Articulation entre ISO 42001 et le Règlement européen sur l'IA.
La norme ISO/IEC 42001:2023 décrit un système de management de l'intelligence artificielle (AIMS). C'est une norme volontaire et certifiable, structurée comme ISO 27001 sur la sécurité de l'information ou ISO 9001 sur la qualité. Elle ne crée pas d'obligation légale. Mais sa structure recouvre largement les obligations de système qualité et de gestion des risques imposées par le Règlement européen sur l'IA. Une organisation ISO 42001 dispose d'une base solide pour démontrer la conformité Règlement IA.
Quels contrôles ISO 42001 servent directement la conformité ?
L'annexe A d'ISO 42001 liste 38 contrôles répartis en neuf catégories : politique IA, organisation interne, ressources, évaluation des incidences, cycle de vie du système, données, information aux parties intéressées, usage par les déployeurs, fournisseurs tiers. Une cartographie publiée par BSI en 2024 montre que près de 80 pour cent des contrôles ISO 42001 contribuent directement à des obligations Règlement IA. Le système de gestion des risques (article 9), la gouvernance des données (article 10), la documentation technique (annexe IV) et la surveillance après commercialisation (article 72) trouvent leurs équivalents respectifs dans ISO 42001.
Quels écarts subsistent entre les deux référentiels ?
- ISO 42001 ne classe pas les systèmes par niveau de risque réglementaire. Le Règlement IA impose un classement annexe III avec obligations spécifiques.
- ISO 42001 ne prescrit ni marquage CE, ni déclaration UE, ni enregistrement dans la base européenne.
- Les obligations de transparence article 50 (interaction avec personne physique, contenu synthétique) ne sont pas couvertes par ISO 42001.
- Les délais de signalement d'incident grave (article 73) sont propres au Règlement IA.
- Les obligations spécifiques aux modèles à usage général (chapitre V) ne sont pas dans le périmètre d'ISO 42001.
Comment utiliser ISO 42001 comme accélérateur ?
Trois usages pratiques. Premièrement, comme cadre structurant pour préparer la conformité Règlement IA : politique, rôles, ressources, audits internes, amélioration continue. Deuxièmement, comme socle commun pour les groupes internationaux qui veulent un référentiel unique applicable au-delà de l'UE. Troisièmement, comme signal de maturité auprès des clients et des superviseurs : la certification ISO 42001 est exploitable en argumentaire commercial et réglementaire. Mais une certification ne dispense pas de la conformité Règlement IA, qui exige des artefacts spécifiques (documentation annexe IV, marquage CE, enregistrement).
Quel calendrier d'implémentation typique ?
Pour une entreprise mondiale de taille moyenne, le déploiement d'un AIMS ISO 42001 prend généralement entre 9 et 15 mois, avec un audit externe à l'arrivée. Les organisations déjà certifiées ISO 27001 ou ISO 9001 peuvent réutiliser une partie significative de leur dispositif (politique, gestion documentaire, audits internes), ce qui réduit la durée de 30 à 50 pour cent. Notre recommandation est de viser ISO 42001 et conformité Règlement IA en parallèle, pas en séquence : les artefacts produits servent les deux régimes simultanément, et l'effort marginal est faible.
Quels organismes certifient en 2026 ?
Plusieurs organismes accrédités proposent désormais l'audit ISO 42001 (BSI, Bureau Veritas, AFNOR Certification, DNV, TÜV Rheinland, Schellman, etc.). Le nombre de certifications délivrées reste modeste mais croît rapidement. La rigueur d'audit varie d'un organisme à l'autre : les premiers audits sont souvent moins exigeants que les audits à venir, à mesure que les attentes se stabilisent. Pour un dossier solide, nous recommandons de viser dès le départ une approche d'audit conservatrice avec preuves opérationnelles substantielles, pas seulement formelles.
Questions fréquentes
Faut-il être certifié ISO 42001 pour déployer de l'IA en UE ?
Non, la certification est volontaire. Mais elle facilite la démonstration de bonne foi et de maturité, ce qui peut peser favorablement en cas de contrôle.
ISO 42001 vaut-elle présomption de conformité Règlement IA ?
Pas formellement à ce jour. Seules les normes harmonisées publiées au Journal officiel peuvent emporter présomption de conformité. ISO 42001 reste un guide d'implémentation utile, pas un raccourci de conformité.
Comment Impetora aide-t-elle ?
Nous structurons les missions client en alignant les artefacts ISO 42001 et Règlement IA dès la livraison. La cartographie est tenue dans un référentiel unique, ce qui évite la duplication d'effort.