Les cinq principes publiés par KPMG International et l’INSEAD en avril 2026 montrent que la gouvernance de l’intelligence artificielle entre désormais dans le mandat ordinaire des conseils.
Par Pascale Caron
Pendant plusieurs années, l’intelligence artificielle a été présentée aux conseils d’administration comme un sujet principalement technologique. Les directions informatiques, les équipes d’innovation et les métiers conduisaient les expérimentations. Le conseil suivait les investissements, examinait parfois les risques et laissait la mise en œuvre aux responsables opérationnels.
Cette période s’achève.
Une décision relative à l’IA peut désormais affecter simultanément la stratégie, la productivité, la propriété intellectuelle, la cybersécurité, les ressources humaines, la relation avec les clients et la conformité réglementaire. Elle peut aussi créer une dépendance durable envers un fournisseur, déplacer des responsabilités ou modifier la manière dont une décision importante est prise.
L’intelligence artificielle n’est donc plus seulement un outil. Elle devient une capacité stratégique de l’entreprise. Dès lors, sa supervision relève aussi du conseil d’administration.
Le 14 avril 2026, KPMG International et l’INSEAD Corporate Governance Centre ont publié AI Governance Principles for Boards. Le document propose cinq principes destinés à aider les administrateurs à superviser l’IA sans se substituer aux dirigeants ni aux équipes techniques. Le message est clair : les membres du conseil n’ont pas besoin de devenir ingénieurs,. Ils doivent être capables de comprendre les choix structurants, d’évaluer les arbitrages et de poser les questions dont dépend la pérennité de l’entreprise.
Cette publication intervient alors que la maturité des conseils reste insuffisante. Selon le Global AI Pulse de KPMG cité lors du lancement du rapport, près des trois quarts des conseils sont perçus comme ne disposant que d’une expertise modérée ou limitée en matière d’IA. Le problème ne tient donc plus seulement au rythme d’adoption des outils. Il concerne la capacité des organes de gouvernance à exercer un jugement informé.
Pourquoi cette évolution devient urgente
L’AI Act européen rend cette évolution particulièrement visible. Le règlement est entré en vigueur le 1er août 2024. Les interdictions visant certaines pratiques et les obligations relatives à la culture de l’IA s’appliquent depuis le 2 février 2025. Les dispositions sur les modèles d’IA à usage général et plusieurs règles de gouvernance sont devenues applicables le 2 août 2025. Une grande partie du règlement doit s’appliquer à partir du 2 août 2026, avec un calendrier spécifique pour certaines catégories de systèmes à haut risque.
Le conseil n’a pas vocation à piloter chaque action de conformité. Il doit cependant vérifier que l’entreprise connaît ses usages, a identifié ses rôles, attribué les responsabilités et intégré les contraintes réglementaires à ses décisions d’investissement.
La pression ne provient pas seulement du régulateur. Les investisseurs interrogent les stratégies IA. Les clients veulent savoir comment leurs données sont utilisées. Les partenaires examinent les dépendances technologiques. Les salariés attendent davantage de transparence sur la transformation de leur travail. Les assureurs et les auditeurs cherchent des preuves de contrôle.
L’IA devient ainsi un sujet permanent de gouvernance, au même titre que la cybersécurité, les risques financiers ou la continuité d’activité.
Un changement de nature pour la gouvernance d’entreprise
Les conseils d’administration ont toujours eu pour mission de superviser la stratégie, les risques, la direction générale et la création de valeur à long terme. L’intelligence artificielle ne remet pas cette mission en cause. Elle en modifie les conditions d’exercice.
Une entreprise développe-t-elle réellement un avantage concurrentiel ou accumule-t-elle des expérimentations sans cohérence ? Ses choix créent-ils une dépendance excessive envers un fournisseur ? Dispose-t-elle des données, des compétences et des infrastructures nécessaires pour passer à l’échelle ? Comment mesure-t-elle la valeur créée ? Qui intervient lorsqu’un système se trompe ou produit une recommandation contestable ?
Ces questions ne sont pas techniques au sens étroit. Elles concernent le modèle économique, le risque, le capital humain, la réputation et la responsabilité.
Le rapport KPMG-INSEAD insiste sur une séparation claire entre supervision et gestion. Le conseil ne doit pas sélectionner les modèles, concevoir les architectures ou piloter les projets. Il doit en revanche comprendre les conséquences économiques, humaines et juridiques des choix effectués.
La bonne gouvernance ne ralentit pas nécessairement l’innovation. Elle permet d’éviter les investissements dispersés, les dépendances mal maîtrisées et les déploiements qui échouent faute d’adoption ou de preuve de valeur.
Premier principe : superviser la création de valeur à long terme
Le premier principe porte sur la stratégie. Il invite les conseils à dépasser une vision de l’IA réduite aux gains immédiats de productivité.
De nombreuses entreprises ont commencé par des assistants rédactionnels, l’automatisation du service client, la génération de code ou l’analyse documentaire. Ces usages peuvent être utiles. Ils ne constituent pas, à eux seuls, une stratégie.
Le conseil doit demander quel objectif l’entreprise poursuit. Cherche-t-elle seulement à réduire les coûts ? Veut-elle améliorer la qualité, raccourcir les délais, renforcer la personnalisation ou créer de nouveaux services ? L’IA soutient-elle le modèle économique existant ou prépare-t-elle une transformation plus profonde ?
Le Global AI Pulse Q1 2026 de KPMG décrit un passage de cas d’usage fragmentés vers une orchestration de l’IA à l’échelle de l’entreprise. Cette orchestration suppose de coordonner les investissements, la gouvernance, l’infrastructure, les données, les compétences et la sécurité. Déployer davantage d’outils ne suffit pas.
Le conseil doit également demander comment la valeur sera mesurée. Le nombre de licences, d’utilisateurs ou de contenus générés reste insuffisant. Les indicateurs doivent couvrir les effets financiers, la qualité opérationnelle, les délais, les erreurs, la satisfaction des clients, les incidents, l’adoption réelle et les conséquences sur le travail.
Une stratégie IA crédible associe ambition, capacités d’exécution et preuve de valeur. Sans cette cohérence, l’entreprise risque de financer des démonstrateurs qui ne deviennent jamais des actifs durables.
Deuxième principe : exercer une supervision technologique et sécuritaire active
Le deuxième principe ne demande pas au conseil de se transformer en comité d’architecture. Il lui demande de comprendre les décisions technologiques susceptibles d’engager durablement l’entreprise.
Le choix d’un fournisseur de cloud, d’un modèle de fondation ou d’une plateforme d’agents influence les coûts futurs, la localisation des données, la réversibilité, l’auditabilité et le pouvoir de négociation de l’entreprise. Une solution rapide à déployer peut devenir difficile à remplacer.
Les administrateurs doivent donc examiner les dépendances créées. L’organisation peut-elle changer de fournisseur sans reconstruire tout son système ? Les contrats précisent-ils les conditions d’utilisation des données ? Les résultats produits peuvent-ils être audités ? L’entreprise sait-elle quels outils sont utilisés en dehors des circuits officiels ?
La sécurité prend aussi une dimension nouvelle. Les risques ne se limitent plus aux intrusions traditionnelles. Ils comprennent la manipulation des données, les attaques contre les modèles, les fuites d’informations confidentielles, les hallucinations, les contenus synthétiques trompeurs et les actions non anticipées de systèmes autonomes.
La question essentielle n’est plus seulement : le système est-il performant ? Elle devient : que se passe-t-il lorsqu’il se trompe, lorsqu’il est manipulé ou lorsqu’il agit au-delà du périmètre prévu ?
Le conseil doit exiger des mécanismes d’alerte, de suspension, de traçabilité et de gestion de crise. La résilience d’un système ne se mesure pas uniquement lorsqu’il fonctionne normalement. Elle se révèle lorsque son comportement devient imprévisible.
Troisième principe : accompagner la transformation du travail et préserver la responsabilité humaine
Le troisième principe associe transformation des effectifs et responsabilité humaine.
L’IA ne remplace pas toujours un métier complet. Elle modifie souvent une partie du travail, le niveau d’autonomie attendu et la relation entre expertise humaine et recommandation algorithmique. Elle peut supprimer certaines tâches, en accélérer d’autres et créer de nouvelles obligations de contrôle.
Le conseil doit vérifier que la stratégie sociale accompagne la stratégie technologique. Former quelques collaborateurs à l’usage d’un outil ne suffit pas. L’entreprise doit identifier les métiers exposés, les compétences qui deviennent critiques et les risques liés à l’intensification du travail, à la surveillance ou à la perte de sens.
La responsabilité humaine doit aussi être clarifiée. Certaines décisions peuvent être largement automatisées lorsqu’elles sont réversibles et présentent peu de conséquences. D’autres exigent une validation renforcée, notamment lorsqu’elles concernent l’emploi, le crédit, la santé ou l’accès à un service essentiel.
La présence d’une personne dans la boucle n’est toutefois pas une garantie suffisante. Encore faut-il qu’elle dispose du temps, de l’information, de la compétence et de l’autorité nécessaires pour contester le résultat.
Un contrôle humain purement formel peut devenir une fiction organisationnelle. Le conseil doit donc s’assurer que la supervision demeure réellement efficace.
Quatrième principe : construire une intelligence artificielle digne de confiance
Le quatrième principe porte sur la fiabilité, l’éthique et la confiance.
La confiance ne repose pas sur une charte générale ou une déclaration d’intention. Elle doit être intégrée à la conception, au déploiement et à la surveillance des systèmes. Cela suppose des responsabilités identifiées, des tests, une documentation, des procédures d’escalade et un traitement structuré des incidents.
La gouvernance doit être proportionnée au risque. Un assistant interne qui résume des documents ne présente pas les mêmes conséquences qu’un système utilisé pour sélectionner des candidats, détecter une fraude ou recommander une décision médicale.
Plus les effets potentiels sont importants, plus les exigences de robustesse, de traçabilité, d’explicabilité et de supervision doivent être élevées.
La confiance concerne également les tiers. Externaliser la technologie ne signifie pas externaliser la responsabilité. Le conseil doit donc s’assurer que les conditions contractuelles, les droits d’audit, les engagements de sécurité et les procédures applicables en cas d’incident sont connus.
KPMG inscrit ces principes dans son approche de Trusted AI. L’idée centrale est importante pour les dirigeants : la confiance n’est pas l’ennemie de la vitesse. Elle constitue souvent la condition permettant de déployer l’IA à plus grande échelle.
Cinquième principe : transformer le fonctionnement du conseil lui-même
Le cinquième principe concerne directement le travail du conseil.
La première transformation porte sur les compétences. Tous les administrateurs n’ont pas besoin du même niveau de maîtrise, mais le conseil doit disposer collectivement des connaissances nécessaires pour comprendre les enjeux stratégiques, technologiques, humains et réglementaires.
Cette compétence peut être renforcée par la formation, le recrutement de profils complémentaires, l’intervention régulière d’experts ou la création d’un comité spécialisé. Le choix dépend de la taille de l’entreprise, de son secteur, de son niveau d’exposition et de la maturité de ses projets.
La deuxième transformation concerne l’information transmise au conseil. Les administrateurs ont besoin d’un tableau de bord lisible : systèmes en production, projets expérimentaux, incidents, dépenses, bénéfices mesurés, risques majeurs, usages non autorisés et dépendances critiques.
La fréquence des échanges doit aussi évoluer. Une présentation annuelle ne suffit plus lorsque les modèles, les usages et les risques changent en quelques mois.
Le conseil peut lui-même utiliser des outils d’IA pour préparer des réunions, synthétiser des dossiers ou simuler des scénarios. Cette utilisation doit rester encadrée. Les documents du conseil figurent parmi les informations les plus sensibles de l’entreprise. Leur traitement par des services externes peut créer des risques de confidentialité, de conservation des données et de secret des affaires.
L’IA peut augmenter la capacité d’analyse. Elle ne remplace ni le jugement, ni la responsabilité fiduciaire, ni le débat contradictoire.
Ce que les dirigeants peuvent faire dès maintenant
| 1 | Cartographier les usages réels Identifier les systèmes officiels, les expérimentations, les usages individuels et les traitements de données associés. |
| 2 | Attribuer clairement les responsabilités Définir qui décide, qui valide, qui surveille, qui gère les incidents et qui rend compte au conseil. |
| 3 | Mesurer la valeur et les risques Associer aux projets des indicateurs financiers, opérationnels, humains et de contrôle, plutôt que de suivre uniquement l’adoption. |
| 4 | Former le conseil Donner aux administrateurs une compréhension suffisante pour challenger les choix sans intervenir dans la gestion opérationnelle. |
| 5 | Instaurer un reporting régulier Intégrer l’IA aux mécanismes ordinaires de supervision stratégique, avec un rythme adapté au niveau d’exposition de l’entreprise. |
De la compétence technologique à la capacité de jugement
Le principal apport du cadre KPMG-INSEAD tient peut-être à sa définition implicite de la compétence IA au sein d’un conseil.
Être compétent ne signifie pas maîtriser les détails d’un modèle neuronal. Cela signifie comprendre les conséquences d’un choix technologique, identifier une information manquante, challenger une promesse commerciale et reconnaître les limites d’un indicateur.
Un conseil efficace doit distinguer une démonstration convaincante d’un système fiable. Il doit comprendre qu’un gain de productivité ne constitue pas automatiquement une création de valeur durable. Il doit aussi savoir que l’absence d’incident déclaré ne prouve pas l’absence de risque.
L’intelligence artificielle impose ainsi une gouvernance plus continue, plus informée et plus interdisciplinaire. Les enjeux techniques doivent être reliés aux réalités économiques. Les ambitions d’innovation doivent être confrontées aux capacités de l’organisation. Les exigences de conformité doivent soutenir la confiance sans devenir une simple formalité documentaire.
L’entreprise qui néglige cette évolution peut déployer beaucoup d’IA sans réellement la maîtriser. À l’inverse, un conseil capable de poser les bonnes questions peut devenir un facteur d’accélération. Il aide la direction à hiérarchiser les investissements, anticiper les dépendances et construire les conditions d’un passage à l’échelle responsable.
Gouverner l’IA, c’est gouverner l’entreprise de demain
Le rapport KPMG-INSEAD rappelle une idée simple : la gouvernance n’a jamais consisté à maîtriser chaque technologie. Elle consiste à comprendre comment les évolutions technologiques transforment durablement l’entreprise.
Hier, les conseils ont dû apprendre à superviser la transformation numérique et la cybersécurité. Aujourd’hui, ils doivent intégrer l’intelligence artificielle à leur lecture de la stratégie, du risque, des compétences et de la création de valeur.
Les entreprises qui réussiront ne seront probablement pas celles qui auront déployé le plus grand nombre de modèles ou d’agents. Elles seront celles qui auront su choisir les usages pertinents, organiser les responsabilités, mesurer les résultats et conserver une capacité de jugement.
La maturité ne se mesurera pas au nombre d’outils utilisés. Elle se mesurera à la capacité de l’organisation à transformer l’IA en avantage concurrentiel durable, sans perdre la maîtrise des risques qu’elle introduit.
La gouvernance de l’IA ne commence donc pas avec l’adoption d’une charte. Elle commence lorsque le conseil accepte de considérer cette technologie comme une composante ordinaire de son mandat.
Les administrateurs n’ont pas besoin de devenir des ingénieurs. Ils doivent apprendre à poser les bonnes questions avant que les mauvaises réponses ne deviennent des décisions irréversibles.
Références principales
- KPMG International et INSEAD Corporate Governance Centre. AI Governance Principles for Boards. Publication du 14 avril 2026.
- KPMG International. Global AI Pulse Q1 2026. Mars-avril 2026.
- KPMG International. KPMG and INSEAD launch global AI Board Governance Principles as AI reshapes board oversight. Communiqué du 14 avril 2026.
- Union européenne. Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle, calendrier d’application progressif




