9 Min. Temps de lecture

Lors de la dernière conférence de presse sur les résultats d’un groupe du DAX, une personne siégeait au conseil de surveillance avec un mandat explicite en matière d’IA. Pour treize autres, ce n’était pas le cas. Ce n’est pas une statistique, c’est une situation de gouvernance. Qui parle en mai 2026 de responsabilité liée à NIS2, de l’acte européen sur l’IA et de résilience des chaînes d’approvisionnement parle de sujets qui ont actuellement rarement un siège responsable au conseil de surveillance.

Les points clés en bref

• Le mandat technologique au conseil de surveillance n’est pas un luxe en 2026 : la responsabilité de la direction des affaires liée à NIS2, l’acte européen sur l’IA avec un cadre de sanctions à partir de février 2026 et la pipeline de données CSRD en cours lient les organes de surveillance à des questions techniques détaillées pour lesquelles de nombreux conseils ne sont pas équipés en personnel.
• L’écart de compétences est mesurable et non ressenti : dans une analyse de la DSW sur les conseils de surveillance du DAX et du MDAX, moins d’un cinquième des membres ont indiqué, lors d’une auto-évaluation, qu’ils pouvaient prendre des décisions responsables en matière de questions de risque liées à l’IA sans conseil externe.
• Le comité d’audit et des risques supporte la principale pression : qui attribue des mandats technologiques sans doter le comité d’audit de compétences technologiques structurelles déplace le risque vers un endroit qui ne peut pas le vérifier. La conséquence est que les projets de décision sont formellement approuvés par la direction et le conseil de surveillance sans que quelqu’un ne valide indépendamment le contenu.

LiéIA au sein du conseil d’administration : Qui décide, qui est responsable ?  /  Les portefeuilles SaaS ont besoin d’une stratégie de sortie

Ce qui a changé

Il y a dix ans, l’argumentation habituelle contre un mandat technologique au conseil de surveillance était que les sujets opérationnels relevaient de la direction générale et que le conseil de surveillance devait se concentrer sur la stratégie, les finances et les questions de personnel. Cette argumentation a été épuisée. La situation réglementaire a entraîné le conseil de surveillance dans des responsabilités techniques, qu’il le veuille ou non.

Trois changements expliquent cela. Premièrement : NIS2 rend la direction générale personnellement responsable des défaillances en matière de cybersécurité, ce qui oblige le conseil de surveillance à surveiller cette obligation. Deuxièmement : l’acte européen sur l’IA exige pour les systèmes à haut risque une gestion des risques, une gouvernance des données et des évaluations de conformité que le conseil de surveillance, en tant qu’organe de contrôle, ne peut déléguer sans risquer d’être tenu pour responsable de sa propre obligation de diligence. Troisièmement : la déclaration CSRD oblige les conseils de surveillance à vérifier la qualité des données, ce qui ne peut être fait de manière sérieuse sans compréhension de l’informatique.

Qui connaît trois changements structurels simultanément et ne réagit pas dans la planification du personnel du conseil de surveillance a une lacune qui sera mentionnée dans les rapports des auditeurs au cours des prochains trimestres.

À quoi ressemble concrètement un mandat technologique

Un mandat technologique n’est pas une position supplémentaire de conseil de surveillance avec une description de tâches floue. Il s’agit d’une responsabilité ancrée dans les statuts qui comprend au moins quatre éléments.

Le mandat d’escalade est particulièrement gênant. Il crée une ligne directe entre la direction technologique et le conseil de surveillance, qui n’était historiquement pas souhaitée dans de nombreuses entreprises parce qu’elle contourne la hiérarchie des rapports. En 2026, c’est pourtant la seule façon de satisfaire proprement aux exigences de la NIS2 en matière de connaissance du conseil d’administration.

Les profils qui manquent actuellement

L’observation honnête issue des entretiens de sondage menés par les consultants en recrutement pour les nominations au conseil de surveillance au cours des derniers trimestres : les profils de CIO classiques sont disponibles, mais ils ne correspondent souvent pas à l’image des exigences. Ce qui est recherché, c’est un mélange de responsabilité technologique opérationnelle, d’expérience réglementaire et de capacité à argumenter au sein du comité sans PowerPoint.

Il est frappant de constater que la plupart de ces profils sont sous-représentés dans les pools de consultants en recrutement. Ils ne sont pas rares en chiffres absolus, mais ils se manifestent moins souvent d’eux-mêmes et doivent être contactés activement. Cela prolonge les délais de nomination et pousse la déclaration initiale vers des mandats de conseil externes, ce qui est judicieux comme solution transitoire, mais coûteux comme solution permanente.

Ce que devrait contenir le calendrier de perception

Quiconque n’intègre pas l’adaptation de l’ordre du jour au mois 3 ou 4 retarde l’ensemble du processus d’au moins un cycle de conseil de surveillance. Les modifications de l’ordre du jour sont des décisions rares qui ne peuvent être prises entre-temps.

Ombres de responsabilité et risques silencieux

Une observation qui revient régulièrement dans les coachings de direction. Les membres du conseil de surveillance demandent des assurances D&O, des clauses d’exonération de responsabilité, des risques personnels. Ce qu’ils demandent moins, c’est comment une assurance peut intervenir en cas d’incident lié à l’IA si les membres de l’organe de surveillance ont formellement approuvé une proposition de décision dont ils ne pouvaient pas évaluer la substance technique.

Les contrats D&O contiennent dans la plupart des versions récentes des clauses relatives à la diligence requise. Quiconque remplit la diligence requise par le biais d’une consultation externe est couvert tant que la consultation est documentée et que le conseil de surveillance a prouvé qu’il était informé. Quiconque délègue la diligence requise exclusivement à la direction sans capacité d’évaluation propre a un angle mort dans la couverture d’assurance.

C’est précisément cet angle mort que comble un mandat technologique. Il ne s’agit donc pas seulement d’une question d’hygiène de gouvernance, mais aussi d’une question de protection d’assurance pour les membres de l’organe de surveillance eux-mêmes.

Ce qui change après douze mois

Dans les rares structures de groupe où un mandat technologique est institutionnalisé depuis 18 mois ou plus, trois changements apparaissent, qui sont mesurables de manière opérationnelle. Premièrement : les propositions de décision relatives aux investissements en TI et en IA sont révisées plus tôt. Le taux de propositions rejetées par le conseil de surveillance dès le premier examen diminue nettement, car la direction prend déjà en compte la perspective du mandat technologique.

Deuxièmement : le temps de réaction aux incidents de cybersécurité qui doivent informer l’organe de surveillance se réduit de semaines à jours. Le canal d’escalade fonctionne dès qu’il est utilisé.

Troisièmement : dans le rapport de l’auditeur sur l’évaluation de la gouvernance, les remarques sur l’absence de compétences en TI au sein du conseil de surveillance disparaissent. Ce n’est pas un effet cosmétique. Les évaluations de l’organe de surveillance dans les annexes des auditeurs sont de plus en plus lues par les investisseurs institutionnels comme un signal de réputation.

Foire aux questions

Conseils de lecture de la rédaction

• IA au sein du conseil d’administration : Qui décide, qui est responsable ?
• Les portefeuilles SaaS ont besoin d’une stratégie de sortie, pas d’un nouvel outil
• La politique des matières premières devient une politique technologique

Source de l’image : E. (. SumOfUs) / Wikimedia Commons (CC BY 2.0). Photo : Dépôt des exigences pour l’AI Act de l’UE, Parlement européen de Strasbourg.