Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Blog · Comprendre la norme

Blog · Comprendre la norme

ISO 42001 pour une PME : est-ce adapté à votre taille ?

Par David Zbinden Dernière vérification : 29 mai 2026
En bref

La norme ISO/IEC 42001 ne fixe pas de seuil de taille. Une PME peut la déployer si elle utilise ou fournit des systèmes d'IA et doit prouver sa gouvernance. La question n'est pas la taille, c'est le périmètre, la maturité documentaire et la capacité à tenir un cycle d'amélioration continue.

Une norme générique, sans seuil de taille

ISO/IEC 42001 a été publiée en 2023 comme premier standard international de management dédié à l'intelligence artificielle. Elle décrit les exigences pour établir, maintenir et améliorer un système de management de l'IA, ou SMIA, au sein d'une organisation[1].

Le texte précise qu'elle s'applique à toute entité qui fournit ou utilise des produits ou services fondés sur l'IA, sans distinction de secteur ni de taille[1]. DNV, organisme de certification, le formule autrement : la norme est applicable à toute entreprise dans toute industrie, et reste à ce jour la seule norme certifiable pour un système de management de l'IA[2].

Concrètement, rien dans le texte n'exclut une PME de 30 personnes. La structure même de la norme, héritée des autres normes de management type ISO 27001, est pensée pour être proportionnée. Mais générique ne veut pas dire indolore. La vraie question n'est pas est-ce permis, c'est est-ce utile à votre échelle.

Quand ISO 42001 devient pertinente pour une PME

Trois situations rendent la démarche défendable pour une PME ou une ETI, observation tirée de la lecture croisée des certificateurs[2][6].

La première : vous développez ou intégrez de l'IA dans un produit ou service vendu à des clients qui commencent à exiger des preuves de gouvernance. Editeurs SaaS, fournisseurs de services médicaux, prestataires RH, scoring financier. La certification devient un actif commercial, pas une posture.

La deuxième : vous opérez dans un secteur sous régulation imminente ou installée. Les pages produit des certificateurs présentent ISO 42001 comme un outil d'anticipation des cadres à venir, dont l'AI Act européen et les obligations sectorielles[8]. Pour une PME suisse fournissant des clients de l'Union européenne, le calcul change vite.

La troisième : vous êtes déjà certifié ISO 27001 ou ISO 9001, et l'IA pèse désormais sur vos processus. Vous avez l'infrastructure documentaire, la culture d'audit et la logique d'amélioration continue. Greffer un SMIA sur un SMSI existant coûte beaucoup moins cher que partir de zéro, ce que confirment les retours d'auditeurs publiés par CSA[5].

En dehors de ces trois cas, la norme reste accessible mais le retour sur investissement se discute. Une PME qui utilise Microsoft 365 Copilot pour de la bureautique n'a aucun besoin de se certifier elle-même : le fournisseur l'est déjà sur ce périmètre[1].

Le périmètre, le vrai sujet (clause 4.3)

La clause 4.3 d'ISO 42001 demande de définir le périmètre du SMIA, c'est-à-dire les limites de ce qui est couvert. Pour une PME, c'est le levier d'efficacité numéro un. Un périmètre bien découpé transforme un projet potentiellement écrasant en un chantier tenable.

Vous n'êtes pas obligé de mettre l'ensemble de l'entreprise sous SMIA. Vous pouvez choisir une ligne de produit, un département, une fonction qui utilise de l'IA. La logique est la même que pour ISO 27001, où la déclaration d'applicabilité fixe les contours.

La question pratique à se poser : quels systèmes d'IA développons-nous, achetons-nous, opérons-nous, et lesquels portent un enjeu pour nos clients ou pour les personnes concernées ? La réponse délimite le périmètre. Tout le reste, hors périmètre, est documenté comme tel.

Découpage de périmètre pour une PME

Trois angles d'attaque possibles, à choisir selon votre modèle d'affaires.

1Par produit ou service vendu intégrant de l'IA
2Par fonction interne (RH, support client, R&D)
3Par entité juridique ou site quand le groupe est multi-pays

Interprétation tirée de la logique d'application de la clause 4.3, à valider avec l'organisme certificateur retenu.

Le piège : sous-dimensionner le périmètre pour passer l'audit, puis se retrouver à devoir le justifier face à un client qui attendait davantage. Mieux vaut un périmètre étroit mais cohérent qu'un périmètre large et flou.

Coût, charge interne et délai réaliste

Aucune source du dossier ne publie de grille tarifaire fiable et transposable au marché suisse. Les pages des certificateurs internationaux comme DNV ou Schellman décrivent la démarche en trois étapes (formation, analyse d'écart, certification) sans chiffrer[2][6]. Toute fourchette précise donnée ici serait inventée.

Ce qui est documenté en revanche, c'est la nature de l'effort. Trend Micro et le retour d'expérience CSA décrivent un projet qui mobilise de la documentation, du pilotage par la direction, des contrôles opérationnels sur le cycle de vie des systèmes d'IA, et un dispositif de mesure continue[5][8]. Ce n'est pas un projet IT isolé, c'est un chantier transverse.

Pour une PME, la charge interne se concentre généralement sur trois rôles, observation tirée des guides de mise en oeuvre[7]. Un sponsor direction (souvent le CEO ou le directeur des opérations dans une structure de moins de 100 personnes). Un pilote opérationnel (responsable qualité, DPO, RSSI). Un référent technique côté équipes IA.

Le délai annoncé par les certificateurs pour aller de la décision à la certification varie selon la maturité initiale. Les guides de préparation insistent sur l'analyse d'écart en amont comme étape qui conditionne tout le reste[7]. Une PME qui part sans ISO 27001 ni 9001 doit prévoir un cycle plus long qu'une organisation déjà rodée à un système de management.

Alternatives et étapes intermédiaires

La certification n'est pas un point de départ obligatoire. Plusieurs trajectoires intermédiaires existent et peuvent suffire selon vos besoins.

  • Un alignement non certifié sur ISO 42001, utile pour structurer la gouvernance sans engager le coût d'un audit tiers.
  • L'adoption du NIST AI Risk Management Framework, référentiel non certifiable mais reconnu et plus léger d'entrée.
  • L'extension du SMSI ISO 27001 existant avec des contrôles dédiés à l'IA, comme le suggèrent les analyses publiées sur la combinaison des deux référentiels[4].
  • La capitalisation sur la certification ISO 42001 d'un fournisseur amont (Microsoft Copilot, par exemple) pour les usages internes, sans démarche propre[1].

Pour une PME romande qui utilise l'IA en interne sans la commercialiser, ces alternatives couvrent souvent le besoin réel : démontrer une gouvernance, sans surcoût de certification. La question redevient celle de la pression client. Tant qu'aucun donneur d'ordre n'exige le certificat, l'alignement documenté suffit.

Lecture pour une PME romande

Prenons un cas générique, construit à partir du contexte économique observable et non d'un client réel. Une société de 80 personnes basée dans l'Arc lémanique développe un outil d'aide à la décision pour des assureurs et des caisses maladie. Elle est déjà certifiée ISO 27001, vend en Suisse et en France, et reçoit depuis quelques mois des questionnaires fournisseurs qui mentionnent la gouvernance IA.

Pour cette structure, la question n'est plus si mais quand. Trois arguments convergent : pression client documentée, exposition à l'AI Act via les ventes France, et infrastructure SMSI déjà en place qui réduit le coût marginal. La logique d'intégration ISO 27001 et ISO 42001 est explicitement reconnue par les certificateurs[4].

Inversement, une PME industrielle vaudoise de 40 personnes qui utilise un outil de prévision de la demande basé sur de l'IA, achetée à un éditeur tiers, sans IA dans ses propres produits, n'a pas la même équation. Demander au fournisseur ses propres preuves de gouvernance et documenter l'usage en interne, sans se certifier soi-même, reste défendable.

Pièges fréquents à éviter

Le premier piège, le plus coûteux : confondre certification du fournisseur et certification de l'utilisateur. Que Microsoft soit certifié ISO 42001 sur Copilot ne fait pas de votre entreprise une organisation certifiée[1]. Cela vous donne une assurance sur le composant amont, rien de plus.

Le deuxième : démarrer par les contrôles techniques sans avoir posé la gouvernance. ISO 42001 est avant tout un système de management. Le retour d'expérience CSA insiste sur ce point : la clause 5 (leadership) et la clause 6 (planification) conditionnent la robustesse du dispositif bien plus que les contrôles de l'annexe[5].

Le troisième : viser la certification sans avoir cartographié ses systèmes d'IA. Les guides de préparation décrivent l'inventaire comme préalable non négociable[7]. Une PME qui ne sait pas quels modèles tournent dans ses produits, ni quels fournisseurs SaaS embarquent de l'IA dans leurs offres, n'est pas prête à définir un périmètre.

Le quatrième : sous-estimer la charge documentaire. Politique IA, registre des systèmes, analyses d'impact, procédures de surveillance, revues de direction. Pour une structure habituée à ISO 27001, c'est une extension. Pour une structure qui découvre la logique des systèmes de management, c'est un changement de posture.

Dernier point, à vérifier à la date de lecture (mai 2026) : le marché suisse de la certification ISO 42001 reste en construction. Le choix d'un organisme accrédité, ses références sectorielles et son ancrage local pèsent. Les pages produit des grands certificateurs internationaux décrivent leurs offres sans rentrer dans le détail des accréditations suisses[2][6], à recouper avec le registre du Service d'accréditation suisse.

Questions fréquentes

Faut-il une taille minimale pour viser ISO 42001 ?

Non. La norme s'applique à toute entité qui fournit ou utilise des systèmes d'IA, sans seuil de taille ni de secteur[1]. DNV confirme son applicabilité à toute entreprise[2]. La question utile pour une PME est moins la taille que le périmètre, la maturité documentaire existante et la pression réelle des clients ou de la régulation.

Une PME déjà certifiée ISO 27001 a-t-elle un avantage pour ISO 42001 ?

Oui, et c'est même l'un des leviers de coût les plus tangibles. La structure documentaire, la culture d'audit interne et le pilotage par la direction sont transposables. Plusieurs certificateurs présentent ISO 42001 comme une extension naturelle d'un SMSI existant[4][5]. Le travail se concentre alors sur les exigences spécifiques à l'IA, pas sur la refonte du système de management.

Si nous utilisons Microsoft Copilot, sommes-nous couverts par leur certification ?

Non, pas pour votre propre organisation. La certification ISO 42001 de Microsoft couvre la gouvernance interne de leurs services IA, pas l'usage que vous en faites[1]. Elle vous donne une assurance sur le composant fournisseur, à intégrer dans votre analyse de risques tiers. Votre propre gouvernance IA reste à documenter, certifiée ou non.

Quelle alternative pour une PME pas encore prête à se certifier ?

Trois options réalistes : aligner sa gouvernance sur ISO 42001 sans audit tiers, adopter le NIST AI Risk Management Framework comme structure plus légère, ou étendre un SMSI ISO 27001 existant avec des contrôles dédiés à l'IA[4]. Ces trajectoires couvrent la plupart des besoins quand la pression client ne va pas jusqu'à exiger le certificat.

Comment dimensionner le périmètre du SMIA pour une PME ?

La clause 4.3 laisse une vraie marge. Vous pouvez choisir une ligne de produit, une fonction interne ou une entité, à condition que le découpage soit cohérent et défendable face à un audit. Les pratiques observées par les certificateurs vont du périmètre étroit et solide à l'inclusion progressive[5][7]. Le piège est d'opter pour un périmètre flou par souci d'économie.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

RisquesBiais IA et ISO 42001 : comment un éditeur les traiteComparatifsISO 42001 ou AI Act : complément utile ou doublon coûteuxSe certifierDocuments obligatoires ISO 42001 : la liste utile pour la clause 7.5
Sources
  1. ISO/IEC 42001:2023 Artificial Intelligence Management System Standards, Microsoft Learn https://learn.microsoft.com/en-us/compliance/regulatory/offering-iso-42001
  2. ISO/IEC 42001 Certification: AI Management System, DNV https://www.dnv.com/services/iso-iec-42001-artificial-intelligence-ai--250876/
  3. Understanding ISO 42001, A-LIGN https://www.a-lign.com/articles/understanding-iso-42001
  4. ISO 42001: Lessons Learned from Auditing and Implementing the Framework, Cloud Security Alliance https://cloudsecurityalliance.org/blog/2025/05/08/iso-42001-lessons-learned-from-auditing-and-implementing-the-framework
  5. ANAB-Accredited ISO 42001 Certification for Responsible AI Governance, Schellman https://www.schellman.com/services/ai-services/iso-42001
  6. How to Prepare for ISO 42001 Certification: A Readiness Guide, ISPartners https://www.ispartnersllc.com/blog/how-to-prepare-for-iso-42001-certification-a-readiness-guide-for-organizations/
  7. What Is ISO 42001?, Trend Micro https://www.trendmicro.com/en/what-is/ai/iso-42001.html

Dernière vérification : 29 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.