Guide de mise en œuvre ISO 42001 pour l'entreprise

Publiée en décembre 2023 par l'ISO et la CEI, la norme spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de l'intelligence artificielle [1]. Elle couvre huit domaines : politiques internes, structure organisationnelle, gestion des ressources, évaluation des impacts, cycle de vie des systèmes, gestion des données, communication aux parties prenantes et utilisation par des tiers.

La norme est volontairement adossée à la structure ISO 27001, ce qui permet une intégration directe aux organisations déjà certifiées en sécurité de l'information.

Trois raisons. Premièrement, la conformité au Règlement européen sur l'IA est largement facilitée : l'article 17 sur le système de gestion de la qualité, l'article 9 sur la gestion des risques et l'article 10 sur les données peuvent être démontrés directement par les contrôles ISO 42001 [2].

Deuxièmement, les directions achats demandent de plus en plus la certification dans leurs questionnaires fournisseurs, en particulier dans la banque, l'assurance et la santé. Troisièmement, la certification est un signal fort pour les comités d'éthique internes et les conseils d'administration qui doivent rendre compte de la maîtrise du risque IA. Le marché des organismes de certification accrédités s'est étoffé en 2025 et la disponibilité d'auditeurs n'est plus un obstacle pratique.

Six étapes. Diagnostic d'écart de 4 à 6 semaines : inventaire des systèmes IA, identification des contrôles déjà en place via ISO 27001, identification des lacunes spécifiques à l'IA. Définition de la politique IA et du périmètre certifiable. Mise en place de la gouvernance : comité IA, rôles, responsabilités [3].

Documentation des processus du cycle de vie : conception, données, évaluation, déploiement, surveillance, retrait. Déploiement des contrôles techniques : journaux, monitoring de dérive, contrôles d'accès. Audit interne, action corrective, audit de certification par un organisme accrédité. La durée totale réaliste pour une organisation de taille intermédiaire est de 6 à 12 mois.

L'articulation est directe sur trois points. La politique IA et le système de management correspondent à l'article 17 du règlement. La gestion des risques tout au long du cycle de vie correspond à l'article 9. La gouvernance des données correspond à l'article 10 [2].

Les obligations de transparence (article 13), de supervision humaine (article 14) et de robustesse (article 15) restent des obligations spécifiques au règlement et ne sont pas couvertes intégralement par la norme. La certification ISO 42001 ne dispense pas de l'évaluation de conformité ni de la documentation technique de l'annexe IV pour les systèmes risque élevé. Elle accélère significativement leur production.

Le coût total varie largement selon le périmètre. Pour une PME mid-market avec 3 à 5 systèmes IA en exploitation, le total se situe entre 60 000 et 120 000 EUR sur 9 à 12 mois, en intégrant le diagnostic, la mise en œuvre, l'audit interne et l'audit externe. Pour un grand groupe, le coût se mesure en centaines de milliers d'EUR sur un cycle plus long.

Le calendrier 2026 reste tenable pour démarrer une certification cette année si le diagnostic est lancé avant l'été. Les organismes accrédités les plus demandés (BSI, AFNOR Certification, TÜV, Bureau Veritas, DNV) ont des délais d'ordonnancement de 3 à 6 mois pour l'audit final [4].