ISO 27001, ISO 42001, RGPD, EU AI Act — quatre cadres qui se recouvrent partiellement, chacun avec ses exigences propres. Faire les quatre en parallèle sans cartographie commune, c'est tripler le travail et finir incohérent. Voilà la grille que j'utilise en mission.
Pourquoi une cartographie unique
Sans cartographie, vous écrivez 4 politiques sur le même sujet, chacune dans la langue de son référentiel, et personne ne sait laquelle s'applique. Pire : un auditeur ISO 42001 trouvera une politique qui contredit votre politique ISO 27001.
Avec une cartographie unique, chaque contrôle interne est rattaché aux exigences des 4 cadres qu'il couvre. Une seule rédaction, plusieurs lectures.
Le périmètre de chaque cadre
ISO 27001
Sécurité de l'information. Couvre la confidentialité, intégrité, disponibilité.
- Système de management (clauses 4-10).
- Contrôles Annexe A (93 contrôles dans la version 2022).
Touche l'IA via : sécurité des actifs (modèles, datasets), gestion des accès, sécurité du développement, fournisseurs, journalisation.
ISO 42001
Système de management de l'IA. Référentiel IA-spécifique.
- Système de management (clauses 4-10, structure HLS comme 27001).
- Annexe A — contrôles spécifiques IA (gouvernance, gestion des risques, cycle de vie, données, transparence).
- Annexes informatives (impact, AI use cases).
Touche les mêmes sujets que 27001 mais avec un focus IA.
RGPD
Protection des données personnelles. Couvre principalement les données, pas la sécurité IA en soi, mais beaucoup d'angles IA touchent des données personnelles.
- Principes (article 5).
- Bases légales (article 6).
- Droits des personnes (articles 12-22, dont décision automatisée article 22).
- Obligations responsable (DPIA article 35, registre article 30).
EU AI Act
Réglementation IA européenne. Approche par les risques :
- Pratiques interdites.
- Systèmes haut risque (avec obligations lourdes).
- Modèles à usage général (GPAI).
- Transparence (art. 50).
Touche : gestion des risques (art. 9), gouvernance données (art. 10), documentation (art. 11), traçabilité (art. 12), transparence (art. 13), supervision humaine (art. 14), robustesse (art. 15).
La cartographie que je construis
Je structure en trois colonnes :
| Contrôle interne | Description | ISO 27001 | ISO 42001 | RGPD | EU AI Act | |---|---|---|---|---|---| | Inventaire modèles IA | Registre tenu à jour | A.5.9 (asset inventory) | 6.1.2, A.4.2 | art. 30 (si traitement PII) | art. 11 (documentation) | | Provenance dataset | Traçabilité sources | A.5.23 (cloud) | A.7 (data lifecycle) | art. 5 (loyauté), art. 30 | art. 10 (data governance) | | DPIA / AIIA | Évaluation impact | — | A.5 (impact assessment) | art. 35 | art. 9 (risk mgmt) | | Validation humaine actions critiques | Procédure | A.5.4 (responsibilities) | A.6 (human oversight) | art. 22 (décision auto) | art. 14 (human oversight) | | Logging activité IA | Journalisation | A.8.15 (logging) | A.7 (data lifecycle) | art. 30 | art. 12 (record keeping) | | Tests robustesse | Red teaming, eval | A.8.29 (security testing) | A.8 (continual eval) | — | art. 15 (robustness) | | Information utilisateur | Disclaimers, transparence | — | A.6 (transparency) | art. 13-14 | art. 13 (transparency) | | Gestion incidents IA | Procédure incident | A.5.24-A.5.27 | A.8 | art. 33-34 (notif) | art. 73 (serious incidents) | | Évaluation fournisseurs LLM | DDQ, contractuel | A.5.19-A.5.22 | A.7 | art. 28 (sous-traitant) | art. 25 (responsibilities) |
Ce tableau, élargi à 30-50 contrôles, est ce que je livre comme base de la cartographie. Voir aussi DPA fournisseur LLM 7 clauses.
Comment je l'opère
Étape 1 — Inventaire des cas d'usage IA
Sans ça, impossible de qualifier ce qui tombe sous AI Act haut risque, ce qui touche le RGPD, etc.
Étape 2 — Identifier la prioritisation
Tous les cadres ne s'appliquent pas avec la même urgence. Ma règle :
- RGPD : si données personnelles, applicable depuis 2018 — déjà en retard si non couvert.
- AI Act : entrée en vigueur progressive 2025-2027, voir AI Act août 2026 checklist 30 jours.
- ISO 27001 : si vous vendez à des grandes entreprises ou en EU, souvent demandé.
- ISO 42001 : émergent, demandé par les acheteurs qui anticipent. Pas une obligation légale.
Étape 3 — Mapping contrôles ↔ exigences
Pour chaque contrôle interne identifié, indiquer à quelle exigence de chaque cadre il répond. Ce tableau devient le référentiel de défendabilité.
Étape 4 — Identifier les gaps
Pour chaque exigence des 4 cadres : couverte / partielle / non couverte. Roadmap remédiation par priorité.
Étape 5 — Politiques unifiées
Écrire les politiques en partant des contrôles, pas des cadres. Une politique "Gestion du cycle de vie des modèles IA" qui couvre ce qui est demandé par les 4 cadres. Pas 4 politiques séparées.
Les pièges classiques
Empiler les politiques par cadre
Le pire pattern : "Politique RGPD IA", "Politique ISO 42001", "Politique AI Act". Personne ne sait laquelle s'applique. Toujours partir des contrôles internes.
Faire ISO 42001 sans avoir ISO 27001
ISO 42001 s'appuie sur la structure 27001. Sans 27001 (ou au moins une base sécurité solide), 42001 ne tient pas.
Confondre AI Act et ISO 42001
Le premier est une réglementation contraignante UE. Le second est un standard de management volontaire (qui peut servir à démontrer conformité AI Act mais ne le remplace pas).
Croire que le RGPD suffit côté données
Le RGPD couvre les données personnelles. Pas la qualité, pas la provenance non-PII, pas la propriété intellectuelle. AI Act art. 10 va plus loin sur la gouvernance données.
Pas de revue annuelle
Les 4 cadres évoluent (versions ISO, jurisprudence CNIL, actes délégués AI Act). Cartographie à revoir minimum 1 fois par an.
Mon avis en 1 ligne
Une cartographie unique contrôle ↔ exigences, et des politiques internes qui parlent contrôles (pas cadres) — c'est ce qui permet de tenir face aux 4 auditeurs sans dupliquer le travail. Compter 4-8 semaines pour la cartographie initiale dans une organisation déjà ISO 27001, plus si tout est à faire. C'est l'investissement structurant qui rend la conformité défendable et opérable.