ISO 42001 vs AI Act : alignement, lacunes et ce que la certification apporte vraiment
La certification ISO 42001 et la conformité à l'AI Act ne sont pas la même chose — mais elles ne sont pas sans lien non plus. Ce guide pratique met en correspondance les exigences de la norme de système de management de l'IA avec les obligations du règlement (UE) 2024/1689, identifie les lacunes critiques et explique ce que la certification ISO 42001 apporte concrètement dans un contexte d'audit réglementaire.
L'ISO 42001 — la norme internationale pour les Systèmes de Management de l'Intelligence Artificielle (SMIA) — a été publiée en décembre 2023, quelques mois seulement avant que l'AI Act prenne sa forme définitive. Les deux instruments portent sur la gouvernance de l'IA, les deux exigent des processus documentés et les deux imposent une obligation de rendre compte. Mais ils opèrent dans des registres fondamentalement différents : l'ISO 42001 est un cadre de management volontaire ; l'AI Act est une loi contraignante avec des amendes pouvant atteindre 35 millions d'euros.
Comprendre là où ils s'alignent, là où ils divergent et ce que chacun apporte concrètement est essentiel pour toute organisation qui doit satisfaire aux deux.
Ce que couvre l'ISO 42001
L'ISO 42001 suit la Structure de Haut Niveau (SHN) familière utilisée par l'ISO 9001, l'ISO 27001 et l'ISO 14001. Elle exige que les organisations :
- Établissent une politique IA et attribuent des responsabilités en matière de gouvernance de l'IA
- Réalisent des évaluations des risques IA et classifient les systèmes d'IA par niveau de risque
- Mettent en œuvre des contrôles opérationnels pour le développement et le déploiement des systèmes d'IA
- Maintiennent des informations documentées (enregistrements et documents)
- Réalisent des audits internes et des revues de direction
- Pilotent l'amélioration continue du système de management
La norme est orientée processus, et non résultats. Elle ne vous dit pas ce que votre système d'IA doit techniquement atteindre ; elle vous dit comment votre organisation doit gérer les systèmes d'IA.
La carte d'alignement : où l'ISO 42001 rejoint l'AI Act
Le tableau ci-dessous met en correspondance les clauses ISO 42001 avec les obligations spécifiques de l'AI Act. « Couverture partielle » signifie que la norme aborde le sujet mais ne satisfait pas pleinement l'exigence réglementaire.
| Clause ISO 42001 | Ce qu'elle couvre | Articles AI Act adressés | Niveau de couverture |
|---|---|---|---|
| 4 (Contexte) | Compréhension des parties prenantes, périmètre, politique IA | Art. 9 (gestion des risques), considérants 1–15 | Partielle |
| 5 (Leadership) | Politique IA, rôles, responsabilités | Art. 9, Art. 26(2) | Partielle |
| 6 (Planification) | Évaluation des risques, évaluation d'impact IA | Art. 9, Art. 27 (EIDF) | Partielle |
| 7 (Support) | Compétence, sensibilisation, documentation | Art. 13, Art. 14, Art. 72 | Partielle |
| 8 (Réalisation) | Contrôles du cycle de vie du développement IA, gouvernance des données | Art. 10, Art. 12, Art. 15 | Partielle |
| 9 (Évaluation des performances) | Surveillance, audit interne, revue de direction | Art. 26(5), Art. 72 (surveillance post-commercialisation) | Partielle |
| 10 (Amélioration) | Non-conformité, actions correctives | Art. 73, Art. 74 | Partielle |
| Annexe A (Contrôles) | Contrôles IA spécifiques sur le développement et l'utilisation | Art. 9–15, Art. 26 | Partielle |
Les alignements les plus substantiels se trouvent dans la gouvernance des données (ISO 42001 A.6 / Art. 10 AI Act), les contrôles de surveillance humaine (ISO 42001 A.9 / Art. 14 AI Act) et la gestion des incidents et problèmes (ISO 42001 A.10 / Art. 73 AI Act).
Lacunes critiques : ce que l'ISO 42001 ne couvre PAS
C'est là que de nombreuses organisations commettent des erreurs coûteuses. La certification ISO 42001 ne :
1. Ne remplace pas l'évaluation de conformité (Article 43)
L'article 43 de l'AI Act établit des procédures d'évaluation de conformité obligatoires pour les systèmes d'IA à haut risque. Pour les systèmes listés à l'annexe I (par ex. dispositifs médicaux, machines), cela nécessite un organisme notifié. Pour les systèmes relevant de l'annexe III suivant la voie d'évaluation de conformité standard, cela requiert des procédures spécifiques incluant un examen de la documentation technique. La certification ISO 42001 n'est pas une évaluation de conformité. C'est un audit de système de management. Un certificat ISO 42001 délivré par un organisme de certification ne constitue pas la preuve que le système d'IA lui-même satisfait aux exigences techniques de l'AI Act.
2. Ne produit pas la documentation technique requise (Annexe IV)
L'annexe IV de l'AI Act précise le contenu exact de la documentation technique que chaque fournisseur d'IA à haut risque doit maintenir et mettre à la disposition des autorités de surveillance du marché. Cela inclut la description des jeux de données d'entraînement, les méthodologies de validation, l'architecture du système, les métriques de précision et de robustesse, et les plans de surveillance post-commercialisation. L'ISO 42001 exige des informations documentées mais n'impose pas la structure et le contenu spécifiques de la documentation de l'annexe IV.
3. Ne génère pas la déclaration de conformité UE (Article 47)
La déclaration de conformité UE est un document juridique formel signé par le fournisseur affirmant que le système répond à toutes les exigences applicables de l'AI Act. La certification ISO 42001 ne fournit aucune base pour signer ou émettre cette déclaration.
4. N'active pas le marquage CE (Article 49)
Le marquage CE sur un système d'IA signale la conformité à l'AI Act (et à la législation harmonisée applicable). Il ne peut être apposé qu'après la réalisation d'une évaluation de conformité valide. La certification ISO 42001 ne joue aucun rôle dans le processus de marquage CE.
5. Ne satisfait pas aux obligations de transparence spécifiques (Article 13)
L'article 13 exige que les systèmes d'IA à haut risque fournissent aux utilisateurs des informations spécifiques : finalité prévue, métriques de performance, limitations connues, mesures de surveillance humaine et caractéristiques techniques. L'ISO 42001 promeut la transparence comme principe, mais n'exige pas les divulgations spécifiques imposées par l'article 13.
6. N'aborde pas les pratiques interdites (Article 5)
Les pratiques interdites de l'AI Act — l'IA manipulatrice, l'identification biométrique à distance en temps réel dans les espaces publics (avec des exceptions limitées), la notation sociale — sont des interdictions légales absolues. Les cadres d'évaluation des risques ISO 42001 peuvent identifier ces pratiques comme des risques, mais la norme ne les interdit pas comme une question de droit. La certification ISO 42001 n'offre en aucun cas une protection contre les violations de l'article 5.
Ce que la certification ISO 42001 apporte vraiment
Malgré ces lacunes, la certification ISO 42001 n'est pas sans valeur dans le contexte de la conformité à l'AI Act. Voici ce qu'elle apporte concrètement :
1. Une infrastructure de gouvernance qui se projette sur les exigences de l'AI Act Construire un SMIA conforme à l'ISO 42001 force une organisation à établir une gouvernance IA documentée avant que le travail de conformité à l'AI Act ne commence. Les processus d'évaluation des risques, les attributions de responsabilités et les disciplines de tenue de registres créés pour la certification ISO 42001 accélèrent directement la documentation de conformité à l'AI Act.
2. Une preuve crédible de bonne gouvernance dans les procédures réglementaires L'article 9(4) de l'AI Act énonce que la conformité aux normes harmonisées crée une présomption de conformité aux exigences correspondantes. L'ISO 42001 n'est actuellement pas une norme harmonisée au titre de l'AI Act — la Commission européenne a mandaté les organismes de normalisation pour développer des normes harmonisées, et l'ISO 42001 pourrait éventuellement y être référencée. Même sans statut de norme harmonisée, un certificat ISO 42001 démontre aux autorités de surveillance du marché que l'organisation dispose d'une approche de gouvernance structurée. Dans les procédures d'exécution, c'est un facteur atténuant significatif.
3. Une piste d'audit pour la diligence raisonnable et les achats Les clients entreprises et les entités adjudicatrices publiques (désormais elles-mêmes soumises aux obligations de déployeur de l'AI Act) demandent de plus en plus aux fournisseurs d'IA des preuves de maturité en matière de gouvernance IA. Un certificat ISO 42001 est un signal reconnaissable et vérifié par un tiers que le fournisseur prend au sérieux le management de l'IA. Il ne remplace pas la documentation de conformité que l'AI Act requiert, mais il la complète.
4. Une fondation structurée pour l'amélioration continue Le cycle de revue de direction et d'audit interne ISO 42001 crée une discipline de revue régulière de la gouvernance IA. Cela se projette utilement sur les exigences de surveillance post-commercialisation de l'article 72 et l'obligation de mettre à jour la documentation technique lorsque les systèmes évoluent.
L'architecture recommandée : ISO 42001 comme fondation, AI Act comme superstructure
Le chemin de conformité le plus efficace pour les organisations gérant plusieurs systèmes d'IA est :
SMIA ISO 42001 (Couche Management)
└── Gouverne toutes les activités IA : politique, risques, surveillance, audit
└── S'applique à l'ensemble du portefeuille IA
Conformité AI Act (Couche Réglementaire)
└── Appliquée par système à haut risque
└── Nécessite : gestion des risques (Art.9), documentation technique (Annexe IV),
gouvernance des données (Art.10), transparence (Art.13),
surveillance humaine (Art.14), précision/robustesse (Art.15),
évaluation de conformité (Art.43), marquage CE (Art.49),
déclaration de conformité (Art.47), enregistrement (Art.71)
Une certification ISO 42001 construite correctement crée le squelette de gouvernance sur lequel les mesures de conformité à l'AI Act peuvent être attachées système par système. Sans la fondation SMIA, chaque nouveau système à haut risque nécessite de construire une infrastructure de conformité de zéro. Avec elle, le travail de conformité incrémentale est nettement moins coûteux et plus rapide.
Les organisations qui tentent d'utiliser la certification ISO 42001 comme substitut à la conformité à l'AI Act échoueront — tant dans les audits réglementaires que dans la diligence raisonnable des achats d'acheteurs sophistiqués. Celles qui traitent l'ISO 42001 comme fondation de la conformité à l'AI Act trouveront la charge de travail réglementaire nettement plus gérable.
Matrice de décision pratique
| Votre situation | Recommandation |
|---|---|
| Pas encore de cadre de gouvernance IA | Commencez par le SMIA ISO 42001 ; construisez la conformité AI Act par-dessus |
| Vous avez ISO 27001 et souhaitez l'étendre | Tirez parti du chevauchement SHN ; ajoutez les contrôles IA spécifiques ISO 42001 ; superposez la conformité AI Act |
| Un seul système à haut risque en voie de mise sur le marché | La conformité AI Act est la priorité ; ISO 42001 est utile mais pas urgent |
| Un portefeuille de systèmes d'IA | Le SMIA ISO 42001 est la fondation de gouvernance la plus rentable |
| Vous vendez au secteur public ou aux entreprises | Le certificat ISO 42001 et la documentation de conformité AI Act seront tous deux attendus |
DILAIG met en correspondance vos contrôles ISO 42001 existants avec les obligations de l'AI Act, identifie les lacunes qui comptent pour vos systèmes spécifiques et construit la documentation technique et le flux de travail d'évaluation de conformité nécessaires pour les combler. Démarrez votre analyse des écarts avec DILAIG.