Comment contrôler une IA avant qu’elle n’agisse seule ?
Des agents d’intelligence artificielle peuvent préparer paiements ou décisions. Voici comment fixer limites, validation humaine et preuves avant action.
Imaginez que, dans une banque de Libreville, un assistant d’intelligence artificielle prépare un virement fournisseur, vérifie le plafond autorisé, puis demande à déclencher le paiement. Le dossier semble propre. Pourtant, une question bloque tout : qui a réellement autorisé l’action, et quelle preuve l’audit pourra-t-il lire dans trois mois ?
Dans une université, le même problème apparaît avec les bourses. Un outil trie les dossiers, repère les pièces manquantes, propose une priorité et prépare les notifications. Si la règle appliquée est mauvaise, ou si une donnée personnelle est utilisée sans base claire, la rapidité devient un risque de conformité.
C’est quoi, concrètement ?
Un agent d’intelligence artificielle (agent IA) n’est pas seulement un programme qui répond à une question : il peut préparer une action, comme classer un dossier, produire un rapport, signaler une alerte ou déclencher une opération. Le cadre Safeguards for Agentic Finance at Runtime (SAFR), publié avec l’Autorité monétaire de Singapour, propose de placer un contrôle entre l’agent IA et le système métier. Avant l’action, l’organisation vérifie qui agit, ce qui est autorisé, quelle règle s’applique, si un humain doit valider et quelle trace sera conservée. Le point clé est simple : l’IA peut accélérer le travail, mais la décision responsable reste organisée, contrôlée et auditable.
Cas concret : que faire et que ne pas faire
Les questions à se poser avant d’agir
L’IA propose-t-elle une recommandation ou peut-elle agir directement dans le système ?
Qui porte la responsabilité si l’action est fausse, injuste ou non conforme ?
Quelles actions doivent rester interdites à l’IA, même si elles semblent utiles ?
À partir de quel niveau de risque faut-il une validation humaine formelle ?
Peut-on retrouver, trois mois plus tard, pourquoi une décision a été prise ?
Les données utilisées sont-elles nécessaires, autorisées et protégées ?
L’audit interne peut-il tester le dispositif avec des preuves concrètes ?