Le 28 avril 2026, lors du Digital Workplace Summit de Londres, Gartner a publié un chiffre qui circule depuis dans toutes les revues spécialisées. Moins de 15 agents IA par entreprise du Fortune 500 en 2025. Plus de 150 000 attendus en 2028. Une multiplication par dix mille en deux ans. Le cabinet a baptisé le phénomène agent sprawl - prolifération incontrôlée. Seules 13 % des organisations estiment disposer d'un cadre de gouvernance adapté.
Les chiffres remontés du terrain confirment la prévision. FICO documente que ses 3 500 collaborateurs créent des dizaines d'agents IA par jour. Le groupe DaVita, spécialisé dans le traitement de l'insuffisance rénale, recense déjà 10 000 agents IA produits par ses équipes. Sa directrice des systèmes d'information rappelle que ce passage à l'échelle doit se faire en sécurité, parce que des patients dépendent de l'entreprise. Le rapport State of AI Agent Security publié en février 2026 par Gravitee, qui a interrogé 900 dirigeants et techniciens, ajoute deux chiffres troublants. 88 % des organisations ont eu un incident agent IA confirmé ou suspecté dans les douze derniers mois. 82 % des dirigeants se déclarent confiants dans la capacité de leurs politiques à les protéger. Les deux nombres décrivent les mêmes organisations.
L'écart entre le constat technique et la conscience dirigeante est l'angle qui devrait inquiéter les conseils d'administration. Tout le monde traite l'agent sprawl comme un problème d'inventaire à confier à la DSI ou au RSSI. Gartner liste six étapes - politiques, inventaire, identité, contrôle d'accès, observabilité, audit. Les éditeurs accourent avec des outils de cartographie. C'est utile. Mais l'inventaire est un effet, pas une cause. La cause, c'est l'absence de doctrine sur ce qui peut, et ce qui ne peut pas, être délégué à un système autonome - indépendamment de ce que la technologie autorise.
DaVita, ou la limite cardinale
10 000 agents IA dans un dialyseur. Le chiffre se laisse lire deux fois. La première lecture est celle de la productivité - tâches automatisées, gains d'échelle, capacité augmentée. La seconde est celle de la chaîne de responsabilité. Quand un agent peut consulter un dossier patient, déclencher une alerte, modifier un paramètre de traitement, ou recommander un ajustement clinique, la question n'est pas son taux d'exactitude. La question est : à quel moment cette décision est-elle entrée dans le périmètre du conseil d'administration, et à quel moment en est-elle sortie ? Dans la grande majorité des cas, elle n'y est jamais entrée. Elle a été déléguée par défaut, par accumulation, par absence d'arbitrage explicite. C'est précisément ce que le droit appelle déjà, dans d'autres champs, un défaut de surveillance.
Le rapport Gravitee documente que 25,5 % des agents déployés peuvent créer et instruire d'autres agents. Des chaînes de commandement autonomes se forment, contournant les points de contrôle humains. Les autorisations héritées s'accumulent. Les identités non humaines représentent désormais, selon les estimations basses, plus de 80 identités machine pour une identité humaine dans un environnement d'entreprise moyen. Personne n'a décidé que ce ratio serait le bon. Il s'est installé.
La doctrine du conseil d'administration
Trois seuils permettent à un conseil d'administration de reprendre prise sur le sujet sans entrer dans la technique. Le premier est la cartographie : qui, dans l'organisation, dispose du droit de créer un agent autonome, sur quel périmètre, et selon quelle procédure de validation ? La réponse doit être nominative et écrite, pas implicite. Le deuxième est la non-délégation : quelles décisions ne peuvent jamais être prises par un système autonome, indépendamment de ce que la technologie autoriserait, et sur quel principe ? Ces décisions doivent être listées, datées, signées. Le troisième est la réversibilité : si une couche agentique américaine devient indisponible, soumise à sanction, ou contractuellement révisée, l'organisation peut-elle continuer à fonctionner sur un plan B européen documenté ? La réponse honnête est presque toujours négative, et la lucidité commence par le reconnaître.
Ces trois seuils ne sont ni cyber, ni juridiques, ni techniques. Ils sont décisionnels. Ils relèvent de la responsabilité fiduciaire du conseil d'administration. Un conseil qui ne sait pas y répondre engage la sienne, et celle des dirigeants exécutifs qu'il supervise. L'AI Act européen entre en application haut risque le 2 août 2026. NIS2 démarre son régime de sanctions effectives à l'automne. Ces deux échéances ne créent pas le sujet - elles ferment la fenêtre dans laquelle il pouvait être ignoré.
Lyft, ou la limite de la reprise en main par la technique
Plusieurs entreprises construisent actuellement des plateformes centralisées pour reprendre la main sur leur parc d'agents. Lyft est l'un des exemples cités. C'est nécessaire. Mais c'est insuffisant. Le pattern est connu. On l'a déjà vu avec le shadow IT, puis avec le shadow AI - il a fait l'objet d'un article distinct sur ce blog en mars 2026. La technique permet de voir. Elle ne décide pas. Une plateforme de contrôle d'agents est un instrument ; sans doctrine, c'est un tableau de bord pour des choix que personne n'a faits. L'agent sprawl est le shadow AI à puissance dix - même mécanique, même écart entre vitesse d'usage et lenteur de décision, mais avec une couche d'autonomie supplémentaire qui rend la reprise en main par la technique seule structurellement insuffisante.
La question n'est pas combien d'agents IA fonctionnent dans votre entreprise. C'est combien de décisions personne n'a jamais prises.
Aller plus loin
VEIA.AI conseille les comités exécutifs et les conseils d'administration sur la gouvernance décisionnelle de l'intelligence artificielle, en France et en Suisse. Conseil structurellement indépendant : aucun partenariat éditeur ni hyperscaler.
Pour un cadrage opérationnel à 90 jours : Diagnostic Shadow AI ou Board Review IA.
Article de référence sur le même sujet : « Reprendre la main sur le shadow AI ».
L'auteur utilise au quotidien des outils d'intelligence artificielle américains pour produire ses analyses, dans le cadre d'un plan B européen documenté. Le sujet ne tolère pas l'angélisme - il appelle la doctrine.
