Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Comparatifs et mapping

Comparatifs et mapping

ISO 42001 face à l'ISO 27001, l'AI Act et la nLPD

Par David Zbinden Dernière vérification : 24 mai 2026
En bref

L'ISO 42001 se situe à côté de trois cadres voisins qu'il ne faut pas confondre : l'ISO 27001 (sécurité de l'information), l'AI Act européen (loi contraignante) et la nLPD suisse (protection des données). L'ISO 42001 est volontaire et porte sur la gouvernance de l'IA. Elle se combine avec ces cadres, mais n'en remplace aucun.

ISO 42001 et ISO 27001

Les deux normes partagent la même structure harmonisée de l'ISO, ce qui les rend faciles à intégrer dans un système de management unifié.[2] Leur objet diffère pourtant : l'ISO 27001 protège la sécurité de l'information, l'ISO 42001 encadre la gouvernance des systèmes d'IA.[1][2]

Elles sont complémentaires : l'ISO 27001 sécurise les données, l'ISO 42001 veille à un usage responsable de l'IA qui s'appuie sur ces données. L'ISO 27001 n'est pas un prérequis formel, mais c'est une base utile qui accélère la mise en place de l'ISO 42001.[2]

ISO 42001 et l'AI Act européen

Différence de nature avant tout : l'ISO 42001 est une norme volontaire que l'on choisit d'implémenter ; l'AI Act est un règlement européen contraignant.[3]

Se certifier ISO 42001 aide à préparer la conformité à l'AI Act et réduit l'effort, mais ne la garantit pas.[3] Des obligations propres à l'AI Act restent à couvrir séparément, notamment l'évaluation de conformité des systèmes à haut risque, la déclaration UE de conformité et la surveillance après mise sur le marché.[3]

L'enjeu est concret. L'AI Act prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, 15 millions ou 3 % pour d'autres manquements, et 7,5 millions ou 1 % pour des informations inexactes, le montant le plus élevé étant retenu (le plus faible pour les PME).[4]

ISO 42001 et la nLPD suisse

En Suisse, la nLPD (loi fédérale révisée sur la protection des données) est en vigueur depuis le 1er septembre 2023.[5] Son article 21 vise directement un usage typique de l'IA : la décision individuelle automatisée. Lorsqu'une décision produisant des effets juridiques ou l'affectant de manière significative est prise exclusivement de façon automatisée, le responsable doit en informer la personne concernée, qui peut faire valoir son point de vue et demander une révision par une personne physique.[5]

L'ISO 42001 complète la nLPD (gouvernance, analyse d'impact, maintien d'un contrôle humain) mais ne s'y substitue pas : la nLPD reste la loi applicable en Suisse.

Tableau récapitulatif

Quatre cadres, à ne pas confondre
ISO/IEC 42001Norme volontaire, certifiable — management de l'IA
ISO/IEC 27001Norme volontaire, certifiable — sécurité de l'information
AI Act (UE)Règlement contraignant — encadrement légal de l'IA
nLPD (Suisse)Loi contraignante — protection des données personnelles

Questions fréquentes

L'ISO 42001 suffit-elle pour être conforme à l'AI Act ?

Non. Elle aide à préparer la conformité et réduit l'effort, mais ne la garantit pas. Des obligations propres à l'AI Act, comme l'évaluation de conformité des systèmes à haut risque, restent à couvrir séparément.[3]

Faut-il l'ISO 27001 avant l'ISO 42001 ?

Non, ce n'est pas un prérequis formel. Mais les deux normes partagent la même structure, et un système ISO 27001 existant facilite la mise en place de l'ISO 42001.[2]

L'ISO 42001 remplace-t-elle la nLPD ?

Non. La nLPD est une loi suisse contraignante ; l'ISO 42001 est une norme volontaire qui la complète sur la gouvernance de l'IA, sans s'y substituer.[5]

Situer l'ISO 42001 dans votre paysage réglementaire

AI Act, nLPD, ISO 27001 : un échange permet de voir ce que l'ISO 42001 couvre déjà chez vous et ce qui reste à traiter.

Voir l'accompagnement

À lire ensuite

Comprendre Qu'est-ce que la norme ISO/IEC 42001 ? Risques Évaluer les risques liés à l'IA Se certifier Les étapes de la certification
Sources
  1. ISO/IEC 42001:2023 (texte de la norme), objet et structure. Référence documentaire, non reproduite.
  2. ISMS.online, « ISO 42001 vs ISO 27001 ». isms.online
  3. Vanta, « How ISO 42001 helps with EU AI Act compliance ». vanta.com
  4. EU AI Act, Article 99 (sanctions). artificialintelligenceact.eu/article/99
  5. Loi fédérale sur la protection des données (nLPD), art. 21, décision individuelle automatisée ; entrée en vigueur le 1er septembre 2023. activemind.ch

Dernière vérification : 24 mai 2026. Chaque comparaison repose sur une source lue en entier (norme, ISMS.online, Vanta, Article 99 de l'AI Act, art. 21 nLPD).