Blog · Comparatifs et mapping
ISO 42001 et conformité AI Act : recouvrement réel
ISO/IEC 42001 couvre environ 40 à 50 % des exigences de l'AI Act sur la gestion des risques, la gouvernance des données, la documentation et la supervision humaine. La norme structure le système de management, mais ne remplace ni les interdictions, ni l'évaluation de conformité par organisme notifié, ni les obligations de transparence du règlement.
Deux instruments de nature différente
La première chose à poser, avant toute table de correspondance, est que l'ISO/IEC 42001 et l'AI Act ne jouent pas dans la même catégorie. La norme est un référentiel volontaire de système de management, publié en décembre 2023, qui structure la gouvernance de l'IA autour du cycle Plan-Do-Check-Act[3]. L'AI Act, lui, est une législation contraignante de l'Union européenne, adoptée en 2024, qui s'applique à toute organisation plaçant un système d'IA sur le marché européen ou dont les sorties sont utilisées dans l'Union[5].
La conséquence est directe pour un responsable conformité. Une certification SMIA ne dispense d'aucune obligation légale du règlement, et un audit de certification n'a pas la même portée qu'une évaluation de conformité par un organisme notifié[1]. Inversement, se contenter de cocher les articles de l'AI Act sans système de management laisse l'organisation sans mécanique d'amélioration continue, sans pilotage des fournisseurs et sans traçabilité durable.
Le règlement organise les exigences par niveau de risque, avec quatre catégories allant de l'inacceptable au minimal, et impose des règles particulières aux systèmes à haut risque[4]. La norme, à l'opposé, organise les exigences par phase du cycle de vie et par processus du système de management. Les deux logiques se rencontrent, mais elles ne se superposent pas terme à terme.
Comprendre la nature de chaque instrument évite de confondre certification et conformité légale.
Synthèse établie à partir des sources Vanta et ModelOp[1][4].
Ce que la norme couvre du règlement
Plusieurs analyses convergentes situent le recouvrement entre les deux textes autour de 40 à 50 % au niveau des exigences de haut niveau[1][5]. Ce chiffre vient d'éditeurs spécialisés et reste à recouper avec votre périmètre, mais il donne un ordre de grandeur utile pour calibrer le budget projet. La zone commune se concentre sur quatre familles d'exigences.
La gestion des risques d'abord. L'article 9 du règlement impose un processus continu pour les systèmes à haut risque, et la norme exige une analyse d'impact et un traitement structuré des risques propres à l'IA[1]. La gouvernance des données ensuite. L'article 10 prescrit des règles détaillées sur les jeux d'entraînement, de validation et de test, que la norme rejoint via ses contrôles sur la qualité, la pertinence et la traçabilité des données[5].
La supervision humaine également, l'article 14 exigeant des mesures proportionnées au niveau de risque, doublées par les exigences de documentation des processus d'IA dans la norme[1]. Enfin la documentation technique, où les livrables produits pour un audit ISO 42001 peuvent être adaptés et complétés pour répondre aux exigences du règlement, sans tout reconstruire[5].
Pour un éditeur romand qui distribue un module d'IA dans l'Union, ce recouvrement signifie concrètement que la cartographie ISO 42001 face à l'AI Act sert de socle commun. Le registre des systèmes, les politiques de données, les fiches de risques et les procédures de revue humaine alimentent les deux exercices, à condition d'être tracés au bon niveau de détail.
| Domaine | AI Act (article) | ISO 42001 |
|---|---|---|
| Gestion des risques | Art. 9, classification en 4 niveaux[1] | Clauses 6.1, appréciation et traitement[3] |
| Gouvernance des données | Art. 10, qualité et biais[5] | Contrôles données de l'Annexe A[1] |
| Supervision humaine | Art. 14, mesures proportionnées[1] | Documentation des processus IA[1] |
| Documentation | Annexe IV, dossier technique[5] | Clause 7.5, informations documentées[3] |
Ce que la norme ne couvre pas
Une lecture honnête de la norme oblige à pointer ce qu'elle ne fait pas. L'AI Act interdit purement et simplement certaines pratiques, comme la notation sociale par les pouvoirs publics, l'identification biométrique en temps réel dans l'espace public hors exceptions, et les systèmes manipulant le comportement humain. La norme, elle, n'interdit rien et renvoie à l'organisation le soin d'identifier les pratiques prohibées par les lois applicables[5].
Deuxième zone non couverte, l'évaluation de conformité. Pour un système à haut risque, le règlement impose une procédure formelle, avec dans certains cas l'intervention d'un organisme notifié, là où la norme prévoit un audit de certification par un organisme accrédité valable trois ans[1]. Les deux examens ne sont ni interchangeables ni de même portée juridique.
Troisième écart, les obligations de transparence et d'information ciblées du règlement, comme l'enregistrement de certains systèmes dans la base européenne, les marquages d'avertissement, la conservation des journaux pendant au moins six mois pour les systèmes à haut risque[5]. La norme demande des informations documentées, mais ne fixe ni durée minimale, ni format réglementaire pour ces journaux. Pour creuser ces écarts au niveau d'un contrôle, l'article dédié à la couverture comparée norme et règlement détaille les trous à colmater.
Quatrième écart, les sanctions. Les manquements à l'AI Act peuvent entraîner des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques prohibées, et 15 millions ou 3 % pour d'autres infractions[5]. Une perte de certification ISO 42001 n'emporte aucune conséquence légale directe, seulement un signal commercial et fiduciaire négatif[4].
Jalons réglementaires à tenir
Le calendrier d'application du règlement européen s'étale sur plusieurs années. Selon l'analyse de VerifyWise publiée en novembre 2025 et mise à jour en juin 2026, les pratiques prohibées et les exigences de littératie en IA sont applicables depuis le 2 février 2025[5]. Les fournisseurs de modèles d'IA à usage général doivent tenir une documentation technique et respecter le droit d'auteur de l'Union depuis le 2 août 2025[5].
La même source mentionne le 2 décembre 2026 pour les obligations de marquage et de divulgation du contenu synthétique de l'article 50, puis le 2 décembre 2027 pour les systèmes à haut risque autonomes de l'Annexe III dans la version révisée par l'omnibus de mai 2026[5]. Ces dates ont été modifiées en cours de route, et il convient de les recouper avec le journal officiel de l'Union avant tout arbitrage budgétaire, vérifier l'évolution depuis cette date.
Pour une organisation suisse, ces jalons restent décisifs dès lors qu'un système d'IA est mis à disposition de clients dans l'Union ou que ses sorties y sont utilisées[4]. La lecture combinée avec la nLPD est nécessaire pour les opérations qui touchent des personnes concernées en Suisse, le règlement européen ne réglant pas tout ce qui relève de la protection des données helvétique.
Plan de travail pour un double usage
Construire un projet qui sert à la fois la certification et la conformité réglementaire n'est pas une affaire de magie, c'est une affaire de séquencement. La logique la plus efficace consiste à poser le système de management ISO 42001 comme socle, puis à ajouter les exigences spécifiques du règlement par-dessus, sans dupliquer.
- Cartographier les systèmes d'IA et les classer selon les quatre niveaux de risque du règlement, puis selon le périmètre du SMIA[5].
- Aligner le registre des risques et le plan de traitement de la clause 6.1.3 sur les exigences de l'article 9 pour les systèmes classés à haut risque.
- Documenter la gouvernance des données conformément à la clause 7.5 et à l'article 10, avec un seul corpus pour les deux référentiels[3].
- Spécifier les mesures de supervision humaine par cas d'usage, en cohérence avec l'article 14 et avec les contrôles de l'Annexe A de la norme[1].
- Prévoir séparément ce que la norme ne couvre pas, à savoir l'enregistrement dans la base européenne, les journaux conservés au moins six mois, le marquage des contenus synthétiques[5].
Cette approche évite l'écueil le plus fréquent observé dans les démarches mixtes, qui consiste à constituer deux dossiers parallèles avec deux nomenclatures différentes. À l'inverse, un système documentaire unique, indexé sur les clauses ISO et sur les articles du règlement, divise par deux le coût de maintenance et facilite l'audit interne. La comparaison des référentiels IA peut servir de référentiel pivot pour cette indexation.
Côté rôles, le règlement définit explicitement les notions de fournisseur et de déployeur, chacun avec ses obligations[4]. La norme demande de définir des rôles, des responsabilités et des ressources sans imposer ces étiquettes. Il est donc utile, dans la documentation interne, de cartographier explicitement quels rôles ISO 42001 endossent quelles obligations AI Act selon les cas d'usage, ce qui clarifie aussi la relation avec les fournisseurs tiers et leurs contrats.
Pièges fréquents pour un DPO
Plusieurs malentendus reviennent dans les démarches engagées par des responsables conformité ou des DPO. Premier piège, considérer que la certification ISO 42001 vaut conformité à l'AI Act. Les sources spécialisées sont unanimes, la certification est un point d'appui, pas une dispense[1][4]. Selon ces analyses de cabinets spécialisés, recoupez systématiquement avec le texte officiel du règlement publié sur EUR-Lex.
Deuxième piège, traiter le RGPD et l'AI Act dans le même dossier sans clarifier les frontières. Le règlement IA n'absorbe ni le RGPD ni la nLPD, et la norme n'aborde pas en propre les droits des personnes concernées. Une démarche cohérente articule les trois objets, sans en faire un seul. La page sur l'ISO 42001 face au RGPD détaille cette articulation.
Troisième piège, sous-estimer la mise à jour. Le règlement européen a déjà été modifié par un omnibus en mai 2026 selon l'analyse de VerifyWise[5], et d'autres ajustements sont attendus. La norme évoluera aussi, avec ses guides d'application en cours d'élaboration. Un projet qui se cale uniquement sur une version figée des deux textes vieillit mal, sans veille structurée.
Quatrième piège, oublier les sanctions. Pour un déployeur à haut risque dans l'Union, l'enjeu financier dépasse largement le coût d'un projet de certification[5]. À l'inverse, viser la seule conformité légale sans gouvernance interne expose l'organisation à des écarts récurrents en audit. L'équilibre entre les deux logiques est ce qui justifie l'investissement combiné, plutôt qu'un choix exclusif. Pour aller plus loin sur cette articulation, la note dédiée à complément utile ou doublon coûteux apporte un cadrage budgétaire.
Questions fréquentes
ISO 42001 dispense-t-elle de l'AI Act ?
Non. La norme est volontaire et structure un système de management de l'IA, alors que l'AI Act est une législation contraignante avec sanctions financières[4]. La certification constitue un socle qui facilite la mise en conformité, en couvrant environ 40 à 50 % des exigences de haut niveau[1], mais elle ne remplace ni l'évaluation de conformité, ni l'enregistrement, ni les obligations spécifiques de transparence du règlement.
Quel pourcentage d'exigences est commun aux deux textes ?
Les analyses de Vanta et VerifyWise convergent sur un recouvrement d'environ 40 à 50 % au niveau des exigences de haut niveau, principalement sur la gestion des risques, la gouvernance des données, la documentation et l'éthique[1][5]. Ce chiffre vient d'éditeurs spécialisés, il reste à recouper avec votre périmètre exact et la classification de risque de vos systèmes.
Quelles obligations de l'AI Act ne sont pas couvertes par la norme ?
Les interdictions de pratiques, l'évaluation de conformité par organisme notifié pour les systèmes à haut risque, l'enregistrement dans la base européenne, la conservation des journaux pendant au moins six mois, et le marquage des contenus synthétiques[5]. La norme demande des informations documentées, mais ne fixe pas les formats réglementaires exigés par le règlement[1].
Une PME suisse non exportatrice est-elle concernée par l'AI Act ?
Le règlement s'applique aux systèmes placés sur le marché européen ou dont les sorties sont utilisées dans l'Union, indépendamment de la localisation du fournisseur[5]. Une PME purement suisse sans clients ni utilisateurs européens reste hors champ direct, mais elle peut être tirée dans le règlement par ses partenaires européens. Recoupez le périmètre avec un conseil juridique et avec le texte officiel publié sur EUR-Lex.
Par où commencer un projet combiné ISO 42001 et AI Act ?
Commencez par cartographier vos systèmes d'IA et les classer selon les quatre niveaux de risque du règlement[5], puis posez le périmètre du SMIA[3]. Construisez un système documentaire unique indexé sur les clauses ISO et sur les articles AI Act, et identifiez les écarts spécifiques au règlement, comme l'enregistrement et les journaux, à traiter en complément du référentiel normatif.
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- EU AI Act & ISO 42001 : Compatibility & implementation guidelines https://www.vanta.com/collection/iso-42001/iso-42001-and-eu-ai-act
- ISO/IEC 42001 : AI Management System for Governance https://kpmg.com/ch/en/insights/artificial-intelligence/iso-iec-42001.html
- EU AI Act vs ISO 42001 https://www.modelop.com/ai-governance/ai-regulations-standards/eu-ai-act-vs-iso-42001
- EU AI Act vs ISO 42001 : 7 differences that affect your compliance approach https://verifywise.ai/blog/eu-ai-act-vs-iso-42001-similarities-and-differences
Dernière vérification : 16 juin 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.