Ressource indépendante · non affiliée à l'ISO/IEC
Blog · Se certifier

Blog · Se certifier

Certification ISO 42001 en Suisse : organismes et SAS

En bref

La certification ISO/IEC 42001 en Suisse s'obtient auprès d'un organisme de certification, idéalement accrédité par le Service d'accréditation suisse (SAS). Le processus suit une logique en deux étapes d'audit, précédée d'une analyse d'écart. Le choix de l'organisme conditionne la reconnaissance du certificat auprès des clients et régulateurs.

Le paysage de la certification ISO 42001 en Suisse

La norme ISO/IEC 42001 a été publiée en décembre 2023 comme premier référentiel international dédié à un SMIA, système de management de l'intelligence artificielle[4]. Sa jeunesse explique une réalité simple, à vérifier à mesure que le marché mûrit, à la date de publication de cet article, juillet 2026 : peu d'organismes de certification disposent encore d'une accréditation formelle pour cette norme, et la Suisse ne fait pas exception.

Pour un dirigeant de PME romande, la question n'est pas seulement d'obtenir un certificat, c'est d'obtenir un certificat qui vaudra quelque chose devant un client grand compte, un partenaire européen ou un régulateur. Cela suppose de comprendre trois éléments : ce qu'est l'accréditation, ce que fait le SAS, et comment un organisme de certification opère concrètement en Suisse.

Le repère utile pour situer la démarche globale est notre page dédiée aux étapes de la certification, qui décrit le parcours complet, du cadrage à la surveillance annuelle. La présente analyse zoome sur la partie helvétique du dispositif.

Le rôle du SAS dans l'accréditation

Le Service d'accréditation suisse, rattaché au SECO, est l'autorité nationale qui accrédite les organismes de certification, d'inspection et les laboratoires opérant en Suisse. Un organisme accrédité par le SAS pour une norme donnée a démontré, sur pièces et sur audit, qu'il maîtrise le référentiel, dispose d'auditeurs compétents et applique un processus d'audit conforme à l'ISO/IEC 17021 pour les systèmes de management.

Pour l'ISO/IEC 42001, l'accréditation est encore en train de se déployer. Selon KPMG Suisse, l'un des premiers organismes accrédités en Europe pour la norme communique explicitement sur son statut d'accréditation, matérialisé par les marques SAS et SCESm apposées sur ses documents[4]. C'est le signal visuel qu'un dirigeant doit chercher, à défaut d'aller consulter le registre officiel du SAS pour vérifier la portée exacte de l'accréditation.

Interprétation : un certificat délivré sans accréditation reste juridiquement valable comme attestation contractuelle, mais il perd une grande partie de sa valeur de preuve devant un tiers exigeant. Nous détaillons cette distinction dans notre analyse certification accréditée ISO 42001 en Suisse.

Ce que couvre concrètement une accréditation

L'accréditation n'est pas un blanc-seing. Elle porte sur une portée précise, exprimée par codes d'activité et par référentiel. Un organisme peut être accrédité pour ISO 27001 sans l'être pour ISO 42001, ce qui reste la situation dominante à la date de rédaction. Vérifier la portée évite le malentendu.

Le SAS publie ses décisions d'accréditation sur son site officiel. Un simple contrôle sur le registre suffit à confirmer qu'un organisme cité par un commercial est bien accrédité pour la norme visée, et non pour un référentiel voisin.

Quels organismes délivrent le certificat en Suisse

Trois catégories d'acteurs se présentent aujourd'hui au dirigeant qui cherche à se faire certifier.

Trois profils d'organismes de certification

Chaque profil implique un niveau de reconnaissance différent, à vérifier au cas par cas.

1Organisme accrédité SAS pour ISO 42001
2Organisme accrédité par un autre membre IAF, opérant en Suisse
3Organisme non accrédité pour la norme

Le profil 1 offre la reconnaissance la plus directe en Suisse ; le profil 2 est reconnu via les accords multilatéraux ; le profil 3 délivre un certificat privé.

KPMG Suisse revendique une position parmi les premiers organismes accrédités en Europe pour l'ISO/IEC 42001, avec les marques SAS et SCESm sur ses documents[4]. D'autres acteurs internationaux comme LRQA proposent la certification ISO 42001 à travers leur réseau mondial[6], tout comme TQCSI qui décrit une approche multi-pays[3]. Ces derniers ne sont pas nécessairement accrédités par le SAS, il faut donc vérifier sous quelle accréditation le certificat serait émis.

Le mot d'ordre : ne pas confondre organisme de formation et organisme de certification. PECB, par exemple, forme des personnes physiques aux rôles de Foundation, Lead Implementer et Lead Auditor[1]. C'est une brique utile de la démarche, mais ce n'est pas un certificat d'organisation. Nous en parlons dans notre article PECB ou BSI, quelle formation choisir.

Le cas particulier des cabinets d'audit-conseil

Certains cabinets, dont KPMG, opèrent à la fois comme conseil et comme organisme de certification via des entités séparées. Les règles d'indépendance de l'ISO/IEC 17021 imposent que ces deux activités ne soient pas exercées par les mêmes équipes pour un même client. Un dirigeant doit poser la question explicitement lors du choix, et exiger la traçabilité de cette séparation.

Le processus d'audit, étape par étape

Le processus de certification ISO 42001 suit la logique éprouvée des normes de systèmes de management, structurée autour du cycle plan-do-check-act décrit par KPMG dans sa présentation de la norme[4]. Concrètement, cela se traduit par une séquence en quatre temps.

D'abord, une analyse d'écart, souvent optionnelle mais recommandée. LRQA la propose explicitement comme service préalable, permettant d'identifier les zones faibles avant l'audit formel[6]. Notre page dédiée à l'analyse d'écart détaille ce que cet exercice couvre.

Ensuite vient l'audit de certification en deux phases. LRQA décrit une approche en deux étapes, standard pour ce type de norme[6]. La phase 1 vérifie la maturité documentaire du SMIA, la phase 2 teste sur le terrain l'application effective des processus, contrôles et enregistrements.

Le certificat est valable typiquement trois ans, avec audits de surveillance annuels et renouvellement complet en fin de cycle. Cette cadence est un dénominateur commun des normes ISO de systèmes de management, à confirmer contractuellement avec l'organisme choisi.

Ce que l'auditeur regarde vraiment

L'auditeur ne se contente pas de lister des documents. Il vérifie que l'analyse d'impact a été menée sur les systèmes d'IA effectivement en production, que la déclaration d'applicabilité justifie les exclusions de contrôles de l'annexe A, et que la revue de direction discute des risques IA identifiés. Les composantes que KPMG résume, à savoir gouvernance, gestion des risques, principes éthiques, monitoring continu et engagement des parties prenantes, sont autant de zones d'inspection[4].

Un exemple concret pour une PME romande. Un éditeur logiciel genevois qui commercialise un outil d'aide à la décision utilisant du machine learning devra montrer, en phase 2, comment sa cartographie des cas d'usage est tenue à jour, comment les biais sont testés avant mise en production, et comment les incidents remontent au comité de gouvernance IA. La forme importe moins que la preuve de fonctionnement.

Critères de choix pour une PME romande

Choisir son organisme n'est pas un exercice de shopping, c'est un arbitrage entre reconnaissance, expertise et coût. Notre page choisir l'organisme de certification pose le cadre général. Voici les critères qui pèsent le plus pour une structure romande de taille moyenne.

Critères de choix d'un organisme de certification ISO 42001
CritèrePoint de vigilance
AccréditationVérifier la portée exacte au registre du SAS ou d'un membre IAF équivalent[4]
Présence localeAuditeur francophone, connaissance du contexte romand et de la nLPD
Expertise IAAuditeurs formés spécifiquement à l'ISO 42001, pas seulement à ISO 27001
Réseau internationalUtile si la reconnaissance UE ou US est attendue par les clients[6]
Séparation conseil-auditDocumenter la muraille de Chine si l'organisme fait aussi du conseil

Le coût varie en fonction du périmètre, du nombre de collaborateurs et du nombre de systèmes d'IA à inclure dans le champ. Nous donnons des ordres de grandeur dans notre analyse coût et délai de la certification. Un dirigeant prudent demande au moins deux offres comparables sur périmètre identique.

Question sous-jacente : faut-il attendre qu'un organisme suisse soit accrédité SAS pour se lancer ? Pas forcément. Selon KPMG, un acteur helvétique est déjà positionné[4], et d'autres suivront. Mieux vaut aligner le calendrier de mise en conformité avec la maturité du marché, sans précipitation ni retard stratégique. Pour un cadrage préalable, notre article comment démarrer ISO 42001 pour une PME romande propose un point de départ.

Pièges fréquents et angles morts

Le premier piège, observé dans les démarches naissantes autour de la norme : confondre certificat de personne et certificat d'organisation. Un collaborateur Lead Implementer PECB[1] est un atout, pas un certificat pour l'entreprise. Certaines communications commerciales entretiennent cette confusion.

Le deuxième piège : accepter un certificat émis sans accréditation en pensant que cela équivaut à une certification accréditée. La distinction est nette et documentée par le hub de comparaison entre ISO 42001 et les autres référentiels. Un acheteur averti demandera systématiquement la copie du certificat d'accréditation de l'organisme.

Le troisième piège : sous-estimer l'articulation avec l'AI Act européen. Une PME romande qui vend en UE devra prouver sa conformité au règlement, et l'ISO 42001 est un outil d'alignement, pas une équivalence automatique. Notre analyse détaillée figure dans ISO 42001 et conformité AI Act, à recouper avec la source officielle du règlement.

Le quatrième piège : lancer la démarche sans avoir cartographié ses systèmes d'IA. Sans inventaire, pas d'appréciation des risques, pas de déclaration d'applicabilité défendable, pas d'audit favorable. Le hub risques et conformité couvre cette étape amont.

Dernier point de vigilance, propre au contexte suisse : la nLPD s'applique en parallèle du référentiel ISO. L'auditeur ne l'auditera pas explicitement, mais il vérifiera que le SMIA prend en compte les obligations légales identifiées par l'organisation, dont la protection des données. Notre page ISO 42001 et nLPD suisse traite cette articulation.

Questions fréquentes

Un organisme non accrédité par le SAS peut-il délivrer un certificat ISO 42001 valable en Suisse ?

Techniquement oui, un certificat privé reste un document contractuel opposable. Mais il perd sa valeur de preuve devant un tiers exigeant. Selon KPMG, l'accréditation formelle par le SAS, matérialisée par les marques officielles, est ce qui verrouille la reconnaissance en Suisse[4]. Vérifier la portée exacte au registre du SAS reste la seule garantie.

Combien de temps prend une certification ISO 42001 pour une PME ?

Le processus type comporte une analyse d'écart optionnelle puis un audit en deux phases décrit par LRQA[6]. Compter généralement six à douze mois entre le lancement de la démarche et la remise du certificat, selon la maturité initiale du SMIA. Notre page dédiée au coût et délai donne des repères plus précis à confirmer avec chaque organisme.

Faut-il déjà être certifié ISO 27001 pour viser ISO 42001 ?

Non, il n'y a pas de préalable formel. ISO 42001 est un référentiel autonome de gestion d'un système d'IA[4]. Mais une base ISO 27001 mature facilite la démarche, car de nombreux contrôles de gouvernance, gestion documentaire et revue se recoupent. Notre article dédié aux différences et complémentarités entre les deux normes détaille les passerelles.

Le certificat individuel PECB Lead Auditor certifie-t-il mon entreprise ?

Non. Les certifications PECB, qu'il s'agisse de Foundation, Lead Implementer ou Lead Auditor, attestent de la compétence d'une personne physique[1]. La certification d'une organisation à l'ISO 42001 est délivrée par un organisme de certification distinct, à l'issue d'un audit du système de management. Les deux démarches sont complémentaires mais ne se substituent pas.

Comment vérifier qu'un organisme est bien accrédité pour l'ISO 42001 en Suisse ?

Le SAS publie ses décisions d'accréditation sur son site officiel, avec la portée détaillée par norme. Un contrôle direct sur le registre confirme si l'organisme est accrédité spécifiquement pour l'ISO/IEC 42001, et non pour un référentiel voisin comme ISO 27001. À défaut, demander à l'organisme la copie de son certificat d'accréditation en cours de validité.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

Sources
  1. ISO/IEC 42001 Training Courses, PECB https://pecb.com/en/education-and-certification-for-individuals/iso-iec-42001
  2. ISO 42001 Certification, TQCSI https://www.tqcsi.com/certification-of-standards/iso-42001-certification-artificial-intelligence-management-systems
  3. ISO/IEC 42001 AI Management System, KPMG Switzerland https://kpmg.com/ch/en/insights/artificial-intelligence/iso-iec-42001.html
  4. ISO 42001 AI Management System Certification, LRQA https://www.lrqa.com/en/iso-42001-ai-management-system-certification/

Dernière vérification : 1 juillet 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.