Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Comprendre la norme

Comprendre la norme

La structure de l'ISO/IEC 42001, clause par clause

Par David Zbinden Dernière vérification : 25 mai 2026
En bref

L'ISO/IEC 42001 se lit en deux temps. Les clauses 1 à 3 posent le cadre. Les clauses 4 à 10 portent les exigences : contexte, leadership, planification, support, fonctionnement, évaluation des performances et amélioration. Quatre annexes complètent le tout, dont deux normatives (A et B) et deux informatives (C et D).

La carte d'ensemble : trois clauses de cadre, sept d'exigences

Quand on ouvre la norme pour la première fois, le sommaire peut intimider. En réalité, l'ISO/IEC 42001 obéit à une organisation très régulière. Les clauses 1 à 3 posent le cadre : le domaine d'application (clause 1), les références normatives (clause 2, qui renvoie à l'ISO/IEC 22989 pour la terminologie de l'IA) et les termes et définitions (clause 3).[4] Elles ne contiennent aucune obligation à proprement parler.

Les clauses 4 à 10 sont le cœur du dispositif. Ce sont elles qui portent les exigences, celles formulées avec le verbe « doit », et donc celles qu'un auditeur vient vérifier.[4] Un détail compte beaucoup pour la lecture : la norme précise elle-même que l'ordre de présentation des exigences ne reflète ni leur importance ni l'ordre dans lequel on doit les mettre en œuvre.[4] Autrement dit, commencer par la clause 4 dans un projet réel n'a rien d'obligatoire.

Cette régularité n'est pas un hasard. L'ISO/IEC 42001 applique la structure harmonisée commune à toutes les normes de système de management de l'ISO. C'est ce qui permet de l'intégrer naturellement avec d'autres normes, par exemple l'ISO/IEC 27001 sur la sécurité de l'information : mêmes numéros de clause, mêmes intitulés, mêmes termes de base.[4][2]

Les sept clauses d'exigences

Les clauses 1 à 3 posent le cadre. Les clauses 4 à 10 forment les exigences du système de management, complétées par les annexes A à D.

4Contexte de l'organisation
5Leadership
6Planification
7Support
8Fonctionnement
9Évaluation des performances
10Amélioration
A à DAnnexes

Schéma reformulé. Le texte de la norme n'est pas reproduit.

Le fil conducteur : une logique d'amélioration continue

Les sept clauses d'exigences ne sont pas une liste de cases à cocher. Elles s'enchaînent selon une boucle d'amélioration continue, le cycle Plan-Do-Check-Act sur lequel reposent les systèmes de management de l'ISO.[3] On planifie, on met en œuvre, on vérifie, puis on ajuste, et le cycle recommence. C'est cette dynamique qui distingue un système de management d'un simple document figé.

Les clauses dans le cycle d'amélioration continue

Une lecture pédagogique courante place les clauses 4 à 7 dans la phase « Planifier », la clause 8 dans « Réaliser », la clause 9 dans « Vérifier » et la clause 10 dans « Agir ».

Cycle Plan-Do-Check-Act appliqué à l'ISO 42001 : Planifier regroupe les clauses 4 à 7, Réaliser la clause 8, Vérifier la clause 9, Agir la clause 10, le tout formant une boucle d'amélioration continue.

Le rattachement des clauses aux quatre phases est une aide de lecture, pas une prescription de la norme.

Clause 4 : contexte de l'organisation

Ce que la clause demande. Avant tout, comprendre où l'on met les pieds. L'organisation détermine les enjeux internes et externes qui pèsent sur son système de management de l'IA, et la norme lui demande explicitement de se poser la question du changement climatique comme enjeu pertinent.[4] Elle identifie aussi son rôle vis-à-vis de l'IA, car ce rôle commande la suite : fournisseur, producteur ou développeur, client ou utilisateur, partenaire, sujet, ou autorité.[4] Enfin, elle recense les parties intéressées et fixe le périmètre du système, qui doit être documenté.[4]

Pourquoi cela compte. Le rôle change tout. Une entreprise qui se contente d'utiliser un outil d'IA acheté sur étagère n'a pas les mêmes obligations qu'un éditeur qui développe le modèle. Définir le périmètre, c'est aussi décider ce qui entre dans le système et ce qui en sort, donc ce que l'auditeur examinera.

Exemple. Une étude d'avocats lausannoise qui utilise un assistant d'IA pour résumer des dossiers se situe du côté « utilisateur ». Son périmètre se limite à cet usage précis, pas à la conception du modèle, ce qui allège considérablement ce qu'elle a à démontrer.

Piège courant. Traiter le périmètre comme une formalité technique. C'est une décision de gouvernance : un périmètre mal posé fait soit exploser la charge de travail, soit laisse des usages à risque hors du cadre.

Clause 5 : leadership

Ce que la clause demande. La direction doit démontrer son engagement, pas le déléguer. Cela passe par trois leviers : aligner la politique d'IA et les objectifs sur la stratégie de l'organisation, intégrer le système aux processus métier et fournir les ressources ; établir une politique d'IA documentée et communiquée ; attribuer clairement les rôles, responsabilités et autorités, notamment celui qui répond de la conformité du système et celui qui rend compte de sa performance à la direction.[4]

Pourquoi cela compte. Sans portage par la direction, un système de management reste un classeur. La clause 5 est le point où la gouvernance de l'IA devient une responsabilité explicite plutôt qu'une bonne intention diffuse.

Exemple. Dans une PME de Nyon, le directeur signe une politique d'IA d'une page qui fixe ce qui est autorisé, ce qui ne l'est pas, et qui décide. Ce document court, mais réellement appliqué, vaut mieux qu'un manuel de trente pages que personne n'ouvre.

Piège courant. Recopier une politique d'IA générique trouvée en ligne. Si elle ne reflète pas le contexte et les usages réels, elle ne tiendra pas face à un audit ni dans la pratique.

Clause 6 : planification

Ce que la clause demande. C'est la clause la plus dense, et le cœur technique de la norme. L'organisation détermine ses risques et opportunités et fixe des critères de risque distinguant l'acceptable du non-acceptable (6.1.1). Elle met en place un processus d'appréciation des risques reproductible (6.1.2), puis un processus de traitement des risques (6.1.3) qui s'appuie sur la liste de référence de l'Annexe A et débouche sur une déclaration d'applicabilité justifiant les contrôles inclus et exclus. Elle conduit aussi une analyse d'impact des systèmes d'IA (6.1.4) et fixe ses objectifs (6.2).[4]

Pourquoi cela compte. La clause 6 contient une exigence propre à cette norme, et c'est l'une de ses signatures : l'analyse d'impact des systèmes d'IA sur les individus, les groupes et les sociétés.[4] Il ne s'agit pas seulement de protéger l'organisation, mais d'évaluer les conséquences pour les personnes concernées. C'est une différence de fond avec une norme centrée sur les seuls intérêts de l'entreprise.

Exemple. Un cabinet de recrutement genevois qui utilise un outil de présélection automatisée doit évaluer non seulement son risque opérationnel, mais aussi l'impact d'un tri biaisé sur les candidats écartés. Les deux analyses sont distinctes et toutes deux attendues.

Piège courant. Confondre l'appréciation des risques (pour l'organisation) et l'analyse d'impact (pour les personnes et la société). Ce sont deux exercices différents que la norme demande tous les deux. Autre piège : choisir des contrôles sans produire de déclaration d'applicabilité justifiée.

Clause 7 : support

Ce que la clause demande. Donner au système les moyens de fonctionner : les ressources nécessaires, la compétence des personnes (fondée sur l'éducation, la formation ou l'expérience, avec preuves à l'appui), leur sensibilisation à la politique d'IA et aux conséquences d'une non-conformité, la communication interne et externe, et la maîtrise des informations documentées.[4]

Pourquoi cela compte. La clause 7 est le socle souvent sous-estimé. Une politique excellente sans personnes compétentes ni documentation maîtrisée reste théorique.

Exemple. Une fiduciaire de Vevey tient un registre simple : qui a été formé à l'usage de l'outil d'IA, sur quoi, et quand. C'est exactement le type de preuve de compétence que la clause attend.

Piège courant. Laisser la documentation vivre sans gestion des versions ni contrôle des accès. La maîtrise de l'information documentée est une exigence, pas une option.

Clause 8 : fonctionnement

Ce que la clause demande. Mettre en œuvre concrètement ce qui a été planifié en clause 6. L'organisation planifie et maîtrise ses processus opérationnels, contrôle les changements et les processus externalisés, puis exécute réellement l'appréciation des risques (8.2, selon 6.1.2), leur traitement (8.3, selon 6.1.3) et l'analyse d'impact (8.4, selon 6.1.4), à intervalles planifiés ou lorsqu'un changement significatif survient.[4]

Pourquoi cela compte. La clause 8 est le miroir opérationnel de la clause 6. La clause 6 conçoit les dispositifs ; la clause 8 les fait tourner et en conserve les preuves.

Exemple. Une agence immobilière de Montreux qui ajoute une nouvelle fonction d'IA à son site déclenche, à cette occasion, une nouvelle appréciation des risques et une nouvelle analyse d'impact, comme le prévoit la clause 8.

Piège courant. Tout planifier en clause 6 sur le papier, puis ne pas exécuter ni documenter en clause 8. Un dispositif jamais déclenché ni tracé ne tient pas en audit.

Clause 9 : évaluation des performances

Ce que la clause demande. Vérifier que le système fonctionne. L'organisation détermine ce qu'elle surveille et mesure et avec quelles méthodes (9.1), mène des audits internes planifiés et impartiaux (9.2), et organise une revue de direction (9.3) qui examine les performances, les changements de contexte et les opportunités, puis décide des suites.[4]

Pourquoi cela compte. Sans mesure ni revue, impossible de savoir si le système atteint ses objectifs. La clause 9 transforme la conformité affichée en conformité vérifiée.

Exemple. Une PME d'Yverdon programme deux fois par an une revue de direction d'une heure : ce que l'IA a bien fait, les incidents, les écarts, et les décisions pour la suite. C'est court, mais c'est tracé et cela débouche sur des actions.

Piège courant. Mesurer sans avoir défini au préalable quoi ni comment ; ou tenir une revue de direction purement formelle qui ne débouche sur aucune décision.

Clause 10 : amélioration

Ce que la clause demande. Boucler le cycle. L'organisation améliore en continu la pertinence, l'adéquation et l'efficacité du système (10.1) et traite les non-conformités par des actions correctives (10.2) : réagir et corriger, en éliminer la cause, vérifier l'efficacité de l'action menée, et modifier le système si nécessaire, le tout documenté.[4]

Pourquoi cela compte. On note ici une particularité de l'ISO/IEC 42001 : l'amélioration continue (10.1) est présentée avant la non-conformité (10.2), là où l'habitude inverse domine dans d'autres normes.[4] Le message est clair : améliorer n'est pas seulement réparer ce qui casse.

Exemple. Quand l'assistant d'IA d'une PME de Neuchâtel produit une réponse erronée, l'organisation ne se contente pas de corriger la réponse : elle cherche la cause (une consigne ambiguë, une donnée obsolète) et ajuste le processus pour que cela ne se reproduise pas.

Piège courant. Traiter le symptôme sans éliminer la cause, ou mener une action corrective sans preuve documentée de son efficacité.

Les annexes A à D : ce qui est exigé, ce qui aide

La norme se termine par quatre annexes, et leur statut n'est pas le même. C'est une distinction décisive, souvent mal comprise.

  • Annexe A (normative) : la liste de référence des objectifs de contrôle et des contrôles (Table A.1), regroupés en catégories de A.2 à A.10 (politiques, organisation interne, ressources, évaluation des impacts, cycle de vie, données, information des parties intéressées, usage, relations avec les tiers).[4]
  • Annexe B (normative) : le guide de mise en œuvre des contrôles de l'Annexe A.[4]
  • Annexe C (informative) : des objectifs organisationnels potentiels et des sources de risques liés à l'IA, pour nourrir l'appréciation des risques.[4]
  • Annexe D (informative) : l'usage du système de management selon les domaines ou secteurs.[4]

« Normative » signifie que l'annexe fait partie des exigences ; « informative » qu'elle éclaire sans obliger. À retenir aussi : l'Annexe A n'est pas exhaustive. L'organisation choisit les contrôles pertinents au regard de ses risques, justifie ses choix dans la déclaration d'applicabilité, et peut concevoir ses propres contrôles si nécessaire.[4]

Ce que cette structure change pour vous

Comprendre la structure n'est pas un exercice académique, c'est ce qui rend un projet de mise en conformité gérable. Trois conséquences pratiques.

D'abord, on ne commence pas forcément par la clause 4. Beaucoup de démarches démarrent par un inventaire des usages d'IA et une première appréciation des risques (clause 6), puis remontent vers le contexte et le leadership. La norme l'autorise explicitement.[4]

Ensuite, la structure harmonisée est un atout si vous êtes déjà certifié. Une organisation qui détient l'ISO/IEC 27001 retrouve les mêmes clauses 4 à 10 et peut greffer le management de l'IA sur son système existant plutôt que d'en bâtir un second.[2] C'est l'objet de notre comparatif des référentiels.

Enfin, la distinction entre appréciation des risques et analyse d'impact, et le statut normatif des annexes A et B, sont les points où les démarches improvisées trébuchent le plus souvent. Les situer dès le départ évite de refaire le travail.

Questions fréquentes

Quelles clauses de l'ISO 42001 contiennent les exigences à respecter ?

Les clauses 4 à 10. Les clauses 1 à 3 posent le cadre (domaine d'application, références, termes), tandis que les clauses 4 à 10 énoncent les exigences vérifiées en audit.[4]

Quelle est la différence entre une annexe normative et une annexe informative ?

Les annexes A et B sont normatives : elles font partie des exigences. Les annexes C et D sont informatives : elles aident à la compréhension sans être exigées.[4]

Faut-il appliquer tous les contrôles de l'Annexe A ?

Non. C'est une liste de référence. L'organisation sélectionne les contrôles qui répondent à ses risques, justifie inclusions et exclusions dans une déclaration d'applicabilité, et peut ajouter ses propres contrôles.[4]

L'ordre des clauses correspond-il à l'ordre de mise en œuvre ?

Non. La norme indique que l'ordre de présentation des exigences ne reflète ni leur importance ni l'ordre dans lequel on doit les mettre en œuvre.[4]

Situer votre organisation dans la structure de la norme

Vous voulez savoir par quelle clause commencer et quels contrôles vous concernent vraiment ? Un premier échange permet de cadrer le périmètre et les écarts.

Demander un avis indépendant

À lire ensuite

Comprendre Qu'est-ce que la norme ISO/IEC 42001 ? Risques Évaluer et traiter les risques liés à l'IA Comparatifs ISO 42001 face à l'ISO 27001 et l'AI Act
Sources
  1. ISO/IEC 42001:2023, page officielle. iso.org/standard/42001
  2. ISO, « ISO 42001 explained: what it is and what it means for your organization ». iso.org
  3. ISO, « Systèmes de management de l'IA : ce que les entreprises doivent savoir ». iso.org/artificial-intelligence/ai-management-systems
  4. ISO/IEC 42001:2023, texte de la norme (clauses 1 à 10, Annexes A à D). Référence documentaire, non reproduite.

Dernière vérification : 25 mai 2026. Source primaire : le texte de la norme ISO/IEC 42001:2023, lu clause par clause. Le rattachement des clauses au cycle Plan-Do-Check-Act est une aide de lecture, signalée comme telle. Le texte de la norme n'est pas reproduit.