ISO 42001
ISO 42001 — norme internationale de management des systèmes d'Intelligence Artificielle.
ISO/IEC 42001 — première norme internationale sur l'IA
La norme ISO/IEC 42001:2023 « Information technology — Artificial intelligence — Management system » a été publiée en décembre 2023 par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Il s'agit de la première norme internationale dédiée au management des systèmes d'intelligence artificielle.
Elle s'inscrit dans la famille des normes de système de management (Management System Standards), aux côtés d'ISO 9001 (qualité), ISO 27001 (sécurité de l'information), ISO 14001 (environnement), ISO 22301 (continuité d'activité). Elle partage avec ces normes une structure de haut niveau (HLS) commune, qui facilite l'intégration dans un système de management consolidé.
ISO 42001 est une norme volontaire — pas une obligation légale. Mais elle est devenue rapidement un référentiel structurant pour la gouvernance IA, pour quatre raisons :
- Sa logique s'aligne fortement avec les exigences de l'AI Act, ce qui facilite la double mise en conformité.
- Elle est certifiable par un organisme tiers indépendant, ce qui donne une validation externe opposable.
- Elle est internationale, donc reconnue au-delà du périmètre européen — utile pour les organisations à activité internationale.
- Elle structure une démarche d'amélioration continue (cycle PDCA), au-delà d'une mise en conformité ponctuelle.
Dix chapitres et 38 contrôles de l'AIMS
La norme ISO 42001 décrit un AIMS — AI Management System en dix chapitres conformes à la structure HLS, complétés par une annexe normative (annexe A) listant 38 contrôles spécifiques à l'IA.
- Chapitres 4 à 10 (les chapitres normatifs) : contexte de l'organisation, leadership, planification, support, fonctionnement, évaluation des performances, amélioration. C'est la structure classique d'une norme ISO de management.
- Annexe A — 38 contrôles spécifiques IA, organisés en neuf domaines : politiques relatives à l'IA, organisation interne, ressources, évaluation d'impact, cycle de vie des systèmes IA, gestion des données, information aux parties intéressées, usage responsable, relations avec les tiers.
- Annexes B et C — guides d'application non normatifs, particulièrement utiles pour la première mise en œuvre.
ISO 42001 et AI Act — convergences et différences
| Critère | ISO 42001 | AI Act |
|---|---|---|
| Nature | Norme volontaire | Règlement européen obligatoire |
| Approche | Système de management (cycle PDCA) | Obligations par catégorie de risque |
| Périmètre géographique | International | Union européenne |
| Périmètre fonctionnel | Tous les systèmes IA | Classification par niveau de risque |
| Certification | Certifiable par tiers | Pas de certification (déclaration de conformité) |
| Sanctions | Aucune (perte de certification) | Jusqu'à 35 M€ ou 7 % CA mondial |
| Cycle de vie | Couvert (conception à retrait) | Centré sur la mise sur le marché et l'usage |
Les deux référentiels ne sont pas alternatifs mais complémentaires. Une organisation peut être conforme à l'AI Act sans être certifiée ISO 42001. Mais la mise en œuvre d'ISO 42001 facilite grandement la conformité AI Act, car les exigences normatives couvrent largement les obligations réglementaires européennes.
Quatre étapes vers la certification ISO 42001
- Étape 1 — Diagnostic d'écart (gap analysis). Évaluation de l'écart entre la situation actuelle et les exigences de la norme. Identification des contrôles déjà couverts par les dispositifs existants (ISO 27001, RGPD, gouvernance générale). Durée : 4 à 8 semaines.
- Étape 2 — Construction de l'AIMS. Mise en place des politiques, procédures et processus manquants. Documentation de la chaîne de gouvernance. Mise en œuvre des contrôles de l'annexe A pertinents. Durée : 4 à 9 mois selon la taille.
- Étape 3 — Audit interne et revue de direction. Audit interne par un auditeur formé à la norme, revue formelle par la direction, actions correctives. Préparation à l'audit de certification. Durée : 2 à 3 mois.
- Étape 4 — Audit de certification. Audit en deux étapes par un organisme certificateur accrédité (audit documentaire puis audit terrain). En cas de succès, délivrance du certificat valable 3 ans, avec audits de surveillance annuels.
Durée totale type : 12 à 24 mois pour une première certification, selon la maturité initiale. Le maintien du certificat implique un effort continu (revues annuelles, amélioration continue, gestion documentaire).
Comment Expert IA accompagne une démarche ISO 42001
Notre cabinet intervient sur les étapes 1 et 2 du parcours de certification : diagnostic d'écart et construction de l'AIMS. Nous n'intervenons pas comme organisme certificateur (rôle réservé aux organismes accrédités par le COFRAC).
Notre approche privilégie une démarche graduelle et utile : nous recommandons d'abord un alignement avec la norme (mise en place des éléments structurants sans viser la certification immédiate), puis une décision certification à 18-24 mois en fonction des retours de la démarche. Ce gradualisme évite l'écueil fréquent d'une certification cosmétique sans valeur opérationnelle.
Budget indicatif pour une démarche d'alignement complète : 35 000 à 80 000 € HT pour une ETI selon la maturité initiale. Inclut le diagnostic d'écart, la construction de l'AIMS, l'audit interne préparatoire, et l'accompagnement à la décision certification. Voir Offres.
Parlons de votre projet
Un appel stratégique pour cadrer votre démarche IA.
Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.