Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Blog · Comparatifs et mapping

Blog · Comparatifs et mapping

ISO 42001 et AI Act : que couvre la norme, que couvre le règlement, et où sont les trous

Par David Zbinden Dernière vérification : 26 mai 2026
En bref

L'AI Act impose des obligations légales contraignantes aux fournisseurs et déployeurs de systèmes d'IA dans l'UE. L'ISO 42001 fournit un cadre volontaire de gouvernance interne. Leur recouvrement atteint environ 40 à 50 % des exigences de haut niveau, mais chacun couvre des zones que l'autre ignore.

Règlement contraignant contre norme volontaire

La distinction la plus nette entre les deux textes tient en une phrase. L'AI Act, adopté en 2024, est un règlement européen contraignant qui s'applique à toute organisation développant ou déployant un système d'IA sur le marché de l'UE, quel que soit son siège[5]. L'ISO/IEC 42001, publiée en décembre 2023, est une norme internationale volontaire qui aide les organisations à concevoir et à faire fonctionner un système de management de l'intelligence artificielle (SMIA)[3].

Concrètement, l'AI Act impose des sanctions en cas de non-conformité, tandis que l'ISO 42001 propose un cadre de gouvernance structuré fondé sur l'amélioration continue[5]. Une entreprise peut très bien être certifiée ISO 42001 et ne pas satisfaire à toutes les obligations de l'AI Act, et inversement.

Pour les entreprises suisses, cette distinction a des conséquences directes. Toute société qui fournit un service intégrant de l'IA à des clients dans l'UE tombe sous le périmètre de l'AI Act. L'ISO 42001, elle, s'adresse à toute organisation, quelle que soit sa taille ou sa localisation[3]. Selon KPMG Suisse, la gouvernance de l'IA est particulièrement critique pour les entreprises helvétiques face aux exigences croissantes de l'AI Act et des réglementations mondiales[1].

Approche par le risque contre approche par le cycle de vie

L'AI Act classe les systèmes d'IA selon quatre niveaux de risque : inacceptable, élevé, limité et minimal. Chaque catégorie entraîne des obligations différentes, les systèmes à haut risque étant soumis à des exigences strictes en matière de transparence, de gouvernance des données, de supervision humaine et de cybersécurité[5].

L'ISO 42001 ne procède pas par catégories de risque réglementaires. Elle organise la gouvernance autour du cycle de vie complet des systèmes d'IA selon le modèle Plan-Do-Check-Act (PDCA). L'accent porte sur l'analyse des parties prenantes, l'engagement de la direction, le contrôle opérationnel et l'évaluation des performances[5].

Dit autrement, l'AI Act vous dit « ce système est-il à haut risque, et si oui, que devez-vous faire ? ». L'ISO 42001 vous demande « comment gérez-vous l'ensemble de vos systèmes d'IA, de la conception au retrait ? ». Les deux questions sont complémentaires, mais elles ne se recouvrent pas entièrement.

Zones de recouvrement (40 à 50 %)

Selon l'analyse de Vanta, le recouvrement entre les exigences de haut niveau de l'AI Act et celles de l'ISO 42001 se situe entre 40 et 50 %[6]. Ce chiffre donne un ordre de grandeur utile, mais il mérite d'être précisé domaine par domaine.

Domaines de recouvrement entre AI Act et ISO 42001
DomaineAI ActISO 42001
Gouvernance des donnéesExigences de catégorisation et de détection des biais (article 10)[6]Détection et atténuation des biais, rôles définis pour la supervision du SMIA[6]
Gestion des risquesClassification en quatre catégories avec obligations par niveau[6]Cadre d'évaluation des risques pour catégoriser et gérer les risques des systèmes d'IA[6]
Supervision humaineObligation de concevoir les systèmes avec une supervision humaine (article 14)[6]Documentation détaillée des processus d'IA pour faciliter la transparence et la supervision[6]
ÉthiqueUtilisation équitable, atténuation des biais, prévention des effets nuisibles[6]Gouvernance éthique : équité, transparence, responsabilité[6]

Le tableau montre que les deux cadres partagent des préoccupations similaires, mais les formulent différemment. L'AI Act prescrit des obligations précises (article par article). L'ISO 42001 définit des objectifs de management à atteindre, en laissant à l'organisation le choix des moyens.

Ce que l'AI Act couvre et pas la norme

Plusieurs exigences de l'AI Act n'ont pas d'équivalent direct dans l'ISO 42001. Les plus significatives concernent les interdictions absolues. L'AI Act interdit certaines pratiques d'IA jugées à risque inacceptable, comme la notation sociale généralisée. La norme ISO ne contient pas de liste de pratiques prohibées[5].

L'AI Act impose également l'enregistrement des systèmes à haut risque dans une base de données européenne, la réalisation d'évaluations de conformité spécifiques et la déclaration d'incidents[5]. Ces mécanismes de surveillance réglementaire sont propres à un cadre juridique et ne figurent pas dans une norme de management.

Autre différence notable : les sanctions. L'AI Act prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial[5]. L'ISO 42001, par nature, ne prévoit aucune pénalité juridique.

Pour un responsable conformité, cela signifie qu'un SMIA certifié ne dispense pas de vérifier, système par système, si les obligations spécifiques de l'AI Act sont remplies.

Ce que l'ISO 42001 couvre et pas le règlement

À l'inverse, l'ISO 42001 traite des dimensions que l'AI Act n'aborde pas ou seulement en surface. La norme exige un engagement formel de la direction, la définition d'objectifs de management de l'IA, une planification des ressources et une revue de direction périodique[1]. L'AI Act ne prescrit pas de système de management interne structuré.

L'ISO 42001 couvre aussi la gestion des fournisseurs tiers de systèmes d'IA et la gouvernance du cycle de vie complet, y compris le retrait d'un système[1]. L'AI Act définit des obligations pour les fournisseurs et les déployeurs, mais ne fournit pas de cadre opérationnel pour gérer la relation entre les deux au quotidien.

Enfin, la norme intègre un mécanisme d'amélioration continue (PDCA) qui oblige l'organisation à réévaluer régulièrement ses pratiques[3]. L'AI Act fixe des obligations, mais ne structure pas la manière dont une organisation progresse dans le temps.

Rôles et responsabilités : deux logiques différentes

L'AI Act définit des rôles réglementaires précis. Il distingue les « fournisseurs » (providers), qui développent ou font développer un système d'IA, et les « déployeurs » (deployers), qui l'utilisent dans un contexte professionnel. Chaque rôle porte des obligations distinctes. Les déployeurs de systèmes à haut risque doivent notamment assurer la supervision, conserver les journaux et informer les utilisateurs[5].

L'ISO 42001 adopte une logique différente. Elle demande à l'organisation de définir elle-même les rôles, responsabilités et ressources nécessaires à la gestion de son SMIA. L'accent porte sur la responsabilité interne et la capacité à être audité, plutôt que sur le reporting réglementaire[5].

En pratique, une organisation qui a déjà cartographié ses rôles selon l'ISO 42001 devra tout de même vérifier que cette cartographie correspond aux définitions réglementaires de l'AI Act. Les termes « fournisseur » et « déployeur » au sens de l'AI Act ne recouvrent pas nécessairement les rôles définis dans le SMIA.

Certification ISO contre évaluation de conformité AI Act

Les deux cadres prévoient des mécanismes de vérification, mais de nature très différente. La certification ISO 42001 est délivrée par un organisme de certification accrédité, après un audit indépendant. Le certificat est valable trois ans[6]. Microsoft, par exemple, a fait certifier plusieurs de ses services d'IA (dont Microsoft 365 Copilot et GitHub Copilot) selon cette norme[7].

L'AI Act, lui, exige par défaut une auto-évaluation de conformité. Seuls les systèmes à haut risque nécessitent une évaluation par un organisme notifié (notified body)[6]. Les deux processus ne sont pas interchangeables : un certificat ISO 42001 ne vaut pas évaluation de conformité au sens de l'AI Act, et une évaluation de conformité AI Act ne couvre pas le périmètre d'un SMIA.

Cela dit, disposer d'un SMIA certifié facilite la préparation de l'évaluation de conformité AI Act, car une partie de la documentation, des processus de gestion des risques et des mécanismes de traçabilité sont déjà en place.

Stratégie d'alignement pour une organisation suisse

Pour une entreprise basée en Suisse romande qui exporte des services intégrant de l'IA vers l'UE, la question n'est pas « AI Act ou ISO 42001 ? » mais « comment articuler les deux ? ». Les deux cadres ne s'excluent pas mutuellement. L'ISO 42001 peut servir de système de gouvernance qui soutient la conformité à l'AI Act[5].

Une démarche pragmatique consiste à partir du SMIA comme socle organisationnel, puis à y greffer les obligations spécifiques de l'AI Act. Voici une séquence observable dans les démarches structurées :

  • Cartographier les systèmes d'IA et leur classification de risque selon l'AI Act
  • Établir le SMIA selon l'ISO 42001 avec les contrôles de l'Annexe A
  • Identifier les écarts entre les contrôles du SMIA et les obligations AI Act par niveau de risque
  • Compléter le SMIA avec les exigences AI Act non couvertes (enregistrement, évaluation de conformité, déclaration d'incidents)
  • Documenter la correspondance dans une déclaration d'applicabilité élargie

Cette approche évite de construire deux systèmes parallèles. Les organisations qui adoptent l'ISO 42001 peuvent opérationnaliser de nombreuses exigences de l'AI Act, notamment en matière de transparence, de traçabilité et de surveillance continue[5].

Exemple concret : une PME genevoise éditrice de logiciel RH

Prenons le cas fictif d'une PME genevoise qui développe un outil de présélection de candidatures par IA, vendu à des entreprises clientes dans l'UE. Selon la classification de l'AI Act, un tel système relève du haut risque (systèmes d'IA utilisés dans l'emploi et la gestion des travailleurs). L'entreprise doit donc réaliser une évaluation de conformité, tenir un registre et respecter les exigences de transparence et de supervision humaine.

Si cette PME a déjà déployé un SMIA conforme à l'ISO 42001, elle dispose d'une analyse d'impact de ses systèmes d'IA, d'un registre des risques, de politiques documentées et d'un processus de revue. Il lui reste à compléter ces éléments avec les obligations spécifiques de l'AI Act : enregistrement dans la base de données européenne, évaluation de conformité par un organisme notifié et procédure de déclaration d'incidents.

Piège fréquent : croire que la certification suffit

L'observation la plus courante dans les démarches de conformité IA tient en un malentendu. Certaines organisations considèrent qu'un certificat ISO 42001 démontre automatiquement la conformité à l'AI Act. Ce n'est pas le cas.

La certification ISO 42001 atteste qu'une organisation a mis en place un système de management conforme aux exigences de la norme. Elle ne vérifie pas, système par système, si chaque obligation de l'AI Act est remplie. La norme ne contient ni la classification par niveaux de risque, ni les obligations d'enregistrement, ni les seuils de sanctions prévus par le règlement européen[5][6].

Inversement, une organisation qui se contente de cocher les cases de l'AI Act sans structurer sa gouvernance interne risque de ne pas pouvoir démontrer, dans la durée, qu'elle maintient ses pratiques. L'AI Act fixe des obligations ponctuelles (enregistrement, évaluation). L'ISO 42001 impose un cycle d'amélioration continue[3].

Le conseil pratique : traitez le certificat ISO 42001 comme une preuve de maturité organisationnelle, pas comme un substitut à l'analyse réglementaire. Et traitez la conformité AI Act comme une obligation juridique qui nécessite un socle de gouvernance pour être maintenue dans le temps.

Questions fréquentes

L'ISO 42001 garantit-elle la conformité à l'AI Act ?

Non. L'ISO 42001 est une norme volontaire de management, pas un certificat de conformité réglementaire. Le recouvrement entre les deux cadres se situe entre 40 et 50 % des exigences de haut niveau[6]. Les obligations spécifiques de l'AI Act (enregistrement, évaluation de conformité, sanctions) ne sont pas couvertes par la norme[5].

Une entreprise suisse est-elle soumise à l'AI Act ?

Oui, si elle développe ou déploie un système d'IA mis sur le marché ou utilisé dans l'UE, quel que soit son siège[5]. Pour les entreprises suisses exportant vers l'UE, la gouvernance de l'IA est particulièrement critique selon KPMG Suisse[1].

Quelles sanctions prévoit l'AI Act par rapport à l'ISO 42001 ?

L'AI Act prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial[5]. L'ISO 42001, en tant que norme volontaire, ne prévoit aucune pénalité juridique. La perte du certificat en cas de non-conformité lors d'un audit de surveillance reste la seule conséquence directe[6].

Par quoi commencer : ISO 42001 ou conformité AI Act ?

L'ISO 42001 peut servir de socle de gouvernance soutenant la conformité à l'AI Act[5]. Partir du SMIA permet de structurer la gestion des risques, la documentation et la traçabilité, puis de compléter avec les obligations réglementaires spécifiques (enregistrement, évaluation de conformité, déclaration d'incidents).

Le certificat ISO 42001 est-il reconnu par les autorités européennes ?

L'AI Act prévoit par défaut une auto-évaluation, sauf pour les systèmes à haut risque qui nécessitent une évaluation par un organisme notifié[6]. Le certificat ISO 42001 n'est pas un substitut à cette évaluation, mais il peut faciliter la démonstration de la maturité organisationnelle en matière de gouvernance de l'IA.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

Se certifierFaut-il un consultant ISO 42001 pour se certifier ? Ce que vous pouvez faire seul, et ce qui justifie un accompagnementComprendreSystème de management de l'IA (SMIA) : ce que recouvre concrètement l'ISO 42001RisquesPlan de traitement des risques IA : construire une réponse structurée selon la clause 6.1.3
Sources
  1. ISO/IEC 42001: AI Management System for Governance - KPMG Switzerland https://kpmg.com/ch/en/insights/artificial-intelligence/iso-iec-42001.html
  2. ISO/IEC 42001:2023 - Information technology - Artificial intelligence - Management system https://www.iso.org/standard/42001
  3. EU AI Act vs ISO 42001 - ModelOp https://www.modelop.com/ai-governance/ai-regulations-standards/eu-ai-act-vs-iso-42001
  4. How ISO 42001 helps with EU AI Act compliance - Vanta https://www.vanta.com/collection/iso-42001/iso-42001-and-eu-ai-act
  5. ISO/IEC 42001:2023 Artificial Intelligence Management System Standards - Microsoft Learn https://learn.microsoft.com/en-us/compliance/regulatory/offering-iso-42001

Dernière vérification : 26 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.