Blog · Comprendre la norme
ISO 42001 résumé : 10 minutes pour un dirigeant
ISO/IEC 42001:2023 est la première norme internationale certifiable pour un système de management de l'IA. Elle formalise gouvernance, gestion des risques, contrôles et amélioration continue autour des systèmes d'IA que vous développez ou utilisez. Pour un dirigeant, elle sert à structurer, prouver et rassurer, sans remplacer les lois applicables.
Ce qu'est vraiment ISO 42001
ISO/IEC 42001:2023 est la première norme internationale qui fixe des exigences pour un système de management de l'intelligence artificielle. Elle a été publiée en décembre 2023 par l'ISO et l'IEC[3]. Son objet est simple à formuler : donner un cadre pour développer, fournir ou utiliser des systèmes d'IA de manière responsable et documentée[3].
La norme est certifiable, à la différence d'autres cadres de gouvernance IA qui restent des guides. Selon DNV, à la date de dernière vérification (juillet 2026), ISO 42001 est à ce jour le seul standard international de management IA sur lequel une organisation peut obtenir une certification par tierce partie[5]. C'est ce qui la rend intéressante pour un dirigeant : elle produit une preuve auditable, pas seulement un discours.
Point important à retenir avant toute décision. La norme n'est pas obligatoire et ne remplace ni le droit suisse, ni le droit européen[3]. Elle offre un cadre structuré pour respecter des obligations légales plus efficacement, rien de plus, rien de moins.
Un SMIA, en langage de direction
Le terme technique est SMIA, système de management de l'IA. Concrètement, il s'agit d'un ensemble cohérent de politiques, de processus et de contrôles qui encadrent la façon dont vos systèmes d'IA sont conçus, déployés, surveillés et retirés[3].
Pour un dirigeant, cela répond à six questions concrètes que posent tôt ou tard un client grand compte, un régulateur ou un investisseur : qui décide, quels risques sont identifiés, comment la qualité des données est gérée, comment la performance est mesurée, comment l'humain garde la main, et comment les incidents sont traités[3].
La logique est la même que pour ISO 27001 en sécurité de l'information ou ISO 9001 en qualité : structure Harmonized Structure, approche par les risques, cycle d'amélioration continue. La différence, c'est que le périmètre du risque ne s'arrête pas à l'organisation. ISO 42001 demande d'évaluer aussi les effets des systèmes d'IA sur les personnes et sur la société[2].
Les exigences résumées, sans jargon
Selon la synthèse publiée par l'ISO, la norme couvre sept blocs d'exigences pour un système de management de l'IA[3]. Le tableau ci-dessous les traduit en questions de direction, pour éviter la paraphrase creuse.
| Bloc d'exigences | Question que la direction doit pouvoir trancher |
|---|---|
| Leadership et contexte | Qui porte l'IA au comité de direction et quels enjeux internes et externes sont documentés |
| Politique et objectifs IA | Quelles règles d'usage sont écrites, signées et diffusées |
| Gestion des risques IA | Quels systèmes d'IA sont recensés, cotés et traités |
| Données et cycle de vie | Qui répond de la qualité des données et du suivi du modèle jusqu'à son retrait |
| Transparence et information | Que dit-on aux utilisateurs, clients et personnes concernées |
| Évaluation de la performance | Quels indicateurs, quels audits, quelle revue de direction |
| Amélioration continue | Comment les incidents et écarts font-ils évoluer le dispositif |
À ces sept blocs s'ajoute l'Annexe A, un jeu de contrôles de référence adaptés à l'IA. Le guide de synthèse d'AI Governance Library mentionne 38 contrôles regroupés en catégories[2]. Ces contrôles ne sont pas tous applicables à toutes les organisations : ils sont sélectionnés via une déclaration d'applicabilité, comme en ISO 27001. Pour aller plus loin, voir notre article sur les catégories de contrôles de l'Annexe A.
Piège fréquent, observé dans les démarches de gouvernance qui démarrent : traiter ISO 42001 comme une check-list de contrôles techniques. La norme est d'abord un système de management. Les contrôles ne servent à rien sans une politique, un inventaire, une analyse de risques et une revue de direction qui les commandent.
Où se place la norme face à l'AI Act et à la nLPD
C'est la question la plus fréquente en comité de direction romand, et la plus mal comprise. ISO 42001 ne se substitue à aucune loi. Elle explique comment mettre en place un système de gestion, pas quoi interdire ou autoriser[3].
Selon l'analyse publiée par AI Governance Library en mars 2026, la norme se positionne comme la couche opérationnelle d'une gouvernance IA. Les réglementations comme l'AI Act européen définissent le quoi, ISO 42001 décrit un comment structuré pour y répondre[2]. Vérifier l'évolution de cette lecture depuis cette date, car les guides d'articulation évoluent vite.
Pour une PME suisse, l'ordre pratique est le suivant. D'abord, les obligations contraignantes : nLPD si vous traitez des données personnelles, AI Act si vous mettez sur le marché européen des systèmes d'IA classés à risque. Ensuite seulement, ISO 42001, qui vous aide à démontrer que ces obligations sont pilotées. Notre comparaison entre ISO 42001, ISO 27001, AI Act et nLPD détaille les recouvrements, et l'article dédié à l'articulation avec la nLPD suisse précise ce qu'un DPO doit garder à l'esprit.
Certification : utile, pas obligatoire
La certification ISO 42001 est volontaire[3]. L'ISO ne certifie pas les organisations : ce sont des organismes de certification indépendants, potentiellement accrédités par un organisme national d'accréditation, qui délivrent le certificat après un audit en deux étapes[3].
Le marché de la certification s'est structuré rapidement. Selon BSI, à la date de dernière vérification (juillet 2026), BSI se présente comme le premier organisme accrédité par UKAS pour certifier ISO/IEC 42001, avec des accréditations complémentaires RvA aux Pays-Bas et ANAB aux États-Unis[4]. Vérifier l'évolution depuis cette date, car d'autres organismes obtiennent régulièrement leur accréditation. Côté suisse, l'accréditation dépend du SAS, sujet développé dans notre article sur la certification accréditée en Suisse.
Faut-il viser la certification, ou l'alignement seul ? La réponse dépend de trois facteurs : vos clients l'exigent-ils par appel d'offres, votre exposition réglementaire justifie-t-elle une preuve externe, votre marché valorise-t-il la démonstration de gouvernance responsable. La page ISO le rappelle clairement : l'adoption de la norme sans certification apporte déjà de la valeur[3].
Ce que la démarche demande vraiment à une PME
Parler franchement, sans commercial. Une démarche ISO 42001 dans une PME mobilise trois ressources : du temps de direction, un pilote opérationnel, et une documentation vivante. La norme demande d'écrire ce qu'on fait et de faire ce qu'on a écrit, avec des preuves.
Le guide publié par AI Governance Library décrit un chemin en 18 étapes, du soutien du management jusqu'à l'audit interne et l'audit de certification[2]. Aucun raccourci sérieux ne les élimine. Ce qui varie, c'est la profondeur : une PME avec deux cas d'usage IA n'a pas la même charge documentaire qu'un éditeur de plateformes.
Pour une PME romande, un exemple de calibrage réaliste. Si vous utilisez trois outils d'IA générative en interne et un modèle de scoring dans votre métier, votre périmètre couvre quatre systèmes. L'analyse d'impact et l'appréciation des risques portent sur ces quatre systèmes, pas sur l'IA en général. Voir la méthode d'analyse d'impact pour cadrer l'effort.
Cinq premiers pas défendables
Avant tout budget de certification, ces cinq gestes créent la base d'un SMIA et se justifient devant un comité de direction. Ils reprennent les recommandations pratiques publiées par l'ISO[3].
Un ordre défendable pour démarrer sans se disperser.
Ces cinq gestes couvrent l'esprit des clauses 4 à 10 sans engager de budget d'audit externe.
L'étape 1 est plus difficile qu'il n'y paraît. Les inventaires des systèmes d'IA révèlent presque toujours des usages non déclarés, en particulier autour des assistants génératifs installés en dehors de la DSI. Un dirigeant qui aborde ISO 42001 sans cet inventaire prend une décision sans base.
Une fois la cartographie posée, l'analyse d'écart, ou gap analysis, permet de mesurer l'écart entre l'existant et la norme, sans engager le budget d'un audit officiel. C'est le geste que je recommande avant toute décision de certification.
Pièges fréquents en gouvernance IA
Trois pièges reviennent dans les démarches observées, indépendamment du secteur.
- Confondre certification et conformité légale : la certification ISO 42001 ne remplace ni l'AI Act, ni la nLPD, ni un audit RGPD[3].
- Faire porter la démarche par la DSI seule : la norme exige un engagement de la direction, une politique et des ressources allouées, pas un projet technique isolé[3].
- Copier une politique IA générique : la norme demande une politique alignée sur le contexte de l'organisation, ce qui suppose d'avoir d'abord analysé ce contexte[3].
Deux autres travers sont observés régulièrement dans les démarches suisses. Sous-estimer le poids documentaire de la clause 7.5, qui structure toute la traçabilité du système : notre liste des documents obligatoires évite de découvrir tardivement des trous. Et surestimer la valeur d'un certificat sans preuve d'accréditation solide.
Pour un dirigeant, la question à trancher en dix minutes n'est pas « certifions-nous » mais « quel niveau de gouvernance IA nous rend défendables face à nos clients, notre régulateur et notre conseil d'administration ». ISO 42001 fournit un cadre pour y répondre par écrit. Le hub Comprendre la norme regroupe les entrées utiles pour approfondir sans se perdre.
Questions fréquentes
ISO 42001 est-elle obligatoire pour une PME suisse ?
Non. La norme est volontaire, comme l'indique la synthèse officielle de l'ISO. Elle ne remplace pas les obligations légales suisses ou européennes, notamment la nLPD ou l'AI Act pour les systèmes d'IA mis sur le marché européen. Elle sert de cadre pour piloter et démontrer une gouvernance responsable, pas d'obligation directe imposée par un régulateur.
Combien de temps prend une certification ISO 42001 en PME ?
Les sources publiques ne fixent pas de durée standard. Le guide AI Governance Library décrit un chemin en 18 étapes, du soutien du management à l'audit de certification, avec un effort proportionnel à la taille et au nombre de systèmes d'IA concernés. Un cadrage réaliste passe par une analyse d'écart avant tout engagement de budget d'audit externe.
Quelle différence avec ISO 27001 ?
Les deux normes partagent la structure Harmonized Structure et une logique de management par les risques. ISO 27001 traite la sécurité de l'information. ISO 42001 ajoute des exigences spécifiques à l'IA : gouvernance du cycle de vie, transparence, supervision humaine, et une évaluation d'impact qui inclut les personnes et la société. Les deux systèmes se combinent efficacement.
Faut-il un consultant pour se lancer ?
Pas obligatoirement pour les premiers pas. L'inventaire des systèmes d'IA, la nomination d'un responsable et l'ébauche d'une politique restent internes. Un accompagnement externe devient utile pour l'analyse de risques structurée, la déclaration d'applicabilité et la préparation d'audit. Une analyse d'écart préalable permet de calibrer ce recours sans acheter du temps inutile.
La certification garantit-elle la conformité à l'AI Act ?
Non. Selon la synthèse de l'ISO et l'analyse d'AI Governance Library de mars 2026, ISO 42001 est un cadre de gestion qui aide à respecter les obligations réglementaires, sans s'y substituer. L'AI Act définit des obligations juridiques par catégorie de risque. La norme facilite leur mise en œuvre opérationnelle mais un audit AI Act reste séparé. Vérifier l'évolution des guides d'articulation depuis cette date.
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- Comprehensive Guide to ISO 42001, AI Governance Library, mars 2026 https://www.aigl.blog/comprehensive-guide-to-iso-42001/
- ISO 42001 explained, site officiel ISO https://www.iso.org/home/insights-news/resources/iso-42001-explained-what-it-is.html
- ISO/IEC 42001 AI Management System, BSI https://www.bsigroup.com/en-SE/products-and-services/standards/iso-42001-ai-management-system/
- ISO/IEC 42001 Certification: AI Management System, DNV https://www.dnv.com/services/iso-iec-42001-artificial-intelligence-ai--250876/
Dernière vérification : 14 juillet 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.