Stripe ACP : ce que dit la documentation publique

Annoncé conjointement par Stripe et OpenAI fin 2025, l'Agentic Commerce Protocol (ACP) s'impose comme la tentative la plus visible de standardiser les transactions initiées par des agents IA. Quelques mois après sa publication, la documentation technique est désormais accessible et fait l'objet d'un examen attentif des équipes paiement et conformité de part et d'autre de l'Atlantique. Notre lecture, à froid : ACP résout un problème réel, mais en contourne plusieurs autres — particulièrement ceux qui structurent le marché européen.

Le contexte est concurrentiel. Anthropic a publié le Model Context Protocol (MCP) le 25 novembre 2024, posant la couche basse d'interopérabilité entre agents et outils. Visa a suivi avec son Trusted Agent Protocol (TAP) le 14 octobre 2025. Mastercard avance avec Agent Pay. Et Stripe, en s'alliant à OpenAI, frappe sur l'angle paiement avec un objectif clair : devenir le rail de référence des transactions agent-initiated.

Ce que couvre ACP : la mécanique transactionnelle

À sa lecture, ACP est un protocole pragmatique. Il définit comment un agent IA — typiquement un ChatGPT actant pour le compte d'un utilisateur — peut initier une transaction auprès d'un marchand, transmettre les éléments d'authentification nécessaires, et déclencher le paiement via l'infrastructure Stripe. Le périmètre couvre essentiellement trois zones :

• L'identification de l'agent appelant et la preuve qu'il agit sur mandat utilisateur (delegated authority)
• La structure de la requête transactionnelle : panier, montant, contexte de la demande, méthode de paiement
• L'orchestration du paiement côté Stripe, avec gestion des refus, des authentifications fortes, et du reporting marchand

L'approche est élégante côté ingénierie : ACP se greffe sur les API Stripe existantes plutôt que de réinventer un rail. Pour un marchand déjà équipé, l'intégration est mesurée en heures, pas en trimestres. C'est précisément ce qui explique l'adoption rapide aux États-Unis : friction technique quasi nulle, courbe d'apprentissage minimale.

Ce qu'ACP ne couvre pas : la couche gouvernance

La documentation publique d'ACP est éloquente par ce qu'elle ne dit pas. Aucune mention de chaîne de responsabilité humaine. Aucune définition d'un rôle de supervision dédié. Aucun mécanisme d'audit trail vérifiable indépendamment du fournisseur d'infrastructure. Aucun lien explicite avec les obligations documentaires de l'EU AI Act, dont l'enforcement haut-risque est désormais calé au 2 décembre 2027 après le Digital Omnibus.

Ces absences ne sont pas des oublis. Elles reflètent un choix de design : ACP se positionne comme couche transactionnelle, en laissant aux marchands et aux opérateurs d'agents la responsabilité de construire — ou non — les contrôles autour. Aux États-Unis, où le cadre réglementaire reste sectoriel et largement post-incident, ce choix est défendable. En Europe, il pose un problème structurel.

ACP est très bien pensé pour les équipes produit. Pour les équipes conformité, il faut tout reconstruire par-dessus. Et cette reconstruction, personne ne sait encore qui doit la porter contractuellement.

L'écart avec le standard ACF® européen

Le standard ACF® — Agentic Commerce Framework®, marque déposée à l'INPI — adresse explicitement ce que la documentation Stripe laisse hors périmètre. Premier standard ouvert européen sur la gouvernance des agents IA, ACF® ne cherche pas à concurrencer ACP sur l'orchestration du paiement. Il construit la couche supérieure : qui supervise l'agent, selon quels critères, avec quelle traçabilité.

Trois différences structurelles méritent d'être soulignées :

• Le rôle de Designated Delegated Agent Officer (DDAO) défini par ACF® formalise la supervision humaine que l'EU AI Act exige pour les usages à risque, ce qu'aucun protocole transactionnel américain n'aborde
• Le mécanisme d'audit trail prévu par ACF® repose sur des primitives cryptographiques permettant la vérification indépendante — là où ACP s'en remet à la confiance dans l'infrastructure Stripe
• L'articulation explicite avec les obligations documentaires européennes (registres, évaluations d'impact, gestion des incidents) est intégrée nativement, pas ajoutée en surcouche

Complémentarité plutôt que concurrence

L'angle d'attaque le plus juste, à ce stade, n'est pas d'opposer ACP et ACF®. Les deux instruments adressent des questions différentes : ACP industrialise l'exécution, ACF® cadre la gouvernance. Un marchand européen ambitionnant de servir des agents IA sans s'exposer à des sanctions AI Act aura, en pratique, besoin des deux — l'un pour traiter les flux, l'autre pour démontrer la conformité.

Le risque, observé chez plusieurs acteurs interrogés ces dernières semaines, est de prendre ACP pour un standard suffisant. Une source proche du dossier au sein d'un groupe e-commerce français résumait ainsi le sujet : "On a déployé ACP en deux semaines. On vient seulement de réaliser qu'on n'avait rien sur la gouvernance, et que c'est ça qui va nous être demandé en 2027." L'écart de calendrier entre la facilité d'intégration côté paiement et la lourdeur de la mise en conformité côté gouvernance est, à ce stade, le principal angle mort des projets observés.

Reste une question ouverte : le marché européen va-t-il se contenter d'empiler les standards américains et leur surcouche locale, ou émerger un véritable rail souverain articulant exécution et gouvernance dès la conception ? La réponse, à ce stade, n'est pas écrite. Mais elle se jouera dans les dix-huit prochains mois.