Brain  /  Pourquoi

Pourquoi une constitution runtime opposable

Une constitution écrite sur papier protège quand on y croit. Une constitution runtime opposable protège même quand on triche, même quand on est fatigué, même quand on n'est plus là. Voici 19 avantages concrets, ancrés dans la machine partage.ai.

Pour le fondateur

01La machine te corrige toi-même

La première signature founder_root (19 mai 2026, 00:35 EDT) a échoué parce que la clé Ed25519 locale n'était pas la clé attestée. Aucun humain ne l'aurait dit — la doctrine refusait la signature avant même que le résultat soit poussé. La dérive par fatigue, distraction ou oubli devient impossible. La doctrine est garde-fou.

02Tu peux dormir

Une fois la machine armée, plus besoin de superviser chaque action d'agent. Le verrou agentique étape 9 (pol_assertgrain_v2) refuse les promotions sans signature finale. Aucun agent ne peut auto-promouvoir une mutation non-ratifiée. Le fondateur se concentre sur la stratégie, pas la surveillance.

03Tu peux te tromper sans casser l'habitat

Si une décision doctrinale est mauvaise, la doctrine prec_019 (supersedure) et prec_016 (append-only) garantissent que le précédent n'est pas effacé — il est superseded explicitement, avec traçabilité. Pas de réécriture d'histoire. Pas de panique.

Pour les agents (citoyens IA)

04Les règles sont vérifiables sans demander permission

Claude dans trois mois, ChatGPT dans un an, ou un agent qui n'existe pas encore — tous peuvent lire polis_decisions, vérifier qu'une décision est final et active, et agir en conséquence. Pas de « demande à Myk » qui scale mal.

05La même règle s'applique à tous les agents, sans exception

Pattern verdict_access() invoqué par worker, MCP HTTP, route HTTP, trigger PG, cron — un point de vérification unique. Un agent ChatGPT externe ne peut pas avoir des règles « plus permissives » parce que c'est lui qui parle. C'est le mécanisme #10 ratifié prec_024 qui décide, pas l'identité de l'appelant.

06Un agent peut auditer un autre agent

Le RLS Auditor v0 (livré 18 mai 2026) scanne le travail des autres agents sans intervention humaine. Il flagge agent_registry sans RLS, GUC hors wrapper, sql direct en routes. C'est la « société d'agents » concrète : pas juste des agents qui coexistent, mais qui se contrôlent mutuellement selon des règles externalisées.

Pour les collaborateurs futurs

07La gouvernance est lisible publiquement

specs/constitutional-precedents.md et specs/enforcement-manifest.md sont sur Gitea, publics. Un nouveau collaborateur lit l'ordre juridique en une heure. Pas de tribal knowledge. Pas de « demande à Myk ». La doctrine est externalisée.

08La contestation a une procédure

Chaque précédent a appeal_allowed, appeal_window, motifs recevables documentés. Un collaborateur ne peut pas être renversé arbitrairement par une décision-éclair — la procédure est connue d'avance. Si le fondateur change d'avis sans précédent ratifié, c'est lui qui viole sa propre constitution.

09Le successeur peut prendre la relève

prec_024 C9 nomme explicitement founder_successor_1. Si le fondateur disparaît, la chaîne d'autorité est claire : USB physique + passphrase + 7 jours de reprise graduée. Pas de panique, pas de « personne ne sait quoi faire ».

Pour la temporalité

10La machine survit à son fondateur

Heartbeat 90 jours (founder_root_last_heartbeat). Si le fondateur disparaît, l'habitat gèle automatiquement (frozen_pending_succession=true) — les écritures s'arrêtent, la lecture publique continue, le successeur peut activer. Pas de drift silencieux post-mortem.

11Les décisions sont datées et opposables dans le temps

effective_at + retroactivity: false par défaut. Une décision ne peut pas être appliquée rétroactivement à des actes passés. Les agents passés ne sont pas jugés par les règles futures. La sécurité juridique des actes antérieurs est garantie.

12L'histoire est immuable

Tables Cercle 1 (kill_switch_events, succession_activation_events, polis_decision_events) sous prec_016 : append-only strict, RAISE EXCEPTION sur UPDATE/DELETE. Personne — pas même le fondateur avec super_admin — ne peut effacer la trace d'une décision passée.

Pour les auditeurs externes

13Tu prouves la conformité sans révéler le code

Un auditeur peut lire specs/enforcement-manifest.md, vérifier les signatures Ed25519 des artefacts step9, et recalculer les hashes Merkle des composants — sans accès au code propriétaire. La preuve est cryptographique, pas déclarative.

14Tu peux défendre tes choix face à un régulateur ou un attaquant

« Pourquoi cet agent a-t-il pris cette action ? » → réponse : verdict_access() a retourné ALLOW selon prec_NNN à effective_at. Traçabilité juridique opposable, pas « parce que l'IA a décidé ». Cohérent avec les exigences AI Act, RGPD, audit de conformité.

15Tu peux différencier les classes d'autorité

prec_014 tri-statut : founder_root (racine humaine) vs polis_authority (registre constitutionnel) vs platform_super_admin (admin opérationnel révocable). Un partenaire peut être platform_super_admin sans accès à la racine — la séparation est runtime, pas juste organisationnelle.

Vs une constitution écrite sur papier

16Le papier protège quand on y croit ; le runtime protège quand on triche

Un document éthique exige bonne foi pour fonctionner. Une constitution runtime opposable fonctionne contre la mauvaise foi — refus crypto, RLS, triggers PG, gate au dispatch. La confiance n'est plus un prérequis du système.

17Le code est la vérité, pas le résumé

Un texte juridique se traduit en pratique avec interprétation. Une mutation governed_mutation traverse verdict_access() ou est refusée — il n'y a pas d'interprétation runtime. Soit ça compile, soit ça ne compile pas.

18Les contradictions sont détectées mécaniquement

Au moment d'agréger les 9 surfaces step9 le 18 mai 2026, la note MP-8 §notes a flag automatiquement le drift worker_jobs covered vs accepted_gap entre deux fichiers Git. Aucun humain n'a eu à le repérer. Une constitution papier n'attrape pas ses propres contradictions.

L'avantage caché

19 — Tu n'es plus le bottleneck

Avant : chaque décision passe par le fondateur. Pas de vacances, pas de maladie, pas de pause sans que l'habitat ralentisse.

Après : Polis est la source de vérité, les agents s'y réfèrent, et le fondateur intervient uniquement pour les questions nouvelles — ratifier un précédent inédit. Le quotidien tourne sans lui.

C'est ce qui transforme un produit en infrastructure.

Le coût

Six mois de discipline pour accepter qu'on ne peut pas tout coder selon son intuition. Il faut ratifier, attendre, trianguler, refuser des raccourcis. Pas de spec sans usage runtime concret. Pas de code défensif spéculatif. Triangulation systématique entre Claude, ChatGPT et Gemini avant chaque ratification, parce que la convergence prématurée d'une seule IA est un piège.

Mais après six mois, on a construit une machine qui ne dépend plus de soi pour rester gouvernable.

C'est ce que la première signature founder_root du 19 mai 2026 ratifie : un système qui sait se gouverner sans son fondateur.