Combien de temps faut-il pour obtenir la certification ISO 42001 ?

La durée totale dépend du niveau de maturité initiale de l'organisation. Une entité déjà certifiée ISO 27001 (sécurité de l'information) peut atteindre la certification ISO 42001 en six à huit mois en étendant son système de management existant. Une organisation sans culture des normes de management ISO doit prévoir douze à dix-huit mois entre la décision de se lancer et l'obtention du certificat. Ces durées intègrent la cartographie des systèmes d'IA, la rédaction des politiques, l'implémentation des trente-huit contrôles de l'Annexe A, l'audit interne, la revue de direction et l'audit de certification en deux étapes.

Quelle est l'étape la plus longue de la démarche ?

L'implémentation effective des contrôles de l'Annexe A constitue la phase la plus longue, généralement entre trois et six mois selon le nombre de systèmes d'IA à intégrer dans le périmètre. Cette phase combine la rédaction des procédures opérationnelles, la formation des collaborateurs, le déploiement des outils de traçabilité et la collecte des premières preuves d'application. La gap analysis initiale, souvent sous-estimée, peut elle aussi prendre six à huit semaines lorsque les systèmes d'IA n'ont pas été préalablement cartographiés.

Peut-on accélérer la démarche en passant directement à l'audit de certification ?

Non. L'organisme certificateur exige la preuve qu'un cycle complet de management a été exécuté : politique adoptée, contrôles déployés, audit interne réalisé, revue de direction tenue, actions correctives initiées. Sauter ces jalons conduit systématiquement à un échec de l'audit Stage 2. La norme ISO/IEC 17021 qui régit les organismes certificateurs encadre strictement ce point. Le seul accélérateur légitime consiste à intégrer l'AIMS dans un système de management déjà certifié (ISO 27001, ISO 9001), ce qui réduit la durée de moitié.

Quels sont les délais de traitement côté organisme certificateur ?

En France, les organismes accrédités COFRAC (AFNOR Certification, Bureau Veritas, BSI France, LRQA, SGS, DNV) annoncent en 2026 des délais de planification de l'audit Stage 1 entre quatre et huit semaines après réception du dossier, et un délai d'environ quatre à six semaines entre Stage 1 et Stage 2. Le certificat lui-même est délivré sous quatre à huit semaines après l'audit Stage 2 si aucune non-conformité majeure n'a été relevée. Ces délais peuvent s'allonger en période de forte demande, notamment à l'approche de l'échéance AI Act du 2 août 2026.

Le délai est-il différent pour une PME et une ETI ?

Le périmètre conditionne la durée davantage que la taille brute. Une PME de quarante salariés exploitant un unique système d'IA peut achever la démarche plus rapidement qu'une ETI de cinq cents salariés exploitant douze systèmes répartis dans plusieurs filiales. En pratique, les PME bénéficient d'une chaîne décisionnelle courte qui accélère l'adoption des politiques, mais doivent souvent recruter ou solliciter un appui externe pour rédiger la documentation technique. Les ETI disposent des ressources internes mais subissent les lenteurs des comités de validation.

Faut-il viser la certification avant le 2 août 2026 ?

Non, l'ISO 42001 et l'AI Act sont deux dispositifs distincts. L'AI Act impose des obligations spécifiques aux fournisseurs et déployeurs de systèmes d'IA à haut risque à partir du 2 août 2026 (Article 113 du règlement). La certification ISO 42001 est volontaire et ne dispense pas de ces obligations. Cependant, l'article 40 du règlement prévoit que les normes harmonisées publiées au Journal officiel de l'Union européenne créent une présomption de conformité. Lorsque l'ISO 42001 deviendra norme harmonisée, sa certification apportera un avantage tangible dans la démonstration de conformité face à un régulateur.

ISO 42001 · Mise en œuvre

Combien de temps pour obtenir la certification ISO 42001 ?

La question revient systématiquement chez les dirigeants, DPO et responsables qualité qui découvrent la norme ISO/IEC 42001:2023. La réponse n'est pas unique : elle dépend de la maturité initiale de l'organisation, du périmètre choisi et de l'articulation avec les autres normes de management déjà en place. Décryptage opérationnel des jalons et des durées typiques.

L'équipe Audaria Publié le 13 mai 2026 12 min de lecture

I. La réponse rapide selon votre maturité initiale

La durée totale d'une démarche de certification ISO 42001 se situe en pratique dans une fourchette de six à dix-huit mois. Cette amplitude reflète des situations de départ très hétérogènes et non un défaut de méthode. Les retours d'expérience publiés en 2025 et début 2026 par les organismes certificateurs et les premiers retours terrain permettent de dégager trois profils types.

Profil A — Organisation déjà certifiée ISO 27001 : six à huit mois. Les politiques de gouvernance, la cartographie des actifs, la gestion documentaire et la culture de l'audit interne sont déjà acquises. L'extension du système de management existant aux contrôles spécifiques de l'IA (Annexe A de l'ISO 42001) constitue alors l'essentiel du travail. Les organisations dans cette situation peuvent envisager une certification ISO 42001 en parallèle de leur prochain audit de surveillance ISO 27001, mutualisant les coûts.

Profil B — Organisation certifiée sur une autre norme HLS (ISO 9001, ISO 14001) : neuf à douze mois. La structure documentaire et les habitudes d'audit interne sont en place, mais les contrôles spécifiques à la sécurité de l'information ne le sont pas. Une part significative du travail consiste à doter l'organisation des fondamentaux que les certifiés ISO 27001 possèdent déjà : journalisation, gestion des accès, classification des données.

Profil C — Organisation sans système de management ISO : douze à dix-huit mois. La démarche implique alors l'instauration d'une culture de management par les processus, la rédaction d'une politique de management de l'IA approuvée par la direction, la mise en place d'un comité de pilotage, la formation des collaborateurs et la mise en œuvre des trente-huit contrôles de l'Annexe A. Le facteur humain (acceptation, formation, montée en compétence) explique plus que la complexité technique l'allongement du calendrier.

II. Les sept étapes de la démarche et leurs durées typiques

Indépendamment du profil de départ, la démarche se structure en sept étapes successives. Les durées indiquées correspondent à une organisation de cinquante à deux cents salariés exploitant entre trois et huit systèmes d'IA, sans expérience préalable d'un système de management ISO.

Étape 1 — Décision et cadrage (deux à quatre semaines). Validation de l'engagement par la direction générale, désignation d'un responsable AIMS (souvent le DPO, le RSSI ou un responsable qualité), définition du périmètre initial (toutes activités IA ou un sous-ensemble), arbitrage sur la mobilisation d'un appui externe.

Étape 2 — Gap analysis et cartographie des systèmes d'IA (six à huit semaines). Inventaire exhaustif des systèmes d'IA en production, en développement et en projet. Évaluation de chaque système au regard des trente-huit contrôles de l'Annexe A. Identification des écarts avec les exigences normatives. Ce livrable est la fondation de toute la démarche : sa qualité conditionne la suite.

Étape 3 — Conception du système de management (deux à trois mois). Rédaction de la politique de management de l'IA, du manuel AIMS, des procédures opérationnelles (gestion des risques IA, évaluation des impacts, gestion des données d'entraînement, surveillance des systèmes en production, gestion des incidents), définition des rôles et responsabilités, mise en place du registre des systèmes d'IA.

Étape 4 — Implémentation et déploiement des contrôles (trois à six mois). Phase la plus longue. Déploiement effectif des trente-huit contrôles : formation des collaborateurs aux nouvelles procédures, mise en place des outils de traçabilité et de journalisation, exécution des évaluations d'impact sur les systèmes existants, collecte des premières preuves d'application. C'est ici que les ressources humaines sont les plus mobilisées.

Étape 5 — Audit interne et revue de direction (quatre à six semaines). Réalisation d'un audit interne couvrant l'ensemble du périmètre, identification des non-conformités, déclenchement des actions correctives, tenue de la revue de direction. Ces deux jalons sont obligatoires avant tout audit de certification : aucun organisme certificateur n'accepte de planifier le Stage 1 sans la preuve qu'ils ont été exécutés.

Étape 6 — Audit de certification Stage 1 (deux à quatre semaines). L'organisme certificateur examine la documentation, vérifie que le système de management est complet et opérationnel, identifie les éventuelles non-conformités majeures qui empêcheraient de poursuivre. Stage 1 se déroule généralement à distance ou sur une journée sur site. À l'issue, l'organisation reçoit un rapport identifiant les points à corriger avant Stage 2.

Étape 7 — Audit de certification Stage 2 et délivrance (six à dix semaines). Audit sur site (un à trois jours selon la taille), revue des preuves d'application des contrôles, entretiens avec les collaborateurs, vérification de l'efficacité du système. Le certificat est délivré quatre à huit semaines après Stage 2 si aucune non-conformité majeure n'a été relevée. Sa validité est de trois ans, avec des audits de surveillance annuels.

III. Le facteur ISO 27001 : effet sur le calendrier

L'écart de six mois entre une organisation déjà ISO 27001 et une organisation partant de zéro mérite une explication détaillée, car il oriente fortement la décision stratégique.

Les normes ISO 42001 et ISO 27001 partagent la même structure de haut niveau, la HLS définie par l'Annexe SL des Directives ISO/IEC. Cette architecture commune signifie que les chapitres 4 (contexte de l'organisation), 5 (leadership), 6 (planification), 7 (support), 8 (fonctionnement), 9 (évaluation des performances) et 10 (amélioration) sont structurellement identiques entre les deux normes. Une organisation certifiée ISO 27001 a déjà rédigé sa politique de sécurité, mis en place son processus d'évaluation des risques, instauré un programme d'audit interne et tenu des revues de direction. Tous ces éléments sont directement transposables à un AIMS, sous réserve d'élargir le périmètre aux risques spécifiques à l'intelligence artificielle.

L'Annexe A des deux normes diffère substantiellement. ISO 27001 contient quatre-vingt-treize contrôles centrés sur la sécurité de l'information. ISO 42001 contient trente-huit contrôles regroupés autour de neuf objectifs : politiques relatives à l'IA, organisation interne, ressources, évaluation des impacts, cycle de vie des systèmes, données d'entraînement, information aux parties prenantes, fournisseurs et clients, et partenaires. Le recouvrement réel entre les deux référentiels est limité : on estime que 25 à 35 % des contrôles ISO 42001 sont couverts ou partiellement couverts par les pratiques déjà en place chez un certifié ISO 27001.

Ce recouvrement, même limité, suffit à diviser par deux l'effort de mise en place de l'AIMS. La culture documentaire, la rigueur du système de management et l'expérience des audits internes représentent le facteur clé. Pour les organisations envisageant les deux certifications, la séquence recommandée par les premiers retours terrain consiste à viser ISO 27001 d'abord (norme plus large et plus largement reconnue), puis ISO 42001 dans la foulée.

IV. Les facteurs qui accélèrent la démarche

Au-delà de l'antériorité d'une autre certification ISO, plusieurs leviers permettent de raccourcir la durée de la démarche sans dégrader la qualité du système de management.

Le périmètre initial restreint. Plutôt que d'inclure tous les systèmes d'IA dès la première certification, certaines organisations choisissent un périmètre limité (une division, un site, une famille de systèmes) pour la première itération. Le périmètre est élargi lors des audits de surveillance des années suivantes. Cette approche, dite de scoping incrémental, peut réduire la durée initiale de trois à six mois.

La désignation d'un sponsor exécutif fort. Une démarche ISO 42001 impose des arbitrages transverses : ressources, priorisation, décisions politiques sur l'usage de certains systèmes d'IA. Sans sponsor membre du comité exécutif, ces arbitrages traînent et le calendrier dérive. Les organisations qui réussissent dans la fourchette basse ont systématiquement un directeur général ou un directeur technique impliqué personnellement.

L'appui d'un cabinet conseil expérimenté. Pour une organisation sans expérience des normes ISO, l'apport d'un consultant senior accélère la phase de conception du système de management de plusieurs semaines. Le retour sur investissement se mesure surtout sur les phases 2 et 3 (gap analysis et conception). Au-delà, l'implémentation et la conduite du changement restent du ressort interne.

L'outillage de la traçabilité dès le départ. La preuve d'application des contrôles repose sur des journaux, des registres et des évaluations documentées. Mettre en place dès l'étape 4 les outils qui généreront automatiquement ces preuves (registres versionnés, traçabilité des modèles, journalisation des décisions) évite de devoir reconstruire la documentation à la veille de l'audit.

V. Les facteurs qui ralentissent (et comment les anticiper)

Trois familles de freins reviennent systématiquement dans les retours d'expérience publiés depuis le début 2026.

La sous-estimation de la cartographie initiale. Les organisations qui n'ont jamais inventorié leurs systèmes d'IA découvrent souvent que ce qu'elles pensaient être trois systèmes en compte en réalité douze, dont la moitié intégrés à des outils SaaS tiers (CRM, ERP, ATS, outils marketing). L'étape 2 dérape alors de plusieurs semaines. Anticiper en demandant aux directions métier de remonter tout outil intégrant un composant d'IA, même indirectement, dès le cadrage de la démarche.

La résistance culturelle à la documentation. Pour une organisation peu habituée aux systèmes de management, la rédaction des procédures et la collecte des preuves d'application peuvent être perçues comme du formalisme. Cette résistance se traduit par des procédures rédigées mais non appliquées, ce que l'audit Stage 2 détecte immédiatement. Anticiper en intégrant la documentation aux outils de travail quotidiens des équipes plutôt que de la traiter comme un livrable isolé.

Le délai côté organisme certificateur. Les organismes accrédités COFRAC affichent des plannings tendus depuis le début 2026, en partie en raison de l'anticipation de l'échéance AI Act du 2 août 2026. Réserver une date d'audit Stage 1 dès l'étape 3 (conception du système) plutôt que d'attendre l'achèvement de l'étape 5, quitte à la décaler ensuite si le calendrier interne glisse.

VI. Cas pratique : une PME de cinquante salariés, calendrier réel

Une PME française de cinquante salariés spécialisée dans le développement de solutions d'aide à la décision pour les directions juridiques exploite quatre systèmes d'IA : un assistant de rédaction de clauses contractuelles, un classifieur de documents, un moteur de recherche sémantique, un outil de synthèse automatique. L'organisation n'est certifiée sur aucune norme ISO. La direction décide en janvier 2026 de viser la certification ISO 42001 pour positionner l'entreprise sur le marché des grands comptes exigeant une preuve formelle de gouvernance.

Le calendrier prévisionnel arbitré avec un cabinet conseil :

Janvier 2026 : décision et cadrage. Désignation d'un responsable AIMS à temps partiel (50 %).
Février-mars 2026 : gap analysis et cartographie. Six semaines effectives.
Avril-juin 2026 : conception du système de management. Trois mois.
Juillet-octobre 2026 : implémentation des contrôles. Quatre mois (plus long que prévu en raison de la mobilité estivale).
Novembre 2026 : audit interne et revue de direction.
Décembre 2026 : audit Stage 1.
Février 2027 : audit Stage 2.
Avril 2027 : délivrance du certificat.

Soit une durée totale de quinze mois entre la décision initiale et l'obtention du certificat. Le budget interne mobilisé s'élève à environ 150 jours-personnes répartis sur quinze mois, auxquels s'ajoute un budget cabinet de 35 000 euros et un coût de certification d'environ 12 000 euros (Stage 1 + Stage 2 + délivrance + premier audit de surveillance).

VII. Articulation avec l'échéance AI Act du 2 août 2026

L'échéance du 2 août 2026, date d'application générale des obligations pour les systèmes d'IA à haut risque inscrits à l'Annexe III du règlement (UE) 2024/1689, suscite régulièrement la question : est-il pertinent de viser la certification ISO 42001 avant cette date ? La réponse est nuancée.

D'une part, l'ISO 42001 et l'AI Act sont deux dispositifs distincts. La certification ISO 42001 est volontaire au sens des normes ISO ; aucune réglementation européenne ne l'impose. Les obligations de l'AI Act s'appliquent indépendamment de toute certification : un fournisseur ou un déployeur d'un système d'IA à haut risque doit respecter les articles 9 à 15, 16, 26 et suivants du règlement quelle que soit la situation de l'organisation au regard de l'ISO 42001.

D'autre part, l'article 40 du règlement prévoit qu'une norme harmonisée publiée au Journal officiel de l'Union européenne crée une présomption de conformité. À ce jour, l'ISO 42001 n'a pas encore le statut de norme harmonisée mais figure dans le périmètre de travaux du CEN-CENELEC JTC 21. Lorsqu'elle obtiendra ce statut, sa certification apportera une présomption de conformité partielle pour les exigences correspondantes du règlement. La temporalité reste incertaine : la publication au JOUE pourrait intervenir entre 2026 et 2028.

Indépendamment de ce statut futur, viser l'ISO 42001 reste cohérent pour les organisations soumises à l'AI Act parce que la norme structure l'ensemble des bonnes pratiques de gouvernance que le règlement exige par ailleurs. La démarche permet de documenter de manière opposable la conformité aux obligations du règlement, ce qui rejoint l'esprit de l'article 99 §7 point h, qui considère la coopération proactive de l'opérateur comme un facteur atténuant en cas de sanction.

Aller plus loin

Pour comprendre les étapes détaillées de la démarche de certification, consulter ISO 42001 : tout savoir sur la certification IA en 2026. Pour la déclinaison sectorielle aux outils de recrutement, lire Conformité AI Act pour les RH. Le texte officiel de la norme est disponible sur iso.org, le règlement IA sur EUR-Lex.