Cadre de référence, management de l'IA

Le Cockpit face à ISO/IEC 42001

ISO/IEC 42001:2023 est le premier référentiel international pour gouverner l'intelligence artificielle dans une organisation. Voici ce qu'il demande, et comment la méthode du Cockpit CadrIA le rend vivant au moment précis où l'IA est utilisée.

Référentiel publié en décembre 2023, complété par ISO/IEC 42005:2025.

Mis à jour le 6 juin 2026

En une phrase. Le Cockpit n'est pas une certification ISO 42001 et ne s'y substitue pas. C'est une méthode qui porte les exigences du système de management jusqu'à la table de réunion, et qui en produit la preuve : un registre auditable pour chaque décision prise avec l'IA.

1Ce qu'est ISO/IEC 42001

ISO/IEC 42001 est une norme de système de management, comme l'ISO 9001 l'est pour la qualité ou l'ISO 27001 pour la sécurité de l'information, mais dédiée à l'intelligence artificielle. Elle ne juge pas un modèle d'IA : elle exige que l'organisation pilote son usage de l'IA de façon responsable, documentée et améliorée en continu. Elle est certifiable par un organisme accrédité.

Clauses 4-10

ISO/IEC 42001:2023. Premier référentiel international de système de management de l'IA (SMIA). Structure harmonisée : contexte, leadership, planification, support, opération, évaluation des performances, amélioration.

Annexe A

38 mesures de maîtrise. Politique IA, organisation interne, ressources, analyse d'impact des systèmes d'IA, cycle de vie, données pour l'IA, information des parties intéressées, usage des systèmes, relations avec les tiers.

ISO/IEC 42005:2025

Analyse d'impact des systèmes d'IA. Norme complémentaire publiée en 2025 : comment évaluer les impacts, voulus et non voulus, d'un système d'IA sur les personnes, les groupes et la société, tout au long de son cycle de vie.

Apparentés

Famille de l'IA de confiance. ISO/IEC 23894:2023 (gestion des risques liés à l'IA), ISO/IEC 22989 (concepts et terminologie). La certification 42001 est délivrée par un organisme accrédité.

2Comment le Cockpit y répond

Chaque exigence du référentiel a un point d'ancrage concret dans le déroulé d'une séance. Le Cockpit ne remplace pas le système de management : il en exécute les principes là où l'IA est vraiment utilisée, et il en laisse la trace.

Exigence ISO 42001	Ce qu'elle demande	Réponse du Cockpit
Clause 5, Annexe A. Politique et responsabilités	Une politique d'usage de l'IA, des rôles et des responsabilités clairement attribués.	La carte 9 (Gouvernance) vérifie qu'un référent IA est désigné et qu'une charte d'usage est diffusée ; les cartes 6 et 8 attribuent des rôles nominatifs : Pilote IA, Décideur, Protecteur, Contradicteur.
Clause 6.1, Annexe A. Évaluation des risques	Identifier les risques liés à l'IA et décider de leur traitement.	La carte 16 (Sécurité) passe chaque carte risque une à une et pose le garde-fou correspondant, recopié automatiquement dans les règles du prompt.
Annexe A, ISO 42005. Analyse d'impact	Évaluer les impacts du système d'IA sur les personnes et la société.	La carte 16 classe le projet (haut risque ou non) ; la carte 25 ouvre un dossier en 7 sections : finalité, données et biais, supervision humaine, contrôles, risques résiduels, instructions, surveillance. Une trame de départ, à compléter par vos experts.
Clause 7. Compétence et sensibilisation	Le personnel doit être compétent et sensibilisé à l'usage de l'IA.	La carte 9 vérifie la formation des participants ; la méthode elle-même forme l'équipe à un usage cadré, séance après séance.
Clause 8. Maîtrise opérationnelle	Encadrer concrètement l'usage de l'IA dans les opérations.	La trame séquencée du Cockpit est le contrôle opérationnel : rien n'est généré avant d'avoir cadré l'objectif, sécurisé les risques et obtenu la validation humaine.
Annexe A. Données pour l'IA	Gouverner les données fournies au système d'IA.	Le Protecteur veille sur les données et le droit ; la protection des données sensibles est posée en carte 16, et la carte 14 impose d'expliciter le contexte, car ce que l'IA ignore, elle l'invente.
Clause 7.5, Annexe A. Documentation et information	Tenir une documentation et informer les parties intéressées.	Le registre de séance (carte 27) consigne le prompt final, le résultat, le modèle d'IA utilisé, les participants et le temps : une trace auto-suffisante, lisible dans trois ans.
Annexe A. Supervision humaine	Garder l'humain aux commandes des décisions.	Le Décideur tranche et assume ; une validation humaine est obligatoire sur les projets classés à haut risque, et la clôture est bloquée tant que l'équipe n'a pas confirmé l'usage d'une IA validée.
Clauses 9 et 10. Évaluation et amélioration	Mesurer, auditer, améliorer en continu.	La carte 26 (Debrief) clôt chaque séance par trois questions d'amélioration ; la méthode elle-même est éprouvée et corrigée en continu, voir le rapport de robustesse.

3Avec ou sans le Cockpit

La difficulté d'ISO 42001 n'est pas d'écrire les politiques, c'est de les faire vivre au quotidien. C'est exactement l'écart que le Cockpit comble.

Sans le Cockpit

La politique IA reste un document que personne n'ouvre au moment d'utiliser l'IA.
Les décisions assistées par l'IA ne laissent aucune trace exploitable en audit.
L'analyse d'impact, quand elle existe, est faite après coup ou pas du tout.
Les rôles et la supervision humaine ne sont pas explicites autour de la table.

Avec le Cockpit

La politique devient un réflexe : référent et charte vérifiés dès la carte 9.
Chaque séance produit un registre auditable : prompt, modèle, décision, participants, temps.
Les risques et l'impact sont posés avant de générer, aux cartes 16 et 25.
Rôles nominatifs et validation humaine obligatoire sur les cas sensibles.

4Pourquoi c'est utile

Un auditeur ISO 42001 ne cherche pas de belles intentions, il cherche des preuves : que la politique s'applique, que les risques sont traités, que les décisions sont tracées. Utilisé régulièrement, le Cockpit alimente votre SMIA en enregistrements d'usage réels plutôt qu'en déclarations. Chaque séance est, en pratique, une boucle complète du référentiel : on cadre, on évalue les risques, on supervise, on documente, on s'améliore.

L'intérêt, en clair. Le Cockpit transforme une exigence abstraite de gouvernance en un geste d'équipe répétable. Il rapproche la conformité du terrain et fournit, sans effort supplémentaire, la matière que l'audit réclame.

5Périmètre et limites

Le Cockpit n'est pas une certification ISO 42001 et ne s'y substitue pas. Il ne délivre aucun conseil réglementé : chaque point de droit ou de conformité est renvoyé au service compétent et signalé comme à vérifier. Le dossier d'impact qu'il génère est une trame de départ, à compléter et à valider par vos experts techniques et juridiques.

Bien utilisé, le Cockpit est un instrument au service de votre système de management de l'IA, pas un substitut. La certification relève d'un organisme accrédité ; l'analyse d'impact formelle relève de vos experts.

Voir aussi : EU AI Act · RGPD · Rapport de robustesse

Cockpit CadrIA, méthode de gouvernance de l'IA en équipe. Aligné RGPD, EU AI Act et ISO 42001. cadria.fr

Document mis en ligne le 6 juin 2026.