Cadre de gouvernance de l’IA : le guide complet

Chaque organisation déployant de l’IA fait face au même défi : le paysage réglementaire et normatif s’est fragmenté en quatre cadres qui se chevauchent, chacun avec une portée, une valeur juridique et une logique opérationnelle différentes. Ne retenir qu’un seul cadre crée des lacunes. Tenter de mettre en oeuvre les quatre sans structure claire génère un travail en double.

Ce guide présente les quatre principaux cadres de gouvernance de l’IA, explique leurs interactions et propose une feuille de route pratique pour les organisations qui construisent un programme de conformité multicadre.

Qu’est-ce qu’un cadre de gouvernance de l’IA ?

Un cadre de gouvernance de l’IA est un ensemble structuré de politiques, processus, rôles et contrôles qui régit la façon dont une organisation développe, déploie et surveille ses systèmes d’IA. Il répond à trois questions : qui est responsable des décisions de l’IA, comment les risques sont-ils identifiés et gérés, et quelles preuves démontrent que les contrôles fonctionnent.

La distinction entre politique et cadre est fondamentale. Une politique indique ce qui doit se passer. Un cadre définit comment organiser tout ce qui doit se passer, qui possède chaque composant et comment les composants s’interconnectent. Sans cadre, la conformité se résume à une liste d’actions isolées sans responsable global du programme.

Trois piliers structurent tous les cadres majeurs :

Responsabilité. Quelqu’un doit être propriétaire de chaque système d’IA et pouvoir rendre compte des décisions qu’il prend.

Transparence. L’organisation doit être en mesure de décrire le fonctionnement de l’IA, les données qu’elle utilise et ses limites.

Gestion des risques. Les risques doivent être identifiés, évalués et activement maîtrisés avant le déploiement et tout au long de la vie du système.

Le calendrier réglementaire n’est plus théorique

En France et dans toute l’Union européenne, le règlement IA (Règlement (UE) 2024/1689) impose des échéances concrètes. Les interdictions visant les pratiques à risque inacceptable sont entrées en vigueur en février 2025. Les obligations pour les modèles d’IA à usage général s’appliquent depuis août 2025. Les exigences complètes pour les systèmes d’IA à haut risque entreront en vigueur en août 2026.

La CNIL suit de près le cadre européen et a publié des recommandations spécifiques sur l’IA générative et la protection des données dans les systèmes algorithmiques. Les organisations qui n’ont pas encore cartographié leurs systèmes d’IA accumulent un risque réglementaire à chaque mois qui passe.

L’adoption d’ISO 42001 s’accélère. Une enquête Sprinto de 2025 révèle que 76 % des organisations prévoient de viser la certification ISO 42001 dans l’année. Les équipes achat d’entreprises de taille significative demandent désormais systématiquement des preuves de gouvernance IA dans leurs questionnaires de qualification fournisseurs.

Les quatre cadres que tout responsable de gouvernance IA doit maîtriser

NIST AI Risk Management Framework (AI RMF)

Le National Institute of Standards and Technology américain a publié l’AI RMF 1.0 en janvier 2023. Un profil mis à jour sur l’IA générative a suivi en 2024.

Le cadre s’organise autour de quatre fonctions :

  • GOVERN : établit la culture organisationnelle, les politiques, les structures de responsabilité et les mécanismes de supervision.
  • MAP : identifie les risques IA avant le déploiement, notamment les impacts potentiels et leur gravité.
  • MEASURE : quantifie et teste les risques IA via des métriques, des tests de robustesse et des évaluations de biais.
  • MANAGE : priorise et traite les risques identifiés, attribue des propriétaires et suit les risques résiduels.

Le NIST AI RMF est volontaire. Il n’existe pas de certification associée. Sa force réside dans sa flexibilité : il s’adapte à tout type de système d’IA, toute taille d’organisation et tout secteur.

ISO/IEC 42001:2023 : la norme de système de management de l’IA

ISO 42001 est la première norme internationale pouvant faire l’objet d’une certification tierce. Publiée en décembre 2023, elle suit la structure Annex SL utilisée par ISO 27001 et ISO 9001, ce qui facilite l’intégration de la gouvernance IA dans les systèmes de management existants.

La norme comporte dix clauses, dont les clauses 4 à 10 sont auditables. L’Annexe A définit 38 contrôles répartis en neuf domaines. La certification suit un cycle triennal avec des audits de surveillance annuels. La norme ISO/IEC 42006:2025 définit les exigences de compétence pour les auditeurs.

ISO 42001 est particulièrement adaptée aux grandes entreprises, aux secteurs réglementés et aux organisations ayant des chaînes d’approvisionnement mondiales.

Le règlement IA européen : la première réglementation contraignante sur l’IA

Le Règlement (UE) 2024/1689, publié au Journal officiel le 12 juillet 2024, est le premier cadre légal complet sur l’IA au monde. Il classe les systèmes d’IA en quatre niveaux de risque :

  • Risque inacceptable : interdit depuis février 2025.
  • Haut risque : obligations strictes de conformité, de gestion des risques et de surveillance post-commercialisation, applicables en août 2026.
  • Risque limité : obligations de transparence uniquement.
  • Risque minimal : aucune obligation. La majorité des applications IA commerciales relèvent de cette catégorie.

Le règlement s’applique à toute organisation qui met des systèmes d’IA sur le marché européen ou dont les sorties d’IA affectent des personnes dans l’UE, quel que soit le lieu d’établissement. Les sanctions atteignent jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Principes de l’OCDE sur l’IA : la référence mondiale

Les Principes de l’OCDE sur l’IA (OECD/LEGAL/0449) ont été adoptés en mai 2019 et mis à jour en mai 2024 pour intégrer l’IA générative. Adoptés par 47 juridictions dont tous les membres du G20, ils définissent cinq principes fondamentaux : croissance inclusive, valeurs humanistes et équité, transparence et explicabilité, robustesse et sécurité, responsabilité.

Non contraignants, ils constituent néanmoins une référence de facto pour les régulateurs mondiaux et ont servi de base au Code de conduite du Processus de Hiroshima du G7.

Comment les quatre cadres s’articulent

Les quatre cadres opèrent à différents niveaux d’abstraction et de force juridique :

  • Couche 1 (valeurs) : Principes OCDE, ce que la gouvernance IA doit accomplir.
  • Couche 2 (processus de risque) : NIST AI RMF, comment identifier, mesurer et gérer les risques IA.
  • Couche 3 (système de management) : ISO 42001, comment organiser politiques, rôles et cycles d’audit pour rendre la gestion des risques répétable.
  • Couche 4 (obligations légales) : Règlement IA européen, les exigences légales contraignantes avec sanctions définies.

Correspondances entre les contrôles

Trois correspondances majeures permettent d’éviter les duplications :

La Clause 5 d’ISO 42001 (Leadership) et la fonction GOVERN du NIST exigent toutes deux une politique IA documentée, un engagement visible de la direction et une attribution claire des responsabilités.

La Clause 6 d’ISO 42001 (Planification) couvre environ 60 % des exigences de l’Article 9 du Règlement IA (système de gestion des risques pour les systèmes à haut risque), selon les analyses des organismes de certification.

La Clause 9 d’ISO 42001 (Évaluation des performances) s’aligne directement sur la fonction MEASURE du NIST : les preuves générées pour l’un alimentent directement l’autre.

Deux normes européennes en cours d’élaboration par le CEN-CENELEC, prEN 18228 et prEN 18282, fourniront des spécifications techniques supplémentaires alignées sur le Règlement IA.

Choisir son point de départ

Exposition au marché européen : Commencer par la classification des risques selon le Règlement IA. Identifier chaque système, déterminer son niveau de risque et cibler les systèmes à haut risque.

Besoin d’une certification tierce : Commencer par ISO 42001. Le système de management qu’elle impose structure le programme de gouvernance d’une façon qui bénéficie simultanément à la conformité NIST AI RMF et au Règlement IA.

Organisation hors UE sans besoin immédiat de certification : Commencer par le NIST AI RMF pour construire la capacité d’identification et de mesure des risques, puis superposer ISO 42001 lorsque la certification devient une exigence.

Construire un programme multicadre

Un programme multicadre opérationnel se déploie en cinq étapes : inventaire des systèmes IA, classification des risques, sélection des contrôles (Annexe A d’ISO 42001 comme épine dorsale), collecte de preuves et surveillance continue.

AI Sigil intègre ces cinq étapes dans une plateforme unifiée qui cartographie les contrôles à travers les quatre cadres simultanément, collecte les preuves et identifie les lacunes avant les auditeurs.

Conclusion

Les quatre cadres de gouvernance IA ne sont pas des alternatives, ce sont des couches complémentaires. NIST AI RMF, ISO 42001, Règlement IA et Principes OCDE adressent chacun une dimension différente du même problème. Les organisations qui les superposent correctement construisent des programmes qui satisfont simultanément régulateurs, organismes de certification et équipes achat.

Sources : NIST AI RMF 1.0 (janvier 2023) ; ISO/IEC 42001:2023 ; Règlement (UE) 2024/1689, JO L, 12 juillet 2024 ; Principes OCDE sur l’IA (OECD/LEGAL/0449), mise à jour mai 2024 ; Gartner, analyse du marché des plateformes de gouvernance IA, février 2026 ; Sprinto, enquête sur l’adoption d’ISO 42001, 2025 ; prEN 18228 et prEN 18282 (CEN-CENELEC, référence nominale uniquement).

Publications similaires