- Le CA supervise les décisions stratégiques IA sur la base des présentations produites par la direction qu'il supervise. Un cadre d'évaluation propre est nécessaire.
- Le droit français (article L.225-251), le droit suisse (article 754 CO), la loi de Vigilance et l'AI Act suffisent à engager la responsabilité des administrateurs sur les décisions IA structurantes.
- La pression des investisseurs et des régulateurs s'institutionnalise : Glass Lewis a inscrit la supervision IA dans ses politiques de vote 2025, la FINMA en fait son premier domaine de surveillance, et un administrateur a été personnellement sanctionné par la SEC en octobre 2024.
Un président de conseil reçoit en séance une présentation de son directeur général sur la « stratégie IA du groupe ». Slides élaborées, chiffres impressionnants, partenariats annoncés avec trois éditeurs majeurs. À aucun moment la présentation ne mentionne les dépendances créées, les coûts de réversibilité, l'exposition au Cloud Act sur les données du groupe, ni les seuils que l'organisation se reconnaît sur ce qu'elle ne déléguera pas. Le conseil vote l'orientation stratégique. Il vient d'approuver ce qu'il n'a pas évalué.
Cette scène, ses variantes, ses degrés d'aggravation, se répètent dans la plupart des conseils d'administration aujourd'hui. Le problème de fond y est moins la qualité des décisions individuelles que la dissymétrie d'information qui les entoure : la direction présente, le board reçoit, le board vote. Et le cadre d'évaluation indépendant, lui, manque.
Le constat de fond
Les données documentées convergent. Le swissVR Monitor II/2024, conduit par Deloitte, swissVR et la HSLU auprès de 391 membres de conseils suisses, établit que 70 % des CA ont traité l'IA générative dans l'année écoulée, mais que 75 % des membres de CA ne reçoivent qu'un reporting rare ou absent de la direction sur l'usage réel de ces systèmes dans l'entreprise. Côté France, le Baromètre IFA-Ethics & Boards 2025 indique que 28 % seulement des conseils du SBF120 ont un comité explicitement en charge de l'IA, et que 10 % des CA organisent une formation collective sur le sujet pour leurs administrateurs.
La composition même des conseils prolonge ce constat. Selon le Board Monitor 2026 de Heidrick & Struggles, 6 % seulement des nouveaux administrateurs des Fortune 500 ont occupé un poste de CTO, CIO, CDO ou CAIO - alors même que près de la moitié des administrateurs en exercice qualifie l'IA d'enjeu significatif pour leur organisation. L'écart entre la perception du sujet et la compétence disponible au sein des conseils est structurel.
La pression, elle, s'institutionnalise. Glass Lewis, dans ses 2025 Benchmark Policy Guidelines, a ouvert la possibilité de recommander un vote contre des administrateurs en cas de défaut de supervision IA ayant causé un préjudice matériel aux actionnaires. ISS a, à ce stade, retenu une position plus prudente - asymétrie qui structurera les prochaines saisons d'assemblées générales. La FINMA, dans sa Communication 08/2024 du 18 décembre 2024, place la gouvernance au premier rang de ses sept domaines de surveillance IA. L'AMF a publié en février 2026 son rapport sur l'usage de l'IA par les acteurs des marchés financiers.
Ce que la responsabilité fiduciaire exige sur l'IA
Le cadre juridique existe. Il n'attend pas la jurisprudence pour s'appliquer. En France, l'article L.225-251 du Code de commerce engage la responsabilité individuelle ou solidaire des administrateurs pour les fautes commises dans leur gestion - une faute pouvant résulter d'un acte comme d'une abstention. En Suisse, l'article 754 du Code des obligations engage les membres du conseil d'administration pour le dommage causé en manquant intentionnellement ou par négligence à leurs devoirs ; le Tribunal fédéral a confirmé que l'exécution d'engagements significatifs sans diligence suffisante constitue une violation du devoir de diligence.
La loi de Vigilance française de 2017 ajoute une obligation d'identification et d'atténuation des risques pour les entreprises au-delà des seuils légaux. Le rapport « Intelligence artificielle et devoir de vigilance » du collectif Intérêt à agir, publié en septembre 2024, établit qu'une majorité des plans de vigilance examinés laisse de côté les conséquences sociales et environnementales des systèmes d'IA déployés dans la chaîne de valeur. Le règlement européen sur l'IA, l'AI Act, qualifie de surcroît les organisations utilisatrices comme déployeurs, avec des obligations qui se cumulent et qui ne se délèguent pas.
Premier précédent international : en octobre 2024, la SEC a sanctionné dans l'affaire Rimar Capital un administrateur personnellement à hauteur de 60 000 dollars pour défaut de supervision sur des représentations IA fausses faites aux investisseurs. Le motif retenu, selon les communications publiques de la SEC : l'administrateur aurait dû connaître la fausseté des représentations s'il avait exercé un devoir de diligence raisonnable. Il n'y a pas, à ce jour, de décision équivalente rendue en France ou en Suisse. La question est de savoir si l'on souhaite être le premier précédent local.
Le conseil d'administration exerce sa responsabilité fiduciaire sur l'IA avec la même rigueur que sur les décisions financières. Cela suppose un cadre d'évaluation propre, distinct des supports produits par la direction qu'il supervise. Doctrine VEIA · Décider avant d'intégrer
Les trois questions que le CA doit poser à la direction
L'opérationalisation de cette responsabilité passe par un cadre de questions stable, qui s'applique à chaque présentation IA portée au conseil.
Quelles dépendances IA engagent l'organisation durablement, et le CA les a-t-il approuvées en connaissance de cause ? Choix d'éditeurs, coûts de réversibilité, exposition juridictionnelle des données, conditions de sortie. Un engagement contractuel pluriannuel avec un hyperscaler étranger sur des données régulées appelle un cadre d'évaluation au moins aussi rigoureux qu'une acquisition.
Quels seuils la direction a-t-elle posés sur ce que l'organisation ne déléguera jamais à une IA, et le CA les connaît-il ? Les périmètres préservés - décisions impliquant un humain, données qui restent en France ou en Suisse, fonctions qui restent humaines - sont l'expression la plus directe de la doctrine de l'organisation. Le board doit les valider explicitement.
Comment le CA est-il informé des incidents IA, des dépendances nouvelles et des risques émergents, et quelle est la qualité de ce reporting ? Périodicité, format, indicateurs, traçabilité. Le reporting IA au CA gagne à être structuré sur le modèle du reporting risque ou audit - récurrent, normé, contradicté.
Le rôle particulier de l'administrateur indépendant
Une remarque mérite d'être faite, en pensant aux administrateurs indépendants. Sur les décisions IA, l'administrateur indépendant occupe une position singulière. Par définition, il est tenu à l'écart des liens matériels susceptibles d'altérer son jugement. Sur un terrain où les choix stratégiques s'accompagnent de partenariats lourds avec un nombre limité d'éditeurs, et où la plupart des grands cabinets de conseil sont eux-mêmes engagés dans des alliances commerciales avec ces mêmes éditeurs, la position de tiers de l'administrateur indépendant est mécaniquement précieuse.
La présentation faite au CA peut être produite par une direction qui s'appuie sur des conseils eux-mêmes partenaires des solutions présentées. L'administrateur indépendant est, dans cette configuration, le filtre structurellement indépendant entre la décision et l'exécution. Cette position justifie un appui méthodologique externe, indépendant lui aussi des éditeurs et des intégrateurs.
Une lecture indépendante de la stratégie IA présentée à votre CA, un cadre de questions et d'indicateurs que le board fait sien.
Christophe Picou est le fondateur de VEIA.AI, cabinet de conseil stratégique indépendant en gouvernance IA. VEIA conseille COMEX, conseils d'administration et dirigeants institutionnels en France et en Suisse romande. Conseil structurellement indépendant : aucun partenariat commercial avec un éditeur ou un intégrateur IA. En savoir plus .
