ISO/IEC 42001 : Une gouvernance responsable de l’IA

Le développement fulgurant de l’intelligence artificielle (IA) engendre des défis de gouvernance et de gestion des risques pour les entreprises. Une approche systématique est nécessaire pour développer et utiliser des systèmes d’IA fiables. C’est ici que la norme ISO/IEC 42001 intervient ; il s’agit du premier standard mondial pour les systèmes de management de l’IA (SMIA).

Auteur / Autrice Dr. Dominik Langer
Date 24.06.2025
Temps de lecture 18 Minutes

ISO/IEC 42001 :2023 (ISO 42001 pour faire court) est le premier standard international qui définit les exigences en matière de système de management de l’IA (SMIA). Cette norme pose un cadre structuré pour les entreprises dans le but de concevoir et utiliser l’IA de manière sûre, responsable et conforme aux directives applicables et aux objectifs définis.

ISO 42001 s’applique à toutes les branches et est donc pertinente pour toutes les entreprises qui développent ou utilisent des systèmes d’IA. Ce sont en particulier les entreprises qui ont des modèles commerciaux basés sur les données, des processus de décisions critiques ou un haut niveau d’automatisation qui sont avant tout concernées. Les décideurs de niveau C et les départements spécialisés (IT, Data Science, Risque, Conformité etc.) bénéficient tous d’un SMIA, étant donné que ce standard aide à définir clairement les rôles et les responsabilités dans le contexte de l’IA et à contrôler les risques. ISO 42001 aborde le cycle de vie complet des systèmes d’IA : conception, développement, mise en œuvre, maintenance, surveillance …

Quels sont les avantages d’une certification ISO 42001 ?

Si un SMIA mis en place selon la norme ISO 42001 sans certification apporte déjà des avantages, en réduisant les risques et en soutenant les objectifs d’IA définis, une certification présente d’autres avantages. Les entreprises peuvent prouver aux tiers qu’elles utilisent l’IA de manière structurée et responsable. Concrètement, un SMIA certifié par la norme ISO 42001 présente les avantages suivants :

Renforcer la confiance et la réputation

Une certification ISO 42001 prouve aux parties prenantes que le système d’IA a été développé et est exploité de manière responsable. Cela génère de la confiance chez les clients, partenaires, autorités de surveillance et le public. Cela peut constituer un avantage concurrentiel décisif, en particulier dans les domaines sensibles (p. ex. les finances ou la santé).

Des applications d’IA sûres et équitables

Le standard promeut le respect de la sécurité, de l’équité, de la transparence et de la qualité des données et modèles dans tout le cycle de vie du système d’IA. Les entreprises assurent donc que leurs systèmes d’IA fonctionnent de manière robuste, non discriminatoire et compréhensible. Les risques de prédictions erronées ou de distorsions sont réduits.

Preuve de responsabilité et de gouvernance IA

La certification prouve que l’utilisation de l’IA est planifiée de manière stratégique et qu’elle suit un objectif clair. Les structures de gouvernance établies assurent la responsabilité et clarifient en interne et en externe : l’IA n’est pas incontrôlée, mais activement dirigée et surveillée.

Équilibre entre innovation et contrôle

ISO 42001 aide à lier l’innovation par l’IA avec une gestion des risques efficace. Les entreprises peuvent alors faire des expériences de manière flexible tout en gardant le contrôle – un prérequis pour une innovation durable.

Gestion globale des risques

Un SMIA identifie, évalue et traite les risques de manière systématique. Les mesures de sécurité – de la protection des données à la sécurité de l’IT et l’éthique – doivent être mises en place avant que les systèmes d’IA ne soient utilisés. Ainsi, les points faibles sont abordés de manière proactive et la probabilité d’incidents s’en trouve réduite.

Efficacité et processus clairs

La norme définit des exigences de mesures de contrôle de l’IA incluant des processus pour assurer la qualité des données, la gestion du cycle de vie ou des incidents. Les processus standardisés améliorent la collaboration à l’interne, économisent du temps et réduisent les erreurs. L’amélioration continue exigée renforce l’optimisation à long terme.

En résumé, la certification ISO 42001 est la preuve d’une gestion responsable de l’IA qui ne répond pas seulement à des exigences internes et externes, mais qui a aussi des avantages commerciaux.

Importance d’ISO 42001 pour les entreprises suisses

D’un côté, la Suisse se présente comme un pays d’innovation – de nombreuses entreprises locales veulent utiliser rapidement les technologies d’IA. De l’autre côté, il existe des exigences légales et réglementaires qui s’appliquent également à l’utilisation de l’IA. Voici trois points qui méritent d’être soulignés ici :

  1. La nouvelle loi sur la protection des données et le devoir de transparence :
    La nLPD, entrée en vigueur en 2023, vaut aussi pour l’IA. Selon le PFPDT, les producteurs, fournisseurs et utilisateurs de l’IA doivent s’assurer, dès la conception de la solution d’IA, que les personnes concernées conservent un niveau élevé d’autodétermination numérique. Les fonctionnalités, objectifs et sources de données des systèmes d’IA doivent être transparents. Les décisions individuelles automatisées sans intervention humaine sont soumises à des obligations d’information. Un SMIA aligné sur la norme ISO 42001 soutient la mise en place de processus transparents et conformes à la nLPD.
  2. EU AI Act – également pertinent pour les entreprises suisses :
    Les entreprises suisses qui ont un rapport commercial avec l’Union européenne doivent respecter l’AI Act. Ce dernier classe les systèmes d’IA selon leur risque et prévoit des exigences strictes telles que l’évaluation des risques, la documentation et la supervision humaine pour les utilisations à haut risque. Un SMIA certifié prouve que ces exigences sont respectées.
  3. Pas de législation spécifique à l’IA en Suisse
    La Suisse mise sur des adaptations sectorielles et reprend des contenus centraux de la Convention sur l’IA du Conseil de l’Europe. Au lieu d’une réglementation globale, des instruments volontaires tels que les autodéclarations sont encouragés. ISO/IEC 42001 offre ici un cadre pratique pour appréhender les évolutions légales de manière proactive et être préparé aux futures exigences.

Gouvernance IA : Comment l’adopter

Pour les entreprises qui sont aux prémices de la mise en place d’une gouvernance IA et d’un SMIA, la tâche peut sembler complexe. Voici quelques conseils :

Examiner la situation actuelle et identifier les potentiels : Il vaut la peine de se faire une vue d’ensemble : quelles applications d’IA existent déjà dans l’entreprise et quelles sont celles qui sont planifiées ? Une analyse de potentiel peut permettre de mettre le doigt sur les possibles nouvelles utilisations de l’IA, leurs avantages et leurs risques.

Créer un engagement de la direction : Pour qu’un système de management puisse être mis en œuvre avec succès et pour qu’il soit efficace sur le long terme, il faut impérativement que la direction supérieure de l’entreprise le soutienne. Ici, un atelier orienté sur la pratique avec les décideurs compétents peut par exemple aider à susciter l’enthousiasme nécessaire. Un business case devrait également être élaboré comme base pour une décision de projet.

Demander conseil à des tiers : C’est en particulier au début qu’il peut être enrichissant de consulter des experts externes. Des consultants peuvent aider à éviter des pièges typiques et à établir une feuille de route pragmatique. Des formations adaptées peuvent permettre aux personnes aux positions clés d’acquérir les connaissances nécessaires. De même, il vaut la peine de jeter un coup d’œil aux lignes directrices pertinentes, par exemple de l’ISO du NIST ou du BSI, ainsi qu’aux éventuelles initiatives sectorielles, afin de s’inspirer des meilleures pratiques.

Ressources et où les mettre en place : Il faut s’assurer que les ressources nécessaires à la mise en place d’un SMIA sont disponibles ; budget, temps et personnel. Au sein de l’équipe de projet du SMIA, il faudra certainement commencer par acquérir des connaissances ; des formations peuvent alors être nécessaires. Ensuite, il est conseillé de nommer un coordinateur de l’IA ou de mettre en place un comité de l’IA afin d’ancrer le sujet en interne.

Obtenir l’adhésion des parties prenantes : Une prise de conscience générale doit être réalisée le plus tôt possible. Il vaut la peine d’impliquer très tôt es parties prenantes internes et externes afin de déterminer leurs besoins et leurs attentes en matière d’utilisation de l’IA.

ISO 42001 dans le contexte des autres normes comme ISO 27001 ou ISO 9001

De nombreuses organisations ont déjà un système de management du système d’information certifié ISO/IEC 27001 ou un système de management de la qualité conforme à la norme ISO 9001. Un SMIA répondant à la norme ISO 42001 s’intègre parfaitement dans les systèmes de management ISO existants. Tout comme ISO 27001 et ISO 9001, la norme suit la High Level Structure (Annexe SL) avec des sections sur le contexte, le leadership, la planification l’exploitation, l’évaluation et l’amélioration. Cela facilite grandement la combinaison de plusieurs systèmes de gestion. Les structures existantes peuvent être réutilisées et complétées de manière ciblée au lieu de mettre en place un tout nouveau système séparé.

  Aperçu des synergies :

  • Gestion des risques :
    Si ISO 27001 couvre les risques pesant sur la sécurité de l’information, ISO 42001 élargit le cadre aux risques spécifiquement relatifs à l’IA. Un processus intégré de gestion des risques répond aux deux exigences. De nombreuses mesures de réduction des risques se trouvant dans la norme ISO 42001 sont basées sur ISO 27001.
  • Politique et responsabilités :
    Les politiques générales d’entreprise peuvent aborder conjointement la qualité, la sécurité de l’information et l’IA. Les rôles de responsable (p. ex. CISO (RSSI), responsables qualité, responsables de la gouvernance de l’IA) doivent collaborer étroitement ou être regroupés.
  • Processus opérationnels :
    De nombreuses exigences sont d’ordre général – formations, contrôle des documents, audits internes ou revues de direction. Elles sont mises en œuvre dans tous les systèmes. Les processus comme la gestion des fournisseurs ou des incidents peuvent également être consolidés plutôt que dédoublés.
  • Gestion des données et des informations :
    Les systèmes d’IA traitent souvent des données personnelles. Avec l’intégration d’ISO 27701 (protection des données) et ISO 27001 (sécurité de l’information), les silos peuvent être évités, par exemple en intégrant la protection des données, la sécurité et l’éthique dans une approche globale.

Pour résumer, les entreprises bénéficient des systèmes de gestion déjà en place en mettant en œuvre un SMIA dans le cadre d’un système de gestion intégré dans lequel différentes synergies peuvent être mises à profit.

Les risques liés à un manque de gestion structurée de l’IA

Les entreprises qui n’adoptent pas une gestion systématique de l’IA s’exposent à des dangers considérables. Si on économise des efforts à court terme, à moyen terme le manque de contrôle menace les bases du succès – un scandale ou un incident peut tout anéantir.

Discrimination et perte de réputation :

L’IA non contrôlée peut livrer des résultats biaisés – comme des algorithmes de recrutement discriminatoires ou une reconnaissance faciale raciste. Si le problème est reconnu trop tard, on s’expose à une perte de confiance, un préjudice d’image et des conséquences juridiques.

Sanctions juridiques et réglementaires :

De nouvelles lois exigent des preuves comme de la documentation, l’explicabilité ou les analyses d’impact sur la protection des données. Sans gestion structurée de l’IA, on risque de se trouver face aux barrières du marché et à des amendes et d’engager sa responsabilité.

Systèmes d’IA non sécurisés ou défaillants :

Un manque de surveillance peut mener à ce que les systèmes produisent des résultats faux ou dangereux sans que l’on s’en rende compte. Les failles de sécurité ne sont pas détectées, ce qui entraîne des cyberrisques et des dommages potentiellement importants.

Inefficacité et manque d’investissements :

Sans stratégie clairement définie, les projets d’IA ne répondent pas aux besoins et les ressources sont gaspillées. Les modèles échouent à cause des exigences en matière de conformité ou d’un manque de confiance. Du travail à double est effectué et les synergies ne sont pas exploitées.

Manque de confiance et opportunités manquées :

S’il manque un cadre compréhensible, la confiance en l’IA a tendance à diminuer, tant auprès des collaborateurs que des clients. Le potentiel reste inexploité par manque d’acceptation.

ISO/IEC 42001 : nécessité ou recommandation ?

Actuellement, l’utilisation d’ISO 42001 est volontaire. Cependant, on peut se poser la question si ISO 42001 prendra à l’avenir un rôle équivalent à ISO 27001 dans le domaine de la sécurité de l’information : formellement facultatif, mais attendu ou présupposé dans de nombreuses branches.

De nombreux développements pointent vers une augmentation significative de l’importance des certifications en gestion de l’IA :

  • Pressions réglementaires : Si le législateur ne rend pas les normes directement obligatoires, il exige cependant l’adoption de certaines mesures. L’AI Act de l’Union européenne oblige les fournisseurs d’IA présentant un haut risque à adopter un système de gestion de la qualité. Dans la pratique, il semble alors évident d’adopter la norme ISO 42001.
  • Exigences du marché : Indépendamment des cadres légaux, des mécanismes de marché peuvent souvent s’appliquer. De grandes entreprises pourraient exiger de leurs fournisseurs d’IA qu’ils présentent un système de gestion de l’IA certifié afin de s’assurer que leurs solutions sont dignes de confiance.
  • Initiatives sectorielles : Dans les secteurs sensibles (secteur financier, santé, secteur public), il peut y avoir des exigences à l’échelle du secteur. Les autorités de surveillance financière pourraient par exemple exiger des banques qu’elles traitent les risques liés à l’IA de la même manière que les risques opérationnels – une norme ISO 42001 serait un moyen clair d’y répondre.
  • Compétition internationale : Si des partenaires commerciaux importants (EU, USA, etc.) mettent une importance particulière sur les certifications relatives à l’IA, la Suisse et d’autres pays ne voudront pas rester à la traîne. Si la tendance globale est de démontrer l’existence d’une gouvernance de l’IA, les entreprises qui font du commerce à l’international devront inévitablement s’y joindre.

Pour une petite ou moyenne entreprise sans applications d’IA complexes, la norme ISO 42001 devrait rester avant tout facultative. Les applications à haut risque et les gros fournisseurs devraient, eux, opter de manière systématique pour la certification, tant pour des raisons légales que pour répondre aux exigences du marché. Une évolution semblable a été constatée en ce qui concerne la norme ISO 27001.

Indépendamment d’une obligation, la norme ISO 42001 devrait devenir de plus en plus importante. Une certification précoce renforce la position sur le marché et donne une longueur d’avance sur les réglementations futures.


Auteur / Autrice

Dr. Dominik Langer

Dr. Dominik Langer a étudié la chimie biologique et a obtenu un doctorat en neurophysiologie. Dans le cadre de son parcours scientifique, il a notamment mené des recherches sur l’évolution artificielle des robots à l’aide d’algorithmes génétiques ainsi que sur le développement d’interfaces entre les systèmes techniques et le tissu neuronal biologique actif. Après son passage dans l’économie, il s’est d’abord concentré sur les assurances et les banques en tant que conseiller en gestion et est aujourd’hui Chief Digital & Innovation Officer (CDIO) chez le prestataire de services informatiques adesso Suisse. Il y est notamment responsable des systèmes de gestion internes à l’entreprise. En outre, il transmet ses connaissances en tant que formateur chez digicomp pour les cours ISO/IEC 42001, ISO/IEC 27001 et DevOps.

Commentaire