Blog · Se certifier
Certification accréditée ISO/IEC 42001 en Suisse : ce que votre organisme de certification doit prouver
Une certification ISO/IEC 42001 n'a pas la même valeur selon que l'organisme qui la délivre est accrédité ou non. En Suisse, le Service d'accréditation suisse (SAS) n'a pas encore accrédité d'organisme pour cette norme. Les entreprises doivent donc choisir un certificateur accrédité par un organisme d'accréditation reconnu à l'international.
Accréditation et certification : deux niveaux distincts
La confusion entre accréditation et certification reste fréquente, y compris chez des dirigeants rompus aux normes ISO. La distinction est pourtant nette. La certification est l'acte par lequel un organisme tiers atteste qu'une organisation satisfait aux exigences d'une norme donnée. L'accréditation, elle, est la reconnaissance formelle qu'un organisme de certification possède la compétence technique pour délivrer cette certification.
Autrement dit, l'accréditation est le contrôle du contrôleur. Un organisme de certification accrédité a lui-même été audité par un organisme national d'accréditation, qui vérifie ses processus, la qualification de ses auditeurs et son impartialité. Sans accréditation, rien n'empêche un cabinet de délivrer un certificat, mais la valeur de ce document auprès de vos partenaires, régulateurs ou clients sera contestable.
Pour la norme ISO/IEC 42001, publiée en décembre 2023[4], cette distinction prend une importance particulière. Le marché de la certification IA est jeune. Plusieurs organismes ont commencé à délivrer des certificats avant même d'obtenir une accréditation spécifique à cette norme[3].
État de l'accréditation ISO/IEC 42001 dans le monde
L'accréditation pour ISO/IEC 42001 se déploie progressivement. Parmi les organismes d'accréditation ayant ouvert un programme spécifique, l'ANAB (ANSI National Accreditation Board, États-Unis) figure parmi les premiers. L'ANAB propose une accréditation dédiée aux systèmes de management de l'IA selon ISO/IEC 42001[1]. Le Singapore Accreditation Council (SAC) a également accrédité des organismes pour cette norme[3].
SGS, l'un des plus grands organismes de certification au monde et dont le siège est à Genève, a obtenu l'accréditation ANAB et SAC pour ISO/IEC 42001[3]. SGS a délivré ce qu'il présente comme le premier certificat ISO/IEC 42001 accrédité au monde en février 2025[3]. Depuis, l'organisme a certifié des entreprises dans de nombreux pays, du Japon à l'Arabie saoudite en passant par l'Allemagne et le Royaume-Uni[3].
Ce panorama montre que l'accréditation existe, mais qu'elle reste concentrée sur un petit nombre d'organismes nationaux d'accréditation. Le paysage évolue rapidement et il convient de vérifier l'état des accréditations au moment de votre démarche.
Situation en Suisse et rôle du SAS
Le Service d'accréditation suisse (SAS), rattaché au Secrétariat d'État à l'économie (SECO), est l'organisme national d'accréditation de la Confédération. C'est lui qui accrédite les laboratoires d'essai, les organismes d'inspection et les organismes de certification actifs en Suisse pour les normes ISO de systèmes de management (ISO 9001, ISO 27001, etc.).
À la date de publication de cet article (mai 2026), aucune source du présent dossier ne confirme que le SAS a ouvert un programme d'accréditation spécifique pour ISO/IEC 42001. Cette absence ne signifie pas que la certification est impossible en Suisse. Elle signifie que les organismes de certification opérant sur le territoire helvétique s'appuient, pour l'instant, sur des accréditations délivrées par des organismes étrangers reconnus, comme l'ANAB[1] ou le SAC[3].
Pour un dirigeant de PME suisse, la conséquence pratique est la suivante : vous pouvez obtenir une certification ISO/IEC 42001 accréditée en Suisse, mais le sceau d'accréditation figurant sur votre certificat sera vraisemblablement celui de l'ANAB ou du SAC, et non celui du SAS. Cette situation est comparable à ce qui s'est produit lors des premières années d'ISO 27001, où l'accréditation UKAS (Royaume-Uni) dominait avant que les organismes nationaux ne développent leurs propres programmes.
Nous recommandons de consulter le registre officiel du SAS (sas.admin.ch) pour vérifier si un programme ISO/IEC 42001 a été ouvert depuis la rédaction de ces lignes.
Choisir un organisme accrédité pour votre PME
Le choix de l'organisme de certification est une décision qui engage votre entreprise pour un cycle de trois ans (certification initiale, puis audits de surveillance annuels). Plusieurs critères méritent votre attention.
Vérifier l'accréditation effective
Demandez à l'organisme candidat de vous fournir la preuve de son accréditation pour ISO/IEC 42001 spécifiquement. Un organisme accrédité pour ISO 27001 ne l'est pas automatiquement pour ISO/IEC 42001. SGS, par exemple, distingue clairement ses accréditations ANAB et SAC pour cette norme[3]. Vous pouvez vérifier l'accréditation ANAB dans le répertoire en ligne de l'ANAB[3].
Évaluer la compétence sectorielle
ISO/IEC 42001 s'applique à toute organisation, quelle que soit sa taille ou son secteur, qui développe, fournit ou utilise des produits ou services basés sur l'IA[4]. Toutefois, un auditeur qui comprend les spécificités de votre domaine (finance, santé, industrie) posera des questions plus pertinentes lors de l'audit et formulera des constats plus utiles pour votre amélioration continue.
Considérer la proximité géographique
Pour une PME romande, un organisme disposant d'auditeurs francophones et basés en Suisse réduira les coûts de déplacement et facilitera la communication. KPMG Suisse propose des services liés à ISO/IEC 42001 depuis la Suisse[2]. SGS, dont le siège mondial est à Genève, dispose également d'une présence locale[3].
| Critère | Ce qu'il faut vérifier |
|---|---|
| Accréditation ISO/IEC 42001 | Preuve d'accréditation spécifique (ANAB, SAC ou autre organisme reconnu) |
| Compétence IA | Qualification des auditeurs en systèmes d'IA, pas seulement en systèmes de management |
| Expérience sectorielle | Références dans votre domaine d'activité |
| Présence locale | Auditeurs francophones, réduction des frais de déplacement |
| Reconnaissance internationale | Acceptation du certificat par vos clients et partenaires étrangers |
Déroulement de l'audit de certification
Le processus de certification ISO/IEC 42001 suit la structure classique des audits de systèmes de management ISO, en deux étapes[4]. Avant l'audit formel, certains organismes proposent une pré-évaluation ou une analyse d'écarts (gap assessment) pour identifier les points à corriger[3].
Étape 1 : revue documentaire
L'auditeur examine la documentation de votre SMIA (système de management de l'intelligence artificielle). Il vérifie que le périmètre est défini, que les politiques sont documentées, que l'évaluation des risques liés à l'IA a été conduite et que les contrôles de l'Annexe A sont traités dans votre déclaration d'applicabilité[4]. Cette étape permet de déterminer si votre organisation est prête pour l'audit sur site.
Étape 2 : audit sur site
L'auditeur vérifie sur le terrain que ce qui est documenté est effectivement appliqué. Il s'entretient avec les collaborateurs, examine les enregistrements, observe les processus. Pour ISO/IEC 42001, cela inclut la gestion du cycle de vie des systèmes d'IA, la gouvernance des données, les mécanismes de surveillance continue et la gestion des fournisseurs tiers[2].
Du premier contact à la délivrance du certificat, le parcours suit généralement ces étapes.
Le cycle de certification dure trois ans, avec renouvellement par un audit complet.
La durée de l'audit varie selon la taille de l'organisation, le périmètre de ses systèmes d'IA et sa maturité en matière de gouvernance[4]. Pour une PME romande utilisant deux ou trois systèmes d'IA dans ses opérations, comptez typiquement quelques jours d'audit répartis sur les deux étapes. Ce chiffre est une estimation qualitative, la durée exacte étant fixée par l'organisme de certification en fonction de son calcul de jours-auditeur.
Ce qu'une certification accréditée apporte concrètement
Pourquoi insister sur le caractère accrédité de la certification ? La réponse tient en trois dimensions : crédibilité, conformité réglementaire et accès aux marchés.
Crédibilité auprès des parties prenantes
Une certification accréditée signifie que l'organisme qui vous a audité a lui-même été contrôlé par une autorité indépendante. Cela renforce la confiance de vos clients et partenaires[3]. Pour une PME suisse travaillant avec des donneurs d'ordre européens, cette crédibilité peut faire la différence lors d'un appel d'offres.
Alignement avec le cadre réglementaire européen
Le Règlement européen sur l'IA (EU AI Act) impose des obligations de conformité croissantes. ISO/IEC 42001 permet d'intégrer les exigences de l'EU AI Act et du NIST AI Risk Management Framework dans votre réalité opérationnelle[3]. KPMG Suisse souligne que pour les entreprises helvétiques, la gouvernance de l'IA est d'autant plus importante que l'EU AI Act et les réglementations mondiales exigent une conformité plus stricte[2].
La Suisse n'est pas directement soumise à l'EU AI Act, mais les entreprises suisses qui fournissent des services ou des produits sur le marché européen doivent s'y conformer. Une certification ISO/IEC 42001 accréditée constitue un signal fort de conformité volontaire.
Bénéfices opérationnels
Au-delà de la conformité, la certification structure votre gestion des risques IA. Elle vous pousse à identifier et évaluer les risques spécifiques à vos systèmes (biais, protection des données, responsabilité), à documenter vos processus de cycle de vie et à instaurer une surveillance continue[2]. SGS mentionne également des gains d'efficacité et des économies liés à la rationalisation de la gestion des risques et de la qualité des données[3].
Pièges fréquents lors du choix d'un certificateur
Plusieurs erreurs reviennent régulièrement chez les organisations qui se lancent dans la certification ISO/IEC 42001. Les identifier en amont vous épargnera du temps et de l'argent.
Confondre conseil et certification
Un organisme de certification accrédité ne peut pas à la fois vous accompagner dans la construction de votre SMIA et vous certifier. C'est un principe d'impartialité. Si un prestataire vous propose les deux dans un même contrat, vérifiez que les activités de conseil et d'audit sont strictement séparées, ou choisissez deux prestataires distincts. KPMG Suisse, par exemple, propose des services de certification[2], ce qui implique que le conseil en amont doit être géré avec les garde-fous d'indépendance appropriés.
Se contenter d'un certificat non accrédité
Certains organismes délivrent des certificats ISO/IEC 42001 sans accréditation spécifique. Le certificat existe, mais sa reconnaissance est limitée. SGS a délivré ses premiers certificats ISO/IEC 42001 dès octobre 2023, avant d'obtenir l'accréditation formelle qui n'est venue qu'en février 2025[3]. Cela illustre que même les grands acteurs ont traversé une période de certification non accréditée. Si vous êtes dans une démarche de preuve vis-à-vis de régulateurs ou de clients exigeants, assurez-vous que le certificat porte la marque d'un organisme d'accréditation reconnu.
Négliger le périmètre de certification
ISO/IEC 42001 couvre les organisations qui développent, fournissent ou utilisent des systèmes d'IA[4]. Le périmètre de votre certification doit refléter votre réalité. Certifier uniquement un département pilote peut être un bon point de départ, mais vos partenaires voudront savoir ce que le certificat couvre exactement. Définissez un périmètre cohérent dès le départ, quitte à l'élargir ensuite.
Oublier l'amélioration continue
La certification n'est pas un événement ponctuel. La norme repose sur le cycle Planifier-Réaliser-Vérifier-Agir (PDCA)[2][4]. Après la certification initiale, vous serez soumis à des audits de surveillance annuels et à un audit de renouvellement au bout de trois ans. Votre SMIA doit vivre, s'adapter aux évolutions réglementaires et intégrer les retours d'expérience. Une PME qui obtient son certificat puis gèle son système s'expose à des non-conformités lors du premier audit de surveillance.
Exemple concret pour une PME romande
Prenons le cas d'une PME de 80 collaborateurs basée dans l'Arc lémanique, qui développe un outil de scoring crédit intégrant du machine learning. Cette entreprise vend ses services à des banques soumises à la FINMA et à des clients dans l'UE. Pour elle, la question n'est pas de savoir si la certification ISO/IEC 42001 est utile, mais quel organisme choisir.
Elle pourrait s'adresser à SGS, présent à Genève et accrédité ANAB et SAC pour ISO/IEC 42001[3]. Le certificat porterait la marque d'accréditation ANAB, reconnue internationalement. Ses clients bancaires européens, sensibilisés à l'EU AI Act, y verraient une preuve tangible de gouvernance IA[2]. L'analyse d'impact des systèmes d'IA, exigée par la norme, renforcerait par ailleurs sa gestion des risques de biais dans le scoring crédit[2].
Questions fréquentes
Peut-on obtenir une certification ISO/IEC 42001 accréditée en Suisse aujourd'hui ?
Oui, mais l'accréditation ne provient pas (encore) du SAS. Des organismes comme SGS opèrent en Suisse avec une accréditation ANAB (États-Unis) et SAC (Singapour) pour ISO/IEC 42001[3]. Le certificat est reconnu internationalement. Vérifiez le registre du SAS pour tout changement récent.
Quelle est la différence entre un certificat accrédité et non accrédité ?
Un certificat accrédité est délivré par un organisme dont la compétence a été vérifiée par une autorité nationale d'accréditation. Un certificat non accrédité peut être techniquement valable, mais sa reconnaissance par les régulateurs et partenaires commerciaux est moindre. SGS a d'abord délivré des certificats non accrédités avant d'obtenir son accréditation en 2025[3].
Combien de temps dure le processus de certification ISO/IEC 42001 ?
Le processus suit un audit initial en deux étapes : revue documentaire puis vérification sur site[4]. La durée dépend de la taille de l'organisation et du périmètre IA. Une pré-évaluation optionnelle permet d'identifier les écarts avant l'audit formel[3]. Le certificat est valable trois ans, avec des audits de surveillance annuels.
ISO/IEC 42001 aide-t-elle à se conformer à l'EU AI Act ?
La norme permet d'intégrer les exigences de l'EU AI Act dans votre système de management[3]. KPMG Suisse souligne que pour les entreprises helvétiques, cette norme est d'autant plus pertinente que les réglementations européennes et mondiales exigent une conformité accrue[2]. La certification ne vaut pas conformité automatique, mais elle structure la démarche.
Quels organismes d'accréditation reconnaissent ISO/IEC 42001 ?
L'ANAB (ANSI National Accreditation Board, États-Unis) propose un programme d'accréditation dédié à ISO/IEC 42001[1]. Le Singapore Accreditation Council (SAC) a également accrédité des organismes pour cette norme[3]. D'autres organismes nationaux pourraient ouvrir des programmes à mesure que la demande croît.
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- ANAB – ISO/IEC 42001: Artificial Intelligence Management Systems Accreditation https://anab.ansi.org/accreditation/iso-iec-42001-artificial-intelligence-management-systems/
- KPMG Suisse – ISO/IEC 42001: AI Management System for Governance https://kpmg.com/ch/en/insights/artificial-intelligence/iso-iec-42001.html
- SGS – ISO/IEC 42001 Certification: Artificial Intelligence Management System https://www.sgs.com/en/services/iso-iec-42001-certification-artificial-intelligence-ai-management-system
- Lazarus Alliance – Audits et certification ISO/IEC 42001 https://lazarusalliance.com/fr/services/conformit%C3%A9-des-audits/Audits-ISO-42001/
Dernière vérification : 25 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.