Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Se certifier

Se certifier

Se certifier ISO 42001 : les étapes de la certification

Par David Zbinden Dernière vérification : 24 mai 2026
En bref

La certification ISO 42001 est délivrée par un organisme tiers accrédité, pas par l'ISO. Le parcours type : préparer son système de management de l'IA, passer un audit en deux étapes (revue documentaire puis audit sur site), obtenir un certificat valable trois ans, puis le maintenir par des audits de surveillance annuels.

Qui délivre la certification

La certification n'est pas délivrée par l'ISO, ni par le consultant qui vous accompagne, mais par un organisme de certification tiers accrédité.[2] Ces organismes opèrent selon l'ISO/IEC 17021-1, le cadre commun d'audit et de certification des systèmes de management, complété par l'ISO/IEC 42006 qui ajoute des exigences propres à l'IA pour les certificateurs.[1]

Vérifiez que l'organisme est accrédité pour l'ISO 42001 par un organisme national reconnu (par exemple UKAS, ANAB ou DAkkS ; en Suisse, l'organisme national d'accréditation est le SAS).[2]

Le parcours, étape par étape

De la préparation au certificat
1Préparer le système (et analyse d'écart)
2Audit étape 1 : revue documentaire
3Audit étape 2 : sur site
4Décision et certificat (3 ans)
5Surveillance annuelle
6Recertification à 3 ans

Parcours type d'une certification de système de management. Schéma reformulé.

Beaucoup d'organisations commencent par une analyse d'écart (gap analysis) pour mesurer la distance entre l'existant et les exigences de la norme, avant de lancer l'audit de certification proprement dit.[3]

Audit étape 1 et étape 2

Étape 1, la revue documentaire. L'auditeur examine la conception du système : périmètre, politique IA, objectifs, méthode et résultats de l'évaluation des risques, processus d'analyse d'impact, déclaration d'applicabilité, plan de traitement des risques, rôles, audit interne et revue de direction. Elle dure en général un à deux jours.[2][3]

Étape 2, l'audit sur site. L'auditeur vérifie que les mesures sont réellement mises en œuvre et efficaces. Elle dure souvent trois à neuf jours, voire plus, selon le périmètre, et intervient en général de quatre à douze semaines après l'étape 1, sans dépasser six mois, le temps de corriger les écarts relevés.[2][3]

Après le certificat : surveillance et recertification

Une fois les écarts levés, l'organisme délivre le certificat, valable trois ans.[2] Pendant ce cycle, des audits de surveillance annuels vérifient le maintien de la conformité. À la fin de la troisième année, un audit de recertification renouvelle le certificat pour un nouveau cycle de trois ans.[2][3]

Délai et coût : les facteurs

Comptez en général six à douze mois entre le diagnostic initial et le certificat.[3] Une organisation qui dispose déjà d'un système ISO 27001 peut aller sensiblement plus vite, car les deux normes partagent la même structure et une partie de la documentation.[2][3]

Le coût dépend de la taille de l'organisation, du périmètre certifié, du nombre de systèmes d'IA et de la maturité de la gouvernance. Les audits de surveillance sont plus courts que l'audit initial, de l'ordre du tiers de sa durée, ce qui allège le budget récurrent.[2]

Questions fréquentes

Peut-on s'auto-certifier ISO 42001 ?

Non. La certification est délivrée par un organisme tiers accrédité. Une organisation peut s'auto-évaluer, mais cela ne constitue pas une certification.[2]

Faut-il être certifié ISO 27001 avant l'ISO 42001 ?

Non, ce n'est pas un prérequis. Mais un système ISO 27001 mature partage la même structure et accélère nettement la démarche.[3]

Combien de temps prend une certification ?

En général six à douze mois du diagnostic au certificat, selon la maturité, la taille et le périmètre.[3]

Le consultant qui m'accompagne peut-il aussi me certifier ?

Non. Le conseil et la certification doivent être séparés : l'organisme qui certifie est indépendant de celui qui a aidé à mettre en place le système.[1]

Préparer votre certification ISO 42001

L'accompagnement prépare votre organisation à l'audit. La certification, elle, reste délivrée par un organisme accrédité indépendant.

Voir l'accompagnement

À lire ensuite

Comprendre Qu'est-ce que la norme ISO/IEC 42001 ? Risques Évaluer les risques liés à l'IA Comparatifs ISO 42001 face à l'ISO 27001 et l'AI Act
Sources
  1. ISO/IEC 17021-1 (audit et certification des systèmes de management) et ISO/IEC 42006 (exigences pour les organismes certifiant un système de management de l'IA). Référence documentaire.
  2. Schellman, « What to Expect in the ISO 42001 Certification Process ». schellman.com
  3. Vanta, « ISO 42001 certification process and timeline ». vanta.com

Dernière vérification : 24 mai 2026. Le processus de certification relève du cadre ISO/IEC 17021-1 et de l'ISO/IEC 42006, et non du texte de la norme 42001 elle-même. Sources d'autorité croisées.