COMEX et revue de direction AIMS ISO 42001 Clause 9.3 : ordre du jour pour les PME

Q: Qui doit présider la revue de direction AIMS dans une PME?

La revue doit être présidée par le COMEX (Comité d'Orientation et de Suivi) ou un comité équivalent de direction. Le DPO (Délégué à la Protection des Données) et le RSSI (Responsable Sécurité des Systèmes d'Information) doivent participer activement.

Q: Quels éléments doivent figurer dans l'ordre du jour de la revue?

L'ordre du jour typique inclut : résultats des audits AIMS, performance des processus d'IA, évaluation des risques, conformité légale (RGPD, EU AI Act), ressources allouées, et décisions stratégiques pour l'année suivante. Il doit être documenté et distribué aux participants avant la réunion.

Q: Comment documenter les résultats de la revue?

Les résultats doivent être documentés dans un rapport de revue, incluant les conclusions, les décisions prises, les actions correctives identifiées et les responsables avec délais. Ce rapport doit être conservé et mis à jour régulièrement.

La revue de direction du système de management de l'intelligence artificielle (AIMS) est l'exercice de gouvernance le plus structurant exigé par la norme ISO/IEC 42001:2023. Pour une PME française de 10 à 250 salariés, elle ne se résume pas à une réunion annuelle de plus dans l'agenda du COMEX. Elle conditionne la validité de la certification, l'alignement avec l'EU AI Act et la capacité à démontrer, devant la CNIL ou un client, que l'entreprise pilote réellement ses risques liés à l'IA.

Ce guide détaille l'ordre du jour, la préparation, l'exécution et le suivi d'une revue de direction AIMS conforme à la Clause 9.3. Il s'adresse aux dirigeants, DPO, RSSI et IA Lead qui doivent organiser cet exercice dans une organisation où les ressources sont comptées.

TL;DR

L'essentiel en 30 secondes

La revue de direction AIMS (Clause 9.3 ISO/IEC 42001:2023) doit être annuelle au minimum, présidée par le COMEX.

Elle vise à évaluer l'efficacité du système de management de l'IA et à orienter les améliorations stratégiques.

L'ordre du jour couvre performances, risques, audits, ressources, évolution réglementaire et décisions.

Les PME doivent documenter résultats, décisions et actions correctives — articulés avec l'Article 13 du Règlement (UE) 2024/1689 et l'Article 32 du RGPD.

La CNIL et l'AI Act Service Desk fournissent des ressources opérationnelles complémentaires.

Une non-conformité peut entraîner des sanctions financières et compromettre la certification AIMS.

1. Introduction à la revue de direction AIMS (Clause 9.3 ISO 42001)

La Clause 9.3 de la norme ISO/IEC 42001:2023 impose à la direction d'une organisation certifiée AIMS de procéder à une revue périodique de son système de management de l'intelligence artificielle. Cette obligation s'inscrit dans la logique « Plan-Do-Check-Act » commune à toutes les normes de management ISO de Haut Niveau (ISO/IEC 27001, ISO 9001, ISO 14001).

La revue de direction n'est pas un audit. Elle ne vérifie pas la conformité ligne par ligne. Elle pose une question stratégique unique : le système de management de l'IA reste-t-il pertinent, adéquat et efficace face aux objectifs de l'organisation, aux risques identifiés et aux exigences légales applicables ?

Pour une PME française, cette nuance est décisive. L'audit interne (Clause 9.2) répond à la question « faisons-nous ce que nous avons écrit ? ». La revue de direction répond à « ce que nous faisons est-il encore la bonne chose à faire ? ». Le COMEX y joue le rôle de pilote stratégique. Sans son implication directe, la revue perd toute valeur probante en cas de contrôle externe.

L'enjeu va au-delà de la certification. Avec l'entrée en application progressive du Règlement (UE) 2024/1689 — l'EU AI Act — entre 2025 et 2027, la revue de direction devient le lieu où l'organisation arbitre ses obligations de gouvernance IA, ses ressources et ses priorités. Elle alimente la documentation technique exigée par l'Article 11 et les obligations de transparence de l'Article 13 du règlement.

Pour comprendre le cadre général applicable aux PME françaises, le guide AI Act et PME en France pose les fondations réglementaires sur lesquelles s'appuie la revue de direction AIMS.

2. Fréquence et responsabilités

La norme fixe une fréquence minimale annuelle. Elle laisse toutefois à l'organisation la liberté d'organiser des revues complémentaires lorsque les circonstances l'exigent.

Situation	Fréquence recommandée	Justification
Régime de croisière, peu d'évolutions	1 fois par an	Minimum exigé par ISO/IEC 42001:2023
Déploiement de nouveaux systèmes d'IA à haut risque	2 fois par an	Anticipation des obligations Art. 9 et 17 EU AI Act
Incident de sécurité ou biais détecté	Revue extraordinaire	Décision corrective rapide, traçabilité
Évolution réglementaire majeure	Revue dans les 3 mois	Mise à niveau des politiques internes
Changement de périmètre AIMS	Revue dans les 6 mois	Validation du nouveau scope

La présidence revient au COMEX, ou à son équivalent dans la PME : comité de direction, directoire, conseil de gérance. Cette présidence ne peut pas être déléguée au DPO ou au RSSI. La norme exige une décision de la direction au plus haut niveau, car la revue engage les ressources de l'organisation.

Les participants obligatoires sont :

Le dirigeant ou son représentant exécutif (CEO, DG, gérant)
Le DPO (Délégué à la Protection des Données)
Le RSSI (Responsable Sécurité des Systèmes d'Information)
L'IA Lead ou responsable technique des systèmes d'IA
Le responsable juridique et conformité
Le responsable qualité, s'il existe et s'il porte le pilotage AIMS

Pour une PME où ces fonctions sont cumulées, le principe est de garantir la pluralité des regards : technique, juridique, sécurité, métier. Inviter ponctuellement un représentant des opérations ou un chef de produit IA renforce l'ancrage opérationnel des décisions.

3. Ordre du jour typique

L'ordre du jour répond à des exigences précises de la Clause 9.3.2 ISO/IEC 42001:2023, qui liste les entrées minimales à considérer. La structure suivante constitue un modèle éprouvé pour une PME.

Séquence d'une revue type sur une demi-journée

Ouverture par le COMEX — rappel des objectifs stratégiques liés à l'IA (10 min)
Bilan de la politique AIMS — état d'application, écarts, évolutions (20 min)
Résultats des audits internes et externes — synthèse, non-conformités, plans d'action (30 min)
Performances des processus d'IA — KPIs, incidents, retours utilisateurs (40 min)
Évaluation des risques liés à l'IA — registre des risques, évolutions, nouvelles menaces (30 min)
Évolution des exigences légales — EU AI Act, RGPD, normes sectorielles (20 min)
Ressources allouées — budget, effectifs, formation, outillage (20 min)
Opportunités d'amélioration et objectifs — pour l'année suivante (30 min)
Décisions et clôture — actions correctives, responsables, échéances (20 min)

Entrée de la revue (Clause 9.3.2)	Source d'information	Responsable de la présentation
Statut des actions des revues précédentes	Plan d'action AIMS	DPO ou pilote AIMS
Changements externes et internes pertinents	Veille réglementaire, marché	Juridique + IA Lead
Informations sur la performance et l'efficacité	KPIs, tableaux de bord	IA Lead
Non-conformités et actions correctives	Registre des non-conformités	Qualité ou pilote AIMS
Résultats des audits	Rapports d'audit interne et externe	Auditeur interne
Retour des parties intéressées	Réclamations, feedback clients	Métier ou DPO
Adéquation des ressources	Budget, effectifs	Direction financière
Efficacité des actions face aux risques	Registre des risques IA	RSSI + IA Lead
Opportunités d'amélioration continue	Suggestions internes, veille	Tous les participants

Cette grille couvre l'intégralité des exigences normatives. Toute revue qui omettrait l'une de ces entrées exposerait la PME à une non-conformité majeure lors de l'audit de certification.

4. Préparation de la revue

La qualité de la revue dépend à 80 % de sa préparation. Une réunion mal préparée se transforme en exposé descendant sans décision exploitable. Le DPO ou le pilote AIMS pilote cette phase préparatoire sur quatre à six semaines.

Collecte des données

Les données à rassembler couvrent l'ensemble des entrées normatives de la Clause 9.3.2 :

Indicateurs de performance : taux d'incidents IA, temps moyen de résolution, taux de couverture des contrôles, performance des modèles en production (précision, rappel, dérive)
Rapports d'audit : audits internes des douze derniers mois, audits externes (certification, clients, autorités), rapports de tests de pénétration sur les systèmes d'IA
Incidents et non-conformités : registre des incidents, déclarations CNIL, signalements internes, plaintes utilisateurs
Feedback parties prenantes : retours clients, enquêtes de satisfaction, remontées des équipes opérationnelles, contributions du conseil d'administration
Veille réglementaire : évolutions de l'EU AI Act, lignes directrices de l'AI Office, recommandations CNIL, normes sectorielles applicables

Analyse des risques

Le registre des risques AIMS doit être mis à jour préalablement à la revue. Cette mise à jour s'appuie sur la méthodologie ISO/IEC 23894:2023, norme dédiée à la gestion des risques liés à l'IA. Elle intègre les risques de biais, d'explicabilité, de robustesse, de sécurité, de protection des données et d'impact sur les droits fondamentaux.

Le RSSI et l'IA Lead co-pilotent cette mise à jour. Ils identifient les nouveaux risques apparus depuis la dernière revue, réévaluent les risques existants à la lumière des incidents survenus, et proposent des plans de traitement adaptés.

Documentation préparatoire

Un dossier de revue est diffusé aux participants au minimum dix jours ouvrés avant la réunion. Il contient :

L'ordre du jour détaillé
La synthèse des KPIs sur la période écoulée
Le bilan des actions issues de la revue précédente
Le registre des risques actualisé
La synthèse des audits et incidents
Les propositions d'évolution de la politique AIMS
Les questions stratégiques nécessitant un arbitrage

Sans ce dossier préparatoire, les participants découvrent les sujets en séance. Les décisions deviennent superficielles. Le pilote AIMS perd son rôle d'aiguillon stratégique.

Pack documentaire AIMS ISO 42001 pour PME

Modèles de dossier préparatoire, ordre du jour, compte-rendu de revue de direction, registre des risques IA et plan d'action — adaptés aux PME françaises de 10 à 250 salariés.

Découvrir le pack documentaire

5. Exécution de la revue

La revue se tient en présentiel ou en visioconférence, sur une demi-journée minimum pour une PME, une journée pour une organisation déployant plusieurs systèmes d'IA à haut risque au sens de l'Article 6 du Règlement (UE) 2024/1689.

Déroulé recommandé

Ouverture par le président du COMEX — rappel des enjeux, des objectifs et de la valeur attendue de la revue
Présentation des données par le DPO et l'IA Lead — exposé synthétique des KPIs, audits, incidents et évolutions réglementaires
Discussion thématique — chaque entrée fait l'objet d'un échange structuré, animé par le pilote AIMS
Identification des écarts — comparaison entre objectifs initiaux et résultats constatés
Décisions stratégiques — arbitrages sur les actions correctives, allocation des ressources, évolution du périmètre
Documentation en séance — un secrétaire de séance consigne les décisions, responsables et échéances
Clôture par le COMEX — validation du compte-rendu, planification du suivi

Règles de tenue

La revue exige une discipline de séance pour rester productive :

Règle	Justification
Pas d'écran personnel ouvert pendant les discussions	Garantir l'attention et la qualité des arbitrages
Tour de table systématique avant chaque décision	Recueillir les positions de chaque fonction représentée
Décisions formulées en termes SMART	Spécifique, mesurable, atteignable, réaliste, temporellement défini
Désignation d'un responsable unique par action	Éviter la dilution de la responsabilité
Validation des conclusions en séance	Pas de compte-rendu rédigé a posteriori sans relecture

Cas particulier de la première revue

Pour une PME qui organise sa première revue AIMS, l'exercice s'étend souvent sur une journée complète. Il intègre une présentation détaillée du système de management de l'IA, de son périmètre, de ses parties prenantes et de ses objectifs initiaux. Cette première revue pose les bases du référentiel sur lequel s'appuieront les revues suivantes.

6. Suivi et amélioration

La revue ne produit sa valeur qu'à travers le suivi rigoureux de ses décisions. C'est sur cette phase que se jouent la majorité des écarts constatés en audit de certification.

Plan d'action

Un plan d'action consolidé est formalisé dans les dix jours suivant la revue. Il reprend chaque décision sous la forme suivante :

Champ	Contenu
Référence	Numéro unique de l'action
Origine	Entrée de la revue ayant motivé la décision
Description	Action précise à mener
Responsable	Personne nommément désignée
Ressources	Budget, effectif, outillage alloués
Échéance	Date limite de réalisation
Indicateur de succès	Critère mesurable de validation
Statut	À faire, en cours, fait, abandonné avec justification

Pilotage opérationnel

Le DPO ou le pilote AIMS assure le suivi mensuel des actions. Il consolide un tableau de bord transmis trimestriellement au COMEX. Ce reporting intermédiaire permet d'éviter l'effet « réunion annuelle sans lendemain ».

En cas de retard ou d'impossibilité d'exécution, le responsable de l'action en informe le pilote AIMS sans délai. Le COMEX peut alors décider de réorienter l'action, de la reporter avec justification ou de l'abandonner. Toute modification est tracée et fait l'objet d'une décision formelle.

Intégration dans le système

Les enseignements de la revue alimentent les processus AIMS existants :

La politique AIMS est mise à jour si des évolutions stratégiques le justifient
Le registre des risques intègre les nouveaux risques identifiés
Les procédures opérationnelles sont révisées en cohérence avec les décisions
Les plans de formation sont ajustés selon les besoins identifiés
La documentation technique des systèmes d'IA à haut risque est mise à niveau

Pour les PME, ce suivi est l'occasion de consolider le glossaire interne de l'IA et la cartographie des systèmes déployés. Le glossaire regulia fournit une base terminologique alignée sur le règlement européen et la norme ISO/IEC 42001:2023.

7. Liens avec l'EU AI Act et le RGPD

La revue de direction AIMS ne fonctionne pas en silo. Elle s'articule explicitement avec les obligations issues du Règlement (UE) 2024/1689 et du Règlement général sur la protection des données.

Articulation avec l'EU AI Act

Exigence EU AI Act	Apport de la revue de direction AIMS
Article 9 — Système de gestion des risques	Validation annuelle de l'efficacité du SGR
Article 11 — Documentation technique	Mise à jour des éléments de gouvernance
Article 13 — Transparence et information des utilisateurs	Vérification de la conformité des informations fournies
Article 14 — Contrôle humain	Évaluation de la qualité du dispositif de supervision
Article 17 — Système de gestion de la qualité	Couvert directement par l'AIMS ISO 42001
Article 26 — Obligations des déployeurs	Revue des pratiques de déploiement
Article 27 — Analyse d'impact sur les droits fondamentaux	Validation des FRIA réalisées

L'AIMS ISO/IEC 42001:2023 est explicitement reconnu par la Commission européenne comme un référentiel pertinent pour démontrer la conformité au système de gestion de la qualité exigé par l'Art. 17 du règlement. Cette présomption de conformité doit néanmoins être validée par les évaluations de conformité applicables.

Articulation avec le RGPD

L'Article 32 du RGPD impose des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement. La revue de direction AIMS contribue à cette obligation en :

Évaluant régulièrement l'efficacité des mesures de sécurité appliquées aux systèmes d'IA traitant des données personnelles
Validant la cohérence entre l'analyse d'impact relative à la protection des données (AIPD) et l'analyse d'impact sur les droits fondamentaux (FRIA)
Documentant la chaîne de responsabilité en matière de protection des données dans les systèmes d'IA

Les fiches pratiques de la CNIL sur l'intelligence artificielle, publiées en treize livraisons, fournissent un cadre méthodologique directement mobilisable lors de la préparation de la revue, notamment sur la base légale, les durées de conservation et les transferts de données.

Conséquences financières d'une non-conformité

L'EU AI Act prévoit un régime de sanctions gradué selon la nature et la gravité du manquement. Le détail figure dans le guide Sanctions AI Act pour les PME et calcul des amendes.

Catégorie de manquement	Plafond	Référence
Pratiques interdites (Art. 5)	Jusqu'à 35 M€ ou 7 % du CA mondial	Art. 99(3) Règlement (UE) 2024/1689
Non-respect des obligations applicables aux systèmes à haut risque	Jusqu'à 15 M€ ou 3 % du CA mondial	Art. 99(4)
Fourniture d'informations inexactes aux autorités	Jusqu'à 7,5 M€ ou 1 % du CA mondial	Art. 99(5)

Pour une PME, ces plafonds sont calculés sur le montant le plus élevé entre la valeur absolue et le pourcentage du chiffre d'affaires. Une revue de direction AIMS rigoureuse documente la diligence raisonnable de l'organisation et peut atténuer le niveau de sanction effectivement appliqué par l'autorité.

Évaluez votre exposition aux sanctions AI Act

Bénéficiez d'un diagnostic personnalisé de votre gouvernance AIMS et de votre conformité à l'EU AI Act, adapté à la taille et au secteur de votre PME.

Demander un diagnostic

8. Exemples concrets pour les PME

Trois cas typiques illustrent l'usage opérationnel de la revue de direction AIMS dans une PME française.

Exemple 1 — Revue après un incident de sécurité lié à un modèle d'IA

Une PME éditrice d'un logiciel RH déploie un module de pré-tri automatisé de candidatures. Six mois après la mise en production, un candidat signale un biais de sélection en défaveur des candidatures féminines pour les postes techniques. L'incident est qualifié de non-conformité majeure.

La revue de direction extraordinaire convoquée trois semaines plus tard examine :

Les conditions exactes de l'incident, les données d'entraînement et la métrique de fairness utilisée
L'absence de contrôle humain effectif au sens de l'Art. 14 du règlement
Le défaut de documentation technique requis par l'Art. 11
L'évaluation du risque résiduel et la décision de suspendre temporairement le module

Le COMEX décide de mettre en pause la fonctionnalité, de financer une réévaluation indépendante du modèle et de renforcer le dispositif de monitoring. La revue annuelle suivante valide les corrections apportées et le retour en production sous conditions.

Exemple 2 — Mise à jour du système AIMS suite à une nouvelle réglementation

Une PME industrielle exploitant des systèmes de maintenance prédictive constate l'entrée en application des obligations applicables aux systèmes d'IA à haut risque prévues par l'EU AI Act. Sa revue de direction annuelle de l'année concernée intègre une session spécifique consacrée à cette mise à niveau.

L'ordre du jour est enrichi des points suivants :

Cartographie des systèmes d'IA et qualification de leur niveau de risque au sens de l'Art. 6
Mise à niveau de la documentation technique (Art. 11) et des journaux (Art. 12)
Validation du dispositif de contrôle humain (Art. 14)
Préparation de la déclaration de conformité (Art. 47)
Plan de formation des opérateurs et superviseurs

Le COMEX décide d'allouer un budget dédié et de désigner un référent IA Act, en complément du pilote AIMS. Le compte-rendu de revue formalise la trajectoire de conformité sur dix-huit mois.

Exemple 3 — Allocation de budget pour former les équipes à l'IA éthique

Une PME de services numériques constate, lors de sa revue annuelle, que ses équipes de développement manquent de repères concrets sur l'éthique de l'IA et les obligations de transparence vis-à-vis des utilisateurs finaux. Les audits internes ont relevé plusieurs cas où les utilisateurs n'étaient pas explicitement informés de l'interaction avec un système d'IA, en contradiction avec l'Art. 50 du règlement.

Le COMEX arbitre l'allocation d'un budget de formation couvrant :

Une formation socle sur l'EU AI Act et l'ISO/IEC 42001:2023 pour l'ensemble des collaborateurs concernés
Un parcours approfondi pour les développeurs et les chefs de produit
Une formation spécifique du DPO et du RSSI sur la gestion des risques liés à l'IA selon ISO/IEC 23894:2023
Des sessions de sensibilisation pour le COMEX lui-même

La revue suivante valide l'efficacité du dispositif au travers d'indicateurs précis : taux de complétion des formations, score aux évaluations post-formation, évolution des non-conformités constatées en audit interne.

FAQ

Q : Quelle est la fréquence minimale de la revue de direction AIMS selon ISO 42001 ?

La revue de direction AIMS doit être organisée au moins une fois par an, conformément à la Clause 9.3.1 de la norme ISO/IEC 42001:2023. Elle peut être organisée plus fréquemment si nécessaire, par exemple après un incident majeur, une modification significative du périmètre AIMS ou une évolution réglementaire substantielle. Une PME déployant plusieurs systèmes d'IA à haut risque gagne à organiser une revue intermédiaire à mi-année pour ajuster le pilotage.

Q : Qui doit présider la revue de direction AIMS dans une PME ?

La revue doit être présidée par le COMEX ou un comité équivalent de direction (directoire, comité exécutif, conseil de gérance). Le DPO et le RSSI participent activement, mais ils ne peuvent pas se substituer au président. La norme exige un engagement formel de la direction au plus haut niveau, car la revue conditionne l'allocation des ressources et les arbitrages stratégiques.

Q : Quels éléments doivent figurer dans l'ordre du jour de la revue ?

L'ordre du jour typique inclut les résultats des audits AIMS, la performance des processus d'IA, l'évaluation des risques, la conformité légale (RGPD, EU AI Act), les ressources allouées, le statut des actions des revues précédentes, le retour des parties intéressées et les décisions stratégiques pour l'année suivante. Il doit être documenté et distribué aux participants au minimum dix jours ouvrés avant la réunion.

Q : Comment documenter les résultats de la revue ?

Les résultats sont consignés dans un compte-rendu de revue de direction. Ce document inclut les conclusions, les décisions prises, les actions correctives identifiées, les responsables nommément désignés et les échéances. Il est validé en séance, signé par le président du COMEX et conservé selon les durées prévues par la politique documentaire AIMS, typiquement cinq à dix ans selon les exigences sectorielles applicables.

Q : Quelles sont les conséquences d'une non-conformité avec la revue de direction AIMS ?

Une non-conformité peut entraîner la suspension ou le retrait de la certification AIMS lors de l'audit de surveillance. Elle peut également alourdir le niveau de sanction appliqué par les autorités en cas de manquement à l'EU AI Act : jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). Au-delà des sanctions financières, elle compromet la réputation de l'entreprise et la confiance des clients sensibles à la gouvernance de l'IA.

Sources officielles

Pour approfondir et vérifier l'ensemble des références mobilisées dans cet article :

Texte consolidé de l'EU AI Act — artificialintelligenceact.eu
Version officielle UE du Règlement (UE) 2024/1689 — eur-lex.europa.eu
Fiches pratiques IA de la CNIL — cnil.fr
AI Act Service Desk de la Commission européenne — ai-act-service-desk.ec.europa.eu
Norme ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (disponible auprès d'AFNOR ou ISO)
Norme ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
Norme ISO/IEC 27001:2022 — Information security management systems — Requirements

Pour accéder au répertoire complet des sources officielles mobilisées par regulia, consulter la page Sources.

Disclaimer

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.