8 min. Temps de lecture

Morgan Stanley et BlackRock ont intégré en mai 2026 explicitement la gouvernance de l’IA dans leur logique d’évaluation. Celui qui n’a pas de réponse au conseil d’administration sur la manière dont l’entreprise gère, contrôle et corrige l’IA risque désormais non pas une question de réputation, mais un dégrèvement mesurable. Cela change ce que l’on attend d’un conseil d’administration doté d’une CIO en 2026.

Les points clés en bref

• La gouvernance de l’IA est un facteur d’évaluation : les investisseurs institutionnels intègrent la maturité de la gouvernance dans leurs évaluations multiples. Ceux qui n’ont pas une ligne de conduite solide entre la stratégie, le fonctionnement des modèles et l’audit perdent leur marge de manœuvre lors du prochain rendez-vous de refinancement ou de cession.
• Le conseil d’administration exige trois réponses, pas dix : qui décide des IA productives, qui assume la responsabilité en cas de mauvaise décision, comment détecter et mettre en œuvre les corrections. Ceux qui ne peuvent pas fournir ces trois réponses en 90 secondes abandonnent leur mandat.
• Le rôle de la CIO est redéfini : stratégie, risques et opérations convergent au sein du poste de CIO. Le mandat du conseil d’administration se déplace silencieusement dans de nombreux établissements du DAX et du MDAX. Ceux qui ne le façonnent pas activement reçoivent toutefois cette mission.

Connexes :AI dans le conseil d’administration : Qui décide, qui assume la responsabilité ?  /  Qui définit, au sein du groupe, ce que l’IA considère comme vrai

Qu’est-ce que la gouvernance de l’IA dans le conseil d’administration ? La gouvernance de l’IA est la structure de supervision qui permet à une entreprise de lancer, de surveiller et de corriger les applications d’IA productives en cas de dommages. Elle comprend trois axes : la stratégie (conseil d’administration), les opérations (domaine spécialisé) et la mise en œuvre technique (CIO). En 2026, les investisseurs évalueront la maturité de ces axes comme un facteur multiplicateur indépendant, aux côtés de l’ESG et de la sécurité des données.

Le briefing du conseil d’administration, qui arrive maintenant

Ce qui a changé au cours des cinq premiers mois de 2026, ce n’est pas l’attention portée à l’IA au conseil d’administration – celle-ci était déjà élevée en 2024. Ce qui a changé, c’est la concision des questions. Aujourd’hui, ceux qui entrent dans le conseil d’administration d’une société cotée reçoivent leurs questions sans phase de préparation : quels modèles décident dans quels processus commerciaux, qui porte la responsabilité en cas de problème et comment détecter les écarts avant qu’ils ne deviennent visibles.

Les moteurs ne sont pas seulement les régulateurs. Ce sont les investisseurs. Morgan Stanley et BlackRock ont intégré en mai 2026, dans leur ligne de recherche sur les actions, la gouvernance de l’IA comme dimension d’évaluation indépendante, aux côtés de l’ESG et de la sécurité des données. Qu’est-ce que cela signifie dans la pratique ? Les entreprises dont la supervision de l’IA est mature obtiennent un surclassement. Ceux qui se situent plus faibles dans la même industrie perdent en valeur relative – même en l’absence d’incident public.

Trois questions que chaque directeur des systèmes d’information doit pouvoir répondre

Ce qui fonctionne dans le boardroom en 2026, ce ne sont pas des diapositives sur la feuille de route de l’IA. Ce sont trois réponses clairement formulées, qui, en quelques phrases, dévoilent le niveau de maturité de l’organisation.

La première question concerne la structure décisionnelle. Quelle application productive de l’IA sera déployée à quel niveau ? Quelle instance peut y mettre un terme ? Qui remonte les décisions à qui ? Celui qui se contente de dire « nous avons un comité de pilotage IA » sans préciser le rythme trimestriel ni les pouvoirs de blocage n’a pas répondu à la question – il l’a simplement masquée.

La deuxième question porte sur la responsabilité juridique. Si une application productive de l’IA prend une mauvaise décision, qui assume la responsabilité interne ? Le conseil d’administration pour la décision stratégique, le département concerné pour l’utilisation opérationnelle, ou encore l’équipe IT pour la mise en œuvre technique ? Telle est la logique classique des trois lignes de défense. Mais elle est rarement formalisée avec suffisamment de clarté pour tenir face à un sinistre. En 2026, les conseils d’administration demandent explicitement le document, et non pas seulement l’idée.

La troisième question concerne la correction. Comment détecter le drift des modèles ? À quelle vitesse arrêter la production ? Et comment rendre compte du comportement anormal au conseil d’administration ? C’est précisément à ce stade que la plupart des entreprises se contentent encore de répondre « nous avons un système de monitoring ». Les membres du conseil d’administration écoutent alors plus attentivement – et réalisent que le monitoring n’est pas la gouvernance.

Où la gouvernance fait le plus souvent défaut

Trois points faibles ressortent régulièrement dans la pratique du conseil. Ils sont tous corrigibles, mais nécessitent un travail préalable.

Premièrement : l’absence d’un mandat clair sur les données. Quiconque évoque des modèles dans le cadre de l’IA sans définir précisément la responsabilité relative aux données d’entraînement et aux données d’entrée a manqué le véritable levier. Dans la région DACH, ce ne sont pas les modèles qui posent problème, mais bien les données.

Deuxièmement : l’IA fantôme reste invisible. Une chaîne marketing productive utilisant trois LLM externes, dont personne au sein du comité de pilotage n’a jamais entendu parler, n’est pas rare en 2026. Les conseils d’administration exigent un inventaire – et celui qui met trop longtemps à le fournir perd la confiance du boardroom pour six mois.

Troisièmement : l’absence de piste d’audit. Si, en cas de problème, on ne parvient pas à prouver en une heure quelle version du modèle a pris quelle décision et à quel moment, cela signifie qu’il n’existe pas de trace d’audit – seulement une description basique du flux de logs. Cette différence devient cruciale devant les tribunaux, et non lors d’une réunion trimestrielle.

Ce que le CEO et le CIO doivent accomplir en salle du conseil en 2026

La répartition des tâches entre la présidence du directoire et le CIO évolue actuellement vers une plus grande discrétion. Le CEO porte la stratégie et les relations extérieures, tandis que le CIO assume l’architecture IA productive. Ce qu’ils doivent porter ensemble, c’est la traduction dans un langage compréhensible par les conseils de surveillance sans réunion préparatoire.

Concrètement, cela signifie que le récit sur l’IA en salle du conseil doit tenir sur trois niveaux. Stratégique : où l’IA crée-t-elle de la valeur, où la détruit-elle ? Opérationnel : comment fonctionne le modèle de sélection, d’approbation et d’arrêt ? Risque : quels incidents sont survenus au cours du trimestre, et à quelle vitesse ont-ils été corrigés ? Une diapositive par niveau suffit – pas plus. Celui qui en ajoute davantage renvoie le mandat au conseil de surveillance.

Ce qui en découle est une vérité inconfortable pour de nombreux CIO. Ceux qui n’auront pas de réponse consolidée en 2026 ne reprendront pas le mandat – mais le délégueront à quelqu’un d’autre. À un CRO, à un CFO, ou à des consultants externes. Pour éviter cela, il faut rédiger activement ces trois niveaux avant que la prochaine réunion en salle du conseil ne les exige.

Foire aux questions

Source image de couverture : Pexels / Google DeepMind (px:25626433)

Poursuivre la lecture

• L’IA au directoire : qui décide, qui engage la responsabilité ?
• Qui dans le groupe définit ce que l’IA considère comme vrai
• Mandats technologiques au conseil de surveillance : NIS2, règlement IA de l’UE et lacune de compétences

Plus depuis le réseau MBF Media