Qu'est-ce que la norme ISO 42001 ?

ISO/IEC 42001:2023 est la première norme internationale spécifiant les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de l'intelligence artificielle (AIMS). Publiée par l'ISO et l'IEC en décembre 2023, elle s'adresse à toute organisation qui développe, fournit ou utilise des systèmes d'IA, indépendamment de sa taille et de son secteur d'activité. Elle adopte la structure HLS (High Level Structure) commune à ISO 9001, ISO 27001 et ISO 27701, ce qui facilite son intégration avec un système de management existant.

ISO 42001 et AI Act, quel est le rapport ?

L'ISO 42001 et le règlement (UE) 2024/1689 ne se substituent pas l'un à l'autre. L'AI Act est un règlement européen contraignant qui définit ce que l'organisation doit obtenir (résultat). L'ISO 42001 est une norme volontaire internationale qui décrit comment piloter, documenter et améliorer en continu un système de gestion de l'IA (méthode). Les exigences procédurales de l'AI Act recouvrent environ 80 % des contrôles de l'Annexe A de l'ISO 42001 : système de gestion des risques, gouvernance des données, journalisation, supervision humaine. Une organisation certifiée ISO 42001 démontre une démarche proactive opposable à l'autorité de surveillance, sans pour autant être automatiquement conforme à l'AI Act.

Combien coûte une certification ISO 42001 pour une PME en France ?

Le coût total d'une certification ISO 42001 pour une PME française se situe en pratique entre 15 000 et 30 000 euros pour le premier cycle (préparation + audit initial). Il se décompose entre l'accompagnement amont (cartographie, gap analysis, rédaction des politiques), facturé par un cabinet de conseil ou réalisé en interne, et l'audit de certification par un organisme tiers accrédité (AFNOR Certification, Bureau Veritas, BSI, LRQA, SGS). Des audits de surveillance annuels sont à prévoir les années 2 et 3 du cycle de certification.

Combien de temps pour obtenir la certification ISO 42001 ?

Le processus complet de certification ISO 42001 dure de quatre à neuf mois pour une PME, à compter de la décision de s'engager. Cette durée se répartit entre la cartographie initiale et l'analyse des écarts (4 à 8 semaines), la rédaction des politiques et procédures AIMS (6 à 10 semaines), la mise en œuvre opérationnelle (4 à 8 semaines), un audit interne préparatoire (2 à 4 semaines) et l'audit de certification par l'organisme tiers en deux étapes.

Quels sont les organismes certificateurs ISO 42001 en France ?

En France, plusieurs organismes certificateurs accrédités proposent la certification ISO 42001 : AFNOR Certification, Bureau Veritas Certification France, BSI France, LRQA France, SGS France et DNV. L'accréditation des organismes est délivrée par le COFRAC pour la France, par l'UKAS pour le Royaume-Uni ou par DAkkS pour l'Allemagne. La validité d'un certificat ISO 42001 est de trois ans, conditionnée à des audits de surveillance annuels.

ISO 42001 · Méthodologie

ISO 42001 : tout savoir sur la certification IA en 2026

Q: ISO 42001 est-elle obligatoire ?

Non. ISO 42001 est une norme volontaire au sens des normes du système de management. Aucun texte réglementaire ne rend obligatoire la certification ISO 42001 en tant que telle. Toutefois, l'Article 40 du règlement (UE) 2024/1689 prévoit une présomption de conformité aux exigences pertinentes du règlement pour les systèmes d'IA conformes aux normes harmonisées européennes. Lorsque l'ISO 42001 ou ses adaptations européennes seront publiées au Journal officiel comme normes harmonisées, la certification deviendra le moyen le plus direct de démontrer la conformité à certaines exigences procédurales du règlement.

Publiée fin 2023 par l'ISO et l'IEC, l'ISO/IEC 42001 est la première norme internationale spécifiant les exigences d'un système de management de l'intelligence artificielle (AIMS). Périmètre, articulation avec le règlement (UE) 2024/1689, contrôles, étapes de certification, coûts et organismes : décryptage opérationnel pour les PME et ETI françaises.

L'équipe Audaria Publié le 29 avril 2026 · mis à jour le 12 mai 2026 12 min de lecture

I. Qu'est-ce que l'ISO 42001 ?

L'ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system est la première norme internationale dédiée aux systèmes de management de l'intelligence artificielle (Artificial Intelligence Management System, AIMS). Publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) en décembre 2023, elle est le fruit du travail du comité technique ISO/IEC JTC 1/SC 42 consacré à l'intelligence artificielle.

Comme toutes les normes de systèmes de management ISO, elle adopte la structure HLS (High Level Structure) prévue par l'Annexe SL des directives ISO/IEC. Cette structure commune à ISO 9001 (qualité), ISO 27001 (sécurité de l'information), ISO 27701 (vie privée) et ISO 14001 (environnement) permet aux organisations déjà certifiées sur l'une de ces normes d'intégrer rapidement l'AIMS dans leur système de management existant.

L'ISO 42001 spécifie les exigences pour :

Établir, mettre en œuvre, maintenir et améliorer continuellement un AIMS ;
Démontrer la fourniture, le développement ou l'utilisation responsable de systèmes d'IA ;
Adresser les risques associés à l'IA, y compris les risques éthiques, sociétaux et de sécurité ;
Aligner les objectifs IA de l'organisation sur sa stratégie globale et ses parties prenantes.

Elle s'adresse à toute organisation, indépendamment de sa taille ou de son secteur, qui fournit, développe ou utilise des produits ou services intégrant un ou plusieurs systèmes d'IA. La norme est volontaire au sens des normes du système de management : aucune réglementation n'oblige sa mise en œuvre, mais sa certification peut servir de preuve de diligence raisonnable face à un régulateur, un client ou un partenaire.

II. ISO 42001 et AI Act : un rapport de complémentarité

La question revient systématiquement : si nous appliquons le règlement (UE) 2024/1689, devons-nous aussi nous certifier ISO 42001 ? Ou inversement : si nous obtenons l'ISO 42001, sommes-nous conformes à l'AI Act ?

La réponse est nuancée et tient à la nature différente des deux textes.

L'AI Act est un règlement européen contraignant. Il définit ce que l'organisation doit obtenir : classification des systèmes par niveau de risque, obligations Haut Risque (Articles 8 à 27), sanctions (Article 99). Il s'applique de plein droit, indépendamment de toute démarche volontaire.
L'ISO 42001 est une norme internationale volontaire. Elle décrit comment piloter un système de gestion de l'IA : contexte, leadership, planification, support, opération, évaluation des performances, amélioration. Elle ne distingue pas les niveaux de risque mais demande à l'organisation de définir ses propres critères et son propre périmètre.

Plusieurs travaux convergent pour estimer que les exigences procédurales du règlement (UE) 2024/1689 recouvrent environ 80 % des contrôles de l'Annexe A de l'ISO 42001 : système de gestion des risques (Article 9 AI Act ↔ contrôle A.5 ISO), gouvernance des données (Article 10 ↔ A.7), documentation technique (Article 11 ↔ A.6.2.6), journalisation (Article 12 ↔ A.6.2.8), transparence (Article 13 ↔ A.6.2.7), supervision humaine (Article 14 ↔ A.9), cybersécurité (Article 15 ↔ A.6.2.5).

Une certification ISO 42001 ne rend pas automatiquement conforme au règlement IA : la certification atteste de la qualité du système de management, pas de la conformité à un texte réglementaire précis. À l'inverse, une organisation conforme à l'AI Act n'est pas certifiée ISO 42001 si elle n'a pas engagé la démarche auprès d'un organisme accrédité.

L'Article 40 du règlement IA ouvre toutefois une porte décisive : il prévoit une présomption de conformité aux exigences pertinentes du règlement pour les systèmes d'IA conformes aux normes harmonisées européennes dont les références ont été publiées au Journal officiel de l'Union européenne. Lorsque l'ISO 42001 ou ses adaptations européennes (en cours au sein du CEN-CENELEC JTC 21) seront publiées comme normes harmonisées, la certification deviendra le chemin le plus direct pour démontrer la conformité à de nombreuses exigences procédurales du règlement.

III. Les 9 objectifs de contrôle de l'Annexe A

L'Annexe A de l'ISO 42001:2023, normative et obligatoire, énumère 38 contrôles organisés autour de 9 objectifs de contrôle. Les voici dans leur logique de mise en œuvre.

A.2 — Politiques relatives à l'IA : politique documentée d'utilisation de l'IA, alignée sur la stratégie de l'organisation et les obligations légales applicables.
A.3 — Organisation interne : rôles et responsabilités définis, désignation d'un responsable AIMS, processus de remontée et d'arbitrage.
A.4 — Ressources pour les systèmes d'IA : moyens humains, matériels, données et financiers nécessaires au cycle de vie des systèmes d'IA.
A.5 — Évaluation des impacts des systèmes d'IA : conduite d'AISA (AI System Impact Assessment) avant la mise en service de tout système d'IA, traitement des impacts identifiés.
A.6 — Cycle de vie des systèmes d'IA : gestion des étapes de conception, développement, déploiement, exploitation, maintenance, retrait. Inclut la documentation technique, la journalisation et les exigences de transparence.
A.7 — Données pour les systèmes d'IA : qualité, provenance, gouvernance, biais détectés et mesures de traitement. C'est le contrôle qui converge le plus directement avec l'Article 10 du règlement IA.
A.8 — Information pour les parties intéressées : communication transparente avec les utilisateurs, les personnes concernées par les sorties du système, les régulateurs et les partenaires.
A.9 — Utilisation des systèmes d'IA : conditions de déploiement, supervision humaine, gestion des incidents et des situations dégradées.
A.10 — Relations avec les tiers et partenaires : exigences contractuelles imposées aux fournisseurs, aux développeurs et aux clients, gestion des dépendances et des risques de chaîne d'approvisionnement.

Chacun de ces objectifs est décliné en contrôles élémentaires (4 à 6 par objectif en moyenne), pour un total de 38 contrôles à examiner dans le cadre de la déclaration d'applicabilité (Statement of Applicability), document central de la certification.

IV. Pourquoi engager une certification ISO 42001 ?

L'engagement dans une démarche ISO 42001 ne se justifie pas par une obligation réglementaire (la norme demeurant volontaire), mais par trois bénéfices opérationnels mesurables.

1. Documentation opposable lors d'un contrôle

Face à un contrôle de l'autorité de surveillance prévue par l'Article 70 du règlement (UE) 2024/1689, ou face à une mise en cause devant la CNIL pour traitement automatisé, une certification ISO 42001 délivrée par un organisme accrédité COFRAC constitue une preuve documentaire forte de l'existence d'une démarche structurée. Cette preuve ne supprime pas le risque de sanction (cf. Article 99 et son régime gradué), mais elle démontre la diligence raisonnable qui peut peser dans l'appréciation du quantum.

2. Avantage commercial dans les appels d'offres

Les directions achats des grands comptes intègrent désormais des exigences relatives à la gouvernance de l'IA dans leurs grilles de qualification fournisseur. Une certification ISO 42001 (au même titre qu'ISO 27001 il y a dix ans) devient un critère discriminant. Pour une PME ou ETI fournissant des services à des grands groupes ou au secteur public, c'est un signal d'audit-readiness différenciant.

3. Gouvernance interne du Shadow AI

La cartographie initiale exigée par l'ISO 42001 (contrôles A.4 et A.6.2) oblige à recenser tous les systèmes d'IA réellement utilisés dans l'organisation. Cet exercice révèle systématiquement un volume significatif de Shadow AI — outils déployés par les équipes sans validation centrale (extensions ChatGPT, outils de scoring importés par les commerciaux, modules d'IA achetés en SaaS sans passer par la DSI). La mise en visibilité de ce périmètre est un bénéfice opérationnel souvent sous-estimé.

V. Les sept étapes de la certification

La préparation à l'ISO 42001 dure en pratique de quatre à neuf mois pour une PME, selon la maturité initiale et le périmètre retenu. Sept étapes structurent la démarche.

Étape 1 — Cartographie et analyse des écarts (gap analysis)

Inventaire exhaustif des systèmes d'IA développés, intégrés ou utilisés dans l'organisation. Évaluation de l'écart entre les pratiques en place et les 38 contrôles de l'Annexe A. Durée : 4 à 8 semaines.

Étape 2 — Définition du périmètre AIMS et politiques

Choix des unités, processus, sites et systèmes d'IA inclus dans le périmètre du système de management. Rédaction de la politique IA, des objectifs IA et de la déclaration d'applicabilité (Statement of Applicability). Durée : 3 à 6 semaines.

Étape 3 — Mise en œuvre des contrôles

Déploiement opérationnel des contrôles : procédures, modèles documentaires (registre des systèmes d'IA, AISA, registre des incidents), responsabilités. Formation des équipes (qui converge avec l'Article 4 du règlement IA sur la littératie en IA). Durée : 4 à 8 semaines.

Étape 4 — Audit interne

Audit interne par une équipe indépendante de la mise en œuvre opérationnelle, attestant la conformité du système à la norme et identifiant les non-conformités à traiter avant l'audit de certification. Durée : 2 à 4 semaines.

Étape 5 — Revue de direction

Examen formel par la direction de l'organisation de l'efficacité du système, des résultats de l'audit interne, des incidents traités et des objectifs à venir. Étape obligatoire de l'Annexe SL. Durée : 1 à 2 semaines.

Étape 6 — Audit de certification (étape 1 + étape 2)

Intervention de l'organisme certificateur (AFNOR, Bureau Veritas, BSI, LRQA, SGS, DNV). L'audit se déroule en deux étapes : l'étape 1 examine la documentation et la préparation, l'étape 2 vérifie sur le terrain la mise en œuvre effective des contrôles. Durée : 4 à 8 semaines entre étape 1 et étape 2, audit final 2 à 5 jours-auditeur selon la taille.

Étape 7 — Décision de certification

Après levée des éventuelles non-conformités, l'organisme délivre le certificat ISO 42001, valable trois ans. Des audits de surveillance annuels (1 à 2 jours-auditeur) sont obligatoires en année 2 et 3, suivis d'un audit de renouvellement complet à la fin du cycle.

VI. Coûts et durée : estimations pour une PME française

Les coûts varient fortement selon la maturité initiale de l'organisation, son périmètre et le choix d'internaliser ou non l'accompagnement. Pour une PME française de 20 à 200 salariés, les ordres de grandeur observés sur le marché en 2026 sont les suivants.

Cartographie + gap analysis externalisée : 4 000 à 8 000 €.
Accompagnement mise en œuvre + rédaction documentaire : 8 000 à 15 000 € (peut être réalisé en interne par un responsable AIMS dédié).
Audit de certification (étape 1 + étape 2) : 6 000 à 12 000 € selon l'organisme et la taille du périmètre.
Audits de surveillance années 2 et 3 : 2 500 à 5 000 € par an.
Audit de renouvellement (année 3) : 5 000 à 9 000 €.

Le total pour un premier cycle de trois ans se situe ainsi entre 15 000 et 30 000 € pour une PME, hors temps interne. Ce budget est à comparer au coût de structuration interne sans norme (qui mobilise les mêmes ressources mais sans certificat opposable) et au coût d'un incident algorithmique (mise en cause prud'homale, sanction CNIL, perte de confiance d'un client).

VII. Organismes certificateurs en France

La certification ISO 42001 est délivrée par des organismes tiers indépendants accrédités. En France, le COFRAC (Comité français d'accréditation) est l'autorité d'accréditation, signataire des accords multilatéraux IAF MLA permettant la reconnaissance internationale des certificats.

Les principaux organismes proposant la certification ISO 42001 en France sont :

AFNOR Certification — filiale du groupe AFNOR, premier organisme français de certification.
Bureau Veritas Certification France — groupe coté à Euronext Paris, présence internationale.
BSI France — filiale du British Standards Institution, organisme historique de normalisation britannique.
LRQA France — Lloyd's Register Quality Assurance.
SGS France — groupe suisse de certification et d'inspection.
DNV — organisme norvégien, fort dans les secteurs maritime, énergie et industrie.

Le choix de l'organisme se joue principalement sur la reconnaissance dans les secteurs cibles de l'organisation (un client grand compte peut privilégier tel ou tel certificateur), la disponibilité des auditeurs spécialisés IA, et la cohérence avec les certifications existantes (ISO 27001, ISO 9001) pour mutualiser les audits combinés.

VIII. Articulation avec ISO 27001 et ISO 9001

Une organisation déjà certifiée ISO 27001 (sécurité de l'information) ou ISO 9001 (management de la qualité) dispose d'un socle organisationnel précieux pour aborder l'ISO 42001. La structure HLS commune autorise une intégration documentaire : politiques transversales, processus de revue de direction, gestion des non-conformités et actions correctives peuvent être mutualisés. Les auditeurs des trois normes interviennent souvent dans le même audit combiné, ce qui réduit le coût des audits de surveillance.

Pour une PME visant une montée progressive, la séquence couramment observée est ISO 27001 puis ISO 42001. Le contrôle ISO 27001 A.5.30 (gestion des fournisseurs) et la politique d'utilisation acceptable des actifs convergent naturellement avec les exigences ISO 42001 sur la chaîne de fournisseurs IA et l'utilisation interne. À l'inverse, certaines organisations partent directement d'ISO 42001 sans 27001 préalable lorsque leur exposition principale n'est pas la sécurité de l'information mais l'usage de l'IA.

Aller plus loin

Pour comprendre concrètement comment l'ISO 42001 répond aux obligations RH du règlement IA, consulter Conformité AI Act pour les RH. Pour la mise en œuvre côté outil, l'audit ATS face à l'AI Act détaille les documents à exiger d'un fournisseur. Le texte officiel de la norme est disponible sur iso.org, le règlement IA sur EUR-Lex.