Pourquoi un classement ?
En 18 mois, sept protocoles concurrents ont été publiés pour structurer le commerce agentique. Aucun ne s'impose encore. Les décideurs — DSI, RJ, DPO, directions achats — doivent pourtant arbitrer dès aujourd'hui sur lequel intégrer, lequel suivre, lequel ignorer.
Ce classement vise à fournir une grille de lecture explicite, sourcée, contestable — pas une vérité absolue. Chaque score est la projection d'un jugement éditorial sur des indicateurs publics. Vous pouvez reproduire le calcul.
Score composite sur 100
Chaque protocole reçoit une note de 0 à 100 sur chacun des 5 critères. Le score global est la moyenne pondérée :
Score = (Gouvernance × 0.30)
+ (Conformité EU × 0.25)
+ (Ouverture × 0.20)
+ (Adoption × 0.15)
+ (Maturité technique × 0.10)Les 5 critères en détail
Le poids accordé à chaque critère reflète l'urgence réglementaire et opérationnelle de 2026. Il sera révisé chaque année pour intégrer les nouveaux textes (EU AI Act phases successives, Cyber Resilience Act, etc.).
Gouvernance
30% du scorePremier critère parce qu'un protocole a-commerce qui n'encadre pas l'autonomie de l'agent n'est pas un standard, c'est un risque opérationnel transformé en produit.
- →Définition explicite des niveaux d'autonomie (de la suggestion à la décision finale)
- →Mécanismes de supervision humaine (validation, escalade, alerte)
- →Présence d'un kill switch documenté et testable
- →Désignation d'un rôle responsable (type DDAO, DPO ou équivalent)
- →Traçabilité des décisions critiques et règles d'audit
Conformité EU
25% du scoreL'EU AI Act entre en enforcement haut-risque le 2 décembre 2027 pour les agents en classe Annexe III. RGPD et eIDAS sont déjà en vigueur. Un protocole non aligné est inutilisable en Europe.
- →Compatibilité documentée avec l'EU AI Act (classification, obligations, transparence)
- →Compatibilité RGPD (minimisation des données, base légale, droits utilisateurs)
- →Audit trail compatible eIDAS (horodatage qualifié, signatures qualifiées)
- →Mécanisme d'effacement et de portabilité des données
- →Documentation publique en français ou anglais accessible à l'autorité de contrôle
Ouverture
20% du scoreUn standard fermé verrouille les implémenteurs et empêche l'audit indépendant. L'ouverture est ce qui distingue un protocole d'un produit commercial.
- →Spécification publique téléchargeable sans authentification
- →Licence permissive (Apache 2.0, MIT, CC-BY, ou équivalent)
- →Gouvernance multi-stakeholders (pas mono-éditeur)
- →Processus public de soumission de pull requests / RFC
- →Absence de royalties ou de redevances obligatoires
Adoption
15% du scoreUn protocole sans adoption est une bibliographie technique. Sans masse critique d'implémentations, il ne devient jamais standard de facto.
- →Nombre d'implémentations recensées (commerciales et open-source)
- →Présence dans les catalogues d'intégration majeurs (cloud providers, SaaS)
- →Taille de l'écosystème SDK (langages couverts)
- →Mentions dans les rapports analystes (Gartner, Forrester, IDC)
- →Volume d'engagement développeur (étoiles GitHub, issues, contributions)
Maturité technique
10% du scoreUn protocole en v0.x avec des breaking changes mensuels n'est pas prêt pour la production. La stabilité technique est un préalable, pas une finalité — d'où le poids le plus faible.
- →Stabilité de l'API (politique de versioning, breaking changes)
- →Qualité de la documentation officielle
- →Existence de SDK officiels dans 3+ langages
- →Présence d'environnement de test / sandbox
- →Historique d'incidents et de patches de sécurité
Sources & vérification
Toutes les évaluations sont fondées sur des éléments publics, citables et vérifiables. Aucun accès privilégié, aucun NDA, aucun briefing privé :
- Spécifications officielles publiées par les éditeurs (PDF, GitHub, sites de référence)
- Code source des SDK lorsque publié sous licence libre
- Rapports analystes Gartner, Forrester, IDC (résumés publics et briefings ouverts)
- Textes juridiques EU AI Act, RGPD, eIDAS, ANSSI, CNIL
- Communications officielles des éditeurs (annonces, blogs, conférences)
Fréquence de mise à jour
Le classement est recalculé mensuellement. Chaque nouvelle version d'un protocole, chaque jurisprudence majeure, chaque rapport analyste pertinent déclenche une révision du score correspondant. L'historique des révisions est conservé pour audit.
Gestion des conflits d'intérêt
Le Commerce Agentique est édité par ACF® (Agentic Commerce Framework®), qui porte également un standard a-commerce. Pour préserver l'indépendance éditoriale :
- ACF® n'apparaît pas dans le classement des 8 protocoles.
- Aucun acteur évalué ne finance la rédaction ni n'a de droit de regard préalable sur les scores.
- Toute mention d'ACF® dans les articles est signalée explicitement avec mention « édité par ACF® ».
- Les contestations de score peuvent être adressées à contact@acfstandard.com ; les réponses publiques sont publiées dans la rubrique correctifs.
Limites assumées
Aucune méthodologie n'est neutre. Voici les biais que nous reconnaissons :
- Biais européen : la pondération Conformité EU (25%) défavorise mécaniquement les protocoles US qui n'ont pas encore documenté leur alignement AI Act.
- Biais Open Source : la pondération Ouverture (20%) défavorise les protocoles propriétaires, même techniquement supérieurs.
- Biais documentaire : un protocole bien documenté gagne sur un protocole mal documenté mais techniquement équivalent.
- Biais de récence : un protocole publié il y a moins de 6 mois est mécaniquement noté plus bas sur Adoption et Maturité.
Contestation et corrections
Tout éditeur de protocole, intégrateur, chercheur ou utilisateur professionnel peut contester un score en envoyant un argumentaire à contact@acfstandard.com. La réponse est publique dans un délai de 30 jours. Les corrections substantielles sont signalées en haut du classement avec date et nature du correctif.
Le Top 8 des protocoles a-commerce
Maintenant que vous savez comment ils sont notés, regardez où ils tombent.
Voir le classement →