1. Origine et statut de la norme
L'ISO/IEC 42001 résulte d'un travail conjoint entre l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), conduit au sein du sous-comité SC 42 « Intelligence artificielle » du comité technique ISO/IEC JTC 1. Le projet a démarré en avril 2021. La norme a été publiée le 18 décembre 2023, sous la référence officielle ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system.
En France, la version officielle est diffusée par AFNOR sous l'identifiant NF EN ISO/IEC 42001, après transposition européenne via le CEN-CENELEC JTC 21. La norme est disponible à l'achat sur le portail AFNOR depuis février 2024.
ISO 42001 est une norme volontaire. Aucune réglementation européenne ou nationale n'en impose à ce jour la certification. Cependant, l'article 17 du règlement (UE) 2024/1689 (AI Act) reconnaît la conformité aux normes harmonisées comme un moyen de présomption de conformité pour les obligations applicables aux fournisseurs de systèmes d'IA à haut risque. ISO 42001 figure parmi les normes en cours d'harmonisation au titre de l'AI Act, sans être encore officiellement référencée au Journal officiel de l'Union européenne au moment de la rédaction de cet article.
2. Qu'est-ce qu'un système de management de l'IA (SMI) ?
Un système de management de l'IA (SMI, en anglais AI Management System, AIMS) est un ensemble cohérent de politiques, procédures, processus et contrôles qu'une organisation met en place pour gouverner ses activités liées à l'intelligence artificielle. Il couvre l'ensemble du cycle de vie : conception, développement, acquisition, déploiement, opération, surveillance et retrait des systèmes d'IA.
Le SMI ne se substitue pas aux systèmes de management existants. Il s'articule avec eux. ISO 42001 a été conçue selon la structure de haut niveau (HLS, High-Level Structure) commune à toutes les normes de management ISO post-2012, ce qui facilite son intégration avec un SMSI ISO 27001 ou un SMQ ISO 9001 existant.
La norme s'appuie sur les définitions de l'ISO/IEC 22989:2022 (concepts et terminologie de l'IA) et de l'ISO/IEC 23053:2022 (cadre de description pour les systèmes d'IA fondés sur l'apprentissage automatique), sources communes avec l'AI Act européen :
- Système d'IA : système conçu pour fonctionner avec une certaine autonomie et qui, à partir des données et entrées qu'il reçoit, infère comment produire des sorties — prédictions, contenus, recommandations ou décisions — pouvant influencer des environnements physiques ou virtuels (définition reprise au considérant 12 du règlement 2024/1689).
- Cycle de vie de l'IA : phases conception, développement, vérification, validation, déploiement, opération, maintenance et retrait.
- Partie intéressée : personne ou organisation susceptible d'influencer, d'être affectée par ou de se percevoir comme affectée par une décision ou une activité liée à l'IA.
L'objectif d'un SMI est triple : garantir le développement et l'usage responsables des systèmes d'IA ; identifier, évaluer et traiter les risques spécifiques à l'IA (biais, opacité, dérive, atteintes aux droits fondamentaux) ; documenter et démontrer la gouvernance IA auprès des parties prenantes — régulateurs, clients, partenaires, autorités de certification.
Un SMI ne remplace pas vos systèmes de management existants — il s'y intègre via la structure de haut niveau ISO. Une organisation déjà certifiée ISO 27001 (sécurité de l'information) ou ISO 9001 (qualité) capitalise directement sur les clauses communes (4 à 10).
3. Qui est concerné par ISO 42001 ?
La norme s'adresse à toute organisation impliquée dans le cycle de vie d'un système d'IA, quelle que soit sa taille ou son secteur. Trois profils d'organisations sont explicitement visés au paragraphe 1 (Domaine d'application) :
- Les fournisseurs de systèmes d'IA : organisations qui développent un système d'IA destiné à être utilisé par des tiers — éditeurs de logiciels, intégrateurs, fournisseurs de modèles, plateformes.
- Les déployeurs de systèmes d'IA : organisations qui utilisent un système d'IA dans leur activité — banques, mutuelles, cabinets de recrutement, établissements de santé, administrations.
- Les organisations qui développent en interne leurs propres systèmes d'IA pour usage propre — direction marketing déployant un modèle de scoring, direction industrielle utilisant un modèle de prédiction de maintenance.
Les motivations d'adoption diffèrent selon le profil. Pour les fournisseurs, la certification ISO 42001 constitue un signal de confiance vis-à-vis des clients et un atout commercial différenciant. Pour les déployeurs, elle structure la gouvernance interne et facilite la démonstration de conformité aux obligations applicables aux déployeurs prévues par l'article 26 du règlement (UE) 2024/1689. Pour les développeurs internes, elle apporte un cadre méthodologique éprouvé et reconnu internationalement.
« Nous n'utilisons que des outils du marché, donc nous ne sommes pas concernés ». Faux. Une organisation qui utilise un système d'IA tiers (LinkedIn Recruiter pour le tri de CV, un outil de scoring crédit, un assistant de pré-triage médical) est un déployeur au sens de l'article 3 §4 de l'AI Act — avec ses propres obligations distinctes de celles du fournisseur.
4. Articulation entre ISO 42001 et l'AI Act européen
L'AI Act et ISO 42001 sont deux outils distincts mais complémentaires. L'AI Act est un règlement européen contraignant qui impose des obligations précises selon la classification du système d'IA (interdit, haut risque, risque limité, risque minimal). ISO 42001 est une norme volontaire internationale qui propose un cadre de gouvernance global.
Trois zones d'articulation directe méritent d'être documentées.
4.1 Présomption de conformité (article 17 du règlement 2024/1689)
L'article 17 prévoit qu'un système d'IA à haut risque conforme à des normes harmonisées dont les références ont été publiées au Journal officiel de l'Union européenne est présumé conforme aux exigences correspondantes de l'AI Act. Lorsque ISO 42001 sera officiellement référencée comme norme harmonisée, sa certification fournira une présomption pour plusieurs obligations relatives au système de management de la qualité applicable aux fournisseurs.
4.2 Évaluation des risques (article 9 du règlement 2024/1689)
L'article 9 impose aux fournisseurs de systèmes d'IA à haut risque l'établissement, la mise en œuvre et la documentation d'un système de gestion des risques. Le chapitre 6 d'ISO 42001 (planification, traitement des risques et opportunités) répond directement à cette exigence et propose une méthodologie structurée d'identification et de mitigation.
4.3 Documentation technique et tenue de registres (articles 11, 12, 18 du règlement 2024/1689)
ISO 42001 §7.5 (« Informations documentées ») fournit le cadre opérationnel pour produire et maintenir la documentation technique exigée par les articles 11 (documentation technique fournisseur), 12 (logs et traçabilité) et 18 (tenue de la documentation pendant dix ans après mise sur le marché).
À noter : ISO 42001 ne couvre pas toutes les obligations de l'AI Act. Les obligations spécifiques aux déployeurs (article 26) — supervision humaine effective, information des personnes concernées, journalisation des logs sur six mois, information du comité social et économique — relèvent d'une mise en œuvre opérationnelle distincte que le SMI peut faciliter sans s'y substituer.
Règlement (UE) 2024/1689 — Article 17 (système de gestion de la qualité), Article 9 (système de gestion des risques), Articles 11, 12 et 18 (documentation technique, journalisation, conservation des documents). Source : EUR-Lex.
5. Structure de la norme : 10 clauses et 4 annexes
ISO 42001 suit la structure de haut niveau commune aux normes ISO de management. Elle se compose de dix clauses normatives et de quatre annexes informatives.
Les dix clauses normatives :
- Clauses 1 à 3 — Domaine d'application, références normatives, termes et définitions.
- Clause 4 — Contexte de l'organisation : compréhension du contexte interne et externe, identification des parties intéressées, périmètre du SMI.
- Clause 5 — Leadership : engagement de la direction, politique IA, rôles et responsabilités.
- Clause 6 — Planification : risques et opportunités, objectifs IA, gestion du changement.
- Clause 7 — Soutien : ressources, compétences, sensibilisation, communication, informations documentées.
- Clause 8 — Fonctionnement : planification et maîtrise opérationnelles, évaluation d'impact, traitement des données, cycle de vie.
- Clause 9 — Évaluation des performances : surveillance, mesure, audit interne, revue de direction.
- Clause 10 — Amélioration : non-conformités, actions correctives, amélioration continue.
Les quatre annexes informatives complètent le corpus normatif sans constituer d'exigence opposable :
- Annexe A : Objectifs de contrôle et contrôles de référence pour le SMI (38 contrôles répartis en 9 thématiques).
- Annexe B : Lignes directrices de mise en œuvre des contrôles de l'Annexe A.
- Annexe C : Objectifs organisationnels et sources de risque pour l'IA.
- Annexe D : Utilisation du SMI dans différents domaines ou secteurs.
6. Les exigences clés (clauses 4 à 10)
Les six clauses normatives 4 à 10 constituent le cœur des exigences auditables. Une certification est attribuée si et seulement si l'organisation peut démontrer la conformité à l'ensemble de ces clauses.
6.1 Clause 4 — Contexte de l'organisation
L'organisation doit déterminer les enjeux internes et externes pertinents pour son SMI, identifier les parties intéressées (clients, salariés, autorités de régulation, partenaires) et leurs attentes, puis fixer le périmètre exact du SMI. Ce périmètre peut couvrir l'ensemble de l'organisation ou une activité spécifique — par exemple, l'usage d'IA dans la fonction RH uniquement.
6.2 Clause 5 — Leadership
La direction générale doit s'engager formellement, établir une politique IA documentée, attribuer les responsabilités et autorités relatives au SMI. Cette clause exige généralement la désignation d'un responsable du SMI au sein du comité exécutif ou en lien direct avec lui.
6.3 Clause 6 — Planification
L'organisation doit identifier les risques et opportunités liés à ses systèmes d'IA, fixer des objectifs mesurables et planifier les actions pour les atteindre. La méthodologie d'évaluation des risques doit couvrir au minimum les biais, l'opacité, la robustesse, la sécurité, la conformité réglementaire et les atteintes aux droits fondamentaux.
6.4 Clause 7 — Soutien
Cette clause exige de mettre à disposition les ressources nécessaires (humaines, techniques, financières), d'assurer la compétence des personnes, de sensibiliser le personnel, d'organiser la communication interne et externe, et de maintenir un système documentaire complet — politiques, procédures, enregistrements.
6.5 Clause 8 — Fonctionnement
Le cœur opérationnel de la norme. L'organisation doit planifier, mettre en œuvre et contrôler ses processus liés à l'IA, conduire une évaluation d'impact pour chaque système (incluant une évaluation d'impact sur les droits fondamentaux lorsque applicable), gérer le traitement des données et maîtriser l'ensemble du cycle de vie de l'IA.
6.6 Clauses 9 et 10 — Évaluation et amélioration
L'organisation doit surveiller, mesurer, analyser et évaluer la performance de son SMI, mener des audits internes périodiques et organiser des revues de direction. En cas de non-conformité, des actions correctives doivent être engagées et leur efficacité vérifiée. Le cycle d'amélioration continue est explicite.
7. La démarche de certification : 4 étapes
La certification ISO 42001 suit la procédure standardisée par l'IAF (International Accreditation Forum) applicable à toutes les normes de management. Quatre étapes structurent une démarche complète.
Étape 1 — Cartographie et analyse d'écart
Inventaire des systèmes d'IA en cours d'usage, identification des parties prenantes, première évaluation des risques, analyse d'écart par rapport aux 38 contrôles de l'Annexe A. Cette étape dure typiquement 2 à 8 semaines selon la complexité du périmètre.
Étape 2 — Mise en place du SMI
Rédaction et déploiement de la politique IA, des procédures opérationnelles, du manuel du SMI, des registres exigés. Formation et sensibilisation des équipes. Mise en œuvre des contrôles sélectionnés. Cette étape, la plus longue, dure 6 à 12 mois pour une organisation moyenne.
Étape 3 — Audit interne et revue de direction
Conduite d'un audit interne complet par un auditeur compétent (interne ou externe), traitement des non-conformités, organisation d'une revue de direction documentée. Cette étape conditionne le passage à l'audit de certification.
Étape 4 — Audit de certification (Stage 1 + Stage 2)
L'audit de certification se déroule en deux temps. Le Stage 1 consiste en une revue documentaire (politique, procédures, registres, périmètre) et vérifie que le SMI est prêt pour le Stage 2. Le Stage 2 est l'audit terrain : entretiens, vérification de la mise en œuvre effective des contrôles, conformité aux exigences. Si l'audit conclut favorablement, le certificat est délivré pour une durée de trois ans, avec des audits de surveillance annuels.
8. Coût et délai d'une certification
Le coût et le délai d'une démarche varient selon trois facteurs : la taille de l'organisation, le périmètre couvert et la maturité initiale (présence ou non d'un ISO 27001 existant). Les ordres de grandeur observés sur le marché 2026 :
- PME 10-50 salariés, périmètre limité : 15 000 € à 40 000 € — délai 9 à 12 mois.
- ETI 100-500 salariés, périmètre étendu : 50 000 € à 120 000 € — délai 12 à 18 mois.
- Grand groupe : 100 000 € à 300 000 € et plus — délai 18 mois et plus.
Ces montants couvrent l'accompagnement par un cabinet conseil (le poste principal), les frais d'audit de l'organisme certificateur (typiquement 8 000 € à 25 000 € selon le périmètre) et le coût interne en jours-homme. Les audits de surveillance annuels et le renouvellement triennal représentent un coût récurrent de 5 000 € à 20 000 € par an.
En France, les organismes certificateurs accrédités par le COFRAC pour ISO 42001 sont en cours de déploiement. AFNOR Certification a délivré le premier certificat ISO 42001 en France en septembre 2024. D'autres organismes accrédités à l'international (BSI, Bureau Veritas, SGS, DNV) opèrent en France.
9. Cas d'usage par secteur
Trois secteurs concentrent à ce stade le plus d'intérêt pour la certification ISO 42001.
9.1 Ressources humaines et recrutement
Les systèmes d'IA utilisés pour le recrutement et l'évaluation de personnes (plateformes de matching, outils d'analyse de personnalité, ATS avec IA) sont classés haut risque par l'AI Act (Annexe III §4). Pour les cabinets de recrutement et les directions RH déployeuses, ISO 42001 offre un cadre structurant pour la supervision humaine, l'information des candidats et la documentation des décisions automatisées. Audaria y consacre une analyse dédiée à la conformité AI Act des RH, complétée par l'observatoire dédié à l'executive search.
9.2 Santé et secteur médico-social
Les systèmes d'IA destinés à la priorisation des soins, au triage d'urgence, à l'aide au diagnostic ou à la prédiction clinique sont classés haut risque (Annexe III §5(b) et §5(c) du règlement 2024/1689). ISO 42001 s'articule avec les obligations relatives aux dispositifs médicaux (règlements MDR et IVDR) et avec les recommandations conjointes HAS-CNIL de mars 2026. L'observatoire dédié aux cliniques privées mesure l'avancement réel des grands groupes d'hospitalisation privée.
9.3 Services financiers
Les systèmes d'IA utilisés pour l'évaluation de la solvabilité (scoring crédit), la tarification d'assurance vie et santé, la détection de fraude relèvent de l'Annexe III §5. Pour les banques régionales, mutuelles et assurances, ISO 42001 vient compléter les exigences sectorielles de l'ACPR sans s'y substituer. L'articulation avec le règlement DORA (résilience opérationnelle) et le contrôle interne bancaire est explicite.
10. Premières certifications et perspectives
Le déploiement d'ISO 42001 reste émergent. Au moment de la rédaction de cet article (mai 2026), moins de 400 organisations dans le monde détiennent une certification active selon les registres consolidés de l'IAF. En France, le nombre de certifiés se compte en dizaines, avec une dominante d'éditeurs SaaS et de grandes entreprises pilotes.
Cette rareté constitue à la fois un signal de différenciation pour les premiers certifiés et une indication de la complexité réelle de la démarche. La massification est attendue en 2027-2028, portée par l'entrée en application complète de l'AI Act au 2 août 2026 et par la publication officielle d'ISO 42001 comme norme harmonisée européenne (calendrier prévu par l'EU AI Office).
11. Pour aller plus loin
Audaria publie une série d'articles approfondissant chacune des dimensions de la norme :
- Obtenir la norme ISO 42001 : méthode et étapes
- Combien de temps pour obtenir la certification ISO 42001 ?
- Coût d'une certification ISO 42001 : grille 2026 (à venir)
- ISO 42001 vs ISO 27001 : sept différences clés (à venir)
- ISO 42001 et conformité AI Act : ce que la norme couvre vraiment (à venir)
Pour une mise en perspective avec le règlement européen, voir le dossier complet sur l'AI Act.
Ce contenu présente des informations à titre pédagogique et ne constitue pas un conseil juridique. Pour toute application opérationnelle, consultez un professionnel qualifié.