.svg)
Les organisations qui adoptent l'IA sont tiraillées entre deux exigences. D'une part, elles doivent comprendre ce qu'exige la loi. D'autre part, elles ont besoin d'un moyen concret de régir l'IA à l'échelle des équipes, des cas d'utilisation et des fournisseurs.
C'est là qu'interviennent la loi européenne sur l'IA et la norme ISO 42001.
À première vue, ces deux textes traitent du même sujet, mais ils répondent à des besoins différents. La loi sur l'IA est un règlement européen contraignant qui impose des obligations légales aux systèmes d'IA et aux modèles d'IA à usage général relevant de son champ d'application. La norme ISO 42001 est une norme internationale facultative visant à mettre en place un système de gestion de l'IA à l'échelle de l'organisation.
De nombreuses organisations finiront par utiliser les deux : la loi sur l'IA pour déterminer les points à traiter, et la norme ISO 42001 pour mettre en place le modèle de gouvernance qui leur permettra de le faire de manière cohérente.
Qu'est-ce que la loi européenne sur l'IA ?
La loi européenne sur l'IA constitue le cadre juridique de l'Union européenne en matière de réglementation de l'IA. Elle établit des règles contraignantes en fonction des risques liés à l'IA et définit des obligations selon la manière dont l'IA est développée, fournie ou utilisée.
La loi européenne sur l'IA, à savoir le règlement (UE) 2024/1689, constitue le cadre juridique harmonisé de l'Union européenne en matière d'intelligence artificielle. La Commission européenne la décrit comme le premier cadre juridique complet sur l'IA, fondé sur une approche fondée sur les risques. Son objectif est de promouvoir une IA digne de confiance tout en protégeant la santé, la sécurité et les droits fondamentaux.
Concrètement, la loi sur l'IA revêt une importance particulière car elle ne traite pas tous les cas d'utilisation de l'IA de la même manière. Elle établit une distinction entre les pratiques interdites, les systèmes d'IA à haut risque, les obligations de transparence pour certaines utilisations de l'IA et les obligations incombant aux fournisseurs de modèles d'IA à usage général. Cette structure est importante car les obligations d'une entreprise dépendent du type d'IA qu'elle développe, fournit ou déploie, ainsi que du rôle qu'elle joue dans la chaîne de valeur.
Il est également important de noter que la loi est déjà en cours de mise en œuvre progressive. La Commission précise que la loi sur l'IA est entrée en vigueur le 1er août 2024 et sera pleinement applicable le 2 août 2026, certaines dispositions s'appliquant toutefois plus tôt. Les pratiques interdites en matière d'IA et les obligations en matière de culture de l'IA ont commencé à s'appliquer le 2 février 2025, et les obligations pour les fournisseurs de modèles d'IA à usage général sont entrées en vigueur le 2 août 2025. Les organisations opèrent donc dans une période de transition où certaines obligations sont déjà en vigueur et d'autres continuent d'être mises en œuvre progressivement.
Qu'est-ce que la norme ISO/IEC 42001 ?
La norme ISO/IEC 42001 est une norme internationale visant à mettre en place un système de gestion de l'IA. Elle aide les organisations à encadrer l'IA grâce à des politiques, des processus et des rôles clairement définis, ainsi qu'à une démarche d'amélioration continue.
La norme ISO/IEC 42001:2023 est la norme internationale relative aux systèmes de gestion de l'IA. Selon l'ISO, elle définit des exigences et fournit des orientations aux organisations qui développent, fournissent ou utilisent des systèmes d'IA, et constitue la première norme mondiale axée sur la mise en place, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de l'IA.
Ce contexte est important. La norme ISO 42001 n'est pas une loi et ne se limite pas à un seul produit d'IA ou à une catégorie juridique restreinte. Il s'agit d'une norme relative à un système de gestion au niveau de l'organisation. Son objectif est d'ancrer les politiques, les objectifs, les processus, la responsabilité et l'amélioration continue en matière d'IA. En d'autres termes, il s'agit de mettre en place une gouvernance reproductible, et non pas simplement de documenter des contrôles ponctuels.
La norme ISO 42001 revêt donc une importance particulière pour les organisations qui doivent coordonner la gouvernance de l'IA entre les équipes produit, l'utilisation interne de l'IA, les achats, la supervision par la direction et les fonctions d'audit ou d'assurance.
Même lorsqu’elle est facultative, elle peut servir de modèle opérationnel structuré pour une gestion responsable de l’IA. Ce dernier point découle de la description qu’en donne l’ISO, qui présente cette norme comme un système de gestion à l’échelle de l’organisation visant à établir des politiques, des objectifs et des processus liés au développement, à la mise à disposition ou à l’utilisation responsables de l’IA.
Principales différences entre la loi européenne sur l'IA et la norme ISO 42001
Statut juridique
C'est là la principale différence entre les deux. La loi européenne sur l'IA est une norme contraignante pour les organisations et les cas d'utilisation de l'IA qu'elle couvre. La norme ISO 42001 est une norme facultative. Une entreprise peut décider d'adopter la norme ISO 42001 dans le cadre de son programme de gouvernance, mais elle ne peut pas se soustraire à la loi sur l'IA si celle-ci s'applique.
Objectif
La loi sur l'IA vise à réglementer les risques liés à l'IA sur le marché de l'UE et à protéger les intérêts publics tels que la santé, la sécurité et les droits fondamentaux. La norme ISO 42001 a pour objectif d'aider les organisations à mettre en place et à gérer un système de gestion de l'IA comprenant des politiques, des processus et un cycle d'amélioration continue. L'une relève du domaine réglementaire. L'autre relève du domaine de la gestion.
Champ d'application
La loi sur l'IA impose des obligations en fonction du type d'IA, du niveau de risque et du rôle de l'acteur, qu'il s'agisse d'un fournisseur ou d'un exploitant. La norme ISO 42001 s'applique au niveau du système de gestion à l'échelle de l'organisation et peut couvrir de manière plus générale le développement, la fourniture, l'acquisition et l'utilisation de l'IA.
Comment fonctionne la mise en œuvre
La loi sur l'IA impose aux organisations de déterminer si certains systèmes ou modèles relèvent des catégories réglementées, puis de se conformer aux obligations correspondantes. La norme ISO 42001 impose aux organisations de mettre en place une structure de gouvernance qui définit les responsabilités, les processus, les contrôles, les mécanismes de révision et les cycles d'amélioration.
À quoi ressemblent des « preuves solides »
En vertu de la loi sur l'IA, les preuves sont liées aux obligations légales prévues par la réglementation. Dans le cadre de la norme ISO 42001, les preuves relèvent davantage du système de gestion lui-même : politiques, rôles, processus documentés, audits internes et registres d'amélioration continue. Cette distinction est importante car la conformité légale et la maturité du système de gestion sont des concepts liés, mais non identiques.
Là où ils se recoupent
Même si leur statut et leur conception diffèrent, ces deux cadres se recoupent à plusieurs égards importants.
- Ces deux normes incitent les organisations à renforcer leur gouvernance et leur responsabilité. La loi sur l'IA y parvient par le biais d'obligations légales et de devoirs spécifiques aux différents acteurs. La norme ISO 42001 y parvient grâce à un système de gestion structuré qui définit des politiques, des objectifs et des processus.
- Ces deux normes portent sur la gestion des risques. La loi sur l'IA (AI Act) est explicitement fondée sur les risques et prévoit des obligations différentes selon la nature du système ou du modèle d'IA. La norme ISO 42001 a été conçue pour aider les organisations à gérer les risques liés à l'IA grâce à un cadre de gouvernance systématique.
- Les deux reposent sur la documentation, la supervision et le contrôle. Si leurs mécanismes précis diffèrent, aucun de ces deux cadres ne fonctionne en vase clos. Les organisations ont besoin de responsabilités clairement définies, de registres, de processus internes et d'un moyen de vérifier si l'IA est gérée comme prévu.
C'est précisément cette superposition qui explique pourquoi de nombreuses organisations ne les considèrent pas comme des alternatives. Elles les considèrent plutôt comme des niveaux hiérarchiques. La loi sur l'IA définit les exigences externes. La norme ISO 42001 peut aider à mettre en place l'architecture de gouvernance interne qui soutient ces exigences.
Comment utiliser conjointement la loi européenne sur l'IA et la norme ISO 42001
Pour de nombreuses organisations, la meilleure approche consiste à combiner les deux. Commencez par l'AI Act, puis utilisez la norme ISO 42001 pour mettre en œuvre les mesures nécessaires au sein de l'organisation. L'AI Act vous indique les aspects à prendre en compte d'un point de vue juridique et réglementaire, tandis que la norme ISO 42001 vous aide à mettre en place le système de gestion qui rendra ce processus reproductible.
Une démarche rationnelle commence par une analyse du champ d'application juridique. Une organisation doit d'abord identifier les systèmes d'IA ou les modèles d'IA à usage général qu'elle développe, fournit, déploie ou intègre dans ses activités, puis déterminer si certains d'entre eux sont interdits, présentent un risque élevé, sont soumis à des obligations de transparence ou relèvent des obligations applicables à l'IA à usage général. C'est ce qu'on appelle l'exercice de cartographie réglementaire. Sans cela, les équipes risquent de mettre en place des processus de gouvernance fondés sur des hypothèses erronées.
Une fois que le cadre juridique est clairement défini, la norme ISO 42001 s'avère utile en tant que cadre de gouvernance. Elle peut aider l'organisation à définir des politiques relatives à l'utilisation de l'IA, à attribuer des rôles et des responsabilités, à fixer des objectifs, à mettre en place des processus d'évaluation et d'analyse des risques, à formaliser les pratiques de documentation et à créer des mécanismes de suivi et d'amélioration continue. Ce sont précisément ces éléments qui permettent à une organisation de passer d'une supervision ponctuelle de l'IA à un système pérenne.
C'est pourquoi la meilleure façon d'appréhender cette relation est la suivante : la loi européenne sur l'IA définit les obligations juridiquement contraignantes, tandis que la norme ISO 42001 fournit un système de gestion qui peut aider une organisation à s'acquitter de ces obligations de manière structurée et reproductible. Il s'agit en partie d'une synthèse, mais cela découle directement des objectifs officiels de ces deux cadres.
Pourquoi de nombreuses organisations utilisent les deux
De nombreuses organisations constateront que la loi sur l'IA ne suffit pas à elle seule à constituer un modèle opérationnel interne. Une loi peut indiquer quelles sont les obligations en vigueur, mais elle ne met pas automatiquement en place les procédures de gouvernance nécessaires pour gérer l'IA à l'échelle de l'entreprise. Les équipes ont toujours besoin de responsabilités clairement définies, de politiques, de mécanismes de contrôle, de formations, de procédures relatives aux fournisseurs et d'un dispositif de supervision. C'est là que la norme ISO 42001 prend tout son sens.
Dans le même temps, la norme ISO 42001 ne suffit pas à elle seule pour les organisations concernées par la loi européenne sur l'IA. Un système de gestion peut améliorer la maturité en matière de gouvernance, mais il ne remplace pas la compréhension des obligations légales concrètes liées aux systèmes d'IA à haut risque, des obligations de transparence, des pratiques interdites ou des modèles d'IA à usage général.
C'est pourquoi cette combinaison est si intéressante. La loi sur l'IA définit les grandes lignes du programme de conformité. La norme ISO 42001 offre à l'organisation une structure concrète pour mettre en œuvre ce programme à tous les niveaux de l'entreprise et sur le long terme.
Conclusion
La loi européenne sur l'IA et la norme ISO 42001 ne doivent pas être considérées comme une alternative. L'une définit les obligations réglementaires applicables à l'IA dans son champ d'application, tandis que l'autre aide les organisations à mettre en place une gouvernance cohérente, documentée et reproductible.
Pour de nombreuses organisations, la meilleure approche consistera à les utiliser conjointement. Commencez par vous référer à la loi sur l'IA (AI Act) pour identifier les obligations applicables. Utilisez ensuite la norme ISO 42001 pour mettre en place le dispositif de gouvernance qui permettra à l'organisation de respecter ces obligations dans la pratique. C'est sans doute la voie la plus réaliste pour les équipes qui souhaitent à la fois assurer la conformité en matière d'IA et disposer d'un modèle opérationnel efficace pour la gouvernance de l'IA.
Webinaire : Les agents IA dans le travail ISMS
Découvrez comment les agents IA peuvent accélérer les étapes les plus chronophages de votre processus de conformité, de la mise en place des fondements du SMSI à la gestion des risques, en passant par les audits, les questionnaires, la documentation et la formation, sans compromettre le contrôle, la cohérence ou l'auditabilité.
