ISO/IEC 42001 et l'AI Act : comment gouverner l'intelligence artificielle en 2026

L'AI Act européen est en pleine phase d'application en 2026, avec des obligations croissantes pour les systèmes d'IA à haut risque. Mais il y a une question pratique que presque personne n'aborde : avec quel cadre de management répondre à l'AI Act ? La réponse est ISO/IEC 42001, la première norme internationale pour les systèmes de management de l'intelligence artificielle (AIMS), publiée en décembre 2023. Dans cet article, je vous explique ce qu'est ISO 42001, comment elle se relie à l'AI Act, ce que couvre le cours PECB Lead Implementer et pourquoi c'est l'une des certifications les plus prometteuses d'ici 2030.

L'AI Act, en cinq minutes

Le Règlement (UE) 2024/1689, connu sous le nom d'AI Act, est la première réglementation complète au monde sur l'intelligence artificielle. Il est entré en vigueur en août 2024 et s'applique progressivement jusqu'en août 2026, date à laquelle il entre en pleine application pour les systèmes d'IA à haut risque.

L'AI Act classe les systèmes d'IA en quatre niveaux de risque :

• Risque inacceptable : directement interdits (notation sociale, manipulation cognitive, surveillance biométrique en temps réel avec exceptions).
• Risque élevé : autorisés mais soumis à des obligations strictes (systèmes utilisés dans les infrastructures critiques, l'éducation, l'emploi, les services essentiels, le maintien de l'ordre, la gestion des frontières, la justice).
• Risque limité : obligations de transparence (chatbots, deepfakes).
• Risque minimal : sans obligations spécifiques.

Pour les systèmes à haut risque, les obligations sont très concrètes : gestion du risque, qualité des données, documentation technique, transparence, supervision humaine, robustesse et, surtout, un système de management de la qualité pour gouverner tout le cycle de vie de l'IA.

Qu'est-ce qu'ISO/IEC 42001 (AIMS)

ISO/IEC 42001:2023, publiée en décembre 2023, est la première norme internationale qui établit les exigences d'un système de management de l'intelligence artificielle (Artificial Intelligence Management System, ou AIMS). Elle est à l'IA ce qu'ISO 27001 est à la sécurité de l'information ou ISO 9001 à la qualité : un cadre formel, auditable et certifiable.

La norme couvre tout le cycle de vie des systèmes d'IA : de la conception et du développement jusqu'au déploiement, à la surveillance, à la maintenance et au retrait. Et, comme toute bonne norme de systèmes de management, elle suit la structure de haut niveau (HLS) compatible avec ISO 27001, ISO 9001 et ISO 22301, ce qui facilite l'intégration.

Comment ISO 42001 aide à se conformer à l'AI Act

C'est la question à un million. ISO 42001 n'est pas l'AI Act, mais le recoupement est énorme. La norme couvre, entre autres, toutes ces exigences que l'AI Act impose aux systèmes à haut risque :

• Système de gestion du risque de l'IA.
• Gestion de la qualité des données (en particulier les données d'entraînement).
• Documentation technique et traçabilité.
• Transparence et explicabilité des résultats.
• Supervision humaine du système.
• Procédures de robustesse et d'exactitude.
• Système de management de la qualité du cycle de vie.
• Gouvernance des données.

Mettre en place un AIMS conforme à ISO 42001 couvre la majeure partie des obligations de l'AI Act. Et, comme avec toute norme certifiable, elle vous donne quelque chose que l'AI Act ne vous donne pas à lui seul : une preuve auditable et démontrable de votre conformité.

De fait, la Commission européenne elle-même a indiqué que les normes harmonisées (dont ISO 42001) seront l'un des mécanismes privilégiés pour présumer de la conformité à l'AI Act. Si vous opérez en haut risque, 42001 va devenir, en pratique, une exigence du marché.

La structure de la norme

ISO/IEC 42001 suit la structure de haut niveau des systèmes de management ISO. Cela signifie dix clauses familières pour qui vient d'ISO 27001 :

1. Domaine d'application, normes de référence et termes.
2. Contexte de l'organisation.
3. Leadership et engagement de la direction.
4. Planification (objectifs, gestion des risques de l'IA).
5. Support (ressources, compétence, communication, documentation).
6. Fonctionnement (mesures du cycle de vie de l'IA).
7. Évaluation des performances (audits internes, revue de direction).
8. Amélioration continue.

De plus, la norme inclut une Annexe A avec 39 mesures spécifiques aux systèmes d'IA, organisées en neuf catégories : politiques, organisation interne, ressources, analyse d'impact, cycle de vie, données, information aux tiers, usage responsable et relations avec les tiers.

Ce que couvre le cours Lead Implementer

Le cours PECB Certified ISO/IEC 42001 Lead Implementer est une formation intensive de cinq jours qui couvre tous les aspects de la mise en place de l'AIMS. Le programme :

1. Fondamentaux de l'IA et contexte réglementaire. Concepts d'IA, AI Act, ISO 42001 et autres normes connexes (ISO/IEC 23894, ISO/IEC 22989).
2. Planification de l'AIMS. Contexte, périmètre, politique, rôles et responsabilités.
3. Analyse des risques et analyse d'impact en IA. Méthodologie, cas pratiques.
4. Mise en œuvre des mesures de l'Annexe A. Les 39 mesures, une par une.
5. Mesure, audit interne et préparation à la certification.

Pour quels profils c'est pertinent

ISO 42001 Lead Implementer convient à plusieurs profils :

• Consultant GRC qui veut se positionner tôt sur le marché de la gouvernance de l'IA avant qu'il ne se remplisse de concurrents.
• Responsable conformité ou DPO d'organisations qui déploient déjà ou prévoient de déployer des systèmes d'IA dans leurs processus.
• CISO ou responsable de la sécurité qui voit la convergence entre sécurité, vie privée et IA et veut piloter la gestion intégrée.
• Professionnel des données ou du ML qui veut monter d'un niveau vers la gouvernance, et pas seulement les modèles techniques.

ISO/IEC 42001 sera à la gouvernance de l'IA ce qu'ISO 27001 a été en son temps à la sécurité de l'information : le standard de fait que le marché exigera de toute organisation qui opère sérieusement avec l'IA.

Se former et se certifier

Si vous voulez franchir le pas vers la certification officielle PECB, le cours ISO/IEC 42001 Lead Implementer est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.