Retour au blog
AI Automation2026-04-078 min read

IA avec humain dans la boucle — Les exigences du EU AI Act et du NIST qui régissent réellement les déploiements d'agents

Le Règlement européen sur l'intelligence artificielle et le NIST AI Risk Management Framework ne sont pas des suggestions. Il ne s'agit pas de bonnes pratiques que vous pouvez choisir d'ignorer en attendant d'avoir défini votre stratégie d'agents. Pour les entreprises déployant des agents d'IA, les deux cadres exigent désormais la même chose : une supervision humaine démontrable, formée, mesurable et vérifiable. Et pour les systèmes d'IA à haut risque, cette exigence entre en vigueur le 2 août 2026.

La plupart des entreprises qui considèrent la supervision humaine comme un simple choix de gouvernance sont déjà en infraction. Ce guide pratique détaille ce que les cadres réglementaires exigent réellement et comment architecturer une solution avant l'échéance du mois d'août.

Les trois cadres réglementaires — Règlement européen sur l'IA, NIST AI RMF et ISO/IEC 42001

Trois cadres réglementent la supervision de l'IA pour les entreprises en 2026. Ils diffèrent par leur origine et leur statut juridique, mais convergent vers la même exigence fondamentale.

Règlement européen sur l'intelligence artificielle : La plupart des dispositions entrent en vigueur le 2 août 2026. L'Article 14 exige une supervision humaine pour les systèmes d'IA à haut risque. Cette supervision doit être significative, efficace et intégrée au système — et non une révision a posteriori une fois l'agent déjà passé à l'action. Les catégories à haut risque incluent les décisions d'emploi, les décisions financières et de crédit, la gestion des infrastructures critiques et les applications des forces de l'ordre. Les sanctions pour non-conformité peuvent atteindre 3 % du chiffre d'affaires annuel mondial. Si vous servez des clients ou des employés européens, le Règlement s'applique indépendamment du lieu d'implantation de votre entreprise.

NIST AI RMF : Volontaire aux États-Unis, mais de plus en plus exigé par les contrats fédéraux et la réglementation des États. La fonction Govern précise que la supervision humaine des systèmes d'IA doit être maintenue par des mécanismes appropriés. Le mot clé est démontrable : vous devez pouvoir indiquer qui a supervisé quelles décisions, avec quelle autorité et quelles informations disponibles au moment décisif.

ISO/IEC 42001 : La première norme mondiale pour les systèmes de gestion de l'IA, publiée en 2023. La certification atteste de la maturité de la gouvernance de l'IA et s'aligne avec le NIST AI RMF sur les exigences de supervision.

Le point de convergence : les trois exigent une supervision humaine intégrée, non ajoutée. Pour les agents d'IA, cela signifie une architecture HITL — l'humain doit se trouver dans le chemin d'exécution avant les actions à haut risque, et non en révision afterward.

Ce que signifie réellement une supervision humaine démontrable pour les agents d'IA

La plupart des entreprises pensent que la supervision humaine signifie un responsable qui vérifie occasionnellement ce que l'agent a fait. Ce n'est pas ce qu'exigent les cadres réglementaires. Démontrable signifie quatre choses.

Humain identifié : Quelle personne spécifique a approuvé l'action ? Non pas « un humain » — mais un individu nommé avec une autorité documentée pour prendre cette décision.

Limité dans le temps : Dans quel délai a-t-il approuvé ? L'approbation doit avoir eu lieu avant l'action, et le temps écoulé doit être enregistré.

Justification défendable : Quelles informations cette personne avait-elle au moment de l'approbation ? Elle devait disposer d'un contexte suffisant pour prendre une décision éclairée — pas seulement la sortie de l'agent, mais aussi le raisonnement et les données pertinentes.

Piste d'audit : Chaque approbation, rejet et modification doit être consigné et récupérable. Si un régulateur demande ce qui s'est produit pour une action d'agent spécifique à une date spécifique, vous devez pouvoir le reconstituer.

Le mécanisme d'application est la gouvernance des identités. La gouvernance des identités lie les actions des agents d'IA aux politiques d'identité afin que l'agent ne puisse pas agir sans qu'une identité humaine soit attachée à l'autorisation. Elle met en pause l'exécution de l'agent jusqu'à ce qu'un humain nommé approuve. Elle route les demandes d'approbation vers la bonne personne autorisée en fonction du type d'action et de la politique organisationnelle. Elle applique des fenêtres de décision avec délai. Et elle enregistre chaque intervention à des fins d'audit.

Sans gouvernance des identités, vous avez une politique. Avec elle, vous avez une architecture conforme.

Les catégories à haut risque qui déclenchent le HITL obligatoire

Si vos agents d'IA concernent l'un de ces flux de travail, le HITL n'est pas facultatif. Il est légalement exigé par le Règlement européen sur l'intelligence artificielle.

Décisions relatives à l'emploi : Tri de CV, évaluation de candidats, évaluation des performances, recommandations de promotion.

Décisions financières : Scoring credit, underwriting de prêts, underwriting d'assurance, évaluation des risques.

Services essentiels : Accès à l'éducation, au logement, aux services publics.

Infrastructures critiques : Gestion du réseau énergétique, traitement des eaux, systèmes de transport.

Forces de l'ordre : Reconnaissance faciale, outils de police prédictive, analyse des preuves.

La liste pratique des déclencheurs HITL pour la plupart des entreprises : les agents qui envoient des communications au nom de l'entreprise, les agents qui modifient les dossiers des employés ou des clients, les agents qui approuvent ou rejettent des transactions financières, les agents qui traitent des données personnelles à grande échelle, et les agents dans les industries réglementées y compris la finance, la santé et le juridique.

Même si vous n'êtes pas dans l'UE : si vous servez des clients européens ou employez des résidents européens, le Règlement européen sur l'intelligence artificielle s'applique à ces interactions.

L'architecture de pile HITL

La construction d'un HITL conforme nécessite cinq composants d'infrastructure.

Couche d'identité : Votre fournisseur d'identité intégré à votre plateforme d'orchestration d'agents. L'agent ne peut pas agir sans une identité humaine vérifiée attachée à l'autorisation.

Moteur de politiques : Définit quelles actions d'agent nécessitent un HITL en fonction de la catégorisation des risques. Les actions à faible risque se poursuivent sans pause. Les risques moyens déclenchent une surveillance avec alerte. Les risques élevés déclenchent une pause complète avec approbation.

Routeur d'approbation : Route la demande vers le bon humain autorisé en fonction du type d'action, du département et de la politique d'identité.

Application des délais : Chaque demande d'approbation dispose d'une horloge SLA. Si l'humain ne répond pas dans le délai, la demande expire et l'agent escalade.

Journal d'audit : Enregistrement immuable de chaque approbation, rejet, modification et expiration. Capture l'identité de l'humain, l'horodatage, les informations disponibles et le résultat.

Ce que les auditeurs demanderont spécifiquement : l'identité de l'humain qui a approuvé chaque action à haut risque, les informations disponibles au moment de l'approbation, le temps écoulé entre la demande et l'approbation, et ce qui s'est passé lorsqu'un humain n'a pas répondu dans le délai imparti.

L'échéance de conformité d'août 2026

La plupart des dispositions du Règlement européen sur l'intelligence artificielle entrent en vigueur le 2 août 2026. Les sanctions s'appliquent à partir de cette date : jusqu'à 3 % du chiffre d'affaires annuel mondial pour les violations.

L'écart de conformité pour la plupart des entreprises est significatif. La plupart des organisations déployant des agents aujourd'hui n'ont pas d'architecture HITL. Elles disposent d'un certain processus de révision humaine qui ne satisferait pas à l'exigence de l'Article 14 selon laquelle la supervision doit être significative, efficace et intégrée au système.

Construire une architecture HITL après la mise en production des agents est plus difficile que de la construire avant. Les agents doivent être modifiés pour prendre en charge les flux de travail pause-et-approbation. Les politiques d'identité doivent être définies. Les humains autorisés doivent être désignés et formés. Faire cela en parallèle avec l'exploitation d'agents en production crée un risque opérationnel.

La construction de conformité en trois étapes :

Premièrement, dressez l'inventaire de vos agents. Lesquels concernent des flux de travail à haut risque ? Cet inventaire devient votre feuille de route de mise en œuvre du HITL.

Deuxièmement, désignez les humains autorisés. Quels humains peuvent approuver quelles actions ? C'est une question de conception organisationnelle, pas une question informatique.

Troisièmement, construisez l'infrastructure HITL. Liaison d'identité, routage d'approbation, limitation temporelle, journalisation d'audit. L'infrastructure doit être en place avant l'échéance d'août.

Commencez par l'inventaire. Si vous avez des agents d'IA en production et que vous n'avez pas d'architecture de conformité HITL, il vous reste environ quatre mois.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.