Aujourd'hui, les agents IA agissent. Ils prennent des rendez-vous, traitent des dossiers, déclenchent des paiements, génèrent du contenu publié. Et sur chacune de ces actions, on trouve, quelque part, un journal d'audit. Une trace.

Cette trace dit ce qui s'est passé. Elle dit rarement ce qui était autorisé.

La distinction paraît subtile. Elle ne l'est pas. En cas d'incident, la trace permet de reconstituer l'histoire d'une décision après coup. Elle ne permet pas de démontrer que la décision était bornée à l'avance par un cadre lisible. Et un cadre qu'on reconstruit après l'incident n'est pas un cadre. C'est un récit.

Le glissement classique des systèmes de confiance

L'histoire de la confiance numérique a déjà fait ce chemin plusieurs fois. On commence par observer, on finit par contraindre.

Pour le chiffrement, on n'a pas commencé par interdire HTTP. On a commencé par enregistrer le trafic, par regretter qu'il soit en clair, puis par exiger HTTPS partout. Aujourd'hui un navigateur prévient l'utilisateur quand un site n'est pas chiffré. Le système refuse l'absence de garantie.

Pour les paiements en ligne, on n'a pas commencé par exiger l'authentification forte. On a commencé par enregistrer les fraudes, par essayer de les détecter, puis par imposer la DSP2 et le 3D Secure. Aujourd'hui, sans authentification forte, le paiement ne passe pas. Le système refuse l'absence de mandat.

Pour les agents IA, le même chemin s'amorce. On a commencé par enregistrer leurs actions. Les frameworks proposent tous des logs structurés, des chaînes d'événements, parfois des signatures. Mais aucune de ces traces ne dit, avant l'action, ce que l'agent avait le droit de faire.

Une trace dit ce qui s'est passé. Un mandat dit ce qui était autorisé. Ce n'est pas la même chose.

Ce que change un registre de mandats

Un mandat décrit, en amont d'une action, ce qu'un agent a le droit de faire. Pour quel mandant. Avec quel périmètre. Sous quelles limites chiffrées. Pendant quelle durée. Avec quels seuils de supervision humaine. Sur quelle base légale.

Un registre de mandats stocke ces engagements de manière vérifiable. Chaîne SHA-256, signatures cryptographiques, accès en lecture par des tiers — l'organisation ne contrôle pas seule la preuve qu'elle invoquera plus tard.

Mais un registre seul ne change rien si les agents peuvent l'ignorer. C'est le piège classique des systèmes optionnels : on les invoque quand ça arrange, on les oublie quand ça gêne. Et au bout de quelques semaines, le registre devient une feuille de papier sans serrure.

L'autorisation prospective au sens fort intervient à ce moment précis. Elle exige que l'action elle-même soit conditionnée à la vérification du mandat. Pas une recommandation. Une condition technique.

Concrètement, dans AMR, ça ressemble à ceci. Avant d'agir, l'agent demande un jeton d'action signé. Le système n'émet ce jeton que si un mandat actif autorise précisément l'action demandée, dans son périmètre, dans sa durée, sous ses conditions. Pas de mandat valide, pas de jeton. Pas de jeton, pas d'action.

Ce n'est pas un panneau d'interdiction. C'est un verrou. La différence est structurelle.

L'analogie qui m'a poussé à construire ça

Je suis médecin. Quand un patient arrive à la pharmacie pour un médicament soumis à prescription, le pharmacien ne se demande pas s'il faut vérifier l'ordonnance. Il ne peut pas dispenser sans elle. Le système est conçu pour que l'absence d'ordonnance bloque l'acte, pas pour qu'on puisse le reconstituer après.

Et personne ne trouve ça oppressif. C'est exactement ce qui rend le système fiable, pour le patient comme pour le pharmacien. L'ordonnance protège tout le monde. Y compris l'agent qui exécute.

L'autorisation prospective, dans le monde des agents IA, joue le même rôle. Elle ne ralentit pas l'agent. Elle le borne. Et quand l'agent tombe sur une action hors périmètre, il ne tombe pas dans le néant : il escalade, il demande, il est arrêté proprement. Sans drame, sans incident.

Ce que ça implique en pratique

Pour un compliance officer, la conséquence concrète est qu'il ne reconstruit plus une décision après incident. Il vérifie en amont si la décision pouvait être prise, en lisant le mandat. Et l'audit interne devient une lecture du registre, pas une fouille des logs d'exécution.

Pour un régulateur, la conséquence concrète est qu'il ne demande plus seulement "que s'est-il passé". Il peut demander "qu'aviez-vous autorisé". La preuve change de nature. Elle devient opposable avant l'événement.

Pour une personne touchée par une décision d'agent — un candidat écarté, un client refusé, un patient mal aiguillé — la conséquence concrète est qu'elle ne dépend plus exclusivement du fournisseur qui détient les logs. Elle peut interroger un registre tiers, vérifier la chaîne, contester un mandat qui n'aurait pas dû couvrir son cas.

L'autorisation prospective n'est pas une feature de plus. C'est ce qui fait la différence entre un système qui peut être audité et un système qui peut être contesté.

Le timing

Le règlement européen sur l'intelligence artificielle entre en application sur les systèmes à haut risque le 2 août 2026. Le paquet dit Digital Omnibus est en discussion à l'heure où j'écris ces lignes, et un report partiel jusqu'au 2 décembre 2027 est envisagé pour certains points de l'Annexe III. Les trilogues ne sont pas conclus.

Personne ne sait, aujourd'hui, lequel des deux scénarios sera retenu. Mais dans les deux cas, l'obligation de supervision humaine effective de l'article 14 et les obligations du déployeur de l'article 26 restent. La question, pour les organisations qui déploient des agents, est de savoir si elles seront prêtes à démontrer ce qui était autorisé, pas seulement à reconstituer ce qui s'est passé.

AMR essaye de répondre à cette question. C'est open source, MIT, et le verrou Tier 1 est en production depuis le 23 avril 2026.

Audric Bugnard — médecin à Aix-les-Bains. Je construis mandatia.eu le soir, après les consultations.