Si votre entreprise utilise, développe ou intègre des systèmes d'intelligence artificielle, vous avez probablement déjà entendu parler de la ISO 42001:2023. Publiée en décembre 2023 par l'Organisation internationale de normalisation (ISO), c'est la première norme internationale qui établit les exigences pour un système de management de l'IA (SMAI). Son arrivée coïncide avec l'entrée en vigueur progressive du règlement européen sur l'IA (règlement UE 2024/1689, dit « AI Act ») et avec une pression croissante de clients, de donneurs d'ordre publics et d'assureurs qui exigent de démontrer une utilisation responsable de l'IA. La question qui nous est posée chaque semaine chez Summum Calidad est toujours la même : « Une PME peut-elle se certifier ISO 42001, ou est-ce réservé aux grandes entreprises ? » La réponse est oui, et dans cet article nous vous expliquons exactement comment procéder.
Qu'est-ce que la ISO 42001 et pourquoi est-elle importante en 2026
La ISO/IEC 42001:2023 (« Information technology — Artificial intelligence — Management system ») définit les exigences qu'un système de management doit satisfaire pour développer, fournir ou utiliser des produits et services d'IA de manière responsable. Sa structure suit l'Annexe SL de l'ISO (le même cadre de haut niveau que l'ISO 9001, l'ISO 27001 ou l'ISO 14001), ce qui facilite grandement l'intégration avec des systèmes de management déjà existants.
En 2026, la norme gagne en importance pour trois raisons concrètes :
- AI Act européen : en vigueur depuis août 2024, les obligations les plus contraignantes pour les systèmes d'IA à haut risque (Annexe III) ont pour date d'application initiale le 2 août 2026, bien que l'accord provisoire sur l'« Omnibus numérique » (mai 2026) prévoie de les reporter à décembre 2027, en attente d'adoption formelle. Se certifier ISO 42001 n'équivaut pas à se conformer à l'AI Act, mais cela démontre aux auditeurs et aux autorités que l'organisation dispose de contrôles formels sur ses systèmes d'IA.
- Exigences des clients et des acheteurs publics : l'administration publique espagnole inclut déjà des clauses de gouvernance de l'IA dans les cahiers des charges des marchés publics. Détenir le certificat constitue un véritable facteur de différenciation dans les offres.
- Réduction du risque réputationnel : les incidents liés aux biais ou aux décisions automatisées erronées engendrent des dommages à la marque dont le coût dépasse largement l'investissement dans la certification.
Structure de la norme : ce qu'elle exige réellement
La ISO 42001 comporte 10 chapitres principaux alignés sur l'Annexe SL. Les chapitres 1 à 3 sont introductifs ; les chapitres 4 à 10 sont normatifs (obligatoires pour la certification) :
| Chapitre | Intitulé | Ce qu'il exige en pratique |
|---|---|---|
| 4 | Contexte de l'organisation | Identifier les parties intéressées et le domaine d'application du SMAI ; déterminer si l'organisation est développeur, fournisseur ou utilisateur d'IA. |
| 5 | Leadership | Politique IA approuvée par la direction générale ; rôles et responsabilités définis (peut être un comité ou un responsable IA désigné). |
| 6 | Planification | Évaluation des risques et des impacts spécifiques à l'IA ; objectifs mesurables du SMAI et plans pour les atteindre. |
| 7 | Support | Ressources, compétences, sensibilisation, communication et documentation du système. |
| 8 | Réalisation des activités opérationnelles | Contrôles opérationnels sur le cycle de vie de l'IA : conception, données, entraînement, déploiement, surveillance et retrait. |
| 9 | Évaluation des performances | Audit interne du SMAI ; revue de direction avec indicateurs de performance. |
| 10 | Amélioration | Traitement des non-conformités, actions correctives et amélioration continue du système. |
La norme comprend également une Annexe A avec 38 mesures de référence regroupées en 9 domaines (politique IA, organisation interne, ressources, évaluation d'impact, cycle de vie du système d'IA, données, informations pour les parties intéressées, usage responsable et relations avec les tiers). Toutes les mesures ne sont pas obligatoires pour toutes les organisations ; le SMAI doit justifier lesquelles s'appliquent et lesquelles sont exclues au moyen d'une Déclaration d'applicabilité, tout comme dans l'ISO 27001.
ISO 42001 vs AI Act : deux cadres complémentaires
Une erreur fréquente consiste à les considérer comme interchangeables. Ce n'est pas le cas. L'AI Act (règlement UE 2024/1689) est une législation contraignante avec une classification des systèmes par niveau de risque (inacceptable, élevé, limité, minimal) et des obligations légales précises. L'ISO 42001 est une norme de management volontaire que toute organisation peut adopter indépendamment du fait que ses systèmes relèvent ou non du champ d'application de l'AI Act.
La relation pratique entre les deux cadres est la suivante : se conformer à l'ISO 42001 n'exonère pas des obligations de l'AI Act, mais un SMAI certifié fournit des preuves documentées que l'organisation dispose de processus de gouvernance de l'IA, ce qui facilite l'audit de conformité réglementaire. La Commission européenne a indiqué que les normes harmonisées au titre de l'AI Act (encore en cours d'élaboration par le CEN/CENELEC) intégreront des éléments de l'ISO 42001.
Pour la gestion de la conformité légale à l'AI Act à proprement parler — classification des systèmes, enregistrement dans la base de données de l'UE, documentation technique obligatoire — Summum Consultoría propose un service dédié d'adaptation à l'AI Act.
Étapes pour certifier ISO 42001 dans une PME : le processus réel
Chez Summum Calidad, nous accompagnons des organisations de 15 à 250 salariés à travers un processus structuré qui, en partant de zéro, se déroule généralement en 4 à 8 mois selon le point de départ et la complexité de l'utilisation de l'IA dans l'entreprise. La certification est délivrée par un organisme certificateur accrédité par ENAC (AENOR, Bureau Veritas, SGS, Applus+ et autres) ; notre rôle est de préparer l'organisation jusqu'à ce qu'elle soit prête pour cet audit externe.
Phase 1 — Diagnostic initial (semaines 1-3)
La première étape est une analyse des écarts (gap analysis) entre l'état actuel de l'organisation et les exigences de la norme. Nous identifions quels systèmes d'IA sont en usage ou en développement, qui les gère, quelle documentation existe et quelles mesures de l'Annexe A sont déjà en place de fait, même si elles ne sont pas formalisées. Dans de nombreuses PME qui disposent déjà de l'ISO 9001 ou de l'ISO 27001, le chevauchement est de 30 à 40 %, ce qui réduit considérablement l'effort requis.
Phase 2 — Conception du SMAI (semaines 4-10)
Avec le diagnostic en main, nous concevons le système de management : politique IA, domaine d'application, inventaire des systèmes d'IA, cartographie des risques et des impacts, Déclaration d'applicabilité et plan de traitement des risques. Cette phase est la plus intensive en termes de collaboration avec l'équipe dirigeante : la direction générale doit approuver la politique et être convaincue que le SMAI n'est pas de la bureaucratie, mais un véritable outil de contrôle.
Phase 3 — Mise en œuvre et formation (semaines 11-22)
Nous mettons en œuvre les contrôles opérationnels, formons l'équipe responsable du SMAI et établissons les mécanismes de surveillance et de revue. Une PME n'a pas besoin d'un département IA complet : un responsable IA désigné (qui peut être le même CTO ou responsable des systèmes) accompagné de procédures claires suffit pour satisfaire les exigences des chapitres 5 et 7.
Phase 4 — Audit interne et revue de direction
Avant l'audit de certification, nous réalisons un audit interne complet du SMAI et une revue formelle de direction. Le résultat est un rapport qui identifie les non-conformités mineures ou les axes d'amélioration qui sont corrigés avant l'audit externe, maximisant ainsi les chances d'obtenir le certificat dès la première tentative.
Audit de certification (organisme accrédité)
L'audit externe est conduit par l'organisme certificateur en deux phases : revue documentaire (Phase I) et audit sur site (Phase II). En l'absence de non-conformités majeures, l'organisation obtient le certificat ISO 42001, valable 3 ans avec des audits de surveillance annuels.
Pour connaître en détail notre méthodologie, consultez le service de mise en œuvre et certification ISO 42001 de Summum Calidad.
Coût indicatif : les facteurs qui déterminent le budget
Le coût total d'un projet de certification ISO 42001 dans une PME comprend trois composantes principales : le conseil en mise en œuvre, l'audit de certification de l'organisme accrédité et les coûts internes de mobilisation du personnel.
| Composante | Fourchette indicative de marché | Variables influentes |
|---|---|---|
| Conseil en mise en œuvre | 8 000 – 25 000 € | Taille de l'organisation, nombre de systèmes d'IA dans le périmètre, existence d'autres systèmes ISO déjà certifiés. |
| Audit de certification (organisme accrédité) | 3 000 – 8 000 € | Organisme choisi (AENOR, BV, SGS…), jours d'audit requis, nombre de sites dans le périmètre. |
| Audits de surveillance (années 2 et 3) | 1 500 – 3 500 € / an | Organisme certificateur, complexité de la maintenance du SMAI. |
Ces fourchettes sont des données indicatives de marché basées sur des projets similaires publiés par des organismes sectoriels et sur notre expérience auprès de ~200 certifications ISO accompagnées depuis 2007. Summum ne publie pas de tarifs : chaque projet reçoit un devis personnalisé après le diagnostic initial. Les PME disposant déjà de l'ISO 9001 ou de l'ISO 27001 se situent généralement dans le bas de la fourchette de conseil, en tirant parti de la documentation et des contrôles partagés.
Quels secteurs se certifient en premier
À la mi-2026, les secteurs présentant la plus forte activité de certification ISO 42001 en Espagne sont :
- Secteur financier et assurance : la pression réglementaire de DORA et des orientations de l'EBA sur les modèles d'IA favorise l'adoption.
- Santé et dispositifs médicaux : les entreprises dont les produits relèvent du MDR 2017/745 et intègrent de l'IA voient dans l'ISO 42001 un moyen de structurer la gouvernance exigée par l'AI Act pour les systèmes à haut risque.
- Industrie et fabrication : les fabricants utilisant la vision artificielle, la maintenance prédictive ou le contrôle qualité automatisé, en particulier dans les chaînes d'approvisionnement qui imposent la certification à leurs fournisseurs.
- Logiciels et technologies : les entreprises qui développent ou commercialisent des produits intégrant des composants d'IA et souhaitent se différencier auprès de clients B2B.
- Administration publique et ses fournisseurs : les organismes publics utilisant l'IA dans les processus de décision et les prestataires technologiques souhaitant accéder aux marchés publics.
Intégration avec d'autres systèmes de management ISO
L'un des avantages les plus pratiques de l'ISO 42001 est son alignement avec l'Annexe SL. Si votre organisation est déjà certifiée ISO 9001 (qualité), ISO 27001 (sécurité de l'information) ou ISO 14001 (environnement), l'effort incrémental pour certifier l'ISO 42001 est significativement moindre. Les chapitres 4, 5, 6, 7, 9 et 10 sont quasi identiques dans leur structure ; ce qui est spécifique à l'ISO 42001 se trouve au chapitre 8 (réalisation des activités opérationnelles couvrant le cycle de vie de l'IA) et à l'Annexe A (mesures IA).
Cette intégration permet de maintenir un manuel de management unique, une politique intégrée, un programme d'audit interne unique et une revue de direction unique, réduisant ainsi la charge administrative totale du système intégré.
Questions fréquentes
La ISO 42001 est-elle obligatoire ou volontaire ?
La ISO 42001 est une norme volontaire : aucune loi espagnole ou européenne n'impose d'y être certifié. Cependant, l'AI Act européen (règlement UE 2024/1689) impose bien des obligations légales directes aux opérateurs de systèmes d'IA à haut risque, et disposer d'un SMAI conforme à l'ISO 42001 facilite la démonstration de la conformité auprès de l'autorité compétente. Par ailleurs, des clients, des acheteurs publics et des assureurs peuvent l'exiger contractuellement comme condition d'accès.
Combien de temps faut-il pour certifier ISO 42001 en partant de zéro ?
Le délai habituel pour une PME qui part de zéro, sans aucun autre système de management ISO en place, oscille entre 6 et 9 mois. Si l'ISO 27001 ou l'ISO 9001 existe déjà, le délai se réduit à 4 à 6 mois, en tirant parti de la documentation, des contrôles et de la culture d'audit déjà établis. Le principal goulot d'étranglement n'est pas technique mais organisationnel : obtenir que la direction générale consacre du temps à l'approbation de la politique IA et des responsabilités du SMAI.
Toute entreprise qui utilise l'IA doit-elle certifier ISO 42001 ?
Non. La norme est utile lorsque l'organisation développe, déploie ou gère des systèmes d'IA dans des processus comportant un risque réel (décisions affectant des personnes, processus critiques, systèmes à apprentissage automatique continu) ou lorsqu'il existe une attente commerciale ou réglementaire de démonstration de gouvernance. Une PME qui utilise ChatGPT ou Copilot pour rédiger des e-mails n'a probablement pas besoin d'un SMAI certifié. En revanche, une entreprise qui utilise l'IA pour évaluer des demandes de crédit, sélectionner des candidats ou contrôler la qualité sur une ligne de production a de solides arguments pour se certifier.
Summum Calidad délivre-t-il le certificat ISO 42001 ?
Non. Summum Calidad est un cabinet de conseil, non un organisme certificateur. Nous accompagnons l'organisation tout au long du processus de conception, de mise en œuvre et de préparation à l'audit, mais le certificat est délivré par un organisme accrédité par l'ENAC (tel qu'AENOR, Bureau Veritas, SGS, Applus+ ou d'autres). Cette séparation est fondamentale : le certificat a de la valeur précisément parce qu'il est accordé par une entité indépendante et accréditée, et non par celui qui a mis en place le système.