Mandat technologique au conseil de surveillance : NIS2, EU AI Act et déficit de compétences

20.05.2026

9 min de lecture

Lors de la dernière conférence de presse sur les résultats d’une entreprise du DAX, une personne avec un mandat explicite en IA siégeait au conseil de surveillance. Pour treize autres, ce n’était pas le cas. Ce n’est pas une statistique, c’est une situation de gouvernance. Ceux qui parlent en mai 2026 de la responsabilité NIS2, de l’EU AI Act et de la résilience des chaînes d’approvisionnement abordent des sujets qui, actuellement, ont rarement un siège responsable au conseil de surveillance.

Les points clés en bref

Le mandat technologique au conseil de surveillance ne sera pas un nice-to-have en 2026 : la responsabilité de la direction des affaires NIS2, l’EU AI Act avec un cadre de sanctions à partir de février 2026 et le pipeline de données CSRD en cours impliquent les organes de surveillance dans des questions techniques détaillées pour lesquelles de nombreux comités ne sont pas personnellement préparés.
L’écart de compétences est mesurable, pas ressenti : dans une analyse de la DSW des conseils de surveillance du DAX et du MDAX, moins d’un cinquième des membres ont déclaré pouvoir prendre des décisions responsables sur les questions de risque liées à l’IA sans conseil externe.
Le comité d’audit et de risque supporte la principale pression : celui qui attribue des mandats technologiques sans doter structurellement le comité d’audit de compétences technologiques déplace le risque vers un endroit qui ne peut pas le vérifier. La conséquence est des propositions de résolution que la direction et le conseil de surveillance approuvent formellement, sans que personne ne valide le contenu de manière indépendante.

Ce qui a changé

Il y a dix ans, l’argumentation habituelle contre un mandat technologique au conseil de surveillance était que les questions opérationnelles relevaient de la direction et que le conseil de surveillance devait se concentrer sur la stratégie, les finances et les questions de personnel. Cet argument est désormais obsolète. La situation réglementaire a impliqué le conseil de surveillance dans des responsabilités techniques, qu’il le veuille ou non.

Trois changements sont à l’origine de cette situation. Premièrement : NIS2 rend la direction personnellement responsable des manquements en matière de cybersécurité, ce qui oblige le conseil de surveillance à surveiller cette obligation. Deuxièmement : l’EU AI Act exige pour les systèmes à haut risque un management des risques, une gouvernance des données et des évaluations de conformité que le conseil de surveillance, en tant qu’organe de contrôle, ne peut pas déléguer sans entrer dans sa propre obligation de diligence. Troisièmement : le reporting CSRD oblige les conseils de surveillance à vérifier la qualité des données, ce qui ne peut pas fonctionner sérieusement sans compréhension de l’IT.

Celui qui vit trois changements structurels simultanés et ne réagit pas dans la planification du personnel du conseil de surveillance a une lacune qui sera mentionnée dans les rapports des commissaires aux comptes dans les prochains trimestres.

À quoi ressemble un mandat technologique concret

Un mandat technologique n’est pas une position supplémentaire au conseil de surveillance avec une description de poste floue. C’est une responsabilité ancrée dans le règlement intérieur, qui comprend au moins quatre éléments.

Quatre éléments d’un mandat technologique solide

Mandat de risque : Responsabilité principale au sein du comité des risques pour la sécurité informatique, les systèmes d’intelligence artificielle et le traitement des données avec obligation de présentation de décisions pour l’ensemble du conseil de surveillance
Mandat d’audit : Participation au comité d’audit pour l’examen du pipeline de données CSRD et des contrôles internes pour les processus de reporting basés sur l’intelligence artificielle
Mandat d’investissement : Avis sur les investissements informatiques et en intelligence artificielle au-dessus d’un seuil défini dans les statuts, avec examen des cas d’affaires au-delà de la simple rentabilité économique
Mandat d’escalade : Canal de rapport direct du CISO et du CIO au mandat technologique au sein du conseil de surveillance, sans que la direction générale ne serve de filtre intermédiaire

En particulier, le mandat d’escalade est le point délicat. Il crée une ligne directe entre la direction technologique et le conseil de surveillance, qui n’a souvent pas été souhaitée historiquement dans de nombreuses entreprises, car elle contourne la hiérarchie de rapport. En 2026, c’est pourtant le seul moyen de répondre correctement aux exigences NIS2 en matière de connaissance de l’organe de surveillance.

Les profils qui manquent actuellement

L’observation honnête des discussions exploratoires menées par les chasseurs de têtes au cours des derniers trimestres pour les nominations au conseil de surveillance est la suivante : les profils classiques de CIO sont disponibles, mais ils ne correspondent souvent pas aux exigences. Ce qui est recherché est un mélange de responsabilité opérationnelle technologique, d’expérience réglementaire et de la capacité à argumenter au sein du comité sans PowerPoint.

Ce qui ne fonctionne pas

Ancien CIO de groupe sans expérience de la réglementation européenne
Investisseur technologique avec un fonds sans expérience opérationnelle
Profil universitaire avec une chaire en intelligence artificielle sans expérience de direction
Profil de consultant issu des Big Four sans responsabilité propre dans les activités opérationnelles
Ancien représentant des autorités de sécurité sans rôle entrepreneurial

Ce qui fonctionne

Ancien CIO ou CISO avec expérience dans des secteurs réglementés
Directeur général d’une filiale technologique avec mandat au conseil de surveillance dans une structure de groupe
CDO avec responsabilité propre pour la gouvernance de l’intelligence artificielle dans un groupe international
Commissaire aux comptes avec accent sur l’audit informatique et expérience au conseil de surveillance
COO d’une entreprise technologique avec responsabilité avérée au conseil d’administration pour la cybersécurité

Il est frappant de constater que la plupart de ces profils sont sous-représentés dans les viviers de cabinets de recrutement. Ils ne sont pas rares en nombre absolu, mais ils se manifestent moins souvent d’eux-mêmes et doivent être activement sollicités. Cela prolonge les délais de nomination et pousse la première déclaration vers des mandats de conseil externes, ce qui est judicieux comme solution transitoire, mais coûteux comme solution permanente.

Ce qui doit figurer dans le calendrier de perception

Chronologie : Maturité du mandat technologique en 12 mois

Mois 1-2 : Auto-évaluation des compétences existantes du conseil de surveillance en matière d’IA, de cybersécurité et d’architecture de données
Mois 3-4 : Adaptation du règlement intérieur, définition des domaines de mandat, décision par l’ensemble de l’organe
Mois 5-7 : Recherche de personnel, sondage des membres existants pour des solutions internes, recherche externe en parallèle
Mois 8-10 : Intégration, mise en place du canal d’escalade, premiers modèles de réunion avec responsabilité du mandat technologique
Mois 11-12 : Premier rapport régulier à l’assemblée générale avec déclaration du mandat technologique

Celui qui ne prend pas en compte l’adaptation du règlement intérieur au mois 3 ou 4 retarde l’ensemble du processus d’au moins un cycle du conseil de surveillance. Les modifications du règlement intérieur sont des décisions rares qui ne peuvent pas être prises entre-temps.

Ombres de responsabilité et risques silencieux

Une observation qui revient souvent dans les coachings de conseils d’administration. Les membres du conseil de surveillance posent des questions sur l’assurance D&O, sur les clauses d’exclusion de responsabilité, sur les risques personnels. Ce qu’ils demandent moins, c’est comment une assurance peut intervenir en cas d’incident lié à l’IA, lorsque les membres de l’organe de surveillance ont formellement approuvé un projet de décision dont ils ne pouvaient pas évaluer la substance technique.

Les contrats D&O contiennent dans la plupart des versions récentes des clauses sur l’obligation de diligence requise. Celui qui remplit l’obligation de diligence par le biais de conseils externes est protégé, tant que le conseil est documenté et que le conseil de surveillance s’est informé de manière prouvable. Celui qui délègue l’obligation de diligence exclusivement à la direction, sans capacité d’évaluation propre, a une zone d’ombre dans le manteau d’assurance.

C’est précisément cette zone d’ombre qu’un mandat technologique comble. Il ne s’agit donc pas seulement d’une question d’hygiène de gouvernance, mais aussi d’une question de protection d’assurance des membres de l’organe de surveillance eux-mêmes.

Ce qui change après douze mois

Dans les rares structures d’entreprise où un mandat technologique est institutionnalisé depuis 18 mois ou plus, trois changements mesurables opérationnellement apparaissent. Premièrement : les projets de décision concernant les investissements en IT et en IA sont révisés plus tôt. Le taux de projets rejetés par le conseil de surveillance lors de la première tentative diminue considérablement, car la direction intègre déjà la perspective du mandat technologique.

Deuxièmement : le temps de réaction aux incidents de cybersécurité qui doivent informer l’organe de surveillance passe de semaines à jours. Le canal d’escalade fonctionne dès qu’il a été utilisé une fois.

Troisièmement : dans le rapport du commissaire aux comptes sur l’évaluation de la gouvernance, les indications de manque de compétence en IT au sein du conseil de surveillance disparaissent. Ce n’est pas un effet cosmétique. Les évaluations des organes de surveillance dans les annexes des commissaires aux comptes sont de plus en plus lues par les investisseurs institutionnels comme un signal de réputation.

Foire aux questions

Un mandat tech est-il obligatoire dans le conseil de surveillance selon les statuts ?

Pas directement, mais indirectement. NIS2 et le EU AI Act exigent une compétence de surveillance qui, sans une personne appropriée dans l’organe, n’est pratiquement pas démontrable. Une ancrage dans le règlement intérieur est plus propre qu’une référence informelle à un conseil externe, car elle est documentée de manière vérifiable dans l’annexe de l’auditeur économique.

Qui peut être porteur d’un mandat tech ?

D’anciens CIO ou CISOs de secteurs réglementés, des COOs ou CDOs avec leur propre responsabilité en matière de gouvernance de l’IA dans des groupes internationaux, ainsi que des auditeurs économiques avec un accent sur l’audit informatique et une expérience au conseil de surveillance. Les profils de conseil purs sans responsabilité opérationnelle ne portent pas le mandat en pratique.

Quel est l’effort supplémentaire d’un mandat tech par rapport aux devoirs classiques du conseil de surveillance ?

Réalistement, 30 à 50 pour cent de temps en plus qu’un mandat classique, surtout dans les 12 premiers mois après la mise en place. L’effort supplémentaire provient des réunions spéciales sur les incidents, de l’intégration dans le paysage technologique spécifique de l’entreprise et de la mise en place du canal d’escalade.

Quelle est la rémunération habituelle pour un mandat tech ?

Dans le cadre du DAX, la majoration par rapport au mandat standard du conseil de surveillance est de 30 à 60 pour cent, dans le MDAX de 20 à 40 pour cent. Dans les PME, une pause forfaitaire pour les réunions spéciales est souvent appliquée, car la rémunération des réunions principales couvre rarement l’effort supplémentaire.

Comment la D&O intervient-elle en cas d’incident d’IA sans mandat tech ?

Avec des restrictions. Les nouveaux contrats D&O exigent une diligence raisonnable traçable. Celui qui approuve les sujets technologiques sans capacité d’évaluation documentée et qui subit un incident majeur peut se retrouver dans une situation où l’assurance invoque une faute personnelle. Un conseil externe avec un protocole documenté protège formellement, mais est plus coûteux qu’un mandat tech institutionnalisé.