026.

Un mapping réglementaire qui parle au Québec

L'Agent Decision Protocol revendique une particularité dans le paysage : il pré-mappe ses contrôles vers la Loi 25, en plus des cadres internationaux habituels (AI Act, RGPD, SOC 2, ISO 27001, NIST AI RMF). Concrètement, cela signifie qu'une organisation québécoise qui adopte ADP dispose d'une grille préétablie pour démontrer le respect des évaluations des facteurs relatifs à la vie privée (EFVP), des obligations de transparence des décisions automatisées prévues à l'article 12.1 de la Loi sur le secteur privé, et des exigences plus récentes de l'arrêté ministériel sur l'IA dans l'administration publique.

C'est un argument significatif pour les directions de la gouvernance et de la conformité dans les ministères, les municipalités, les institutions financières encadrées par l'AMF, et les établissements de santé : un standard ouvert, sans verrou propriétaire, qui parle nativement leur langage réglementaire.

Pourquoi un standard ouvert plutôt qu'un produit

Les outils propriétaires existent déjà. Microsoft, Databricks, IBM proposent leurs propres couches de gouvernance pour les agents IA. Mais ces outils impliquent un verrouillage technologique et ne se prêtent pas naturellement à la portabilité entre fournisseurs. ADP fait le pari inverse : une spécification ouverte sous Apache 2.0, avec une implémentation de référence (un serveur MCP est prévu pour la version v0.3), que n'importe quel éditeur peut adopter ou étendre.

L'analogie n'est pas anodine : c'est la même logique qui a fait gagner OpenTelemetry contre les SDK propriétaires d'observabilité, ou OAuth contre les schémas d'authentification maison. Un standard ouvert ne supprime pas les produits commerciaux, il définit le terrain sur lequel ils s'affrontent et garantit l'interopérabilité.

État du projet et perspectives

Les versions v0.1 (sept documents de spécification) et v0.2 (validation JSON Schema) sont déjà publiées. La feuille de route prévoit v0.3 avec une implémentation de serveur MCP (Model Context Protocol), puis v1.0 avec une spécification stable et une plateforme beta. Le code, les spécifications et la documentation sont accessibles sur le dépôt GitHub OpenAgentGovernance/agent-decision-protocol.

L'initiative invite explicitement les organisations à se déclarer comme adoptrices via une pull request publique, et à contribuer aux versions successives. Pour les organisations québécoises qui doivent rendre des comptes d'ici juin 2026 sur leurs usages de l'IA, c'est une occasion concrète de participer à la définition d'un standard, plutôt que de subir un cadre imposé par les fournisseurs dominants.

Conclusion : un terrain à occuper

La gouvernance des agents IA est en train de se construire en 2026, simultanément à l'échelle des autorités nationales, des grands éditeurs et des consortiums de cybersécurité. Open Agent Governance n'est pas la seule proposition sur la table, mais elle a deux caractéristiques rares : elle est nativement ouverte, et elle est nativement multi-juridictionnelle, incluant le Québec dans son cadre. Pour les directions de gouvernance qui cherchent un point d'ancrage neutre dans un paysage en mouvement, c'est un projet à suivre, et probablement à tester.

Sources

• Open Agent Governance, site officiel : https://openagentgovernance.org/
• Agent Decision Protocol, dépôt GitHub : https://github.com/OpenAgentGovernance/agent-decision-protocol
• Microsoft Open Source Blog, Introducing the Agent Governance Toolkit : https://opensource.microsoft.com/blog/2026/04/02/introducing-the-agent-governance-toolkit-open-source-runtime-security-for-ai-agents/
• CERT-FR, Vulnérabilités et risques des produits d'automatisation par IA agentique sur les postes de travail (CERTFR-2026-ACT-016) : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-016/
• Cloud Security Alliance, The Agentic Trust Framework : https://cloudsecurityalliance.org/blog/2026/02/02/the-agentic-trust-framework-zero-trust-governance-for-ai-agents
• Pillsbury Law, NIST Launches AI Agent Standards Initiative : https://www.pillsburylaw.com/en/news-and-insights/nist-ai-agent-standards.html
• Gouvernement du Québec, Stratégie d'intégration de l'IA dans l'administration publique 2021-2026 : https://www.quebec.ca/gouvernement/politiques-orientations/strategie-integration-ia-administration-publique-2021-2026