Imaginez la scène. Un agent acheteur déployé par une direction des achats parle à un agent vendeur opéré par un éditeur de logiciels. Le premier consulte un cahier des charges, interroge le second sur des modules, négocie un volume, demande un escompte. Le second répond, justifie un prix, propose une option, accepte une réduction sous condition de paiement comptant. La transaction se conclut. Aucun humain n'a tapé une seule ligne pendant l'échange. Et c'est déjà en train d'arriver.
Salesforce Agentforce dialogue désormais avec ServiceNow AI Agents dans des contextes de service client B2B. Des agents de procurement échangent avec des agents commerciaux pour des achats indirects. Des agents de réservation négocient avec des agents hôteliers des conditions de nuitée. Ce que l'on appelle aujourd'hui le A2A — Agent-to-Agent — n'est plus un fantasme de futurologue. C'est une réalité opérationnelle, encore embryonnaire mais déjà commercialement traçable.
Et cette réalité soulève des questions auxquelles ni le droit, ni la théorie économique, ni les architectures de sécurité actuelles n'apportent de réponse complète.
La promesse : éliminer la friction transactionnelle inter-entreprises
Le commerce B2B traîne depuis des décennies une charge de friction colossale. Demandes de devis qui mettent trois semaines à revenir, négociations par e-mails interposés, validations multiples, contrats négociés ligne à ligne, processus achats qui mobilisent dix interlocuteurs pour un montant moyen. Selon les estimations les plus partagées dans la littérature managériale, le coût de traitement d'une commande B2B représente une fraction significative de sa valeur — proportion d'autant plus douloureuse que la commande est petite.
Le A2A promet de compresser ce cycle. Un agent acheteur qui formule une demande, un agent vendeur qui répond, une négociation conduite en quelques secondes, un contrat signé, un paiement déclenché. Là où il fallait des semaines, il faudrait des minutes. Là où il fallait dix interlocuteurs, il en faudrait deux — et tous deux algorithmiques.
L'argument économique est puissant. Il l'est même tellement qu'il faudrait être imprudent pour ne pas se demander ce qui pourrait mal tourner.
Trois architectures A2A en émergence
Le terme A2A recouvre en réalité trois modèles distincts, dont les implications juridiques, économiques et sécuritaires diffèrent sensiblement.
Bilatéral direct : agent à agent
C'est le modèle le plus simple conceptuellement. Deux agents identifient leur contrepartie, ouvrent un canal, négocient, concluent. Aucun tiers n'intervient. Les premiers cas observables — Agentforce dialoguant avec ServiceNow, agents Salesforce conversant avec des agents Microsoft Copilot — relèvent de cette catégorie. La transaction est lisible : il y a un acheteur, un vendeur, un objet, un prix.
Mais la lisibilité s'arrête là. Qui mandate qui ? Sur quel périmètre ? Avec quelle autorité contractuelle ? Ces questions, triviales dans un échange humain régi par des fonctions clairement définies, deviennent vertigineuses dès lors que l'agent peut engager l'entreprise sans contrôle humain en temps réel.
Via broker ou orchestrateur
Deuxième architecture : un tiers intermédiaire — un broker — sert de point de passage. L'agent acheteur formule sa requête au broker, qui l'achemine vers un ou plusieurs agents vendeurs candidats, agrège les réponses, conduit éventuellement la négociation pour le compte de l'acheteur. Le modèle évoque les places de marché financières et leurs intermédiaires régulés.
C'est probablement le modèle qui se déploiera le plus vite à grande échelle. Il apporte une couche de standardisation, de découverte des offres, et de mutualisation de la confiance. Mais il concentre aussi un pouvoir considérable entre les mains de l'opérateur du broker — sujet sur lequel nous reviendrons.
Via marketplace ouverte (agent commons)
Troisième architecture, la plus ambitieuse : des marketplaces ouvertes où des agents de toute nature — acheteurs, vendeurs, intermédiaires spécialisés, vérificateurs — interagissent selon des protocoles standardisés. On parle parfois d'« agent commons » pour désigner ces écosystèmes pluripartites. Les marchés d'API, les marchés de données, les marchés de tâches préfigurent ces architectures.
C'est dans ce modèle que le potentiel transformationnel est le plus grand. C'est aussi celui où les risques systémiques sont les plus mal cartographiés.
Qui négocie quoi au nom de qui ?
La première question soulevée par le A2A est d'ordre juridique et organisationnel. Lorsqu'un agent acheteur conclut un contrat de 50 000 euros avec un agent vendeur, qui s'est engagé ? L'agent ? L'entreprise ? La personne qui a paramétré l'agent ? Le directeur achats qui a validé l'orientation stratégique ? Le DSI qui a installé la plateforme ?
Le droit des obligations français comme le droit international des contrats reposent sur une notion ancienne — la chaîne de mandat. Un agent agit pour le compte d'un mandant, dans la limite de pouvoirs définis. Le mandat doit être explicite, traçable, opposable. Cette structure n'a pas de raison de disparaître avec les agents IA. Elle doit en revanche être adaptée à des contextes où le mandat n'est plus un document papier, mais une configuration logicielle.
Concrètement, cela suppose que chaque agent puisse présenter, à la demande de sa contrepartie, son périmètre d'action, son seuil d'autonomie, ses garde-fous, son donneur d'ordre humain en dernière instance. Et que ces éléments soient cryptographiquement vérifiables, non simplement déclaratifs.
Comment vérifier l'identité de l'agent contrepartie ?
Question connexe : comment l'agent acheteur sait-il que l'agent vendeur en face est bien celui qu'il prétend être ? Le phishing entre humains est déjà une plaie. Le phishing entre agents pourrait devenir un cauchemar.
Imaginons un agent malveillant qui se ferait passer pour un agent vendeur d'un fournisseur connu, négocierait une transaction, encaisserait, et disparaîtrait. Sans contrôle humain en temps réel, sans réflexe d'incrédulité, sans le doute qu'un acheteur humain entraîné nourrit par défaut, l'agent acheteur risque d'être beaucoup plus crédule que son équivalent en chair et en os.
Les protocoles d'authentification — TAP côté Visa, mais aussi des initiatives basées sur des certificats d'agents délivrés par des autorités de confiance — visent précisément à répondre à cette question. Aucune n'a encore atteint la maturité d'une infrastructure publique reconnue. C'est sans doute le chantier le plus urgent du A2A à court terme.
Que se passe-t-il en cas de litige ?
Troisième question de gouvernance : que se passe-t-il quand ça dérape ? Quand l'agent acheteur a commandé pour un montant excessif, quand l'agent vendeur a livré un produit non conforme, quand les deux ont négocié un contrat dont l'une des entreprises veut sortir ?
Le traitement humain des litiges B2B repose sur des règles, des juridictions, des procédures bien rodées. Le traitement des litiges A2A devra inventer une chaîne d'escalation explicite : à partir de quel seuil, sous quels critères, vers quelle personne le différend est-il remonté ? Et dans quel droit, sachant que les deux agents peuvent opérer pour le compte d'entreprises situées dans des juridictions différentes ?
Sans réponse claire à ces questions, le A2A restera cantonné à des transactions de faible enjeu, où le risque de litige est suffisamment faible pour qu'on accepte de ne pas avoir de procédure de recours formalisée.
Le risque le plus sous-estimé : la collusion algorithmique
Passons des questions de gouvernance aux risques de marché. Le premier — et probablement le plus sous-estimé — est celui de la collusion algorithmique entre agents acheteurs.
Le scénario est connu en théorie économique. Plusieurs agents d'achat, déployés par des entreprises concurrentes, opèrent sur la même marketplace. Sans aucune communication explicite, sans aucune intention coupable de la part de leurs principaux humains, ces agents convergent vers des stratégies de prix similaires. Non parce qu'ils se sont entendus, mais parce que leurs algorithmes optimisent les mêmes objectifs avec les mêmes données et tendent vers le même équilibre.
Le droit de la concurrence punit les ententes — c'est-à-dire des accords volontaires entre acteurs. Mais que faire d'une collusion qui émerge spontanément de l'interaction entre algorithmes ? Aucune décision n'a été prise par un humain. Aucune communication n'a transité entre concurrents. Et pourtant, le résultat — un prix supra-concurrentiel maintenu artificiellement — est identique à celui d'un cartel classique.
Les autorités de concurrence européennes ont commencé à se saisir du sujet. Aucune doctrine stabilisée n'existe à ce jour. C'est probablement le terrain juridique le plus difficile que le A2A va défricher dans la décennie qui vient.
Manipulation des prix par information asymétrique
Second risque de marché : la manipulation des prix par exploitation d'asymétries informationnelles. Un agent vendeur sophistiqué, doté d'une vision plus large du marché que ses contreparties acheteuses, peut ajuster ses prix au plus près de la disposition à payer de chaque acheteur. C'est le rêve du tarificateur dynamique — et le cauchemar de la transparence.
Là encore, ce n'est pas un phénomène nouveau. Les compagnies aériennes pratiquent le yield management depuis quarante ans. Mais le A2A ouvre la possibilité d'une discrimination tarifaire bien plus fine, bien plus rapide, bien plus opaque. Et surtout : appliquée à des contextes B2B où elle n'existait pas auparavant.
Une entreprise vertueuse pourrait choisir de s'imposer une transparence tarifaire vis-à-vis de ses agents contreparties. Encore faut-il qu'elle ait un intérêt à le faire — et qu'un cadre normatif l'incite à le faire.
Prompt injection cross-agent : la nouvelle surface d'attaque
Troisième risque, technique cette fois : la prompt injection cross-agent. Lorsqu'un agent reçoit un message d'une contrepartie, ce message contient potentiellement des instructions qui peuvent altérer son comportement. Un agent vendeur malveillant peut tenter d'instruire l'agent acheteur de relever son seuil de prix accepté, de divulguer des informations confidentielles sur la stratégie d'achat, ou de conclure des conditions désavantageuses pour son principal.
Les architectures de sécurité actuelles, dérivées du paradigme classique « humain contre machine », ne sont pas calibrées pour cette nouvelle surface d'attaque. Il faut désormais concevoir des défenses « machine contre machine », où chaque agent traite les messages reçus comme des données potentiellement hostiles, jamais comme des instructions à exécuter.
C'est un changement de paradigme cybersécurité majeur, et le RSSI moyen n'a pas encore pris la mesure du chantier.
Centralisation : l'effet réseau monopolistique
Quatrième risque, structurel celui-ci : la centralisation. Le A2A obéit à une logique d'effet réseau brutale. Plus une marketplace inter-agents compte de participants, plus elle attire de nouveaux participants. Plus un broker traite de transactions, plus sa connaissance du marché lui permet de prélever une rente sur chaque transaction additionnelle.
Le risque est qu'on aboutisse, en dix ans, à un paysage où deux ou trois opérateurs concentrent l'essentiel des flux A2A mondiaux. Ce serait une forme nouvelle de monopole infrastructurel, dont les implications dépasseraient largement les effets observés sur les places de marché grand public actuelles.
La question n'est pas seulement antitrust. Elle est aussi souveraine : aucun État européen n'a aujourd'hui de cadre opérationnel pour empêcher la centralisation des flux commerciaux inter-agents européens entre les mains d'opérateurs extra-européens.
Cadre juridique : AI Act et droit de la concurrence
Le cadre juridique applicable au A2A n'est pas vide. Il est même déjà particulièrement dense, mais il a été conçu pour d'autres cas d'usage et son application aux interactions inter-agents demande une lecture interprétative.
L'AI Act européen, dont l'enforcement haut-risque entre en vigueur le 2 décembre 2027, classera vraisemblablement de nombreux agents A2A B2B parmi les systèmes à haut risque dès lors qu'ils peuvent engager financièrement leur principal au-delà de seuils significatifs. Les obligations de transparence, de supervision humaine, de documentation et de monitoring leur seront applicables.
Le droit de la concurrence — RGPC européen, DMA pour les plateformes structurantes — s'appliquera également. Mais c'est probablement la doctrine relative à la collusion algorithmique qui aura le plus à évoluer. Plusieurs autorités nationales travaillent à des lignes directrices ; aucune n'a publié à ce jour de cadre stabilisé.
Enfin, le droit civil classique — droit des contrats, du mandat, de la responsabilité — sera mobilisé pour résoudre les litiges concrets. La jurisprudence sera lente à émerger, et chaque arrêt sera lu avec attention par tout l'écosystème.
Ce que propose ACF® pour le A2A
Face à ce paysage, le standard ACF® (Agentic Commerce Framework®) propose une transposition de sa grille d'autonomie aux interactions inter-agents. Là où ACF® décrit, pour le commerce B2C agentique, quatre niveaux d'autonomie — N0 strictement supervisé, N1 supervisé en pré-validation, N2 autonome avec audit, N3 pleinement autonome — la transposition au A2A applique le même barème aux deux côtés de l'échange.
Une transaction A2A est ainsi qualifiée non par l'autonomie d'un seul agent, mais par le couple d'autonomies des deux contreparties. Une transaction N0-N0 (deux agents strictement supervisés) ne mobilise quasiment pas d'enjeu de gouvernance. Une transaction N3-N3 (deux agents pleinement autonomes) concentre l'essentiel des risques évoqués dans cet article. La grille permet une lecture fine du paysage, et oriente les obligations de surveillance.
ACF® propose également l'audit trail bidirectionnel. Chaque agent enregistre, dans son propre journal cryptographiquement signé, l'intégralité de l'échange — messages reçus, décisions prises, instructions ignorées, escalations déclenchées. Ce double journal permet, en cas de litige, de reconstituer la transaction de manière indépendante des deux côtés, et de détecter d'éventuelles altérations.
Enfin, ACF® formalise la fonction de DDAO — Designated Delegated Agent Officer — comme l'autorité humaine ultime de chaque agent. Le DDAO est nommément identifiable, ses coordonnées sont accessibles à la contrepartie, et c'est lui qui répond, en dernier ressort, des engagements pris par l'agent dont il assume la délégation.
2026 : premiers POCs, 2028-2030 : scale prudent
Où en est-on concrètement ? 2026 est l'année des premiers proof of concept à grande échelle. Salesforce, ServiceNow, Microsoft, SAP, Workday — les éditeurs de logiciels d'entreprise — déploient des agents A2A dans des contextes contrôlés, avec des volumes encore modestes et un encadrement humain renforcé.
2027 sera vraisemblablement l'année des premières alertes — incidents de sécurité, litiges judiciarisés, premières décisions d'autorités de concurrence sur la collusion algorithmique. Le secteur apprendra cher à comprendre ce qu'il faut surveiller.
2028-2030 sera la phase de scale prudent. Les architectures auront été durcies, les protocoles stabilisés, le cadre juridique précisé. Les agents A2A traiteront alors une part significative du commerce B2B — peut-être 10 à 15 % des transactions inter-entreprises sur des verticaux mûrs comme le procurement indirect, le SaaS B2B ou les services logistiques.
Au-delà, le paysage dépendra de choix collectifs qui n'ont pas encore été faits. Souhaite-t-on un commerce inter-agents organisé autour de trois plateformes mondiales privées, ou autour d'infrastructures publiques régulées ? Souhaite-t-on que les flux commerciaux européens transitent par des opérateurs européens ? Souhaite-t-on que les PME aient un accès équitable à ces infrastructures, ou laisse-t-on la concentration faire son œuvre ?
Ces questions ne sont pas techniques. Elles sont politiques. Et il est encore temps de les poser avant que la réalité ne les ait tranchées par défaut.
Recevez Le Brief A-commerce chaque lundi
L'essentiel de la semaine en 5 minutes : protocoles, études, décisions réglementaires.
S'abonner gratuitement →