Qu'est-ce qu'EuroAIGuard ?

EuroAIGuard est une plateforme SaaS française opérationnelle de gouvernance et conformité IA pour Chief AI Officers, DPO et RSSI. Elle couvre 10 familles normatives (EU AI Act, RGPD, NIS2, CRA, DORA, ISO 42001, ISO 27001, ISO 27701, ISO 5338, ISO 23894, ISO 42005) avec 349 liens cross-norme dans une source unique de vérité. Elle propose 27 modules de formation, 17 types de documents horodatés SHA-256 et un score de conformité 0-100. EuroAIGuard est un outil opérationnel, pas un prestataire juridique. Hébergé en France sur OVH.

EuroAIGuard couvre-t-il l'EU AI Act ?

Oui. EuroAIGuard couvre 22 cibles distinctes EU AI Act (16 articles principaux + GPAI · 63 liens en mapping cross-norme) · inventaire des systèmes IA avec wizard 8 étapes, classification automatique Annexe III, AI-BOM, FRIA Article 27, registre Article 49 PDF et Excel, déclaration Article 47, notice de transparence Article 52, calcul délai Article 73 dynamique (5 catégories Art.3(49) + widespread + régime équivalent NIS2/MDR), suivi des formations Article 4 et enregistrement EUDB Article 71.

EuroAIGuard couvre-t-il le RGPD pour les systèmes IA ?

Oui. EuroAIGuard couvre le RGPD appliqué à l'IA · wizard AIPD Art.35 sur la trame officielle CNIL, circuit de validation ICO vers DPO vers Direction, registre Art.30, notice Art.13, gestion des incidents avec suivi du délai 72h de notification CNIL.

EuroAIGuard couvre-t-il NIS2 et DORA ?

Oui. Pour NIS2 · dashboard avec score de conformité, suivi des 10 mesures Art.21, qualification automatique entité essentielle ou importante. Pour DORA · 4 piliers de résilience opérationnelle numérique, registre ICT PDF et Excel, rapport d'incident DORA, alerte automatique pour les secteurs financiers concernés.

Quels sont les prix d'EuroAIGuard ?

EuroAIGuard propose quatre plans. Découverte gratuit sans carte bancaire pour 2 systèmes IA et 3 utilisateurs. Business à 249 euros par mois HT pour 5 systèmes IA et 5 utilisateurs. Scale à 599 euros par mois HT pour 20 systèmes IA et 15 utilisateurs. Enterprise sur devis pour un usage illimité. Beta EuroAIGuard gratuite jusqu'au 31 mai 2026 avec accès Scale complet.

EuroAIGuard est-il hébergé en France ?

Oui. EuroAIGuard est hébergé en France sur OVH SAS, certifié ISO 27001, avec des datacentres situés en France. Les données restent dans l'Union Européenne. Pas de transfert hors UE.

EuroAIGuard couvre-t-il ISO 42001 ?

Oui. EuroAIGuard couvre ISO 42001:2023 AFNOR avec 47 contrôles (38 AFNOR officiels + 9 extensions EuroAIGuard), scoring pondéré 80% officiel / 20% extensions, upload de preuves par contrôle, dashboard AIMS avec score global, génération PDF Politique IA §5.2, et mapping cross-norme natif vers 22 cibles distinctes EU AI Act (63 liens) et 36 liens RGPD. EuroAIGuard est un outil d'aide à la préparation de la certification ISO 42001. La certification est délivrée par l'organisme accrédité (AFNOR Certification, Bureau Veritas, LRQA).

La CNIL va-t-elle devenir autorité de surveillance EU AI Act ?

Oui. Dans son programme de travail 2026 publié le 7 avril 2026, la CNIL indique se préparer à être désignée autorité de surveillance de marché au titre du règlement européen sur l'intelligence artificielle. Concrètement · les contrôles RGPD et EU AI Act seront croisés. EuroAIGuard permet de préparer un dossier unique cohérent RGPD et EU AI Act pour anticiper ces contrôles.

ISO 42001 et EU AI Act · 22 cibles cartographiées par 63 liens · les 5 angles morts qu'AFNOR ne couvre pas

L'article introductif ISO 42001 du 19 avril sur ce blog explique ce que c'est, pour qui, pourquoi c'est la norme IA la plus importante. La question qui revient ensuite, dans toutes les démos EuroAIGuard · si une organisation est certifiée ISO 42001, est-elle conforme à l'EU AI Act ?

Non.

Pas un peu non. Pas non avec des nuances. Non.

Une certification ISO 42001 rapproche de la conformité EU AI Act. Elle ne la démontre pas. C'est une nuance qui change tout sur le plan opérationnel, et qui coûte cher quand on l'ignore. Vingt-deux cibles distinctes du règlement européen (16 articles principaux + GPAI), sur la trentaine d'obligations applicables aux systèmes haut risque, sont couvertes via 63 liens cross-norme depuis les 38 contrôles AFNOR officiels d'ISO 42001. Mais 5 sujets critiques restent silencieux côté norme · explicabilité (XAI), tests adversariaux, équité algorithmique, mécanismes de recours individuel Art. 86, transparence opérationnelle vers l'utilisateur final.

C'est précisément ce que cet article décortique.

Pourquoi le mapping existe et pourquoi il s'arrête

Plusieurs auditeurs accrédités et cabinets spécialisés ont publié des tables de correspondance entre ISO 42001 et l'EU AI Act au cours des 18 derniers mois. Les sources les plus rigoureuses · Glocert International (Lead Auditor accrédité ANAB/UKAS), GLACIS, Cloud Security Alliance avec son AI Controls Matrix v1.0, ISACA, Schellman.

~60 %des exigences AI Act haut risque couvertes par ISO 42001

Couvre, pas démontre. Et 60 %, pas 100 %.

Pourquoi cette limite ? Parce qu'ISO 42001 a été pensée pour être agnostique réglementairement. La norme parle de gouvernance, de gestion des risques, de cycle de vie, à un niveau d'abstraction qui permet de l'appliquer dans n'importe quelle juridiction. C'est sa force. C'est aussi sa limite face à un règlement qui demande explicitement, par exemple, que vos systèmes haut risque soient suffisamment transparents pour permettre aux déployeurs d'interpréter leurs sorties (article 13.1 EU AI Act).

ISO 42001 vous demande de documenter votre processus d'évaluation d'impact. L'AI Act vous demande de fournir les méthodes XAI utilisées et leurs résultats. Ce n'est pas le même niveau d'exigence.

Une parenthèse sur le calendrier · ce qu'il faut savoir en avril 2026

Avant d'aller plus loin, un point à clarifier · beaucoup d'interlocuteurs en démo EuroAIGuard ne l'ont pas encore réalisé. Le calendrier de l'AI Act a été modifié.

Le 19 novembre 2025, dans le cadre du Digital Omnibus, la Commission européenne a proposé d'aligner l'application des règles haut risque sur la disponibilité réelle des standards harmonisés et des guidelines de la Commission. L'échéance du 2 août 2026 pour les systèmes Annexe III pourrait être repoussée jusqu'au 2 décembre 2027 au plus tard, et celle du 2 août 2027 pour les systèmes Annexe I jusqu'au 2 août 2028. La proposition est en cours d'examen au Conseil et au Parlement.

L'article du 27 mars sur ce blog avait déjà commenté ce report. La position EuroAIGuard n'a pas changé · ce report est une bonne nouvelle pour les organisations sérieuses, et un piège pour celles qui en profiteront pour ne rien faire. Le décalage de l'échéance ne change pas la nature des obligations. Il donne plus de temps pour se préparer correctement, pas pour repousser la conformité.

Et entre-temps, l'autorité de surveillance française est désignée. La CNIL a été désignée par amendement à la loi Informatique et Libertés en février 2026. Elle dispose de pouvoirs régaliens pour superviser l'application de l'AI Act sur les périmètres dont elle hérite (biométrie, RH, scoring crédit, justice, éducation), aux côtés d'autres autorités sectorielles comme la DGCCRF, l'Arcom, l'ACPR. Cette montée en charge se fait progressivement.

Maintenant on peut entrer dans le mapping.

Le mapping · 22 cibles distinctes couvertes par 63 liens cross-norme

Voici la lecture article par article · le niveau de couverture (forte, moyenne, partielle) reflète ce que la norme AFNOR adresse réellement via les 38 contrôles officiels. Les libellés détaillés AFNOR ne sont pas reproduits ici (licence).

Pivot d'honnêteté éditoriale EuroAIGuard · sur chaque carte de mapping cross-norme dans la plateforme, 4 statuts distincts s'affichent · couvert (norme officielle), partiel, gap, ou EAG-only (couvert uniquement par les 9 extensions EuroAIGuard, plage A.X.90 à A.X.99). Aucun enrobage. Le client voit immédiatement où la norme s'arrête.

Art. 4Forte

AI Literacy

Compétences des équipes. Couvert par les contrôles formation, sensibilisation et compétences AFNOR. En vigueur depuis le 2 février 2025, enforcement à partir du 2 août 2026.

Art. 5Forte

Pratiques interdites

Couvert via la politique IA et l'utilisation responsable.

Art. 6 / Annexe IIIMoyenne

Classification haut risque

ISO 42001 demande une démarche de classification, pas la grille Annexe III précise. EuroAIGuard fournit le wizard 8 étapes qui mappe automatiquement.

Art. 9Forte

Système de gestion des risques

Cœur des obligations haut risque. Couvert via évaluation d'impact, identification et traitement des risques.

Art. 10Partielle

Gouvernance des données

Couvert via les ressources de données. Forte sur la gestion, plus faible sur la mesure des biais (voir Art. 10.5 en gap).

Art. 11Forte

Documentation technique

Couvert via la documentation système, le cycle de vie et l'export Annexe IV.

Art. 12Moyenne

Tenue de registres et logs

La granularité demandée par l'AI Act dépasse ce que la norme exige.

Art. 13Partielle

Transparence vers le déployeur

La norme aborde l'information du déployeur, pas la transparence vers la personne physique soumise au système (gap couvert par extension EuroAIGuard A.10.90).

Art. 14Partielle

Supervision humaine

Rôles et responsabilités définis, mais pas les modalités opérationnelles de supervision en temps réel.

Art. 15Partielle

Robustesse, exactitude, cybersécurité

Évaluation d'impact et sécurité de l'information couvertes. Pas les tests adversariaux ni la résilience face aux attaques de modèle (gap couvert par A.8.90 et A.8.91).

Art. 16Moyenne

Obligations fournisseurs IA haut risque

Cycle de vie et qualité couverts. Marquage CE et déclaration UE Art. 47 restent responsabilité fabricant, hors scope outil.

Art. 26Moyenne

Obligations du déployeur

Couvert via responsabilité, cycle de vie et utilisation responsable.

Art. 27Forte

FRIA · Évaluation droits fondamentaux

Couvert via évaluation d'impact système IA (A.5.2). Couteau suisse · 1 saisie = 9 cases cochées sur normes connexes (RGPD Art.35, NIS2.1, CRA.2, DORA.6, ISO 27001 5.31/5.34).

Art. 47Moyenne

Déclaration UE de conformité

Documentation système et certification couvertes. La signature de la déclaration reste responsabilité fabricant.

Art. 49Partielle

Enregistrement EUDB

Couvert partiellement via documentation. La démarche d'enregistrement reste à la charge de l'organisation.

Art. 51-55Partielle

GPAI · 4 cibles (transparence, doc, watermarking, risques systémiques)

Utilisation responsable mentionnée. EuroAIGuard structure 7 fournisseurs GPAI référencés et le seuil 10²⁵ FLOPS.

Art. 72Partielle

Surveillance post-marché

Couvert partiellement via les contrôles d'évaluation continue (A.6.2.6).

Art. 73Moyenne

Notification incident grave

Workflow couvert (calcul délai dynamique 5 catégories Art.3(49) + widespread + régime équivalent NIS2/MDR). L'envoi à l'autorité reste à charge organisation.

Donc 18 cibles AI Act ont une correspondance directe ou partielle dans les 38 contrôles AFNOR. C'est beaucoup. C'est insuffisant. 4 cibles supplémentaires sont couvertes uniquement par les 9 extensions EuroAIGuard (statut EAG-only · voir ci-dessous).

Les 4 cibles EAG-only · ce qu'AFNOR ne couvre pas

Ces 4 cibles AI Act sont silencieuses côté norme AFNOR. Les extensions EuroAIGuard les couvrent et l'affichage UI distingue toujours · pas de confusion possible avec le périmètre certifiable AFNOR.

Art. 86EAG-only

Droit au recours individuel

Aucun contrôle AFNOR officiel. Couvert par extension EuroAIGuard A.10.93.

Art. 95EAG-only

Code de conduite éthique IA

Aucun contrôle AFNOR officiel. Couvert par extension EuroAIGuard A.10.95.

Art. 13.1EAG-only

Explicabilité (XAI) opérationnelle

AFNOR reste à un niveau de gouvernance. Méthodes XAI (SHAP, LIME, counterfactuals) couvertes par A.10.91.

Art. 10.5EAG-only

Métriques de fairness

Disparate impact, demographic parity, equal opportunity · couverts par A.10.92.

Total · 18 cibles couvertes par AFNOR + 4 cibles EAG-only = 22 cibles distinctes EU AI Act mappées via 63 liens cross-norme. Soit la couverture la plus large du marché européen pour la conformité ISO 42001 ↔ EU AI Act.

Les 5 angles morts · ce qu'aucune certification ISO ne couvrira

Explicabilité algorithmique (XAI)

EU AI Act · Art. 13.1

Aucun contrôle ISO 42001 ne demande l'implémentation ou la documentation de méthodes XAI · SHAP, LIME, attention maps, counterfactual explanations. La norme reste à un niveau de gouvernance, pas d'implémentation technique.

Équité et non-discrimination algorithmique

EU AI Act · Art. 10.5

ISO 42001 traite la qualité et la représentativité des données. Pas les métriques de fairness · disparate impact, equal opportunity, demographic parity, calibration parity. Pour démontrer l'absence de biais à un auditeur AI Act, il faut des mesures.

Mécanismes de recours individuel

EU AI Act · Art. 86

Droit de contester une décision automatisée et d'obtenir une explication claire. ISO 42001 ne traite pas le workflow opérationnel · canal de réclamation, délais de réponse, escalade humaine, documentation des suites données.

Tests adversariaux et robustesse face aux attaques

EU AI Act · Art. 15

Cybersécurité et robustesse face aux attaques. ISO 42001 traite la communication des incidents et la sécurité de l'information. Pas la prévention par tests adversariaux · adversarial examples, prompt injection (LLM), evasion attacks, model extraction.

Transparence opérationnelle vers l'utilisateur final

EU AI Act · Art. 13

L'AI Act distingue la transparence vers le déployeur (couverte) de la transparence vers la personne soumise au système (peu couverte). Logs détaillés des décisions individuelles, audit trail granulaire exportable, accessibilité contrôlée pour audit externe.

Les conséquences pratiques pour votre conformité

Si vous préparez une certification ISO 42001 en pensant qu'elle vous mettra automatiquement en conformité AI Act, deux choses vont vous gêner.

Le calendrier

La certification ISO 42001 prend 12 à 18 mois entre l'engagement initial et l'audit. Si vous démarrez maintenant, vous serez certifié au mieux en avril 2027. Avec les nouvelles dates AI Act issues du Digital Omnibus, ça peut suffire ou pas, selon la classification de vos systèmes et la décision finale du Parlement et du Conseil.

Le périmètre

Vous serez certifié à 100 % d'ISO 42001 et conforme à 60 % de l'AI Act. Les 40 % restants représentent les sujets sur lesquels les autorités vont concentrer leurs contrôles · explicabilité, biais, recours, tests de robustesse. La CNIL a publiquement annoncé que ces sujets feraient partie de ses priorités d'audit dans les 18 prochains mois.

La bonne stratégie n'est pas de choisir entre les deux. C'est de structurer un AIMS sur les 38 contrôles ISO 42001, et d'y ajouter des contrôles natifs sur les 5 angles morts. Traçables. Documentés. Indépendamment de la certification.

Ce que nous avons fait chez EuroAIGuard

EuroAIGuard est hébergé en France chez OVH. C'est un outil opérationnel, pas un prestataire juridique. La certification ISO 42001 reste délivrée par les organismes accrédités · AFNOR Certification, Bureau Veritas, LRQA. Le rôle d'EuroAIGuard est de structurer le dossier, pas de le valider.

La plateforme est structurée autour des 38 contrôles officiels AFNOR. EuroAIGuard y a ajouté 9 extensions natives, numérotées en plage A.X.90 à A.X.99 pour les distinguer sans ambiguïté des contrôles AFNOR. Ces 9 extensions couvrent précisément les 5 angles morts identifiés ci-dessus.

Couverture cross-norme totale en chiffres S55 audités

· 47 contrôles ISO 42001 (38 AFNOR + 9 extensions EAG)
· 349 liens cross-norme dans 10 familles normatives
· 63 liens vers EU AI Act · 22 cibles distinctes (16 articles + GPAI)
· 95 liens vers ISO 27001 · 100% des 47 contrôles ISO 42001 cartographiés
· 36 liens vers RGPD · dont 7 cibles EAG-only Art.12-22 (droits des personnes)
· Multiplier moyen · 3.2 normes par contrôle (max 9 sur A.5.2 et A.8.4)

A.7.90RGPD-compatible

Conservation et suppression des données IA

A.8.90Art. 15

Tests adversariaux IA

A.8.91drift · OOD · graceful degradation

Robustesse et résilience IA

A.10.90Art. 13

Transparence opérationnelle IA

A.10.91Art. 13.1

Explicabilité (XAI)

A.10.92Art. 10.2-3, 10.5

Équité et non-discrimination IA

A.10.93Art. 86

Mécanisme de recours IA

A.10.94Art. 13.3.b

Limites du système IA

A.10.95Art. 95

Utilisation éthique IA

Pour un client préparant sa certification ISO 42001 stricte, l'app permet de filtrer les 38 contrôles AFNOR uniquement, sans confusion possible avec les extensions. Pour un client préparant sa conformité AI Act haut risque, l'app affiche les 47 contrôles et calcule le mapping vers les articles du règlement.

Conclusion

ISO 42001 AFNOR pure est un excellent socle. Pas une fin en soi pour la conformité AI Act. Le mapping AFNOR permet de gagner 60 % de couverture sur 18 cibles, ce qui est considérable. Les 4 cibles EAG-only restantes (recours Art.86, éthique Art.95, XAI Art.13.1, fairness Art.10.5) sont précisément les sujets où les contrôles AI Act vont se concentrer.

Pour structurer une conformité IA cette année, regarder les deux textes ensemble. Pas séparément. Et garder en tête que ces 5 angles morts ne se comblent pas avec un audit interne. Ce sont des contrôles techniques (XAI, fairness, tests adversariaux) qui demandent des mesures et des outils. C'est exactement ce que les 9 extensions EuroAIGuard apportent.

Sources officielles

• Règlement (UE) 2024/1689 sur l'intelligence artificielle · eur-lex.europa.eu/eli/reg/2024/1689/oj
• Digital Omnibus on AI · proposition Commission européenne du 19 novembre 2025
• ISO/IEC 42001:2023 · iso.org/standard/81230.html
• Tables de correspondance ISO 42001 ↔ EU AI Act · Glocert International · GLACIS · CSA AICM v1.0 · ISACA · Schellman
• CNIL · cnil.fr/fr/intelligence-artificielle (autorité de surveillance AI Act en France depuis février 2026)
• Direction générale des Entreprises · entreprises.gouv.fr · schéma de gouvernance AI Act France

Les libellés détaillés des 38 contrôles AFNOR ne sont pas reproduits ici · ils sont disponibles dans la norme officielle ISO/IEC 42001:2024 (AFNOR). Les niveaux de couverture indiqués reflètent une lecture opérationnelle · la position de votre organisme certificateur peut varier. EuroAIGuard est un outil opérationnel, pas prestataire juridique. Hébergé en France sur OVH.

EAG

EuroAIGuard team

team@euroaiguard.com