ISO 42001: la norme pour gouverner l'IA.

ISO/IEC 42001:2023

Direct answer

ISO/IEC 42001 est la première norme internationale certifiable pour un système de management de l'intelligence artificielle (SMI). Publiée en décembre 2023, elle donne aux organisations qui développent, fournissent ou utilisent l'IA un cadre fondé sur les risques — dix clauses et 38 contrôles de l'Annexe A — pour gouverner l'IA de manière responsable. Des organismes accrédités la certifient. La certification soutient, mais n'équivaut pas à, la conformité au Règlement sur l'IA de l'UE.

Ce qu'est ISO 42001

ISO/IEC 42001 est la première norme internationale de système de management pour l'intelligence artificielle. Elle fait pour l'IA ce qu'ISO 27001 fait pour la sécurité de l'information : elle donne à une organisation une méthode structurée et auditable pour fixer des objectifs, évaluer les risques, appliquer des contrôles et s'améliorer dans le temps, spécifiquement pour les systèmes IA qu'elle construit, fournit ou utilise. Elle repose sur la même structure harmonisée Annex SL qu'ISO 27001 et ISO 9001, et elle est certifiable par des organismes tiers accrédités, de sorte que la gouvernance responsable de l'IA peut être démontrée plutôt qu'affirmée.

Pourquoi ISO 42001 compte aujourd'hui

L'IA s'introduit dans des décisions qui affectent des personnes réelles, ce qui soulève des questions de biais, de transparence et de supervision que les normes de sécurité et de qualité ne couvrent pas. La réglementation arrive en parallèle. ISO 42001 donne aux équipes un moyen reconnu d'anticiper les deux, avec un avantage de pertinence : la plupart des publications citent encore l'ancienne date du 2 août 2026 pour les systèmes IA à haut risque du Règlement sur l'IA, qui a depuis été reportée.

Calendrier corrigé du Règlement sur l'IA (vérifiez le statut au Journal officiel à la publication) :

  • 1er août 2024 : le Règlement sur l'IA est entré en vigueur.
  • 2 février 2025 : les interdictions sur l'IA à risque inacceptable et les obligations de littératie IA s'appliquent.
  • 2 août 2025 : les obligations sur les modèles d'IA à usage général s'appliquent.
  • 2 août 2026 : les obligations de transparence de l'article 50 restent en vigueur. Ne relâchez pas ce travail.
  • 2 décembre 2026 : délai de grâce pour les fournisseurs d'IA générative appliquant le watermarking ou d'autres mesures de transparence.
  • 2 décembre 2027 : date révisée d'application pour les systèmes à haut risque autonomes (Annexe III), déplacée depuis le 2 août 2026.
  • 2 août 2028 : date révisée d'application pour l'IA à haut risque intégrée dans des produits réglementés (Annexe I).

Les dates révisées pour le haut risque proviennent de l'accord politique Digital Omnibus du 7 mai 2026 et ne prennent effet juridique qu'à la publication au Journal officiel. Jusque-là, les dates d'origine restent la base juridique.

La structure : dix clauses

ISO 42001 comporte dix clauses. Les clauses 1 à 3 couvrent le périmètre, les références normatives et les termes. Les clauses 4 à 10 sont les exigences auditables, partageant la même forme qu'ISO 27001 et ISO 9001, ce qui facilite l'intégration des normes. Les exigences spécifiques à l'IA se concentrent dans les clauses 6 (planification, incluant l'évaluation des risques et des impacts) et 8 (opération sur le cycle de vie de l'IA).

Résumé des clauses ISO 42001
ClauseTitreExigence en une ligne
4Contexte de l'organisationDéterminer les enjeux internes et externes, les parties intéressées, et définir le périmètre du SMI (4.3).
5PilotageEngagement de la direction, politique IA approuvée, et rôles assignés.
6PlanificationÉvaluation des risques IA, évaluation d'impact des systèmes IA, traitement des risques, DDA, et objectifs IA.
7SupportRessources, compétences, sensibilisation, communication, informations documentées.
8ExploitationMaîtrise opérationnelle sur le cycle de vie IA ; exécuter le traitement des risques et les évaluations d'impact.
9Évaluation des performancesSurveillance, mesure, audit interne, revue de direction.
10AméliorationNon-conformité, action corrective, amélioration continue.

Annexe A : 38 contrôles en 9 objectifs

L'Annexe A fournit 38 contrôles de référence organisés en 9 objectifs, numérotés A.2 à A.10. Ce sont un ensemble de référence, pas une liste obligatoire : vous sélectionnez les contrôles applicables par l'évaluation des risques et enregistrez la décision d'inclusion ou d'exclusion, avec justification, dans votre Déclaration d'applicabilité. La norme inclut aussi l'Annexe B (lignes directrices de mise en œuvre), l'Annexe C (objectifs IA et sources de risque potentiels), et l'Annexe D (intégration sectorielle et inter-référentiels).

Note : une minorité de sources cite 39 contrôles. Le décompte aligné ISO est 38. La ventilation contrôle par contrôle figure sur la page dédiée aux contrôles de l'Annexe A.

Objectifs de l'Annexe A ISO 42001
ObjectifTitreContrôles
A.2Politiques liées à l'IA3
A.3Organisation interne2
A.4Ressources pour les systèmes IA5
A.5Évaluation des impacts des systèmes IA4
A.6Cycle de vie des systèmes IA8
A.7Données pour les systèmes IA5
A.8Information pour les parties intéressées5
A.9Utilisation des systèmes IA3
A.10Relations avec les tiers et les clients3
Total38

Ce que la certification exige

Pour certifier, une organisation met en œuvre les clauses 4 à 10 : définir le contexte et le périmètre du SMI, démontrer le pilotage et une politique IA, planifier par les évaluations des risques et des impacts IA, fournir ressources et compétences, exploiter les contrôles du cycle de vie, évaluer les performances par audit interne et revue de direction, et s'améliorer continuellement. Les contrôles applicables de l'Annexe A sont sélectionnés par les risques et justifiés dans la Déclaration d'applicabilité, livrable principal de l'audit et endroit où les équipes dérapent le plus souvent.

Comment obtenir la certification, et ce qu'elle coûte

La certification est délivrée par un organisme tiers accrédité après un audit en deux étapes. L'étape 1 examine la documentation ; l'étape 2 teste le système en pratique. Les certificats courent trois ans avec des audits de surveillance annuels. En France, recherchez une accréditation COFRAC ; aux États-Unis ANAB, au Royaume-Uni UKAS, aux Pays-Bas RvA. L'ISO ne certifie pas elle-même. De bout en bout, un programme typique dure trois à neuf mois selon le périmètre et la maturité du système de management existant.

Estimations de coût (les données publiques sont limitées ; à traiter comme des estimations, pas des tarifs officiels) :

  • Frais d'audit de l'organisme de certification : environ 15 000 à 60 000 USD la première année pour les petites et moyennes organisations.
  • Effort de mise en œuvre : souvent 10 000 à 40 000 USD.
  • Surveillance annuelle : environ 3 000 à 10 000 USD.
  • Les audits ISO 42001 coûtent actuellement plus que les audits ISO 27001 équivalents car le vivier d'auditeurs accrédités est restreint.

Adoption : aucun décompte officiel fiable d'organisations certifiées n'existe. Des estimations tierces placent le total au-delà de 350 mondialement jusqu'en avril 2026.

Calendrier de certification ISO 42001
ÉtapeDurée typiqueCe qui se passe
Analyse des écarts2 à 4 semainesÉvaluer l'état actuel par rapport aux clauses 4 à 10 et à l'Annexe A.
Mise en œuvre1 à 4 moisConstruire la politique IA, les évaluations des risques et des impacts, la DDA, les contrôles, les registres.
Audit interne et revue de directionEnviron 1 moisRevue interne indépendante et validation par la direction.
Audit étape 11 à 2+ joursRevue de la documentation et de la préparation par l'organisme de certification.
Audit étape 23 à 9+ joursMise en œuvre testée ; contrôles échantillonnés ; personnel interviewé.
Certificat délivrén/aValable 3 ans une fois les non-conformités majeures closes.
SurveillanceAnnuelle, 1 à 3 joursConformité maintenue ; recertification à l'année trois.

SE FORMER POUR CERTIFIERAbilene Academy est le seul Partenaire Titanium PECB en Suisse, le plus haut niveau d'accréditation de l'industrie, proposant des formations certifiantes ISO 42001 Lead Implementer et Lead Auditor en présentiel, en ligne et en auto-formation. Programmes multilingues en FR, EN, ES, DE, IT et plus. 99 % Taux de réussite à l'examen · 2 500+ Professionnels formés · 120+ Pays couverts · Titanium Seul Partenaire Titanium PECB en Suisse.

Formation ISO 42001 Lead Implementer

ISO 42001 vs ISO 27001 vs NIST AI RMF vs le Règlement sur l'IA

ISO 42001 et ISO 27001 sont complémentaires : l'une gouverne l'IA, l'autre la sécurité de l'information, et elles partagent une structure, de sorte qu'une organisation déjà certifiée ISO 27001 peut étendre vers ISO 42001 plutôt que repartir de zéro. Le NIST AI RMF est une méthodologie volontaire, non certifiable, qui se combine bien avec ISO 42001 comme cadre auditable. Le Règlement sur l'IA est une loi contraignante, pas un certificat. Consultez la réponse ISO 42001 vs ISO 27001.

ISO 42001 vs ISO 27001 vs NIST AI RMF vs Règlement sur l'IA
DimensionISO/IEC 42001ISO/IEC 27001NIST AI RMFRèglement sur l'IA
ObjectifGouverner l'IA (SMI)Sécurité de l'information (SMSI)Gérer le risque IARéguler l'IA sur le marché de l'UE
Spécifique à l'IAOuiNonOuiOui
CertifiableOui (accrédité)OuiNon (auto-attestation)Non (conformité juridique)
Statut juridiqueNorme volontaireNorme volontaireCadre volontaireLoi contraignante (Règl. (UE) 2024/1689)
StructureAnnex SL, 10 clauses, 38 contrôlesAnnex SL, 10 clauses, 93 contrôles4 fonctionsNiveaux de risque et obligations par article

ISO 42001 et le Règlement sur l'IA

ISO 42001 soutient la préparation au Règlement sur l'IA, mais n'équivaut pas juridiquement à la conformité. Ses contrôles de gestion des risques, de gouvernance des données, de transparence et de supervision humaine se rapprochent étroitement des attentes du Règlement, mais celui-ci ajoute des obligations qu'ISO 42001 ne couvre pas : évaluation de conformité, marquage CE, enregistrement dans la base de données UE, et signalement des incidents graves. ISO 42001 est le socle de système de management, pas un certificat de conformité.

Rapprochement Règlement sur l'IA → ISO 42001
Attente du Règlement sur l'IASe rapproche de ISO 42001
Système de gestion des risques (art. 9)Clause 6.1 ; Clause 8.2
Données et gouvernance des données (art. 10)Annexe A.7
Documentation technique (art. 11 / Annexe IV)Clause 7.5 ; A.6.2
Conservation et journalisation (art. 12)A.6.2 ; Clause 9
Transparence envers les utilisateurs (art. 13)Annexe A.8
Supervision humaine (art. 14)Annexe A.9 ; A.6.2
Exactitude, robustesse, sécurité (art. 15)Clause 8 ; A.6.2 ; lien ISO 27001
Système de management de la qualité (art. 17)L'ensemble du SMI (Clauses 4 à 10)
Non couvert par ISO 42001Évaluation de conformité, marquage CE, enregistrement base UE, signalement incidents graves

ISO 42005 et ISO 42006

ISO 42001 s'inscrit dans une famille en expansion. ISO/IEC 42005:2025 est la norme d'orientation pour l'évaluation d'impact des systèmes IA ; elle opérationnalise le contrôle A.5 et aide à documenter comment un système IA spécifique, et son usage détourné prévisible, peut affecter les individus et la société. ISO/IEC 42006:2025 fixe les exigences de compétence et de cohérence pour les organismes qui auditent et certifient les SMI, ce qui sous-tend un certificat accrédité. Les deux méritent d'être connus lorsque vous choisissez un auditeur et concevez vos évaluations d'impact.

Exécuter ISO 42001 dans Acuna

Acuna vous permet d'exécuter ISO 42001 aux côtés de vos autres référentiels plutôt que comme un projet séparé. Il construit et maintient l'inventaire des systèmes IA, conduit les évaluations des risques et des impacts IA, génère et versionne la Déclaration d'applicabilité, rapproche les contrôles de l'Annexe A des preuves, et maintient les contrôles surveillés pour les audits de surveillance. Les exigences se cartographient une fois et se réutilisent, de sorte qu'une équipe déjà sur ISO 27001 étend vers ISO 42001 efficacement. Consultez comment Acuna rapproche ISO 42001.

EXPLORER

ISO 42001

ISO 42001 vs ISO 27001Bientôt disponible

Comment la norme IA et la norme sécurité diffèrent, et si vous avez besoin des deux.

Contrôles de l'Annexe A, les 38 expliquésBientôt disponible

Chaque contrôle, son objectif, et les preuves qu'un auditeur attend.

Les clauses 4 à 10, en profondeurBientôt disponible

Ce que chaque clause exige et comment elle est auditée.

Coût et calendrier de certificationBientôt disponible

Étape 1, étape 2, surveillance, et ce que cela coûte.

ISO 42001 vs NIST AI RMFBientôt disponible

Quand utiliser chacun, et comment les combiner.

Rapprochement Règlement sur l'IABientôt disponible

Comment ISO 42001 se rapproche du Règlement, article par article.

Checklist de préparation ISO 42001Bientôt disponible

Une checklist en cinq phases, des fondations de gouvernance à la certification.

Déclaration d'applicabilitéBientôt disponible

Comment construire la DDA : le livrable principal de l'audit étape 1.

Évaluation d'impact ISO 42005Bientôt disponible

Utiliser la norme compagnon pour documenter l'impact des systèmes IA.

Guide de mise en œuvre d'un Lead AuditorBientôt disponible

Ce que les auditeurs recherchent à l'étape 2, et où la plupart des équipes dérapent.

Solution ISO 42001SOLUTION

Comment Acuna rapproche et exécute ISO 42001 aux côtés de vos autres référentiels.

ISO 42001: questions fréquentes.

COMMENCER

Découvrez comment Acuna exécute ISO 42001.

Réservez une démo de 30 minutes adaptée à votre programme de gouvernance IA et aux autres référentiels que vous exécutez.

Demander une démoSolution ISO 42001
Conçu pour :RSSIResponsables conformitéMSSP