L'essentiel
- ISO/IEC 42001:2023 — première norme internationale sur l'AI Management System, publiée le 18 décembre 2023
- 10 clauses + Annexe A — Cl. 4 (contexte) à Cl. 10 (amélioration) + 38 contrôles Annexe A
- Volontaire mais standard de fait pour les organisations sérieuses sur la gouvernance IA
- Complémentaire à l'AI Act — AI Act dit quoi faire, ISO 42001 dit comment le faire
- Presumption of conformity partielle — la certification ISO 42001 facilite la conformité AI Act
1. Qu'est-ce que l'ISO/IEC 42001:2023 ?
L'ISO/IEC 42001:2023 est la première norme internationale dédiée au management de l'intelligence artificielle. Publiée le 18 décembre 2023, elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un AIMS (AI Management System) au sein d'une organisation.
Elle s'inscrit dans la famille des normes ISO management (ISO 9001 qualité, ISO 27001 sécurité, ISO 14001 environnement) et adopte la même structure HLS (High Level Structure) en 10 clauses, ce qui facilite l'intégration avec les systèmes de management déjà en place dans l'organisation.
2. Structure de la norme — 10 clauses + Annexe A
| Clause | Domaine | Contenu |
|---|---|---|
| Cl. 4 | Contexte de l'organisation | Compréhension de l'organisation, des parties intéressées, périmètre de l'AIMS, registre des systèmes IA |
| Cl. 5 | Leadership | Engagement direction, politique IA, rôles et responsabilités |
| Cl. 6 | Planification | Évaluation des risques (Cl. 6.1.1), AISIA (Cl. 6.1.2), SoA (Cl. 6.1.3), objectifs IA |
| Cl. 7 | Support | Ressources, compétences, sensibilisation, communication, documentation |
| Cl. 8 | Opération | Planification opérationnelle, gestion des risques en exploitation, AISIA appliquée |
| Cl. 9 | Évaluation des performances | Surveillance, mesure, audit interne, revue de direction |
| Cl. 10 | Amélioration | Non-conformités, actions correctives, amélioration continue |
| Annexe A | Contrôles applicables | 38 contrôles répartis en 9 domaines (A.2 à A.10) |
| Annexe B | Implementation guidance | Guidance non normative pour mettre en œuvre les contrôles A |
3. Annexe A — les 38 contrôles répartis en 9 domaines
| Domaine | Nb contrôles | Objet |
|---|---|---|
| A.2 Politiques relatives à l'IA | 3 | Politique IA, alignement, revue |
| A.3 Structures organisationnelles internes | 3 | Rôles, reporting, évaluation des AI à fort impact |
| A.4 Ressources pour les systèmes IA | 5 | Documentation, données, outillage, calcul, RH |
| A.5 Évaluation des impacts | 4 | Processus, documentation, impacts individus/groupes/société |
| A.6 Cycle de vie des systèmes IA | 9 | Conception, développement, validation, déploiement, exploitation, journalisation |
| A.7 Données pour systèmes IA | 5 | Acquisition, qualité, provenance, préparation |
| A.8 Information aux parties intéressées | 4 | Documentation utilisateurs, transparence externe, incidents, personnes affectées |
| A.9 Usage des systèmes IA | 3 | Processus d'usage responsable, objectifs, usage prévu |
| A.10 Relations avec les tiers | 3 | Allocation des responsabilités, fournisseurs, clients |
| Total | 38 | — |
Chaque contrôle peut être applicable ou non selon le profil de l'organisation. Le Statement of Applicability (SoA) documente les choix d'applicabilité avec justification — c'est le document central pour une certification (Doc 08 dans le pack regulia).
4. ISO 42001 vs EU AI Act — comparaison
| Critère | ISO/IEC 42001:2023 | EU AI Act (Règlement 2024/1689) |
|---|---|---|
| Nature | Norme volontaire internationale | Texte juridique européen contraignant |
| Périmètre | Tout système IA dans l'organisation | Systèmes IA mis sur le marché ou utilisés en UE |
| Approche | Système de management (process) | Approche par les risques (4 niveaux) |
| Documents principaux | Politique IA, AIMS, AISIA, SoA | Documentation technique Annexe IV (provider), FRIA (déployeur public) |
| Sanctions | Aucune (mais perte de certification) | Jusqu'à 35 M€ ou 7% CA mondial (Art. 99) |
| Calendrier | Applicable depuis le 18 décembre 2023 | Application progressive 2025-2030 |
| Coût | 8 000 à 25 000 € (certification) | 0 € (mais coût conformité 5-50 K€ PME) |
| Reconnaissance | Internationale (ISO) | Européenne uniquement |
Les deux sont complémentaires, pas concurrents. L'AI Act dit quoi faire (obligations légales selon niveau de risque). L'ISO 42001 dit comment le faire (système de management qui structure les obligations en politiques, procédures, contrôles, indicateurs, audits internes).
5. Articulation pratique pour une PME
Pour une PME française, la séquence pragmatique est :
- Identifier vos obligations AI Act selon votre rôle (déployeur/fournisseur), le niveau de risque de vos systèmes (Annexe III), et votre statut (opérateur de service public ou non).
- Mettre en place les documents AI Act obligatoires : politique IA, registre AIMS, AISIA pour systèmes haut-risque, FRIA si applicable, charte d'usage, procédure d'incidents.
- Si volonté de certification ISO 42001 : ajouter le SoA (Doc 08), formaliser un audit interne annuel (Cl. 9.2), tenir une revue de direction (Cl. 9.3), passer un audit à blanc puis l'audit de certification par organisme accrédité.
- Si pas de certification visée : utiliser les contrôles Annexe A comme checklist d'auto-évaluation pour structurer la démarche, sans passer par la certification formelle.
6. Bénéfices business d'une démarche ISO 42001
- Atténuation des sanctions AI Act — l'Article 99(7) liste les facteurs d'atténuation, dont les démarches de conformité documentées. Une certification ISO 42001 est un signal fort pour les autorités de contrôle.
- Différenciation commerciale — pour les PME B2B vendant à des grands comptes, la certification ISO 42001 ouvre des appels d'offres bloqués sinon.
- Cyber-assurance — les assureurs RC professionnelle proposent des tarifs préférentiels aux entreprises certifiées.
- Levée de fonds — les investisseurs intègrent désormais les critères ESG dans leurs due diligence ; ISO 42001 couvre le pilier IA Governance.
- Recrutement — signal positif pour les talents IA qui veulent travailler dans une organisation responsable.
7. Le pack regulia pour ISO 42001
Le Pack Complet regulia (599 €) couvre 11 documents qui constituent la base de votre AIMS conforme ISO 42001 :
- Doc 03 Politique IA → Cl. 5.2
- Doc 04 Registre AIMS → Cl. 4.4
- Doc 05 Évaluation des risques → Cl. 6.1.1 (1 par système)
- Doc 06 AISIA → Cl. 6.1.2 + Annexe B (1 par système)
- Doc 08 Statement of Applicability → Cl. 6.1.3 (38 contrôles)
- Doc 09 Charte d'usage → A.9.2
- Doc 10 Procédure de gouvernance + RACI → Cl. 5.3 + 6.1
- Doc 11 Procédure incidents → A.8.4
- Doc 12 Évaluation fournisseurs → A.10.3
Le Pack Premium (999 € + 49 €/mois) ajoute la FRIA (Doc 07) et la documentation technique Annexe IV (Doc 13) si vous êtes fournisseur d'un système haut-risque.
Pack documentaire ISO 42001 + AI Act en 1 heure
Démarrez votre AIMS dès aujourd'hui avec les 11 documents structurants ISO 42001, personnalisés pour votre PME et livrés en moins d'une heure. Certification possible 12 à 18 mois après mise en place.
Démarrer mon pack — dès 599 €8. FAQ
Qu'est-ce que la norme ISO/IEC 42001:2023 ?
La première norme internationale sur l'AI Management System (AIMS), publiée le 18 décembre 2023. 10 clauses + Annexe A avec 38 contrôles.
Quelle est la différence entre ISO 42001 et l'EU AI Act ?
L'AI Act est un texte juridique contraignant qui impose des obligations selon le niveau de risque. L'ISO 42001 est une norme volontaire qui propose un cadre de management. Les deux sont complémentaires.
L'ISO 42001 est-elle obligatoire pour les PME ?
Non, c'est volontaire. Mais c'est le standard de référence pour les PME utilisant des systèmes IA haut-risque ou voulant démontrer une démarche auditable.
Combien coûte une certification ISO 42001 ?
8 000 à 25 000 € pour une PME selon la taille. Le pré-requis (mise en place AIMS) coûte 599 € (Pack Complet regulia) à 25 000 € (cabinet de conseil sur-mesure).