L’intelligence artificielle transforme les modèles d’affaires, mais aussi les responsabilités juridiques des membres de conseils d’administration. Résultats biaisés, violations de la protection des données, clauses contractuelles floues… les risques liés à l’IA ne sont pas seulement techniques : ils engagent directement le devoir de diligence prévu par les articles 716 et 717 CO. Dans cet article, nous détaillons les 5 domaines où le conseil doit agir pour anticiper les dérives, sécuriser ses décisions et éviter d’être personnellement mis en cause.
Introduction : l’IA entre promesse d’innovation… et exposition juridique accrue
Prévisions, décisions automatisées, traitement de données : l’IA s’invite dans tous les pans de l’entreprise. Bien utilisée, elle devient un atout stratégique pour les conseils d’administration : meilleure vision des tendances, analyses de marché affinées, scénarios prédictifs pour guider les décisions clés.
Mais mal encadrée, elle devient un risque de gouvernance majeur.
Pourquoi ? Parce que le conseil reste responsable, même s’il délègue l’opérationnel. Et en cas d’incident, la question sera toujours : le CA a-t-il fait preuve de diligence ? A-t-il anticipé les risques IA ? A-t-il mis en place une gouvernance adaptée ?
Voici les 5 zones clés à surveiller, illustrées par des exemples concrets et des leviers pratiques d’action.
KI ist kein R&D-Experiment mehr, sondern ein entscheidender Faktor für Leistung, Talentmanagement und strategische Steuerung. Der Verwaltungsrat sollte daher:
- KI in die Gesamtstrategie des Unternehmens integrieren
- eine klare KI-Strategie fordern: Wo, warum und mit welchem Risikoprofil wird sie eingesetzt?
- sicherstellen, dass die Geschäftsleitung die Ressourcen und Kompetenzen für die Umsetzung hat
Mise en pratique :
- Ajouter l’IA dans les documents stratégiques examinés par le CA.
- Nommer un·e administrateur·trice référent·e IA ou cybersécurité.
- Demander un état des lieux des usages IA dans l’entreprise
L’article 717 CO impose aux membres du conseil de remplir leur mandat “avec la diligence requise”.
Cela implique :
- de connaître les risques liés à l’IA (biais, sécurité, conformité) ;
- de vérifier qu’ils sont identifiés et maîtrisés ;
- de faire preuve de discernement dans les décisions.
La business judgement rule protège les conseils… uniquement si la décision est documentée, rationnelle, libre de conflit d’intérêt et fondée sur une information suffisante.
Mise en pratique :
- Intégrer les risques IA dans la cartographie globale des risques du CA.
- Consigner dans les PV toutes les décisions majeures impliquant une solution IA.
a. Ressources humaines
Une IA utilisée pour trier des candidatures peut violer la loi sur l’égalité si elle introduit un biais discriminatoire (âge, sexe, origine).
Cela touche :
- la réputation
- le droit du travail
- la gouvernance
À faire : exiger des tests de biais systématiques pour toute IA RH.
b. Décisions financières
Comme dans le cas Apple Card, des IA peuvent accorder des conditions de crédit inéquitables. Si cela se produit, les responsabilités remontent au CA si aucune vigilance n’a été exercée.
À faire : vérifier l’explicabilité des algorithmes utilisés et la possibilité de recours pour les clients.
c. Production / sécurité industrielle
Si une IA pilote une machine et qu’un incident survient (par exemple : capteur mal lu, commande erronée), le CA doit prouver qu’un plan de gestion des risques était en place.
À faire : inclure les IA critiques dans les plans de continuité et de sécurité.
d. Données personnelles
Depuis la LPD, l’analyse d’impact est obligatoire pour tout traitement à risque. Or l’IA est souvent utilisée sur des volumes sensibles de données.
À faire : exiger une analyse d’impact (PIA) documentée pour chaque projet IA utilisant des données personnelles.
Beaucoup d’entreprises utilisent des solutions IA achetées ou externalisées. Or, les contrats avec les fournisseurs doivent intégrer les exigences suivantes :
- conformité à l’EU AI Act si votre entreprise opère dans l’UE ;
- interdiction d’utiliser vos données pour entraîner d’autres modèles ;
- précision sur la propriété des modèles ou des outputs générés ;
- clauses d’assistance en cas d’audit réglementaire.
Mise en pratique :
- Demander à la direction une revue contractuelle spécifique IA.
- Poser ces questions en séance :
- À qui appartient le modèle amélioré ?
- Les données sont-elles réutilisées ?
- Des audits sont-ils prévus ?
- L’usage est-il limité contractuellement ?
Vous n’avez pas à devenir expert IA. Mais vous devez poser les bonnes questions.
Pour cela :
- formez-vous aux fondamentaux (réglementation, cas d’usage, typologie des risques) ;
- exigez des processus formalisés : validation, documentation, suivi ;
- veillez à ce que les décisions soient prises sur une base suffisamment informée.
Outils concrets à activer :
- Tableau de bord risques IA revu en comité d’audit.
- Procès-verbaux détaillant les arbitrages IA sensibles.
- Point annuel “maturité IA” du conseil.
Conclusion : gouverner l’IA, c’est exercer pleinement sa responsabilité d’administrateur
L’intelligence artificielle n’est pas un gadget technologique : c’est une force transversale qui redéfinit en profondeur les modèles d’affaires, les chaînes de valeur… et les responsabilités juridiques associées.
Ce que l’on considérait hier comme un domaine technique réservé aux équipes IT devient aujourd’hui une dimension centrale de la gouvernance. L’IA touche aux données, aux processus, à la stratégie, aux personnes. Et elle exige du conseil d’administration une vigilance nouvelle.
La question n’est plus “Faut-il s’intéresser à l’IA ?”
La vraie question est : “Sommes-nous prêts à en assumer la responsabilité ?”
Le Conseil d’administration ne peut pas tout anticiper. Mais il a l’obligation légale, stratégique et éthique de poser les bonnes questions, d’exiger les bons mécanismes, de s’entourer des bonnes expertises, et de tracer ses décisions
Dans ce contexte, votre responsabilité personnelle peut être engagée, même si vous n’avez pas personnellement pris une décision technique. La clé réside dans la diligence : avez-vous agi de manière préventive, documentée, informée, structurée ?
La bonne nouvelle, c’est qu’il existe aujourd’hui des leviers concrets pour agir :
- Poser des jalons de gouvernance.
- Renforcer la compréhension stratégique.
- Intégrer les risques IA dans vos cartographies.
- Réviser vos contrats à la lumière des enjeux IA.
- Et surtout : transformer la vigilance réglementaire en avantage concurrentiel.
En posant aujourd’hui les bases d’une gouvernance IA responsable, vous ne vous contentez pas de limiter les risques.
Vous préparez votre organisation à un pilotage plus lucide, plus prédictif et plus crédible.
Ce qu’il faut retenir
1. Devoir de diligence
Les conseils d’administration sont tenus d’identifier, d’encadrer et de superviser les risques liés à l’IA, en lien avec l’article 717 CO. Ce devoir est personnel, continu, et non transférable.
2. Risques typiques à surveiller
Discrimination algorithmique (recrutement, crédit), violations de la LPD (données sensibles), erreurs techniques (automatisation non vérifiée), décisions opaques (absence de redevabilité).
3. Mesures concrètes à activer dès maintenant
- Acquérir les bases de compréhension de l’IA appliquée à votre secteur.
- Exiger une gouvernance claire (qui est responsable de quoi ?).
- Mettre en place des processus de revue, de documentation et d’audit internes.
- Superviser activement les risques critiques.
4. Sécuriser les contrats
Vos contrats avec les fournisseurs d’IA doivent couvrir :
- l’EU AI Act (si activité en lien avec l’UE),
- les usages autorisés,
- les responsabilités,
- la propriété intellectuelle,
- la durée de conservation des données,
- les audits et les sanctions possibles.
5. Agir tôt, c’est se protéger efficacement
Plus vous posez les bonnes questions en amont, plus vous limitez les risques juridiques, réputationnels et opérationnels. L’anticipation, ici, est votre meilleure défense — mais aussi votre meilleur levier d’influence.
Check-list Conseil d’administration : IA & devoir de diligence
| Action clé | État actuel |
|---|---|
| Une stratégie IA d’entreprise a été discutée en CA | Oui/ No |
| Un cadre de gouvernance IA a été défini et validé | Oui/ No |
| Les risques IA sont intégrés dans la cartographie globale | Oui/ No |
| Chaque projet IA est soumis à une analyse d’impact (LPD) | Oui/ No |
| Les contrats fournisseurs IA incluent des clauses critiques | Oui/ No |
| La propriété des modèles, données et outputs est clarifiée | Oui/ No |
| Le CA documente systématiquement ses décisions IA | Oui/ No |
| Une revue annuelle de la maturité IA est planifiée | Oui/ No |
Et vous ? Sur combien de ces points votre conseil est-il aligné ?
Quels risques pouvez-vous réduire dès la prochaine séance ?
Et quelles opportunités stratégiques l’IA pourrait-elle révéler… si vous en repreniez le contrôle dès aujourd’hui ?