La ressource stratégique de l'ère agentique n'est ni le modèle ni la donnée, c'est la capacité institutionnelle de déclarer, d'arbitrer et de rendre contraignants les invariants qui jugent les trajectoires.
Un patient suivi pour une affection de longue durée cumule des signaux faibles : un retard de réponse à une relance, une baisse d’observance documentée, un score biologique en zone grise. Aucun ne franchit, isolé, le seuil d’alerte. Six maillons s’enchaînent ensuite, tous autorisés, tracés, conformes. Un agent de qualification regroupe les dossiers, un agent de relance écrit au patient, son silence devient un signal, un agent de score le requalifie en risque de déshérence, une routine d’archivage le bascule hors file active, et le clinicien référent ne le voit plus. Résultat composé : le patient quitte le suivi sans qu’aucun acteur n’ait décidé de l’en sortir.
Le problème n’est pas qu’un agent ait déraillé. C’est que personne n’a déraillé et que le résultat est inacceptable. Imputer une responsabilité quand de nombreuses mains concourent à un résultat sans qu’aucune ne le décide est le problème des mains multiples, que Nissenbaum plaçait déjà en tête des barrières à la reddition de comptes dans les systèmes informatisés (Nissenbaum, 1996, après Thompson, 1980). Ce qui est neuf, c’est que la liste des mains n’est plus connue d’avance. Changez le décor pour un compte bancaire gelé à tort, une chaîne logistique, un refus d’indemnisation : la structure tient, seul le coût varie.
Le récit dominant parle de Shadow AI : outils non approuvés, données injectées dans un modèle public. Le problème est réel mais visible, et un catalogue, une politique d’accès et un peu de discipline en réduisent l’essentiel. Le problème de cette note commence là où celui du Shadow AI s’arrête, quand tous les acteurs sont légitimes et que la causalité de l’ensemble ne se reconstruit plus. La distinction est de niveau : le Shadow AI est un problème d’autorité non déclarée ; les trajectoires composées sont un problème de causalité distribuée.
Quatre lectures concurrentes raisonnent au maillon et manquent l’objet. Gouverner par catalogue laisse passer des trajectoires que personne n’a évaluées. Étendre le Zero Trust à l’IA est la plus sérieuse à écarter, car juste dans son registre : il gouverne les accès transaction par transaction (NIST SP 800-207), il ne reconstruit pas la causalité d’une composition et ne connaît qu’un geste, autoriser ou refuser. Invoquer une défaillance de management est vague. Parler de consumérisation de l’IT sous-estime ce que l’agentique ajoute, la compositionalité. Si l’on contourne malgré le catalogue, c’est que le risque perçu d’une trajectoire composée n’est calculable par aucun acteur depuis sa position locale : le demander à l’utilisateur, c’est lui déléguer un calcul impossible.
L’agent IA n’est pas une catégorie d’acteur inédite, et la querelle ontologique se perd sans qu’on ait besoin de la gagner. Ce qui est nouveau n’est pas l’objet, c’est le régime de délégation. Les trois acteurs classiques relèvent d’une délégation statique : un humain répond, une application est versionnée sous contrat, un service est borné par son API, la portée déléguée est fixée d’avance et tracée jusqu’à un responsable. L’agentique introduit une délégation dynamique : la portée de l’acte se compose à l’exécution, l’agent enchaîne ses décisions, en invoque d’autres, et la chaîne qui relierait chaque décision à une responsabilité humaine se reconstitue mal, parfois plus du tout.
L’objection de la sûreté est connue et juste : des politiques saines composant un résultat fautif portent des noms anciens, accident normal (Perrow, 1984), accident organisationnel (Reason, 1997), perte de contrôle au sens de STAMP (Leveson, 2011). La parenté est réelle mais déplace le problème. Dans une centrale, le système subit une émergence : des composants figés produisent par leur couplage un état non prévu. Dans une architecture agentique, le système fabrique lui-même des compositions absentes de son plan. Les systèmes complexes classiques produisent des états émergents ; les systèmes agentiques produisent des trajectoires émergentes. C’est le responsibility gap de Matthias (2004), propre aux automates dont le comportement n’est plus prévisible par leur opérateur.
Une trajectoire d’exécution composée est un ensemble ordonné d’actes reliés par dépendance causale et convergeant vers un résultat opposable à un tiers. Chaque maillon, isolé, satisfait un contrôle existant ; c’est leur composition qui produit le résultat que la somme des contrôles n’avait pas prévu. L’erreur à ne pas commettre est de confondre ordonner et imputer. Reconstruire, c’est produire trois couches, et non la seule première. La relation d’antériorité de Lamport (1978) donne un ordre partiel de possibilité, B a pu dépendre de A : nécessaire, car on n’impute pas le long d’une chaîne qu’on ne sait pas ordonner, mais elle n’impute rien. Le modèle structurel de Halpern et Pearl (2005) donne la cause effective, testable par intervention : le silence devenu signal est cause réelle de la requalification si, maintenu fixe, il change l’issue. L’imputation à une responsabilité humaine nommée est une troisième question, normative, qui suppose un devoir et une prévisibilité, et relève de la causalité juridique (Hart et Honoré, 1985).
Le maillon se gouverne par l’autorisation ; la trajectoire se gouverne par la reconstruction. Aveu de méthode, sous peine de surpromesse : aucune de ces couches n’est lue, toutes sont reconstruites, et le modèle causal est relatif au choix des variables, donc disputable. Cela ne rend pas la causalité incontestable ; cela la rend disputable dans des termes définis, ce qui est tout ce qu’une note doctrinale peut promettre.
Une trajectoire inexplicable n’a pas de prix tant qu’elle ne croise pas un tiers ; le jour où elle en croise un, le prix se révèle, au pire moment. Un incident dont la chaîne ne se reconstruit pas mobilise pour des semaines le juridique, la technique et le métier sans garantie d’aboutir : le coût n’est pas l’incident, c’est l’enquête sans terme. En contentieux, l’organisation qui ne peut reconstruire sa propre trajectoire voit la charge de la preuve se retourner contre elle ; une inspection se solde par une réserve dès que la traçabilité manque. Le coût d’une trajectoire inexplicable n’est pas le produit d’une probabilité par une gravité : c’est un passif ouvert, sans borne connue, que l’organisation ne peut chiffrer faute de pouvoir reconstruire. Un passif qu’on ne sait pas valoriser, on ne sait pas le provisionner, et ce qu’on ne provisionne pas, on le découvre quand il devient exigible. C’est la métrique qui fait passer le sujet du séminaire d’architecture au comité d’audit.
Toute émergence n’est pas suspecte. Une composition émergente peut être créatrice ou fautive, et sans critère on tue l’utile en croyant supprimer le nuisible. Deux axes les séparent. L’opposabilité : une composition est opposable si sa causalité se reconstruit complète et dans le délai applicable ; cet axe est endogène, l’organisation le mesure seule. L’alignement aux invariants déclarés : un invariant n’est pas un synonyme savant de règle, c’est un prédicat exprimé dans une logique temporelle sur les événements et états de la trajectoire, évalué par un moniteur d’exécution. L’invariant déclaré est la spécification, le moniteur compilé est son exécution, et c’est ce pont qui le distingue d’un principe. La plupart des invariants désirables sont des propriétés de sûreté surveillées sur des préfixes d’exécution (Alpern et Schneider, 1985) ; mais l’invariant décisif du cas d’ouverture est une réponse bornée, dont la violation est la non-occurrence d’un événement requis avant une échéance et ne se détecte que par un minuteur actif, jamais par un journal. Voilà la raison formelle, et non plus narrative, de l’aveuglement de l’event sourcing au silence.
Quatre quadrants en résultent. Q1, alignée et opposable, composition créatrice et gouvernable, cible à faire croître. Q2, alignée mais non opposable, zone de non-certification à ré-instrumenter. Q3, non alignée mais opposable, fautive et identifiée, on sanctionne et on corrige la politique. Q4, ni alignée ni opposable, le pire cas, et toute architecture qui le rend possible doit être tenue pour défaillante par conception.
Lus comme des parts, ces quadrants sont une photographie, et une trajectoire se déplace. La grille se gouverne comme un flux : Q2 migre vers Q1 par instrumentation, Q3 vers Q1 par correction de politique, Q4 doit s’éteindre. Les vraies métriques sont trois vitesses : la vitesse d’absorption de Q2 vers Q1, la vitesse de correction de Q3 vers Q1, le temps moyen de séjour en Q4. Trois manœuvres en découlent. Instituer la trajectoire comme objet de politique distinct de la transaction, avec un identifiant, un propriétaire, un cycle de vie. Instrumenter la reconstruction de causalité comme primitive technique et non seulement comme exigence légale, car une exigence juridique non instrumentée n’est pas une garantie, c’est une exposition. Renverser enfin la logique répressive : augmenter Q1 et ramener Q4 à zéro plutôt que réduire le volume d’émergences. La métaphore n’est pas la Reine Rouge mais la niche vacante : l’IA générative occupe des fonctions qu’aucun contrôle n’avait peuplées, plus vite que les contrôles ne savent les instrumenter. Le geste est de substituer avant de rediriger, en remplaçant la trajectoire improvisée par un workflow durci équivalent, à la manière de l’AI Workflow Store proposé par Geambasu et al. (arXiv 2605.10907 v2, 12 mai 2026), cité comme horizon de recherche et non comme infrastructure en rayon.
Le quadrant suppose des invariants déclarés, et quelqu’un doit les déclarer. Écrire l’invariant n’est pas la difficulté : les prédicats s’écrivent en une ligne, n’importe quel architecte les produirait en une après-midi. La difficulté est de désigner celui dont la formulation fait loi. Le même invariant, « aucune clôture de compte ne résulte du seul signal d’absence », protège le client s’il est écrit par le régulateur, protège la banque s’il est écrit par son comité des risques, et n’engage personne s’il est écrit par l’éditeur du modèle dans ses conditions d’usage. Le texte est identique ; l’autorité qui le pose change tout. Cinq prétendants, cinq légitimités réelles, et aucune instance pour trancher.
Il faut résister à la facilité géométrique qui ferait de la légitimité un troisième axe. Ce serait une faute de théorie : l’opposabilité et l’alignement jugent une trajectoire, la légitimité juge l’autorité qui a écrit l’axe d’alignement. Ce n’est pas une dimension de plus dans le même espace, c’est une question sur l’origine d’un des axes. Et même « qui tient le stylo » n’est pas la question terminale. Les organisations savent produire des règles ; ce qui manque, c’est l’arbitrage quand elles se contredisent et l’autorité de les réviser quand le terrain les dément. La ressource stratégique n’est ni la propriété des modèles, ni celle des données, ni même le droit de tracer : c’est la capacité institutionnelle de déclarer, d’arbitrer et de réviser les invariants au regard desquels toute trajectoire sera jugée.
La souveraineté sur les invariants se dédouble. Il y a la souveraineté de droit, le droit reconnu de déclarer et de réviser la règle, et la souveraineté de fait, le pouvoir effectif de la rendre contraignante. Les deux ne logent pas toujours chez le même. L’invariant « aucun patient ne sort du suivi actif sans validation tracée » a beau être écrit par une autorité légitime, il ne vaut que ce que vaut le moniteur qui l’exécute, et ce moniteur tourne sur l’infrastructure de l’éditeur du dossier patient, pas sur celle du régulateur. Déclarer l’invariant est un droit ; l’imposer est un pouvoir. La force d’une règle ne passe pas par le moment où elle est écrite, mais par les points de contrôle où elle devient effective, l’implémentation, le prix, l’usage, ce que Lessig nommait d’un trait, le code fait loi (Lessig, 1999). La capture du pouvoir normatif est le moment où la souveraineté de fait migre loin de la souveraineté de droit, où l’invariant qui s’applique réellement n’est plus celui qu’une autorité légitime a choisi, mais celui que l’implémenteur encode, que l’assureur tarife, ou que le modèle dominant rend seul praticable.
Cette note lit le droit, elle ne l’écrit pas : l’AI Act pose l’exigence des chaînes de responsabilité entre fournisseurs et déployeurs (article 25 notamment) sans en livrer la traduction opératoire pour des systèmes agentiques composés. La thèse est falsifiable. Si une organisation correctement instrumentée détecte et corrige ses compositions problématiques dans le délai d’obligation qui la contraint, avec un taux d’incident de trajectoire sous le pour cent par mois, alors cette note reformule un savoir disponible et elle a tort. Le protocole de réfutation est explicite : prendre N trajectoires agentiques réelles, mesurer pour chacune si la chaîne se reconstruit complète et dans le délai applicable, avec puis sans l’instrumentation décrite, et comparer. Tant que ce protocole n’est pas couru, la dispute reste doctrinale. La gouvernance des trajectoires n’est pas l’ennemie de l’innovation agentique : elle en est la condition de durabilité.
Notes doctrinales et explorations sur l’IA en systèmes régulés. Une à deux fois par mois. Désabonnement en un clic.