Un guide étape par étape pour la mise en œuvre de l’ISO 42001 : analyse des écarts, contrôles de l’Annexe A, audit de certification et alignement avec l’AI Act de l’UE pour les équipes d’entreprise.
•
•
19 minutes de lecture
Sujets
D'ici avril 2026, la liste des organisations certifiées ISO/CEI 42001 ressemblera au bottin de l'IA d'entreprise : IBM pour ses modèles Granite, Anthropic pour Claude, Microsoft pour 365 Copilot, KPMG Australie pour l'ensemble de ses activités de conseil, et l'aéroport du Changi de Singapour pour ses systèmes d'IA opérationnels.[1] La norme, publiée en décembre 2023, s'est imposée plus rapidement dans les entreprises que la plupart des observateurs ne l'avaient prédit. Et la dynamique s'accélère, portée en grande partie par l'échéance d'août 2026 concernant les obligations de conformité de la législation européenne sur l'IA relatives aux systèmes à haut risque.
Pourtant, la plupart des guides sur la mise en œuvre de la norme ISO 42001 s'arrêtent aux questions « qu'est-ce que c'est ? » et « pourquoi est-ce important ? ». Les équipes d'entreprise chargées de se conformer à la norme ISO 42001 font face à une question plus concrète : comment ? À quoi ressemble une analyse des écarts ? Quels documents sont requis ? Comment les 38 contrôles de l'Annexe A se traduisent-ils dans la pratique opérationnelle ? Et comment la certification soutient-elle — sans s'y substituer — la conformité à la législation européenne sur l'IA ?
Ce guide répond à ces questions. Il est rédigé à l'attention des responsables de la conformité, des directeurs de la gouvernance de l'IA et des équipes d'ingénierie à qui l'on a demandé de mettre en œuvre la norme ISO 42001 et qui ont besoin de savoir ce que cela implique réellement.
Ce que requiert la norme ISO 42001
La norme ISO/CEI 42001 est la première norme internationale relative à un système de management de l'intelligence artificielle (SMIA). Elle adopte la même structure harmonisée (anciennement Annexe SL) que celle utilisée par la norme ISO 27001 pour la sécurité de l'information et ISO 9001 pour le management de la qualité, ce qui signifie que les organisations déjà certifiées pour ces normes s'y retrouveront facilement.[2]
Les dix clauses de la norme établissent des exigences obligatoires dans sept domaines :
Contexte (Clause 4) : Définir le rôle de l'organisation vis-à-vis de l'IA (fournisseur, producteur, client ou partenaire), identifier les parties prenantes et déterminer le périmètre du SMIA
Leadership (Clause 5) : Établir une politique d'IA, attribuer les rôles et les responsabilités, et garantir l'engagement de la direction générale
Planification (Clause 6) : Réaliser des évaluations des risques liés à l'IA, effectuer des analyses d'impact sur les systèmes d'IA, et définir des objectifs
Support (Clause 7) : Allouer des ressources, développer les compétences et tenir à jour des informations documentées
Fonctionnement (Clause 8) : Mettre en œuvre des contrôles, exécuter des plans de traitement des risques et gérer les processus opérationnels
Évaluation des performances (Clause 9) : Suivre et mesurer l'efficacité du SMIA, réaliser des audits internes et procéder à des revues de direction
Amélioration (Clause 10) : Traiter les non-conformités, mener des actions correctives et piloter l'amélioration continue
Ce qui la distingue de la norme ISO 27001
Les organisations familiarisées avec la norme ISO 27001 en reconnaîtront la structure. Les différences résident dans les exigences spécifiques à l'IA intégrées à cette structure.
La clause 4.1 exige des organisations qu'elles définissent leur rôle dans l'écosystème de l'IA — un concept n'ayant aucun équivalent dans la norme ISO 27001. Une grande entreprise peut simultanément être un fournisseur d'IA (proposer des produits dotés d'IA à des clients), un client d'IA (utiliser en interne des outils d'IA tiers) et un partenaire d'IA (fournir des données au système d'IA d'une autre organisation). Le périmètre du SMIA doit refléter l'ensemble des rôles de l'organisation.
La clause 6.1.4 introduit l'évaluation d'impact sur le système d'IA — une évaluation formelle et documentée des conséquences potentielles du déploiement de l'IA sur les individus, les groupes et la société. Cela va au-delà de l'évaluation des risques de l'organisation (avec laquelle les professionnels de l'ISO 27001 sont familiarisés) pour tenir compte des préjudices externes : le biais algorithmique affectant les décisions de recrutement, les systèmes automatisés refusant des services financiers ou les technologies de surveillance portant atteinte aux libertés civiles. Cette méthode s'apparente davantage à une analyse d'impact relative à la protection des données (AIPD) conforme au RGPD qu'à un registre des risques traditionnel, même si la norme est moins prescriptive quant à la méthodologie.
De plus, l'Annexe A est entièrement nouvelle. Alors que l'Annexe A de l'ISO 27001 contient 93 contrôles de sécurité de l'information, l'Annexe A de l'ISO 42001 contient 38 contrôles répartis sur neuf domaines axés spécifiquement sur la gouvernance de l'IA.[3]
Les 38 contrôles : ce qu'exige réellement l'Annexe A
L'Annexe A constitue le pilier opérationnel de la norme. Ses 38 contrôles sont organisés en neuf domaines, chacun ciblant un aspect distinct d'un management responsable de l'IA.
Domaine | Thématique | Contrôles clés |
|---|---|---|
A.2 - Politiques d'IA | Existence et pertinence des politiques d'IA | Politique d'IA alignée sur la finalité de l'organisation ; revue et mise à jour régulières |
A.3 - Organisation interne | Structures de responsabilité et de gouvernance | Rôles définis pour la gouvernance de l'IA ; mécanismes de coordination transversale |
A.4 - Ressources pour les systèmes d'IA | Pertinence des données, des outils, du calcul et des compétences humaines | Évaluation de la qualité des données ; adéquation de l'infrastructure ; exigences de compétences et d'aptitudes |
A.5 - Évaluation d'impact | Méthodologie d'évaluation des conséquences de l'IA | Processus formalisé d'évaluation d'impact ; évaluation des effets sur les individus et la société |
Contrôles relatifs à la conception, au développement, aux essais, au déploiement et à la mise hors service | Normes de développement ; essais et validation ; gestion du changement ; retrait des modèles | |
A.7 - Gestion des données | Qualité, provenance et protection des données | Documentation de la traçabilité des données (lineage) ; contrôles de qualité des données ; mesures de protection des données |
A.8 - Transparence | Explicabilité et communication auprès des parties prenantes | Documentation sur les capacités et limites d'IA ; explications adaptées aux parties prenantes |
A.9 - Utilisation des systèmes d'IA | Supervision humaine et conditions d'utilisation acceptables | Déclencheurs définis pour l'intervention humaine ; politiques d'utilisation acceptable ; surveillance du fonctionnement de l'IA |
Les 38 contrôles ne sont pas tous obligatoires pour toutes les organisations. La norme exige une Déclaration d'Applicabilité (Declaration of Applicability - SoA) : un document qui liste chaque contrôle de l'Annexe A, indique s'il est inclus ou exclu du SMIA et justifie les exclusions éventuelles. La SoA est l'un des premiers documents demandés par un auditeur, et sa qualité détermine souvent le déroulement de l'audit. Pour les organisations disposant de vastes portefeuilles d'IA, la SoA permet également une gouvernance multiniveau : appliquer l'ensemble des contrôles de l'Annexe A pour les systèmes à haut risque, tout en adoptant une approche plus légère pour les déploiements à risque moindre, sous réserve que la justification fondée sur le risque soit documentée.
L'Annexe B fournit un guide de mise en œuvre pour chaque contrôle. L'Annexe C cartographie les sources de risques liés à l'IA. L'Annexe D établit des correspondances avec des normes propres à certains secteurs. Ensemble, ces quatre annexes constituent une référence complète pour la mise en œuvre.
Mise en œuvre d'ISO 42001 : Sept étapes vers la certification
Étape 1 : Définir le périmètre et dresser l'inventaire de l'IA
Avant toute chose, définissez les limites de votre SMIA. Cela implique de recenser chaque système d'IA que l'organisation conçoit, achète, déploie ou auquel elle contribue, y compris les outils tiers, l'IA intégrée dans des progiciels et les services d'IA consommés via des API.
Cette étape s'avère systématiquement plus complexe qu'il n'y paraît. C'est généralement à ce stade que l'on découvre l'« IA fantôme » (Shadow AI) — des collaborateurs utilisant ChatGPT, Copilot ou d'autres outils d'IA en dehors du contrôle de l'informatique. L'inventaire doit au minimum répertorier : le nom et la finalité du système, le rôle d'IA (fournisseur, client, partenaire), les flux de données entrants et sortants, le statut de déploiement, la classification des risques et le responsable du système.
La définition du périmètre détermine également l'ampleur de la mise en œuvre. Certaines organisations limitent initialement le SMIA à une seule unité commerciale ou ligne de produits, puis l'étendent. D'autres choisissent d'emblée un périmètre à l'échelle de l'entreprise. La bonne approche dépend de la complexité de l'organisation, mais débuter par un périmètre restreint pour l'élargir par la suite s'avère généralement plus pragmatique qu'un déploiement global immédiat.
Étape 2 : Réaliser une analyse des écarts
Une fois le périmètre défini, procédez à une comparaison structurée de vos pratiques actuelles par rapport aux exigences de chaque clause (Clauses 4 à 10) et de chaque contrôle applicable de l'Annexe A. Réunissez une équipe transversale comprenant la conformité, le juridique, la science des données, l'ingénierie, les produits et la gestion des risques.
Pour chaque écart constaté, documentez ce qui fait défaut, évaluez la criticité (en priorité pour les systèmes d'IA à haut risque ou exigences de gouvernance fondamentales) et estimez l'effort de correction. Les organisations déjà certifiées ISO 27001 constateront que de nombreux écarts sur les clauses 4 à 10 sont mineurs — l'infrastructure générale de management étant directement transposable. Les nouveaux travaux significatifs concerneront principalement la clause 6.1.4 (analyse d'impact d'un système d'IA), les contrôles de l'Annexe A et les exigences relatives aux preuves documentaires propres à l'IA.
Étape 3 : Concevoir le SMIA
Bâtissez ou adaptez les composantes du système de management :
Politique d'IA et sous-politiques : La politique d'IA globale (Clause 5.2) doit s'articuler autour des valeurs d'une IA responsable — équité, transparence, responsabilité, sécurité, confidentialité. Des sous-politiques relatives à l'utilisation conforme, à la gouvernance des données et aux services d'IA tiers peuvent s'avérer requises selon le périmètre défini
Méthodologie d'évaluation des risques : Adaptez les processus existants aux risques spécifiques de l'IA — biais algorithmique, dérive des modèles (model drift), détournement d'usage, résultats inexplicables, failles de sécurité. La méthodologie doit garantir des résultats cohérents et comparables
Méthodologie d'analyse d'impact sur les systèmes d'IA : Concevez des modèles de documents et des processus pour évaluer les répercussions sur les individus, les groupes et la société. Définissez les éléments déclencheurs d'une réévaluation : modifications majeures du système, nouvelles sources de données, nouveaux cas d'usage, évolutions réglementaires, incidents majeurs
Matrice des rôles et des responsabilités : Déterminez le responsable du SMIA, les responsables des systèmes d'IA individuels, les personnes chargées des évaluations de risques et d'impact, ainsi que les responsables de chaque domaine de contrôle de l'Annexe A
Programme de formation et de compétences : Identifiez les besoins de compétences pour chaque fonction et planifiez les sessions de formation associées
Étape 4 : Déployer les contrôles et collecter les preuves
Mettez en œuvre les contrôles sur le plan opérationnel. C'est à cette étape que la plupart des projets ralentissent, car la norme exige des preuves vérifiables — de simples politiques sur papier ne suffisent pas.
Les éléments de preuve comprennent : les fiches de modèles (model cards) documentant les capacités et limites des systèmes, les journaux d'essais et de validation, les historiques d'évaluation des biais, la traçabilité des données, les comptes-rendus de gestion des incidents, les registres de suivi du changement (change management) et les indicateurs de supervision humaine. D'après l'expérience d'Enzai dans l'accompagnement des entreprises, la discipline requise pour la collecte et la documentation des preuves s'avère le premier défi opérationnel — non pas parce que les preuves n'existent pas, mais parce qu'elles se trouvent éparpillées parmi divers outils, équipes et systèmes sans aucun mécanisme de centralisation.
Étape 5 : Audit interne
Réalisez au moins un audit interne complet couvrant l'ensemble des clauses et des contrôles de l'Annexe A inclus dans le périmètre avant de solliciter la certification. L'auditeur interne doit être indépendant des contrôles audités (il peut s'agir de ressources internes d'une autre direction, ou d'une tierce partie qualifiée). L'audit doit documenter des constats, et les non-conformités éventuelles doivent faire l'objet d'actions correctives avant de poursuivre la démarche.
Étape 6 : Revue de direction
Procédez à une revue de direction formalisée (Clause 9.3) traitant des points suivants : données de performance du SMIA, résultats des audits internes, conclusions des évaluations de risques et d'impact, non-conformités et actions correctives, retours des parties prenantes, et changements affectant le SMIA. Les conclusions doivent consister en des décisions et actions documentées orientées vers l'amélioration continue. Cette revue doit impérativement associer la direction générale — elle ne peut être intégralement déléguée à l'équipe de gouvernance.
Étape 7 : Audit de certification
L'audit externe repose sur un modèle en deux phases. L'étape 1 consiste en un audit documentaire (généralement 1 à 2 jours) lors duquel l'auditeur s'assure de l'adéquation de la documentation du SMIA et de la préparation de l'organisation pour l'évaluation complète. L'étape 2 correspond à l'audit de mise en œuvre (3 à plus de 9 jours selon le périmètre et la complexité) où l'auditeur interroge les collaborateurs, examine les preuves de conformité et évalue l'application réelle des contrôles de l'Annexe A.
Les certificats sont valables trois ans, sous réserve d'audits de surveillance annuels et d'un audit de renouvellement complet à l'issue du cycle.
Remarque essentielle concernant les organismes de certification : veillez à sélectionner un organisme de certification agréé pour la norme ISO 42001 par un organisme d'accréditation reconnu (ANAB, UKAS, DAkkS ou équivalent). La norme ISO/CEI 42006, qui encadre les exigences applicables aux organismes réalisant les audits de SMIA, est en cours de finalisation, et l'expertise des auditeurs reste variable. Une certification accréditée, délivrée par un organisme de certification disposant d'une expertise reconnue dans le domaine de l'IA, possède un poids opérationnel nettement supérieur à une certification non accréditée — bien que les certificats puissent sembler similaires à première vue.[4]
ISO 42001 et la législation européenne sur l'IA : des approches complémentaires et non équivalentes
La relation entre la norme ISO 42001 et la législation européenne sur l'IA fait fréquemment l'objet de contresens. Il est fondamental de comprendre qu'avoir une certification ISO 42001 ne garantit pas la stricte conformité à la législation européenne sur l'IA. En avril 2026, la norme n'étant pas encore publiée au Journal officiel de l'Union européenne en tant que norme harmonisée, le principe légal du « mécanisme de présomption de conformité » ne peut de ce fait s'appliquer.[5]
Néanmoins, la convergence s'avère considérable. Le Comité d'harmonisation technique mixte (JTC 21) du CEN-CENELEC s'emploie activement à transposer la norme ISO 42001 en norme européenne (le projet désigné prEN ISO/CEI 42001 a été ouvert à consultation publique de novembre 2025 à février 2026). En parallèle, la norme prEN 18286 — spécifiquement développée pour l'application réglementaire de la législation européenne sur l'IA — a été soumise à consultation publique dès octobre 2025.[6] Une fois ces normes finalisées et publiées au Journal officiel, la certification ISO 42001 passera du statut de « préparation utile » à celui de « vecteur de conformité directe ».
D'ici là, les points de convergence concrets sont :
Gestion des risques : L'article 9 de la législation européenne sur l'IA impose des systèmes de gestion des risques pour les IA à haut risque. La Clause 6 de l'ISO 42001 propose une méthodologie globale ainsi qu'un cadre d'administration des preuves
Supervision humaine : L'article 14 de la législation requiert des mécanismes de contrôle. La section A.9 de l'Annexe A définit les contrôles relatifs à l'intervention humaine
Transparence et documentation : Les articles 11 et 13 imposent une documentation technique complète ainsi qu'un niveau de transparence. Les sections A.7 et A.8 d'Annexe A traitent de la gestion des données, de l'explicabilité et de la communication avec les parties prenantes
Gouvernance des données : L'article 10 requiert le pilotage et le management de la qualité des données. La section A.7 de l'Annexe A fournit le cadre d'application concerné
Surveillance après commercialisation : L'article 72 formule une exigence de suivi permanent. Les Clauses 9 et 10 de l'ISO 42001 créent le cycle d'évaluation de la performance générale et d'amélioration
La recommandation pratique est évidente : la norme ISO 42001 structure le cadre de gouvernance, le vivier de preuves et l'organisation du management indispensables pour satisfaire à terme aux exigences de la législation de l'Union européenne sur l'IA. Les organisations qui déploient cette norme aujourd'hui seront beaucoup mieux préparées lorsque les contraintes afférentes aux systèmes à haut risque deviendront pleinement obligatoires en août 2026 — indépendamment de la publication officielle de l'harmonisation à cette date.
Erreurs fréquentes lors de la mise en œuvre d'ISO 42001
L'analyse de l'expérience des premiers adoptants fait ressortir plusieurs écueils récurrents.
Sous-estimer l'inventaire de l'IA. Les organisations ont tendance à sous-évaluer leurs applications d'IA lors de la définition du périmètre. L'apparition d'usages d'IA fantômes (shadow AI), d'applications d'IA intégrées dans des logiciels tiers et de composants d'IA dissimulés chez des fournisseurs tiers accroît régulièrement de 30 % à 50 % l'estimation initiale. Intégrez à votre calendrier projet le délai requis pour un processus complet de cartographie.
Traiter le projet uniquement sous l'angle documentaire. La norme ISO 42001 est conçue pour l'analyse d'un système de management réel, pas d'un système documentaire théorique. Les auditeurs sont formés pour évaluer les éléments de preuve opérationnels au-delà des politiques écrites. Une organisation disposant d'une politique de gestion des données rédigée avec soin mais d'aucune preuve de la réalisation d'évaluations de risques et d'impact, d'essais réels de modèles ou de supervision humaine échouera à l'audit de phase 2.
Reléguer au second plan l'évaluation d'impact de l'IA. La clause 6.1.4 est particulièrement innovante pour l'ensemble des structures et fait souvent l'objet d'un niveau d'attention insuffisant lors du déploiement. L'analyse d'impact d'un système d'IA implique d'évaluer les conséquences sociétales d'ensemble — et non les seuls risques pour la structure concernée. Très peu d'organisations possèdent cette méthodologie préalablement à l'ISO 42001, et la définir requiert plus de temps que prévu.
Travailler en parfaite autarcie. La norme ISO 42001 implique des interlocuteurs divers : juridique, gestion produit, équipes ingénieurs, sciences des données, sécurité et conformité. Les initiatives portées par une seule et unique direction — traditionnellement la conformité informatique — finissent par engendrer un ensemble de politiques formelles qui ne sont en pratique que très peu utilisées par le reste des collaborateurs. Un comité de pilotage pluridisciplinaire soutenu par la direction s'avère indispensable à l'aboutissement de la démarche.
Confondre obtention d'un certificat et conformité pérenne. La délivrance du certificat atteste de l'adéquation d'un système de management à un moment bien précis. Elle ne garantit pas que chaque projet d'IA opérationnel de l'entreprise s'avère dénué de tout biais, parfaitement transparent ou pleinement aligné avec le paysage juridique en vigueur. Le SMIA doit s'envisager comme un système dynamique d'amélioration continue et non comme un audit ponctuel.
Calendrier et investissement requis
Les durées de déploiement réalistes pour la certification ISO 42001 varient selon la configuration des entreprises :
Configuration de l'organisation | Calendrier type | Paramètres dimensionnants |
|---|---|---|
Petite structure (1 à 10 systèmes d'IA), conformité ISO 27001 effective | 4 à 6 mois | Complexité du périmètre, maturité des preuves |
ETI (10 à 50 systèmes d'IA), maturité préalable sur les systèmes de management | 9 à 12 mois | Coordination transversale, intégrité de l'inventaire d'IA |
Grandes entreprises (plus de 50 systèmes d'IA), périmètre s'étendant à de nombreuses filiales | 12 à 18 mois et plus | Complexité de la structure, identification de la shadow AI, alignement à l'échelle mondiale |
Les entreprises disposant d'une certification ISO 27001 possèdent un avantage initial décisif. L'utilisation d'une structure harmonisée permet le transfert des frameworks d'évaluation des risques, des dispositifs d'audit interne, de la gestion des preuves et des mécanismes d'amélioration continue. Différents certificateurs proposent d'ailleurs des démarches intégrées ISO 27001 + ISO 42001 visant à mutualiser les preuves et réduire la durée d'évaluation.
Les investissements requis ne se limitent pas seulement au temps passé. Le budget à prévoir inclut notamment : le coût des prestations de l'organisme de certification (selon le périmètre audité), le temps investi par les contributeurs au sein de l'équipe pluridisciplinaire, l'acquisition d'outils d'évaluation des preuves et de pilotage d'inventaire, ainsi que la formation continue des profils nouvellement sensibilisés à la gouvernance de l'IA. Le facteur de coût principal réside régulièrement dans l'effort de recensement et de rédaction documentaire requis — notamment pour les structures ne disposant d'aucune solution centralisée pour assurer la consolidation des métadonnées des modèles d'IA, logs d'audits et analyses documentaires de risques.
Gérer l'implémentation de l'ISO 42001 sur un portefeuille d'IA conséquent s'apparente autant à un enjeu d'infrastructure qu'à un impératif de gouvernance. Le volume massif de preuves à réunir — fiches de modèles, journaux de tests, évaluations de biais algorithmiques, historiques de données, analyses d'impacts et journaux de suivi du changement — sur des dizaines d'outils surpasse largement la capacité d'administration de simples tableurs. Chez Enzai, notre solution a été spécifiquement conçue pour répondre à cette problématique : centralisation de l'inventaire d'IA, formalisation des écarts selon l'Annexe A, automatisation de la collecte de preuves et surveillance en continu alignée sur le SMIA ISO 42001. Les équipes engagées dans un parcours de certification peuvent dès à présent réserver une démonstration pour appréhender l'ERP en conditions réelles.
Enzai se positionne comme la plateforme de référence pour la gouvernance de l'IA d'entreprise, spécialement conçue pour aider les organisations à passer d'une politique théorique à un contrôle opérationnel concret. Notre plateforme de gestion des risques liés à l'IA fournit l'infrastructure spécialisée requise pour assurer la gouvernance de l'IA agentielle, maintenir un inventaire d'IA exhaustif et garantir la conformité à la législation européenne sur l'IA. Grâce à l'automatisation de workflows complexes, Enzai permet aux entreprises de déployer l'IA à grande échelle et en toute confiance, tout en garantissant un alignement constant avec les standards internationaux tels que la norme ISO 42001 et le NIST.
Références du document
[1] IBM, « IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification », septembre 2024 ; Anthropic, « Anthropic Achieves ISO 42001 Certification », janvier 2025 ; Microsoft Learn, « ISO/IEC 42001:2023 Compliance » ; KPMG Australie, certifié par BSI ; Changi Airport Group, certifié par SGS, février 2025.
[2] ISO/CEI 42001:2023, Technologies de l'information — Intelligence artificielle — Système de management. Organisation internationale de normalisation, décembre 2023.
[3] ISO/CEI 42001:2023, Annexe A (Objectifs de contrôle et contrôles de référence). Pour le guide de mise en œuvre, voir Annexe B.
[4] L'ANAB maintient un répertoire des organismes accrédités pour la certification ISO 42001 disponible sur anab.ansi.org. La norme ISO/CEI 42006 (spécifications pour les certificateurs de SMIA) est en cours de développement.
[5] En avril 2026, aucune norme harmonisée propre à l'IA n'a été publiée au Journal officiel de l'Union européenne avec présomption de conformité réglementaire pour la législation européenne sur l'IA. Voir ISMS.online, « Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet », 2025.
[6] CEN-CENELEC, « Update on AI Standardization », octobre 2025. Consultation publique prEN ISO/CEI 42001 de novembre 2025 à février 2026 ; consultation publique prEN 18286 ouverte à partir du 30 octobre 2025.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.