Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Comparatifs et mapping

Comparatifs et mapping

ISO 42001 et l'AI Act européen

Par David Zbinden Dernière vérification : 31 mai 2026
En bref

L'AI Act est un règlement européen contraignant qui classe les systèmes d'IA par niveau de risque et fixe des obligations pour les mettre sur le marché. L'ISO 42001 est une norme de management volontaire qui structure une démarche interne. Les deux se recoupent sur la gestion des risques et la gouvernance, mais la norme ne rend pas conforme au règlement.

Deux textes de nature différente

La première chose à poser, avant toute comparaison, est que l'AI Act et l'ISO 42001 ne sont pas deux objets de même nature. L'AI Act est le règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024.[1] C'est un texte de droit, contraignant pour qui entre dans son champ, assorti de sanctions. L'ISO/IEC 42001:2023, elle, est une norme internationale de système de management, dont l'adoption reste volontaire.[5]

Cette différence de statut commande tout le reste. Un règlement s'impose, une norme s'adopte. L'un vise la mise sur le marché de produits et services dans l'Union, l'autre structure la façon dont une organisation se gouverne en interne. Les confondre conduit à deux erreurs symétriques : croire qu'un certificat ISO vaut conformité réglementaire, ou penser qu'une norme volontaire n'a aucun intérêt face à une obligation légale. Aucune des deux lectures ne tient.

Le règlement est entré en vigueur le 1er août 2024. À ce stade, aucune de ses exigences ne s'appliquait encore : elles entrent en vigueur progressivement, par étapes.[2] Cette montée en charge dans le temps, datée et propre au droit européen, n'a pas d'équivalent dans la norme, qui s'applique dès qu'une organisation décide de la suivre.

L'AI Act : une réglementation par les risques

La logique de l'AI Act est une approche par les risques. Le règlement classe les systèmes d'IA selon le risque qu'ils présentent : risque inacceptable, qui est interdit, comme la notation sociale ou certaines techniques manipulatrices ; haut risque, qui concentre la plupart des obligations ; risque limité, soumis à des obligations de transparence allégées, par exemple signaler à l'utilisateur qu'il interagit avec une IA ; et risque minimal, non réglementé.[3] La catégorie dans laquelle tombe un système commande donc l'intensité des obligations.

La majorité des obligations pèse sur les fournisseurs, c'est-à-dire les développeurs, des systèmes à haut risque. Les déployeurs en portent aussi, mais moins que les fournisseurs.[3] Le règlement vise la mise sur le marché et la mise en service de systèmes d'IA dans l'Union, y compris pour des fournisseurs établis hors de l'UE dès lors que le résultat de leur système y est utilisé.[3] Ce caractère extraterritorial est l'un des points qui rendent le texte pertinent bien au-delà des frontières de l'Union.

Pour les systèmes à haut risque, le fournisseur doit notamment établir un système de gestion des risques couvrant le cycle de vie, assurer la gouvernance des données, tenir une documentation technique, prévoir l'enregistrement des événements, organiser la surveillance humaine et mettre sur pied un système de gestion de la qualité.[3] Ces obligations ne sont pas de simples bonnes pratiques : leur défaut peut déclencher les pouvoirs des autorités nationales, jusqu'à l'action corrective, la restriction ou le retrait du marché.[7]

L'ISO 42001 : un système de management volontaire

L'ISO/IEC 42001 répond à une autre question. Elle spécifie les exigences et fournit des recommandations pour établir, mettre en place, maintenir et améliorer en continu un système de management de l'IA dans le contexte d'une organisation.[5] Son objet n'est pas un produit mis sur un marché, mais la démarche interne par laquelle une organisation pilote ses usages de l'IA.

La norme est certifiable. Un certificat, délivré par un organisme de certification accrédité au terme d'un audit en deux étapes, est valable trois ans.[6] Ce certificat atteste qu'un système de management existe et fonctionne, pas qu'un système d'IA donné respecte telle exigence légale. Cette nuance commande toute la comparaison qui suit.

Là où le règlement raisonne par catégorie de risque et par obligation, la norme raisonne par processus de management : contexte, leadership, politique, appréciation et traitement des risques, support, fonctionnement, évaluation des performances et amélioration. C'est une architecture de gouvernance, transposable à n'importe quel secteur et à n'importe quelle taille d'organisation, indépendamment de toute juridiction.

Ce qui se recoupe entre les deux

Le recoupement entre les deux textes est réel, et c'est précisément ce qui rend leur articulation intéressante. Les deux couvrent la gestion des risques liés à l'IA, la gouvernance des données, la surveillance humaine, la documentation des processus et les implications éthiques comme l'équité ou la prévention des biais.[6] Une organisation qui a déjà construit ces briques pour la norme retrouve une partie du travail attendu par le règlement.

L'estimation circule, chez certains analystes, d'un recoupement de haut niveau de l'ordre de quarante à cinquante pour cent entre les deux cadres.[6] Ce chiffre, avancé par un éditeur de solutions de conformité, vaut comme ordre de grandeur, pas comme mesure exacte. Il traduit surtout une réalité : les attentes de fond, gouverner les risques, documenter, surveiller, prévoir une intervention humaine, sont communes, même si leur formulation et leur portée diffèrent.

AI Act et ISO 42001 : ce qui les distingue
Critère AI Act (règlement UE 2024/1689) ISO/IEC 42001:2023
Objet Encadrer la mise sur le marché et l'usage des systèmes d'IA dans l'Union Structurer un système de management interne de l'IA dans une organisation
Nature juridique Réglementation contraignante, assortie de sanctions Norme volontaire, certifiable par un organisme accrédité
Portée UE, y compris fournisseurs de pays tiers dont le résultat est utilisé dans l'Union Internationale, toute organisation, indépendamment de la juridiction
Ce qui déclenche les obligations La catégorie de risque du système et le rôle (fournisseur, déployeur) La décision d'adopter la norme et le périmètre retenu

Synthèse construite à partir des sources citées. Les dates et le statut des normes harmonisées valent à la date de dernière vérification (mai 2026) et sont à confirmer sur les sources officielles.

Ce qui reste propre à chacun

Le recoupement ne doit pas masquer ce qui reste irréductible à chaque texte. L'AI Act impose des obligations par catégorie de risque, indépendamment de la volonté de l'organisation, et il vise un objectif que la norme ne poursuit pas : la mise sur le marché de produits et services dans l'Union.[3] Il interdit purement certains usages, il classe certains systèmes en haut risque, il prévoit pour une partie d'entre eux une évaluation par un organisme notifié là où la conformité est par défaut auto-déclarée.[6] Rien de tout cela n'a d'équivalent dans une norme de management.

L'ISO 42001, de son côté, structure une démarche que le règlement ne prescrit pas dans le détail. Elle demande un engagement de la direction, une politique d'IA, des objectifs, un programme d'audit interne et une logique d'amélioration continue qui dépassent le périmètre strict de la conformité légale.[7] Elle s'applique aussi à des usages d'IA sans aucun enjeu réglementaire européen, qu'aucun texte n'oblige à encadrer. Les deux ne se substituent donc pas l'un à l'autre : ils répondent à des questions distinctes, qui se chevauchent sans se confondre.

Le calendrier illustre bien cette différence de logique. Le règlement applique ses obligations par paliers datés : à la date de vérification, les interdictions valent depuis le 2 février 2025, les règles sur l'IA à usage général et la gouvernance depuis le 2 août 2025, la majeure partie du texte à compter du 2 août 2026, et une partie des obligations sur le haut risque relevant de l'article 6, paragraphe 1, à partir du 2 août 2027.[2] La norme, elle, ne connaît pas de tels paliers : elle s'applique du jour où l'organisation s'y engage. Ces dates étant susceptibles d'évoluer, elles sont à confirmer sur les sources officielles.

Comment la norme aide à préparer, sans rendre conforme

L'intérêt pratique de l'ISO 42001 face à l'AI Act tient en une formule : elle aide à préparer et à démontrer une partie des attentes, sans rendre conforme automatiquement. Adopter la norme ne garantit pas l'alignement avec le règlement, mais réduit le coût et l'effort, parce que les politiques, les appréciations de risque, la gouvernance et la surveillance qui forment le cœur des attentes de l'AI Act peuvent être opérationnalisées à travers le système de management.[6]

La marche à suivre, pour une organisation déjà certifiée, est de croiser ses contrôles existants avec les exigences propres à l'AI Act, puis d'identifier les écarts à combler.[6] Le système de management fournit la matière, la traçabilité et les responsabilités déjà en place ; le travail réglementaire consiste à vérifier que cette matière couvre bien chaque exigence du texte, et à traiter ce qui manque. C'est un point de départ, pas une ligne d'arrivée.

Pour les organisations responsables de systèmes à haut risque, l'ISO 42001 est d'ailleurs présentée comme un outil utile pour opérationnaliser la préparation à l'AI Act.[4] La norme ne remplace pas l'analyse réglementaire ; elle lui donne une assise. La distinction est la même que pour l'obligation de la norme elle-même : ce n'est pas la loi qui rend l'ISO 42001 obligatoire, c'est sa valeur d'organisation et de preuve qui la rend utile face à la loi.

Le point des normes harmonisées

Reste la question la plus souvent mal comprise : l'ISO 42001 est-elle une norme harmonisée de l'AI Act ? À la date de vérification, la réponse est non, et ce point mérite d'être posé avec précision. Les normes harmonisées traduisent des exigences légales en spécifications techniques. Elles sont élaborées par les organisations européennes de normalisation, CEN, CENELEC et ETSI, à la suite d'une demande de la Commission.[8]

Pour l'IA, CEN et CENELEC ont créé en juin 2021 un comité technique commun, le JTC 21, chargé des normes d'intelligence artificielle, dont les normes harmonisées pour l'AI Act.[8] Ces travaux relèvent de la demande de normalisation M/593 et de son amendement M/613. En octobre 2025, CEN et CENELEC ont adopté des mesures pour accélérer la livraison, avec une disponibilité visée au quatrième trimestre 2026, et ont annoncé l'ouverture de l'enquête sur le projet prEN 18286, consacré aux systèmes de management de la qualité.[9]

La présomption de conformité, qui est l'enjeu, ne s'obtient que lorsqu'un système respecte des normes harmonisées référencées au Journal officiel de l'Union. Cette présomption déplace la charge de la preuve vers les autorités, à qui il revient alors de démontrer une éventuelle non-conformité.[8] Les premières normes harmonisées sont attendues en 2026, après quoi la Commission examinera si leurs références peuvent être publiées au Journal officiel.[8]

Le point décisif est explicite dans la position de la Commission. Bien que l'ISO/IEC 42001:2023 aide à établir un système de management de l'IA, ses objectifs et ses définitions ne sont pas alignés sur le système de gestion de la qualité requis par l'AI Act ; c'est pourquoi la Commission a demandé l'élaboration d'une norme dédiée à la conformité réglementaire.[8] Autrement dit, l'ISO 42001 reste une norme internationale utile, mais le chantier des normes harmonisées de l'AI Act est distinct, et c'est lui, et non la norme ISO, qui conférera la présomption de conformité. La normalisation européenne s'appuie de préférence sur les normes internationales, par exemple via les accords de Vienne entre CEN et ISO, et n'élabore de nouvelles normes que lorsque les normes internationales ne couvrent pas les exigences légales.[8] Ces éléments de statut et de calendrier valent à la date de vérification et sont à confirmer sur les sources officielles.

Et pour une organisation suisse ?

La question revient souvent depuis la Romandie : une entreprise suisse est-elle concernée ? La Suisse n'est pas membre de l'Union européenne, et l'AI Act est un règlement de l'UE. Il ne s'applique donc pas du seul fait d'être établi en Suisse. Mais sa portée extraterritoriale change la donne : une organisation suisse peut y être soumise si elle met des systèmes d'IA sur le marché de l'Union, ou si le résultat de ses systèmes y est utilisé.[3]

L'ISO 42001, à l'inverse, ne dépend d'aucune juridiction. Norme internationale, elle s'applique à toute organisation qui décide de la suivre, en Suisse comme ailleurs.[5] Pour une structure romande qui travaille avec des clients européens, la combinaison est donc claire dans son principe : la norme pour structurer la gouvernance interne, l'analyse de l'AI Act pour vérifier si et comment le règlement s'applique à ses systèmes. Chaque situation appelant sa propre lecture, il reste prudent de vérifier son exposition réelle au texte, qui dépend des marchés visés et des usages concernés. Pour situer la norme parmi les autres cadres, le comparatif ISO 42001 face à l'ISO 27001, l'AI Act et la nLPD donne une vue d'ensemble.

Questions fréquentes

L'ISO 42001 suffit-elle pour être conforme à l'AI Act ?

Non. L'ISO 42001 est une norme volontaire qui ne vaut pas conformité à l'AI Act.[6] Elle réduit le coût et l'effort en opérationnalisant les politiques, les appréciations de risque, la gouvernance et la surveillance que le règlement attend, mais une organisation doit ensuite croiser ses contrôles avec les exigences propres à l'AI Act et combler les écarts.

La Suisse est-elle concernée par l'AI Act ?

La Suisse n'est pas membre de l'Union européenne, et l'AI Act est un règlement de l'UE. Une organisation suisse peut malgré tout y être soumise si elle met des systèmes d'IA sur le marché de l'UE ou si le résultat de ses systèmes y est utilisé.[3] L'ISO 42001, norme internationale, s'applique elle indépendamment de la juridiction.[5]

Quand l'AI Act s'applique-t-il ?

Le règlement est entré en vigueur le 1er août 2024, mais ses obligations s'appliquent par étapes.[2] À la date de vérification (mai 2026), les interdictions valent depuis février 2025, les règles sur l'IA à usage général et la gouvernance depuis août 2025, et la majeure partie du règlement à partir d'août 2026. Vérifiez les dates exactes sur les sources officielles.

L'ISO 42001 est-elle une norme harmonisée de l'AI Act ?

Non, pas à la date de vérification (mai 2026). Les normes harmonisées sont un chantier distinct, mené par CEN-CENELEC au sein du JTC 21 sur demande de la Commission.[8] Celle-ci relève que les objectifs de l'ISO 42001 ne sont pas alignés sur le système de gestion de la qualité requis par l'AI Act, et a demandé une norme dédiée.

Faut-il les deux, la norme et la conformité réglementaire ?

Les deux répondent à des logiques différentes. L'AI Act est obligatoire pour qui entre dans son champ.[3] L'ISO 42001 reste volontaire, mais structure une démarche interne sur laquelle la préparation réglementaire peut s'appuyer.[6] Beaucoup d'organisations adoptent la norme d'abord, puis traitent les exigences propres au règlement qui s'y ajoutent.

Situer votre démarche entre la norme et le règlement

Vous hésitez sur ce que l'ISO 42001 couvre vraiment de vos obligations européennes ? Un premier échange permet de distinguer ce qui relève de la gouvernance interne et ce qui relève de l'AI Act, avant d'engager des moyens.

Demander un avis indépendant

À lire ensuite

Comparatifs ISO 42001 face à l'ISO 27001, l'AI Act et la nLPD Comprendre L'ISO 42001 est-elle obligatoire ? Risques Évaluer les risques liés à l'IA selon l'ISO 42001
Sources
  1. Portail officiel sur l'AI Act, « The Act Texts » (règlement UE 2024/1689, publication au Journal officiel le 12 juillet 2024). artificialintelligenceact.eu/the-act/
  2. Portail officiel sur l'AI Act, « Implementation Timeline » (entrée en vigueur, paliers d'application). artificialintelligenceact.eu/implementation-timeline/
  3. Portail officiel sur l'AI Act, « High-level summary of the AI Act » (catégories de risque, obligations des fournisseurs, portée). artificialintelligenceact.eu/high-level-summary/
  4. DLA Piper, « The role of harmonised standards as tools for AI act compliance », 11 janvier 2024 (rédigé sur la base du projet d'AI Act). dlapiper.com
  5. ISO/IEC 42001:2023, clause 1 (Domaine d'application). Texte de la norme non reproduit.
  6. Vanta, « How ISO 42001 helps with EU AI Act compliance » (norme volontaire et certifiable, recoupement, auto-attestation et organisme notifié). vanta.com
  7. ISO/IEC 42001:2023, clauses de management (leadership, politique, audit interne, amélioration), paraphrasées d'après l'analyse DLA Piper et le texte de la norme. Non reproduit.
  8. Commission européenne, « Understanding the standardisation of the AI Act » (FAQ officielle, normes harmonisées, JTC 21, présomption de conformité, position sur l'ISO/IEC 42001). digital-strategy.ec.europa.eu
  9. CEN-CENELEC, communiqué du 23 octobre 2025 sur l'accélération des normes IA (M/593, M/613, JTC 21, prEN 18286, échéance Q4 2026). cencenelec.eu

Dernière vérification : 31 mai 2026. Sources du droit européen : portail officiel sur l'AI Act, FAQ de la Commission européenne et communiqué CEN-CENELEC, lus en entier. Les dates, numéros d'articles et statut des normes harmonisées valent à cette date et sont à confirmer sur les sources officielles. Le texte de la norme ISO/IEC 42001 n'est pas reproduit.