Conformité

ISO 42001 : la première norme de management de l'IA

Pourquoi ISO 42001 prend de la valeur en 2026, comment l'articuler avec ISO 27001 et l'AI Act, et ce que les auditeurs vont vraiment demander.

Aroua Biri 8 min

ISO/IEC 42001:2023 est la première norme internationale qui définit un système de management dédié à l'intelligence artificielle (AIMS — Artificial Intelligence Management System). Publiée fin 2023, elle est devenue en 2025-2026 un actif commercial concret : les acheteurs grand compte commencent à la demander dans leurs questionnaires sécurité. Voici ce qu'elle est, ce qu'elle n'est pas, et comment l'aborder pragmatiquement.

Ce qu'est ISO 42001

ISO 42001 est une norme de système de management — comme ISO 27001 (sécurité de l'information) ou ISO 9001 (qualité). Elle ne dit pas "votre IA doit être sûre" ni "votre modèle doit avoir telle performance". Elle dit "vous devez avoir un système organisationnel qui gère les risques et les impacts de vos systèmes IA, avec ces éléments-là".

Les grandes parties :

  • Contexte de l'organisation : périmètre d'application, parties prenantes, alignement stratégique.
  • Leadership : engagement de la direction, politique IA, rôles et responsabilités.
  • Planification : identification des risques et opportunités IA, objectifs.
  • Support : ressources, compétences, sensibilisation, communication, documentation.
  • Opérations : processus IA documentés, gestion des changements, fournisseurs.
  • Évaluation des performances : monitoring, audit interne, revue de direction.
  • Amélioration : non-conformités, actions correctives, amélioration continue.

Le tout est compatible avec la structure haute (Annex SL) des autres normes ISO management — donc intégrable avec une 27001 existante.

Pourquoi 2026 est l'année où ça compte

Trois facteurs s'alignent en 2026 :

1. L'AI Act crée une demande de référence externe

L'AI Act européen demande aux fournisseurs de systèmes IA à haut risque de mettre en place un système de gestion des risques. Plutôt que d'inventer le sien, beaucoup d'éditeurs s'appuieront sur un référentiel externe certifiable. ISO 42001 est le candidat évident.

2. Les acheteurs grand compte l'inscrivent dans leurs questionnaires

J'ai vu en 2025-2026 plusieurs RFP B2B où la question "êtes-vous certifié ou en démarche ISO 42001 ?" est apparue, équivalente au "êtes-vous SOC 2 Type II ?" qu'on voit depuis 5-6 ans. Pour les éditeurs qui vendent à du CAC 40 ou à du Fortune 500, c'est un facteur commercial réel.

3. Les premiers organismes certificateurs sont actifs

BSI, DNV, Bureau Veritas, AFNOR Certification ont des offres ISO 42001. Les premiers certifiés français existent. Le marché est en train de se former.

Le rapport avec ISO 27001

ISO 27001 couvre la sécurité de l'information classique : confidentialité, intégrité, disponibilité, contrôles techniques et organisationnels. ISO 42001 couvre les enjeux propres à l'IA : biais, robustesse, transparence, gouvernance des modèles, lifecycle des datasets.

Si vous êtes déjà ISO 27001 :

  • Le système de management documentaire est déjà en place : adaptable.
  • Les processus de gestion des risques existent : extensible.
  • Les contrôles techniques sécurité sont là : utilisables.

Estimation : ISO 27001 vous fait environ 50-60% du chemin pour ISO 42001. Les 40-50% restants sont vraiment IA-spécifiques.

Le rapport avec NIST AI RMF

NIST AI RMF est un cadre opérationnel américain (volontaire, gratuit). ISO 42001 est une norme certifiable internationale (payante, avec audit externe). Les deux sont compatibles : NIST AI RMF peut servir de base technique, ISO 42001 vient l'envelopper d'un système de management certifiable.

Pour une startup ou scale-up européenne, je recommande souvent : commencer par NIST AI RMF pour structurer la pratique, viser ISO 42001 quand un acheteur ou l'AI Act le justifie commercialement.

Ce que les auditeurs vont vraiment demander

Sur la base de ce que je vois sur les pré-audits que j'accompagne :

Sur la documentation

  • Politique IA validée par la direction. Pas un PDF de 2 pages : un vrai document signé par le DG, qui définit les usages autorisés, les limites, les responsabilités.
  • Cartographie complète des systèmes IA en production.
  • Datasheet et model cards pour chaque modèle déployé.
  • Process documentés pour le développement, le déploiement, le monitoring.

Sur les opérations

  • Logs et traces réelles d'évaluation des risques sur les projets IA des 12 derniers mois.
  • Comptes-rendus des revues de direction (quarterly minimum).
  • Procédures d'incident IA testées (incidents biais, performances dégradées, attaques adversariales).
  • Gestion des fournisseurs IA (modèles tiers, données tierces).

Sur les compétences

  • Plan de formation des équipes au management de l'IA.
  • Sensibilisation des équipes business aux limites des systèmes IA déployés.
  • Évidence que les rôles sont clairs (qui décide d'un déploiement, qui peut arrêter un système).

Le piège : la certification cosmétique

Plusieurs éditeurs vont chercher la certification "pour l'avoir au RFP". Tentation : produire la documentation minimale qui passe l'audit. Risque : le système de management n'est pas réellement intégré dans les opérations, le bénéfice opérationnel est nul, et la certification suivante (renouvellement annuel ou triennal) devient un cauchemar.

Posture saine :

  • L'ISO 42001 doit produire un retour opérationnel mesurable (incidents évités, qualité des décisions, vélocité de déploiement).
  • Si elle ne produit pas ce retour, c'est qu'elle est mal implémentée.
  • Le sponsor exécutif doit suivre régulièrement (KPIs IA dans le tableau de bord direction).

Calendrier réaliste

Pour une organisation de 20-100 personnes avec des systèmes IA en production :

  • Diagnostic et planification : 1-2 mois.
  • Mise en place du système : 6-9 mois.
  • Période de fonctionnement avant audit : 3-6 mois (les auditeurs veulent voir le système tourner).
  • Pré-audit + audit certification : 2-3 mois.

Total : 12-18 mois entre décision et certification. Si vous démarrez maintenant, vous pouvez espérer être certifié fin 2027.

Combien ça coûte

Indications de marché 2026 :

  • Conseil et accompagnement : 30-80 k€ selon la taille et la maturité initiale.
  • Audit certification initial : 15-30 k€ selon l'organisme et la taille.
  • Audit de surveillance annuel : 5-15 k€.
  • Audit de renouvellement (3 ans) : 10-20 k€.

Cela reste un investissement plus accessible qu'une ISO 27001 pour la même organisation, parce que le périmètre est plus circonscrit.

Articulation avec SOC 2, AI Act, CRA

  • SOC 2 : reste pertinent pour les services SaaS aux US et grandes ETI françaises. ISO 42001 le complète.
  • AI Act : ISO 42001 facilite la conformité, ne la remplace pas. Les exigences sectorielles spécifiques restent.
  • CRA : pour les composants logiciels embarqués. Recoupement avec ISO 27001, pas avec 42001.

Le combo qui vous prépare au mieux pour 2027 sur le marché européen : ISO 27001 + ISO 42001 + conformité opérationnelle AI Act + conformité CRA. C'est ambitieux mais c'est ce que les acheteurs sérieux vont attendre.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéAI Act haut risque ConformitéNIST AI RMF ConformitéSOC 2 Type II

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt