L'essentiel en 30 secondes
- La revue de direction du système de management de l'IA (AIMS) doit être conduite au moins une fois par an, selon la clause 9.3.1 de l'ISO/IEC 42001:2023.
- Elle est pilotée par le responsable de la gestion de l'IA, avec la direction générale, le DPO, le RSSI et les métiers concernés.
- Le non-respect des obligations de l'EU AI Act peut entraîner des amendes jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial (Article 99 du Règlement (UE) 2024/1689).
- Le RGPD impose une documentation rigoureuse des traitements d'IA, dont la revue de direction démontre la maîtrise.
- Un ordre du jour structuré couvre : contexte, performance, risques, conformité, ressources, décisions et actions.
- Le présent article fournit un modèle prêt à l'emploi adapté aux PME françaises de 10 à 250 salariés.
1. Introduction à la revue de direction AIMS Cl. 9.3
L'ISO/IEC 42001:2023 est la première norme internationale dédiée aux systèmes de management de l'intelligence artificielle (AIMS, Artificial Intelligence Management System). Sa clause 9.3 impose à la direction de revoir périodiquement le dispositif. Cette obligation n'est pas une simple formalité.
La revue de direction est l'acte par lequel le top management confirme que le système de gestion de l'IA reste « adéquat, suffisant et efficace », selon la formulation de la clause 9.3.1. Elle relie la stratégie de la PME aux décisions opérationnelles sur les systèmes d'IA déployés.
Pour les PME françaises, cette revue prend un poids particulier depuis l'entrée en vigueur du Règlement (UE) 2024/1689, dit EU AI Act, publié au Journal officiel de l'Union européenne le 12 juillet 2024. Les obligations s'appliquent par paliers entre février 2025 et août 2027.
La revue de direction AIMS sert donc trois fonctions simultanément : pilotage stratégique, démonstration de conformité réglementaire, et préparation aux audits de certification ISO 42001. Pour les structures de 10 à 250 salariés, c'est aussi un outil de priorisation des investissements limités.
Pour une mise en perspective globale, consultez notre guide AI Act et PME en France.
2. Objectifs de la revue de direction AIMS Cl. 9.3
La clause 9.3 de l'ISO/IEC 42001:2023 assigne à la revue de direction des objectifs précis. Ils dépassent la simple vérification administrative.
Évaluer la performance du système de gestion de l'IA. Le dispositif fonctionne-t-il comme prévu ? Les indicateurs de performance (KPI) sont-ils atteints ? Les incidents d'IA sont-ils traités dans les délais ?
Identifier les opportunités d'amélioration. La norme adopte une logique d'amélioration continue (cycle PDCA). La revue est le moment formel où la direction valide les axes prioritaires pour l'année suivante.
Vérifier l'adéquation aux exigences légales. L'EU AI Act, le RGPD, et les normes sectorielles évoluent rapidement. La revue doit confirmer que le système intègre ces évolutions.
Allouer les ressources nécessaires. Budget, formations, recrutements : la direction engage les moyens. Sans cet engagement, aucune politique IA n'est tenable.
| Objectif | Question type | Sortie attendue |
|---|---|---|
| Performance | Les KPI sont-ils atteints ? | Constat chiffré + écarts |
| Amélioration | Quels axes pour N+1 ? | Plan d'action validé |
| Conformité | Sommes-nous à jour AI Act / RGPD ? | Cartographie risques |
| Ressources | Quel budget alloué ? | Décision budgétaire formelle |
3. Fréquence et responsabilités
La clause 9.3.1 de l'ISO/IEC 42001:2023 fixe une fréquence minimale : « at planned intervals », c'est-à-dire à intervalles planifiés. La pratique standard retient une fois par an minimum. Certaines organisations ajoutent une revue semestrielle quand le portefeuille d'IA évolue rapidement.
Pour une PME de 10 à 50 salariés exploitant 2 à 5 systèmes d'IA stables, une revue annuelle suffit. Au-delà de 50 salariés ou de 10 systèmes d'IA actifs, une cadence semestrielle est recommandée.
Qui préside la revue ? Le responsable de la gestion de l'IA, désigné formellement par la direction conformément à la clause 5.3 de l'ISO/IEC 42001:2023. Dans une PME, ce rôle est souvent cumulé avec celui de DSI, de directeur technique, ou de RSSI.
Qui participe ? Le tableau ci-dessous synthétise les rôles attendus.
| Acteur | Rôle dans la revue | Obligatoire |
|---|---|---|
| Direction générale | Décide, alloue les ressources | Oui |
| Responsable gestion IA | Présente le bilan, anime | Oui |
| DPO | Vérifie conformité RGPD | Oui si traitement données perso |
| RSSI | Couvre sécurité ISO 27001 | Recommandé |
| Métiers utilisateurs | Remontent les retours terrain | Recommandé |
| Juriste / conseil | Veille AI Act | Selon contexte |
La clause 9.3.2 liste les entrées obligatoires : état des actions issues de la revue précédente, changements internes et externes pertinents, performance du système, retours des parties intéressées, résultats d'audit, opportunités d'amélioration.
Besoin d'un modèle ISO 42001 prêt à l'emploi ?
Regulia propose un pack documentaire AIMS complet : politique IA, registre des systèmes, modèles de revue de direction et matrice de risques, conçus pour les PME françaises.
Demander le pack ISO 42001 PME4. Modèle d'ordre du jour : éléments clés
L'ordre du jour de la revue de direction AIMS doit refléter les entrées requises par la clause 9.3.2. Il s'organise en six blocs.
Bloc 1 — Contexte externe et interne. Évolutions de l'EU AI Act, publications de la CNIL, normes sectorielles, jurisprudence pertinente, changements organisationnels internes (effectifs, nouveaux projets IA, fusion-acquisition).
Bloc 2 — Suivi des actions précédentes. Reprise du relevé de décisions de la revue N-1. Statut de chaque action : faite, en cours, annulée. Justification des retards.
Bloc 3 — Performance du système de gestion de l'IA. Indicateurs de performance, audits internes, non-conformités, incidents IA, plaintes des parties intéressées, résultats des évaluations d'impact.
Bloc 4 — Risques et opportunités. Mise à jour de la matrice des risques IA. Risques émergents identifiés depuis la revue précédente. Évaluation de l'efficacité des mesures de traitement.
Bloc 5 — Conformité réglementaire. Statut de conformité EU AI Act par système (interdit, haut risque, risque limité, risque minimal). Conformité RGPD. Suivi des AIPD réalisées. État des engagements contractuels avec les fournisseurs d'IA.
Bloc 6 — Décisions et plan d'action. Validation des évolutions de la politique IA, allocation budgétaire, désignations de responsabilités, planning des actions pour la période suivante.
Chaque bloc doit produire une sortie formelle. La clause 9.3.3 exige que les sorties incluent les décisions relatives aux opportunités d'amélioration, aux changements nécessaires du système, et aux besoins en ressources.
5. Exemple d'ordre du jour pour une PME
Voici un modèle d'ordre du jour pour une PME française de 30 à 80 salariés exploitant 3 à 7 systèmes d'IA. Durée totale prévue : 3 heures.
| Horaire | Point à l'ordre du jour | Responsable | Durée |
|---|---|---|---|
| 09h00 | Ouverture, validation de l'ordre du jour | Dirigeant | 10 min |
| 09h10 | Suivi des actions de la revue N-1 | Responsable IA | 20 min |
| 09h30 | Contexte externe : AI Act, CNIL, sectoriel | Responsable IA | 20 min |
| 09h50 | Indicateurs de performance et incidents | Responsable IA | 30 min |
| 10h20 | Pause | — | 10 min |
| 10h30 | Conformité RGPD et AIPD réalisées | DPO | 25 min |
| 10h55 | Cartographie EU AI Act des systèmes | Responsable IA | 25 min |
| 11h20 | Risques et opportunités | Responsable IA + RSSI | 25 min |
| 11h45 | Décisions, allocations budgétaires, actions | Dirigeant | 25 min |
| 12h10 | Clôture, validation du relevé de décisions | Dirigeant | 10 min |
Préparation amont (J-15). Le responsable IA diffuse un dossier de revue contenant : tableau de bord des KPI, registre des incidents, statut des actions précédentes, cartographie des systèmes d'IA, synthèse réglementaire.
Indicateurs typiques à présenter.
- Nombre de systèmes d'IA en production
- Nombre d'incidents IA détectés et traités
- Délai moyen de traitement des incidents
- Nombre d'AIPD réalisées
- Taux de complétion du plan de formation IA
- Couverture de la cartographie EU AI Act
- Budget IA consommé vs. budget alloué
Format du relevé de décisions. Pour chaque décision : libellé, responsable désigné, échéance, ressources allouées, critère de succès vérifiable.
6. Alignement avec l'EU AI Act et le RGPD
La revue de direction AIMS est un point de jonction entre l'ISO 42001 et les obligations réglementaires européennes. Trois sujets méritent un traitement explicite.
Vérification de la classification EU AI Act. Chaque système d'IA exploité doit être classé selon les catégories de l'Article 6 et de l'Annexe III du Règlement (UE) 2024/1689. Pratiques interdites (Art. 5), systèmes à haut risque (Art. 6), systèmes à risque limité (Art. 50), systèmes à risque minimal. Une mauvaise classification expose à des sanctions lourdes — voir notre analyse détaillée des sanctions AI Act pour les PME.
Évaluation des obligations associées. Pour les systèmes à haut risque, la PME doit vérifier la mise en place : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), enregistrement des journaux (Art. 12), transparence (Art. 13), supervision humaine (Art. 14), exactitude et robustesse (Art. 15).
Intégration du RGPD. L'IA traite presque toujours des données personnelles. Les 13 fiches pratiques publiées par la CNIL (cnil.fr/fr/les-fiches-pratiques-ia) fournissent un cadre opérationnel. La revue vérifie : base légale du traitement, réalisation de l'AIPD (Art. 35 RGPD), information des personnes concernées, exercice des droits, durée de conservation.
| Source réglementaire | Article / Référence | Point de vérification |
|---|---|---|
| EU AI Act | Art. 5 | Aucune pratique interdite déployée |
| EU AI Act | Art. 6 + Annexe III | Classification correcte des systèmes haut risque |
| EU AI Act | Art. 9 à 15 | Obligations haut risque remplies |
| EU AI Act | Art. 50 | Information utilisateurs pour systèmes interactifs |
| EU AI Act | Art. 99 | Conscience des sanctions encourues |
| RGPD | Art. 35 | AIPD réalisée si traitement à risque |
| RGPD | Art. 30 | Registre des traitements à jour |
| RGPD | Art. 22 | Information sur les décisions automatisées |
Pour les définitions précises de chaque terme, consultez notre glossaire AI Act.
7. Bonnes pratiques pour une revue efficace
Une revue de direction qui se résume à une lecture de slides ne sert à rien. Voici les pratiques qui distinguent les revues utiles des revues décoratives.
Préparer le dossier 15 jours avant. Diffusion des documents en amont. Les participants arrivent avec leurs questions, pas avec leur surprise. Cela évite l'effet « réunion d'information » et permet une vraie prise de décision.
Quantifier systématiquement. Pas de constat sans chiffre. « Les incidents sont en hausse » devient « 7 incidents au S2 vs. 3 au S1, soit +133% ». La quantification engage la responsabilité.
Documenter les arbitrages. Pour chaque décision, noter les options examinées et le motif du choix. Ce traçage est précieux lors des audits ISO et des contrôles CNIL.
Désigner un porteur d'action unique. Une action sans nom propre rattaché ne se fait pas. Le porteur peut déléguer, mais reste comptable du résultat.
Fixer des échéances réalistes. Une action « à faire dès que possible » ne sera jamais faite. Une action « livrable au 31 octobre » a 80% de chances d'aboutir.
Faire signer le relevé de décisions. Le dirigeant signe physiquement ou électroniquement. Cet acte engage la direction et constitue une preuve formelle pour l'auditeur ISO 42001.
Capitaliser sur les retours terrain. Les utilisateurs métiers des systèmes d'IA voient les dérives avant les indicateurs. Réservez 15 minutes pour leurs retours bruts, non filtrés par le management intermédiaire.
Ne pas confondre revue de direction et comité IA opérationnel. La revue 9.3 est annuelle et stratégique. Le comité IA opérationnel peut se tenir mensuellement et traite les sujets courants.
8. Outils et ressources pour faciliter la revue
Plusieurs ressources gratuites ou commerciales facilitent la conduite de la revue.
Modèles ISO 42001. L'ISO publie des annexes informatives utiles : Annexe A (objectifs et contrôles), Annexe B (lignes directrices de mise en œuvre), Annexe C (objectifs et risques organisationnels relatifs à l'IA), Annexe D (intégration avec d'autres systèmes de management).
Service desk EU AI Act. La Commission européenne met à disposition un service desk officiel (ai-act-service-desk.ec.europa.eu) qui répond aux questions d'interprétation. Utile pour clarifier la classification d'un système ambigu.
Outils d'audit IA. Plusieurs AI Audit Toolkits open source existent. Citons à titre informatif l'AI Verify Foundation (Singapour) et les guides du NIST AI Risk Management Framework. [à vérifier : disponibilité en français]
Guides professionnels français. Le Cigref a publié un guide AI Act en janvier 2025 ; Numeum a complété par un guide en mars 2025. Ces ressources couvrent les besoins des grandes structures, mais sont adaptables aux PME.
Pack documentaire regulia. Pour les PME qui ne souhaitent pas tout construire en interne, des packs documentaires prêts à l'emploi accélèrent significativement la mise en conformité. Voir notre catalogue de sources et ressources.
Préparez votre revue de direction AIMS sereinement
Notre pack inclut un ordre du jour modèle, un dossier de revue, un format de relevé de décisions et une checklist EU AI Act + RGPD adaptés aux PME françaises.
Recevoir le modèle completFAQ
Quelle est la fréquence minimale requise pour la revue de direction AIMS Cl. 9.3 ?
La norme ISO/IEC 42001:2023 exige que la revue de direction soit organisée à intervalles planifiés, avec une cadence annuelle au minimum. Les organisations peuvent ajuster la fréquence selon leur contexte. Pour une PME dont les processus IA sont stables, une revue annuelle suffit. Si le portefeuille d'IA évolue rapidement ou si des incidents significatifs surviennent, une revue semestrielle est recommandée.
Qui doit présider la revue de direction AIMS Cl. 9.3 dans une PME ?
Le responsable de la gestion de l'IA, désigné conformément à la clause 5.3 de l'ISO/IEC 42001:2023, anime la revue. Dans une PME, ce rôle est souvent confié au DSI, au directeur technique, ou à un responsable spécifiquement désigné. La direction générale doit toutefois être présente et présider la session de validation des décisions. Le DPO, le RSSI et les responsables métiers complètent le tour de table.
Quelles sont les conséquences d'une non-conformité à la revue de direction AIMS Cl. 9.3 ?
Une absence de revue de direction conforme expose à deux risques. Au titre de l'ISO 42001, c'est une non-conformité majeure qui empêche l'obtention ou compromet le maintien de la certification. Au titre de l'EU AI Act, l'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial pour les infractions les plus graves, et jusqu'à 15 millions d'euros ou 3% pour la plupart des manquements. À cela s'ajoutent les risques réputationnels et contractuels.
Comment la revue de direction AIMS Cl. 9.3 contribue-t-elle à la conformité RGPD ?
La revue vérifie que les traitements d'IA respectent les exigences du RGPD : base légale, AIPD, information des personnes, exercice des droits, durées de conservation. Elle examine le registre des traitements (Art. 30 RGPD) et le statut des AIPD (Art. 35 RGPD) pour les systèmes à risque élevé. Elle identifie les écarts éventuels et déclenche les actions correctives. Cette traçabilité démontre la responsabilité (accountability) exigée par l'Article 5.2 du RGPD.
Où puis-je trouver des modèles d'ordre du jour pour la revue de direction AIMS Cl. 9.3 ?
Regulia propose des modèles d'ordre du jour adaptés aux PME françaises, intégrés à son pack documentaire AIMS. Vous pouvez également consulter les annexes informatives de l'ISO/IEC 42001:2023 (Annexes A à D), les ressources du service desk EU AI Act (ai-act-service-desk.ec.europa.eu), ainsi que les guides du Cigref (janvier 2025) et de Numeum (mars 2025). Pour une vue d'ensemble du cadre applicable, voir notre guide AI Act et PME en France.
Sources officielles
- Règlement (UE) 2024/1689 sur l'intelligence artificielle — version officielle consolidée : eur-lex.europa.eu
- Texte intégral commenté de l'AI Act : artificialintelligenceact.eu
- Service desk officiel de la Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — Fiches pratiques IA et RGPD : cnil.fr/article/192
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante, ISO)
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
- Cigref — Guide AI Act, janvier 2025
- Numeum — Guide AI Act, mars 2025
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act et la norme ISO/IEC 42001:2023 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. Regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.