Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Blog · Risques et conformité

Blog · Risques et conformité

Non-conformité AI Act : risques et pont vers ISO 42001

Par David Zbinden Dernière vérification : 4 juin 2026
En bref

L'AI Act européen impose des obligations contraignantes et des sanctions pouvant atteindre 35 millions d'euros ou 7 pour cent du chiffre d'affaires mondial. ISO/IEC 42001, volontaire, couvre 40 à 50 pour cent des exigences communes et sert d'ossature de gouvernance pour préparer la conformité, sans s'y substituer.

Cartographie des risques de non-conformité

Pour un responsable conformité ou un DPO, la non-conformité au règlement européen sur l'IA ne se résume pas à une amende. Elle comporte trois strates qui doivent être traitées séparément, parce qu'elles relèvent d'autorités, de calendriers et de preuves différents.

La première strate est juridique. L'AI Act est une législation contraignante à portée extraterritoriale : il s'applique aux fournisseurs et déployeurs dont les systèmes sont mis sur le marché de l'Union ou dont les sorties sont utilisées dans l'Union, indépendamment du lieu d'établissement[4]. Un acteur suisse qui exporte un service d'IA vers un client français est concerné, ce qui inclut la majorité des éditeurs SaaS romands.

La deuxième strate est contractuelle. Les clients, en particulier dans la finance et la santé, intègrent désormais des clauses d'alignement à l'AI Act et aux référentiels de gouvernance dans leurs appels d'offres[3]. Un défaut documentaire devient un motif d'éviction commerciale avant d'être un motif de sanction.

La troisième strate est réputationnelle et opérationnelle : biais, défaillances, atteinte à la vie privée, perte de traçabilité. Ces risques préexistent au règlement, mais celui-ci les rend visibles et redevables. Le SMIA décrit par ISO/IEC 42001 répond précisément à cette strate, en imposant une gestion par cycle de vie[8].

Sanctions et calendrier d'application

L'architecture de sanctions de l'AI Act est calibrée sur le niveau de risque du système concerné. Les pratiques interdites, comme la notation sociale ou certaines formes de manipulation, exposent à des amendes pouvant atteindre 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial[4]. Les autres infractions, par exemple un défaut documentaire sur un système à haut risque, plafonnent à 15 millions d'euros ou 3 pour cent du chiffre d'affaires[4].

Les jalons de mise en application s'étalent. Selon VerifyWise, en novembre 2025, l'échéancier post-omnibus retient plusieurs dates structurantes pour la planification interne[4]. Vérifier l'évolution depuis cette date sur le texte officiel reste indispensable, le règlement ayant fait l'objet d'un omnibus annoncé pour mai 2026.

Jalons clés de mise en application

Séquence des obligations entrant en vigueur, telle que documentée en novembre 2025.

12 février 2025 : pratiques interdites et obligation de littératie IA
22 août 2025 : obligations des fournisseurs de modèles GPAI
32 décembre 2026 : transparence des contenus synthétiques, article 50(2)
42 décembre 2027 : obligations Annexe III pour systèmes haut risque autonomes
52 août 2028 : IA haut risque intégrée aux produits régulés Annexe I

Source VerifyWise, novembre 2025, à recouper avec le texte consolidé publié sur EUR-Lex[4].

Pour le DPO, l'échéance de février 2025 a déjà déplacé le sujet de la projection à l'exécution : la littératie IA est due pour tout collaborateur exposé à un système d'IA, qu'il en soit utilisateur ou opérateur. La preuve attendue ressemble à celle exigée pour la protection des données, plans de formation, attestations, suivi des populations cibles[4].

Recouvrement avec ISO/IEC 42001

La question pratique posée par les comités de direction est rarement théorique : que gagne-t-on à certifier ISO/IEC 42001 quand l'AI Act est, lui, obligatoire. La réponse documentée par plusieurs analyses indépendantes converge vers un recouvrement de 40 à 50 pour cent des exigences de haut niveau[4][7].

Ce recouvrement se concentre sur quatre familles d'exigences. La gouvernance des données, traitée à l'article 10 du règlement pour les systèmes à haut risque, trouve un répondant dans les contrôles de gestion des données du SMIA[7]. La gestion des risques, structurée en quatre catégories par l'AI Act, s'appuie sur l'analyse d'impact et l'évaluation des risques exigées par ISO/IEC 42001[7].

La supervision humaine, prescrite par l'article 14 du règlement, recouvre les exigences d'attribution des rôles et de documentation des processus du SMIA[7]. Enfin, les considérations éthiques, équité, non-discrimination et dignité, sont traitées en parallèle par les deux référentiels[4].

Comparatif de portée AI Act et ISO/IEC 42001
CritèreAI Act
NatureLégislation contraignante, sanctions financières[4]
ChampSystèmes commercialisés ou utilisés dans l'Union[4]
ApprochePar risque produit, quatre tiers[1]
PreuveÉvaluation de conformité, registre, déclaration[1]
CritèreISO/IEC 42001
NatureStandard volontaire, certifiable par organisme accrédité[8]
ChampToute organisation, toute taille, toute industrie[8]
ApprocheSystème de management par cycle de vie, PDCA[1]
PreuveAudit de certification, validité trois ans[7]

Écarts résiduels à traiter en propre

Le risque de gouvernance, pour un responsable conformité, n'est pas le recouvrement, c'est l'écart résiduel. Une organisation certifiée ISO/IEC 42001 reste exposée à des manquements à l'AI Act si elle ne traite pas ce qui sort du SMIA.

Premier écart : les interdictions absolues. L'AI Act prohibe certaines pratiques, notation sociale, manipulation, identification biométrique à distance en temps réel dans l'espace public sauf exceptions[4]. ISO/IEC 42001 ne prohibe rien et renvoie à l'organisation le soin de déterminer ce qui est légalement interdit[4]. La cartographie des cas d'usage doit donc inclure un filtre légal explicite, antérieur à l'évaluation des risques.

Deuxième écart : les obligations prescriptives. L'AI Act exige des contenus documentaires précis, des journaux conservés au moins six mois pour les systèmes haut risque, des procédures d'évaluation de conformité spécifiques[4]. ISO/IEC 42001 est principe-orienté et laisse l'organisation calibrer ses contrôles[4]. Il faut donc traduire les exigences principielles du SMIA en livrables conformes au format attendu par le règlement.

Troisième écart : la sécurité produit. L'AI Act traite l'IA comme un produit qui doit satisfaire des exigences avant mise sur le marché, avec marquage CE pour les systèmes haut risque[4]. ISO/IEC 42001 raisonne en système de management couvrant développement, déploiement et exploitation[4]. Les deux logiques cohabitent mais ne se substituent pas.

Quatrième écart : le régime de preuve. L'AI Act prévoit l'auto-attestation par défaut et l'intervention d'un organisme notifié pour les systèmes haut risque[7]. ISO/IEC 42001 prévoit une certification par organisme accrédité, valable trois ans[7]. Les deux dossiers de preuve coexistent et alimentent des autorités différentes.

Feuille de route pour un acteur suisse

Pour un éditeur ou un déployeur établi en Suisse romande, l'exposition à l'AI Act dépend du périmètre commercial. Un cabinet de prévoyance qui sert exclusivement une clientèle suisse n'entre pas dans le champ. Un éditeur fintech qui commercialise un outil de scoring à des banques européennes y entre intégralement, même sans entité juridique dans l'Union[4].

La séquence observée dans les démarches les plus rationnelles tient en quatre temps. D'abord une cartographie des cas d'usage, avec qualification par niveau de risque AI Act et identification des interdictions. Ensuite une évaluation d'écart conjointe AI Act et ISO/IEC 42001, qui révèle généralement que la moitié des exigences est couverte par les démarches qualité ou sécurité préexistantes[7].

Vient ensuite la construction d'un SMIA qui sert de socle. Selon plusieurs cabinets spécialisés, dont GRC Solutions et A-LIGN, ce socle est généralement intégré à un système ISO/IEC 27001 préexistant pour mutualiser politiques, rôles et revues de direction[3][6]. À recouper avec votre référentiel de certification, ce point relève d'un choix d'architecture documentaire propre à chaque organisation.

Enfin, la production des livrables spécifiques à l'AI Act, registre des systèmes, documentation technique, déclaration UE de conformité pour les systèmes haut risque, plan de surveillance post-commercialisation. Ces livrables ne sont pas exigés par ISO/IEC 42001 mais peuvent être dérivés des éléments du SMIA[1].

Pièges fréquents en pratique

Les démarches observées révèlent quelques pièges récurrents que le responsable conformité a intérêt à anticiper. Le premier consiste à confondre certification ISO/IEC 42001 et conformité AI Act. Une certification ne constitue pas une présomption de conformité au règlement, et les organismes officiels n'ont publié, à la date de juin 2026, aucune équivalence formelle.

Le deuxième piège porte sur la littératie IA. Plusieurs équipes la traitent comme une formation générique alors que l'article 4 du règlement exige une littératie proportionnée au rôle et au système concerné[4]. La preuve attendue est nominative, comme pour la protection des données.

Le troisième piège concerne le statut de fournisseur. Une organisation qui adapte significativement un système d'IA tiers, par fine-tuning ou par changement d'usage, peut être requalifiée en fournisseur au sens du règlement, avec les obligations afférentes[1]. Le DPO doit donc cartographier non seulement les usages mais aussi les modifications opérées sur les modèles externes.

Le quatrième piège est documentaire. La traçabilité exigée par l'AI Act repose sur des journaux techniques conservés au moins six mois pour les systèmes haut risque[4]. Beaucoup d'infrastructures cloud existantes ne capturent pas le bon niveau de granularité par défaut. C'est un sujet d'architecture, pas un sujet de politique, et il vaut mieux le traiter en amont de la certification.

Dernier piège, plus discret, la chaîne fournisseurs. Les déployeurs s'appuient sur des modèles fondation, des API et des services managés dont la documentation conditionne leur propre dossier de conformité[1]. Sans clauses contractuelles précises sur la mise à disposition de la documentation technique, la déclaration de conformité du déployeur reste fragile.

Questions fréquentes

Une certification ISO/IEC 42001 suffit-elle à être conforme à l'AI Act ?

Non. Le recouvrement entre les deux référentiels est estimé entre 40 et 50 pour cent des exigences de haut niveau selon les analyses comparatives publiées[4]. ISO/IEC 42001 fournit un socle de gouvernance robuste, mais le règlement ajoute des interdictions, des obligations documentaires prescriptives et un régime d'évaluation de conformité que la certification ne couvre pas[7].

Quel est le montant maximal des sanctions prévues par l'AI Act ?

Les pratiques interdites exposent à des amendes pouvant atteindre 35 millions d'euros ou 7 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les autres infractions, comme un manquement documentaire sur un système à haut risque, plafonnent à 15 millions d'euros ou 3 pour cent du chiffre d'affaires[4].

Une entreprise suisse sans entité dans l'Union européenne est-elle concernée ?

Oui dès lors qu'elle met un système d'IA à disposition sur le marché de l'Union ou que les sorties du système sont utilisées dans l'Union, indépendamment du lieu d'établissement du fournisseur[4]. C'est le cas de la plupart des éditeurs SaaS romands ayant des clients européens, qui doivent donc tenir une documentation de conformité dédiée.

Faut-il certifier ISO/IEC 42001 avant ou après la mise en conformité AI Act ?

Les deux trajectoires sont possibles. Une lecture pragmatique consiste à construire le SMIA en parallèle de la cartographie des cas d'usage AI Act, en mutualisant les politiques avec un système ISO/IEC 27001 préexistant[3]. La certification ISO/IEC 42001 est valable trois ans et offre une preuve réutilisable face aux clients et partenaires[7].

Qu'est-ce qui change pour les modèles d'IA à usage général dits GPAI ?

Depuis le 2 août 2025, selon le calendrier post-omnibus documenté en novembre 2025, les fournisseurs de modèles GPAI doivent maintenir une documentation technique et respecter le droit d'auteur européen[4]. Les déployeurs qui intègrent ces modèles doivent obtenir la documentation correspondante pour alimenter leur propre dossier de conformité, ce qui suppose des clauses contractuelles adaptées.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

ComparatifsISO 42001 vs ISO 27001 : différences et passerellesSe certifierLead Implementer ISO 42001 : rôle et formationComprendreDéclaration d'applicabilité IA : SoA ISO 42001 décodée
Sources
  1. EU AI Act vs ISO 42001, ModelOp https://www.modelop.com/ai-governance/ai-regulations-standards/eu-ai-act-vs-iso-42001
  2. ISO 42001 Services for Effective AI Compliance, GRC Solutions https://grcsolutions.io/iso-42001-ai-governance/
  3. EU AI Act vs ISO 42001, 7 différences, VerifyWise https://verifywise.ai/blog/eu-ai-act-vs-iso-42001-similarities-and-differences
  4. Preparing for EU AI Act Compliance with ISO 42001, A-LIGN https://www.a-lign.com/articles/preparing-for-eu-ai-act-compliance
  5. EU AI Act and ISO 42001 compatibility, Vanta https://www.vanta.com/collection/iso-42001/iso-42001-and-eu-ai-act
  6. ISO/IEC 42001:2023, AI management systems, ISO https://www.iso.org/standard/42001

Dernière vérification : 4 juin 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.