ISO/IEC 42001 : guide de mise en œuvre du système de management de l'IA

Qu'est-ce qu'ISO/IEC 42001

ISO/IEC 42001:2023 est la première norme internationale dédiée aux systèmes de management de l'intelligence artificielle (SMIA). Publiée conjointement par l'ISO et la CEI en décembre 2023, elle fixe les exigences pour mettre en place, maintenir et améliorer en continu la gouvernance de l'IA, quels que soient la taille et le secteur de l'organisation.

Contrairement à une loi, la norme n'impose pas d'obligations juridiques : elle fournit un cadre structuré et certifiable pour démontrer qu'une organisation développe et utilise l'IA de manière responsable.

Comment elle est structurée

Elle suit la structure de haut niveau (Annexe SL) commune à ISO/IEC 27001 et ISO 9001, ce qui facilite son intégration aux systèmes de management existants. Les chapitres 4 à 10 couvrent le contexte de l'organisation, le leadership, la planification, le support, les activités opérationnelles, l'évaluation des performances et l'amélioration.

L'Annexe A énumère les mesures de référence (politiques, organisation interne, ressources, évaluation d'impact, cycle de vie du système d'IA, données, information des parties intéressées et relations avec les tiers) ; l'Annexe B fournit des recommandations de mise en œuvre, et les Annexes C et D traitent des objectifs, des sources de risque et de l'application sectorielle.

Comment la mettre en œuvre, étape par étape

Une mise en œuvre type suit ces étapes : (1) définir le périmètre et le contexte du SMIA ; (2) obtenir l'engagement de la direction et approuver une politique d'IA ; (3) réaliser une évaluation des risques et une évaluation d'impact des systèmes d'IA ; (4) sélectionner et appliquer les mesures pertinentes de l'Annexe A ; (5) documenter les processus et exploiter le système ; (6) mener des audits internes ; (7) réaliser la revue de direction ; et (8), de façon facultative, obtenir la certification d'un organisme accrédité.

Articulation avec la Loi IA de l'UE et le NIST

ISO/IEC 42001 est le « comment » : elle fournit le système de management qui permet de satisfaire de façon ordonnée aux obligations du « quoi ». La Loi IA de l'UE définit des obligations légales pour les systèmes à haut risque, tandis que le cadre de gestion des risques liés à l'IA du NIST est une référence volontaire. Les trois sont complémentaires : un SMIA conforme à la norme 42001 facilite la démonstration de la diligence exigée par la réglementation.

Par où commencer

Commencez par un inventaire des systèmes d'IA utilisés, une analyse des écarts par rapport aux mesures de l'Annexe A et l'approbation d'une politique d'IA. Ces trois éléments posent les fondations du système et sont utiles même sans viser la certification.

Sources

ISO/IEC 42001:2023 (ISO) · Règlement (UE) 2024/1689 — Loi IA · NIST AI Risk Management Framework. Informations générales, et non un conseil juridique ; vérifiez toujours auprès des sources officielles.