L'essentiel en 30 secondes
- L'annexe A d'ISO/IEC 42001:2023 liste des contrôles opérationnels structurés en domaines de gouvernance, ressources, cycle de vie et tiers.
- La norme s'applique à toute organisation déployant ou développant de l'IA, y compris les PME françaises de 10 à 250 salariés.
- Plusieurs contrôles répondent directement aux obligations de l'Article 9, Article 10 et Article 17 du Règlement (UE) 2024/1689 pour les systèmes à haut risque.
- La non-conformité à l'AI Act peut entraîner une amende administrative pouvant atteindre 7 % du chiffre d'affaires annuel mondial (Art. 99).
- L'approche recommandée pour une PME : cartographier les systèmes d'IA, prioriser les contrôles A.2 (gouvernance), A.5 (analyse d'impact) et A.6 (cycle de vie), puis documenter les preuves.
- La certification ISO 42001 est délivrée pour 3 ans avec audit de surveillance annuel.
1. Introduction à l'ISO 42001 et à l'annexe A
ISO/IEC 42001:2023 est la première norme internationale dédiée aux systèmes de management de l'intelligence artificielle (AIMS). Publiée en décembre 2023, elle fournit un cadre certifiable comparable à ISO/IEC 27001 pour la sécurité de l'information.
La norme s'articule en deux parties. Le corps principal (clauses 4 à 10) définit les exigences de management. L'annexe A énumère des contrôles de référence, organisés par objectifs, que l'organisation sélectionne selon son contexte et son analyse de risque.
Pour une PME française, l'annexe A est l'outil de pilotage opérationnel le plus utile. Elle traduit en mesures concrètes les exigences abstraites de gouvernance, de transparence et de gestion du risque imposées par le Règlement (UE) 2024/1689, dit AI Act.
Le déploiement d'ISO 42001 ne dispense pas d'une analyse réglementaire dédiée. La norme et l'AI Act se complètent : la première fournit la méthode, le second définit les obligations juridiques. Notre guide AI Act pour PME françaises détaille cette articulation.
Note de précision. Le nombre exact de contrôles de l'annexe A peut être présenté différemment selon les guides du marché. Le décompte officiel et la formulation verbatim de chaque objectif figurent uniquement dans le texte normatif ISO/IEC 42001:2023 publié par l'ISO. Les libellés utilisés ci-dessous sont des reformulations pédagogiques destinées aux PME.
[à vérifier dans le texte ISO acheté]
2. Les domaines clés de l'annexe A
L'annexe A d'ISO/IEC 42001:2023 regroupe ses contrôles en domaines fonctionnels. Chaque domaine répond à une question de gouvernance distincte.
| Domaine annexe A | Objet | Question traitée |
|---|---|---|
| A.2 — Politiques relatives à l'IA | Cadre directeur, alignement stratégique | Quelle ligne directrice fixe la direction ? |
| A.3 — Organisation interne | Rôles, responsabilités, séparation des fonctions | Qui décide, qui exécute, qui contrôle ? |
| A.4 — Ressources pour les systèmes d'IA | Données, outils, infrastructures, compétences | Avec quels moyens l'IA est-elle bâtie ? |
| A.5 — Évaluation des impacts | AIIA (AI Impact Assessment) sur personnes, groupes, sociétés | Quels effets sur les parties prenantes ? |
| A.6 — Cycle de vie du système d'IA | Conception, développement, vérification, déploiement, retrait | Le système est-il maîtrisé de bout en bout ? |
| A.7 — Données pour les systèmes d'IA | Qualité, gouvernance, biais, traçabilité | Les données sont-elles fiables et licites ? |
| A.8 — Information pour les parties prenantes | Transparence, documentation utilisateur, journaux | Que sait l'utilisateur, le régulateur ? |
| A.9 — Usage des systèmes d'IA | Conditions d'emploi, supervision humaine | Comment l'IA est-elle utilisée en production ? |
| A.10 — Relations avec les tiers et les clients | Fournisseurs, prestataires, sous-traitants IA | Quelle maîtrise sur la chaîne de valeur ? |
Cette répartition couvre les quatre étages d'une démarche complète : direction stratégique, ressources, cycle de vie technique, et écosystème externe. Les neuf domaines remplacent utilement l'inventaire ad hoc que pratiquent souvent les PME au démarrage de leur conformité IA.
3. Contrôles critiques pour les PME
Toute PME n'a pas la capacité d'implémenter simultanément l'intégralité de l'annexe A. La sélection se fait en fonction du risque, comme le prévoit la clause 6.1.3 de la norme. Quatre contrôles ressortent comme prioritaires.
3.1 Politique IA documentée (domaine A.2)
La politique IA est l'équivalent de la politique sécurité dans ISO 27001. Elle fixe les principes, les engagements de la direction et les responsabilités. Elle est signée par la direction générale et révisée au moins annuellement.
Pour une PME, ce document tient en 4 à 6 pages. Il intègre la position vis-à-vis des usages interdits par l'Article 5 du Règlement (UE) 2024/1689.
3.2 Évaluation d'impact IA — AIIA (domaine A.5)
L'AIIA évalue les effets du système d'IA sur les individus, les groupes et la société. Elle est complémentaire à l'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35 du RGPD.
L'AIIA structure la décision de mise en production : un risque résiduel inacceptable doit bloquer le déploiement.
3.3 Cycle de vie maîtrisé (domaine A.6)
Le cycle de vie couvre la conception, le développement, le test, la mise en service et le retrait. Pour une PME, le contrôle clé concerne la documentation technique exigée à l'Annexe IV du Règlement (UE) 2024/1689 pour les systèmes à haut risque.
3.4 Gouvernance des données (domaine A.7)
Le contrôle de la qualité, des biais et de la traçabilité des données reprend l'Article 10 du Règlement (UE) 2024/1689. La PME doit pouvoir démontrer que ses jeux d'entraînement, de validation et de test sont « pertinents, suffisamment représentatifs » et « dans la mesure du possible, exempts d'erreurs ».
Besoin d'un pack documentaire ISO 42001 prêt à l'emploi ?
Politique IA, registre des systèmes, modèle AIIA, fiche de traçabilité des données : nos modèles sont alignés sur l'annexe A et sur les obligations de l'AI Act applicables aux PME françaises.
Demander un devis pack ISO 42001 PME4. Application pratique des contrôles
L'implémentation suit une trajectoire en quatre étapes. Cette séquence évite l'écueil de la documentation déconnectée du terrain.
- Cartographier les systèmes d'IA. Inventaire de tous les outils utilisant l'IA, qu'ils soient développés en interne ou achetés. Inclure les usages SaaS (Copilot, ChatGPT Enterprise, outils RH). Chaque système reçoit un identifiant unique.
- Mapper les contrôles sur les processus existants. Identifier les contrôles déjà couverts par ISO 27001, SOC 2 ou RGPD. La PME évite ainsi la double documentation.
- Documenter les preuves. Pour chaque contrôle retenu, lister les preuves (politique, procédure, journal, rapport d'audit). L'auditeur de certification réclamera ces preuves.
- Former les équipes. Les contrôles relatifs aux compétences (A.4) et à l'usage (A.9) exigent une formation tracée. La traçabilité prime sur le volume horaire.
Le tableau ci-dessous présente un calendrier réaliste pour une PME de 50 salariés.
| Mois | Étape | Livrable |
|---|---|---|
| M1-M2 | Cadrage et inventaire | Registre des systèmes d'IA |
| M3-M4 | Analyse des écarts | Rapport d'écart sur les 9 domaines |
| M5-M6 | Politique et procédures | Politique IA, procédure AIIA, fiche de traçabilité données |
| M7-M8 | Mise en œuvre opérationnelle | Journaux d'usage, formation équipes |
| M9-M10 | Audit interne | Rapport d'audit interne avec actions correctives |
| M11-M12 | Revue de direction et préparation certification | PV de revue, plan d'audit externe |
5. Exemples de contrôles spécifiques
Quatre contrôles méritent une lecture détaillée car ils concentrent l'essentiel des non-conformités relevées lors des audits initiaux.
5.1 Gestion des incidents IA (domaine A.6)
L'organisation doit définir une procédure dédiée aux incidents impliquant un système d'IA : dérive de modèle, comportement biaisé, faille de sécurité, sortie hallucinée à fort impact. La procédure est distincte du plan de gestion des incidents de sécurité ISO 27001 car les modes de défaillance diffèrent.
L'Article 73 du Règlement (UE) 2024/1689 impose, pour les systèmes à haut risque, la notification des « incidents graves » aux autorités de surveillance du marché.
5.2 Indicateurs de performance (domaine A.6 et A.9)
Les indicateurs vont au-delà de la précision technique. Ils incluent le taux d'override par l'humain, le taux de réclamations, la fréquence des dérives détectées et le délai de réaction.
| Type d'indicateur | Exemple | Fréquence de revue |
|---|---|---|
| Performance fonctionnelle | Taux de précision sur jeu de test | Mensuelle |
| Performance équité | Écart de performance entre sous-groupes | Trimestrielle |
| Performance humaine | Taux d'override de la décision IA | Mensuelle |
| Performance sécurité | Nombre d'incidents IA déclarés | Continue |
5.3 Audit interne (clause 9.2)
L'audit interne valide que les contrôles de l'annexe A retenus sont effectivement appliqués. Pour une PME, l'auditeur interne peut être un salarié formé ou un prestataire externe ; il ne peut pas auditer son propre travail.
5.4 Audit de certification (clause externe)
L'audit de certification est conduit par un organisme accrédité. Il se déroule en deux phases : revue documentaire (étape 1), puis audit terrain (étape 2). La certification est valable 3 ans avec un audit de surveillance annuel.
Le nombre d'organismes accrédités pour ISO 42001 en France reste limité à ce jour.
[à vérifier auprès du Cofrac]
6. Liens avec d'autres réglementations
ISO 42001 ne vit pas en silo. Elle s'inscrit dans un maillage réglementaire et normatif que la PME doit articuler pour éviter les redondances.
| Texte | Périmètre | Articulation avec ISO 42001 |
|---|---|---|
| Règlement (UE) 2024/1689 (AI Act) | Conformité juridique IA dans l'UE | Article 17 : système de gestion de la qualité. ISO 42001 est un moyen reconnu d'y répondre. |
| RGPD (Règlement (UE) 2016/679) | Données personnelles | Article 35 RGPD (AIPD) complète l'AIIA d'ISO 42001 (domaine A.5). |
| ISO/IEC 27001:2022 | Sécurité de l'information | Mêmes mécanismes de management. Possibilité d'audit intégré. |
| ISO/IEC 23894:2023 | Gestion du risque IA | Cadre méthodologique pour la clause 6.1 d'ISO 42001. |
| Cadre AI Office EU | Codes de bonne pratique | Référentiel pour les modèles d'IA à usage général. |
L'AI Act, à son Article 40, prévoit que la conformité à des normes harmonisées emporte présomption de conformité aux exigences correspondantes. ISO 42001 n'est pas encore formellement harmonisée au sens de l'AI Act [à vérifier au Journal officiel de l'Union européenne], mais elle constitue déjà un référentiel reconnu par les régulateurs et les donneurs d'ordre.
Pour mesurer l'enjeu financier, consultez notre analyse des sanctions et amendes prévues par l'AI Act.
Vous préparez une certification ISO 42001 ?
Nos packs documentaires couvrent les contrôles critiques de l'annexe A et leur articulation avec l'AI Act et le RGPD. Livraison sous 72 heures, mise à jour incluse pendant 12 mois.
Recevoir le détail des packs ISO 420017. FAQ : questions fréquentes
Quelle est la durée d'application des contrôles ISO 42001 pour une PME ?
Les contrôles sont appliqués de manière continue, sans terme fixé. La certification est valable 3 ans, ponctuée d'audits de surveillance annuels. Pour une PME, l'approche réaliste consiste à déployer d'abord les contrôles prioritaires (politique IA, AIIA, gouvernance des données) puis à étendre progressivement le périmètre avant l'audit de certification.
Comment une PME choisit-elle les contrôles prioritaires ?
La sélection découle de l'analyse de risque imposée par la clause 6.1.3. La PME identifie ses systèmes d'IA, évalue les risques pour les personnes concernées, puis retient les contrôles qui traitent les risques les plus élevés. Pour la majorité des PME, les domaines A.2 (politique), A.5 (AIIA) et A.7 (données) sont incontournables.
Quels sont les risques de non-conformité pour une PME ?
Le risque principal est juridique : l'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes administratives pouvant atteindre 7 % du chiffre d'affaires annuel mondial pour les manquements aux usages interdits (Art. 5), et jusqu'à 3 % pour la plupart des autres manquements. S'ajoutent les risques contractuels (clauses de conformité dans les marchés publics et les contrats B2B), réputationnels et opérationnels (interruption de service).
Comment aligner ISO 42001 avec l'AI Act ?
L'AI Act énonce les obligations juridiques ; ISO 42001 fournit le système de management qui permet de les démontrer. Le mapping le plus utile pour une PME : Article 9 (gestion des risques) ↔ clause 6.1 ; Article 10 (données) ↔ domaine A.7 ; Article 11 (documentation technique) ↔ domaine A.6 ; Article 12 (journaux) ↔ domaine A.8 ; Article 14 (supervision humaine) ↔ domaine A.9 ; Article 17 (SGQ) ↔ ensemble de la norme.
Où trouver de l'aide pour l'implémentation ?
Plusieurs ressources publiques sont disponibles. Le AI Act Service Desk de la Commission européenne répond aux questions de qualification juridique. La CNIL publie des fiches pratiques IA en français. Le glossaire regulia clarifie le vocabulaire normatif. Notre page certification ISO 42001 PME détaille le parcours d'accompagnement.
8. Conclusion et ressources
ISO/IEC 42001:2023 est, à ce jour, le meilleur véhicule pour structurer la conformité IA d'une PME française. Son annexe A traduit en contrôles opérationnels les obligations dispersées de l'AI Act, du RGPD et des standards sectoriels.
Pour une PME, la trajectoire gagnante tient en quatre points : cartographier ses systèmes d'IA, prioriser les contrôles à fort impact, documenter chaque preuve, et préparer la certification sur 12 mois plutôt qu'en sprint. Le retour sur investissement n'est pas seulement réglementaire : c'est aussi un argument commercial face aux donneurs d'ordre qui intègrent désormais des clauses IA dans leurs appels d'offres.
La référence reste le texte normatif ISO/IEC 42001:2023. Toute communication ou décision opérationnelle doit s'appuyer sur la version officielle de la norme, et non sur des reformulations vulgarisées. Pour la dimension juridique, le texte consolidé du Règlement (UE) 2024/1689 et les lignes directrices de la CNIL font foi.
Sources officielles
- Texte consolidé de l'AI Act : artificialintelligenceact.eu
- Version officielle EUR-Lex du Règlement (UE) 2024/1689 : eur-lex.europa.eu
- CNIL — normes de protection des données : cnil.fr
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- ISO/IEC 42001:2023 — norme officielle : iso.org
- Sources et références regulia
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act et la norme ISO/IEC 42001:2023 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.