Cadres de gouvernance de l’IA : croiser NIST AI RMF, ISO 42001, Règlement IA et principes OCDE (2026)
L’essentiel
- Quatre cadres dominent la gouvernance de l’IA en 2026 : le NIST AI RMF, l’ISO/IEC 42001, le Règlement IA et les principes IA de l’OCDE. Chacun joue un rôle distinct.
- Le NIST propose une taxonomie volontaire des risques, l’ISO/IEC 42001 un système de management certifiable, le Règlement IA une obligation juridique contraignante, et l’OCDE un socle de valeurs internationales.
- Les programmes matures les combinent : un seul jeu de contrôles internes, documenté une fois, couvre plusieurs cadres externes simultanément.
- Les normes européennes harmonisées de la série prEN (prEN 18228 gestion des risques, prEN 18282 cybersécurité IA) vont restructurer la preuve de conformité en 2026-2027.
- Le bon cadre de départ dépend de votre posture : fournisseur ou déployeur, UE ou hors UE, secteur régulé ou généraliste.
Ce qu’est réellement un cadre de gouvernance de l’IA
Un cadre de gouvernance de l’IA est un ensemble structuré de principes, de contrôles, de processus et de rôles que l’organisation utilise pour maintenir ses systèmes d’IA dans des limites convenues de risque, d’éthique et de conformité juridique. Un cadre ne rend pas un système d’IA sûr en lui-même. Il fournit à l’entreprise une façon répétable de décider si le système est suffisamment sûr, qui en répond, et quelles preuves étayent l’affirmation.
Un cadre répond habituellement à quatre questions. Que peut-il arriver de mal avec ce système d’IA ? Qui porte chaque risque ? Quels contrôles ramènent le risque à un niveau acceptable ? Et comment savons-nous, dans la durée, que ces contrôles restent opérants ?
Cadre, politique et réglementation
Les trois termes sont souvent confondus, ce qui ralentit la mise en œuvre. Une réglementation est une règle de droit : le Règlement IA s’impose à tout fournisseur ou déployeur plaçant un système d’IA sur le marché européen. Une politique est un engagement interne, par exemple la charte d’usage de l’IA générative de l’entreprise. Un cadre est le lien opérationnel entre les deux : il traduit obligations externes et engagements internes en contrôles exécutables, avec des propriétaires nommés et des sorties mesurables.
Pourquoi les cadres ont émergé en 2023-2025
La première vague de cadres est arrivée entre janvier 2023 et début 2025. Le NIST a publié l’AI Risk Management Framework 1.0 en janvier 2023, suivi du profil sur l’IA générative en 2024. L’ISO/IEC a publié 42001 en décembre 2023. Le Règlement IA est entré en vigueur le 1er août 2024, avec des dates d’application échelonnées jusqu’en 2027. L’OCDE a mis à jour ses principes IA en mai 2024 pour adresser l’IA générative et à usage général. La cause commune : la capacité des systèmes a progressé plus vite que les processus internes improvisés, et les conseils d’administration ont eu besoin d’une structure défendable.
Les quatre cadres qui comptent en 2026
Le marché de la gouvernance de l’IA en 2026 repose sur quatre piliers. Le NIST AI Risk Management Framework est le cadre volontaire dominant aux États-Unis et devient la référence taxonomique mondiale de fait. La norme ISO/IEC 42001:2023 est la seule norme certifiable pour un système de management de l’IA, et elle joue le rôle d’épine dorsale pour les organisations déjà sous ISO 27001 ou ISO 9001. Le Règlement IA est la réglementation contraignante la plus structurante à l’échelle mondiale, en particulier pour les acteurs qui s’adressent au marché européen. Les principes IA de l’OCDE, actualisés en 2024, fixent le socle de valeurs auquel 47 États adhérents font explicitement référence, dont l’Union européenne, les États-Unis, le Royaume-Uni et le Japon.
Trois autres textes gravitent autour de ces quatre cadres. La Convention-cadre du Conseil de l’Europe sur l’IA, ouverte à la signature en septembre 2024, verrouille des minima en matière de droits humains. Les orientations cybersécurité du NIST (extensions IA du SP 800-53 et du CSF) et les normes harmonisées CEN-CENELEC à venir (prEN 18228 sur la gestion des risques, prEN 18282 sur la cybersécurité des systèmes d’IA, et leurs sœurs) traduisent les principes en clauses auditables.
En France, la CNIL développe en parallèle des recommandations s’appuyant directement sur le Règlement IA et le RGPD, et l’ACPR ainsi que l’ANSSI travaillent les volets sectoriels (finance, sécurité systèmes) que les cadres internationaux ne traitent qu’à gros grain.
NIST AI RMF 1.0 et le profil IA générative
Le NIST AI Risk Management Framework, publié en janvier 2023, organise le travail sur les risques IA autour de quatre fonctions centrales : Govern (gouverner), Map (cartographier), Measure (mesurer) et Manage (gérer). Chaque fonction se décompose en catégories et sous-catégories de résultats, soit environ 70 énoncés qu’une organisation peut utiliser en auto-évaluation.
Govern, Map, Measure, Manage
Govern établit les politiques, les responsabilités et les ressources qui ancrent la gestion des risques IA dans une assise formelle. Map identifie le contexte, le périmètre, l’usage prévu et les parties prenantes impactées par un système d’IA donné. Measure assigne des métriques et des tests aux risques identifiés. Manage applique les traitements (acceptation, atténuation, transfert, évitement) avec des revues continues.
Cette structure rend l’AI RMF compatible avec les cadres de risque déjà en place : Govern dialogue avec ISO 31000, Measure reprend la logique d’audit interne ISO 27001, et Manage assure la passerelle vers la réponse aux incidents et l’amélioration continue.
Où le profil IA générative diverge
Le profil IA générative (NIST AI 600-1) a été produit avec un groupe de travail public de 2 500 participants. Il se concentre sur 13 risques spécifiques à l’IA générative et propose plus de 400 actions associées. Parmi les risques : confabulation, fuites de données personnelles, biais nuisibles, intégrité de l’information, atteintes à la propriété intellectuelle, contenus obscènes ou abusifs, risques de la chaîne de valeur, augmentation NRBC, cyber offensif. Chaque risque est relié à des actions réparties dans Govern, Map, Measure ou Manage. Le profil générative se superpose au socle AI RMF plutôt qu’il ne le remplace.
ISO/IEC 42001 : l’IA comme système de management
ISO/IEC 42001:2023 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de l’IA, l’AIMS. La norme est certifiable : un organisme accrédité peut auditer l’entreprise et délivrer un certificat, comme pour ISO 27001.
Le cycle Plan-Do-Check-Act appliqué à l’IA
Comme ISO 27001 et 9001, la 42001 suit le cycle Plan-Do-Check-Act. Plan définit le contexte, le périmètre, les engagements de la direction et les critères d’acceptation du risque. Do opère les contrôles : gouvernance des données, cycle de vie du modèle, supervision humaine, gestion des incidents. Check mesure la performance via audits internes, revue de direction et indicateurs. Act renvoie les constats vers la politique, les contrôles et le plan de ressources.
La surprise la plus fréquente pour des équipes déjà ISO 27001 est que 42001 prend au sérieux la spécificité IA. Plusieurs clauses, dont 6.1.3 sur le traitement du risque IA, exigent des sorties qu’un SMSI générique ne produit pas : analyses d’impact, inventaire des systèmes avec usage prévu et tier de risque, documentation de transparence pour les parties prenantes, conception de la supervision humaine.
Annexe A : comparaison avec ISO 27001
ISO/IEC 42001 propose une Annexe A couvrant : politiques pour l’IA, organisation interne, ressources pour systèmes d’IA, analyses d’impact, cycle de vie des systèmes, données pour l’IA, information aux parties intéressées, usage des systèmes d’IA. On y trouve environ 38 contrôles. Le chevauchement avec les 93 contrôles d’ISO 27001 est partiel. Les deux normes se complètent : un système de management intégré peut couvrir les deux, mais les preuves spécifiques IA exigées par 42001 ne se réduisent pas aux contrôles de sécurité de 27001.
Le Règlement IA : un cadre doté d’effets juridiques
Le Règlement IA (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024, avec une application échelonnée. Les obligations sur l’IA à usage général s’appliquent depuis le 2 août 2025. La majorité des obligations à haut risque s’appliquent depuis le 2 août 2026. Les obligations résiduelles à haut risque (IA intégrée dans des produits régulés) s’appliquent à partir du 2 août 2027.
Contrairement au NIST ou à l’ISO, le Règlement IA est contraignant. Les sanctions atteignent 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, et 15 millions ou 3 % pour la plupart des autres manquements.
Article 9 : un dispositif de gestion des risques au cœur du régime
L’article 9 est le cœur opérationnel du régime des systèmes d’IA à haut risque. Les fournisseurs doivent établir, mettre en œuvre, documenter et maintenir un système de gestion des risques perçu comme un processus itératif continu, conduit tout au long du cycle de vie du système, soumis à une revue périodique systématique. Le dispositif doit identifier et analyser les risques connus et raisonnablement prévisibles, estimer les risques susceptibles d’émerger lors d’un usage prévu ou d’un mésusage raisonnablement prévisible, évaluer les risques mis en lumière par la surveillance post-marché, et adopter des mesures de gestion appropriées.
Le Règlement IA accepte explicitement le risque résiduel. La référence est l’acceptabilité dans l’usage prévu, non le risque zéro.
Normes harmonisées et présomption de conformité
Le JTC 21 du CEN-CENELEC est le comité technique commun chargé d’élaborer les normes harmonisées en réponse à la demande de normalisation M/593 de la Commission européenne. Lorsqu’un fournisseur applique une norme harmonisée citée, il bénéficie d’une présomption de conformité avec l’exigence correspondante. Les projets (prEN) en circulation incluent la gestion des risques (prEN 18228), les spécifications cybersécurité IA (prEN 18282) et plusieurs textes sœurs sur le management qualité, l’évaluation de la conformité, la transparence et la gouvernance. En attendant la publication au Journal officiel de l’Union européenne, les fournisseurs s’appuient sur ISO/IEC 42001, ISO/IEC 23894 et d’autres références reconnues comme preuves de diligence, même si aucune n’accorde formellement la présomption de conformité.
Principes IA de l’OCDE : la boussole mondiale
Les principes IA de l’OCDE ont été adoptés en 2019 et actualisés en mai 2024. La révision répond à la montée de l’IA à usage général et de l’IA générative. Elle renforce la formulation sur la vie privée, la propriété intellectuelle, la sécurité et l’intégrité de l’information. Avec 47 adhérents incluant l’Union européenne, les États-Unis, le Japon, la Corée et le Royaume-Uni, les principes OCDE jouent le rôle de langue commune dans les conversations transfrontalières sur l’IA responsable.
La mise à jour 2024 et ce qu’elle change
Le texte conserve les cinq principes fondés sur des valeurs (croissance inclusive et développement durable, droits humains et valeurs démocratiques, transparence et explicabilité, robustesse et sûreté, responsabilité) et clarifie les attentes sur l’IA générative. Il vise explicitement la désinformation, la protection de la propriété intellectuelle dans les données d’entraînement, et la responsabilité des acteurs tout au long du cycle de vie. L’Observatoire IA de l’OCDE suit l’implémentation nationale via la base OECD.AI et publie des fiches par pays. Les principes sont non contraignants, mais cités par le Règlement IA, les travaux de l’AI Safety Institute britannique et plusieurs stratégies nationales comme socle.
Cartographie croisée : convergences et divergences
La vraie question opérationnelle n’est presque jamais : quel cadre adopter ? Elle est : comment exécuter un contrôle une seule fois et utiliser la même preuve pour plusieurs cadres ? Le tableau ci-dessous synthétise les correspondances les plus utiles.
| Résultat | NIST AI RMF | ISO/IEC 42001 | Règlement IA | Principes OCDE |
|---|---|---|---|---|
| Définir la propriété de la gouvernance IA | Govern 1.1, 1.2 | Clauses 5.1, 5.3 | Articles 17, 22 | Principe 1.5 (responsabilité) |
| Inventaire des systèmes d’IA | Map 1.1, 4.1 | Clause 6.1, Annexe A.6.2.1 | Article 16, Article 49 | Principe 1.2 (transparence) |
| Identification et évaluation des risques | Map 5.1, 5.2 | Clause 6.1.3, Annexe A.6.1.4 | Article 9(2) | Principe 1.4 (robustesse) |
| Gouvernance des données et qualité | Map 2.3, Measure 2.10 | Annexe A.7.1 à A.7.5 | Article 10 | Principe 1.2 |
| Conception de la supervision humaine | Manage 1.3, 4.1 | Annexe A.9.2 | Article 14 | Principe 1.3 |
| Transparence envers les utilisateurs | Govern 3.2, Map 5.1 | Annexe A.8.2, A.8.3 | Articles 13, 50 | Principe 1.3 |
| Surveillance post-marché et incidents | Manage 4.3, 4.4 | Clause 10.2 | Articles 72, 73 | Principe 1.4 |
Les recouvrements ne sont pas un hasard. Un contrôle qui satisfait NIST Manage 4.1 satisfait généralement aussi l’Annexe A.9.2 d’ISO 42001 et l’article 14 du Règlement IA. La preuve est la même. Le cadrage diffère. C’est pourquoi la plupart des programmes construisent une bibliothèque de contrôles unique et étiquettent chaque contrôle par les clauses externes qu’il couvre.
Comment choisir un cadre (ou en combiner plusieurs)
Quatre signaux pilotent le choix.
D’abord, la posture dans la chaîne de valeur. Les fournisseurs plaçant des systèmes d’IA à haut risque sur le marché européen n’ont pas vraiment le choix : le Règlement IA s’impose, les normes harmonisées donnent la présomption de conformité, et ISO/IEC 42001 est l’épine dorsale volontaire la plus courante. Les déployeurs sont moins chargés juridiquement, mais bénéficient des mêmes contrôles internes.
Ensuite, la juridiction. Les acteurs qui s’adressent à l’UE prennent le Règlement comme plancher. Les acteurs américains, surtout sous contrat fédéral, partent du NIST AI RMF, de plus en plus exigé dans la commande publique. Les groupes multinationaux opèrent les deux et utilisent l’ISO 42001 comme pont. En France, la CNIL, l’ACPR et l’ANSSI affinent les exigences sectorielles que les cadres internationaux ne traitent qu’à gros grain.
Troisièmement, le secteur. Les secteurs régulés (finance, santé, secteur public, infrastructures critiques) empilent des régulateurs sectoriels. La finance combine généralement NIST AI RMF et model risk management ancré dans SR 11-7 et son équivalent européen. La santé ajoute le règlement dispositifs médicaux et la validation clinique. Le secteur public ajoute analyses d’impact et exigences de publicité.
Enfin, la maturité organisationnelle. Un programme débutant ne devrait pas viser la certification 42001 dès la première année. Commencer par l’auto-évaluation NIST AI RMF, identifier les manques, écrire les politiques manquantes, construire l’inventaire, puis superposer ISO/IEC 42001 quand la discipline Plan-Do-Check-Act est en place. L’ordre inverse coûte douze mois d’audit sur des contrôles non encore opérationnels.
Du cadre aux contrôles opérationnels
Un cadre ne vaut que par les contrôles qu’il produit. Traduire l’article 9 du Règlement IA, l’Annexe A d’ISO 42001 et la fonction Manage du NIST AI RMF en bibliothèque de contrôles internes réels est l’endroit où la majorité des programmes perd son élan. Le motif qui fonctionne en pratique : une bibliothèque unique de contrôles internes, chaque contrôle étiqueté avec les clauses externes qu’il satisfait, chaque contrôle relié à son artefact de preuve.
La plateforme AI Sigil est bâtie autour de ce motif. Chaque module correspond à une couche du stack : le Registre IA est l’inventaire qui couvre NIST Map 1.1, ISO/IEC 42001 Annexe A.6.2.1 et l’article 49 du Règlement IA. Le module Évaluation des risques couvre NIST Measure, la clause 6.1.3 d’ISO/IEC 42001 et l’article 9 du Règlement. Le module Framework Compliance est le moteur de cartographie croisée : un contrôle, plusieurs présomptions de conformité. Le module Preuves et Audit conserve les artefacts dans une forme qui survit à un audit ISO comme à une évaluation de conformité Règlement IA.
Cinq pièges classiques en mise en œuvre
- Traiter le cadre comme documentation et non comme modèle opérationnel. Les équipes écrivent la politique IA, recopient quelques clauses NIST ou ISO, classent le document et continuent comme avant. Un cadre qui ne change pas le quotidien est du théâtre.
- Mal choisir le point de départ. Viser la certification 42001 avant que l’inventaire IA n’existe garantit aux auditeurs de trouver des trous. Commencer par l’inventaire, puis la classification de risque, puis les contrôles requis.
- Voir les cadres comme alternatives plutôt que comme couches. NIST, ISO 42001, Règlement IA et OCDE répondent à des questions différentes. Choisir un seul cadre laisse des trous.
- Sous-estimer la gouvernance des données. L’article 10 du Règlement IA, l’Annexe A.7 d’ISO 42001 et NIST Map 2.3 exigent tous des pratiques défendables sur les données d’entraînement, de validation et de qualité continue. Beaucoup de programmes sous-investissent et le payent plus tard.
- Pas de propriétaires nommés. Un cadre sans dirigeant responsable par domaine dégénère en problème de coordination. NIST Govern 1.2 comme l’article 17 du Règlement IA attendent une responsabilité nominative.
Questions fréquentes
Quels sont les cadres de gouvernance IA les plus importants en 2026 ?
Quatre cadres : NIST AI RMF 1.0 (avec le profil IA générative), ISO/IEC 42001:2023, le Règlement IA (Règlement (UE) 2024/1689) et les principes IA de l’OCDE mis à jour en mai 2024. Les programmes matures en adoptent généralement trois sur quatre simultanément, avec NIST pour la taxonomie de risque, ISO 42001 pour le système de management, et le Règlement IA comme plancher réglementaire contraignant pour les systèmes adressés au marché européen.
La certification ISO/IEC 42001 est-elle obligatoire sous le Règlement IA ?
Non. Le Règlement IA ne rend pas ISO/IEC 42001 obligatoire. La certification fournit toutefois une preuve forte de diligence et facilite l’évaluation de conformité. En attendant la publication des normes harmonisées CEN-CENELEC au Journal officiel, les fournisseurs s’appuient souvent sur ISO/IEC 42001 et ISO/IEC 23894 comme références volontaires les plus crédibles.
Quelle est la différence entre le NIST AI RMF et ISO/IEC 42001 ?
Le NIST AI RMF est une taxonomie volontaire de gestion des risques organisée en quatre fonctions et environ 70 résultats. Il est gratuit, largement adopté aux États-Unis. ISO/IEC 42001 est une norme de système de management certifiable, avec des clauses formelles et un ensemble de contrôles en Annexe A. Ils sont complémentaires : NIST dit quels risques gérer, ISO/IEC 42001 dit comment faire fonctionner le système de management qui les gère.
Les normes CEN-CENELEC harmonisées sont-elles disponibles ?
Pas encore comme normes européennes harmonisées finales. Le JTC 21 a produit plusieurs projets de normes, dont prEN 18228 sur la gestion des risques IA et prEN 18282 sur les spécifications cybersécurité IA, qui circulent comme projets sous licence en 2026. Leur publication au Journal officiel de l’Union européenne et la présomption de conformité associée sont attendues sur 2026-2027.
Quel est le cadre minimal viable pour une startup ?
Pour une jeune entreprise qui développe ou déploie de l’IA sans encore servir le marché européen : une politique IA écrite, un inventaire des systèmes avec usage prévu et tier de risque, un processus d’analyse d’impact ancré sur NIST AI RMF Map et Measure, des propriétaires nommés et une procédure d’incident courte. Dès qu’elle s’adresse à des clients européens ou à des secteurs régulés, le Règlement IA et ISO/IEC 42001 deviennent incontournables.
Les principes OCDE produisent-ils des effets juridiques ?
Pas directement. Ils sont non contraignants. Leur effet est indirect mais significatif : ils sont référencés explicitement par le Règlement IA, par la stratégie britannique sur l’IA et par plusieurs stratégies nationales. Y adhérer ne suffit jamais seul, mais s’en éloigner expose réputationnellement dans des contextes transfrontaliers.
Conclusion
Les cadres de gouvernance IA en 2026 ne sont pas interchangeables. Chacun répond à une question différente, et chacun porte un coût de non-conformité distinct. La voie mature consiste à les traiter comme des couches : OCDE comme plancher de valeurs, NIST comme taxonomie de risque, ISO/IEC 42001 comme système de management, Règlement IA comme plafond réglementaire contraignant pour quiconque s’adresse au marché européen. Construisez une bibliothèque de contrôles internes unique, cartographiée vers les quatre, et le travail de preuve se cumule au lieu de se répéter. C’est le basculement opérationnel qui fait passer un programme de gouvernance du théâtre documentaire à la pratique défendable.
