Chaque plateforme revendique la gouvernance. Voici comment distinguer qui est sérieux.
Quelque chose d’intéressant s’est produit début 2026 : la gouvernance est devenue un argument de vente. OpenAI a lancé Frontier avec « identité des agents, permissions explicites et actions auditables ». Microsoft Copilot Studio a ajouté l’intervention humaine et les évaluations d’agents. Salesforce Agentforce a promu l’Einstein Trust Layer. ServiceNow a livré l’AI Control Tower.
La gouvernance n’appartient plus à JieGou seul. Mais voici le problème : toutes les gouvernances ne se valent pas.
L’illusion des 2 couches
Quand les plateformes disent « gouvernance », elles signifient typiquement deux choses :
- Identité et authentification — qui peut accéder au système
- Permissions ou contrôles basiques — ce que les agents sont autorisés à faire
Ce sont les couches 1 et 2 d’une pile de gouvernance à 10 couches. Elles protègent qui entre. Elles ne protègent pas ce qui se passe ensuite.
Considérez ce que la gouvernance à 2 couches ne peut pas répondre :
- Quand un agent sélectionne un outil de manière autonome, qui a approuvé l’accès à l’outil ?
- Quand un agent escalade une décision, quelle est la hiérarchie d’approbation en cascade ?
- Quand un auditeur demande des preuves de gouvernance IA, qu’exportez-vous ?
- Quand le EU AI Act exige un cadre de gestion des risques, quel article correspond à quel contrôle ?
Ce que 10 couches signifient concrètement
La pile de gouvernance de JieGou a 10 couches, chacune répondant à une préoccupation de gouvernance distincte :
| Couche | Nom | Ce qu’elle protège |
|---|---|---|
| 11 | Conformité réglementaire | Cartographie EU AI Act, HIPAA, GDPR, SOX, FedRAMP |
| 10 | Export de preuves | 17 contrôles TSC, 8 catégories pour les auditeurs |
| 9 | Chronologie de conformité | Enregistrement visuel de tous les événements de gouvernance |
| 8 | Journalisation d’audit | 30 types d’événements, fire-and-forget, métadonnées structurées |
| 7 | Portes d’approbation des outils | Approbation par outil et par rôle avant exécution |
| 6 | Protocoles d’escalade | Hiérarchie en cascade à 6 rôles avec intervention humaine |
| 5 | Contrôle d’accès basé sur les rôles | 5 rôles, 20+ permissions, périmètre départemental |
| 4 | Gestion des environnements | Isolation dev/staging/prod |
| 3 | Contrôles de résidence des données | Traitement des données spécifique par région |
| 2 | Couche de chiffrement | AES-256-GCM au repos, TLS 1.3 en transit |
| 1 | Identité et authentification | SSO/SAML/OIDC, gestion des sessions |
Les couches 1-2 sont le minimum — chaque plateforme les a. Les couches 3-10 sont là où la gouvernance devient réelle. Et c’est là que la plupart des plateformes s’arrêtent.
Les exigences réglementaires demandent de la profondeur
Le EU AI Act ne demande pas juste « un peu de gouvernance ». L’article 9 impose un système complet de gestion des risques. Voici comment des articles spécifiques correspondent aux couches de gouvernance :
- Art. 9 (Gestion des risques) : Exige un système de gestion des risques couvrant l’ensemble du cycle de vie de l’IA — ce sont les couches 1 à 10, pas seulement l’authentification.
- Art. 11 (Documentation technique) : Exige une documentation exportable du comportement du système IA — c’est la couche 10 (export de preuves).
- Art. 12 (Tenue de registres) : Exige la journalisation automatique des événements — ce sont les couches 8 (journalisation d’audit) et 9 (chronologie de conformité).
- Art. 14 (Supervision humaine) : Exige une supervision humaine effective — ce sont les couches 6 (escalade) et 7 (portes d’approbation des outils).
Une plateforme à 2 couches couvre l’Art. 14 partiellement au mieux. Elle ne couvre aucun des Art. 9, 11 ou 12.
La comparaison des concurrents
Voici la réalité à travers les plateformes majeures :
| Plateforme | Couches de gouvernance | Ce qui manque |
|---|---|---|
| JieGou | 10/10 | Rien |
| OpenAI Frontier | ~2/10 | Couches 3-10 : pas de résidence des données, pas de gestion des environnements, pas de portes d’approbation des outils, pas de chronologie de conformité, pas d’export de preuves, pas de cartographie réglementaire |
| Microsoft Copilot Studio | ~2/10 | Mêmes lacunes : le HITL est une couche 6 partielle, les évaluations sont une couche 7 partielle, mais pas de journalisation d’audit, pas d’export de preuves, pas de cartographie réglementaire |
| Salesforce Agentforce | ~2/10 | Le Trust Layer couvre l’authentification et les permissions CRM basiques, mais pas de gouvernance inter-départements, pas d’export de preuves, pas de cartographie réglementaire |
| ServiceNow | ~2/10 | L’AI Control Tower fournit du monitoring mais pas la pile de gouvernance complète pour la conformité réglementaire |
Comptez les couches
La prochaine fois qu’un fournisseur dit « notre plateforme a la gouvernance », demandez-leur : combien de couches ? Pouvez-vous me montrer la pile de gouvernance ? Comment se cartographie-t-elle sur les articles du EU AI Act ? Pouvez-vous exporter des preuves pour les auditeurs SOC 2 ?
S’ils ne peuvent pas répondre aux quatre questions, ils ont de l’authentification avec une étiquette de gouvernance.
Voir la pile de gouvernance complète à 10 couches avec visualisation interactive sur Pile de gouvernance JieGou. Prêt à déployer des workflows IA gouvernés ? Commencez votre essai Enterprise.