Un guide étape par étape pour la mise en œuvre de l’ISO 42001 : analyse des écarts, contrôles de l’Annexe A, audit de certification et alignement avec l’AI Act de l’UE pour les équipes d’entreprise.
•
•
18 minutes de lecture
Sujets
En avril 2026, la liste des organisations certifiées ISO/IEC 42001 ressemble à un véritable who's who de l’IA d’entreprise : IBM pour ses modèles Granite, Anthropic pour Claude, Microsoft pour 365 Copilot, KPMG Australia dans l’ensemble de sa pratique de conseil, et l’aéroport de Changi à Singapour pour ses systèmes d’IA opérationnels.[1] La norme, publiée en décembre 2023, a progressé plus rapidement entre sa publication et son adoption par les entreprises que la plupart des observateurs ne l’avaient anticipé. Et la dynamique s’accélère, en grande partie sous l’effet de l’échéance d’août 2026 pour les obligations du règlement européen sur l’IA applicables aux systèmes à haut risque.
Pourtant, la plupart des guides sur la mise en œuvre de l’ISO 42001 s’arrêtent à « de quoi s’agit-il ? » et « pourquoi est-ce important ? ». Les équipes d’entreprise chargées d’atteindre la conformité à l’ISO 42001 font face à une question plus pratique : comment ? À quoi ressemble une analyse des écarts ? Quelle documentation est requise ? Comment les 38 contrôles de l’Annexe A se traduisent-ils en pratiques opérationnelles ? Et comment la certification soutient-elle — sans la remplacer — la conformité au règlement européen sur l’IA ?
Ce guide répond à ces questions. Il s’adresse aux responsables de la conformité, aux référents de gouvernance de l’IA et aux équipes d’ingénierie à qui l’on a demandé de mettre en œuvre l’ISO 42001 et qui doivent comprendre ce que cela implique concrètement.
Ce que requiert l’ISO 42001
ISO/IEC 42001 est la première norme internationale consacrée à un Système de management de l’intelligence artificielle (AIMS). Elle suit la même Structure harmonisée (anciennement Annexe SL) que celle utilisée par l’ISO 27001 pour la sécurité de l’information et par l’ISO 9001 pour le management de la qualité, ce qui signifie que les organisations déjà certifiées selon ces normes retrouveront une architecture de système de management familière.[2]
Les dix clauses de la norme établissent des exigences obligatoires dans sept domaines :
Contexte (clause 4) : Définir le rôle de l’organisation dans l’IA (fournisseur, producteur, client ou partenaire), identifier les parties prenantes et déterminer le périmètre du AIMS
Leadership (clause 5) : Établir une politique d’IA, attribuer les rôles et responsabilités, et obtenir l’engagement de la direction générale
Planification (clause 6) : Réaliser des évaluations des risques liés à l’IA, effectuer des analyses d’impact des systèmes d’IA et définir des objectifs
Support (clause 7) : Allouer les ressources, développer les compétences et maintenir des informations documentées
Réalisation des activités opérationnelles (clause 8) : Mettre en œuvre les contrôles, exécuter les plans de traitement des risques et gérer les processus opérationnels
Évaluation des performances (clause 9) : Surveiller et mesurer l’efficacité du AIMS, réaliser des audits internes et conduire des revues de direction
Amélioration (clause 10) : Traiter les non-conformités, mettre en œuvre des actions correctives et piloter l’amélioration continue
Ce qui le distingue de l’ISO 27001
Les organisations familières de l’ISO 27001 reconnaîtront la structure. Les différences résident dans la substance spécifique à l’IA, ajoutée par-dessus.
La clause 4.1 exige des organisations qu’elles définissent leur rôle dans l’écosystème de l’IA — un concept sans équivalent dans l’ISO 27001. Une grande entreprise peut, simultanément, être un fournisseur d’IA (en proposant à ses clients des produits alimentés par l’IA), un client de l’IA (en utilisant en interne des outils d’IA tiers) et un partenaire de l’IA (en fournissant des données au système d’IA d’une autre organisation). Le périmètre du AIMS doit refléter chacun des rôles occupés par l’organisation.
La clause 6.1.4 introduit l’analyse d’impact des systèmes d’IA — une évaluation formelle et documentée des conséquences potentielles du déploiement de l’IA sur les individus, les groupes et la société. Cette exigence va au-delà de l’évaluation des risques organisationnels (familier aux praticiens de l’ISO 27001) pour prendre en compte les préjudices externes : biais algorithmiques affectant les décisions d’embauche, systèmes automatisés refusant des services financiers ou technologies de surveillance portant atteinte aux libertés civiles. Dans l’esprit, elle se rapproche davantage d’une analyse d’impact relative à la protection des données (AIPD) du RGPD que d’un registre des risques traditionnel, bien que la norme soit moins prescriptive sur la méthodologie.
Et l’Annexe A est entièrement nouvelle. Là où l’Annexe A de l’ISO 27001 contient 93 contrôles de sécurité de l’information, l’Annexe A de l’ISO 42001 contient 38 contrôles répartis en neuf domaines, axés spécifiquement sur la gouvernance de l’IA.[3]
Les 38 contrôles : ce qu’exige réellement l’Annexe A
L’Annexe A constitue l’épine dorsale opérationnelle de la norme. Ses 38 contrôles sont organisés en neuf domaines, chacun ciblant un aspect distinct de la gestion responsable de l’IA.
Domaine | Objectif | Contrôles clés |
|---|---|---|
A.2 - Politiques d’IA | Existence et pertinence des politiques d’IA | Politique d’IA alignée sur la raison d’être de l’organisation ; révision et mise à jour régulières |
A.3 - Organisation interne | Responsabilisation et structures de gouvernance | Rôles définis pour la gouvernance de l’IA ; mécanismes de coordination transversale |
A.4 - Ressources pour les systèmes d’IA | Adéquation des données, des outils, de la capacité de calcul et des compétences humaines | Évaluation de la qualité des données ; adéquation de l’infrastructure ; exigences en matière de compétences et d’aptitudes |
A.5 - Analyse d’impact | Méthodologie d’évaluation des conséquences de l’IA | Processus documenté d’analyse d’impact ; évaluation des effets sur les individus et la société |
A.6 - Cycle de vie des systèmes d’IA | Contrôles couvrant la conception, le développement, les tests, le déploiement et la mise hors service | Normes de développement ; tests et validation ; gestion des changements ; retrait des modèles |
A.7 - Gestion des données | Qualité, provenance et protection des données | Documentation de la lignée des données ; contrôles de qualité des données ; mesures de protection des données |
A.8 - Transparence | Explicabilité et communication aux parties prenantes | Documentation des capacités et des limites de l’IA ; explications adaptées aux parties prenantes |
A.9 - Utilisation des systèmes d’IA | Supervision humaine et usage acceptable | Déclencheurs définis pour l’intervention humaine ; politiques d’usage acceptable ; surveillance de l’IA en fonctionnement |
Les 38 contrôles ne sont pas tous obligatoires pour chaque organisation. La norme exige une Déclaration d’applicabilité (SoA) — un document qui recense chaque contrôle de l’Annexe A, indique s’il est inclus ou exclu du AIMS et justifie toute exclusion. La SoA est l’un des premiers documents qu’un auditeur demandera, et sa qualité détermine souvent le ton de l’audit dans son ensemble. Pour les organisations disposant de portefeuilles d’IA importants, la SoA permet également une gouvernance par niveaux — en appliquant toute la profondeur des contrôles de l’Annexe A aux systèmes à haut risque, tout en adoptant une approche plus légère pour les déploiements à plus faible risque, à condition que la justification fondée sur le risque soit documentée.
L’Annexe B fournit des orientations de mise en œuvre pour chaque contrôle. L’Annexe C cartographie les sources de risques liés à l’IA. L’Annexe D met en correspondance les normes propres à chaque domaine. Ensemble, les quatre annexes constituent une référence de mise en œuvre complète.
Mise en œuvre de l’ISO 42001 : sept étapes vers la certification
Étape 1 : Définir le périmètre et constituer l’inventaire de l’IA
Avant toute chose, définissez ce qui entre dans le périmètre du AIMS. Cela signifie recenser chaque système d’IA que l’organisation construit, achète, déploie ou auquel elle contribue — y compris les outils tiers, l’IA intégrée dans les produits logiciels et les services d’IA consommés via des API.
Cette étape est systématiquement plus difficile qu’elle n’en a l’air. L’IA fantôme — c’est-à-dire l’utilisation de ChatGPT, Copilot ou d’autres outils d’IA par les employés sans visibilité de la DSI — est très souvent découverte à ce stade. L’inventaire doit, au minimum, inclure : le nom et la finalité du système, le rôle dans l’IA (fournisseur, client, partenaire), les entrées et sorties de données, l’état du déploiement, la classification des risques et le responsable du système.
La décision de périmètre détermine également l’ampleur de la mise en œuvre. Certaines organisations limitent d’abord le AIMS à une seule unité opérationnelle ou à une seule ligne de produits, puis l’étendent. D’autres visent d’emblée un périmètre à l’échelle de l’entreprise. La bonne réponse dépend de la complexité organisationnelle, mais commencer de manière plus ciblée puis élargir est généralement plus pratique que de tenter une couverture exhaustive dès le premier passage.
Étape 2 : Réaliser une analyse des écarts
Une fois le périmètre défini, réalisez une comparaison structurée des pratiques actuelles avec chaque exigence de clause (clauses 4 à 10) et avec chaque contrôle applicable de l’Annexe A. Constituez une équipe transversale réunissant conformité, juridique, science des données, ingénierie, produit et gestion des risques.
Pour chaque écart, documentez ce qui manque, évaluez la gravité (en priorisant les écarts qui affectent les systèmes d’IA à haut risque ou les exigences de gouvernance essentielles) et estimez l’effort de remédiation. Les organisations déjà certifiées ISO 27001 constateront que de nombreux écarts des clauses 4 à 10 sont mineurs — l’infrastructure du système de management se transfère directement. Le travail nouveau et important se concentrera sur la clause 6.1.4 (analyse d’impact de l’IA), les contrôles de l’Annexe A et les exigences spécifiques de preuve liées à l’IA.
Étape 3 : Concevoir le AIMS
Construisez ou adaptez les composantes du système de management :
Politique d’IA et sous-politiques : La politique d’IA globale (clause 5.2) doit couvrir les valeurs d’une IA responsable — équité, transparence, responsabilisation, sécurité, confidentialité. Des sous-politiques sur l’usage acceptable, la gouvernance des données et l’IA tierce peuvent être nécessaires selon le périmètre
Méthodologie d’évaluation des risques : Adaptez les processus d’évaluation des risques existants aux risques spécifiques à l’IA — biais algorithmiques, dérive des modèles, usages abusifs, résultats inexplicables, vulnérabilités de sécurité. La méthodologie doit produire des résultats cohérents et comparables
Méthodologie d’analyse d’impact des systèmes d’IA : Développez des modèles et des processus pour évaluer les conséquences sur les individus, les groupes et la société. Définissez les déclencheurs de réévaluation : changements majeurs du système, nouvelles sources de données, nouveaux cas d’usage, évolutions réglementaires, incidents défavorables
Matrice des rôles et responsabilités : Définissez qui est propriétaire du AIMS, qui est propriétaire des systèmes d’IA individuels, qui réalise les évaluations des risques et d’impact, et qui est responsable de chaque domaine de contrôle de l’Annexe A
Programme de formation et de compétences : Identifiez les exigences de compétences pour chaque rôle et planifiez les formations en conséquence
Étape 4 : Mettre en œuvre les contrôles et rassembler les preuves
Déployez les contrôles dans les opérations. C’est à ce stade que la plupart des mises en œuvre ralentissent, car la norme exige des preuves vérifiables — et pas seulement des politiques sur le papier.
Les artefacts de preuve incluent : des fiches de modèle documentant les capacités et les limites du système, des journaux de tests et de validation, des enregistrements d’évaluation des biais, de la documentation sur la lignée des données, des enregistrements de réponse aux incidents, des journaux de gestion des changements et des enregistrements d’intervention de supervision humaine. L’expérience d’Enzai dans l’accompagnement des déploiements en entreprise confirme ce que rapportent systématiquement les premiers adopteurs : la collecte des preuves et la rigueur documentaire constituent le défi opérationnel le plus difficile — non pas parce que les preuves n’existent pas, mais parce qu’elles sont dispersées entre outils, équipes et systèmes, sans mécanisme centralisé de collecte.
Étape 5 : Audit interne
Réalisez au moins un audit interne complet couvrant toutes les clauses et tous les contrôles de l’Annexe A inclus dans le périmètre avant de demander la certification. L’auditeur interne doit être indépendant des contrôles audités (cela peut être un collaborateur interne d’une autre fonction ou un tiers qualifié). L’audit doit produire des constats, et les non-conformités doivent être traitées via le processus d’action corrective avant de poursuivre.
Étape 6 : Revue de direction
Tenez une revue de direction formelle (clause 9.3) couvrant : les données de performance du AIMS, les résultats des audits internes, les résultats des évaluations des risques et des impacts, les non-conformités et les actions correctives, les retours des parties prenantes et toute évolution affectant le AIMS. Le résultat doit être constitué de décisions et d’actions documentées en vue d’une amélioration continue. Cette revue doit impliquer la direction générale — elle ne peut pas être entièrement déléguée à l’équipe de gouvernance.
Étape 7 : Audit de certification
L’audit externe suit un modèle en deux étapes. L’étape 1 est un examen documentaire (généralement 1 à 2 jours) au cours duquel l’auditeur évalue si la documentation du AIMS est adéquate et si l’organisation est prête pour une évaluation complète. L’étape 2 est l’audit de mise en œuvre (3 à 9 jours ou plus selon le périmètre et la complexité), durant lequel l’auditeur interroge le personnel, examine les preuves et passe en revue les contrôles de l’Annexe A en fonctionnement.
Les certificats sont valables trois ans, avec des audits de surveillance annuels et une recertification complète à la fin du cycle.
Note importante concernant les organismes de certification : sélectionnez un organisme de certification (OC) accrédité spécifiquement pour l’ISO 42001 par un organisme d’accréditation reconnu (ANAB, UKAS, DAkkS ou équivalent). L’ISO/IEC 42006, norme relative aux organismes procédant à l’audit selon 42001, est encore en cours de finalisation, et les compétences des auditeurs varient. Une certification accréditée délivrée par un OC démontrant une expertise avérée dans le domaine de l’IA a nettement plus de poids qu’une certification non accréditée — même si les certificats peuvent sembler similaires au premier coup d’œil.[4]
ISO 42001 et le règlement européen sur l’IA : complémentaires, non équivalents
La relation entre l’ISO 42001 et le règlement européen sur l’IA est souvent mal comprise. Le point essentiel à retenir est le suivant : la certification ISO 42001 ne constitue pas une conformité au règlement européen sur l’IA. En avril 2026, la norme n’avait pas été inscrite au Journal officiel de l’Union européenne comme norme harmonisée, ce qui signifie que le mécanisme juridique de « présomption de conformité » ne s’applique pas.[5]
Cela dit, le chevauchement est substantiel. Le Comité technique conjoint 21 de CEN-CENELEC travaille activement à l’adaptation de l’ISO 42001 en norme européenne (le projet désigné prEN ISO/IEC 42001 a été soumis à enquête publique de novembre 2025 à février 2026). Par ailleurs, la norme prEN 18286 — une norme harmonisée conçue spécifiquement pour les besoins réglementaires du règlement européen sur l’IA — est entrée en enquête publique en octobre 2025.[6] Lorsque ces normes seront finalisées et publiées au Journal officiel, la certification ISO 42001 passera de « préparation utile » à « voie directe vers la conformité ».
En attendant, les domaines de recoupement pratiques incluent :
Gestion des risques : L’article 9 du règlement européen sur l’IA exige des systèmes de gestion des risques pour l’IA à haut risque. La clause 6 de l’ISO 42001 fournit la méthodologie et le cadre de preuve
Supervision humaine : L’article 14 exige des mesures de supervision. Le domaine A.9 de l’Annexe A définit les contrôles d’intervention humaine
Transparence et documentation : Les articles 11 et 13 exigent une documentation technique et de la transparence. Les domaines A.7 et A.8 de l’Annexe A traitent de la gestion des données, de l’explicabilité et de la communication aux parties prenantes
Gouvernance des données : L’article 10 exige la qualité et la gouvernance des données. Le domaine A.7 de l’Annexe A fournit le cadre de contrôle
Surveillance post-commercialisation : L’article 72 exige une surveillance continue. Les clauses 9 et 10 de l’ISO 42001 établissent le cycle d’évaluation des performances et d’amélioration
La recommandation pratique est claire : l’ISO 42001 construit l’infrastructure de gouvernance, la base de preuves et la discipline de management que la conformité au règlement européen sur l’IA exigera. Les organisations qui mettent en œuvre la norme dès maintenant seront nettement mieux préparées lorsque les obligations applicables aux systèmes à haut risque entreront pleinement en vigueur en août 2026 — que l’harmonisation formelle ait ou non été achevée à cette date.
Pièges courants de mise en œuvre de l’ISO 42001
Après examen des expériences des premiers adopteurs, plusieurs tendances se dégagent systématiquement.
Sous-estimer l’inventaire d’IA. Les organisations sous-estiment régulièrement le nombre de leurs systèmes d’IA au stade du cadrage. La découverte de l’usage d’IA fantôme, de l’IA intégrée dans des logiciels tiers et de composants d’IA dissimulés dans des plateformes fournisseurs augmente généralement l’estimation initiale du périmètre de 30 à 50 %. Prévoyez du temps dans le plan projet pour un processus de découverte approfondi.
Le traiter comme un exercice documentaire. L’ISO 42001 est une norme de système de management, et non une norme documentaire. Les auditeurs sont formés à aller au-delà des politiques pour examiner les preuves opérationnelles. Une organisation disposant d’une politique d’IA parfaitement rédigée mais sans preuve d’évaluations des risques, de tests de modèles ou de supervision humaine échouera à l’audit de l’étape 2.
Négliger l’analyse d’impact de l’IA. La clause 6.1.4 est nouvelle pour la plupart des organisations et reçoit moins d’attention qu’elle ne le mérite pendant la mise en œuvre. L’analyse d’impact des systèmes d’IA exige de réfléchir aux conséquences sociétales et à l’échelle des populations — pas seulement au risque organisationnel. Peu d’organisations disposent de méthodologies établies à ce sujet avant de commencer les travaux ISO 42001, et en élaborer une prend plus de temps que prévu.
Une mise en œuvre en silos. L’ISO 42001 traverse les fonctions juridiques, produit, ingénierie, science des données, sécurité et conformité. Les mises en œuvre pilotées entièrement par une seule fonction — généralement la conformité ou l’informatique — ont tendance à produire des cadres de gouvernance que le reste de l’organisation n’utilise pas. Les groupes de pilotage transverses avec parrainage exécutif ne sont pas facultatifs ; ils constituent un préalable à la réussite.
Confondre certification et conformité. La certification confirme qu’un système de management satisfait aux exigences de la norme à un instant donné. Elle ne confirme pas que chaque système d’IA exploité par l’organisation est exempt de biais, totalement transparent ou conforme à chaque réglementation applicable. Le AIMS doit être un système vivant qui favorise l’amélioration continue, et non un exercice de certification ponctuel.
Calendrier et investissement
Les délais réalistes de mise en œuvre de l’ISO 42001 varient selon la complexité organisationnelle :
Profil de l’organisation | Calendrier type | Variables clés |
|---|---|---|
Petite organisation (1 à 10 systèmes d’IA), ISO 27001 déjà en place | 4 à 6 mois | Complexité du périmètre, niveau de préparation des preuves |
Entreprise de taille intermédiaire (10 à 50 systèmes d’IA), certaine maturité du système de management | 9 à 12 mois | Coordination transversale, exhaustivité de l’inventaire de l’IA |
Grande entreprise (50 systèmes d’IA ou plus), périmètre multi-unités opérationnelles | 12 à 18 mois ou plus | Complexité organisationnelle, découverte de l’IA fantôme, coordination mondiale |
Les organisations déjà certifiées ISO 27001 disposent d’une avance significative. La Structure harmonisée signifie que les cadres de gestion des risques, les processus d’audit interne, les contrôles des informations documentées et les cycles d’amélioration continue se transfèrent directement. Plusieurs organismes de certification proposent des programmes d’audit combinés ISO 27001 + ISO 42001 qui mutualisent les preuves et réduisent le nombre de jours d’audit.
L’investissement ne se limite pas au temps. Les considérations budgétaires incluent : les frais d’audit de l’OC (variables selon le périmètre et la complexité), l’allocation de ressources internes au sein de l’équipe transversale, d’éventuels outils pour la collecte des preuves et la gestion de l’inventaire de l’IA, ainsi que la formation des rôles nouveaux en matière de gouvernance de l’IA. Dans la plupart des mises en œuvre, le principal facteur de coût est l’effort humain requis pour la collecte des preuves et la documentation — en particulier pour les organisations qui ne disposent pas de systèmes centralisés pour suivre les métadonnées des systèmes d’IA, les enregistrements de tests et les évaluations des risques.
Mettre en œuvre l’ISO 42001 sur un portefeuille d’IA important relève autant d’un enjeu d’infrastructure que de gouvernance. Le volume de preuves requis — fiches de modèle, journaux de tests, évaluations des biais, enregistrements de lignée des données, analyses d’impact et artefacts de gestion des changements sur des dizaines de systèmes d’IA — dépasse ce que des feuilles de calcul et des espaces de stockage partagés peuvent soutenir. Chez Enzai, notre plateforme est conçue spécifiquement pour ce défi : inventaire centralisé de l’IA, cartographie structurée des contrôles de l’Annexe A, collecte automatisée des preuves et surveillance continue alignée sur le cycle de système de management de l’ISO 42001. Les organisations qui se préparent à la certification peuvent réserver une démonstration pour voir comment cela fonctionne en pratique.
Références
[1] IBM, « IBM devient le premier grand développeur de modèles d’IA open source à obtenir la certification ISO 42001 », septembre 2024 ; Anthropic, « Anthropic obtient la certification ISO 42001 », janvier 2025 ; Microsoft Learn, « Conformité à l’ISO/IEC 42001:2023 » ; KPMG Australia, certifiée par BSI ; Changi Airport Group, certifié par SGS, février 2025.
[2] ISO/IEC 42001:2023, Technologies de l’information - Intelligence artificielle - Système de management. Organisation internationale de normalisation, décembre 2023.
[3] ISO/IEC 42001:2023, Annexe A (objectifs et contrôles de référence). Pour les orientations de mise en œuvre, voir l’Annexe B.
[4] L’ANAB tient un registre des organismes de certification accrédités pour l’ISO 42001 sur anab.ansi.org. L’ISO/IEC 42006 (exigences applicables aux organismes réalisant l’audit et la certification du AIMS) est en cours d’élaboration.
[5] En avril 2026, aucune norme harmonisée spécifique à l’IA n’avait été publiée au Journal officiel de l’UE avec un statut de présomption de conformité pour le règlement européen sur l’IA. Voir ISMS.online, « Présomption de conformité : pourquoi l’ISO 42001 n’est pas encore votre bouclier juridique face au règlement sur l’IA », 2025.
[6] CEN-CENELEC, « Mise à jour sur la normalisation de l’IA », octobre 2025. Enquête publique de prEN ISO/IEC 42001 de novembre 2025 à février 2026 ; enquête publique de prEN 18286 à partir du 30 octobre 2025.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.