Audit interne AIMS ISO 42001 Clause 9.2 : programme 12 mois pour les PME

Q: Quel est le coût d'un audit interne AIMS pour une PME de 50 salariés ?

Le coût varie entre 5 000€ et 20 000€ pour une PME de 50-250 salariés, incluant formation, outils et temps de personnel. Le coût dépend de la complexité des systèmes IA et du périmètre audit. Référence : ISO 42001:2023 Clause 9.2.

Q: Quelles sont les conséquences d'une non-conformité à l'audit interne ?

Les non-conformités critiques peuvent entraîner des sanctions financières jusqu'à 4% du CA européen (EU AI Act Art. 83) et des amendes jusqu'à 2% du CA (RGPD Art. 83). L'audit interne permet de les identifier et les corriger avant les contrôles externes.

Q: Dois-je faire appel à un cabinet externe pour l'audit interne ?

Non obligatoire pour les PME, mais fortement recommandé pour garantir l'indépendance. Les auditeurs internes doivent être formés et indépendants des processus audités. Référence : ISO 42001:2023 Clause 9.2.2.

Q: Quelle fréquence d'audit interne est requise par la norme ISO 42001 ?

La norme ISO 42001:2023 Clause 9.2 exige un audit interne au moins une fois par an. Pour les systèmes à haut risque (EU AI Act), une fréquence plus élevée (2-3 fois/an) est recommandée.

Q: Comment documenter les résultats de l'audit interne ?

Le rapport d'audit doit inclure : objectifs, méthodologie, résultats, non-conformités, actions correctives et validation par le management. Documentation disponible sur : /glossaire.html#audit-aims

L'essentiel en 30 secondes

L'audit interne AIMS (Clause 9.2 de la norme ISO/IEC 42001:2023) est une exigence normative pour toute PME certifiée ou en démarche de conformité au Règlement (UE) 2024/1689 (EU AI Act).

Les sanctions pour non-conformité à l'AI Act peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial selon l'Article 99 du Règlement (UE) 2024/1689.

Le programme 12 mois s'articule en 4 phases : préparation (1 mois), planification (2 mois), réalisation (6 mois), suivi (3 mois).

L'audit interne couvre 10 domaines : gouvernance, éthique, sécurité, conformité RGPD, documentation, formation, gestion des risques, traçabilité, fournisseurs et amélioration continue.

Les résultats doivent être documentés dans un rapport validé par la direction et déclencher des actions correctives mesurables.

Références : ISO/IEC 42001:2023 Clause 9.2 ; Article 9 du Règlement (UE) 2024/1689.

1. Introduction à l'audit interne AIMS ISO 42001 Clause 9.2

L'audit interne d'un AIMS (Artificial Intelligence Management System) est une vérification systématique et indépendante de l'efficacité du système de management de l'intelligence artificielle. Il répond à la Clause 9.2 de la norme ISO/IEC 42001:2023, qui exige des organisations qu'elles évaluent leur AIMS à intervalles planifiés.

L'objectif est double. Il s'agit d'abord de garantir la conformité avec les exigences de la norme ISO/IEC 42001:2023. Il s'agit ensuite de démontrer la maîtrise des obligations réglementaires applicables, en particulier le Règlement (UE) 2024/1689 (AI Act) et le Règlement (UE) 2016/679 (RGPD).

Pour les PME françaises, l'audit interne devient stratégique dans deux situations. Si la PME développe ou déploie un système d'IA à haut risque au sens de l'Article 6 du Règlement (UE) 2024/1689, elle doit prouver la maîtrise de son cycle de vie. Si la PME vise une certification ISO 42001, l'audit interne est une exigence préalable à l'audit de certification.

La portée précise dépend du rôle de la PME dans la chaîne de valeur IA. Les fournisseurs de systèmes à haut risque, les déployeurs au sens de l'Art. 26 et les importateurs ont chacun des obligations distinctes. L'audit interne doit refléter cette qualification juridique.

Acteur AI Act	Obligation principale	Référence
Fournisseur de SIA haut risque	Système de gestion de la qualité, documentation technique, surveillance post-commercialisation	Art. 16 à 21 du Règlement (UE) 2024/1689
Déployeur de SIA haut risque	Surveillance humaine, journalisation, AIPD complémentaire	Art. 26 du Règlement (UE) 2024/1689
Importateur	Vérification de la conformité du fournisseur hors UE	Art. 23 du Règlement (UE) 2024/1689
PME hors haut risque	Obligations de transparence pour les SIA à risque limité	Art. 50 du Règlement (UE) 2024/1689

Pour situer ces obligations dans le panorama global de l'AI Act pour les PME, consulter le guide AI Act pour les PME françaises.

2. Programme 12 mois détaillé

Le programme d'audit interne sur 12 mois suit la logique PDCA (Plan-Do-Check-Act) attendue par la Clause 9.2.2 de la norme ISO/IEC 42001:2023. Il s'adapte aux contraintes de ressources d'une PME de 10 à 250 salariés.

2.1 Phase 1 — Préparation (mois 1)

La phase de préparation pose les fondations. L'équipe d'audit interne est nommée et formée. Le périmètre de l'AIMS est documenté. Les critères d'audit sont arrêtés en référence à la norme ISO/IEC 42001:2023, à l'AI Act et au RGPD.

Livrables attendus : note de cadrage, matrice RACI auditeurs/audités, plan de montée en compétence des auditeurs internes.

2.2 Phase 2 — Planification (mois 2 et 3)

Le plan d'audit annuel est rédigé conformément à la Clause 9.2.2 b) de la norme ISO/IEC 42001:2023. Il définit la fréquence, les méthodes, les responsabilités et les exigences pour chaque audit. Les check-lists sont adaptées au contexte de la PME et à ses systèmes d'IA.

2.3 Phase 3 — Réalisation (mois 4 à 9)

Les audits sont conduits par sous-domaine. Chaque mission comprend une revue documentaire, des entretiens avec les responsables de processus et des tests de conformité. Les constats sont classés par niveau de criticité.

2.4 Phase 4 — Suivi (mois 10 à 12)

Le rapport d'audit consolidé est présenté à la direction. Les actions correctives sont planifiées, mises en œuvre et vérifiées. La revue de direction (Clause 9.3) clôt le cycle annuel.

Phase	Mois	Charge indicative (j/h)	Livrable clé
Préparation	1	5 à 10	Note de cadrage, équipe désignée
Planification	2-3	10 à 15	Plan d'audit annuel signé
Réalisation	4-9	20 à 40	Constats, fiches d'écart
Suivi	10-12	10 à 15	Rapport final, plan d'actions

Charge totale indicative pour une PME de 50 salariés : 45 à 80 jours/homme sur 12 mois [à vérifier selon maturité initiale].

Vous lancez votre premier cycle d'audit AIMS ?

Le pack documentaire regulia inclut le plan d'audit annuel, les check-lists par domaine et le modèle de rapport conforme à la Clause 9.2 ISO 42001.

Recevoir le pack documentaire AIMS

3. Étapes clés de l'audit interne

Chaque mission d'audit suit une séquence stable. La rigueur de cette séquence est ce qui distingue un audit interne défendable d'une simple revue informelle.

Définir l'objectif et le périmètre — préciser quels processus AIMS, quels systèmes d'IA et quelles unités sont concernés.
Sélectionner l'équipe d'audit — l'auditeur ne doit pas auditer son propre travail (principe d'indépendance, Clause 9.2.2 c).
Préparer le plan de mission — agenda, documents à collecter, personnes à rencontrer, check-lists.
Collecter les preuves — revue documentaire, entretiens, observations terrain, tests sur échantillon.
Analyser les écarts — comparer les preuves aux exigences de la norme et de l'AI Act.
Rédiger le rapport — constats factuels, écarts classifiés, recommandations.
Restituer à la direction — réunion de clôture, validation des plans d'actions.
Suivre les actions correctives — vérification de l'efficacité.

Étape	Preuve type	Source d'exigence
Définition du périmètre	Procédure AIMS § 4.3	ISO 42001 Clause 4.3
Indépendance auditeur	Lettre de mission	ISO 42001 Clause 9.2.2 c
Collecte preuves	Échantillon journaux, AIPD	Art. 12 et 26 du Règlement (UE) 2024/1689
Rapport	Compte-rendu signé	ISO 42001 Clause 9.2.2 f

4. Outils et méthodologies pour l'audit interne

Le choix des outils doit rester proportionné à la taille de la PME. Une feuille de calcul structurée suffit dans la majorité des cas pour les organisations de moins de 50 salariés. Les structures plus matures peuvent investir dans un logiciel de gestion d'audit.

Méthodologies utiles :

Check-lists ISO/IEC 42001:2023 déclinées sur les Clauses 4 à 10.
Questionnaires d'audit sur 10 domaines : gouvernance, éthique, sécurité, RGPD, documentation, formation, risques, traçabilité, fournisseurs, amélioration.
Analyse SWOT des processus AIMS pour prioriser les missions à risque.
Tests de conformité RGPD sur la base des fiches pratiques CNIL.
Audit par échantillonnage des modèles IA selon une matrice risque/exposition.

Outil	Cas d'usage	Coût indicatif
Tableur structuré + modèles regulia	PME 10-50 salariés	Inclus dans le pack
Logiciel GRC généraliste	PME 50-250 salariés	200 à 800 €/mois [à vérifier]
Plateforme dédiée AI Governance	PME exposée haut risque	1 000 €+/mois [à vérifier]

Pour comprendre la terminologie utilisée dans les check-lists (AIMS, AIPD, FRIA), consulter le glossaire regulia.

5. Exemples de questions d'audit pour les PME

Les questions d'audit doivent être factuelles, traçables et reliées à une exigence. Voici une sélection représentative à intégrer aux check-lists.

Gouvernance et éthique : - Chaque système d'IA fait-il l'objet d'une fiche de classification au regard de l'Art. 6 du Règlement (UE) 2024/1689 ? - Une politique IA a-t-elle été approuvée par la direction et communiquée (ISO 42001 Clause 5.2) ?

Données et RGPD : - Les données d'entraînement respectent-elles le principe de minimisation (Art. 5 du Règlement (UE) 2016/679) ? - Une AIPD a-t-elle été réalisée pour les traitements à haut risque (Art. 35 RGPD) ?

Robustesse et sécurité : - Les tests d'équité et de robustesse sont-ils planifiés et documentés (Art. 15 du Règlement (UE) 2024/1689) ? - Les journaux d'événements sont-ils conservés conformément à l'Art. 12 du Règlement (UE) 2024/1689 ?

Compétences et supervision : - Les personnes en charge de la surveillance humaine ont-elles reçu une formation adaptée (Art. 14 et Art. 4 du Règlement (UE) 2024/1689) ? - La cartographie des compétences IA est-elle à jour ?

Documentation : - La documentation technique requise à l'Art. 11 et à l'Annexe IV du Règlement (UE) 2024/1689 est-elle complète et versionnée ?

6. Intégration avec EU AI Act et RGPD

L'audit interne AIMS ne se substitue ni à l'évaluation de conformité de l'AI Act ni à une AIPD. Il les nourrit. Une articulation claire entre les trois exercices évite la duplication d'effort et les angles morts.

Exigence	Source	Vérification audit interne
Système de gestion des risques	Art. 9 du Règlement (UE) 2024/1689	Existence, mise à jour, traçabilité
Gouvernance des données	Art. 10 du Règlement (UE) 2024/1689	Qualité, représentativité, biais
Documentation technique	Art. 11 et Annexe IV du Règlement (UE) 2024/1689	Complétude, versions
Journalisation	Art. 12 du Règlement (UE) 2024/1689	Couverture, rétention
Transparence	Art. 13 du Règlement (UE) 2024/1689	Notice d'utilisation
Surveillance humaine	Art. 14 du Règlement (UE) 2024/1689	Modalités, formation
Robustesse et cybersécurité	Art. 15 du Règlement (UE) 2024/1689	Tests, plans
Protection des données dès la conception	Art. 25 RGPD	Mesures techniques et organisationnelles
AIPD	Art. 35 RGPD	Existence, mise à jour

La PME déployeur doit aussi vérifier ses obligations propres : usage conforme à la notice fournisseur, surveillance humaine effective, conservation des journaux, et information des personnes concernées (Art. 26 du Règlement (UE) 2024/1689).

Besoin d'un cadre prêt à l'emploi ?

regulia fournit aux PME françaises un pack documentaire AIMS aligné ISO 42001, AI Act et RGPD : politique IA, registre des SIA, plan d'audit, modèles de rapport.

Demander le pack regulia

7. Gestion des non-conformités et améliorations

La valeur d'un audit interne se mesure à la qualité du traitement des écarts. La Clause 10.2 de la norme ISO/IEC 42001:2023 impose d'analyser la cause racine, de mettre en œuvre des actions correctives et de vérifier leur efficacité.

Classification recommandée :

Écart critique — exposition réglementaire immédiate ou risque significatif pour les droits fondamentaux. Traitement sous 30 jours.
Écart majeur — manquement systémique à une exigence de la norme ou de l'AI Act. Traitement sous 90 jours.
Écart mineur — défaut ponctuel sans impact systémique. Traitement sous 6 mois.
Piste d'amélioration — opportunité sans manquement. Pas de délai contraint.

Type d'écart	Délai cible	Validation
Critique	30 jours	Direction + DPO/AI Lead
Majeur	90 jours	Responsable AIMS
Mineur	180 jours	Responsable de processus
Amélioration	Plan annuel	Revue de direction

Toute action corrective doit faire l'objet d'un suivi documenté. Le tableau de bord AIMS est revu en revue de direction (Clause 9.3) au moins une fois par an. Les écarts non traités à l'échéance constituent un risque réglementaire majeur, en particulier au regard des sanctions prévues à l'Art. 99 du Règlement (UE) 2024/1689 — détaillées dans l'article sanctions et amendes AI Act pour les PME.

8. Ressources et formation pour l'audit interne

L'audit interne suppose des auditeurs compétents. La Clause 7.2 de la norme ISO/IEC 42001:2023 impose de déterminer, garantir et documenter les compétences nécessaires.

Axes de formation recommandés :

Fondamentaux de la norme ISO/IEC 42001:2023 et de l'ISO/IEC 19011:2018 (lignes directrices pour l'audit des systèmes de management).
EU AI Act : champ d'application, qualification haut risque, obligations par rôle.
RGPD appliqué à l'IA : 13 fiches pratiques de la CNIL.
ISO/IEC 23894:2023 (gestion des risques liés à l'IA) et ISO/IEC 27001:2022 (sécurité de l'information).

Profil	Formation minimale	Durée indicative
Auditeur interne AIMS	ISO 42001 Lead Auditor ou équivalent	3 à 5 jours
Responsable AIMS	ISO 42001 Lead Implementer	5 jours
Direction	Sensibilisation AI Act	1/2 journée
Équipes opérationnelles	Sensibilisation IA et RGPD	1 journée

Budget indicatif pour une PME de 50 salariés : 5 à 10 % du coût total de mise en place du système AIMS [à vérifier selon prestataire]. Pour un cadre méthodologique complet sur la mise en œuvre de la norme, consulter le guide ISO 42001 pour les PME.

FAQ

Quel est le coût d'un audit interne AIMS pour une PME de 50 salariés ?

Le coût pour une PME de 50 salariés se situe couramment entre 5 000 € et 20 000 €, formation, outils et temps interne inclus [à vérifier selon prestataire]. Le périmètre couvert et le nombre de systèmes d'IA déployés influencent fortement cette fourchette. Le coût est nettement inférieur à celui d'une non-conformité constatée par une autorité de surveillance.

Quelles sont les conséquences d'une non-conformité à l'audit interne ?

Un écart critique non traité expose la PME à deux régimes de sanctions cumulables. L'Art. 99 du Règlement (UE) 2024/1689 prévoit des amendes pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 M€ ou 3 % pour les manquements aux obligations applicables aux systèmes à haut risque. L'Art. 83 du Règlement (UE) 2016/679 (RGPD) prévoit des amendes jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial.

Dois-je faire appel à un cabinet externe pour l'audit interne ?

Le recours à un cabinet externe n'est pas obligatoire. La Clause 9.2.2 c) de la norme ISO/IEC 42001:2023 impose en revanche que les auditeurs soient objectifs et impartiaux. Dans une PME, il est souvent plus simple de confier l'audit interne à un prestataire externe ou à un collaborateur extérieur au processus audité, plutôt qu'à un membre de l'équipe IA elle-même.

Quelle fréquence d'audit interne est requise par la norme ISO 42001 ?

La Clause 9.2 de la norme ISO/IEC 42001:2023 exige des audits à intervalles planifiés, sans fixer de fréquence numérique. La pratique de marché retient un cycle annuel couvrant l'ensemble des processus AIMS sur 12 mois. Pour les systèmes à haut risque au sens de l'AI Act, une fréquence semestrielle ou ciblée sur les composants critiques est recommandée.

Comment documenter les résultats de l'audit interne ?

Le rapport doit consigner les objectifs, le périmètre, la méthodologie, les preuves, les constats, les écarts classifiés et les recommandations. Il est signé par le responsable d'audit et présenté à la direction. La Clause 9.2.2 f) de la norme ISO/IEC 42001:2023 exige la conservation d'informations documentées comme preuve. Les définitions des termes utilisés sont disponibles dans le glossaire regulia.

Sources officielles

Règlement (UE) 2024/1689 — texte intégral consolidé : artificialintelligenceact.eu
Règlement (UE) 2024/1689 — version officielle EUR-Lex : eur-lex.europa.eu
CNIL — textes de référence et fiches pratiques IA : cnil.fr
AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante, ISO)
ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management (norme payante, ISO)
ISO/IEC 27001:2022 — Information security management systems (norme payante, ISO)
Liste complète des sources regulia : sources officielles

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.