Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Comprendre la norme

Comprendre la norme

Qu'est-ce que la norme ISO/IEC 42001 ?

Par David Zbinden Dernière vérification : 24 mai 2026
En bref

L'ISO/IEC 42001:2023 est la première norme internationale de système de management de l'intelligence artificielle. Publiée en décembre 2023 par l'ISO et l'IEC, elle définit les exigences pour établir, maintenir et améliorer en continu un système de management de l'IA au sein d'une organisation, quelle que soit sa taille ou son secteur.

Une norme de management, pas une liste de principes

L'ISO/IEC 42001 est la première norme internationale dédiée au management de l'intelligence artificielle.[1][2] Contrairement à une charte ou à un ensemble de principes éthiques, c'est une norme de système de management certifiable : une organisation peut être auditée par un organisme accrédité et obtenir un certificat.[2][5]

Elle repose sur la logique d'amélioration continue Plan-Do-Check-Act, commune aux normes de management de l'ISO.[3][5] Elle a été publiée en décembre 2023, élaborée par le comité technique commun ISO/IEC JTC 1/SC 42, consacré à l'intelligence artificielle.[1][4]

Le système de management de l'IA

La norme définit les exigences d'un système de management de l'IA.[1] Il s'agit d'un cadre organisationnel qui structure la gouvernance de l'IA : politique dédiée, rôles et responsabilités, gestion des risques et des opportunités, analyse d'impact des systèmes, et maîtrise de leur cycle de vie.[4]

La norme insiste sur la fiabilité des systèmes d'IA, ce qui recouvre des préoccupations comme la sécurité, la sûreté, l'équité, la transparence et la qualité des données, ainsi que sur la gestion des fournisseurs et des tiers qui développent ou fournissent de l'IA.[4] Elle adopte une approche par les risques : le niveau de contrôle s'ajuste aux usages réels de l'IA dans le périmètre de l'organisation.[4]

Concrètement, à quoi cela ressemble

Prenons, à titre d'illustration, une fiduciaire romande qui utilise un outil d'IA pour pré-trier des documents clients. Appliquer l'ISO 42001 n'est pas un projet informatique : c'est désigner un responsable de cet usage, identifier les risques qu'il fait courir (confidentialité des données, erreurs de classement), fixer des règles d'utilisation claires, vérifier régulièrement que l'outil se comporte comme prévu, et corriger lorsqu'un écart apparaît. La norme donne le cadre pour mener cette démarche de façon ordonnée plutôt qu'au cas par cas.

À qui s'adresse l'ISO 42001

Elle concerne toute organisation qui développe, fournit ou utilise des produits ou des services fondés sur l'IA.[2][3] Elle est conçue pour s'appliquer :

  • quelle que soit la taille de l'organisation ;[3]
  • dans tous les secteurs d'activité ;[3]
  • aux entreprises comme aux organisations à but non lucratif et au secteur public.[3]

Pourquoi une organisation l'adopte

Trois motivations reviennent : démontrer une gouvernance responsable de l'IA à ses clients, partenaires et autorités ; structurer des pratiques internes alors que les usages d'IA se multiplient ; et obtenir, par la certification d'un tiers, une preuve vérifiable de cette maîtrise.[2][3] L'adoption reste un choix de l'organisation, puisque la norme est volontaire.[4]

Comment la norme est construite

L'ISO 42001 suit la structure harmonisée commune aux normes de système de management de l'ISO. Cette structure partagée facilite son intégration avec d'autres normes, par exemple l'ISO/IEC 27001 sur la sécurité de l'information.[4]

Les trois premières clauses posent le cadre : domaine d'application, références normatives, termes et définitions. Les exigences que l'on met réellement en place sont organisées en clauses numérotées de 4 à 10 : contexte de l'organisation, leadership, planification, support, fonctionnement, évaluation des performances et amélioration.[4] La norme comporte aussi quatre annexes : l'Annexe A présente des objectifs et des mesures de référence, l'Annexe B en donne le guide de mise en œuvre, l'Annexe C recense des sources de risques liées à l'IA, et l'Annexe D traite de l'usage du système de management selon les domaines ou les secteurs.[4]

Structure de la norme

Les clauses 1 à 3 posent le cadre (domaine d'application, références, termes et définitions). Les clauses 4 à 10 forment les exigences du système de management.

4Contexte de l'organisation
5Leadership
6Planification
7Support
8Fonctionnement
9Évaluation des performances
10Amélioration
A à DAnnexes

Structure harmonisée commune aux normes de management de l'ISO. Schéma reformulé, le texte de la norme n'est pas reproduit.

La norme précise que l'ordre de présentation des exigences ne reflète ni leur importance ni l'ordre dans lequel elles doivent être mises en œuvre.[4]

Ce que l'ISO 42001 n'est pas

  • Ce n'est pas une loi : c'est une norme volontaire, pas une obligation réglementaire.[4]
  • Ce n'est pas un label « IA éthique » ni une garantie d'absence de risque : c'est un cadre de gestion, pas un jugement moral.
  • Ce n'est pas réservé aux grandes entreprises ni à un secteur : elle s'applique à toute organisation, quelle que soit sa taille.[3]
  • Ce n'est pas un projet purement technique : c'est avant tout de la gouvernance et de l'organisation.

L'ISO 42001 en bref

Carte d'identité de la norme
RéférenceISO/IEC 42001:2023
Titre officiel« Technologies de l'information — Intelligence artificielle — Système de management »[1]
ÉditeursISO et IEC, comité commun JTC 1/SC 42[1][4]
Publication1re édition, décembre 2023[1]
TypeNorme de système de management, certifiable[2][5]
ApprocheAmélioration continue (Plan-Do-Check-Act)[3]
Champ d'applicationToute organisation développant, fournissant ou utilisant de l'IA, toutes tailles, tous secteurs[2][3]
CaractèreVolontaire[4]

Questions fréquentes

L'ISO 42001 est-elle obligatoire ?

Non. C'est une norme internationale volontaire.[4] Une organisation choisit de l'adopter, notamment pour structurer et démontrer une gouvernance responsable de l'IA.

Peut-on être certifié ISO 42001 ?

Oui. C'est une norme certifiable : un organisme de certification accrédité peut auditer le système de management et délivrer un certificat.[2][5]

Quelle est la différence avec l'ISO 27001 ?

Les deux normes partagent la même structure harmonisée, ce qui les rend intégrables. L'ISO/IEC 27001 porte sur la sécurité de l'information, l'ISO/IEC 42001 sur le management de l'intelligence artificielle.[4]

Depuis quand la norme existe-t-elle ?

Elle a été publiée en décembre 2023 et constitue la première norme internationale de système de management de l'IA.[1][2]

Situer votre organisation face à l'ISO 42001

Vous voulez savoir où vous en êtes par rapport aux exigences de la norme ? Un premier échange permet de cadrer les écarts à combler.

Demander un avis indépendant

À lire ensuite

Risques Évaluer et traiter les risques liés à l'IA Comparatifs ISO 42001 face à l'ISO 27001 et l'AI Act Se certifier Le parcours de certification
Sources
  1. ISO/IEC 42001:2023, page officielle. iso.org/standard/42001
  2. ISO, « ISO 42001 explained: what it is and what it means for your organization ». iso.org
  3. ISO, « Systèmes de management de l'IA : ce que les entreprises doivent savoir ». iso.org/artificial-intelligence/ai-management-systems
  4. ISO/IEC 42001:2023, texte de la norme (Avant-propos et Introduction). Référence documentaire, non reproduite.
  5. BSI, « ISO/IEC 42001 AI Management System ». bsigroup.com

Dernière vérification : 24 mai 2026. Sources primaires : ISO.org et le texte de la norme ISO/IEC 42001:2023. Le texte de la norme n'est pas reproduit.