28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

ISO 42001 vs le règlement UE sur l'IA : Comment ils s'articulent

L'ISO/IEC 42001 est une norme de système de gestion volontaire et certifiable pour l'IA. Le règlement UE sur l'IA est une loi contraignante. Ils sont complémentaires, et non interchangeables : un système de gestion ISO 42001 bien géré établit une grande partie de la gouvernance, de la gestion des risques et de la preuve de cycle de vie que le règlement UE sur l'IA attend — mais il ne vous rend pas, en soi, légalement conforme. Voici exactement où ils s'alignent et où ils ne le font pas.

ISO 42001 et le règlement UE sur l'IA

ISO 42001 vs le règlement UE sur l'IA : Comment ils s'articulent

L'ISO/IEC 42001 est une norme de système de gestion volontaire et certifiable pour l'IA. Le règlement UE sur l'IA est une loi contraignante. Ils sont complémentaires, et non interchangeables : un système de gestion ISO 42001 bien géré établit une grande partie de la gouvernance, de la gestion des risques et de la preuve de cycle de vie que le règlement UE sur l'IA attend — mais il ne vous rend pas, en soi, légalement conforme. Voici exactement où ils s'alignent et où ils ne le font pas.

Dernière mise à jour: 4 juillet 2026

Ce que chacun est

Deux instruments différents faisant deux tâches différentes :

  • ISO/IEC 42001:2023 est une norme internationale pour un système de gestion de l'IA (AIMS). Il spécifie comment une organisation doit établir, mettre en œuvre, maintenir et améliorer continuellement la gouvernance de son IA. Il est volontaire, suit la même structure de système de gestion que l'ISO 27001 ou l'ISO 9001, et peut être certifié par un tiers accrédité.
  • Le règlement UE sur l'IA (Règlement (UE) 2024/1689) est une loi contraignante de l'UE. Il s'applique directement dans toute l'Union, classe les systèmes d'IA par niveau de risque, et impose des obligations spécifiques au niveau du produit et du fournisseur — avec des amendes en cas de non-conformité. Vous n'« adoptez » pas ; il s'applique à vous si votre IA est mise sur le marché ou affecte le marché de l'UE.
  • En résumé : l'ISO 42001 est une norme de processus/organisation que vous choisissez de suivre ; le règlement UE sur l'IA est un régime juridique que vous devez obéir.

Norme volontaire vs Règlement contraignant

Les deux opèrent à des niveaux différents, c'est pourquoi l'un ne peut pas se substituer à l'autre :

  • Force juridique. La conformité à l'ISO 42001 est facultative et déterminée par le marché (clients, appels d'offres, confiance). Le règlement UE sur l'IA est obligatoire et appliqué par les autorités nationales.
  • Unité de gouvernance. L'ISO 42001 régit votre système de gestion — politiques, rôles, processus à travers votre portefeuille d'IA. Le règlement UE sur l'IA attache des obligations à des systèmes d'IA spécifiques par niveau de risque (interdit, à haut risque, à risque limité, minimal).
  • Ce que signifie « terminé ». Le succès de l'ISO 42001 est un AIMS certifié et en amélioration continue. Le succès du règlement UE sur l'IA est de répondre aux devoirs au niveau de l'article pour chaque système dans son champ d'application : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, surveillance humaine, exactitude/robustesse, évaluation de la conformité, et (pour les systèmes à haut risque) marquage CE et enregistrement dans la base de données de l'UE.
  • Qui vous juge. Un organisme de certification accrédité audite l'ISO 42001. Une autorité de surveillance du marché — et non un certificat — applique le règlement UE sur l'IA.

Comment l'ISO 42001 soutient la conformité au règlement UE sur l'IA

Un AIMS ISO 42001 produit une grande partie de la structure de gouvernance que le règlement UE sur l'IA suppose que vous avez déjà. Les contrôles de l'Annexe A cartographient naturellement sur plusieurs thèmes du règlement UE sur l'IA :

  • Gouvernance et responsabilité. La politique d'IA, les rôles définis et l'examen de gestion s'alignent sur l'attente de système de gestion de la qualité du règlement UE sur l'IA (Article 17) et son attitude de responsabilité.
  • Gestion des risques. Le processus d'évaluation et de traitement des risques d'IA de l'ISO 42001 vous donne le rythme opérationnel pour exécuter la gestion continue des risques au niveau du système que le règlement UE sur l'IA exige pour les systèmes d'IA à haut risque (Article 9).
  • Données et cycle de vie. Les contrôles de qualité des données, de ressources et du cycle de vie du système d'IA soutiennent les obligations de gouvernance des données (Article 10) et de documentation technique (Article 11) du règlement UE sur l'IA.
  • Surveillance et exploitation. Les contrôles de surveillance humaine, de suivi et d'enregistrement opérationnel vous donnent une longueur d'avance sur l'Article 14 (surveillance humaine) et l'Article 12 (enregistrement/journalisation).

Là où l'ISO 42001 ne vous rend pas conforme : un système de gestion n'est pas une évaluation de la conformité. L'ISO 42001 ne fournit pas le marquage CE, l'enregistrement dans la base de données de l'UE, un représentant autorisé de l'UE ou les exigences au niveau du produit pour un système à haut risque spécifique. Deux avertissements précis : (1) la conformité à l'ISO 42001 n'est pas la même chose que la certification — être « aligné » n'est pas être certifié ; et (2) la certification ISO 42001 n'est pas la même chose que la conformité juridique au règlement UE sur l'IA — un certificat est une preuve d'un bon système de gestion, jamais un havre de sécurité juridique.

Cartographie : domaines de l'ISO 42001 aux articles du règlement UE sur l'IA

Une passerelle pratique. Utilisez-la pour voir ce que votre AIMS couvre déjà et où le travail spécifique au règlement UE sur l'IA reste encore :

  • Politique d'IA et leadership → Article 17 (système de gestion de la qualité) et responsabilité générale
  • Évaluation et traitement des risques d'IA → Article 9 (système de gestion des risques)
  • Données pour les systèmes d'IA / contrôles de ressources → Article 10 (données et gouvernance des données)
  • Cycle de vie du système d'IA et contrôles de documentation → Article 11 et Annexe IV (documentation technique)
  • Surveillance opérationnelle et enregistrement → Article 12 (enregistrement/journalisation)
  • Informations pour les parties prenantes / contrôles de transparence → Article 13 (transparence pour les déploieurs)
  • Contrôles de surveillance humaine → Article 14 (surveillance humaine)
  • Contrôles de performance, de vérification et de surveillance → Article 15 (exactitude, robustesse, cybersécurité)

Il s'agit d'une cartographie directionnelle pour guider l'analyse des écarts, et non d'une table d'équivalence officielle. Aucune clause de l'ISO 42001 ne « satisfait » un article du règlement UE sur l'IA par elle-même ; chaque article nécessite encore des preuves spécifiques pour chaque système spécifique.

Comment AIAgentree aide

AIAgentree capture les preuves de décision et de surveillance qui soutiennent les deux côtés à la fois — les enregistrements opérationnels qu'un AIMS ISO 42001 souhaite et les preuves spécifiques de l'article 12 et de l'article 14 que le règlement UE sur l'IA exige (AIAgentree n'est pas certifié ISO 42001 ou règlement UE sur l'IA — il produit les preuves sous-jacentes) :

  • Enregistrements de décision sécurisés pour chaque décision d'agent, avec des flux de travail d'approbation et de surveillance humaine — la matière première pour les enregistrements opérationnels d'un AIMS et les preuves de journalisation de l'article 12 et de surveillance de l'article 14.
  • Résidence des données de l'UE en Allemagne, conservation d'audit (au moins 6 mois), ainsi que recherche de précédent et suivi des résultats pour que vos preuves de gouvernance soient cohérentes, accessibles et défendables lors d'un examen.
  • SDK Python et TypeScript ainsi que des interfaces REST, MCP, A2A et OpenTelemetry pour alimenter ces preuves dans vos outils AIMS, GRC ou SIEM existants. Commencez sur le niveau gratuit (25 traces) avec une capture asynchrone de moins de 10 ms. (SOC 2 est en cours.)

Foires aux questions

La certification ISO 42001 me rend-elle conforme à l'Acte IA de l'UE ?

Non. La certification ISO 42001 démontre un système de gestion de l'IA solide et peut constituer une preuve solide de la maturité de la gouvernance, mais elle ne constitue pas un havre de sécurité juridique. L'Acte IA de l'UE impose des obligations spécifiques au système - évaluation de la conformité, marquage CE, enregistrement dans la base de données de l'UE et exigences techniques au niveau de l'article pour l'IA à haut risque - que un certificat de système de gestion ne fournit pas. La certification soutient la conformité ; elle ne la remplace pas.

L'ISO 42001 est-elle obligatoire dans l'UE ?

Non. L'ISO/IEC 42001 est une norme internationale volontaire. L'Acte IA de l'UE est l'instrument obligatoire. Les normes européennes harmonisées (élaborées via CEN/CENELEC) - et non l'ISO 42001 directement - fourniront la voie de présomption de conformité en vertu de l'Acte. L'ISO 42001 reste un squelette de gouvernance très utile, mais l'adopter est un choix commercial, et non une exigence légale.

Quelle est la différence entre la préparation à l'ISO 42001 et la certification ?

La préparation signifie que votre système de gestion est conforme aux exigences de la norme - vous pourriez passer une audit. La certification signifie qu'un tiers accrédité a effectivement audité et délivré un certificat. La « préparation » est un état auto-évalué ; la « certification » est une vérification indépendante. Ni l'un ni l'autre, en soi, équivaut à la conformité juridique à l'Acte IA de l'UE.

Où l'ISO 42001 aide-t-elle le plus avec l'Acte IA de l'UE ?

Dans la gouvernance, la gestion des risques et la discipline du cycle de vie. Un système de gestion de l'IA ISO 42001 vous donne les politiques, les rôles, le processus de risque et les dossiers opérationnels que les articles 9, 10, 11, 12, 14 et 17 supposent. Il est le plus faible sur les obligations spécifiques à l'UE, au niveau du système - évaluation de la conformité, marquage CE, enregistrement et exigence de représentant autorisé - qui se situent en dehors d'une norme de système de gestion.

Un programme peut-il couvrir à la fois l'ISO 42001 et l'Acte IA de l'UE ?

Oui, et la plupart des organisations matures les exécutent ensemble. Utilisez l'ISO 42001 comme cadre de système de gestion et superposez les obligations spécifiques au système de l'Acte IA de l'UE, en réutilisant les preuves partagées (évaluations des risques, documentation, dossiers de surveillance, journaux). Les dossiers de décision et les flux de travail de surveillance d'AIAgentree sont conçus pour alimenter les deux sans dupliquer le travail.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.