Comment rédiger une politique IA d'entreprise conforme ISO 42001

TL;DR

L'essentiel en 30 secondes

• L'ISO/IEC 42001:2023 est la première norme internationale dédiée au management des systèmes d'IA, publiée en décembre 2023.
• Les PME françaises disposent d'un délai de 24 mois après l'entrée en vigueur du Règlement (UE) 2024/1689 pour se mettre en conformité avec les obligations sur les systèmes à haut risque.
• Une politique IA conforme couvre quatre piliers : contexte organisationnel, plan de management, plan de contrôle, suivi continu.
• La CNIL recommande une approche par les risques et une documentation systématique des traitements d'IA impliquant des données personnelles.
• Les sanctions du EU AI Act atteignent 7 % du chiffre d'affaires mondial annuel ou 35 millions d'euros, le montant le plus élevé étant retenu (Art. 99).

Rédiger une politique IA n'est plus un exercice de communication interne. C'est désormais une exigence documentaire encadrée par deux corpus : la norme ISO/IEC 42001:2023 et le Règlement (UE) 2024/1689 dit EU AI Act. Pour une PME française de 10 à 250 salariés, structurer ce document conditionne la possibilité de déployer un système d'IA sans exposition juridique majeure.

Ce guide détaille les étapes pratiques de rédaction, les éléments à intégrer obligatoirement, et les points d'articulation avec le RGPD. Il s'adresse aux dirigeants, DPO et IA Lead qui pilotent la mise en conformité.

1. Introduction à l'ISO 42001 et son importance pour les PME

L'ISO/IEC 42001:2023 s'intitule « Information technology — Artificial intelligence — Management system ». Elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de l'IA (AIMS, AI Management System).

Elle s'inspire de la structure haut niveau (High-Level Structure) commune à d'autres normes ISO de management, notamment ISO/IEC 27001:2022 sur la sécurité de l'information. Cette parenté facilite l'intégration pour les organisations déjà certifiées.

Pourquoi cette norme compte pour une PME

Trois raisons opérationnelles :

• Réduction du risque juridique : la documentation exigée par l'ISO 42001 recouvre largement les obligations documentaires du EU AI Act pour les systèmes à haut risque (Article 11 et Annexe IV du Règlement (UE) 2024/1689).
• Garantie éthique : la norme impose une analyse des impacts sociétaux, des biais et des risques pour les personnes concernées.
• Compétitivité commerciale : les grands donneurs d'ordre, notamment publics, intègrent progressivement la conformité ISO 42001 dans leurs grilles de qualification fournisseurs.

Champ d'application

L'ISO 42001 s'applique à toute organisation qui développe, fournit ou utilise des systèmes d'IA, indépendamment de sa taille ou de son secteur. Pour une PME, l'enjeu n'est pas tant la certification immédiate que l'alignement structurel de sa politique sur les principes de la norme.

Élément	ISO/IEC 42001:2023	EU AI Act (Règlement (UE) 2024/1689)
Nature	Norme volontaire	Règlement obligatoire
Portée	Système de management global	Systèmes d'IA classés par risque
Sanction	Aucune	Jusqu'à 7 % du CA mondial (Art. 99)
Date	Décembre 2023	Entrée en vigueur 1ᵉʳ août 2024
Public visé	Toute organisation utilisant l'IA	Fournisseurs et déployeurs UE

Pour comprendre l'articulation globale entre les régulations applicables aux PME françaises, consultez le pilier AI Act et PME en France.

2. Étapes clés pour rédiger une politique IA conforme

La rédaction suit une séquence logique. Court-circuiter une étape produit une politique incohérente, exposée aux non-conformités lors d'un audit.

2.1 Audit de l'usage actuel de l'IA

Cartographiez tous les systèmes d'IA effectivement utilisés ou déployés. Cela inclut :

• les outils d'IA générative en SaaS (ChatGPT Enterprise, Copilot, Gemini for Workspace),
• les modules d'IA embarqués dans vos logiciels métiers (CRM, RH, comptabilité),
• les développements internes ou commandités,
• les API tierces consommées par vos applications.

Pour chaque système, documentez : finalité, données traitées, fournisseur, classification de risque selon l'Article 6 du Règlement (UE) 2024/1689.

2.2 Définition de l'objectif et de la portée

La politique doit énoncer ce qu'elle régit. Trois portées sont possibles : tous les systèmes d'IA de l'organisation, uniquement les systèmes développés en interne, ou uniquement les systèmes à haut risque. Une PME de 50 salariés gagne à choisir la portée la plus large pour éviter les zones grises.

2.3 Identification des responsabilités

L'ISO 42001 (clause 5.3) exige une attribution claire des rôles. Pour une PME, un schéma minimal :

Rôle	Responsabilité	Profil typique
Sponsor IA	Validation politique, arbitrages	Dirigeant, COMEX
IA Lead	Mise en œuvre opérationnelle	DSI, Lead Tech
DPO	Conformité RGPD et impacts personnes	DPO mutualisé ou interne
RSSI	Sécurité des modèles et des données	RSSI ou prestataire
Métier	Usage conforme et remontée d'incidents	Chefs de service

2.4 Établissement des processus de gouvernance

La politique fixe les processus, pas leur exécution détaillée. Quatre processus minimaux :

1. Procédure d'évaluation préalable avant tout nouveau déploiement d'IA.
2. Procédure de gestion des incidents et plaintes.
3. Procédure d'audit interne périodique.
4. Procédure de revue de direction annuelle.

3. Conformité avec l'ISO 42001 : les éléments clés

La norme s'articule autour de dix clauses, dont quatre sont structurantes pour la rédaction.

3.1 Contexte de l'organisation (clause 4)

Documentez les enjeux internes et externes qui influencent votre usage de l'IA :

• secteur d'activité et régulateurs sectoriels concernés (ACPR pour la finance, ANSM pour le médical, ARCEP pour les télécoms, ARCOM pour les médias) ;
• attentes des parties prenantes (clients, salariés, autorités) ;
• périmètre du système de management.

3.2 Plan de management de l'IA (clauses 5, 6, 7)

Le plan formalise :

• la politique IA signée par la direction,
• les objectifs mesurables (réduction du taux d'incidents, taux de couverture d'audit, etc.),
• les ressources allouées (budget, ETP, formation),
• les compétences requises pour chaque rôle.

3.3 Plan de contrôle de l'IA (clause 8 et Annexe A)

L'Annexe A de l'ISO 42001 liste 38 contrôles de référence, regroupés en neuf catégories. Pour une PME, sélectionnez les contrôles applicables via une analyse de pertinence documentée :

Catégorie Annexe A	Exemples de contrôles	Priorité PME
A.2 Politiques relatives à l'IA	Politique d'usage, politique d'acquisition	Haute
A.3 Structure organisationnelle	Rôles et responsabilités	Haute
A.4 Ressources pour les systèmes d'IA	Données, outillage, compétences	Moyenne
A.5 Évaluation des impacts	Étude d'impact, analyse de biais	Haute
A.6 Cycle de vie du système IA	Conception, déploiement, retrait	Haute
A.7 Données pour les systèmes IA	Qualité, provenance, étiquetage	Moyenne
A.8 Information aux parties intéressées	Transparence, documentation utilisateur	Haute
A.9 Usage des systèmes IA	Conditions d'usage, supervision humaine	Haute
A.10 Relations tierces	Contrats fournisseurs, sous-traitance	Haute

3.4 Plan de suivi et amélioration continue (clauses 9, 10)

Le plan définit les modalités de mesure de la performance, d'audit interne, de revue de direction et de traitement des non-conformités. Sans ce volet, la politique est statique et perd sa valeur probante en cas de contrôle.

4. Intégration avec le EU AI Act pour les PME

Le Règlement (UE) 2024/1689 introduit une approche par les risques. La politique IA doit refléter cette classification.

4.1 Classification des systèmes IA selon le risque

Le Règlement (UE) 2024/1689 distingue quatre niveaux :

Niveau de risque	Définition	Conséquence	Référence
Inacceptable	Pratiques interdites (notation sociale, manipulation cognitive)	Interdiction totale	Art. 5
Élevé	Systèmes listés à l'Annexe III (RH, éducation, infrastructures critiques, application de la loi, etc.)	Obligations strictes : documentation, supervision humaine, journalisation	Art. 6, Annexe III
Limité	IA d'interaction, deepfakes, chatbots	Obligation de transparence	Art. 50
Minimal	Filtres anti-spam, IA de jeu vidéo	Aucune obligation spécifique	—

4.2 Obligations pour les systèmes à haut risque

Pour un système classé à haut risque selon l'Art. 6, le fournisseur doit notamment :

• mettre en place un système de management des risques (Art. 9) ;
• garantir la qualité des données d'entraînement (Art. 10) ;
• établir une documentation technique complète (Art. 11, Annexe IV) ;
• prévoir une journalisation automatique (Art. 12) ;
• assurer la transparence vis-à-vis des déployeurs (Art. 13) ;
• garantir la supervision humaine (Art. 14) ;
• atteindre un niveau approprié d'exactitude, de robustesse et de cybersécurité (Art. 15).

Le déployeur, quant à lui, est encadré par l'Article 26 et, lorsqu'il est un organisme public ou un opérateur de services essentiels, par l'obligation d'analyse d'impact sur les droits fondamentaux de l'Article 27.

4.3 Calendrier de conformité

Le Règlement (UE) 2024/1689 prévoit une mise en application échelonnée :

Échéance	Application
2 février 2025	Interdictions de l'Article 5 et obligations de littératie IA (Art. 4)
2 août 2025	Règles pour les modèles d'IA à usage général (GPAI) et gouvernance
2 août 2026	Application générale, notamment systèmes à haut risque de l'Annexe III
2 août 2027	Systèmes à haut risque intégrés dans des produits soumis à la législation d'harmonisation (Annexe I)

Sur les sanctions applicables en cas de manquement, consultez l'article dédié AI Act : sanctions et amendes pour les PME.

5. Alignement avec le RGPD pour la protection des données

L'IA traite massivement des données personnelles. La politique IA et la politique RGPD doivent être articulées, pas juxtaposées.

5.1 Principes de protection des données dans la politique IA

Quatre principes du Règlement (UE) 2016/679 (RGPD) structurent la politique :

• Licéité (Art. 6 RGPD) : identifier la base légale pour chaque traitement IA.
• Minimisation (Art. 5.1.c) : limiter les données aux besoins du modèle.
• Exactitude (Art. 5.1.d) : garantir la qualité des données d'entraînement et d'inférence.
• Sécurité (Art. 32) : mettre en œuvre des mesures techniques et organisationnelles adaptées.

5.2 Rôle du DPO pour les traitements automatisés

Le DPO est compétent pour :

• valider les analyses d'impact relatives à la protection des données (AIPD) requises par l'Art. 35 RGPD quand le traitement IA présente un risque élevé ;
• contrôler la conformité des décisions automatisées au sens de l'Art. 22 RGPD ;
• coopérer avec l'AI Office et la CNIL en cas de contrôle ou d'incident.

5.3 Exigences spécifiques pour les systèmes d'IA

La CNIL a publié en 2024-2025 une série de 13 fiches pratiques dédiées à l'IA. Elles couvrent la base légale, les durées de conservation, l'information des personnes, l'exercice des droits, le développement de modèles et la phase de déploiement. La politique IA doit explicitement renvoyer à ces fiches comme référentiel opérationnel.

Sujet RGPD-IA	Référentiel CNIL	Articulation politique IA
Base légale du traitement	Fiches pratiques IA CNIL	Section « Évaluation préalable »
Information des personnes	Fiches pratiques IA CNIL	Section « Transparence »
Droits des personnes	Fiches pratiques IA CNIL	Procédure dédiée
AIPD	Guide AIPD CNIL	Annexe à la politique IA

6. Mise en œuvre pratique : outils et ressources

Une politique sans outillage ne se déploie pas. Trois familles de ressources sont à mobiliser.

6.1 Outils de documentation

• Registre des systèmes d'IA : équivalent du registre des traitements RGPD, listant chaque système, son risque, son responsable et son statut de conformité.
• Template de fiche système : description technique, finalité, données, mesures de mitigation.
• Grille d'audit interne : check-list dérivée des 38 contrôles de l'Annexe A.
• Modèle d'AIPD intégrant les risques IA : pour les traitements à risque élevé au sens de l'Art. 35 RGPD.

6.2 Ressources externes mobilisables

• Le glossaire des termes techniques et juridiques est disponible sur le glossaire regulia.
• Les sources officielles complètes sont centralisées sur la page sources.
• Le Cigref a publié en janvier 2025 un guide opérationnel AI Act à destination des directions numériques.
• Numeum a publié en mars 2025 un guide complémentaire orienté éditeurs et intégrateurs.

6.3 Formation et sensibilisation des employés

L'Article 4 du Règlement (UE) 2024/1689 impose une obligation de littératie en IA applicable depuis le 2 février 2025. Les fournisseurs et déployeurs doivent prendre des mesures pour garantir un niveau suffisant de connaissance de l'IA chez leur personnel impliqué dans l'exploitation et l'utilisation des systèmes.

Un plan de formation minimum pour une PME :

1. Module dirigeants : enjeux juridiques, sanctions, gouvernance (2 h).
2. Module IA Lead et DPO : ISO 42001, AI Act, RGPD-IA (1 journée).
3. Module utilisateurs métiers : usages autorisés, signalement d'incidents (1 h).

7. Suivi et amélioration continue

La politique IA est un document vivant. Trois mécanismes garantissent sa pertinence dans la durée.

7.1 Audit interne régulier

L'ISO 42001 (clause 9.2) impose un audit interne planifié. Pour une PME, une cadence annuelle suffit, complétée par un audit ciblé après tout incident significatif ou tout déploiement de nouveau système à haut risque.

7.2 Revue annuelle avec les parties prenantes

La revue de direction (clause 9.3 de l'ISO 42001) examine :

• les résultats des audits,
• les incidents et non-conformités,
• l'évolution du paysage réglementaire,
• les changements technologiques pertinents,
• l'adéquation des ressources allouées.

7.3 Mise à jour en cas de changements législatifs

Le cadre EU AI Act produira des actes d'exécution et des actes délégués pendant plusieurs années. Les codes de conduite et lignes directrices de l'AI Office (Commission européenne) doivent être surveillés. La politique doit prévoir un déclencheur de révision dès publication d'un acte impactant.

Déclencheur	Action	Délai cible
Nouvelle ligne directrice AI Office	Analyse d'impact sur la politique	30 jours
Sanction sectorielle publiée	Revue des contrôles équivalents	60 jours
Évolution majeure ISO 42001	Mise à jour de la politique	90 jours
Incident interne significatif	Revue ciblée	15 jours

8. Cas d'étude : PME exemplaire en conformité ISO 42001

Le cas suivant illustre une démarche-type. Il ne constitue pas un témoignage commercial et n'engage aucune organisation identifiable.

8.1 Contexte

Une PME française de 50 salariés opérant dans le secteur du conseil en recrutement spécialisé. Elle utilise un outil de scoring de CV intégrant des modèles d'apprentissage automatique. Ce système relève de l'Annexe III, point 4 du Règlement (UE) 2024/1689 (IA utilisée pour le recrutement et la sélection de candidats), donc classé à haut risque.

8.2 Étapes clés de la mise en conformité

Phase	Durée	Livrables principaux
Cadrage et audit initial	1 mois	Cartographie des systèmes, classification des risques
Rédaction de la politique IA	2 mois	Politique signée par la direction, registres
Mise en place des contrôles Annexe A	3 mois	Procédures opérationnelles, AIPD, contrat fournisseur révisé
Formation et sensibilisation	1 mois	100 % du personnel formé sur la littératie IA
Audit interne et ajustements	1 mois	Rapport d'audit, plan d'action

Durée totale : 8 mois, budget interne et externe agrégé estimé entre 25 000 € et 60 000 € selon le niveau de recours à un prestataire [à vérifier selon le périmètre exact].

8.3 Résultats obtenus

• Documentation complète prête à présenter à l'autorité compétente en cas de contrôle.
• Réduction des risques juridiques : aucune zone non couverte sur les obligations Art. 26 (déployeur de système à haut risque).
• Amélioration de la confiance clients : la conformité devient un argument commercial documenté.
• Préparation à une éventuelle certification ISO 42001 ultérieure, sans rupture méthodologique.

FAQ

Q : Quelle est la différence entre l'ISO 42001 et le EU AI Act ?

L'ISO/IEC 42001:2023 est un standard volontaire de management de l'IA. Il fournit une méthode pour structurer la gouvernance interne. Le Règlement (UE) 2024/1689 est un texte juridiquement contraignant. Il impose des obligations précises aux fournisseurs et déployeurs, en particulier pour les systèmes à haut risque. Les deux corpus sont complémentaires : la norme outille opérationnellement le respect du règlement, mais ne s'y substitue pas. Une PME doit articuler les deux pour une conformité complète.

Q : Combien de temps faut-il pour mettre en place une politique IA conforme ?

Le délai dépend de la complexité de l'organisation et du nombre de systèmes d'IA en usage. Pour une PME de 10 à 50 salariés, un audit initial et la rédaction de base s'effectuent en 2 à 4 mois. L'implémentation complète, incluant les processus de contrôle et la formation, demande 6 à 12 mois. Le Règlement (UE) 2024/1689 prévoit une application générale au 2 août 2026, ce qui laisse une fenêtre raisonnable pour les PME engagées dès aujourd'hui.

Q : Quelles sont les sanctions pour non-conformité au EU AI Act ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois plafonds. Pour les pratiques interdites (Art. 5), jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour la plupart des autres infractions, jusqu'à 15 millions d'euros ou 3 % du CA mondial. Pour la fourniture d'informations inexactes, jusqu'à 7,5 millions d'euros ou 1 % du CA mondial. Pour les PME et les jeunes pousses, les autorités appliquent les plafonds en retenant le montant le plus bas entre le pourcentage et la somme fixe.

Q : Dois-je nommer un DPO pour ma politique IA ?

Le RGPD impose la désignation d'un DPO dans trois cas (Art. 37 RGPD) : autorité ou organisme public, suivi régulier et systématique de personnes à grande échelle, traitement à grande échelle de catégories particulières de données. Si l'un de ces critères s'applique à votre usage d'IA, le DPO est obligatoire. Hors de ces cas, sa désignation reste fortement recommandée dès qu'un système d'IA traite des données personnelles. Le DPO peut être interne ou externalisé.

Q : Comment maintenir la politique IA à jour ?

Trois mécanismes combinés. D'abord, une revue annuelle systématique de la politique en revue de direction, conformément à la clause 9.3 de l'ISO 42001. Ensuite, des déclencheurs ad hoc : publication d'un acte d'exécution du EU AI Act, nouvelle ligne directrice de l'AI Office, sanction sectorielle marquante, incident interne. Enfin, un suivi continu des publications de la CNIL, de l'AI Office et des régulateurs sectoriels compétents (ACPR, ANSM, ARCEP, ARCOM, DGCCRF).

Sources officielles

• Règlement (UE) 2024/1689 — texte officiel : eur-lex.europa.eu
• Texte consolidé et navigation par article : artificialintelligenceact.eu
• AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
• Fiches pratiques IA de la CNIL : cnil.fr
• ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante, ISO)
• ISO/IEC 23894:2023 — AI risk management (norme payante, ISO)
• ISO/IEC 27001:2022 — Information security management systems (norme payante, ISO)
• Cigref — Guide AI Act, janvier 2025
• Numeum — Guide AI Act, mars 2025

Pour la liste exhaustive et actualisée des références mobilisées par regulia, consultez la page sources.

---

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act et l'ISO/IEC 42001:2023 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.