BlackRock et Morgan Stanley évaluent la gouvernance de l'intelligence artificielle

26.05.2026

8 min de lecture

Morgan Stanley et BlackRock ont intégré en mai 2026 explicitement la gouvernance de l’IA dans leur logique d’évaluation. Celui qui n’a pas de réponse au conseil d’administration sur la manière dont l’entreprise gère, contrôle et corrige l’IA risque désormais non pas une question de réputation, mais un dégrèvement mesurable. Cela change ce que l’on attend d’un conseil d’administration doté d’une CIO en 2026.

Les points clés en bref

La gouvernance de l’IA est un facteur d’évaluation : les investisseurs institutionnels intègrent la maturité de la gouvernance dans leurs évaluations multiples. Ceux qui n’ont pas une ligne de conduite solide entre la stratégie, le fonctionnement des modèles et l’audit perdent leur marge de manœuvre lors du prochain rendez-vous de refinancement ou de cession.
Le conseil d’administration exige trois réponses, pas dix : qui décide des IA productives, qui assume la responsabilité en cas de mauvaise décision, comment détecter et mettre en œuvre les corrections. Ceux qui ne peuvent pas fournir ces trois réponses en 90 secondes abandonnent leur mandat.
Le rôle de la CIO est redéfini : stratégie, risques et opérations convergent au sein du poste de CIO. Le mandat du conseil d’administration se déplace silencieusement dans de nombreux établissements du DAX et du MDAX. Ceux qui ne le façonnent pas activement reçoivent toutefois cette mission.

Le briefing du conseil d’administration, qui arrive maintenant

Ce qui a changé au cours des cinq premiers mois de 2026, ce n’est pas l’attention portée à l’IA au conseil d’administration – celle-ci était déjà élevée en 2024. Ce qui a changé, c’est la concision des questions. Aujourd’hui, ceux qui entrent dans le conseil d’administration d’une société cotée reçoivent leurs questions sans phase de préparation : quels modèles décident dans quels processus commerciaux, qui porte la responsabilité en cas de problème et comment détecter les écarts avant qu’ils ne deviennent visibles.

Les moteurs ne sont pas seulement les régulateurs. Ce sont les investisseurs. Morgan Stanley et BlackRock ont intégré en mai 2026, dans leur ligne de recherche sur les actions, la gouvernance de l’IA comme dimension d’évaluation indépendante, aux côtés de l’ESG et de la sécurité des données. Qu’est-ce que cela signifie dans la pratique ? Les entreprises dont la supervision de l’IA est mature obtiennent un surclassement. Ceux qui se situent plus faibles dans la même industrie perdent en valeur relative – même en l’absence d’incident public.

Connexes : AI dans le conseil d’administration : Qui décide, qui assume la responsabilité ?/ Qui définit, au sein du groupe, ce que l’IA considère comme vrai

Trois questions que chaque directeur des systèmes d’information doit pouvoir répondre

Ce qui fonctionne dans le boardroom en 2026, ce ne sont pas des diapositives sur la feuille de route de l’IA. Ce sont trois réponses clairement formulées, qui, en quelques phrases, dévoilent le niveau de maturité de l’organisation.

La première question concerne la structure décisionnelle. Quelle application productive de l’IA sera déployée à quel niveau ? Quelle instance peut y mettre un terme ? Qui remonte les décisions à qui ? Celui qui se contente de dire « nous avons un comité de pilotage IA » sans préciser le rythme trimestriel ni les pouvoirs de blocage n’a pas répondu à la question – il l’a simplement masquée.

La deuxième question porte sur la responsabilité juridique. Si une application productive de l’IA prend une mauvaise décision, qui assume la responsabilité interne ? Le conseil d’administration pour la décision stratégique, le département concerné pour l’utilisation opérationnelle, ou encore l’équipe IT pour la mise en œuvre technique ? Telle est la logique classique des trois lignes de défense. Mais elle est rarement formalisée avec suffisamment de clarté pour tenir face à un sinistre. En 2026, les conseils d’administration demandent explicitement le document, et non pas seulement l’idée.

La troisième question concerne la correction. Comment détecter le drift des modèles ? À quelle vitesse arrêter la production ? Et comment rendre compte du comportement anormal au conseil d’administration ? C’est précisément à ce stade que la plupart des entreprises se contentent encore de répondre « nous avons un système de monitoring ». Les membres du conseil d’administration écoutent alors plus attentivement – et réalisent que le monitoring n’est pas la gouvernance.

Où la gouvernance fait le plus souvent défaut

Trois points faibles ressortent régulièrement dans la pratique du conseil. Ils sont tous corrigibles, mais nécessitent un travail préalable.

Premièrement : l’absence d’un mandat clair sur les données. Quiconque évoque des modèles dans le cadre de l’IA sans définir précisément la responsabilité relative aux données d’entraînement et aux données d’entrée a manqué le véritable levier. Dans la région DACH, ce ne sont pas les modèles qui posent problème, mais bien les données.

Deuxièmement : l’IA fantôme reste invisible. Une chaîne marketing productive utilisant trois LLM externes, dont personne au sein du comité de pilotage n’a jamais entendu parler, n’est pas rare en 2026. Les conseils d’administration exigent un inventaire – et celui qui met trop longtemps à le fournir perd la confiance du boardroom pour six mois.

Troisièmement : l’absence de piste d’audit. Si, en cas de problème, on ne parvient pas à prouver en une heure quelle version du modèle a pris quelle décision et à quel moment, cela signifie qu’il n’existe pas de trace d’audit – seulement une description basique du flux de logs. Cette différence devient cruciale devant les tribunaux, et non lors d’une réunion trimestrielle.

Ce que le CEO et le CIO doivent accomplir en salle du conseil en 2026

La répartition des tâches entre la présidence du directoire et le CIO évolue actuellement vers une plus grande discrétion. Le CEO porte la stratégie et les relations extérieures, tandis que le CIO assume l’architecture IA productive. Ce qu’ils doivent porter ensemble, c’est la traduction dans un langage compréhensible par les conseils de surveillance sans réunion préparatoire.

Concrètement, cela signifie que le récit sur l’IA en salle du conseil doit tenir sur trois niveaux. Stratégique : où l’IA crée-t-elle de la valeur, où la détruit-elle ? Opérationnel : comment fonctionne le modèle de sélection, d’approbation et d’arrêt ? Risque : quels incidents sont survenus au cours du trimestre, et à quelle vitesse ont-ils été corrigés ? Une diapositive par niveau suffit – pas plus. Celui qui en ajoute davantage renvoie le mandat au conseil de surveillance.

Ce qui en découle est une vérité inconfortable pour de nombreux CIO. Ceux qui n’auront pas de réponse consolidée en 2026 ne reprendront pas le mandat – mais le délégueront à quelqu’un d’autre. À un CRO, à un CFO, ou à des consultants externes. Pour éviter cela, il faut rédiger activement ces trois niveaux avant que la prochaine réunion en salle du conseil ne les exige.

Maturité en gouvernance (prime de multiple)

Inventaire IA consolidé avec responsables par cas d’usage
Procédure d’approbation documentée avec voies d’escalade et d’arrêt
Rapport trimestriel au conseil de surveillance sur trois niveaux
Piste d’audit par version de modèle et point de décision

Immaturité en gouvernance (décote de multiple)

Shadow AI dans le marketing ou les ventes sans inventaire
Monitoring au lieu de gouvernance, sans mandat d’arrêt en première ligne
Attentes orales sur les trois lignes sans responsabilité documentée
Mandat sur les données absent – les modèles fonctionnent sans responsabilité claire sur les entrées

Foire aux questions

Comment la gouvernance de l’IA se concrétise-t-elle dans l’évaluation par les investisseurs ?

Via des majorations de multiplicateurs dans les rapports de recherche boursière, via les conditions de refinancement et via les attentes lors des processus de due diligence. Le mouvement est discret mais cohérent. Les entreprises classées comme matures en gouvernance au sein d’un même groupe de pairs obtiennent une valorisation supérieure de 5 à 12 % par rapport à l’entreprise la plus faible du comparatif.

Quel rôle joue le règlement IA de l’UE (AI Act) dans les conseils d’administration ?

Le règlement IA de l’UE constitue un standard minimum, pas une stratégie. Celui qui le traite comme une simple conformité répond à la mauvaise question. Les investisseurs vérifient si l’entreprise va au-delà des obligations légales ; sinon, elle reste à un niveau de maturité réactif, visible dans la concurrence.

En cas de litige, qui porte la responsabilité des décisions erronées de l’IA ?

Généralement, le directoire pour la décision stratégique, le département métier pour l’utilisation opérationnelle et le DSI pour le déploiement technique. L’essentiel est que cette logique des trois lignes de défense soit formalisée par écrit ; les attentes orales ne tiennent pas en cas de préjudice.

Comment identifier l’IA fantôme (Shadow AI) dans une entreprise ?

Par l’analyse du trafic réseau vers les API de grands modèles de langage (LLM) connus, par des audits d’inventaire SaaS et par des entretiens avec les départements métier sous garantie claire de protection. Si l’on commence par la pression punitive, on n’obtient pas de réponses complètes ; l’enquête doit être présentée comme un inventaire, non comme un audit.

Quel niveau de maturité est acceptable pour un conseil d’administration en 2026 ?

Pragmatiquement : un inventaire des IA productives avec responsables désignés, une procédure d’approbation documentée, un mandat d’arrêt à la première ligne, un reporting trimestriel au conseil de surveillance. Qui dispose de cela n’est pas parfait, mais fait partie du tiers supérieur du groupe de pairs DACH.

Source image de couverture : Pexels / Google DeepMind (px:25626433)