Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Se certifier

Se certifier

Choisir un organisme de certification ISO 42001

Par David Zbinden Dernière vérification : 31 mai 2026
En bref

Choisissez un organisme dont l'accréditation est délivrée par un organisme national reconnu, dont le périmètre couvre vraiment l'ISO 42001 et la gouvernance de l'IA, et qui n'a joué aucun rôle dans la préparation de votre système. La règle d'or : celui qui conseille ne peut pas être celui qui audite.

L'accréditation, premier filtre

La certification ISO 42001 repose sur un audit conduit par un organisme tiers, distinct de l'organisation auditée.[4] Encore faut-il que ce tiers soit lui-même reconnu compétent. C'est le rôle de l'accréditation, qui est la reconnaissance formelle, par un organisme national, de la compétence d'un organisme à réaliser des évaluations de conformité selon des exigences précises.[1]

L'accréditation existe pour une raison simple : renforcer la confiance dans la compétence et les prestations de l'organisme évalué.[1] Sans elle, un certificat ne vaut que par la signature de celui qui l'émet. Avec elle, il s'appuie sur une vérification indépendante de la maison qui audite. Pour qui doit présenter sa certification à un client, à un régulateur ou à un partenaire, la différence n'est pas cosmétique.

C'est pourquoi le statut d'accréditation est le premier critère à examiner, avant même le prix ou le calendrier. Les guides professionnels sur le choix d'un partenaire de certification ISO 42001 le placent en tête : confirmer que l'organisme détient une accréditation auprès d'un organisme reconnu, et la vérifier plutôt que de la croire sur parole.[2]

La chaîne qui rend un certificat reconnu

Un certificat accrédité tire sa valeur d'une chaîne. Au bas se trouve votre organisation, auditée. Au-dessus, l'organisme de certification, qui réalise l'audit. Plus haut, l'organisme national d'accréditation, qui a vérifié la compétence de cet organisme. Et au sommet, un dispositif international de reconnaissance mutuelle entre organismes d'accréditation.

Ce dispositif portait, jusqu'à récemment, le nom d'IAF Multilateral Recognition Arrangement (MLA). Il s'agit d'un accord de reconnaissance mutuelle des certifications accréditées entre organismes d'accréditation signataires, qui permet l'acceptation d'une certification dans de nombreux marchés sur la base d'une seule accréditation.[3] Concrètement, un certificat émis sous une accréditation reconnue n'a pas à être refait pays par pays. L'admission au dispositif passe par une évaluation par les pairs, qui garantit que l'organisme d'accréditation respecte les normes internationales et les exigences communes.[3]

Deux nuances comptent. D'abord, tous les organismes d'accréditation ne sont pas signataires, et pas pour toutes les normes : il faut donc vérifier que la reconnaissance couvre bien la branche qui vous intéresse.[3] Ensuite, le paysage institutionnel a changé. À la date de cette vérification, en mai 2026, l'IAF a cessé ses activités au 1er janvier 2026 et a été remplacé, avec son équivalent pour les laboratoires, par une nouvelle organisation, Global Accreditation Cooperation Incorporated.[1][3] Le nom évolue, mais le principe de reconnaissance mutuelle demeure le repère à suivre. Vérifiez ce point en source officielle au moment de votre projet.

La situation suisse : le rôle du SAS

En Suisse, l'organe national d'accréditation est le Swiss Accreditation Service, le SAS, rattaché à l'administration fédérale.[1] C'est lui qui examine et accrédite les organismes d'évaluation de la conformité actifs sur le territoire, sur la base des normes internationales applicables à chaque type d'organisme.[1]

Le SAS accrédite plusieurs familles d'organismes : les organismes de certification de systèmes de management selon l'ISO/IEC 17021-1, les organismes de certification de personnes selon l'ISO/IEC 17024, ceux de produits, processus et services selon l'ISO/IEC 17065, ainsi que les laboratoires d'essai et d'étalonnage.[1] Pour une certification ISO 42001, c'est la première catégorie qui compte : l'organisme qui vous certifie est un organisme de certification de systèmes de management, accrédité sur la base de l'ISO/IEC 17021-1.[1]

Une précision de prudence s'impose ici. Le SAS est l'autorité qui pourrait accréditer un organisme suisse pour l'ISO 42001, mais à la date de cette vérification, en mai 2026, nous n'affirmons pas qu'un organisme accrédité par le SAS précisément pour cette norme existe déjà. Sur le marché, des organismes proposent la certification ISO 42001 sous des accréditations nommées et publiques, par exemple un grand organisme international se présentant comme accrédité par l'ANAB américain et le SAC singapourien pour cette norme.[5] Le bon réflexe n'est donc pas de chercher un drapeau, mais de vérifier l'accréditation effective, organisme par organisme, au moment de décider.

Les autres critères de choix

L'accréditation est un prérequis, pas un critère unique. Une fois ce filtre passé, plusieurs éléments départagent les organismes accrédités entre eux. Le premier est le périmètre réel couvert. Un organisme peut être accrédité pour des normes voisines sans l'être pour l'ISO 42001 : la mention de la norme exacte dans son champ d'accréditation est ce qu'il faut lire, pas une compétence générale en certification.[3]

Vient ensuite la compétence technique en gouvernance de l'IA, distincte du seul statut d'accréditation. Les auditeurs doivent comprendre les risques propres à l'IA, comme la transparence algorithmique, l'équité et les biais, et savoir situer les rôles de l'organisation auditée, qu'elle soit productrice, fournisseuse ou utilisatrice de systèmes d'IA.[2] Un auditeur généraliste qui n'a jamais évalué de système d'IA n'offre pas la même profondeur qu'une équipe rompue à ces sujets. Une norme dédiée, l'ISO/IEC 42006, fixe d'ailleurs, selon des sources professionnelles, des exigences de compétence pour les organismes qui auditent et certifient les systèmes de management de l'IA.[2]

Les références sectorielles et les retours de clients déjà certifiés complètent le tableau.[2] Contacter une organisation qui a vécu le processus avec l'organisme visé renseigne sur des choses qu'aucune brochure ne dit : la clarté des constats d'audit, la réactivité en cas de difficulté, la qualité de l'écoute. Enfin, la méthode d'audit elle-même mérite une question. La certification ISO 42001 se déroule en deux étapes, une revue documentaire puis une évaluation de l'efficacité opérationnelle, et il est légitime de demander comment l'organisme structure ces deux temps.[2]

Les critères de choix, dans l'ordre

L'accréditation filtre d'abord. Les critères suivants départagent les organismes qui l'ont déjà franchie.

1Accréditation par un organisme national reconnu
2Périmètre couvrant explicitement l'ISO 42001
3Compétence en gouvernance de l'IA des auditeurs
4Références sectorielles et retours clients
5Indépendance totale vis-à-vis de votre préparation

Critères reformulés à partir des sources citées (organismes d'accréditation et guides de sélection). Statuts à vérifier en source officielle, mai 2026.

La séparation conseil et audit

Le critère qui revient le plus souvent dans les déboires de certification est aussi le plus mal compris : l'indépendance de l'organisme à l'égard de votre préparation. L'impartialité est le principe central de la norme qui régit les organismes de certification de systèmes de management, l'ISO/IEC 17021-1. Un organisme doit être indépendant de toute activité de conseil ou de construction du système chez le client qu'il audite.[6]

La formule la plus claire est celle-ci : les personnes qui notent votre système ne doivent jamais être celles qui ont aidé à le bâtir.[6] Le motif est évident. Un acteur qui auditerait un système qu'il a lui-même conçu évaluerait son propre travail, dans une situation d'auto-évaluation qui ruine la crédibilité du verdict.[6] C'est exactement le type de conflit d'intérêt qu'un organisme d'accréditation sanctionne : un cas documenté montre une non-conformité relevée parce que des auditeurs avaient conduit des audits pour des clients à qui ils avaient auparavant fourni des prestations de conseil.[7]

La règle ne se limite pas à l'instant de l'audit. Une période de séparation est attendue entre une mission de conseil et la participation à l'audit ou à la décision de certification du même client. Des sources professionnelles situent ce délai de viduité autour de deux ans au moins, parfois davantage selon les secteurs.[6] À l'intérieur même de l'organisme de certification, une autre séparation est exigée : la fonction qui décide d'octroyer la certification doit opérer indépendamment de celle qui réalise l'audit.[7]

L'enjeu pour vous est concret. Le non-respect de ces règles expose l'organisme de certification à une non-conformité majeure de la part de son organisme d'accréditation, voire à la suspension ou au retrait de son accréditation.[7] Un certificat délivré dans ces conditions peut perdre sa valeur du jour au lendemain. Mieux vaut le savoir avant de signer.

Où passe la frontière du conseil

La séparation conseil et audit ne signifie pas qu'un organisme de certification ne peut rien faire avant l'audit. Elle interdit le mélange des rôles sur un même client, pas toute interaction. La frontière utile à connaître se situe entre observer et conseiller.

Le piège le plus courant est le modèle tout-en-un, où un même prestataire propose de concevoir votre système, d'en faire l'audit interne, puis de vous aider à obtenir la certification dans un seul forfait. C'est commode en apparence, mais cela franchit presque toujours la ligne, parce que l'indépendance de l'audit s'en trouve compromise.[6] Quand le même acteur bâtit le système et organise sa certification, le verdict perd son sens.

À l'inverse, un organisme de certification peut proposer une évaluation d'écart, une revue qui mesure la distance entre votre système et les exigences de la norme, à condition de ne pas conseiller.[5] La pré-évaluation reste admissible tant qu'elle observe sans recommander : la ligne est franchie dès que l'auditeur suggère des corrections ou aide à les écrire.[6] En pratique, le schéma sain est de séparer les deux rôles dès le départ. Un acteur vous prépare, vous le savez engagé à vos côtés. Un autre, accrédité et indépendant, vous certifie. Cette architecture vaut aussi pour l'accompagnement que vous choisissez en amont.

Comment vérifier concrètement un organisme

La vérification ne demande pas d'expertise particulière, seulement de la méthode. Quatre questions, posées dans l'ordre, suffisent à écarter les mauvaises surprises.

  • Quel organisme d'accréditation vous a accrédité, et quel est votre numéro d'accréditation ?[2]
  • Votre champ d'accréditation mentionne-t-il explicitement l'ISO 42001, et non une norme voisine ?[3]
  • Avez-vous joué un rôle, même indirect, dans la préparation de notre système, et si oui lequel ?[6]
  • Pouvez-vous citer des références sectorielles comparables à notre activité ?[2]

Les réponses se recoupent ensuite dans des bases publiques. En Suisse, le SAS met à disposition un moteur de recherche des organismes accrédités, qui permet de confirmer qu'un organisme figure bien dans son répertoire.[1] Au niveau international, une base publique de type CertSearch permet de confirmer le statut d'un certificat, l'accréditation de l'organisme et la reconnaissance de l'organisme d'accréditation.[2] Ces statuts évoluent, en particulier avec la transition institutionnelle en cours : vérifiez-les à la date de votre projet, en mai 2026 et au-delà, sur la source officielle.

Une fois ces vérifications faites, le choix devient lisible. Un organisme accrédité pour la bonne norme, compétent en gouvernance de l'IA, doté de références crédibles et resté à l'écart de votre préparation, offre une certification qui tiendra devant un client comme devant un régulateur. C'est ce que cherche, au fond, toute organisation qui se lance dans la démarche : non pas un papier, mais une garantie que d'autres reconnaîtront.

Questions fréquentes

Un consultant peut-il aussi certifier mon organisation ?

Non, pas sur le même périmètre. Les règles d'impartialité interdisent à un acteur d'auditer un système qu'il a aidé à construire, car il évaluerait son propre travail.[6] Le consultant qui prépare et l'organisme qui certifie doivent être deux entités séparées, avec un délai de séparation que des sources professionnelles situent autour de deux ans.[6]

Comment vérifier qu'un organisme de certification est accrédité ?

Demandez le nom de l'organisme d'accréditation et le numéro d'accréditation, puis recoupez-les. En Suisse, le SAS propose un moteur de recherche des organismes accrédités.[1] Au niveau international, une base publique de type CertSearch confirme le statut d'un certificat et de l'organisme.[2] Ces statuts évoluent : vérifiez à la date du projet.

Faut-il choisir un organisme de certification suisse ?

Pas nécessairement. Ce qui compte est que l'organisme soit accrédité par un membre du dispositif de reconnaissance mutuelle, ce qui rend le certificat reconnu sur de nombreux marchés à partir d'une seule accréditation.[3] Un organisme étranger accrédité convient donc. Un ancrage suisse peut simplifier la langue, la proximité et la compréhension du contexte local.

Accrédité ou non accrédité, quelle différence concrète ?

Un certificat accrédité s'appuie sur un organisme dont la compétence a été vérifiée par un organisme national d'accréditation et reconnue par ses pairs.[1][3] Un certificat non accrédité repose sur la seule signature de l'émetteur, sans cette chaîne. Face à un client, un régulateur ou un partenaire, seul le premier offre une garantie indépendante et reconnue.

Une norme encadre-t-elle les organismes qui certifient l'ISO 42001 ?

Oui. Les organismes de certification de systèmes de management opèrent selon l'ISO/IEC 17021-1, qui fixe les exigences d'impartialité et de compétence.[6] Pour l'IA, une norme dédiée, l'ISO/IEC 42006, précise selon des sources professionnelles les exigences applicables aux organismes qui auditent et certifient les systèmes de management de l'IA.[2] À vérifier en source officielle.

Préparer la certification sans confondre les rôles

Vous voulez être prêt pour l'audit sans risquer un conflit d'intérêt avec l'organisme qui certifie ? Un accompagnement de préparation, distinct de l'organisme accrédité qui vous auditera, sécurise votre démarche.

Demander un avis indépendant

À lire ensuite

Se certifier Les étapes de la certification ISO 42001 Comparatifs ISO 42001, ISO 27001, AI Act et nLPD Accompagnement Se faire accompagner sur l'ISO 42001
Sources
  1. Swiss Accreditation Service SAS, site officiel (présentation, types d'organismes accrédités, moteur de recherche, actualités sur Global ACI). sas.admin.ch
  2. Elevate Consult, « How to Choose the Right Partner for ISO 42001 Certification: Essential Vetting Criteria » (29-04-2026). elevateconsult.com
  3. International Accreditation Forum, « MLA Purpose » (site d'archive, IAF) et présentation de l'IAF MLA. iaf.nu
  4. SGS, page « ISO/IEC 42001 Certification, Artificial Intelligence Management System » (audit et émission du certificat). sgs.com
  5. SGS, page ISO/IEC 42001 (accréditations ANAB et SAC, évaluation d'écart). sgs.com
  6. Certiget, « Impartiality and Independence of the ISO Certification Body », et CertBetter, « Top 5 Conflicts of Interest Between ISO Consultants and Certification Bodies ». certiget.eu · certbetter.com
  7. National Accreditation Center, étude de cas ISO/IEC 17021 sur une non-conformité d'impartialité (23-09-2025). nac-us.org

Dernière vérification : 31 mai 2026. Sources principales : sites officiels d'organismes d'accréditation (SAS, IAF) et guides d'organismes de certification, lus en entier via Apify. Les statuts d'accréditation et la transition de l'IAF vers Global Accreditation Cooperation Incorporated sont datés de mai 2026 et à confirmer en source officielle. Aucun texte de norme ni page tierce n'est reproduit.