Agents IA autonomes : les DSI européens cherchent leur propre chemin

Agents IA autonomes : les DSI européens cherchent leur propre chemin

Pendant des mois, l'agent IA autonome a été vendu comme la prochaine révolution de la productivité. Un assistant qui prend des décisions, orchestre des tâches, interagit avec vos systèmes sans intervention humaine. Le rêve. Sauf que, dans la pratique, la question qui revient le plus souvent dans les comités IT n'est pas « est-ce que ça marche ? » — ça marche, globalement — mais « à qui appartient ce qui se passe dans ma boîte quand c'est l'agent qui décide ? »

C'est là que les choses deviennent intéressantes, et compliquées.

Ce qui s'est vraiment passé ces douze derniers mois

L'année 2025 a marqué un tournant dans la maturité des agents IA. On n'est plus dans le stade du prototype ou du cas d'usage isolé. Les principales plateformes américaines — Microsoft avec Copilot Studio, Salesforce avec Agentforce, ServiceNow avec sa couche agentique — ont généralisé des frameworks permettant de déployer des agents capables d'agir sur des systèmes tiers, de chaîner des décisions et d'interagir avec des API d'entreprise.

Sur le papier, c'est une avancée considérable. Dans les faits, ça a surtout mis en lumière une réalité que beaucoup de DSI avaient préféré ne pas regarder en face : en adoptant ces plateformes, vous ne déployez pas seulement un outil. Vous construisez une dépendance opérationnelle à un modèle de gouvernance que vous ne contrôlez pas.

Les agents autonomes ne se contentent plus de traiter de l'information. Ils accèdent à vos données, prennent des actions sur vos systèmes, et le font à une cadence et une granularité que les humains ne peuvent plus superviser en temps réel. Le périmètre de la confiance s'est déplacé, et personne ne vous a vraiment demandé votre avis sur où placer la frontière.

Le problème n'est pas la technologie. C'est la gouvernance.

Soyons précis sur ce que « dépendance » signifie concrètement ici, parce que le mot est souvent utilisé de façon trop vague.

Première dimension : la dépendance aux modèles. La plupart des plateformes agentiques américaines s'appuient sur leurs propres LLM ou sur ceux d'OpenAI. Vous n'avez pas de visibilité réelle sur les évolutions de ces modèles, leurs biais, leurs changements de comportement d'une version à l'autre. Quand votre agent commence à prendre des décisions différentes sans que vous ayez changé quoi que ce soit, la traçabilité devient un vrai problème.

Deuxième dimension : la dépendance aux règles d'usage. Les conditions d'utilisation de ces plateformes évoluent. Ce qui était acceptable hier peut ne plus l'être demain. Et si votre agent est profondément intégré à vos flux métier, le coût du désengagement devient prohibitif. C'est exactement le scénario que redoutent les directions juridiques de plusieurs ETI européennes avec lesquelles des confrères ont pu échanger cette année.

Troisième dimension : la dépendance à l'infrastructure. Quand vos agents tournent sur des clouds dont les serveurs sont hors d'Europe, ou sur des architectures où le traitement des données est opaque, vous avez un problème RGPD latent. Pas théorique — latent. Il attend juste le bon incident ou le bon contrôleur de données.

Ce qui est nouveau en 2026, c'est que ces trois dimensions se combinent dans un seul et même objet : l'agent autonome. Et ça crée une exposition que la plupart des analyses de risque IT traditionnelles ne savent pas encore bien qualifier.

Ce que les DSI qui avancent bien ont compris

Il ne s'agit pas de rejeter les agents autonomes. Ce serait aussi absurde que de refuser d'utiliser un ERP parce qu'on ne maîtrise pas son code source. La question est ailleurs : sur quelles couches de votre architecture acceptez-vous de perdre le contrôle, et sur lesquelles c'est non-négociable ?

Certaines organisations commencent à opérer une distinction claire entre ce qu'on pourrait appeler les agents « périphériques » — qui traitent de l'information peu sensible, optimisent des flux non-critiques, génèrent du contenu — et les agents « décisionnels » — qui touchent aux données clients, aux processus RH, aux flux financiers, aux choix d'achat. Pour les premiers, la tolérance à la dépendance externe peut être raisonnée. Pour les seconds, le niveau d'exigence en matière de traçabilité, de contrôle et de réversibilité doit être radicalement différent.

C'est une grille de lecture simple, mais elle force à des conversations utiles en interne. Notamment avec les métiers, qui ont souvent tendance à vouloir « tout en agent » sans mesurer ce que ça implique côté gouvernance.

Du côté de l'écosystème européen, des acteurs ont commencé à proposer des alternatives crédibles sur certains segments. Mistral AI, dont les modèles peuvent être déployés on-premise ou dans des environnements cloud souverains, permet de construire des agents dont la couche d'inférence reste sous contrôle européen. Ce n'est pas une solution magique — la qualité des modèles sur des tâches très spécialisées peut varier, et l'écosystème d'outils autour reste moins mature — mais ça change fondamentalement la donne sur la question de la gouvernance des données. Vous savez où tourne le modèle, vous savez qui y accède.

Dans un registre différent, des frameworks open source comme LangChain ou LlamaIndex, combinés à des infrastructures souveraines, permettent de construire des couches d'orchestration agentique que vous opérez vous-mêmes. L'effort est plus important. La maîtrise, en contrepartie, est réelle. Plusieurs équipes IT d'ETI françaises et allemandes ont commencé à produire leurs premiers agents « maison » en 2025, avec des résultats opérationnels sur des cas d'usage ciblés — traitement de documents contractuels, qualification automatisée de tickets de support, analyse de données de maintenance prédictive.

Ce n'est pas à la portée de toutes les équipes, et ça nécessite un investissement en compétences que toutes les DSI n'ont pas. Mais cela montre que l'autonomie technologique n'est pas qu'un discours politique — c'est un choix d'architecture faisable, avec ses contraintes et ses avantages.

Les questions que vous devriez vous poser maintenant

Si vous êtes DSI ou CTO d'une PME ou ETI européenne, et que vous êtes en train de cadrer votre stratégie agentique pour les prochains mois, voici les questions qui méritent d'être posées franchement, pas dans une réunion de vente avec un éditeur.

Où se trouve le journal de bord de vos agents ? Quand un agent prend une décision ou initie une action sur vos systèmes, pouvez-vous retrouver, six mois plus tard, le contexte exact qui a mené à cette décision ? Si la réponse est « pas vraiment », vous avez un problème d'auditabilité qui va finir par vous rattraper — réglementairement ou opérationnellement.

Quelle est votre stratégie de sortie ? Si demain l'éditeur de votre plateforme agentique change ses tarifs, ses conditions ou cesse d'exister, combien de temps et d'argent faudrait-il pour migrer ? Cette question, que peu de DSI se posent au moment de l'adoption, est pourtant centrale. Les agents qui s'intègrent profondément dans vos flux créent une adhérence technique et organisationnelle difficile à démêler.

Vos équipes métier savent-elles ce que font les agents ? L'autonomie croissante des agents crée un paradoxe : plus ils sont efficaces, moins les utilisateurs comprennent ce qui se passe réellement. C'est confortable à court terme, et dangereux à moyen terme. La question de la « literacy agentique » dans les équipes — savoir poser les bonnes questions sur ce que fait un agent et pourquoi — est un sujet managérial autant que technique.

Avez-vous impliqué votre DPO dès le début ? Pas pour bloquer le projet. Pour cartographier les flux de données que vos agents vont créer, et s'assurer que vous restez dans une posture défendable vis-à-vis du RGPD. Sur ce point, beaucoup d'organisations ont avancé vite en espérant régulariser après. C'est rarement une bonne stratégie.

Une souveraineté pragmatique, pas idéologique

L'indépendance technologique totale est une fiction. Aucune DSI européenne, aussi ambitieuse soit-elle, ne va réécrire ses modèles de fondation ou reconcevoir ses infrastructures de zéro. Ce n'est pas le sujet.

Ce qui est en jeu, c'est quelque chose de plus précis : la capacité à garder la main sur les décisions qui comptent vraiment pour votre activité, et à maintenir une posture de négociation crédible face à vos fournisseurs. Un DSI qui a construit son architecture de telle sorte qu'il ne peut plus changer de plateforme sans tout refaire a perdu cette capacité de négociation. Et dans un marché où les consolidations s'accélèrent et où les éditeurs recalibreront inévitablement leur pricing à mesure que la dépendance des clients augmente, c'est une position fragile.

La vraie question pour 2026 et au-delà n'est pas « agents américains ou agents européens ? ». C'est : « quelle architecture me permet de bénéficier de la puissance de ces outils tout en préservant ma capacité à décider demain matin de changer de direction ? »

Certains DSI ont déjà une réponse claire. Beaucoup n'en sont encore qu'aux premières questions. Mais poser les bonnes questions, c'est déjà un choix stratégique — et probablement le plus important à faire maintenant, avant que les intégrations soient trop profondes pour être remises en cause sans douleur.

*Cet article fait partie de la série RiffLab sur les enjeux IT de 2026. Vos retours d'expérience et contre-arguments sont les bienvenus.*