L'essentiel en 30 secondes
- L'ISO/IEC 42001:2023 est la première norme internationale dédiée au management de l'intelligence artificielle, publiée en décembre 2023.
- La clause 6.1.2 impose une AISIA (AI System Impact Assessment) structurée autour des risques et opportunités liés aux systèmes d'IA.
- L'AISIA est complémentaire de la FRIA exigée par l'Article 27 du Règlement (UE) 2024/1689 pour les systèmes à haut risque.
- Les sanctions de l'EU AI Act atteignent 35 M€ ou 7 % du chiffre d'affaires mondial annuel (Art. 99).
- Pour une PME française de 50 salariés, prévoir entre 2 et 6 mois selon le périmètre IA déployé.
- L'ISO 42001 s'intègre nativement avec ISO 9001, ISO 27001 et RGPD via la structure HLS commune.
1. Comprendre le cadre réglementaire
L'AISIA n'est pas une procédure isolée. Elle s'inscrit dans un écosystème normatif et réglementaire que les PME françaises doivent maîtriser avant toute mise en œuvre.
L'ISO/IEC 42001:2023 est la norme internationale de référence pour le système de management de l'intelligence artificielle (AIMS). Sa clause 6.1.2 traite spécifiquement de l'évaluation des risques et opportunités liés aux systèmes d'IA, en cohérence avec les principes de management par les risques de la structure HLS (High Level Structure).
En parallèle, le Règlement (UE) 2024/1689, dit EU AI Act, entré en vigueur le 1er août 2024, impose des obligations contraignantes pour les systèmes d'IA déployés sur le marché européen. L'Article 27 introduit la FRIA (Fundamental Rights Impact Assessment) pour les déployeurs publics et certains opérateurs privés de systèmes à haut risque.
Pour les PME françaises, le cadre est triple :
| Texte | Nature | Périmètre | Effet en cas de non-conformité |
|---|---|---|---|
| ISO/IEC 42001:2023 | Norme volontaire | Tout système d'IA en organisation | Perte de marchés publics / privés exigeants |
| EU AI Act (Règl. UE 2024/1689) | Règlement contraignant | Systèmes IA mis sur le marché UE | Amendes jusqu'à 35 M€ ou 7 % du CA mondial |
| RGPD (Règl. UE 2016/679) | Règlement contraignant | Traitements de données personnelles | Amendes jusqu'à 20 M€ ou 4 % du CA mondial |
Le non-respect de l'EU AI Act expose à des sanctions financières lourdes. L'Article 99 prévoit que les pratiques interdites (Article 5) peuvent entraîner des amendes administratives allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu. Le détail des montants par catégorie d'infraction est disponible dans notre article dédié sanctions et amendes EU AI Act pour PME.
La clause 6.1.2 de l'ISO 42001 fournit précisément la méthodologie pour anticiper ces risques. Elle s'aligne sur l'ISO/IEC 23894:2023 pour le management des risques IA et sur l'ISO/IEC 27001:2022 pour la sécurité de l'information.
Pour le contexte général des obligations PME, consulter notre guide pillar AI Act pour PME françaises.
2. Étape 1 : Identifier les contextes interne et externe
La première étape de l'AISIA, conformément à la clause 4 de l'ISO 42001 (qui alimente la clause 6.1.2), consiste à cartographier les contextes dans lesquels l'organisation déploie ou développe ses systèmes d'IA.
Une analyse SWOT adaptée à l'IA structure cette phase. Elle distingue les facteurs internes et externes selon une grille opérationnelle.
| Dimension | Facteurs internes | Facteurs externes |
|---|---|---|
| Forces (Strengths) | Compétences data science, infrastructure cloud existante | Marché demandeur d'automatisation |
| Faiblesses (Weaknesses) | Manque de gouvernance IA, dette technique | Pénurie de profils IA Lead |
| Opportunités (Opportunities) | Gains d'efficacité, nouveaux produits | Aides régionales (Bpifrance, France 2030) |
| Menaces (Threats) | Biais algorithmiques, fuites de données | Sanctions EU AI Act, atteinte réputationnelle |
Les facteurs internes à documenter comprennent : les ressources humaines affectées à l'IA, les compétences techniques disponibles, les processus métiers concernés, les systèmes d'information existants, et la culture d'entreprise vis-à-vis de l'innovation.
Les facteurs externes recouvrent : le cadre réglementaire applicable (EU AI Act, RGPD, sectoriels), les attentes du marché et des clients, le positionnement concurrentiel, et les évolutions technologiques pertinentes.
Cette cartographie doit être documentée par écrit. L'ISO 42001 exige une preuve documentée de l'analyse contextuelle. Un fichier de synthèse de 5 à 10 pages suffit pour une PME, à condition qu'il soit daté, signé et revu annuellement.
3. Étape 2 : Identifier les parties prenantes
La clause 4.2 de l'ISO 42001 demande l'identification systématique des parties intéressées. Pour un AIMS, ce périmètre est plus large que pour un système qualité classique.
Les parties prenantes typiques d'une PME française incluent :
- Internes : direction générale, IA Lead, DPO, RSSI, équipes métiers utilisatrices, représentants du personnel
- Clients : utilisateurs finaux des systèmes IA, clients B2B contractuellement exposés
- Fournisseurs : éditeurs de modèles fondationnels (OpenAI, Anthropic, Mistral), prestataires d'hébergement, intégrateurs
- Régulateurs : CNIL, futur AI Office EU, autorités sectorielles (ACPR pour banque, ANSM pour santé, ARCEP pour télécoms)
- Tiers impactés : personnes concernées par les décisions automatisées, candidats à un recrutement, demandeurs de crédit
Pour chaque partie prenante identifiée, documenter trois éléments : les besoins exprimés, les attentes implicites, et le niveau d'influence sur l'organisation.
| Partie prenante | Besoin exprimé | Attente implicite | Influence |
|---|---|---|---|
| DPO | Conformité RGPD | Sécurité juridique | Élevée |
| CNIL | Respect des 13 fiches pratiques IA | Transparence des traitements | Très élevée |
| Clients B2B | Garantie contractuelle | Auditabilité | Élevée |
| Salariés | Information sur l'IA au travail | Non-substitution arbitraire | Moyenne |
La priorisation s'effectue selon la matrice pouvoir/intérêt. Les parties prenantes à fort pouvoir et fort intérêt (typiquement la CNIL et les clients grand compte) commandent une stratégie de gestion étroite, avec consultations régulières.
4. Étape 3 : Identifier les risques et opportunités
C'est le cœur de la clause 6.1.2. La méthodologie repose sur une matrice probabilité/impact appliquée à chaque système d'IA déployé ou envisagé.
L'ISO/IEC 23894:2023 fournit le cadre conceptuel. Les risques se déclinent en quatre familles :
- Risques éthiques : biais discriminatoires, atteinte à la dignité, manipulation cognitive
- Risques juridiques : non-conformité EU AI Act, RGPD, droit du travail, droit de la consommation
- Risques opérationnels : dérives de modèle, hallucinations, indisponibilité, attaques adverses
- Risques stratégiques : dépendance fournisseur, obsolescence, perte de savoir-faire interne
La matrice d'évaluation type utilise une échelle 1-5 pour chaque axe :
| Probabilité | Impact faible (1) | Impact modéré (2) | Impact élevé (3) | Impact critique (4) | Impact catastrophique (5) |
|---|---|---|---|---|---|
| Quasi-certaine (5) | 5 | 10 | 15 | 20 | 25 |
| Probable (4) | 4 | 8 | 12 | 16 | 20 |
| Possible (3) | 3 | 6 | 9 | 12 | 15 |
| Peu probable (2) | 2 | 4 | 6 | 8 | 10 |
| Rare (1) | 1 | 2 | 3 | 4 | 5 |
Les scores ≥ 15 imposent un traitement immédiat. Les scores entre 8 et 14 requièrent un plan d'action sous 90 jours. En-dessous, une surveillance suffit.
Les opportunités font l'objet d'une matrice symétrique : probabilité de réalisation × gain attendu. Pour une PME, les opportunités IA typiques incluent l'automatisation administrative (gain 15-30 % de productivité [à vérifier selon contexte]), la personnalisation commerciale, et la détection précoce de défauts qualité.
Besoin d'un modèle AISIA opérationnel ?
Notre pack documentaire regulia inclut un modèle de matrice AISIA conforme ISO 42001 Cl. 6.1.2, prêt à compléter, avec exemples sectoriels (RH, finance, santé).
Demander un devis personnalisé5. Étape 4 : Déterminer les actions
Une fois les risques et opportunités cartographiés, la clause 6.1.2 exige la définition d'actions concrètes. Ces actions s'inscrivent dans le plan de traitement des risques de l'AIMS.
Quatre stratégies de traitement sont possibles, par ordre de préférence selon le niveau de risque :
- Éviter : abandonner le déploiement du système IA si le risque résiduel reste inacceptable (typique pour systèmes interdits par Art. 5)
- Réduire : mettre en place des contrôles techniques et organisationnels (chiffrement, supervision humaine, tests adverses)
- Transférer : assurances cyber, clauses contractuelles avec fournisseurs IA
- Accepter : décision documentée et signée par la direction pour les risques faibles
Chaque action doit être formalisée selon la grille SMART :
| Élément | Description | Exemple |
|---|---|---|
| Spécifique | Action précise | Implémenter un journal d'audit des prédictions du modèle de scoring crédit |
| Mesurable | Indicateur de réussite | 100 % des décisions tracées avec horodatage et version modèle |
| Atteignable | Faisable avec les ressources | Budget 15 k€, 1 ETP sur 2 mois |
| Réaliste | Aligné sur stratégie | Conforme à Art. 12 et 13 EU AI Act (logs et transparence) |
| Temporel | Échéance fixée | Livraison T+90 jours |
Le plan d'action consolidé doit identifier, pour chaque mesure : le responsable nominatif, l'échéance, les ressources allouées, et les critères de validation. L'intégration dans le système de management global se fait via les revues de direction (clause 9.3 ISO 42001).
6. Étape 5 : Évaluer la mise en œuvre
La clause 9 de l'ISO 42001 impose un suivi de l'efficacité des actions définies en 6.1.2. L'évaluation repose sur trois piliers : indicateurs, revues, et ajustements.
Les indicateurs clés (KPIs) à suivre couvrent plusieurs dimensions :
- Couverture : pourcentage de systèmes IA ayant fait l'objet d'une AISIA documentée
- Délai : temps moyen entre identification d'un risque et clôture de l'action corrective
- Efficacité : nombre d'incidents IA déclarés vs nombre de risques anticipés
- Maturité : score moyen de maturité des contrôles (échelle CMMI 1-5)
Les revues périodiques se déclinent à trois niveaux :
| Niveau | Fréquence | Participants | Livrable |
|---|---|---|---|
| Opérationnel | Mensuel | IA Lead, équipes techniques | Tableau de bord KPIs |
| Comité de pilotage | Trimestriel | DPO, RSSI, IA Lead, métiers | Rapport de suivi des risques |
| Revue de direction | Annuel | COMEX, direction qualité | Décisions stratégiques AIMS |
La révision des décisions est obligatoire dès qu'un événement déclencheur survient : nouvelle version réglementaire (acte délégué EU AI Act), incident significatif, modification substantielle d'un système IA, fusion-acquisition, ou changement de fournisseur critique.
Pour les définitions des termes techniques employés (modèle, déployeur, système à haut risque), consulter notre glossaire.
7. Étape 6 : Maintenir la connaissance
L'ISO 42001 exige une boucle d'amélioration continue. La clause 7.2 sur les compétences et 7.3 sur la sensibilisation s'appliquent directement au maintien de la connaissance AISIA.
Trois axes structurent cette étape :
Formation continue. Les équipes impliquées dans l'AISIA doivent bénéficier d'un programme de formation annuel. Pour une PME de 50 salariés, prévoir : 2 jours initiaux pour l'IA Lead et le DPO, 1 jour annuel de recyclage, et une demi-journée de sensibilisation pour tous les utilisateurs de systèmes IA. Le coût moyen constaté en 2025 se situe entre 1 200 € et 2 500 € par personne pour les formations certifiantes [à vérifier selon prestataire].
Mise à jour des processus. Les procédures internes doivent être révisées à minima annuellement, et à chaque évolution réglementaire majeure. Les actes délégués et lignes directrices de la Commission européenne (publiés sur ai-act-service-desk.ec.europa.eu) doivent être intégrés sous 60 jours.
Documentation. L'ISO 42001 exige une documentation maîtrisée. Les éléments minimaux à conserver sont :
- Politique IA de l'organisation
- Procédure AISIA détaillée
- Registre des systèmes d'IA déployés
- Matrice des risques et opportunités à jour
- Plans d'action et leur suivi
- Comptes rendus de revues de direction
- Preuves de formation des équipes
Cette documentation doit être conservée pendant la durée de vie du système IA, plus 10 ans après son retrait. Cette durée s'aligne sur les obligations de l'Article 18 de l'EU AI Act pour les fournisseurs de systèmes à haut risque.
8. Outils et ressources
L'ISO 42001 ne prescrit aucun outil spécifique. Le choix relève de l'organisation, en fonction de sa taille, de son budget, et de son écosystème technologique existant.
Quatre catégories d'outils soutiennent une AISIA efficace :
| Catégorie | Solutions courantes | Cas d'usage AISIA |
|---|---|---|
| Gestion de projet | Trello, Asana, Monday, Jira | Suivi des actions correctives, plannings AISIA |
| Tableaux de bord | Power BI, Tableau, Metabase | Visualisation des KPIs risques IA |
| Gestion documentaire | SharePoint, Confluence, Notion | Politique IA, procédures, registres |
| GRC dédiée | OneTrust, Drata, Vanta | Automatisation conformité multi-normes |
Le recours à un consultant externe peut accélérer la démarche. Pour une PME, deux configurations sont fréquentes : un accompagnement complet sur 3 à 6 mois (budget 25 à 60 k€ [à vérifier]), ou un coaching ponctuel sur les points critiques (audit blanc, certification, FRIA Article 27).
Les ressources gratuites de référence incluent :
- Les 13 fiches pratiques IA de la CNIL
- Le guide Cigref sur l'AI Act, janvier 2025
- Le guide Numeum AI Act, mars 2025
- Le portail AI Act Service Desk de la Commission européenne
Pour une vue consolidée des sources réglementaires, consulter notre page sources officielles.
Lancez votre AISIA en moins de 30 jours
regulia fournit un pack documentaire complet ISO 42001 Cl. 6.1.2 : modèles AISIA, matrices de risques sectorielles, registres, procédures et fiches de poste. Conforme EU AI Act et RGPD.
Recevoir le pack documentaire reguliaFAQ
Quelle est la durée typique pour réaliser une AISIA selon ISO 42001 ?
Une AISIA prend généralement entre 2 et 6 mois selon la taille de l'entreprise et la complexité des systèmes d'IA déployés. Pour une PME française de 50 salariés ayant 1 à 3 systèmes IA en production, prévoir 3 mois en moyenne. La durée varie selon le nombre de parties prenantes à consulter, la disponibilité des équipes internes, et l'existence préalable d'un système de management ISO 27001 ou 9001 sur lequel s'appuyer.
Dois-je engager un consultant pour réaliser une AISIA ?
Non, l'ISO 42001 permet une approche entièrement interne. La norme est conçue pour être implémentée par les équipes de l'organisation. Toutefois, un consultant spécialisé apporte trois bénéfices concrets : accélération du calendrier (gain typique de 40 % [à vérifier]), retour d'expérience sectoriel, et préparation à un éventuel audit de certification. Pour une PME découvrant l'ISO 42001, un coaching ponctuel sur les points critiques reste un bon compromis budgétaire.
Comment l'AISIA se rapporte-t-elle à l'EU AI Act ?
L'AISIA est l'outil méthodologique permettant d'identifier les risques liés à l'IA, ce qui constitue un prérequis pour se conformer aux obligations de l'EU AI Act, notamment l'Article 9 sur la gestion des risques pour les systèmes à haut risque. L'AISIA alimente également la FRIA (Fundamental Rights Impact Assessment) exigée par l'Article 27 du Règlement (UE) 2024/1689. Elle ne se substitue pas à la FRIA, mais en constitue le socle d'analyse.
Quels sont les outils recommandés pour l'AISIA ?
L'ISO 42001 ne spécifie aucun outil particulier. Les logiciels de gestion de projet (Trello, Asana, Jira) suffisent pour le suivi opérationnel. Les tableaux de bord (Power BI, Tableau, Metabase) facilitent la visualisation des indicateurs. Les solutions cloud collaboratives sont souvent privilégiées pour les PME, à condition de vérifier la conformité RGPD du fournisseur et la localisation des données.
Dois-je mettre à jour mon système de management de la qualité pour intégrer l'AISIA ?
Oui, si votre organisation est certifiée ISO 9001 ou ISO 27001, l'AISIA doit être intégrée au système de management existant. L'ISO 42001 utilise la même structure HLS (High Level Structure) que ces normes, ce qui permet une intégration native. Concrètement, la matrice des risques IA s'ajoute à la matrice des risques qualité ou sécurité, et les revues de direction couvrent l'ensemble des dimensions. Cette approche holistique réduit la duplication des efforts et améliore la cohérence du pilotage.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel sur EUR-Lex
- Texte consolidé de l'EU AI Act — artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne
- Les 13 fiches pratiques IA de la CNIL
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante, iso.org)
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
- Guide Cigref AI Act, janvier 2025
- Guide Numeum AI Act, mars 2025
Cet article fournit des informations générales sur l'EU AI Act et l'ISO/IEC 42001:2023 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.