LCA
Le Commerce Agentique
Décrypter le commerce des agents IA
← Tous les articles
Gouvernance9 juin 2026· 10 min de lecture

Le rôle DDAO : qui supervise vraiment un agent IA en production ?

Designated Delegated Agent Officer — la proposition ACF® pour combler le vide réglementaire sur la responsabilité opérationnelle des agents autonomes.

R
Rédaction LCA
Rédaction LCA — édité par ACF®

Mardi 14 h 32. Un agent conversationnel déployé par une néo-banque européenne souscrit, au nom d'un client, un abonnement premium à 800 euros par an. L'agent a interprété une phrase ambiguë — « Je veux le maximum de services » — comme une instruction d'achat. Aucune validation humaine n'a été déclenchée. Le client conteste trois semaines plus tard. La banque ouvre un dossier interne. Et là, une question simple paralyse cinq directions : qui, dans l'organisation, était chargé de superviser cet agent au moment de la transaction ?

Le service client renvoie vers la conformité. La conformité renvoie vers la DSI. La DSI renvoie vers le métier qui a commandé l'agent. Le métier renvoie vers le fournisseur du modèle. Personne n'avait, formellement, la charge d'arbitrer en temps réel les actions de cet agent en production. Ce flou n'est pas une exception : c'est aujourd'hui la norme dans la grande majorité des déploiements d'agents IA en entreprise.

1. Un vide réglementaire qui n'a pas de précédent

Le RGPD a créé le Délégué à la protection des données (DPO) en 2018, via son article 37. La directive NIS 2 a renforcé, depuis 2024, la place du Responsable de la sécurité des systèmes d'information (RSSI ou CISO) dans les entités essentielles. À chaque grande vague réglementaire, un rôle nommé est apparu pour porter, dans l'organisation, la responsabilité opérationnelle quotidienne d'une nouvelle catégorie de risque.

L'AI Act, entré progressivement en application depuis 2024, ne suit pas cette logique. Son article 14 impose une « supervision humaine effective » des systèmes d'IA à haut risque. Son article 26 détaille les obligations des déployeurs. Son article 27 introduit l'analyse d'impact sur les droits fondamentaux (FRIA) pour certains services essentiels. Mais aucun de ces articles ne nomme une fonction dédiée, ne fixe un profil professionnel, ne décrit une indépendance hiérarchique comparable à celle du DPO.

Distinction clé
L'AI Act exige une supervision humaine. Il ne désigne personne pour l'exercer. Cette absence de rôle nommé reproduit, pour les agents IA, la situation antérieure à 2018 pour la donnée personnelle — quand chaque entreprise improvisait sa propre architecture de conformité.

Cette absence n'est pas neutre. Elle produit trois symptômes que l'on observe désormais dans tous les déploiements d'agents autonomes : dilution des responsabilités entre conformité, DSI et métier ; absence d'arbitre clair en cas d'incident ; impossibilité, pour un régulateur ou un client, d'identifier un interlocuteur unique sur le périmètre agentique.

2. Ce que DPO et CISO ont effectivement changé

Avant le RGPD, la donnée personnelle était traitée comme un sujet partagé entre le juridique, l'informatique et le marketing. Personne n'arbitrait. L'article 37 a tranché : une fonction nommée, formée, indépendante, directement rattachée à la direction générale, avec un accès garanti aux ressources et une protection contre les sanctions internes liées à l'exercice de ses missions.

Le CISO a suivi une trajectoire comparable. D'abord ingénieur sécurité noyé dans la DSI, il est devenu, sous la pression conjointe de la directive NIS, des assureurs cyber et des conseils d'administration, une fonction transverse avec un mandat clair : porter le risque cyber, l'arbitrer en comité exécutif, en répondre devant le régulateur.

Ces deux rôles partagent une grammaire commune : un périmètre de risque délimité, une indépendance formalisée, une formation certifiante (CIPP/E pour le DPO, CISSP ou CISM pour le CISO), un accès direct aux organes de gouvernance, une obligation de moyens documentée. C'est cette grammaire que le standard ACF® propose de transposer aux agents IA.

3. Le DDAO selon ACF® : un rôle, pas un acronyme de plus

Le standard Agentic Commerce Framework®, publié en standard ouvert européen, introduit le rôle de Designated Delegated Agent Officer — DDAO. La traduction française retenue est « Responsable désigné des agents délégués ». Le terme « Delegated » est essentiel : il marque que l'on parle d'agents qui agissent au nom de quelqu'un — l'entreprise, le client, un tiers — et non d'outils passifs.

Définition
Le DDAO (Designated Delegated Agent Officer) est la fonction nommée, au sein d'une organisation déployant des agents IA autonomes, qui porte la responsabilité opérationnelle de la supervision effective de ces agents tout au long de leur cycle de vie en production.

Ses missions, telles que définies par le standard ACF®, se structurent autour de quatre piliers opérationnels :

  • Cartographier et documenter le parc d'agents IA en production : quel agent fait quoi, sous quelle autorité, avec quels droits d'action, à quel niveau d'autonomie ACF® (N0 à N3).
  • Définir et faire respecter les politiques de supervision : seuils d'escalade, scénarios d'arrêt d'urgence, conditions de réintervention humaine, fréquence des audits a posteriori.
  • Tenir le registre d'audit signé : chaque action significative d'un agent doit être horodatée, signée Ed25519 + SHA-256, et vérifiable indépendamment — c'est le socle juridique en cas de contestation.
  • Interagir avec le régulateur, le client et les directions internes : être l'interlocuteur unique identifiable sur le périmètre agentique, comme le DPO l'est sur la donnée.

Le standard impose une exigence d'indépendance : le DDAO ne peut pas être rattaché à une direction métier qui exploite directement les agents qu'il supervise. La logique est identique à celle du DPO : on ne contrôle pas ce dont on dépend financièrement.

4. Articulation avec l'AI Act : l'opérationnalisation de l'article 14

L'article 14 de l'AI Act pose un principe : « Les systèmes d'IA à haut risque sont conçus et développés de manière à pouvoir être effectivement supervisés par des personnes physiques pendant leur période d'utilisation. » Le texte décrit les capacités attendues du système — interprétabilité, possibilité d'arrêt, signaux d'alerte — mais ne décrit pas l'organisation humaine qui exerce cette supervision.

Le DDAO se positionne précisément à cet endroit. Il est la personne physique, ou l'équipe qu'il dirige, qui exerce concrètement la supervision exigée par l'article 14. Sa documentation interne — politique de supervision, registre d'audit, scénarios d'escalade — devient le moyen de prouver, devant un régulateur, que l'obligation a été remplie.

L'articulation avec l'article 27 est tout aussi structurante. L'analyse d'impact sur les droits fondamentaux (FRIA), imposée pour les déploiements d'IA dans certains services essentiels — crédit, assurance, accès à l'éducation, services publics — exige une cartographie des risques. Le DDAO est le porteur naturel de ce document : il connaît le parc d'agents, les niveaux d'autonomie ACF® retenus, les seuils de supervision, les scénarios d'incident.

À retenir
Le DDAO n'est pas une obligation réglementaire. C'est une proposition de standard portée par ACF® pour donner un nom, un profil et un cadre à une fonction que l'AI Act exige sans la nommer. L'adoption se fait aujourd'hui par engagement volontaire des organisations matures.

5. Quel profil pour devenir DDAO ?

La fonction n'existe pas encore comme métier identifié sur le marché du travail. Mais le profil-type qui émerge des premières organisations qui l'expérimentent combine quatre dimensions, dans des proportions variables selon le secteur.

Dimension juridique d'abord : maîtrise du RGPD, de l'AI Act, du droit de la responsabilité civile et contractuelle. Beaucoup de DDAO actuels viennent de l'expérience DPO, augmentée d'une formation IA. Dimension technique ensuite : compréhension fonctionnelle des architectures d'agents — RAG, tool calling, orchestration multi-agents, mécanismes de logs et de signature cryptographique. On ne demande pas au DDAO de coder, mais de comprendre suffisamment pour challenger les équipes techniques.

Dimension gouvernance : capacité à animer un comité, à arbitrer, à porter un sujet en comité exécutif. Cette compétence rapproche le DDAO du CISO et du directeur de la conformité. Dimension métier enfin : connaissance fine du secteur dans lequel les agents sont déployés. Un DDAO banque-assurance ne supervise pas les mêmes risques qu'un DDAO retail ou un DDAO santé.

Le standard ACF® prévoit un référentiel de maturité structuré en six dimensions — gouvernance, formation, supervision, audit, sécurité, conformité — qui sert de grille à la fois pour évaluer une organisation et pour structurer la feuille de route d'un DDAO entrant.

6. Cas pratique : un agent IA de pré-qualification crédit

Une banque européenne de taille moyenne déploie un agent IA chargé de pré-qualifier les demandes de crédit à la consommation en ligne. L'agent collecte les informations client, calcule un score préliminaire, propose une enveloppe et un taux indicatifs. La décision finale revient à un analyste humain. Le système relève de l'article 27 de l'AI Act au titre des services essentiels.

Le DDAO intervient à trois moments. En conception, il valide le niveau d'autonomie retenu — ici N1, avec validation humaine de toute proposition d'enveloppe supérieure à un seuil — et co-rédige la FRIA. En déploiement, il valide les seuils d'escalade, la procédure d'arrêt d'urgence, la politique de logs, et signe la mise en production aux côtés du métier et de la conformité.

En exploitation continue, il conduit les revues mensuelles d'audit a posteriori : tirage d'un échantillon de décisions, vérification de la cohérence avec les politiques, analyse des écarts. Si un client conteste une proposition, le DDAO produit, à partir du registre d'audit signé Ed25519, la trace complète et opposable de la décision agent. Ce document devient une pièce dans la procédure de réclamation.

En cas d'incident — un biais détecté, une dérive du modèle, un comportement non conforme à la politique — le DDAO dispose d'un pouvoir d'arrêt opérationnel. Il peut suspendre l'agent et engager la procédure de remédiation, en parallèle de la notification au comité exécutif et, si nécessaire, au régulateur.

7. Adoption attendue : par où la fonction va émerger

L'adoption du DDAO suit une trajectoire que l'on a déjà observée pour le DPO entre 2016 et 2020 : d'abord les organisations directement exposées au régulateur et à l'obligation de moyens documentée, ensuite la cascade vers l'ensemble de l'économie.

En 2026, trois secteurs apparaissent en tête : la banque-assurance, parce qu'elle combine AI Act, FRIA, contrôle ACPR et obligations Solvabilité ; les services publics et délégataires, parce qu'ils sont visés directement par l'article 27 ; les grandes plateformes B2C, parce que leurs déploiements d'agents touchent des millions d'utilisateurs et que le risque réputationnel suffit à justifier la fonction.

La cascade vers les ETI et les PME suit, comme pour le DPO, deux moteurs : la contagion contractuelle — les grands donneurs d'ordre imposent à leurs sous-traitants une fonction équivalente — et la pression des assureurs cyber, qui commencent à intégrer dans leurs questionnaires des items spécifiques à la gouvernance agentique.

Le standard ACF®, publié en open standard, vise précisément à éviter la fragmentation que la donnée a connue entre les différents référentiels nationaux pré-RGPD. Un DDAO formé sur ACF® doit pouvoir exercer en France, en Allemagne, en Italie, sans réécrire son corpus de référence.

Conclusion : nommer pour rendre opposable

L'histoire des grandes régulations technologiques européennes montre une constante : la conformité ne devient effective qu'à partir du moment où une fonction nommée la porte. Tant que la supervision des agents IA reste un sujet diffus, partagé entre cinq directions sans arbitre, l'article 14 de l'AI Act restera une exigence de papier.

Le DDAO, tel que proposé par le standard ACF®, n'est pas une invention conceptuelle de plus. C'est la transposition, sur le terrain agentique, d'une grammaire éprouvée : nommer, former, rattacher, outiller, rendre indépendant. Cette grammaire a fonctionné pour la donnée. Elle a fonctionné pour la sécurité des systèmes d'information. Il y a peu de raisons qu'elle ne fonctionne pas pour les agents IA.

Reste une question ouverte, qui sera celle des dix-huit prochains mois : le DDAO restera-t-il une bonne pratique portée par les organisations matures, ou un futur article d'une révision de l'AI Act le fera-t-il basculer dans le registre de l'obligation ? Les premiers signaux des autorités européennes laissent penser que la seconde hypothèse n'est pas la plus improbable. Les organisations qui auront pris de l'avance, comme elles l'ont fait en 2017 avant le RGPD, en tireront un avantage de conformité — et un avantage de confiance — durable.

Tags
DDAOGouvernanceACFSupervisionArticle 14DPO
Newsletter

Recevez Le Brief A-commerce chaque lundi

L'essentiel de la semaine en 5 minutes : protocoles, études, décisions réglementaires.

S'abonner gratuitement →