En avril 2026, la liste des organisations certifiées ISO/IEC 42001 ressemble à un véritable annuaire de l’IA d’entreprise : IBM pour ses modèles Granite, Anthropic pour Claude, Microsoft pour 365 Copilot, KPMG Australie pour l’ensemble de ses activités de conseil, et l’aéroport Changi de Singapour pour ses systèmes d’IA opérationnels.[1] La norme, publiée en décembre 2023, a progressé de la publication à l’adoption en entreprise plus rapidement que la plupart des observateurs ne l’avaient prévu. Et cette dynamique s’accélère, portée en grande partie par l’échéance d’août 2026 relative aux obligations applicables aux systèmes à haut risque au titre de l’AI Act de l’UE.

Pourtant, la plupart des guides sur la mise en œuvre de l’ISO 42001 s’arrêtent à « qu’est-ce que c’est » et « pourquoi est-ce important ». Les équipes d’entreprise chargées d’atteindre la conformité ISO 42001 sont confrontées à une question plus pratique : comment ? À quoi ressemble une analyse des écarts ? Quelle documentation est requise ? Comment les 38 contrôles de l’Annexe A se traduisent-ils dans la pratique opérationnelle ? Et comment la certification soutient-elle — sans la remplacer — la conformité à l’AI Act de l’UE ?

Ce guide répond à ces questions. Il s’adresse aux responsables conformité, aux responsables de la gouvernance de l’IA et aux équipes d’ingénierie chargés de mettre en œuvre l’ISO 42001 et qui doivent comprendre concrètement ce que cela implique.

Ce que l’ISO 42001 exige

ISO/IEC 42001 est la première norme internationale pour un Système de Management de l’Intelligence Artificielle (AIMS). Elle suit la même Structure harmonisée (anciennement Annexe SL) utilisée par l’ISO 27001 pour la sécurité de l’information et l’ISO 9001 pour le management de la qualité, ce qui signifie que les organisations déjà certifiées selon ces normes retrouveront une architecture de système de management familière.[2]

Les dix clauses de la norme établissent des exigences obligatoires dans sept domaines :

• Contexte (Clause 4) : Définir le rôle IA de l’organisation (fournisseur, producteur, client ou partenaire), identifier les parties prenantes et déterminer le périmètre de l’AIMS

• Leadership (Clause 5) : Établir une politique IA, attribuer les rôles et responsabilités, et obtenir l’engagement de la direction

• Planification (Clause 6) : Réaliser des évaluations des risques IA, effectuer des analyses d’impact des systèmes d’IA et définir des objectifs

• Support (Clause 7) : Allouer des ressources, développer les compétences et maintenir les informations documentées

• Fonctionnement (Clause 8) : Mettre en œuvre des contrôles, exécuter des plans de traitement des risques et gérer les processus opérationnels

• Évaluation de la performance (Clause 9) : Surveiller et mesurer l’efficacité de l’AIMS, réaliser des audits internes et tenir des revues de direction

• Amélioration (Clause 10) : Traiter les non-conformités, mettre en place des actions correctives et favoriser l’amélioration continue

Ce qui la distingue de l’ISO 27001

Les organisations familières de l’ISO 27001 reconnaîtront la structure. Les différences résident dans la substance spécifique à l’IA ajoutée par-dessus.

La Clause 4.1 exige des organisations qu’elles définissent leur rôle dans l’écosystème IA — un concept sans équivalent dans l’ISO 27001. Une grande entreprise peut simultanément être fournisseur d’IA (en proposant des produits enrichis par l’IA à ses clients), cliente d’IA (en utilisant des outils d’IA tiers en interne) et partenaire IA (en alimentant de données le système d’IA d’une autre organisation). Le périmètre de l’AIMS doit refléter chacun des rôles occupés par l’organisation.

La Clause 6.1.4 introduit l’analyse d’impact du système d’IA — une évaluation formelle et documentée des conséquences potentielles du déploiement de l’IA sur les individus, les groupes et la société. Cela va au-delà de l’évaluation des risques organisationnels (que les praticiens ISO 27001 connaissent bien) pour prendre en compte les préjudices externes : biais algorithmiques affectant les décisions de recrutement, systèmes automatisés refusant des services financiers, ou technologies de surveillance portant atteinte aux libertés civiles. L’approche est plus proche, dans son esprit, d’une Analyse d’Impact relative à la Protection des Données (AIPD) du RGPD que d’un registre de risques traditionnel, bien que la norme soit moins prescriptive sur la méthodologie.

Et l’Annexe A est entièrement nouvelle. Là où l’Annexe A de l’ISO 27001 contient 93 contrôles de sécurité de l’information, l’Annexe A de l’ISO 42001 contient 38 contrôles répartis sur neuf domaines spécifiquement axés sur la gouvernance de l’IA.[3]

Les 38 contrôles : ce que l’Annexe A exige réellement

L’Annexe A est la colonne vertébrale opérationnelle de la norme. Ses 38 contrôles sont organisés en neuf domaines, chacun ciblant un aspect distinct du management responsable de l’IA.

Les 38 contrôles ne sont pas tous obligatoires pour chaque organisation. La norme exige une Déclaration d’applicabilité (SoA) — un document qui répertorie chaque contrôle de l’Annexe A, indique s’il est inclus ou exclu du périmètre AIMS, et justifie toute exclusion. La SoA est l’un des premiers documents demandés par un auditeur, et sa qualité détermine souvent le ton de l’audit dans son ensemble. Pour les organisations disposant d’un large portefeuille d’IA, la SoA permet également une gouvernance par niveaux — en appliquant toute la profondeur des contrôles de l’Annexe A aux systèmes à haut risque, tout en adoptant une approche plus légère pour les déploiements à faible risque, à condition que la justification fondée sur le risque soit documentée.

L’Annexe B fournit des recommandations de mise en œuvre pour chaque contrôle. L’Annexe C cartographie les sources de risque IA. L’Annexe D établit des renvois croisés vers des normes sectorielles. Ensemble, les quatre annexes constituent une référence de mise en œuvre complète.

Mise en œuvre ISO 42001 : sept étapes vers la certification

Étape 1 : établir le périmètre et constituer l’inventaire IA

Avant toute chose, définissez ce qui relève du périmètre AIMS. Cela implique d’inventorier chaque système d’IA que l’organisation conçoit, achète, déploie ou alimente — y compris les outils tiers, l’IA embarquée dans les produits logiciels, et les services d’IA consommés via des API.

Cette étape est systématiquement plus difficile qu’elle n’y paraît. L’IA de l’ombre — des collaborateurs utilisant ChatGPT, Copilot ou d’autres outils IA sans visibilité de la DSI — est découverte à ce stade dans la plupart des cas. L’inventaire doit, a minima, inclure : nom et finalité du système, rôle IA (fournisseur, client, partenaire), entrées et sorties de données, statut de déploiement, classification du risque et propriétaire du système.

La décision de périmètre détermine également l’ampleur de la mise en œuvre. Certaines organisations limitent initialement l’AIMS à une unité opérationnelle ou une ligne de produits, puis élargissent ensuite. D’autres visent un périmètre à l’échelle de l’entreprise dès le départ. La bonne réponse dépend de la complexité organisationnelle, mais commencer avec un périmètre plus restreint puis étendre est généralement plus pratique que de tenter une couverture exhaustive dès la première itération.

Étape 2 : réaliser une analyse des écarts

Une fois le périmètre défini, réalisez une comparaison structurée des pratiques actuelles avec chaque exigence des clauses (Clauses 4 à 10) et chaque contrôle applicable de l’Annexe A. Constituez une équipe interfonctionnelle réunissant conformité, juridique, data science, ingénierie, produit et gestion des risques.

Pour chaque écart, documentez ce qui manque, évaluez la gravité (en priorisant les écarts affectant les systèmes d’IA à haut risque ou les exigences fondamentales de gouvernance) et estimez l’effort de remédiation. Les organisations déjà certifiées ISO 27001 constateront que de nombreux écarts sur les Clauses 4 à 10 sont mineurs — l’infrastructure de système de management est directement réutilisable. Le travail réellement nouveau se concentrera sur la Clause 6.1.4 (analyse d’impact IA), les contrôles de l’Annexe A et les exigences de preuve spécifiques à l’IA.

Étape 3 : concevoir l’AIMS

Construisez ou adaptez les composantes du système de management :

• Politique IA et sous-politiques : La politique IA globale (Clause 5.2) doit couvrir les principes d’IA responsable — équité, transparence, responsabilité, sécurité, protection de la vie privée. Des sous-politiques relatives à l’usage acceptable, à la gouvernance des données et à l’IA tierce peuvent être nécessaires selon le périmètre

• Méthodologie d’évaluation des risques : Adaptez les processus existants pour couvrir les risques spécifiques à l’IA — biais algorithmiques, dérive des modèles, mésusage, sorties non explicables, vulnérabilités de sécurité. La méthodologie doit produire des résultats cohérents et comparables

• Méthodologie d’analyse d’impact des systèmes d’IA : Développez des modèles et des processus pour évaluer les conséquences sur les individus, les groupes et la société. Définissez les déclencheurs de réévaluation : changements majeurs du système, nouvelles sources de données, nouveaux cas d’usage, évolutions réglementaires, incidents défavorables

• Matrice des rôles et responsabilités : Définissez qui est propriétaire de l’AIMS, qui est propriétaire de chaque système d’IA, qui réalise les évaluations de risques et d’impact, et qui est responsable de chaque domaine de contrôle de l’Annexe A

• Programme de formation et de compétences : Identifiez les exigences de compétences pour chaque rôle et planifiez les formations en conséquence

Étape 4 : mettre en œuvre les contrôles et collecter les preuves

Déployez les contrôles de manière opérationnelle. C’est à ce stade que la plupart des mises en œuvre ralentissent, car la norme exige des preuves vérifiables — pas seulement des politiques formelles.

Les artefacts de preuve incluent : des model cards documentant les capacités et limites des systèmes, des journaux de test et de validation, des enregistrements d’évaluation des biais, la documentation de lignée des données, les registres de réponse aux incidents, les journaux de gestion des changements et les enregistrements d’intervention de supervision humaine. L’expérience d’Enzai dans l’accompagnement des déploiements en entreprise confirme ce que rapportent régulièrement les premiers adoptants : la collecte des preuves et la discipline documentaire constituent le défi opérationnel le plus difficile — non pas parce que les preuves n’existent pas, mais parce qu’elles sont dispersées entre outils, équipes et systèmes, sans mécanisme centralisé de collecte.

Étape 5 : audit interne

Réalisez au moins un audit interne complet couvrant toutes les clauses dans le périmètre et les contrôles de l’Annexe A avant de solliciter la certification. L’auditeur interne doit être indépendant des contrôles audités (il peut s’agir de personnel interne d’une autre fonction ou d’un tiers qualifié). L’audit doit produire des constats, et les non-conformités doivent être traitées via le processus d’action corrective avant de poursuivre.

Étape 6 : revue de direction

Tenez une revue de direction formelle (Clause 9.3) couvrant : les données de performance de l’AIMS, les résultats d’audit interne, les résultats des évaluations de risques et d’impact, les non-conformités et actions correctives, les retours des parties prenantes et toute évolution affectant l’AIMS. Le résultat attendu est un ensemble documenté de décisions et d’actions d’amélioration continue. Cette revue doit impliquer la direction générale — elle ne peut pas être entièrement déléguée à l’équipe gouvernance.

Étape 7 : audit de certification

L’audit externe suit un modèle en deux étapes. L’Étape 1 est une revue documentaire (généralement 1 à 2 jours) au cours de laquelle l’auditeur évalue si la documentation AIMS est adéquate et si l’organisation est prête pour une évaluation complète. L’Étape 2 est l’audit de mise en œuvre (3 à 9+ jours selon le périmètre et la complexité), durant lequel l’auditeur interroge le personnel, examine les preuves et passe en revue les contrôles de l’Annexe A en fonctionnement.

Les certificats sont valables trois ans, avec des audits de surveillance annuels et une recertification complète en fin de cycle.

Note critique sur les organismes de certification : sélectionnez un organisme de certification (CB) disposant d’une accréditation spécifiquement portée sur l’ISO 42001 par un organisme d’accréditation reconnu (ANAB, UKAS, DAkkS ou équivalent). L’ISO/IEC 42006, la norme applicable aux organismes auditant selon la 42001, est encore en cours de finalisation, et le niveau de compétence des auditeurs varie. Une certification accréditée, délivrée par un CB démontrant une expertise avérée du domaine IA, a une valeur sensiblement supérieure à une certification non accréditée — même si les certificats peuvent sembler similaires à première vue.[4]

ISO 42001 et AI Act de l’UE : complémentaires, non équivalents

La relation entre l’ISO 42001 et l’AI Act de l’UE est fréquemment mal comprise. Le point le plus important à retenir : la certification ISO 42001 ne constitue pas une conformité à l’AI Act de l’UE. En avril 2026, la norme n’avait pas été publiée au Journal officiel de l’UE en tant que norme harmonisée, ce qui signifie que le mécanisme juridique de « présomption de conformité » ne s’applique pas.[5]

Cela dit, le recouvrement est substantiel. Le Comité technique conjoint 21 du CEN-CENELEC travaille activement à l’adaptation de l’ISO 42001 en norme européenne (le projet désigné prEN ISO/IEC 42001 a été soumis à enquête publique de novembre 2025 à février 2026). Parallèlement, la prEN 18286 — une norme harmonisée conçue spécifiquement à des fins réglementaires pour l’AI Act de l’UE — est entrée en enquête publique en octobre 2025.[6] Lorsque ces normes seront finalisées et publiées au Journal officiel, la certification ISO 42001 passera de « préparation utile » à « voie directe de conformité ».

Dans l’intervalle, les recouvrements pratiques incluent :

• Gestion des risques : L’article 9 de l’AI Act de l’UE exige des systèmes de gestion des risques pour l’IA à haut risque. La Clause 6 de l’ISO 42001 fournit la méthodologie et le cadre de preuve

• Supervision humaine : L’article 14 exige des mesures de supervision. Le domaine A.9 de l’Annexe A définit les contrôles d’intervention humaine

• Transparence et documentation : Les articles 11 et 13 exigent une documentation technique et de la transparence. Les domaines A.7 et A.8 de l’Annexe A traitent la gestion des données, l’explicabilité et l’information des parties prenantes

• Gouvernance des données : L’article 10 exige la qualité et la gouvernance des données. Le domaine A.7 de l’Annexe A fournit le cadre de contrôle

• Surveillance post-commercialisation : L’article 72 exige une surveillance continue. Les Clauses 9 et 10 de l’ISO 42001 établissent le cycle d’évaluation de la performance et d’amélioration

La recommandation pratique est claire : l’ISO 42001 construit l’infrastructure de gouvernance, la base de preuves et la discipline de management qu’exigera la conformité à l’AI Act de l’UE. Les organisations qui mettent en œuvre la norme dès maintenant seront nettement mieux préparées lorsque les obligations relatives au haut risque entreront pleinement en vigueur en août 2026 — que l’harmonisation formelle ait été achevée ou non à cette date.

Pièges courants de la mise en œuvre ISO 42001

L’examen des retours des premiers adoptants fait apparaître plusieurs tendances récurrentes.

Sous-estimer l’inventaire IA. Les organisations sous-estiment régulièrement le nombre de leurs systèmes d’IA lors du cadrage. La découverte d’usages d’IA de l’ombre, d’IA intégrée dans des logiciels tiers et de composants IA enfouis dans des plateformes fournisseurs augmente généralement l’estimation initiale du périmètre de 30 à 50 %. Prévoyez du temps dans le plan projet pour un processus de découverte approfondi.

Le traiter comme un exercice documentaire. L’ISO 42001 est une norme de système de management, et non une norme purement documentaire. Les auditeurs sont formés pour aller au-delà des politiques vers les preuves opérationnelles. Une organisation dotée d’une politique IA parfaitement rédigée mais sans preuve d’évaluations de risques réalisées, de tests de modèles effectués ou de supervision humaine exercée échouera à l’audit d’Étape 2.

Négliger l’analyse d’impact IA. La Clause 6.1.4 est nouvelle pour la plupart des organisations et reçoit moins d’attention qu’elle ne le devrait pendant la mise en œuvre. L’analyse d’impact des systèmes d’IA exige de réfléchir aux conséquences sociétales et à l’échelle des populations — et pas uniquement aux risques organisationnels. Peu d’organisations disposent de méthodologies établies sur ce sujet avant de démarrer leur programme ISO 42001, et en développer une prend plus de temps que prévu.

Mise en œuvre en silos. L’ISO 42001 traverse les fonctions juridique, produit, ingénierie, data science, sécurité et conformité. Les mises en œuvre entièrement portées par une seule fonction — généralement la conformité ou l’IT — tendent à produire des cadres de gouvernance que le reste de l’organisation n’utilise pas. Des comités de pilotage interfonctionnels avec sponsoring exécutif ne sont pas optionnels ; ils sont une condition préalable au succès.

Confondre certification et conformité. La certification confirme qu’un système de management satisfait aux exigences de la norme à un instant donné. Elle ne confirme pas que chaque système d’IA exploité par l’organisation est exempt de biais, totalement transparent ou conforme à toute réglementation applicable. L’AIMS doit être un système vivant orienté vers l’amélioration continue, et non un exercice ponctuel de certification.

Calendrier et investissement

Les délais réalistes de mise en œuvre ISO 42001 varient selon la complexité organisationnelle :

Les organisations déjà certifiées ISO 27001 disposent d’une avance significative. La Structure harmonisée signifie que les cadres de gestion des risques, les processus d’audit interne, les contrôles d’informations documentées et les cycles d’amélioration continue sont directement transférables. Plusieurs organismes de certification proposent des programmes d’audit combinés ISO 27001 + ISO 42001 qui mutualisent les preuves et réduisent le nombre de jours d’audit.

L’investissement ne se limite pas au temps. Les considérations budgétaires incluent : les frais d’audit du CB (variables selon le périmètre et la complexité), l’allocation de ressources internes au sein de l’équipe interfonctionnelle, d’éventuels outils de collecte de preuves et de gestion d’inventaire IA, ainsi que la formation pour les rôles nouveaux en gouvernance IA. Dans la plupart des mises en œuvre, le principal facteur de coût est l’effort humain requis pour la collecte des preuves et la documentation — en particulier pour les organisations qui ne disposent pas de systèmes centralisés de suivi des métadonnées des systèmes d’IA, des enregistrements de tests et des évaluations de risques.

Mettre en œuvre l’ISO 42001 sur un large portefeuille IA relève autant d’un défi d’infrastructure que de gouvernance. Le volume de preuves requis — model cards, journaux de tests, évaluations des biais, enregistrements de lignée des données, analyses d’impact et artefacts de gestion des changements sur des dizaines de systèmes d’IA — dépasse ce que des feuilles de calcul et des dossiers partagés peuvent soutenir. Chez Enzai, notre plateforme est conçue spécifiquement pour ce défi : inventaire IA centralisé, cartographie structurée des contrôles de l’Annexe A, collecte automatisée des preuves et supervision continue alignée sur le cycle de management de l’ISO 42001. Les organisations qui se préparent à la certification peuvent réserver une démonstration pour voir son fonctionnement en pratique.

Références

[1] IBM, « IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification », septembre 2024 ; Anthropic, « Anthropic Achieves ISO 42001 Certification », janvier 2025 ; Microsoft Learn, « ISO/IEC 42001:2023 Compliance » ; KPMG Australie, certifiée par BSI ; Changi Airport Group, certifié par SGS, février 2025.

[2] ISO/IEC 42001:2023, Technologies de l’information — Intelligence artificielle — Système de management. Organisation internationale de normalisation, décembre 2023.

[3] ISO/IEC 42001:2023, Annexe A (objectifs de contrôle de référence et contrôles). Pour des recommandations de mise en œuvre, voir l’Annexe B.

[4] L’ANAB tient un registre des organismes de certification accrédités pour l’ISO 42001 sur anab.ansi.org. L’ISO/IEC 42006 (exigences pour les organismes fournissant l’audit et la certification de l’AIMS) est en cours d’élaboration.

[5] En avril 2026, aucune norme harmonisée spécifique à l’IA n’avait été publiée au Journal officiel de l’UE avec un statut de présomption de conformité pour l’AI Act de l’UE. Voir ISMS.online, « Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet », 2025.

[6] CEN-CENELEC, « Update on AI Standardization », octobre 2025. Enquête publique prEN ISO/IEC 42001 de novembre 2025 à février 2026 ; enquête publique prEN 18286 à partir du 30 octobre 2025.