L'essentiel en 30 secondes - La Clause 9.2 de l'ISO/IEC 42001:2023 impose des audits internes planifiés du système de management de l'intelligence artificielle (AIMS). - Un programme structuré sur 12 mois couvre l'ensemble des processus AIMS et synchronise les obligations EU AI Act. - L'audit interne détecte la majorité des écarts avant tout contrôle externe et limite l'exposition aux sanctions. - Le défaut de conformité au Règlement (UE) 2024/1689 peut atteindre jusqu'à 7 % du chiffre d'affaires annuel mondial (Article 99). - La formation des auditeurs internes est un pilier de la maturité AIMS, en particulier pour les PME de plus de 50 salariés.
Les PME françaises qui déploient des systèmes d'IA sont désormais confrontées à un double régime : la conformité au Règlement (UE) 2024/1689 (« EU AI Act ») et l'alignement volontaire sur l'ISO/IEC 42001:2023. La Clause 9.2 de cette norme exige un programme d'audit interne formalisé. Cet article détaille comment construire ce programme sur 12 mois, avec une méthodologie applicable à une PME de 10 à 250 salariés.
1. Comprendre la Clause 9.2 ISO 42001
La Clause 9.2 de l'ISO/IEC 42001:2023 définit les exigences relatives aux audits internes du système de management de l'IA (AIMS, AI Management System). Elle constitue le pendant, pour l'IA, de la Clause 9.2 de l'ISO 9001 ou de l'ISO 27001.
Définition opérationnelle. L'audit interne est une évaluation systématique, indépendante et documentée de l'AIMS. Son but : vérifier que les processus définis sont appliqués et qu'ils produisent les résultats attendus.
Trois finalités structurent la Clause 9.2 :
- Vérifier que l'AIMS est conforme aux exigences propres à l'organisation (politique IA, objectifs).
- Vérifier que l'AIMS est conforme aux exigences de la norme ISO/IEC 42001:2023.
- Vérifier que l'AIMS est efficacement mis en œuvre et tenu à jour.
Enjeu pour une PME française. L'audit interne n'est pas qu'un exercice normatif. Il prépare directement les contrôles des autorités de surveillance désignées en application du Règlement (UE) 2024/1689. Pour les systèmes d'IA à haut risque, ces contrôles peuvent déboucher sur des sanctions financières lourdes au titre de l'Article 99 — jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions aux pratiques prohibées de l'Article 5.
| Élément | Exigence ISO 42001 Cl. 9.2 | Implication PME |
|---|---|---|
| Programme d'audit | Planifié, documenté | Calendrier 12 mois validé par la direction |
| Critères d'audit | Définis pour chaque audit | Référentiel ISO 42001 + EU AI Act |
| Sélection auditeurs | Objectivité et impartialité | Séparation des rôles avec DPO/RSSI |
| Rapport | Communiqué à la direction | Revue de direction trimestrielle |
| Actions correctives | Sans délai indu | Plan d'action sous 30 jours |
Pour un panorama réglementaire global, consultez le guide AI Act et PME françaises.
2. Programme d'audit sur 12 mois : méthodologie
Un programme d'audit interne AIMS efficace se découpe en trois phases sur une année calendaire complète. Cette répartition assure une couverture exhaustive sans surcharger les équipes.
Phase 1 — Planification (mois 1 et 2)
La planification cartographie les processus AIMS à auditer. Elle s'appuie sur l'analyse de risques IA de l'organisation et sur les priorités fixées par la direction.
- Cartographier les processus AIMS (gouvernance, gestion des risques, cycle de vie des systèmes d'IA, gestion des données, surveillance).
- Hiérarchiser ces processus selon leur criticité et leur niveau de risque résiduel.
- Rédiger le plan d'audit annuel et le faire valider par le comité de direction.
- Notifier les responsables de processus avec un préavis minimum de quatre semaines.
Phase 2 — Exécution (mois 3 à 9)
Les audits se déroulent par cycles trimestriels. Chaque cycle couvre un sous-ensemble de processus AIMS et combine entretiens, revue documentaire et tests sur échantillons.
| Trimestre | Processus AIMS audités | Articles AI Act associés |
|---|---|---|
| T1 (mois 3-4) | Gouvernance, politique IA, rôles | Art. 26, Art. 27 |
| T2 (mois 5-6) | Gestion des risques, données d'entraînement | Art. 9, Art. 10 |
| T3 (mois 7-9) | Documentation technique, transparence, surveillance post-marché | Art. 11, Art. 13, Art. 72 |
Phase 3 — Suivi et clôture (mois 10 à 12)
Cette phase analyse les écarts, suit la mise en œuvre des actions correctives et alimente la revue de direction prévue à la Clause 9.3 de l'ISO/IEC 42001:2023.
- Mois 10 : consolidation du rapport annuel d'audit interne.
- Mois 11 : revue de direction et arbitrage des actions correctives.
- Mois 12 : préparation du programme de l'année suivante, intégration du retour d'expérience.
3. Rôle de l'auditeur interne
L'auditeur interne AIMS est la pierre angulaire du dispositif. Sa légitimité repose sur trois piliers : compétence, indépendance et déontologie.
Compétences requises. L'auditeur doit maîtriser le référentiel ISO/IEC 42001:2023, le Règlement (UE) 2024/1689, les principes du RGPD applicables aux traitements algorithmiques, ainsi que les fondamentaux techniques des systèmes d'IA (cycle de vie, données, évaluation).
Formation initiale recommandée. Un parcours de 16 heures constitue un socle minimal pour aborder l'AIMS dans une PME. Ce volume reste indicatif et peut varier selon le profil de l'auditeur [à vérifier auprès de votre organisme de formation].
Impartialité. L'Article 9.2.2 c) de l'ISO/IEC 42001:2023 exige que la sélection des auditeurs garantisse l'objectivité du processus. Concrètement, un auditeur ne peut pas évaluer un processus dont il est lui-même responsable opérationnellement.
| Profil candidat | Avantages | Limites |
|---|---|---|
| DPO interne | Connaissance RGPD, présence continue | Conflit de rôle si propriétaire de processus IA |
| RSSI interne | Maîtrise des contrôles ISO 27001 | Compétence IA à compléter |
| Auditeur externe | Indépendance maximale, regard neuf | Coût plus élevé, montée en compétence sur le contexte |
| Binôme interne/externe | Équilibre coût/indépendance | Coordination à organiser |
Pour les définitions des rôles AIMS (DPO, RSSI, AI Lead), consultez le glossaire regulia.
Lancez votre programme d'audit AIMS sans repartir de zéro
Notre pack documentaire ISO 42001 inclut le plan d'audit type, les checklists et les matrices de criticité prêts à adapter à votre PME.
Demander le pack ISO 420014. Plan d'audit détaillé
Chaque audit individuel suit un cycle en quatre étapes. La rigueur de ce cycle conditionne la valeur probante des constats remontés à la direction.
Étape 1 — Définition du périmètre et des objectifs
L'auditeur formalise une note de cadrage : processus concernés, systèmes d'IA inclus, critères d'audit, méthodes utilisées, calendrier. Cette note est partagée avec les audités au moins deux semaines avant la réunion d'ouverture.
Étape 2 — Collecte des preuves
La preuve d'audit se construit par trois canaux complémentaires.
- Revue documentaire : politiques, procédures, registres, journaux, documentation technique au sens de l'Article 11 du Règlement (UE) 2024/1689.
- Entretiens : opérateurs, responsables de processus, DPO, équipes data science.
- Observation directe : tests sur échantillons (par exemple, exécution d'une procédure de gestion d'incident IA).
Étape 3 — Analyse des écarts
L'analyse compare la preuve collectée aux critères d'audit. Chaque écart est qualifié : non-conformité majeure, non-conformité mineure, ou opportunité d'amélioration. La classification suit les définitions de l'ISO/IEC 17021-1:2015 [à vérifier selon le référentiel interne].
Étape 4 — Rapport et recommandations
Le rapport d'audit inclut :
- Le périmètre et les critères.
- La synthèse des constats positifs.
- Les non-conformités avec preuves objectives.
- Les recommandations hiérarchisées.
- Le calendrier proposé pour les actions correctives.
5. Alignement EU AI Act
Le programme d'audit interne ISO 42001 ne se substitue pas aux obligations du Règlement (UE) 2024/1689, mais il en facilite la démonstration. L'alignement opérationnel se construit point par point.
| Exigence EU AI Act | Mécanisme ISO 42001 Cl. 9.2 | Preuve à collecter |
|---|---|---|
| Art. 9 — Gestion des risques | Audit du processus de risk management | Registre des risques IA, plans de traitement |
| Art. 10 — Données et gouvernance | Audit qualité données | Procédure de data quality, journaux |
| Art. 11 + Annexe IV — Documentation technique | Audit documentaire | Dossier technique complet |
| Art. 13 — Transparence | Audit des notices utilisateurs | Notice d'utilisation, manuel |
| Art. 14 — Supervision humaine | Audit des contrôles humains | Procédures d'intervention |
| Art. 17 — Système de management qualité | Audit AIMS global | Politique IA, indicateurs |
| Art. 72 — Surveillance post-marché | Audit du dispositif | Plan de surveillance, registres incidents |
| Art. 99 — Sanctions | Suivi des écarts critiques | Plans d'action et délais |
Cette table est un point de départ. Le détail des sanctions et des seuils financiers est traité dans l'article dédié sanctions AI Act pour PME.
6. Outils et documentation
Un programme d'audit interne s'appuie sur des outils standardisés. Les PME peuvent combiner des supports normatifs et des outils sectoriels.
Matrices d'audit. La matrice croise les exigences de l'ISO/IEC 42001:2023 (clauses 4 à 10 et Annexe A) avec les processus AIMS de l'organisation. Elle sert à vérifier la couverture du programme.
Checklists EU AI Act. Les checklists publiées sur artificialintelligenceact.eu permettent de vérifier les exigences applicables aux systèmes à haut risque. Elles ne remplacent pas une analyse juridique au cas par cas.
Outils logiciels. Plusieurs catégories d'outils existent : plateformes de gouvernance IA, modules d'audit ISO intégrés, gestionnaires d'actions correctives. Le choix dépend du budget, du volume de systèmes d'IA et de l'intégration avec l'existant (SIRH, ITSM, GRC).
| Catégorie d'outil | Usage principal | Public cible PME |
|---|---|---|
| Tableur structuré | Plan d'audit, checklist | < 50 salariés, 1 à 3 systèmes IA |
| Module GRC dédié IA | Audit + risques + actions | 50 à 250 salariés, > 5 systèmes IA |
| Plateforme AIMS spécialisée | Pilotage complet | PME en hypercroissance |
Pour aller plus loin, consultez la page sources qui recense les références officielles utilisables comme critères d'audit.
7. Suivi et amélioration
L'audit ne vaut que par les actions qu'il déclenche. La Clause 10 de l'ISO/IEC 42001:2023 cadre l'amélioration continue. Le programme d'audit s'inscrit dans la roue PDCA (Plan-Do-Check-Act).
Plan d'action pour les écarts. Chaque non-conformité ouvre une action corrective avec un responsable, une échéance, et un critère de clôture. L'action est documentée dans le registre des actions correctives.
Révision annuelle du programme. Le bilan annuel permet d'ajuster la fréquence des audits, le périmètre et les compétences mobilisées. Un système d'IA nouvellement déployé peut justifier un audit ponctuel hors programme.
Mise à jour des procédures AIMS. Les écarts récurrents pointent souvent une procédure inadaptée. La revue de direction (Cl. 9.3) tranche l'évolution des procédures concernées.
Indicateurs de pilotage. Quelques indicateurs utiles pour suivre la performance du programme :
- Taux de couverture des processus AIMS audités (objectif : 100 % sur 12 mois).
- Délai moyen de clôture des actions correctives.
- Taux de non-conformités récurrentes d'une année sur l'autre.
- Nombre d'audits réalisés selon le plan vs. réalisé.
8. Conseils pratiques pour les PME
Une PME ne dispose pas des ressources d'un grand groupe. Quelques principes permettent de construire un programme d'audit AIMS proportionné.
- Prioriser sur les processus critiques. Données d'entraînement, algorithmes des systèmes à haut risque, supervision humaine : ces trois axes concentrent l'exposition au risque réglementaire et opérationnel.
- S'appuyer sur les ressources publiques. Le service desk de l'AI Office (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. Les 13 fiches pratiques IA de la CNIL apportent un cadrage RGPD-IA précieux.
- Mutualiser auditeur et compétences. Un cabinet externe peut intervenir une fois par an sur les processus les plus sensibles, tandis qu'un auditeur interne assure les revues trimestrielles.
- Industrialiser la collecte de preuves. Les journaux applicatifs, les tickets, les versions de modèles sont autant de preuves disponibles « gratuitement » si elles sont structurées dès l'origine.
- Intégrer le PDCA. L'audit alimente la revue de direction ; la revue de direction alimente la planification de l'année suivante. Cette boucle évite les programmes d'audit déconnectés de la stratégie.
- Documenter sans sur-documenter. Un rapport d'audit utile fait 10 à 20 pages. Au-delà, il devient illisible pour la direction qui doit décider.
Besoin d'un programme d'audit AIMS clé en main ?
regulia accompagne les PME françaises avec un pack documentaire ISO 42001 + EU AI Act : matrices d'audit, plan 12 mois, checklists Annexe A et trames de rapport.
Recevoir une démo personnaliséeFAQ — Audit interne AIMS et ISO 42001
Quelle est la fréquence minimale des audits internes selon ISO 42001 ?
L'ISO/IEC 42001:2023 (Cl. 9.2.2) exige des audits internes à intervalles planifiés, sans imposer de cadence unique. La pratique consolidée prévoit une couverture complète de l'AIMS au moins une fois par an. Un programme étalé sur 12 mois permet de répartir la charge et d'auditer chaque processus AIMS de manière approfondie.
Comment choisir l'auditeur interne pour ma PME ?
L'auditeur doit cumuler une formation à l'ISO/IEC 42001:2023, une connaissance opérationnelle du Règlement (UE) 2024/1689 et une indépendance vis-à-vis des processus audités. Pour une PME, trois options sont courantes : un auditeur interne dédié (à partir de 50 salariés), un cabinet externe, ou un binôme mixte. L'impartialité est l'exigence non négociable de la norme.
Quels sont les risques si les audits internes ne sont pas réalisés ?
Sur le plan normatif, l'absence d'audit interne empêche la certification ISO/IEC 42001:2023. Sur le plan réglementaire, elle fragilise la démonstration de conformité au Règlement (UE) 2024/1689, dont l'Article 99 prévoit des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves. L'audit interne est aussi la première ligne de détection des écarts avant tout contrôle externe.
Comment l'audit interne contribue-t-il à la conformité EU AI Act ?
L'audit interne vérifie la mise en œuvre des exigences de l'AI Act : gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), transparence (Art. 13), supervision humaine (Art. 14) et surveillance post-marché (Art. 72). Il produit la preuve objective que ces processus existent, sont appliqués et sont efficaces.
Quelles ressources utiliser pour mettre en place un programme d'audit ?
Trois sources structurent un programme d'audit AIMS : le texte intégral de l'ISO/IEC 42001:2023, le Règlement (UE) 2024/1689 sur eur-lex.europa.eu, et les fiches pratiques de la CNIL. Le service desk de l'AI Office apporte un éclairage opérationnel. Pour la documentation type, le pack regulia ISO 42001 propose des trames adaptées au format PME.
Sources officielles
- artificialintelligenceact.eu — texte consolidé de l'EU AI Act
- EUR-Lex — Règlement (UE) 2024/1689
- CNIL — fiches pratiques IA et RGPD
- AI Office EU — service desk officiel
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante)
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act et l'ISO/IEC 42001:2023 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.