ISO 42001 vs AI Act : différences, complémentarité et présomption pour les PME

L'essentiel en 30 secondes

• L'ISO/IEC 42001:2023 est une norme volontaire de management de l'intelligence artificielle ; le Règlement (UE) 2024/1689 — dit EU AI Act — est une régulation juridiquement contraignante.
• L'ISO 42001 structure la gouvernance interne ; l'AI Act impose des obligations selon une classification des risques (inacceptable, élevé, limité, minimal).
• La certification ISO 42001 n'octroie pas de présomption de conformité automatique à l'AI Act, mais constitue un faisceau d'indices de diligence pour les autorités.
• Les PME françaises (10-250 salariés) doivent traiter les deux ensemble : ISO 42001 pour la gouvernance, AI Act pour l'obligation légale.
• Sanctions AI Act jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel (Article 99 du Règlement (UE) 2024/1689).
• Sources de référence : artificialintelligenceact.eu, EUR-Lex, CNIL, ISO/IEC 42001:2023.

1. Introduction : contexte et objectifs

Deux textes structurent désormais le paysage de la conformité IA en Europe. Le premier, l'ISO/IEC 42001:2023, est une norme internationale publiée en décembre 2023. Elle définit les exigences d'un système de management de l'intelligence artificielle (SMIA, ou AIMS en anglais). Le second, le Règlement (UE) 2024/1689, est entré en vigueur le 1ᵉʳ août 2024. Il s'impose à tout fournisseur ou déployeur de systèmes d'IA sur le marché européen.

Les deux instruments se croisent mais ne se confondent pas. L'un relève du droit privé normatif et de l'amélioration continue. L'autre relève du droit dur de l'Union européenne, assorti de sanctions administratives.

Pour une PME française entre 10 et 250 salariés, la question n'est plus « faut-il choisir ? » mais « comment articuler les deux ? ». Cet article répond précisément à cette question, à destination des dirigeants, DPO, RSSI et IA Lead qui pilotent la mise en conformité. Le sujet plus large est traité dans notre dossier AI Act pour les PME françaises.

Définition synthétique de l'ISO/IEC 42001:2023

L'ISO/IEC 42001:2023 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de l'IA au sein d'une organisation. Elle suit la structure HLS (High-Level Structure) commune aux normes ISO de management (ISO 9001, ISO 27001, ISO 14001), facilitant l'intégration dans un système de management existant.

Définition synthétique du EU AI Act

Le Règlement (UE) 2024/1689 établit des règles harmonisées sur l'intelligence artificielle. Il classe les systèmes d'IA selon quatre niveaux de risque, interdit certaines pratiques (Article 5), et impose des obligations spécifiques aux systèmes à haut risque (Articles 8 à 27) ainsi qu'aux modèles d'IA à usage général (Articles 51 à 56).

Pourquoi les PME françaises sont concernées

L'AI Act ne prévoit aucun seuil d'exemption fondé sur la taille de l'entreprise. Une PME qui développe, déploie ou intègre un système d'IA à haut risque est juridiquement responsable au même titre qu'un grand groupe. La Commission européenne a toutefois prévu des mesures de soutien aux PME (Article 62), notamment des bacs à sable réglementaires.

2. Objectifs et portée : gestion interne contre régulation externe

L'ISO 42001 et l'AI Act poursuivent deux finalités distinctes mais convergentes : la maîtrise des risques liés à l'IA. Leur logique d'action diverge nettement.

Finalité de l'ISO 42001

L'ISO 42001 vise l'amélioration continue de la gouvernance interne. Elle impose à l'organisation de définir une politique IA, de cartographier ses parties intéressées, d'évaluer ses risques et opportunités, et de documenter ses décisions tout au long du cycle de vie des systèmes. La norme aide à construire une culture organisationnelle robuste autour de l'IA responsable.

Finalité du EU AI Act

L'AI Act vise la protection des droits fondamentaux, de la santé et de la sécurité des personnes au sein de l'Union européenne. Son périmètre est extra-territorial : un fournisseur établi hors UE qui met un système d'IA à disposition sur le marché européen est soumis au règlement (Article 2).

Portée comparée

Critère	ISO/IEC 42001:2023	EU AI Act (Règlement 2024/1689)
Nature	Norme internationale volontaire	Règlement européen contraignant
Périmètre	Toute l'organisation	Systèmes d'IA mis sur le marché ou utilisés en UE
Finalité	Gouvernance et amélioration continue	Protection des droits fondamentaux
Mise en œuvre	Système de management	Obligations par classe de risque
Contrôle	Audit de certification (organisme accrédité)	Surveillance du marché (autorité nationale)
Sanction	Perte du certificat	Amendes administratives jusqu'à 7 % du CA mondial

3. Structure et exigences : comparaison des approches

Comprendre la structure interne des deux textes permet de mesurer leurs zones de recouvrement et leurs spécificités.

Architecture de l'ISO 42001

La norme suit le cycle PDCA (Plan-Do-Check-Act) et comporte 10 clauses principales :

1. Domaine d'application
2. Références normatives
3. Termes et définitions
4. Contexte de l'organisation
5. Leadership
6. Planification (évaluation des risques IA)
7. Support (ressources, compétences, communication)
8. Fonctionnement (cycle de vie des systèmes IA)
9. Évaluation des performances (audit interne, revue de direction)
10. Amélioration

L'Annexe A liste 38 contrôles regroupés en 9 objectifs, couvrant la politique IA, l'organisation interne, les ressources, l'évaluation des impacts, le cycle de vie, les données, les informations aux parties intéressées, l'utilisation des systèmes et les relations avec les tiers.

Architecture du EU AI Act

L'AI Act est structuré autour d'une pyramide de risques :

Niveau de risque	Exemples	Régime applicable
Inacceptable (Art. 5)	Notation sociale, manipulation cognitive, scraping massif d'images faciales	Interdiction depuis le 2 février 2025
Élevé (Annexe III + Art. 6)	Recrutement, scoring crédit, biométrie, infrastructures critiques	Obligations strictes (Art. 8-27)
Limité (Art. 50)	Chatbots, deepfakes, contenu généré	Transparence obligatoire
Minimal	Filtres anti-spam, jeux vidéo IA	Aucune obligation contraignante

Les obligations pour les systèmes à haut risque incluent : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), traçabilité des journaux (Art. 12), transparence (Art. 13), supervision humaine (Art. 14), exactitude et robustesse (Art. 15), système de management de la qualité (Art. 17).

Points communs entre les deux référentiels

• Gestion des risques formalisée et documentée
• Documentation systématique du cycle de vie
• Évaluation de la qualité des données
• Mécanismes de supervision humaine
• Évaluation continue des performances

L'Article 17 de l'AI Act exige un système de management de la qualité. C'est précisément ce que structure l'ISO 42001. Le pont est ici opérationnel et non symbolique.

4. Différences clés : norme contre régulation

Trois axes structurent la distinction entre les deux référentiels : la nature juridique, le mode de contrôle et la sanction.

Nature juridique

L'ISO 42001 est une norme privée publiée par l'Organisation internationale de normalisation. Son adoption est volontaire. Aucune autorité publique n'impose sa mise en œuvre.

L'AI Act est un règlement européen. Il a force de loi dans les 27 États membres dès son entrée en application, sans transposition nationale nécessaire (Article 288 TFUE).

Mode de contrôle

L'ISO 42001 fait l'objet d'un audit de certification par un organisme accrédité (en France : Cofrac). Le certificat est valable trois ans, avec audits de surveillance annuels.

L'AI Act prévoit deux mécanismes : l'auto-évaluation (la majorité des systèmes à haut risque) et l'évaluation par tierce partie pour les systèmes biométriques (Annexe VII). La surveillance du marché est exercée par les autorités nationales compétentes — en France, désignation en cours, avec un rôle central probable pour la CNIL et la DGCCRF.

Sanction

Aucune sanction publique en cas de non-conformité ISO 42001. La perte du certificat est la seule conséquence directe, avec un impact réputationnel et commercial.

L'AI Act prévoit trois plafonds de sanctions (Article 99) :

Type d'infraction	Plafond
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial annuel
Non-conformité aux obligations	15 M€ ou 3 % du CA mondial annuel
Information inexacte aux autorités	7,5 M€ ou 1 % du CA mondial annuel

Pour les PME et start-ups, le plafond appliqué est le plus bas des deux montants (Article 99 §6). Le détail figure dans notre article Sanctions AI Act pour PME.

Tableau de synthèse des différences

Critère	ISO 42001	EU AI Act
Type	Norme volontaire	Règlement obligatoire
Émetteur	ISO/IEC	Parlement et Conseil de l'UE
Cible	Organisation	Systèmes d'IA
Approche	Amélioration continue	Conformité par risque
Calendrier	Adoption libre	Échéances 2025-2027
Preuve	Certificat	Documentation technique + déclaration UE de conformité

5. Complémentarité : l'ISO 42001 comme outil pour l'AI Act

La complémentarité entre les deux référentiels est opérationnelle et reconnue par les guides professionnels — notamment le Cigref (guide AI Act janvier 2025) et Numeum (guide mars 2025).

Mapping pratique entre clauses ISO 42001 et articles AI Act

Exigence ISO 42001	Article AI Act correspondant
Clause 6.1.2 — Évaluation des risques IA	Art. 9 — Système de gestion des risques
Clause 8.3 — Données pour le développement	Art. 10 — Gouvernance des données
Annexe A.6 — Cycle de vie	Art. 11 — Documentation technique
Annexe A.6.2.6 — Journaux d'événements	Art. 12 — Tenue de registres
Annexe A.7 — Information aux parties	Art. 13 — Transparence et information
Annexe A.8 — Utilisation responsable	Art. 14 — Contrôle humain
Clause 9 — Évaluation des performances	Art. 15 — Exactitude, robustesse, cybersécurité
Clause 5 — Leadership et politique	Art. 17 — Système de management de la qualité

Bénéfice pour les PME

Une PME qui met en place un système de management ISO 42001 dispose nativement de l'ossature documentaire et procédurale exigée par l'AI Act. Les efforts ne se cumulent pas : ils se mutualisent.

Concrètement :

• Le registre des systèmes d'IA exigé par la clause 8.1 de l'ISO 42001 nourrit la déclaration prévue à l'Article 49 de l'AI Act (enregistrement dans la base de données UE).
• L'évaluation d'impact des systèmes d'IA (clause 6.1.4 ISO 42001) prépare l'analyse d'impact sur les droits fondamentaux (FRIA) exigée par l'Article 27 de l'AI Act pour certains déployeurs.
• L'audit interne ISO 42001 (clause 9.2) constitue un prérequis utile à la conformité Article 17.

Articulation avec d'autres normes

L'ISO 42001 dialogue avec :

• ISO/IEC 27001:2022 — sécurité de l'information (essentielle pour Art. 15 AI Act)
• ISO/IEC 23894:2023 — gestion des risques IA (méthodologie complémentaire)
• ISO/IEC 27701:2019 — extension vie privée (interface RGPD)

Pour une PME qui détient déjà une certification ISO 27001, l'effort d'extension vers ISO 42001 est significativement réduit : la structure HLS partage 7 clauses communes.

6. Présomption : conformité ISO 42001 et bonne foi

C'est le point le plus mal compris du marché. Précisons-le.

Ce que l'AI Act dit sur les normes harmonisées

L'Article 40 du Règlement (UE) 2024/1689 prévoit une présomption de conformité lorsqu'un système d'IA à haut risque est conforme à des normes harmonisées publiées au Journal officiel de l'UE.

L'ISO 42001 n'est pas (encore) une norme harmonisée au sens de l'Article 40. À la date de rédaction de cet article, le CEN-CENELEC JTC 21 travaille à l'élaboration des normes harmonisées européennes spécifiques à l'AI Act, sur mandat de la Commission (mandat M/593 du 22 mai 2023) [à vérifier].

Ce que la certification ISO 42001 apporte juridiquement

La certification ISO 42001 ne confère pas de présomption automatique de conformité à l'AI Act. Mais elle produit deux effets concrets :

1. Faisceau d'indices de diligence : devant une autorité de surveillance, une certification ISO 42001 documente la démarche de l'organisation et atteste d'une volonté de conformité structurée.
2. Circonstance atténuante potentielle : l'Article 99 §7 de l'AI Act prévoit que les autorités prennent en compte « la coopération avec les autorités nationales compétentes » et « les mesures prises pour atténuer le préjudice ». Une certification documente précisément ces mesures.

Ce que la certification ISO 42001 n'apporte pas

Elle ne dispense jamais :

• De l'enregistrement des systèmes à haut risque (Art. 49)
• Du marquage CE et de la déclaration UE de conformité (Art. 47-48)
• De l'évaluation de conformité (Art. 43)
• De la nomination d'un mandataire si le fournisseur est hors UE (Art. 22)
• Des obligations de transparence Article 50

Toute communication suggérant que « la certification ISO 42001 suffit pour l'AI Act » est juridiquement fausse. regulia ne formule pas cette promesse.

7. Impact sur les PME françaises : obligations et avantages

Pour une PME entre 10 et 250 salariés, la mise en conformité doit être pensée par étapes et hiérarchisée par le risque réel.

Obligations AI Act les plus fréquentes pour les PME

Cas d'usage PME	Classe AI Act	Obligation principale
Outil de tri de CV	Haut risque (Annexe III §4)	Documentation technique, FRIA si déployeur
Chatbot client	Risque limité (Art. 50)	Information de l'utilisateur
Détection de fraude	Haut risque possible	Évaluation Art. 6 §3
Outil de scoring crédit	Haut risque (Annexe III §5)	Conformité complète Art. 8-27
Génération de contenu marketing	Risque limité	Marquage des contenus générés (Art. 50 §2)
Analyse d'images médicales	Haut risque (règlement DM)	Double conformité MDR + AI Act

Avantages stratégiques de l'ISO 42001 pour la PME

• Différenciation commerciale : appels d'offres publics et donneurs d'ordre grands comptes intègrent progressivement la certification IA dans leurs critères de sélection.
• Réduction des primes d'assurance cyber-IA : plusieurs assureurs commencent à valoriser la certification dans la tarification [à vérifier].
• Acculturation interne : la démarche ISO mobilise les équipes autour d'une compréhension partagée des risques IA.
• Préparation au contrôle : en cas d'audit de surveillance du marché, l'organisation présente un dossier structuré.

Stratégie recommandée pour une PME française

1. Cartographier d'abord les systèmes d'IA en usage (registre Art. 49 AI Act + clause 8.1 ISO 42001).
2. Classer chaque système selon l'AI Act (Art. 6 et Annexe III).
3. Pour les systèmes à haut risque, construire la conformité AI Act d'abord (obligatoire) puis adosser la démarche ISO 42001.
4. Pour les PME exposées à des marchés réglementés (santé, banque, RH), envisager la certification ISO 42001 dès 2026.

Le vocabulaire technique de cette section est défini dans notre glossaire AI Act.

8. Étapes pour une mise en œuvre harmonisée

Voici une feuille de route en quatre étapes, applicable à une PME française de moins de 250 salariés.

Étape 1 — Cartographier et évaluer (mois 1 à 2)

• Recenser tous les systèmes d'IA utilisés ou développés : SaaS tiers, modèles internes, agents conversationnels, outils RH.
• Pour chaque système, qualifier le rôle de la PME : fournisseur (Art. 3 §3), déployeur (Art. 3 §4), importateur (Art. 3 §6), distributeur (Art. 3 §7).
• Classer chaque système selon la pyramide AI Act.
• Lancer en parallèle l'analyse du contexte ISO 42001 (clauses 4 et 6).

Étape 2 — Construire le système de management (mois 3 à 5)

• Adopter une politique IA validée par la direction (Art. 17 AI Act et clause 5 ISO 42001).
• Désigner un AI Lead ou élargir le mandat du DPO existant.
• Mettre en place le registre des systèmes IA.
• Définir les processus : gestion des risques, gouvernance des données, journalisation, supervision humaine.

Étape 3 — Aligner et documenter (mois 4 à 8)

• Pour chaque système à haut risque, produire la documentation technique de l'Annexe IV de l'AI Act.
• Conduire la FRIA (Art. 27) pour les déployeurs concernés.
• Mettre en place la procédure de surveillance post-commercialisation (Art. 72).
• Préparer la déclaration UE de conformité (Annexe V) si fournisseur.

Étape 4 — Auditer et améliorer (à partir du mois 9)

• Audit interne ISO 42001 (clause 9.2).
• Revue de direction annuelle (clause 9.3).
• Surveillance des incidents graves (Art. 73 AI Act).
• Audit de certification ISO 42001 si l'organisation choisit la voie certificatoire.

Calendrier réglementaire AI Act à retenir

Date	Obligation
2 février 2025	Interdictions Art. 5 + obligations d'alphabétisation IA (Art. 4)
2 août 2025	Modèles d'IA à usage général + gouvernance + sanctions
2 août 2026	Systèmes à haut risque de l'Annexe III
2 août 2027	Systèmes à haut risque relevant de l'Annexe I (réglementations sectorielles)

FAQ

Quelle est la différence principale entre l'ISO 42001 et le EU AI Act ?

L'ISO 42001 est une norme volontaire de management de l'intelligence artificielle. Le EU AI Act est un règlement européen obligatoire. La première structure la gouvernance interne d'une organisation. Le second impose des obligations juridiques pour les systèmes d'IA selon leur niveau de risque. La conformité ISO 42001 améliore la maturité organisationnelle ; la conformité AI Act évite des sanctions pouvant atteindre 7 % du chiffre d'affaires mondial (Art. 99).

L'ISO 42001 peut-elle remplacer les obligations du EU AI Act ?

Non. La certification ISO 42001 ne dispense d'aucune obligation prévue par le Règlement (UE) 2024/1689. Elle facilite la mise en œuvre opérationnelle des exigences, notamment l'Article 17 (système de management de la qualité), mais ne se substitue ni à l'enregistrement Art. 49, ni à la déclaration UE de conformité Art. 47, ni à l'évaluation de conformité Art. 43.

Comment l'ISO 42001 peut-elle aider à se conformer au EU AI Act ?

L'ISO 42001 fournit un cadre méthodologique structuré : politique IA, évaluation des risques, gouvernance des données, supervision humaine, audit interne. Ces éléments couvrent une partie significative des Articles 9 à 17 de l'AI Act. Pour une PME, démarrer par l'ISO 42001 permet de bâtir l'ossature documentaire requise, à condition de la compléter par les obligations spécifiques de l'AI Act (FRIA, marquage CE, surveillance post-commercialisation).

Quelles sont les sanctions pour non-conformité au EU AI Act pour les PME ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois niveaux : jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites de l'Art. 5 ; jusqu'à 15 M€ ou 3 % pour les autres manquements ; jusqu'à 7,5 M€ ou 1 % pour information inexacte. Pour les PME et start-ups, le plus bas des deux montants s'applique (Art. 99 §6). Les détails et le calculateur figurent dans notre article dédié aux sanctions AI Act PME.

Où puis-je trouver plus d'informations sur l'ISO 42001 et le EU AI Act ?

Sur regulia : AI Act pour les PME françaises, Sanctions AI Act PME, Glossaire AI Act, Sources officielles. Sites institutionnels : artificialintelligenceact.eu (texte consolidé), eur-lex.europa.eu (version officielle UE), ai-act-service-desk.ec.europa.eu (Commission EU), cnil.fr (fiches pratiques IA), iso.org pour la norme ISO/IEC 42001:2023.

Sources officielles

• Règlement (UE) 2024/1689 du Parlement européen et du Conseil — EUR-Lex
• Texte consolidé EU AI Act — artificialintelligenceact.eu
• AI Office Service Desk — Commission européenne — ai-act-service-desk.ec.europa.eu
• Fiches pratiques IA — Commission nationale de l'informatique et des libertés — cnil.fr
• ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system — Organisation internationale de normalisation
• ISO/IEC 23894:2023 Artificial intelligence — Guidance on risk management
• ISO/IEC 27001:2022 Information security management systems
• Cigref, Guide AI Act, janvier 2025
• Numeum, Guide AI Act pour les éditeurs, mars 2025

---

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.