L'essentiel en 30 secondes - ISO/IEC 42001:2023 est la première norme internationale dédiée au management des systèmes d'intelligence artificielle. - Le Règlement (UE) 2024/1689 prévoit des sanctions allant jusqu'à 7 % du chiffre d'affaires mondial annuel pour les infractions les plus graves (Article 99). - Les PME françaises de 10 à 250 salariés sont concernées dès lors qu'elles développent, déploient ou intègrent un système d'IA dans leurs produits ou processus. - Les obligations applicables aux systèmes d'IA à haut risque entrent en application progressivement, avec une échéance pivot au 2 août 2026 (Art. 113). - Une certification ISO 42001 structure la majorité des exigences organisationnelles attendues par l'AI Act : gouvernance, gestion des risques, documentation, surveillance. - L'articulation avec le RGPD reste obligatoire pour tout système d'IA traitant des données personnelles.
1. Contexte : AI Act et ISO 42001 pour les PME françaises
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024. Il s'applique de manière échelonnée jusqu'en 2027. Pour les PME françaises, le sujet n'est plus théorique : dès qu'un outil d'IA est intégré dans un produit, un service RH, un dispositif marketing ou un processus métier, l'entreprise devient soit fournisseur, soit déployeur au sens du Règlement.
La norme ISO/IEC 42001:2023, publiée en décembre 2023, est le premier référentiel international consacré au AI Management System (AIMS). Elle s'inspire de la structure HLS commune à ISO 27001 et ISO 9001. Elle fournit aux PME un cadre managérial éprouvé pour piloter leurs systèmes d'IA de manière responsable.
L'AI Act impose des obligations. ISO 42001 fournit la méthode. Les deux outils sont complémentaires : la norme aide à démontrer la conformité réglementaire de façon structurée.
Selon l'étude Baromètre IA de la CNIL publiée en 2025 [à vérifier], une part significative des PME françaises utilise déjà au moins un système d'IA, souvent sans en avoir conscience juridique. Les obligations couvrent les chatbots clients, les outils de tri de CV, les systèmes de scoring crédit, les solutions de maintenance prédictive et les générateurs de contenu.
Pour comprendre l'application générale du Règlement à votre structure, consultez notre guide complet AI Act pour les PME françaises.
Calendrier d'application AI Act — repères pour PME
| Date | Obligation entrée en application | Référence |
|---|---|---|
| 2 février 2025 | Interdictions (Art. 5) et obligation de littératie IA (Art. 4) | Art. 113 |
| 2 août 2025 | Modèles GPAI, gouvernance, sanctions | Art. 113 |
| 2 août 2026 | Systèmes à haut risque Annexe III, transparence (Art. 50) | Art. 113 |
| 2 août 2027 | Systèmes à haut risque Annexe I (produits réglementés) | Art. 113 |
2. Avantages d'ISO 42001 pour la conformité AI Act
Adopter ISO 42001 n'est pas obligatoire au sens strict du Règlement (UE) 2024/1689. La norme n'est pas encore officiellement harmonisée au sens de l'Art. 40 [à vérifier — statut d'harmonisation en cours d'élaboration par le CEN-CENELEC]. Mais elle apporte trois bénéfices concrets pour une PME.
Couverture organisationnelle large. Les chapitres 4 à 10 de la norme couvrent la majorité des exigences de management attendues par les Articles 9, 10, 11, 12, 14, 17 et 72 de l'AI Act : gestion des risques, qualité des données, documentation technique, journalisation, supervision humaine, système qualité, surveillance post-marché.
Preuve de diligence. En cas de contrôle par l'autorité nationale compétente (en France, la CNIL pour le volet protection des données et la DGCCRF pour certains secteurs), une certification ISO 42001 démontre une démarche organisée et auditée.
Avantage commercial. Les donneurs d'ordre publics et les grands comptes intègrent progressivement la certification dans leurs critères d'achat. Pour une PME B2B, c'est un différenciateur tangible.
Correspondance ISO 42001 / AI Act
| Chapitre ISO 42001 | Exigence AI Act correspondante | Article AI Act |
|---|---|---|
| 4. Contexte de l'organisation | Cartographie des systèmes IA | Art. 6, 9 |
| 5. Leadership | Politique IA, responsabilités | Art. 17 |
| 6. Planification | Évaluation des risques IA | Art. 9 |
| 7. Support | Compétences, littératie IA | Art. 4 |
| 8. Opérations | Gouvernance des données, documentation | Art. 10, 11, 12 |
| 9. Évaluation | Audit interne, indicateurs | Art. 17, 72 |
| 10. Amélioration | Actions correctives, surveillance | Art. 72, 73 |
3. Échéances clés pour les PME en 2026
L'année 2026 est charnière. L'Art. 113 du Règlement (UE) 2024/1689 fixe au 2 août 2026 l'entrée en application de la majeure partie des obligations, notamment celles relatives aux systèmes à haut risque listés à l'Annexe III (RH, éducation, scoring crédit, biométrie, gestion d'infrastructures critiques).
Pour structurer votre projet ISO 42001 en parallèle, la séquence recommandée est la suivante.
- Janvier-mars 2026 : audit de maturité interne, cartographie des systèmes d'IA, identification du périmètre.
- Avril-juin 2026 : mise en place du système de management (politiques, procédures, documentation).
- Juillet-août 2026 : audit blanc interne, mise en conformité AI Act pour les systèmes à haut risque.
- Septembre-novembre 2026 : audit de certification ISO 42001 (étape 1 documentaire puis étape 2 sur site).
- Décembre 2026 : obtention du certificat, lancement du dispositif de surveillance continue.
Cette planification suppose un démarrage début 2026. Pour les PME qui démarrent plus tard, les délais peuvent être tendus mais restent réalistes sur 9 à 12 mois.
Auditer votre exposition à l'AI Act en 30 minutes
Recevez une grille d'évaluation gratuite pour identifier vos systèmes d'IA à haut risque et préparer votre démarche ISO 42001.
Demander la grille d'auto-évaluation4. Étapes d'implémentation d'ISO 42001 dans une PME
L'implémentation suit la logique classique des systèmes de management ISO, adaptée aux particularités de l'IA. Quatre phases structurent la démarche.
4.1. Audit de maturité initial
L'objectif est de mesurer l'écart entre la situation actuelle et les exigences ISO 42001:2023. L'audit couvre la gouvernance, les processus de développement, la gestion des données, la documentation et les compétences. Pour une PME de 50 salariés, cette phase dure 2 à 4 semaines.
4.2. Définition du périmètre IA
Le périmètre du système de management doit être clair. Une PME peut choisir de couvrir tous ses systèmes d'IA ou se limiter aux plus critiques. Le périmètre doit inclure les systèmes internes (outils RH, productivité) et externes (produits livrés aux clients). La cartographie doit préciser, pour chaque système, le rôle de l'entreprise au sens de l'AI Act : fournisseur, déployeur, importateur ou distributeur (Art. 3).
4.3. Mise en place du plan de conformité
Le plan articule trois volets : organisation, documentation technique, surveillance. L'organisation désigne un responsable IA (souvent rattaché au RSSI ou au DPO), formalise la politique IA et établit la matrice des responsabilités. La documentation technique reprend les éléments listés à l'Annexe IV du Règlement pour les systèmes à haut risque. La surveillance définit les indicateurs de performance, de biais et d'incident.
4.4. Formation des équipes
L'Art. 4 du Règlement impose une obligation de littératie en IA pour les personnes utilisant ou supervisant un système d'IA. Cette obligation est entrée en application le 2 février 2025. La formation doit couvrir les bases techniques, les risques, le cadre juridique et les bonnes pratiques métier. Comptez 1 à 2 jours par collaborateur concerné.
5. Audit et certification ISO 42001
La certification est délivrée par un organisme tiers accrédité. En France, l'accréditation est portée par le COFRAC. Le processus suit deux étapes formelles.
Étape 1 — Revue documentaire. L'auditeur vérifie la cohérence du système de management : politique IA, manuel qualité, procédures, registres. Cette revue dure 1 à 2 jours.
Étape 2 — Audit sur site. L'auditeur évalue l'application effective des procédures : entretiens avec les équipes, revue de cas concrets, examen des registres d'incidents. Cette étape dure 2 à 5 jours selon la taille de la PME.
La certification est délivrée pour 3 ans, avec un audit de surveillance annuel.
Coût indicatif de la certification ISO 42001 pour une PME
| Poste | PME 10-49 salariés | PME 50-250 salariés |
|---|---|---|
| Audit de maturité initial | 3-6 k€ | 6-12 k€ |
| Conseil et accompagnement | 8-15 k€ | 15-30 k€ |
| Formation des équipes | 2-5 k€ | 5-12 k€ |
| Audit de certification | 4-8 k€ | 8-18 k€ |
| Audit annuel de surveillance | 2-4 k€ | 4-8 k€ |
Ces fourchettes sont indicatives [à vérifier — variables selon prestataires et complexité du périmètre]. Elles n'incluent pas les coûts internes de mobilisation des équipes.
Pour comprendre le risque financier en cas de non-conformité, consultez notre article dédié aux sanctions et amendes AI Act pour les PME.
6. Intégration avec le RGPD
L'AI Act ne remplace pas le Règlement (UE) 2016/679 (RGPD). Les deux textes s'appliquent en parallèle dès qu'un système d'IA traite des données personnelles. La CNIL a publié en 2024 et 2025 treize fiches pratiques pour articuler les deux régimes.
Base légale et finalité. Tout traitement par IA doit reposer sur une base légale au sens de l'Art. 6 du RGPD. La finalité doit être déterminée, explicite et légitime.
Décisions automatisées. L'Art. 22 du RGPD encadre les décisions individuelles automatisées produisant des effets juridiques. Un système de scoring crédit ou un tri de CV automatisé entre généralement dans ce champ. L'AI Act renforce cette exigence par l'Art. 14 qui impose une supervision humaine effective pour les systèmes à haut risque.
Analyse d'impact. L'AIPD (RGPD, Art. 35) et la Fundamental Rights Impact Assessment (AI Act, Art. 27) sont deux exercices distincts mais complémentaires. La FRIA est obligatoire pour les déployeurs publics et certains déployeurs privés utilisant des systèmes à haut risque listés à l'Annexe III.
Documentation des traitements. Le registre des activités de traitement (RGPD, Art. 30) doit être enrichi des éléments propres à l'IA : type de modèle, jeux de données d'entraînement, mécanismes de supervision.
Un audit conjoint RGPD-IA est recommandé pour mutualiser les efforts. Voir notre glossaire des termes AI Act et RGPD.
RGPD vs AI Act : comparaison rapide
| Critère | RGPD | AI Act |
|---|---|---|
| Champ d'application | Données personnelles | Systèmes d'IA |
| Approche | Par les risques pour les personnes | Par les risques des systèmes |
| Autorité française | CNIL | CNIL + autorités sectorielles |
| Sanction maximale | 4 % du CA mondial | 7 % du CA mondial (Art. 99) |
| Document clé | AIPD | FRIA + documentation technique Annexe IV |
7. Outils et ressources utiles
Plusieurs ressources publiques et privées facilitent la mise en œuvre d'ISO 42001 et de l'AI Act dans une PME.
- Texte officiel d'ISO/IEC 42001:2023 : disponible à l'achat sur iso.org. Compter environ 130 € pour la version PDF [à vérifier].
- Fiches pratiques IA de la CNIL : 13 fiches gratuites couvrant la base légale, l'annotation, la sécurité et l'AIPD pour l'IA. Disponibles sur cnil.fr/fr/les-fiches-pratiques-ia.
- AI Act Service Desk de la Commission européenne : guichet officiel pour les questions d'interprétation, accessible sur ai-act-service-desk.ec.europa.eu.
- Guides Cigref (janvier 2025) et Numeum (mars 2025) : retours d'expérience opérationnels d'entreprises françaises.
- Outils de cartographie des risques IA : plusieurs éditeurs proposent des plateformes spécialisées. Une PME peut aussi démarrer avec un tableur structuré selon les critères de l'Art. 6 du Règlement.
Pour la liste complète des sources que nous citons régulièrement, consultez notre page sources officielles regulia.
Recevoir le pack documentaire ISO 42001 pour PME
Politique IA, registre des systèmes, matrice de risques, procédures de supervision : tous nos modèles de référence dans un pack prêt à adapter.
Demander le pack documentaire8. Conclusion : une stratégie gagnante pour 2026
ISO 42001 n'est pas une obligation juridique au sens strict, mais c'est l'outil le plus structurant pour préparer une PME à l'AI Act. La norme transforme une contrainte réglementaire en démarche de pilotage de la qualité et des risques.
Trois éléments justifient l'investissement.
Réduction du risque financier. L'Art. 99 du Règlement prévoit des sanctions atteignant 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Art. 5). Pour les manquements aux obligations relatives aux systèmes à haut risque, le plafond est de 15 millions d'euros ou 3 % du CA. Pour la fourniture d'informations inexactes, 7,5 millions d'euros ou 1 % du CA.
Accès aux marchés européens. De plus en plus de donneurs d'ordre exigent des garanties documentées sur la gestion de l'IA. La certification ISO 42001 est progressivement intégrée dans les cahiers des charges, en particulier dans la santé, la finance, l'éducation et le secteur public.
Amélioration interne. La mise en place d'un système de management de l'IA force l'entreprise à cartographier ses usages, à clarifier les responsabilités et à former ses équipes. Ces effets dépassent largement le cadre réglementaire.
L'investissement initial représente, pour une PME de 50 salariés, l'équivalent de 15 à 25 % du budget IT annuel sur la première année [à vérifier — fourchette indicative basée sur retours d'expérience]. Ce coût se lisse ensuite sur le cycle de 3 ans de la certification.
FAQ
Qu'est-ce qu'ISO 42001 et pourquoi est-il important pour l'AI Act ?
ISO/IEC 42001:2023 est la première norme internationale dédiée au management des systèmes d'intelligence artificielle. Elle fournit un cadre structuré pour identifier les risques, gouverner les usages et démontrer la conformité aux obligations de l'AI Act. Pour une PME, elle facilite l'application des Articles 9, 10, 11, 12, 14 et 17 du Règlement (UE) 2024/1689 sans avoir à réinventer une méthodologie.
Quelles sont les sanctions pour non-conformité à l'AI Act en 2026 ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois niveaux de sanctions. Pour les pratiques interdites (Art. 5), jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Pour les manquements aux obligations des systèmes à haut risque, jusqu'à 15 millions d'euros ou 3 % du CA. Pour la fourniture d'informations inexactes aux autorités, jusqu'à 7,5 millions d'euros ou 1 % du CA. Le montant retenu est le plus élevé des deux.
Combien coûte l'implémentation d'ISO 42001 pour une PME ?
Le coût total dépend de la taille de la PME et de la complexité du périmètre IA. Pour une PME de 50 salariés, comptez entre 20 000 et 50 000 € la première année, incluant audit initial, accompagnement, formation et certification [à vérifier — fourchette indicative]. Les années suivantes, le coût récurrent (audit de surveillance + maintien du système) tourne autour de 6 000 à 12 000 € par an.
Comment choisir un auditeur ISO 42001 pour ma PME ?
Sélectionnez un organisme certificateur accrédité par le COFRAC ou un membre de l'IAF (International Accreditation Forum). Vérifiez son expérience sur ISO 42001 spécifiquement (la norme étant récente, les compétences disponibles restent limitées). Demandez des références dans votre secteur. L'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) peut orienter vers des ressources institutionnelles, mais ne recommande pas d'auditeurs en direct.
Quelle est la durée de validité de la certification ISO 42001 ?
Le cycle de certification ISO 42001 suit le standard ISO : 3 ans de validité, avec un audit de surveillance annuel pour maintenir le certificat, puis un audit de renouvellement complet à la fin du cycle. Pour une PME, ce rythme garantit une conformité continue avec l'évolution des exigences de l'AI Act et des recommandations de la CNIL.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral consolidé : eur-lex.europa.eu
- Version pédagogique annotée du Règlement : artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA et recommandations : cnil.fr
- ISO/IEC 42001:2023 — AI Management System : iso.org
- ISO/IEC 23894:2023 — AI Risk Management : iso.org
- ISO/IEC 27001:2022 — Information Security Management : iso.org
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.