Agents IA : comment éviter la perte de contrôle totale

18 mai 2026

Le problème n'est pas l'IA. C'est l'absence de registre.

DaVita Kidney Care compte 10 000 agents créés par ses employés. Chez FICO, des dizaines apparaissent quotidiennement. Ben & Jerry's découvre des doublons. Lyft tente de reprendre la main. Ces cas, rapportés par le Wall Street Journal, illustrent une réalité qui dépasse les Fortune 500.

Au Québec, la dynamique est identique, à une échelle différente. Une PME de Laval avec 50 employés peut facilement se retrouver avec 30 agents IA non répertoriés en quelques mois. Un OBNL montréalais qui adopte Microsoft Copilot voit ses équipes créer des assistants personnalisés sans coordination. Le phénomène est démocratique : il touche autant le cabinet comptable de Trois-Rivières que l'institution financière du centre-ville.

Pourquoi ça prolifère aussi vite

La création d'un agent IA prend moins de cinq minutes. ChatGPT, Claude, Copilot : tous permettent de configurer un assistant spécialisé en quelques clics. Aucune compétence technique requise. Aucune approbation nécessaire.

Cette facilité génère trois problèmes simultanés :

  • Doublons fonctionnels : trois départements créent chacun leur agent de rédaction de courriels, avec des instructions contradictoires.
  • Orphelins numériques : un employé quitte l'organisation, son agent reste actif avec ses accès.
  • Fuites de données : des agents configurés avec des informations confidentielles, accessibles à des collègues non autorisés.

Selon Gartner, seulement 13 % des organisations estiment avoir une gouvernance suffisante de leurs agents IA. Les 87 % restants naviguent à l'aveugle.

Bloquer ne fonctionne pas

La tentation est forte d'interdire. Certaines organisations québécoises ont tenté cette approche au début de 2023 avec ChatGPT. Résultat : les employés ont utilisé leurs téléphones personnels. Le shadow AI — l'utilisation d'outils IA non sanctionnés — représente un risque supérieur à l'adoption encadrée.

Les données sensibles se retrouvent dans des systèmes hors du contrôle de l'organisation. Les pratiques varient d'un employé à l'autre. La traçabilité disparaît complètement.

Ce que la gouvernance agentique implique concrètement

Une politique de gouvernance IA qui ignore la dimension agentique sera dépassée dès sa publication. Voici les composantes minimales pour une organisation québécoise qui veut garder le contrôle.

1. Inventaire centralisé

Impossible de gouverner ce qu'on ne voit pas. L'inventaire doit répondre à quatre questions pour chaque agent :

  • Qui l'a créé ?
  • Quelle est sa fonction ?
  • À quelles données a-t-il accès ?
  • Qui peut l'utiliser ?

Pour une PME du Grand Montréal, un simple tableau partagé peut suffire au départ. L'important est d'établir l'habitude de déclaration avant que le volume ne rende l'exercice impossible.

2. Politique de création claire

Définir qui peut créer des agents, dans quel contexte, et avec quelles limites. Quelques balises pratiques :

  • Les agents à usage personnel (non partagés) peuvent être créés librement, mais doivent être déclarés.
  • Les agents partagés avec une équipe nécessitent une validation du gestionnaire.
  • Les agents avec accès à des données clients ou financières passent par les TI.

Ces règles doivent être proportionnées à la taille de l'organisation. Un OBNL de 15 personnes n'a pas besoin du même processus qu'une institution avec 500 employés.

3. Imputabilité assignée

Chaque agent doit avoir un responsable identifié. Cette personne répond de :

  • La pertinence continue de l'agent
  • La mise à jour de ses instructions
  • La révision périodique de ses accès
  • Sa désactivation si nécessaire

Sans imputabilité claire, les agents deviennent des actifs fantômes qui consomment des ressources et accumulent des risques.

4. Gestion des accès

Un agent hérite souvent des permissions de son créateur. Si un directeur configure un assistant avec accès à des dossiers RH, puis le partage avec son équipe, ces permissions suivent. La gestion des accès doit être explicite, pas implicite.

5. Surveillance des anomalies

Certains signaux méritent attention :

  • Un agent qui génère un volume inhabituel de requêtes
  • Des accès à des heures atypiques
  • Des tentatives d'accès à des ressources non autorisées

Les outils de surveillance varient selon les plateformes utilisées. Microsoft Purview offre des capacités natives pour l'écosystème Copilot. D'autres environnements nécessitent des solutions tierces.

L'expérimentation reste nécessaire

La gouvernance ne doit pas étouffer l'apprentissage. Les agents personnalisés représentent un terrain d'expérimentation précieux pour comprendre les capacités et limites de l'IA générative.

La nuance tient dans le partage. Expérimenter seul comporte peu de risques. Partager un agent sans cadre, c'est multiplier les points de vulnérabilité.

Pour les organisations québécoises qui débutent leur parcours IA, la recommandation est simple : encourager l'expérimentation individuelle, encadrer le partage, documenter les apprentissages.

Préparer 2028 dès maintenant

La projection de Gartner — 150 000 agents par grande entreprise — peut sembler lointaine. Elle ne l'est pas. La croissance est exponentielle, pas linéaire.

Une PME québécoise qui met en place sa gouvernance agentique aujourd'hui disposera d'un avantage structurel. Les processus seront rodés. Les habitudes seront établies. L'inventaire sera à jour.

Celles qui attendent devront rattraper un retard qui se mesure en milliers d'agents non documentés, en risques accumulés, en coûts cachés.

La question n'est plus de savoir si les agents IA vont proliférer dans votre organisation. Ils le font déjà. La question est de savoir si vous saurez lesquels, pourquoi, et qui en répond.

Passez de la réflexion à l'action

Nos services visent à vous donner les clés pour agir. Découvrez comment nous pouvons accompagner votre organisation :

Questions fréquemment posées

Qu'est-ce qu'un agent IA orphelin et pourquoi est-ce problématique pour mon organisation?

Un agent IA orphelin est un assistant automatisé qui reste actif après le départ de l'employé qui l'a créé, conservant souvent ses accès aux données. C'est problématique parce que ces agents peuvent continuer à fonctionner sans supervision, avec des permissions qui ne correspondent plus à la réalité de votre organisation. Cela représente un risque de sécurité et de fuite de données confidentielles.

Comment savoir combien d'agents IA ont été créés dans mon entreprise québécoise?

La première étape est de réaliser un inventaire en interrogeant chaque département sur les assistants IA utilisés. Pour une PME, un simple tableau partagé peut suffire, documentant qui a créé chaque agent, sa fonction, ses accès aux données et ses utilisateurs autorisés. L'important est d'établir cette habitude de déclaration avant que le volume ne devienne ingérable.

Pourquoi interdire l'utilisation de ChatGPT ou autres outils IA ne fonctionne pas?

L'interdiction pousse les employés vers le shadow AI, c'est-à-dire l'utilisation d'outils IA sur leurs appareils personnels, hors du contrôle de l'organisation. Les données sensibles se retrouvent alors dans des systèmes non sécurisés, la traçabilité disparaît et les pratiques varient d'une personne à l'autre. L'encadrement est toujours préférable à l'interdiction.

Quelles sont les composantes essentielles d'une politique de gouvernance des agents IA?

Une politique efficace comprend minimalement un inventaire centralisé de tous les agents, une politique claire définissant qui peut en créer et dans quelles conditions, ainsi que des balises sur les accès aux données. Il faut aussi prévoir un processus de révision périodique et des règles concernant les agents partagés versus personnels.

Ma PME de 50 employés a-t-elle vraiment besoin d'une gouvernance des agents IA?

Absolument. Une PME québécoise de 50 employés peut facilement accumuler 30 agents IA non répertoriés en quelques mois. La création d'un agent prend moins de cinq minutes et ne requiert aucune compétence technique, ce qui favorise la prolifération rapide. Mieux vaut établir des règles simples maintenant que de gérer une situation chaotique plus tard.

Quels sont les trois principaux risques liés à la prolifération non contrôlée des agents IA?

Les trois risques majeurs sont les doublons fonctionnels où plusieurs départements créent des agents similaires avec des instructions contradictoires, les agents orphelins qui restent actifs après le départ d'employés, et les fuites de données lorsque des agents configurés avec des informations confidentielles deviennent accessibles à des personnes non autorisées.

Gemini Spark : quand l'IA travaille pendant qu'on dort

Gemini Spark : quand l'IA travaille pendant qu'on dort

par Extensio.ai 20 mai 2026
Google lance Gemini Spark, un agent IA qui travaille 24/7 dans le cloud. Analyse des implications pour les PME québécoises et enjeux de confidentialité.
La qualité linguistique des LLMs détermine l'adoption de l'IA

La qualité linguistique des LLMs détermine l'adoption de l'IA

par Extensio.ai 14 mai 2026
Le Japon a bondi de 8 rangs en adoption IA grâce à la qualité linguistique des LLMs. Le Québec investit 750 000 $ pour adapter l'IA au français d'ici.
Vos conversations avec l'IA révèlent votre personnalité

Vos conversations avec l'IA révèlent votre personnalité

par Extensio.ai 13 mai 2026
Une étude démontre que l'IA peut déduire votre personnalité via vos conversations. Quels enjeux pour les PME québécoises qui déploient ces outils?