Retour au glossaire
I
Définition

ISO 42001 Définition IT

Norme internationale qui définit les exigences d'un système de management de l'intelligence artificielle (AIMS), publiée en décembre 2023.

La norme ISO/IEC 42001:2023, publiée en décembre 2023, définit les exigences d'un système de management de l'intelligence artificielle (AI Management System, AIMS). C'est la première norme certifiable au monde dédiée à la gouvernance de l'IA — l'équivalent pour l'IA de ce qu'ISO 27001 est pour la sécurité de l'information ou ISO 9001 pour la qualité.

L'enjeu est double : répondre aux exigences réglementaires émergentes (notamment l'AI Act européen, entré en vigueur en 2024) et donner aux organisations un cadre auditable pour gouverner leurs systèmes IA — de la stratégie au déploiement, en passant par la gestion du risque, la conformité, la transparence et l'amélioration continue.

Pour qui ?

ISO 42001 s'adresse à toute organisation qui développe, déploie ou utilise des systèmes IA — fournisseurs, intégrateurs, entreprises utilisatrices. Sont particulièrement concernés :

  • Les éditeurs SaaS qui intègrent de l'IA dans leurs produits.
  • Les grandes entreprises qui industrialisent l'IA générative et les agents IA en interne.
  • Les organismes soumis à l'AI Act (banque, santé, RH, éducation, justice).
  • Les ESN et conseils qui interviennent sur des projets IA.

Structure de la norme

ISO 42001 reprend la structure haute commune aux normes ISO de management :

  • Contexte de l'organisation: : enjeux internes/externes, parties prenantes.
  • Leadership: : politique IA, rôles et responsabilités, engagement de la direction.
  • Planification: : objectifs IA, évaluation des risques et opportunités.
  • Support: : ressources, compétences, communication, documentation.
  • Réalisation opérationnelle: : conception, développement, déploiement, retrait des systèmes IA.
  • Évaluation des performances: : surveillance, audits internes, revue de direction.
  • Amélioration: : non-conformités, actions correctives, amélioration continue.

L'annexe A détaille 38 contrôles organisés en 9 domaines (politiques IA, ressources, évaluation d'impact, cycle de vie, données, information aux parties prenantes, etc.).

ISO 42001 vs AI Act

Les deux textes sont complémentaires :

  • L'AI Act est un règlement européen contraignant qui classe les systèmes IA par niveau de risque (interdit, haut risque, risque limité, risque minimal) et impose des obligations spécifiques.
  • ISO 42001: est une norme volontaire qui fournit le système de management permettant de répondre à ces obligations.

Concrètement, une organisation certifiée ISO 42001 dispose d'une preuve structurée de conformité mobilisable face aux autorités de contrôle européennes. La Commission européenne a explicitement reconnu ISO 42001 comme référence dans les actes d'exécution de l'AI Act.

Les bénéfices d'une démarche ISO 42001

  • Conformité réglementaire: : preuves structurées pour l'AI Act, le RGPD, NIS2, DORA.
  • Confiance des clients: : la certification rassure les acheteurs B2B sur la maturité IA du fournisseur.
  • Maîtrise du risque: : identification systématique des risques IA (biais, hallucinations, sécurité, droits humains).
  • Gouvernance interne: : clarification des rôles entre DSI, RSSI, métier, légal.
  • Lutte contre le [Shadow IA](/fr/glossary/shadow-ai): : cadre opposable aux usages non gouvernés.
  • Compatibilité avec d'autres normes: : alignement avec ISO 27001, ISO 9001, ISO 27701.

Mettre en place ISO 42001

La démarche se déroule en 6 à 12 mois pour une organisation de taille moyenne :

  1. Diagnostic initial : cartographier les systèmes IA existants (y compris Shadow IA).
  2. Politique IA : définir engagement de la direction, principes éthiques, périmètre AIMS.
  3. Évaluation des risques : pour chaque système IA, identifier les risques (biais, sécurité, conformité).
  4. Conception des contrôles : déployer les 38 contrôles de l'annexe A pertinents.
  5. Documentation et formation : rédiger les procédures, former les collaborateurs.
  6. Audits internes : vérifier la mise en œuvre avant l'audit de certification.
  7. Certification : audit par un organisme accrédité (Bureau Veritas, AFNOR, BSI, LRQA).

Inventaire IA : prérequis indispensable

Aucune démarche ISO 42001 n'est possible sans un inventaire à jour des systèmes IA en usage dans l'organisation — y compris les usages non déclarés. C'est le pendant IA de l'inventaire applicatif. Kabeen révèle automatiquement les usages GenAI, LLM et agents IA dans le SI pour alimenter cet inventaire AIMS.

Questions fréquentes

Qu'est-ce qu'ISO 42001 ?

+

ISO/IEC 42001:2023 est la première norme internationale certifiable dédiée à la gouvernance de l'intelligence artificielle. Publiée en décembre 2023, elle définit les exigences d'un système de management de l'IA (AIMS) couvrant stratégie, risque, conformité, transparence, déploiement et amélioration continue. C'est l'équivalent IA d'ISO 27001 pour la sécurité ou ISO 9001 pour la qualité.

Quelle différence entre ISO 42001 et l'AI Act ?

+

L'AI Act est un règlement européen contraignant qui classe les systèmes IA par niveau de risque (interdit, haut risque, limité, minimal) et impose des obligations spécifiques. ISO 42001 est une norme volontaire qui fournit le système de management permettant de répondre à ces obligations. Les deux sont complémentaires : la certification ISO 42001 est une preuve structurée de conformité mobilisable face aux autorités européennes.

Qui est concerné par ISO 42001 ?

+

Toute organisation qui développe, déploie ou utilise des systèmes IA : éditeurs SaaS intégrant de l'IA dans leurs produits, grandes entreprises industrialisant la GenAI et les agents IA en interne, organismes soumis à l'AI Act (banque, santé, RH, éducation, justice), ESN et conseils. Plus largement, toute organisation qui souhaite démontrer une gouvernance IA mature à ses clients ou régulateurs.

Comment se préparer à une certification ISO 42001 ?

+

En six étapes sur 6 à 12 mois : (1) diagnostic initial avec cartographie des systèmes IA, y compris Shadow IA, (2) politique IA et engagement de la direction, (3) évaluation des risques par système, (4) déploiement des 38 contrôles de l'annexe A, (5) documentation et formation, (6) audits internes puis certification par un organisme accrédité (Bureau Veritas, AFNOR, BSI, LRQA). Un inventaire IA à jour est le prérequis non négociable.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement