Blog · Comprendre la norme
Comment démarrer ISO 42001 : premiers pas pour une PME romande
Démarrer ISO 42001 ne commence pas par un outil mais par deux clauses : le 4 cadre le contexte, les rôles IA et les parties prenantes, le 6 organise les risques, les objectifs et le plan. Trois à six mois suffisent pour poser ces fondations avant tout choix de certificateur.
Pourquoi tout démarre aux clauses 4 et 6
La question « comment démarrer ISO 42001 » revient presque toujours avec la même impatience : quel outil acheter, quelle politique rédiger en premier, quel auditeur appeler. C'est l'inverse qu'il faut faire. La norme est un système de management, pas une check-list technique, et les organismes de certification le rappellent : il faut d'abord un SMIA qui fonctionne avant d'envisager un audit de tierce partie[2].
Concrètement, deux clauses portent la phase de démarrage. La clause 4 oblige à comprendre votre organisation, son contexte, vos parties prenantes et le périmètre du système[1]. La clause 6 traduit ce cadrage en risques, opportunités et objectifs mesurables. Les autres clauses, leadership, support, opérations, évaluation, amélioration, ne tiennent que si ces deux-là sont propres.
L'erreur la plus coûteuse, observée dans les démarches qui patinent, est de sauter directement aux contrôles de l'annexe A en espérant gagner du temps. Le résultat tient rarement : sans contexte ni objectifs, les contrôles flottent et l'audit interne révèle des écarts structurels.
Cadrer le contexte et qualifier vos rôles IA
La clause 4.1 demande d'identifier les enjeux internes et externes qui peuvent influer sur votre capacité à atteindre les objectifs du système de management de l'IA[1]. Pour un dirigeant de PME, cela revient à poser quatre questions concrètes, sans jargon.
Premier bloc, les enjeux externes : quelles obligations légales s'appliquent à vos usages d'IA, en Suisse comme à l'export, quelles attentes éthiques portent vos clients, et comment vos concurrents bougent sur ces sujets[1]. Deuxième bloc, les enjeux internes : votre gouvernance actuelle, les engagements contractuels pris envers vos clients et partenaires, et surtout le but réel des systèmes d'IA que vous utilisez ou développez.
La norme exige aussi de qualifier votre rôle vis-à-vis de chaque système d'IA : développeur, fournisseur, intégrateur, utilisateur professionnel ou utilisateur final. Ce point n'est pas cosmétique : les responsabilités diffèrent fortement selon le rôle[1].
Une même PME peut cumuler deux ou trois rôles selon les cas d'usage. Le SMIA doit refléter cette réalité.
Source : analyse du chapitre 4 par un cabinet spécialisé[1].
Exemple romand, à titre d'illustration : une PME industrielle vaudoise qui exploite un outil de maintenance prédictive acheté à un éditeur tiers est, dans la plupart des cas, utilisateur professionnel. Si la même entreprise réentraîne le modèle sur ses propres données et le distribue à ses filiales, elle devient également fournisseur, avec les obligations contractuelles et de transparence associées[1].
Un point souvent négligé : la norme demande d'évaluer si le changement climatique constitue un enjeu pertinent, notamment au regard de l'empreinte énergétique des modèles utilisés[1]. Ce n'est pas une coquetterie, c'est une donnée d'entrée du système qui doit figurer dans votre analyse de contexte.
Parties prenantes et périmètre du SMIA
La clause 4.2 prolonge le cadrage : identifier les parties intéressées qui comptent dans votre écosystème IA, recenser leurs exigences réglementaires, contractuelles, éthiques, techniques et sociales, puis décider lesquelles sont reprises dans le SMIA[1]. Ce tri est un acte de gouvernance, pas un inventaire à la Prévert.
Pour un dirigeant de PME, la liste se construit en quelques heures, à condition de la confronter au réel : clients sous contrat, utilisateurs internes, fournisseurs d'API ou de modèles, autorités sectorielles, voire représentants du personnel quand l'IA touche les décisions RH. Chaque catégorie a une ou deux attentes saillantes, à formuler en termes vérifiables.
Le périmètre du SMIA, défini à la clause 4.3, découle de ces deux exercices. Une organisation peut très bien démarrer avec un périmètre étroit, par exemple un seul produit ou un seul processus métier qui utilise de l'IA, à condition de l'énoncer clairement[1]. Mieux vaut un périmètre serré et tenu qu'une déclaration ambitieuse non couverte par les preuves.
Piège fréquent : copier le périmètre d'un référentiel voisin, par exemple ISO 27001, en pensant gagner du temps. Le SMIA porte sur les systèmes d'IA, pas sur l'information en général. Une cartographie spécifique des cas d'usage IA reste nécessaire, même quand un système de management de la sécurité existe déjà.
Clause 6 : risques, opportunités, objectifs
La clause 6 ferme la boucle de planification. Elle exige d'identifier les risques et opportunités liés aux systèmes d'IA, de planifier des actions pour les traiter, et de fixer des objectifs cohérents avec la politique IA de l'organisation. La logique générale d'un système de management ISO suppose aussi une amélioration continue à partir de ces objectifs[3].
Pour une PME, trois exercices structurent la clause 6. D'abord, une analyse de risques par cas d'usage IA, distincte de l'analyse de risques sécurité, qui couvre équité, transparence, sécurité, vie privée et impact humain[2]. Ensuite, une analyse d'impact du système d'IA sur les personnes et les groupes concernés, qui alimente directement les décisions de traitement. Enfin, la fixation de quelques objectifs mesurables, datés, et rattachés à un responsable.
Les objectifs ne doivent pas être nombreux. Trois à cinq objectifs lisibles valent mieux qu'une page de bonnes intentions. Exemples plausibles, à adapter : taux de cas d'usage IA passés en revue éthique avant mise en production, délai de traitement d'un incident IA, part des fournisseurs IA évalués sur leur conformité.
| Clause | Question à laquelle elle répond |
|---|---|
| 4.1 | Quels enjeux internes et externes pèsent sur notre IA[1] |
| 4.2 | Quelles parties prenantes, quelles exigences retenues[1] |
| 4.3 | Quel périmètre exact pour le SMIA[1] |
| 6.1 | Quels risques, quelles opportunités, quel traitement |
| 6.2 | Quels objectifs IA, mesurables et datés |
Une feuille de route de 90 jours
Une PME qui démarre proprement peut couvrir les fondations en trois mois, sans courir derrière la certification. L'objectif de cette phase n'est pas de produire un classeur de procédures, c'est d'avoir une vision honnête de ce que l'organisation fait avec l'IA et de ce qu'elle veut en faire.
Premier mois, cadrage. Une demi-journée avec la direction pour poser les enjeux 4.1, un atelier transverse pour lister les cas d'usage IA réels, et un travail documentaire pour qualifier les rôles. Sortie attendue : une note de contexte de cinq à dix pages, validée par la direction.
Deuxième mois, parties prenantes et périmètre. Entretiens ciblés avec deux ou trois clients clés, revue des contrats fournisseurs IA, et décision explicite sur le périmètre du SMIA. Sortie attendue : un document de périmètre court, une matrice parties prenantes et exigences, une décision écrite sur le ou les rôles retenus.
Troisième mois, planification. Atelier d'analyse de risques par cas d'usage, esquisse d'objectifs IA et de leurs indicateurs, plan d'action priorisé sur six à douze mois. Sortie attendue : un dossier de planification clause 6 qui tient en vingt pages et qui sert ensuite de référence pour la suite du SMIA.
Cette séquence n'a pas vocation à remplacer un parcours d'implémentation complet, mais elle évite la dérive observée dans les démarches qui sautent ces étapes : un système de management formel mais déconnecté des cas d'usage réels.
Pièges fréquents en phase de démarrage
Premier piège, commander une formation Lead Implementer avant d'avoir cadré le contexte. La formation est utile, des cursus existent en Suisse romande, notamment à Genève et Lausanne, à la date de dernière vérification (mai 2026)[6]. Mais une personne formée qui revient dans une organisation sans contexte clarifié rejoue le programme du cours au lieu de l'adapter à son entreprise.
Deuxième piège, sous-traiter le cadrage à un cabinet sans appropriation interne. Le contexte 4.1, les parties prenantes et la qualification des rôles ne se délèguent pas : un consultant peut animer, structurer, challenger, mais les décisions appartiennent à la direction. Sans cela, l'audit de certification révèle un système sur papier.
Troisième piège, traiter ISO 42001 en vase clos. La norme s'articule avec d'autres référentiels et avec la réglementation. Selon les organismes de certification, le SMIA répond aussi à des obligations légales et contractuelles déjà existantes, notamment en protection des données[2]. Un dirigeant qui démarre gagne à cartographier dès le mois un les obligations RGPD, nLPD et, le cas échéant, AI Act applicables à ses cas d'usage.
Quatrième piège, négliger la communication interne. Les collaborateurs et utilisateurs finaux font partie des parties prenantes au sens de la clause 4.2[1]. Démarrer sans les informer, c'est s'exposer à des résistances dès la phase opérationnelle, en particulier sur les usages d'IA générative diffus dans l'organisation.
Préparer la suite vers la certification
Une fois le cadrage clauses 4 et 6 posé, la suite s'enchaîne plus naturellement : leadership et politique IA, support, opérations, évaluation des performances, amélioration. Les organismes de certification proposent généralement un parcours qui passe par la formation, l'auto-évaluation, l'analyse d'écarts puis la certification proprement dite[2].
À ce stade, et seulement à ce stade, il devient utile de regarder le marché des certificateurs et leur accréditation. ISO 42001 est, selon les organismes de certification, la première norme internationale de système de management de l'IA et la seule à pouvoir être certifiée à ce jour[2], vérifier l'évolution de l'offre accréditée depuis cette date reste prudent.
Les ressources francophones se développent. Des webinaires d'organismes de normalisation, comme celui d'AFNOR BAO programmé en mars 2026 selon leur site[5], et des cursus PECB Foundation, Lead Implementer et Lead Auditor[3] permettent de monter en compétence sans engager de gros budgets dès le départ.
Pour un dirigeant qui doit prouver sa gouvernance IA, la trajectoire raisonnable tient en une phrase : maîtriser d'abord le contexte et la planification, mesurer ensuite l'écart, ne viser la certification qu'une fois le SMIA tenu sur deux ou trois cycles internes. C'est le chemin qui résiste à l'audit, et c'est aussi celui qui produit une vraie gouvernance plutôt qu'un label.
Questions fréquentes
Faut-il être déjà certifié ISO 27001 pour démarrer ISO 42001 ?
Non. Rien dans la norme n'impose une certification préalable. ISO 42001 peut être déployée seule, comme première norme de système de management pour l'IA selon les organismes de certification[2]. Une organisation déjà certifiée 27001 gagne sur la structure documentaire, mais devra de toute façon traiter spécifiquement le contexte IA, les rôles et les risques liés aux systèmes d'IA.
Combien de temps pour passer de zéro à un premier audit ?
Les sources publiques ne donnent pas de durée standard et les durées varient selon la taille et la maturité. Les organismes de certification décrivent un parcours en plusieurs étapes, formation, auto-évaluation, analyse d'écarts, puis audit[2]. Une phase de cadrage clauses 4 et 6 de trois mois, suivie de six à douze mois d'implémentation, reste un ordre de grandeur prudent à confirmer avec un certificateur.
Quel est le livrable minimal après le démarrage ?
Trois documents suffisent pour ancrer la phase initiale : une note de contexte couvrant la clause 4.1, une matrice parties prenantes et exigences au titre de la clause 4.2, et un document de périmètre clause 4.3[1]. S'y ajoute, au titre de la clause 6, une première analyse de risques par cas d'usage et une liste d'objectifs IA datés.
Une PME doit-elle se former en interne ou recourir à un consultant ?
Les deux logiques coexistent. Des formations certifiantes Foundation, Lead Implementer et Lead Auditor existent côté PECB[3] et chez des organismes de formation actifs en Suisse romande à la date de dernière vérification (mai 2026)[6]. Le bon réflexe est de former au moins une personne en interne pour piloter, et de réserver le consultant aux ateliers structurants.
Faut-il traiter le changement climatique dans le SMIA ?
Oui, la norme demande explicitement d'évaluer si le changement climatique constitue un enjeu pertinent pour l'organisation, par exemple via l'empreinte énergétique des modèles d'IA utilisés[1]. Cela ne signifie pas produire un bilan carbone détaillé, mais documenter la réflexion et, le cas échéant, intégrer l'enjeu dans la liste des parties prenantes et des exigences.
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- Exigences de l'ISO 42001, chapitre 4 Contexte de l'organisation, feelagile https://www.feelagile.com/blog/42001-chapitre-4-contexte-de-l-organisation
- ISO/IEC 42001 Système de management de l'IA, DNV https://www.dnv.fr/services/iso-iec-42001-intelligence-artificielle-ia--250876/
- ISO/IEC 42001 Système de management de l'intelligence artificielle, formations PECB https://pecb.com/fr/education-and-certification-for-individuals/iso-iec-42001
- IA et ISO 42001, mettre en place un système de management, AFNOR https://www.afnor.org/evenements/intelligence-artificielle/ia-et-iso-42001-mettre-en-place-un-systeme-de-management/
- ISO 42001 Lead Implementer et Lead Auditor, ACTAGIS https://actagis.ch/fr/actagis-academy/iso-formation-certifiantes/iso-42001/
Dernière vérification : 26 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.