Blog · Comparatifs et mapping
ISO 42001 et RGPD : norme volontaire face à loi contraignante
ISO/IEC 42001 est une norme de management de l'IA, volontaire et certifiable. Le RGPD est une loi européenne contraignante sur les données personnelles. Les deux référentiels se croisent sur la gouvernance, la documentation et la gestion des risques, mais ne se substituent jamais l'un à l'autre. Pour un DPO, ISO 42001 structure ce que le RGPD impose sans le détailler côté IA.
Deux objets de natures différentes
La première confusion à lever est celle de la nature juridique. Le RGPD est un règlement de l'Union européenne, directement applicable, qui crée des droits pour les personnes concernées et des obligations pour les responsables de traitement. ISO/IEC 42001 est une norme internationale publiée par l'ISO et la CEI en décembre 2023, qui propose un cadre de management de l'IA sans force contraignante propre[1].
Concrètement, le RGPD s'impose dès qu'une entité traite des données personnelles de résidents de l'Union, indépendamment de toute démarche volontaire. ISO 42001 ne s'applique qu'aux organisations qui décident de structurer un SMIA, avec ou sans certification à la clé. La certification, lorsqu'elle est recherchée, est délivrée par un organisme tiers accrédité, pas par l'ISO elle-même[1].
Cette différence de statut explique tout le reste. Une non-conformité au RGPD expose à des sanctions administratives prononcées par une autorité de contrôle. Une non-conformité à ISO 42001 expose, au pire, à la perte d'un certificat volontaire. Les deux instruments ne jouent pas dans la même catégorie, et il est important de garder cette asymétrie en tête avant toute comparaison de contenu.
Périmètre : système d'IA contre traitement de données
Le périmètre couvert diverge tout autant. ISO 42001 s'adresse aux organisations qui développent, fournissent ou utilisent des systèmes d'IA, et couvre le cycle de vie complet de ces systèmes, de la conception au retrait[1]. Son objet est le système d'IA, pas la donnée personnelle.
Le RGPD raisonne à l'envers. Son objet est la donnée à caractère personnel, quel que soit le moyen technique utilisé pour la traiter. Un modèle d'apprentissage automatique entraîné sur des données anonymes sort du champ du RGPD mais reste pleinement dans celui d'ISO 42001. À l'inverse, un fichier client géré sans aucune IA reste pleinement RGPD et hors champ ISO 42001.
Cette différence de focale a une conséquence opérationnelle. Un responsable conformité qui appliquerait uniquement le RGPD passerait à côté de risques propres à l'IA qui ne concernent pas les données personnelles, comme la dérive d'un modèle de maintenance prédictive industrielle. Un responsable qui appliquerait uniquement ISO 42001 sans réflexe RGPD risquerait de structurer une gouvernance IA solide sur le papier, mais juridiquement aveugle dès qu'une donnée personnelle entre dans le pipeline.
Pour clarifier la distinction de fond, voici l'objet de chaque référentiel et son mode d'action.
Lecture : les deux ne se substituent pas, ils se complètent sur la zone de recouvrement.
Obligations, sanctions et valeur juridique
Côté RGPD, les obligations sont énumérées et sanctionnées. Base légale, information des personnes, exercice des droits, registre des traitements, analyse d'impact relative à la protection des données, notification de violation. Le défaut peut conduire à des amendes administratives proportionnées au chiffre d'affaires mondial.
Côté ISO 42001, le texte fixe des exigences de management classiques de la famille ISO : leadership, politique IA, gestion des risques, contrôles du cycle de vie des données et des systèmes, transparence, évaluation de la performance, amélioration continue[1]. La non-conformité ne déclenche aucune amende légale en tant que telle, elle déclenche au mieux une non-conformité d'audit.
L'ISO elle-même rappelle que la norme ne remplace ni les lois ni les règlements, mais propose un cadre de management qui aide les organisations à respecter leurs obligations de conformité plus efficacement[1]. C'est une formulation qu'un DPO doit garder en tête lorsqu'on lui présente ISO 42001 comme une alternative au RGPD : ce n'en est pas une, c'est un outil pour mieux le servir sur le terrain IA.
Là où les deux référentiels se recouvrent
La zone de recouvrement est réelle, et c'est là que le travail d'un DPO devient intéressant. Plusieurs exigences ISO 42001 produisent, de fait, de la matière utile à la conformité RGPD lorsqu'un traitement automatisé repose sur de l'IA.
Gouvernance et responsabilités
ISO 42001 demande de définir les responsabilités relatives à l'usage de l'IA, d'identifier où des systèmes d'IA sont utilisés, et de documenter les politiques d'usage et de gouvernance des données[1]. Le RGPD demande, lui, de tenir un registre des activités de traitement et de désigner clairement le responsable. Quand on superpose les deux, l'inventaire ISO 42001 des cas d'usage IA alimente directement la cartographie RGPD des traitements automatisés.
Gestion des risques et analyse d'impact
La norme impose d'identifier et d'évaluer les risques liés à l'IA, en couvrant des risques propres comme le biais, la sécurité, le mésusage et la dérive comportementale[1][6]. Le RGPD impose une analyse d'impact dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés, ce qui est régulièrement le cas pour les décisions automatisées à fort impact. Les deux analyses ne sont pas identiques, mais elles partagent une partie de leurs entrées et de leurs livrables.
Transparence et information
ISO 42001 inclut des exigences de transparence et d'information sur les systèmes d'IA, à destination des parties prenantes[1]. Cette logique recoupe les obligations d'information du RGPD lorsqu'un traitement implique une décision automatisée, où la personne concernée doit recevoir une information utile sur la logique sous-jacente.
Surveillance et amélioration continue
La performance et la surveillance dans le temps font partie du noyau ISO 42001[1]. Côté RGPD, l'obligation de réexamen périodique des AIPD et de revue des mesures techniques et organisationnelles repose sur une logique similaire, sans l'imposer dans un format de système de management formalisé.
Là où ISO 42001 ne couvre pas le RGPD
Il faut être clair sur ce point pour éviter les promesses excessives. ISO 42001 n'épuise pas les obligations RGPD, et certaines exigences strictement juridiques n'ont pas d'équivalent normatif.
La norme n'établit pas de base légale au sens du RGPD. Elle ne se prononce ni sur le consentement, ni sur l'intérêt légitime, ni sur la qualification d'un transfert hors Union européenne. Elle ne définit pas non plus les droits des personnes concernées : accès, rectification, effacement, opposition, portabilité, limitation. Toute la mécanique de l'exercice des droits relève du droit, pas de la norme.
Elle n'impose pas non plus la désignation d'un DPO, ni la tenue d'un registre RGPD au format attendu par les autorités. Une certification ISO 42001 ne vaut donc jamais conformité RGPD, et un certificateur n'a ni le mandat ni la compétence pour se prononcer sur la légalité d'un traitement au sens du règlement européen[3].
Inversement, le RGPD ne dit rien de la qualité d'un jeu d'entraînement, de la robustesse d'un modèle face à des attaques adverses, de la surveillance d'une dérive de performance, ou de la gouvernance interne d'un comité IA. Ce sont précisément les angles morts juridiques que la norme vient combler[6].
Articulation pratique pour un DPO
Pour un DPO ou un responsable conformité qui hérite du dossier IA, l'articulation utile n'est pas un choix entre les deux. C'est une intégration. Quelques principes opérationnels se dégagent des sources disponibles, sachant que les détails de mise en place dépendent du contexte de chaque organisation[7].
Réutiliser l'inventaire
L'inventaire des cas d'usage IA exigé par ISO 42001[1] est la première brique. Il alimente le registre RGPD pour les traitements automatisés, et il sert d'amorce à toute analyse de risque. Il évite surtout l'illusion fréquente qu'aucune IA n'est utilisée, alors que des outils SaaS embarquent déjà des fonctions génératives.
Coupler AIPD et analyse de risque IA
Lorsqu'un traitement personnel passe par un système d'IA, l'AIPD côté RGPD et l'analyse de risque côté ISO 42001 gagnent à être conduites dans un même livrable. Les sections sur la finalité, les bases légales et les droits restent purement RGPD ; les sections sur la qualité des données, le biais, la robustesse, la surveillance et le retrait du modèle relèvent d'ISO 42001[6]. Le format combiné évite la duplication de travail et les contradictions internes.
Sécuriser la chaîne fournisseurs
Beaucoup d'organisations consomment de l'IA via des fournisseurs cloud. Des acteurs comme AWS, Microsoft ou Salesforce communiquent sur la certification ISO 42001 de tout ou partie de leurs services IA[3][4][8]. Cela n'exonère pas le client de ses propres obligations : AWS rappelle explicitement qu'une organisation n'est pas certifiée par association[3]. Mais cela facilite la due diligence et la documentation contractuelle, en particulier sur les volets RGPD relatifs aux sous-traitants.
Aligner les revues
Les revues de management ISO 42001 et les revues de conformité RGPD peuvent partager un calendrier commun. Une revue annuelle unique, instruite par le DPO et le responsable du SMIA, évite le double pilotage et garde les deux référentiels alignés sur les mêmes cas d'usage. À noter, les sources disponibles ne fixent pas de fréquence chiffrée commune et il convient de la calibrer selon le profil de risque interne.
| Inventaire des usages IA | Brique commune, exigible côté ISO 42001[1], utile au registre RGPD |
|---|---|
| Analyse de risque IA et AIPD | Livrables distincts mais à coupler sur les traitements personnels[6] |
| Droits des personnes | RGPD uniquement, hors champ ISO 42001 |
| Qualité des données, biais, dérive | ISO 42001, peu détaillé côté RGPD[6] |
| Sanction en cas de manquement | Amende administrative RGPD, retrait de certificat ISO 42001[1] |
Un piège fréquent en Suisse romande
Un piège revient fréquemment dans les démarches observées en Suisse romande. Une PME basée à Lausanne ou à Genève, qui n'a pas d'établissement dans l'Union européenne, conclut qu'elle n'est pas concernée par le RGPD et raisonne uniquement en termes de nLPD côté droit suisse. C'est une lecture trop rapide. Dès qu'un service est offert à des personnes en Union européenne ou que leur comportement y est observé, le RGPD s'applique au titre de son champ territorial étendu.
ISO 42001 n'aide pas à trancher cette question, qui est purement juridique. Mais une cartographie ISO 42001 honnête, qui décrit qui sont les utilisateurs finaux des systèmes d'IA et où ils se trouvent, met cette question sur la table noir sur blanc. C'est un effet collatéral utile de la norme, à condition que le SMIA soit instruit avec sérieux et non pas comme une formalité documentaire[1].
Symétriquement, un acteur public romand qui ne traite que des données suisses et n'offre aucun service en Union européenne ne sera pas soumis au RGPD, mais sera concerné par la nLPD. ISO 42001 reste pertinent dans les deux configurations, parce que ses exigences de management ne dépendent pas du droit applicable aux données personnelles. C'est précisément ce qui en fait un cadre stable, à partir duquel on peut accrocher la couche réglementaire propre à chaque juridiction.
Questions fréquentes
Une certification ISO 42001 vaut-elle conformité RGPD ?
Non. ISO précise que la norme ne remplace ni les lois ni les règlements et qu'elle propose un cadre de management aidant à satisfaire plus efficacement les obligations de conformité[1]. La conformité RGPD reste évaluée par les autorités de contrôle, sur la base d'obligations légales que la norme ne fixe pas, comme les bases légales et les droits des personnes.
Un DPO doit-il piloter ISO 42001 dans son organisation ?
Pas nécessairement seul. ISO 42001 demande des responsabilités claires côté IA[1], et le DPO est légitime à co-piloter la zone de recouvrement avec le responsable du SMIA. Le portage exclusif par le DPO n'est généralement pas souhaitable, car le périmètre IA dépasse les données personnelles, notamment sur la qualité des modèles et la sécurité spécifique[6].
Si mon fournisseur cloud est certifié ISO 42001, suis-je couvert ?
Non, pas par association. AWS l'écrit explicitement, votre organisation n'est pas automatiquement certifiée parce que vous utilisez un service certifié[3]. La certification d'un fournisseur facilite la due diligence et la rédaction contractuelle côté sous-traitance RGPD, mais vos propres traitements et votre propre SMIA restent à instruire et à documenter pour votre périmètre.
Faut-il fusionner AIPD et analyse de risque ISO 42001 dans un seul document ?
Les coupler dans un même livrable a du sens lorsqu'un traitement automatisé repose sur de l'IA. Cela évite la duplication et les incohérences. Les sections strictement RGPD, base légale, droits, transferts, restent distinctes des sections IA sur qualité de données, biais, robustesse et surveillance[6]. Le format combiné reste un choix méthodologique, non imposé par les sources.
Quelle priorité entre RGPD et ISO 42001 pour une PME romande ?
Le RGPD prime par sa nature contraignante dès qu'il s'applique. ISO 42001 reste un projet volontaire[1]. En pratique, une PME romande qui traite des données européennes traitera d'abord la mise en conformité légale, puis s'appuiera sur ISO 42001 pour structurer la gouvernance IA. La séquence inverse expose à un beau SMIA mais à un risque juridique non maîtrisé.
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- ISO, ISO 42001 explained https://www.iso.org/home/insights-news/resources/iso-42001-explained-what-it-is.html
- AWS, ISO 42001 Artificial Intelligence Management System FAQ https://aws.amazon.com/compliance/iso-42001-faqs/
- Microsoft Learn, ISO/IEC 42001:2023 AI management system standards https://learn.microsoft.com/en-us/compliance/regulatory/offering-iso-42001
- Trend Micro, What Is ISO 42001 https://www.trendmicro.com/en_us/what-is/ai/iso-42001.html
- EY, ISO 42001 paving the way for ethical AI https://www.ey.com/en_us/insights/ai/iso-42001-paving-the-way-for-ethical-ai
- Salesforce Compliance, ISO 42001 https://compliance.salesforce.com/categories/iso-42001
Dernière vérification : 31 mai 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.