ISO/IEC 42001:2023
Direct answer
ISO/IEC 42001 est la première norme internationale certifiable pour un système de management de l'intelligence artificielle (SMI). Publiée en décembre 2023, elle donne aux organisations qui développent, fournissent ou utilisent l'IA un cadre fondé sur les risques — dix clauses et 38 contrôles de l'Annexe A — pour gouverner l'IA de manière responsable. Des organismes accrédités la certifient. La certification soutient, mais n'équivaut pas à, la conformité au Règlement sur l'IA de l'UE.
ISO/IEC 42001 est la première norme internationale de système de management pour l'intelligence artificielle. Elle fait pour l'IA ce qu'ISO 27001 fait pour la sécurité de l'information : elle donne à une organisation une méthode structurée et auditable pour fixer des objectifs, évaluer les risques, appliquer des contrôles et s'améliorer dans le temps, spécifiquement pour les systèmes IA qu'elle construit, fournit ou utilise. Elle repose sur la même structure harmonisée Annex SL qu'ISO 27001 et ISO 9001, et elle est certifiable par des organismes tiers accrédités, de sorte que la gouvernance responsable de l'IA peut être démontrée plutôt qu'affirmée.
L'IA s'introduit dans des décisions qui affectent des personnes réelles, ce qui soulève des questions de biais, de transparence et de supervision que les normes de sécurité et de qualité ne couvrent pas. La réglementation arrive en parallèle. ISO 42001 donne aux équipes un moyen reconnu d'anticiper les deux, avec un avantage de pertinence : la plupart des publications citent encore l'ancienne date du 2 août 2026 pour les systèmes IA à haut risque du Règlement sur l'IA, qui a depuis été reportée.
Calendrier corrigé du Règlement sur l'IA (vérifiez le statut au Journal officiel à la publication) :
Les dates révisées pour le haut risque proviennent de l'accord politique Digital Omnibus du 7 mai 2026 et ne prennent effet juridique qu'à la publication au Journal officiel. Jusque-là, les dates d'origine restent la base juridique.
ISO 42001 comporte dix clauses. Les clauses 1 à 3 couvrent le périmètre, les références normatives et les termes. Les clauses 4 à 10 sont les exigences auditables, partageant la même forme qu'ISO 27001 et ISO 9001, ce qui facilite l'intégration des normes. Les exigences spécifiques à l'IA se concentrent dans les clauses 6 (planification, incluant l'évaluation des risques et des impacts) et 8 (opération sur le cycle de vie de l'IA).
| Clause | Titre | Exigence en une ligne |
|---|---|---|
| 4 | Contexte de l'organisation | Déterminer les enjeux internes et externes, les parties intéressées, et définir le périmètre du SMI (4.3). |
| 5 | Pilotage | Engagement de la direction, politique IA approuvée, et rôles assignés. |
| 6 | Planification | Évaluation des risques IA, évaluation d'impact des systèmes IA, traitement des risques, DDA, et objectifs IA. |
| 7 | Support | Ressources, compétences, sensibilisation, communication, informations documentées. |
| 8 | Exploitation | Maîtrise opérationnelle sur le cycle de vie IA ; exécuter le traitement des risques et les évaluations d'impact. |
| 9 | Évaluation des performances | Surveillance, mesure, audit interne, revue de direction. |
| 10 | Amélioration | Non-conformité, action corrective, amélioration continue. |
L'Annexe A fournit 38 contrôles de référence organisés en 9 objectifs, numérotés A.2 à A.10. Ce sont un ensemble de référence, pas une liste obligatoire : vous sélectionnez les contrôles applicables par l'évaluation des risques et enregistrez la décision d'inclusion ou d'exclusion, avec justification, dans votre Déclaration d'applicabilité. La norme inclut aussi l'Annexe B (lignes directrices de mise en œuvre), l'Annexe C (objectifs IA et sources de risque potentiels), et l'Annexe D (intégration sectorielle et inter-référentiels).
Note : une minorité de sources cite 39 contrôles. Le décompte aligné ISO est 38. La ventilation contrôle par contrôle figure sur la page dédiée aux contrôles de l'Annexe A.
| Objectif | Titre | Contrôles |
|---|---|---|
| A.2 | Politiques liées à l'IA | 3 |
| A.3 | Organisation interne | 2 |
| A.4 | Ressources pour les systèmes IA | 5 |
| A.5 | Évaluation des impacts des systèmes IA | 4 |
| A.6 | Cycle de vie des systèmes IA | 8 |
| A.7 | Données pour les systèmes IA | 5 |
| A.8 | Information pour les parties intéressées | 5 |
| A.9 | Utilisation des systèmes IA | 3 |
| A.10 | Relations avec les tiers et les clients | 3 |
| Total | 38 |
Pour certifier, une organisation met en œuvre les clauses 4 à 10 : définir le contexte et le périmètre du SMI, démontrer le pilotage et une politique IA, planifier par les évaluations des risques et des impacts IA, fournir ressources et compétences, exploiter les contrôles du cycle de vie, évaluer les performances par audit interne et revue de direction, et s'améliorer continuellement. Les contrôles applicables de l'Annexe A sont sélectionnés par les risques et justifiés dans la Déclaration d'applicabilité, livrable principal de l'audit et endroit où les équipes dérapent le plus souvent.
ISO 42001 et ISO 27001 sont complémentaires : l'une gouverne l'IA, l'autre la sécurité de l'information, et elles partagent une structure, de sorte qu'une organisation déjà certifiée ISO 27001 peut étendre vers ISO 42001 plutôt que repartir de zéro. Le NIST AI RMF est une méthodologie volontaire, non certifiable, qui se combine bien avec ISO 42001 comme cadre auditable. Le Règlement sur l'IA est une loi contraignante, pas un certificat. Consultez la réponse ISO 42001 vs ISO 27001.
| Dimension | ISO/IEC 42001 | ISO/IEC 27001 | NIST AI RMF | Règlement sur l'IA |
|---|---|---|---|---|
| Objectif | Gouverner l'IA (SMI) | Sécurité de l'information (SMSI) | Gérer le risque IA | Réguler l'IA sur le marché de l'UE |
| Spécifique à l'IA | Oui | Non | Oui | Oui |
| Certifiable | Oui (accrédité) | Oui | Non (auto-attestation) | Non (conformité juridique) |
| Statut juridique | Norme volontaire | Norme volontaire | Cadre volontaire | Loi contraignante (Règl. (UE) 2024/1689) |
| Structure | Annex SL, 10 clauses, 38 contrôles | Annex SL, 10 clauses, 93 contrôles | 4 fonctions | Niveaux de risque et obligations par article |
ISO 42001 soutient la préparation au Règlement sur l'IA, mais n'équivaut pas juridiquement à la conformité. Ses contrôles de gestion des risques, de gouvernance des données, de transparence et de supervision humaine se rapprochent étroitement des attentes du Règlement, mais celui-ci ajoute des obligations qu'ISO 42001 ne couvre pas : évaluation de conformité, marquage CE, enregistrement dans la base de données UE, et signalement des incidents graves. ISO 42001 est le socle de système de management, pas un certificat de conformité.
| Attente du Règlement sur l'IA | Se rapproche de ISO 42001 |
|---|---|
| Système de gestion des risques (art. 9) | Clause 6.1 ; Clause 8.2 |
| Données et gouvernance des données (art. 10) | Annexe A.7 |
| Documentation technique (art. 11 / Annexe IV) | Clause 7.5 ; A.6.2 |
| Conservation et journalisation (art. 12) | A.6.2 ; Clause 9 |
| Transparence envers les utilisateurs (art. 13) | Annexe A.8 |
| Supervision humaine (art. 14) | Annexe A.9 ; A.6.2 |
| Exactitude, robustesse, sécurité (art. 15) | Clause 8 ; A.6.2 ; lien ISO 27001 |
| Système de management de la qualité (art. 17) | L'ensemble du SMI (Clauses 4 à 10) |
| Non couvert par ISO 42001 | Évaluation de conformité, marquage CE, enregistrement base UE, signalement incidents graves |
ISO 42001 s'inscrit dans une famille en expansion. ISO/IEC 42005:2025 est la norme d'orientation pour l'évaluation d'impact des systèmes IA ; elle opérationnalise le contrôle A.5 et aide à documenter comment un système IA spécifique, et son usage détourné prévisible, peut affecter les individus et la société. ISO/IEC 42006:2025 fixe les exigences de compétence et de cohérence pour les organismes qui auditent et certifient les SMI, ce qui sous-tend un certificat accrédité. Les deux méritent d'être connus lorsque vous choisissez un auditeur et concevez vos évaluations d'impact.
Acuna vous permet d'exécuter ISO 42001 aux côtés de vos autres référentiels plutôt que comme un projet séparé. Il construit et maintient l'inventaire des systèmes IA, conduit les évaluations des risques et des impacts IA, génère et versionne la Déclaration d'applicabilité, rapproche les contrôles de l'Annexe A des preuves, et maintient les contrôles surveillés pour les audits de surveillance. Les exigences se cartographient une fois et se réutilisent, de sorte qu'une équipe déjà sur ISO 27001 étend vers ISO 42001 efficacement. Consultez comment Acuna rapproche ISO 42001.
EXPLORER
Comment la norme IA et la norme sécurité diffèrent, et si vous avez besoin des deux.
Chaque contrôle, son objectif, et les preuves qu'un auditeur attend.
Ce que chaque clause exige et comment elle est auditée.
Étape 1, étape 2, surveillance, et ce que cela coûte.
Quand utiliser chacun, et comment les combiner.
Comment ISO 42001 se rapproche du Règlement, article par article.
Une checklist en cinq phases, des fondations de gouvernance à la certification.
Comment construire la DDA : le livrable principal de l'audit étape 1.
Utiliser la norme compagnon pour documenter l'impact des systèmes IA.
Ce que les auditeurs recherchent à l'étape 2, et où la plupart des équipes dérapent.
Comment Acuna rapproche et exécute ISO 42001 aux côtés de vos autres référentiels.
COMMENCER
Réservez une démo de 30 minutes adaptée à votre programme de gouvernance IA et aux autres référentiels que vous exécutez.
Comment obtenir la certification, et ce qu'elle coûte
La certification est délivrée par un organisme tiers accrédité après un audit en deux étapes. L'étape 1 examine la documentation ; l'étape 2 teste le système en pratique. Les certificats courent trois ans avec des audits de surveillance annuels. En France, recherchez une accréditation COFRAC ; aux États-Unis ANAB, au Royaume-Uni UKAS, aux Pays-Bas RvA. L'ISO ne certifie pas elle-même. De bout en bout, un programme typique dure trois à neuf mois selon le périmètre et la maturité du système de management existant.
Estimations de coût (les données publiques sont limitées ; à traiter comme des estimations, pas des tarifs officiels) :
Adoption : aucun décompte officiel fiable d'organisations certifiées n'existe. Des estimations tierces placent le total au-delà de 350 mondialement jusqu'en avril 2026.
SE FORMER POUR CERTIFIERAbilene Academy est le seul Partenaire Titanium PECB en Suisse, le plus haut niveau d'accréditation de l'industrie, proposant des formations certifiantes ISO 42001 Lead Implementer et Lead Auditor en présentiel, en ligne et en auto-formation. Programmes multilingues en FR, EN, ES, DE, IT et plus. 99 % Taux de réussite à l'examen · 2 500+ Professionnels formés · 120+ Pays couverts · Titanium Seul Partenaire Titanium PECB en Suisse.
Formation ISO 42001 Lead Implementer →