Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Blog · Comparatifs et mapping

Blog · Comparatifs et mapping

ISO 42001 ou AI Act : complément utile ou doublon coûteux

Par David Zbinden Dernière vérification : 28 mai 2026
En bref

L'AI Act est une loi européenne contraignante avec sanctions, ISO/IEC 42001 est une norme de management volontaire et certifiable. Le recouvrement est partiel, estimé à 40 à 50 % sur le management du risque, la gouvernance des données et la transparence. La certification ne dispense jamais des obligations légales, mais structure la preuve attendue par les régulateurs et clients.

Deux objets juridiques de nature différente

La question revient dans presque chaque comité de direction confronté à la gouvernance IA : faut-il viser la certification SMIA selon ISO/IEC 42001, se concentrer sur l'AI Act, ou faire les deux. La réponse tient d'abord à un rappel de droit, et il n'est pas optionnel.

L'AI Act est un règlement européen contraignant, doté d'un régime de sanctions allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques prohibées, et 15 millions ou 3 % pour les autres infractions[8]. Il s'applique aux systèmes d'IA mis sur le marché de l'Union, ou dont les sorties sont utilisées dans l'Union, indépendamment du lieu d'établissement du fournisseur[3].

ISO/IEC 42001:2023 est, à l'inverse, une norme internationale volontaire. Elle décrit les exigences d'un système de management de l'IA et se prête à une certification par un organisme accrédité[2]. Le certificat est généralement valable trois ans selon le cycle classique des normes de management[7].

Conséquence pratique pour un dirigeant : ces deux objets ne sont pas substituables. Une certification ISO 42001 n'éteint aucune obligation au titre de l'AI Act, et inversement, un dossier AI Act bien tenu ne vaut pas certificat. Mais ils partagent une grande partie du travail amont, ce qui change l'arbitrage.

Nature respective des deux référentiels
CritèreAI ActISO/IEC 42001
StatutRèglement contraignantNorme volontaire
PortéeMarché UE et sorties utilisées dans l'UE[3]Mondiale, sans restriction géographique[8]
LogiqueSécurité produit, classes de risqueSystème de management, cycle PDCA[2]
SanctionJusqu'à 35 M€ ou 7 % du CA mondial[8]Aucune sanction légale
PreuveAuto-déclaration, sauf haut risque (organisme notifié)[7]Certificat d'un organisme accrédité, 3 ans[7]

Où les deux textes se recoupent vraiment

Plusieurs analyses indépendantes et fournisseurs spécialisés convergent sur un même ordre de grandeur : le recouvrement des exigences de haut niveau entre AI Act et ISO 42001 se situe autour de 40 à 50 %[7][8]. Ce chiffre n'est pas une mesure officielle, c'est un repère partagé par plusieurs cabinets, à recouper avec votre propre crosswalk.

Le recouvrement porte d'abord sur la gestion du risque. L'AI Act impose, pour les systèmes à haut risque, un système de management du risque sur le cycle de vie. ISO 42001 demande la même démarche d'identification, d'évaluation et de traitement des risques propres à l'IA, dans une logique Plan-Do-Check-Act[2].

Le deuxième pan partagé est la gouvernance des données. L'article 10 de l'AI Act prescrit des exigences précises de qualité, de représentativité et de détection des biais pour les jeux de données d'entraînement, de validation et de test des systèmes à haut risque[7]. ISO 42001 traite les mêmes thèmes par ses contrôles de management des données et l'attribution claire des responsabilités sur le SMIA[7].

Viennent ensuite la transparence et la documentation technique. L'AI Act exige des descriptions techniques détaillées, des journaux conservés au minimum six mois pour le haut risque, et des procédures de conformité spécifiques[8]. Les livrables produits dans un audit ISO 42001 (description du SMIA, registre des systèmes, dossiers d'analyse d'impact) peuvent être adaptés aux exigences réglementaires[8].

Enfin, la supervision humaine et l'éthique. L'article 14 de l'AI Act exige une supervision humaine proportionnée au niveau de risque[7]. ISO 42001 demande de documenter les processus d'IA pour favoriser cette supervision et inscrit la transparence, l'équité et la responsabilité dans les contrôles d'annexe[7].

Ce que la certification ne couvre pas

L'autre moitié, celle où les deux textes divergent, est précisément celle qui ne pardonne pas à un dirigeant qui aurait misé sur la seule certification.

Premier écart, les pratiques prohibées. L'AI Act interdit purement et simplement certaines applications : notation sociale par les autorités, manipulation comportementale, identification biométrique en temps réel dans l'espace public à des exceptions étroites près[8]. ISO 42001 n'interdit rien par lui-même, la norme demande à l'organisation d'identifier les lois applicables et de s'y conformer[8].

Deuxième écart, les obligations sur les modèles d'IA à usage général (GPAI). Selon la Commission européenne et l'analyse d'ECCouncil, les fournisseurs de GPAI doivent maintenir une documentation technique, publier un résumé des données d'entraînement, respecter le droit d'auteur européen et notifier l'AI Office en cas de risque systémique[6]. Aucune clause d'ISO 42001 ne crée cette obligation déclarative auprès d'un régulateur.

Troisième écart, l'évaluation de conformité externe. L'AI Act prévoit, pour la majorité des systèmes à haut risque, une auto-évaluation par le fournisseur, mais pour certaines catégories l'intervention d'un organisme notifié est requise avant mise sur le marché[7]. La logique est celle de la sécurité produit. ISO 42001 reste centrée sur le système de management de l'organisation, audité par un certificateur accrédité, ce qui n'est pas la même chose qu'un organisme notifié[8].

Quatrième écart, la granularité. L'AI Act énonce des exigences spécifiques (durée minimale des logs, contenu documentaire, procédures d'évaluation). ISO 42001 propose une approche fondée sur les principes, laissant l'organisation calibrer ses contrôles[8]. Pour un système à haut risque, la précision de la loi prime, et la certification n'absout pas les manques sur ces points précis.

Quatre scénarios pour un dirigeant de PME

Plutôt qu'un arbitrage abstrait, il est utile de raisonner par profil. Les quatre cas qui suivent ne couvrent pas tout le marché, mais ils dessinent les arbitrages typiques observés chez les PME et ETI confrontées au sujet.

Cas 1 : PME suisse qui n'exporte ni systèmes ni sorties IA vers l'UE

L'AI Act ne s'applique pas directement, faute de mise sur le marché ou de sorties utilisées dans l'Union[3]. La pression vient des clients, des partenaires bancaires et, à terme, du droit suisse. Dans cette situation, ISO 42001 offre un socle proportionné, audit-ready, sans le détour réglementaire européen. Interprétation : viser la certification d'abord, surveiller la transposition suisse de règles équivalentes.

Cas 2 : ETI romande qui vend un SaaS IA à des clients de l'UE

L'AI Act s'applique, et la classification de risque devient la première question à trancher. Si le produit relève du haut risque (RH, scoring de crédit, infrastructures critiques), la conformité est non négociable[6]. ISO 42001 sert alors d'épine dorsale documentaire et d'argument commercial face aux acheteurs.

Cas 3 : Intégrateur qui déploie des modèles tiers (déployeur au sens de l'AI Act)

Les obligations diffèrent de celles d'un fournisseur. Le déployeur d'un système à haut risque doit assurer la supervision humaine, maintenir les journaux et informer les utilisateurs[3]. ISO 42001 aide à formaliser ces rôles, mais ne suffit pas à documenter les évaluations d'impact requises par la loi.

Cas 4 : Fournisseur de modèle d'usage général

Selon l'analyse de la Commission citée par ECCouncil, les obligations GPAI sont effectives depuis le 2 août 2025, l'application par la Commission débute le 2 août 2026, et les modèles déjà commercialisés avant le 2 août 2025 doivent se conformer d'ici le 2 août 2027[6]. Vérifier l'évolution depuis cette date sur la source officielle. Ici, ISO 42001 ne remplace pas la production des livrables GPAI mais peut héberger leur cycle de vie.

Articuler les deux sans payer deux fois

Une organisation qui doit tenir les deux fronts a intérêt à construire un socle de preuves unique, exploité dans deux langues différentes : celle de l'auditeur ISO d'un côté, celle de l'autorité de marché de l'autre.

Articulation des deux référentiels

Une lecture possible, partant du SMIA comme socle commun.

1SMIA ISO 42001 (politique, rôles, risques, contrôles)
2Inventaire des systèmes d'IA et classification AI Act
3Dossiers techniques et journaux conformes au haut risque
4Évaluation de conformité, marquage, supervision

Le SMIA est interprété ici comme support de preuve, pas comme substitut à la loi.

En pratique, trois leviers réduisent la duplication. D'abord, un registre unique des systèmes d'IA servant à la fois à l'inventaire ISO 42001 et à la classification de risque AI Act[7]. Un même système doit y porter sa catégorie de risque réglementaire, son propriétaire, ses contrôles applicables et ses traces.

Ensuite, une analyse de risque par système, articulée autour des quatre fonctions Govern, Map, Measure, Manage du NIST AI RMF, citées comme repère par ECCouncil[6]. Cette grille permet d'alimenter à la fois l'évaluation ISO et la documentation technique AI Act, sans recommencer deux fois la même cartographie.

Enfin, une politique unique de supervision humaine, calibrée par classe de risque, qui décline les attendus de l'article 14 dans le langage des contrôles ISO 42001[7]. La supervision n'est plus un document spécifique, c'est un attribut de chaque système, tracé dans le registre.

Exemple romand transposable : un éditeur lausannois d'un outil de tri de candidatures vendu en France. Ce cas relève typiquement du haut risque (emploi)[8]. L'éditeur peut bâtir son SMIA selon ISO 42001 et utiliser ses livrables (politique, registre, analyses d'impact, journaux) pour préparer le dossier technique exigé avant mise sur le marché de l'UE. La certification reste un atout commercial mais ne dispense ni de la conformité documentaire ni, le cas échéant, du recours à un organisme notifié.

Calendrier AI Act et fenêtre utile de la certification

Le calendrier d'entrée en application de l'AI Act conditionne le rythme du programme. Les jalons rappelés par VerifyWise en novembre 2025, à recouper avec les textes officiels, structurent les douze à trente mois à venir.

  • 2 février 2025 : pratiques prohibées et exigences d'alphabétisation IA en vigueur[8].
  • 2 août 2025 : obligations de documentation pour les fournisseurs de GPAI et respect du droit d'auteur de l'UE[8].
  • 2 décembre 2026 : obligations de marquage et de divulgation des contenus synthétiques au titre de l'article 50(2)[8].
  • 2 décembre 2027 : application pleine des obligations Annexe III pour les systèmes à haut risque autonomes, telle que révisée par l'omnibus de mai 2026[8].
  • 2 août 2028 : conformité des IA à haut risque intégrées dans des produits réglementés Annexe I[8].

Ce calendrier laisse une fenêtre étroite mais réelle pour faire d'ISO 42001 le squelette du programme de conformité. Engager la certification en 2026 permet, dans l'observation des démarches récentes, de disposer d'un SMIA mature au moment où les obligations Annexe III deviennent opposables[8]. Vérifier l'évolution réglementaire depuis ces jalons sur la source officielle.

À noter pour les organisations suisses : aucune disposition de l'AI Act ne reconnaît la certification ISO 42001 comme une présomption de conformité à la loi européenne, à la date de dernière vérification (mai 2026). Le certificat est un argument de gouvernance, pas un blanc-seing juridique.

Pièges fréquents observés

Trois confusions reviennent dans les démarches observées, et chacune coûte cher si elle n'est pas redressée tôt.

Première confusion, traiter ISO 42001 comme un substitut à l'AI Act. Plusieurs analyses indépendantes rappellent que les deux frameworks sont complémentaires, pas interchangeables[3]. La certification structure la gouvernance, la loi définit ce qui est interdit, ce qui doit être documenté et ce qui doit être déclaré.

Deuxième confusion, croire que l'auto-déclaration AI Act suffit pour tout le haut risque. Selon l'analyse de Vanta, l'AI Act exige par défaut une auto-attestation, mais les systèmes à haut risque requièrent une évaluation par un organisme notifié[7]. La cartographie initiale, par classe de risque, conditionne donc tout l'arbitrage budgétaire.

Troisième confusion, sous-estimer la portée extraterritoriale. Un éditeur suisse qui ne vend pas en UE mais dont les sorties IA sont utilisées par un client en France entre dans le champ[3]. La question utile n'est pas le siège mais le flux de sorties. Cette qualification doit être faite avant tout investissement dans un programme de mise en conformité.

Questions fréquentes

Une certification ISO 42001 vaut-elle conformité à l'AI Act

Non. Plusieurs analyses spécialisées convergent : ISO 42001 est volontaire et certifiable, l'AI Act est une loi contraignante avec sanctions et obligations spécifiques, dont des interdictions et un régime d'évaluation de conformité[7][8]. La certification structure la gouvernance et facilite la preuve, elle ne dispense d'aucune obligation légale, en particulier pour les systèmes à haut risque.

Quel est le recouvrement réel entre les deux référentiels

Plusieurs cabinets estiment le recouvrement entre 40 et 50 % sur les exigences de haut niveau, notamment management du risque, gouvernance des données, documentation et éthique[7][8]. Ce repère n'est pas une mesure officielle, il sert à dimensionner l'effort. Un crosswalk maison reste indispensable pour confirmer le périmètre exact de votre organisation.

Une PME suisse sans vente en UE est-elle concernée par l'AI Act

Pas directement, sauf si les sorties de son système d'IA sont utilisées dans l'Union[3]. La portée extraterritoriale se déclenche par la mise sur le marché ou l'usage des sorties dans l'UE. Pour ces PME, ISO 42001 offre un cadre proportionné, audit-ready et reconnu internationalement[2], qui anticipe en outre la pression contractuelle des donneurs d'ordre européens.

Par où commencer si l'on doit tenir les deux fronts

Le levier le plus rentable est un registre unique des systèmes d'IA, qui sert à la fois à l'inventaire ISO et à la classification de risque AI Act[7]. Vient ensuite une analyse de risque par système, alignée sur les fonctions Govern, Map, Measure, Manage du NIST AI RMF, citées comme repère pédagogique[6]. Cela évite de produire deux fois les mêmes preuves.

Quel est le coût des sanctions AI Act comparé à un budget de certification

Les sanctions AI Act vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques prohibées, et 15 millions ou 3 % pour les autres infractions[8]. Sans chiffrage public consolidé du coût d'une certification ISO 42001, l'asymétrie reste claire : la conformité réglementaire prime, la certification l'organise et la rend démontrable.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

Se certifierDocuments obligatoires ISO 42001 : la liste utile pour la clause 7.5ComprendreComment démarrer ISO 42001 : premiers pas pour une PME romandeRisquesAppréciation des risques IA selon la clause 6.1.2 : méthode et pièges à éviter
Sources
  1. ISO/IEC 42001:2023, fiche officielle ISO https://www.iso.org/standard/42001
  2. EU AI Act vs ISO 42001, ModelOp https://www.modelop.com/ai-governance/ai-regulations-standards/eu-ai-act-vs-iso-42001
  3. EU AI Act, NIST AI RMF and ISO/IEC 42001, EC-Council https://www.eccouncil.org/cybersecurity-exchange/responsible-ai-governance/eu-ai-act-nist-ai-rmf-and-iso-iec-42001-a-plain-english-comparison/
  4. EU AI Act & ISO 42001 compatibility, Vanta https://www.vanta.com/collection/iso-42001/iso-42001-and-eu-ai-act
  5. EU AI Act vs ISO 42001, 7 differences, VerifyWise https://verifywise.ai/blog/eu-ai-act-vs-iso-42001-similarities-and-differences

Dernière vérification : 28 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.