Ressource indépendante · non affiliée à l'ISO/IEC
Blog · Comprendre la norme

Blog · Comprendre la norme

ISO 42001 obligatoire ? Ce que dit vraiment la norme

En bref

L'ISO/IEC 42001 est une norme internationale volontaire, pas une obligation légale. Aucun texte n'impose sa certification. En revanche, elle devient de fait incontournable pour les organisations soumises à l'AI Act européen, aux exigences d'appels d'offres ou à des clauses contractuelles B2B qui réclament une preuve de gouvernance de l'IA.

Statut juridique de la norme

L'ISO/IEC 42001 est une norme internationale publiée par l'ISO et la CEI, deux organisations non gouvernementales qui produisent des standards volontaires[1]. Aucune norme ISO ne s'impose par elle-même à une organisation. Elle prend force uniquement lorsqu'un texte de loi la cite, lorsqu'un contrat l'exige, ou lorsqu'une autorité sectorielle la reconnaît comme référence.

Cela vaut pour l'ISO 9001, l'ISO 27001 et pour la nouvelle SMIA. La 42001 spécifie des exigences pour établir, mettre en place, maintenir et améliorer un système de management de l'IA[1]. Elle ne fixe aucune sanction, elle n'ouvre aucun droit d'action pour un tiers. Un régulateur ne peut pas vous condamner pour ne pas être certifié 42001.

À la date de publication de cet article, aucun texte fédéral suisse ni aucun règlement européen ne rend la certification 42001 obligatoire. Le rôle de la norme est différent : elle propose une manière structurée de démontrer que l'organisation gère les risques et opportunités liés à l'IA[1]. C'est un cadre de preuve, pas une contrainte légale.

Pour situer la norme dans le paysage réglementaire, la lecture croisée avec les régimes contraignants est utile : voir la comparaison entre ISO 42001, ISO 27001, AI Act et nLPD.

La confusion avec l'AI Act européen

La confusion la plus fréquente vient du recouvrement partiel avec le règlement européen sur l'IA. L'AI Act, lui, est contraignant, avec des sanctions financières et réputationnelles pour les organisations qui n'ont pas les contrôles requis sur leurs systèmes d'IA[8]. La norme 42001 ne l'est pas. Les deux textes ne se substituent pas l'un à l'autre.

La lecture juste est la suivante : l'AI Act définit des obligations juridiques par niveau de risque, la 42001 propose un système de management pour tenir ces obligations dans la durée. Certaines analyses professionnelles présentent la 42001 comme un moyen de démontrer l'alignement avec les exigences de l'AI Act, sans pour autant valoir conformité automatique[8]. À vérifier au cas par cas selon la catégorie de risque du système.

Autrement dit : une organisation peut être certifiée 42001 et non conforme à l'AI Act si elle a mal cadré la classification de ses systèmes. À l'inverse, elle peut être conforme à l'AI Act sans certification ISO. La distinction est traitée en détail dans notre analyse du recouvrement entre ISO 42001 et AI Act.

Quand la 42001 devient obligatoire de fait

Une norme volontaire peut devenir obligatoire par la pression du marché avant de le devenir par la loi. Trois circuits pousseront la 42001 vers cette obligation de fait, avec un décalage selon les secteurs.

Contrats B2B et due diligence fournisseur

Les grands donneurs d'ordre intègrent déjà des exigences de gouvernance IA dans leurs questionnaires d'achat. Microsoft, par exemple, a fait certifier plusieurs de ses services d'IA à l'ISO 42001 et publie ses certificats sur son portail de confiance[1]. La logique de cascade contractuelle est connue : quand un acheteur de rang un est certifié, il tend à l'exiger de ses fournisseurs critiques.

Pour un éditeur SaaS romand ou un intégrateur qui vend des composants IA à un grand compte, la question n'est plus « faut-il », mais « quand ». L'observation qualitative des appels d'offres montre que la mention de la 42001 apparaît de plus en plus tôt dans les phases de qualification fournisseur, à vérifier selon les secteurs.

Appels d'offres publics et régulés

Les acheteurs publics et les secteurs régulés (santé, finance, énergie) construisent progressivement des grilles d'évaluation qui reconnaissent la 42001 comme référence acceptable pour démontrer la maîtrise des risques IA. C'est un mécanisme classique déjà observé avec l'ISO 27001 sur la sécurité de l'information.

Exigences réglementaires indirectes

L'AI Act et la nLPD suisse ne citent pas la 42001, mais leurs exigences se satisfont plus facilement quand un système de management structuré existe. Le lecteur qui doit prouver sa gouvernance IA gagnera à consulter le point sur l'articulation entre ISO 42001 et nLPD.

Trois régimes, une seule question pratique

Ce que chaque texte vous impose, et ce que la 42001 apporte en réponse.

1AI Act : obligations légales par niveau de risque, sanctions prévues
2nLPD : protection des données personnelles, applicable aussi aux systèmes IA
3ISO 42001 : système de management volontaire pour tenir ces exigences dans la durée

La 42001 ne remplace pas les deux premiers ; elle vous aide à les documenter.

Ce que la norme impose si vous la retenez

Dès que vous décidez de vous aligner sur la 42001, ses exigences deviennent des engagements internes vérifiables par un auditeur. Le texte suit la structure haut niveau des normes ISO de management, avec des clauses 4 à 10 dites obligatoires[8].

Clauses 4 à 10 : le socle non négociable

Clause 4, contexte : identifier les enjeux internes et externes, les parties intéressées, le périmètre du système[8]. Clause 5, leadership : la direction doit s'impliquer, publier une politique IA, définir les rôles[8]. Clause 6, planification : identifier les risques et opportunités, définir des objectifs mesurables, prévoir une méthodologie d'analyse d'impact[8]. Clause 7, support : ressources, compétences, sensibilisation, communication[8].

Les clauses 8 à 10 (opération, évaluation, amélioration) prolongent cette logique. Nous détaillons chaque bloc dans la lecture clause par clause.

Annexe A : contrôles à considérer

L'annexe A liste des contrôles organisés en catégories (usage responsable, ressources, cycle de vie du système, données, information aux parties intéressées, etc.). L'organisation choisit ceux qu'elle retient dans une déclaration d'applicabilité, avec justification écrite pour ceux qu'elle exclut. Pour un panorama des catégories, voir les neuf catégories de l'annexe A.

Preuves attendues et audits indépendants

Un des apports notables du référentiel est l'exigence d'audits indépendants réguliers du système[8]. C'est ce qui transforme une politique interne en preuve opposable à un client ou à un régulateur. Concrètement : documents datés, revue de direction, plan d'audit interne, décisions tracées.

La décision côté dirigeant

Pour un dirigeant de PME ou d'ETI, la vraie question n'est pas « suis-je obligé », c'est « qui va me le demander, et quand ». La réponse dépend de trois facteurs simples.

Vos clients et leurs propres obligations

Si vos clients sont eux-mêmes soumis à l'AI Act (par exemple parce qu'ils opèrent des systèmes à haut risque au sens du règlement), ils vous répercuteront leurs obligations. Vous n'aurez pas besoin d'être certifié, mais vous devrez fournir des preuves équivalentes de gouvernance. Il est souvent plus simple de s'aligner sur la 42001 que de gérer un flux hétérogène de questionnaires clients.

Votre exposition au risque

Un système IA qui prend des décisions à impact humain (recrutement, crédit, santé) expose davantage qu'un chatbot marketing. L'analyse d'impact permet de trancher. Une PME qui utilise l'IA générative comme outil de productivité n'a pas les mêmes enjeux qu'un éditeur qui vend une IA prédictive à un hôpital.

Votre taille et vos ressources

La question de la proportionnalité est réelle. La norme est conçue pour des organisations de toutes tailles[8], mais l'effort d'implémentation reste significatif. Pour une lecture PME, voir notre article dédié sur l'adaptation de la 42001 à la taille d'une PME ainsi que la synthèse des fondamentaux de la norme.

Pièges fréquents dans la lecture du texte

Trois erreurs reviennent souvent chez les organisations qui découvrent la norme.

Confondre certification et conformité

Certaines pages commerciales laissent entendre qu'être certifié 42001 vaut conformité à l'AI Act. Selon l'analyse d'un cabinet spécialisé, la certification démontre l'application d'un cadre de gestion des risques IA validé par un tiers indépendant[2], ce qui aide, mais ne remplace pas la démonstration point par point face au règlement. Recoupez toujours avec le texte de l'AI Act pour votre catégorie de système.

Sous-estimer l'accréditation de l'organisme

La valeur du certificat dépend de l'organisme qui l'émet et de son accréditation. BSI, par exemple, communique sur son accréditation par UKAS, RvA et ANAB pour la 42001[3], à vérifier auprès de la source. Un certificat émis par un organisme non accrédité pour ce référentiel n'aura pas la même reconnaissance côté acheteur. Nous traitons ce point dans le choix de l'organisme de certification.

Traiter la 42001 comme un projet IT

La 42001 est un système de management. Elle demande un engagement de la direction, des objectifs mesurables, une revue régulière[8]. La traiter comme un projet d'équipe technique, isolée de la stratégie, produit un système qui ne tient pas au premier audit. Le pont naturel avec l'ISO 27001 déjà en place (quand elle existe) est traité dans notre comparaison des deux référentiels.

Obligatoire, recommandé, optionnel : la lecture rapide
ContextePosition de la 42001
Loi suisse ou européenneAucune obligation légale directe[1]
Fournisseur d'un grand compte certifiéRecommandée, souvent demandée en due diligence
Opérateur d'un système IA à haut risqueUtile pour tenir les obligations AI Act[8]
Usage IA marketing sans décision automatiséeOptionnelle, arbitrer selon les clients

Pour un lecteur qui veut passer du diagnostic à l'action, deux portes utiles : la démarche de certification et l'approche risques et conformité IA.

Questions fréquentes

L'ISO 42001 est-elle obligatoire en Suisse ?

Non. À la date de publication de cet article, aucun texte fédéral suisse ne rend la certification ISO 42001 obligatoire. Il s'agit d'une norme internationale volontaire[1]. Elle peut le devenir de fait si vos clients, vos donneurs d'ordre ou votre secteur régulé l'exigent contractuellement. La nLPD s'applique en parallèle et reste, elle, contraignante.

L'ISO 42001 remplace-t-elle la conformité à l'AI Act ?

Non. L'AI Act est un règlement européen contraignant, avec sanctions financières et réputationnelles[8]. La 42001 est un système de management volontaire. Selon des analyses professionnelles, elle aide à démontrer l'alignement avec les exigences du règlement, sans valoir conformité automatique. Chaque système IA doit être évalué au regard de sa catégorie de risque au sens de l'AI Act.

Une PME romande a-t-elle intérêt à viser la certification ?

Cela dépend du profil client et du niveau de risque des systèmes IA utilisés. Une PME qui vend à des grands comptes déjà certifiés ou soumis à l'AI Act aura un avantage commercial mesurable. Une PME qui utilise l'IA générative comme outil interne, sans décision automatisée à impact humain, peut se contenter d'une gouvernance alignée sur la norme sans passer par un audit externe.

Quelles clauses de la norme sont considérées comme obligatoires ?

Les clauses 4 à 10 forment le socle du système : contexte, leadership, planification, support, opération, évaluation, amélioration[8]. Si vous vous alignez sur la norme, aucune de ces clauses ne peut être écartée. L'annexe A liste des contrôles à considérer, avec une déclaration d'applicabilité qui justifie les choix. Aucun contrôle de l'annexe A n'est obligatoire en soi, mais toute exclusion doit être documentée.

Un certificat émis par n'importe quel organisme a-t-il la même valeur ?

Non. La reconnaissance du certificat dépend de l'accréditation de l'organisme émetteur pour le référentiel 42001. Certains organismes communiquent leurs accréditations multiples pour cette norme, par exemple UKAS, RvA et ANAB[3]. Vérifiez toujours l'accréditation spécifique à l'ISO 42001, distincte de celle de l'ISO 27001, avant de contractualiser.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

Sources
  1. ISO/IEC 42001:2023 Artificial Intelligence Management System Standards, Microsoft Learn https://learn.microsoft.com/en-us/compliance/regulatory/offering-iso-42001
  2. ISO/IEC 42001 Certification Requirements Explained, Schellman https://www.schellman.com/blog/iso-certifications/what-are-iso-42001-requirements
  3. ISO 42001 AI Management System, BSI https://www.bsigroup.com/en-US/products-and-services/standards/iso-42001-ai-management-system/
  4. ISO/IEC 42001:2023 AI management systems, page officielle ISO https://www.iso.org/standard/42001
  5. Why is ISO 42001 Certification Important, Bridewell https://www.bridewell.com/insights/blogs/detail/why-is-iso-42001-certification-important

Dernière vérification : 1 juillet 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.