En adoptant la loi sur l'intelligence artificielle (AI Act) fin 2024, l'Union européenne a marqué l'histoire en instaurant la première législation mondiale visant à encadrer de manière exhaustive le développement, le déploiement et la gouvernance de l'intelligence artificielle. Les implications de cette législation sont considérables. Des modèles génératifs à l'identification biométrique, l'UE a défini des obligations contraignantes qui s'appliqueront à tous les secteurs, assorties de lourdes amendes en cas de non-respect.
En revanche, le Royaume-Uni a adopté une voie très différente. Les ministres ont résisté aux appels à une nouvelle réglementation spécifique à l'IA et, au lieu de cela, le gouvernement a opté pour une stratégie « pro-innovation » qui laisse la surveillance aux régulateurs existants, notamment le Commissaire à l'information, l'Autorité de la concurrence et des marchés et la Financial Conduct Authority, tout en laissant entendre qu'il pourrait légiférer sur l'IA à haut risque en temps voulu. La logique est claire : ils souhaitent éviter de freiner l'innovation et ainsi conserver une certaine flexibilité, l'objectif final étant de permettre au Royaume-Uni d'attirer des investissements dans l'IA sans les lourdeurs administratives de Bruxelles.
Mettre en valeur l'élan
Cette approche a été illustrée sur la scène internationale lors de la visite d'État du président Trump en septembre 2025, lorsque le Premier ministre Keir Starmer a annoncé un accord de prospérité technologique entre les États-Unis et le Royaume-Uni. Ce plan prévoyait d'importants investissements dans l'IA, notamment le projet de NVIDIA de déployer environ 120 000 GPU au Royaume-Uni. Le message était clair : le Royaume-Uni souhaite être perçu comme un pôle mondial de croissance et d'innovation en matière d'IA.
Mais ce choix laisse un vide. Sans règles contraignantes, les entreprises sont contraintes de naviguer dans ce que l'on pourrait appeler une zone grise : que signifie concrètement « IA responsable » au Royaume-Uni ? À quoi les régulateurs peuvent-ils s'attendre en cas de problème ? Et comment les organisations peuvent-elles démontrer à leurs clients, investisseurs et partenaires commerciaux que leurs systèmes d'IA sont fiables ?
Le rôle émergent de la norme ISO 42001
Face à cette incertitude, la norme ISO 42001 intervient. Publiée initialement en décembre 2023, elle définit une norme de système de gestion pour l'IA, conçue pour aider les organisations à établir des structures de gouvernance, de gestion des risques et de responsabilisation. À l'instar de la norme ISO 27001, elle s'est rapidement imposée comme la référence mondiale en matière de sécurité de l'information, offrant des outils pratiques. 'Comment' pour mettre en œuvre la vaste 'que' exigée par les premières lois sur la protection des données, bien avant que les régulateurs ne formalisent de telles approches, il est évident que la norme ISO 42001 pourrait devenir le manuel de référence de facto pour l'IA en Grande-Bretagne.
Le champ d'application de la norme ISO 42001 est vasteLa norme exige des organisations qu'elles évaluent et gèrent les risques liés à l'IA, documentent leurs processus décisionnels, assurent une supervision humaine et intègrent la transparence dans leurs opérations d'IA. Fondamentalement, elle reconnaît que la gouvernance de l'IA ne peut être résolue par une solution technique unique et doit être intégrée à la culture, à la stratégie et au leadership de l'organisation pour être véritablement efficace.
Fondamentalement, la norme ISO 42001 offre quelque chose qui manque actuellement au Royaume-Uni : des exigences claires et vérifiables, ce qui signifie que la certification démontrerait non seulement la conformité à un cadre reconnu, mais offrirait également l’assurance aux parties prenantes que les systèmes d’IA sont déployés avec rigueur.
Un régulateur de facto ?
Les normes interviennent souvent pour combler les lacunes réglementaires. Publiée pour la première fois en 2005, la norme ISO 27001 est rapidement devenue la référence reconnue pour démontrer une sécurité informatique responsable. Alors que les premières lois ne parlaient que de « mesures appropriées », la certification a offert aux assureurs, aux auditeurs et aux régulateurs un indicateur clair de ce que sont les bonnes pratiques. Aujourd'hui, ISO 27001 reste un cadre fondamental, aidant les organisations à prouver leur conformité aux exigences modernes telles que le RGPD et les réglementations NIS.
C'est pourquoi il est évident que la même dynamique pourrait émerger autour de l'IA. Le gouvernement préférant ne pas légiférer explicitement pour le moment, le marché doit chercher des certitudes ailleurs. Les assureurs qui souscrivent des risques liés à l'IA, les équipes d'approvisionnement qui négocient des contrats, les investisseurs qui allouent des capitaux… tous ont en commun la nécessité de distinguer les pratiques d'IA crédibles des pratiques potentiellement dangereuses. La norme ISO 42001 peut servir de référence.
Et même si la certification est volontaire, comme pour tous les cadres de ce type, la pression pour l’adopter pourrait devenir difficile à résister si les principaux acheteurs, tels que les institutions financières ou les assureurs, commençaient à l’exiger.
Préparation à la loi européenne sur l'IA
Il y a également une autre dimension à prendre en compte. Même si Westminster renonce à une législation contraignante, les entreprises britanniques ne sont pas à l'abri de Bruxelles. Toute organisation qui vend ou opère dans l'UE sera probablement soumise au champ d'application de la loi sur l'IA, quel que soit son siège social.
Ici, l'intérêt de la norme ISO 42001 apparaît encore plus évident. Nombre de ses exigences reprennent celles de la loi européenne, notamment la classification des risques, les mesures de transparence, les structures de responsabilité et les mécanismes de surveillance. Cependant, elle ne garantit pas à elle seule le respect des obligations spécifiques aux produits. Pour les entreprises britanniques, adopter la norme dès maintenant ne se limite pas à gérer l'incertitude nationale ; il s'agit de se préparer à l'avenir face aux inévitables exigences de conformité européennes.
Au-delà de la conformité, bâtir la confiance
On entend souvent dire que les normes sont un exercice consistant à cocher des cases, mais cela passe à côté de l'essentiel. La trajectoire de l'IA dépend autant de la confiance du public que de l'innovation technique. Selon Baromètre Edelman Trust 2025, seuls 42 % des répondants mondiaux se sentent actuellement à l'aise avec l'utilisation de l'IA par les entreprises. Ce scepticisme est alimenté par des préoccupations croissantes concernant la cybersécurité, l'éthique et la désinformation, et n'est pas apaisé par des articles de presse évoquant des algorithmes biaisés, des prises de décision opaques et des pratiques d'exploitation des données, ce qui ne fait qu'exacerber ce profond scepticisme.
Pour les entreprises, le risque commercial est évident. Les clients pourraient rejeter les services basés sur l'IA qu'ils ne comprennent pas ou auxquels ils ne font pas confiance. Les investisseurs pourraient considérer l'adoption incontrôlée de l'IA comme un handicap. Les décideurs politiques pourraient intervenir plus vigoureusement si le secteur ne parvient pas à s'autoréguler efficacement.
La norme ISO 42001 offre un moyen d'inverser cette tendance. En intégrant gouvernance, transparence et responsabilité, les entreprises peuvent démontrer que l'IA est développée avec responsabilité plutôt qu'avec imprudence. Et comme le souligne Edelmen lui-même, les organisations qui « privilégient la transparence, l'équité et des cas d'utilisation clairs seront les mieux placées pour instaurer une confiance durable, favoriser une adoption significative et saisir l'avantage concurrentiel ». Faire de la norme ISO 42001 bien plus qu'un exercice de conformité, c'est une stratégie de réputation, un signal au marché que l'IA est gérée avec sérieux et intégrité.
Les régulateurs silencieux
Comme nous l'avons vu, la réglementation ne se résume pas toujours à des lois. Elle s'appuie parfois sur les cadres et les normes appliqués par les marchés, les assureurs et les bonnes pratiques commerciales. Dans le paysage réglementaire britannique actuel, peu rigoureux, la norme ISO 42001 est bien placée pour devenir un tel « régulateur silencieux ».
Nous observons déjà les premiers signes de cette dynamique sur le marché. Rapport sur l'état de la sécurité de l'information 2025La part des organisations exigeant la certification ISO 42001 de leurs fournisseurs est passée de seulement 1 % l'an dernier à 28 % aujourd'hui. C'est un signe frappant de la rapidité avec laquelle une norme volontaire peut devenir une exigence de facto.
La question est de savoir si les entreprises britanniques saisiront cette opportunité. Celles qui agissent tôt façonneront certainement les attentes, renforceront leur résilience et faciliteront leur entrée sur les marchés européens, si elles le souhaitent. Celles qui attendent risquent de se retrouver défavorisées, contraintes de se mettre en conformité plus tard, sous la pression des clients, des partenaires ou des autorités de réglementation, avec peu de temps pour se préparer et potentiellement de coûteux retours en arrière techniques sur leurs produits.
L'IA évolue peut-être plus vite que la législation, mais cela ne signifie pas pour autant que les organisations restent inactives dans un domaine qui domine de plus en plus la croissance des entreprises. La norme ISO 42001 est déjà en vigueur et, en l'absence d'une loi sur l'IA, elle pourrait devenir le référentiel d'évaluation des entreprises britanniques.
