Je continue dans la même logique que mon article sur les contrôles ISO 27001 non applicables aux organisations sans développement logiciel. Aujourd’hui je m’attaque à la version IA.
La norme ISO/IEC 42001:2023, publiée en décembre 2023, encadre les systèmes de gestion de l’intelligence artificielle. Son Annexe A contient 38 contrôles regroupés en 9 objectifs (A.2 à A.10).
Une PME qui utilise uniquement ChatGPT, Claude ou Gemini via leur interface SaaS, sans développer ses propres modèles, n’a pas à appliquer la moitié de ces contrôles.
C’est un détail important pour les organisations qui regardent la norme sans contexte et concluent à tort qu’elle est hors d’atteinte pour une petite structure.
Le principe : utilisateur ou fournisseur?
ISO 42001 distingue plusieurs rôles dans la chaîne de valeur de l’IA :
- Le fournisseur d’IA, soit le créateur du modèle (OpenAI, Anthropic, Google).
- L’intégrateur d’IA, soit celui qui développe une application au-dessus d’un modèle.
- L’utilisateur d’IA, soit celui qui se sert d’un outil clé en main.
Une PME qui dit à ses employés « utilisez ChatGPT pour rédiger vos courriels » est strictement utilisatrice. Pas fournisseur. Pas intégrateur.
La norme s’applique aux trois rôles, mais pas avec la même intensité. Ce qui suit est pour le profil utilisateur pur, sans développement ni entraînement de modèle.
A.6 : cycle de vie de l’IA, largement non applicable
L’objectif A.6 traite du cycle de vie complet d’un système d’IA, du design jusqu’à la mise hors service. Il se divise en deux sous-sections.
A.6.1 Orientation de gestion pour le développement de l’IA :
- A.6.1.2 Objectifs pour le développement responsable du système d’IA.
- A.6.1.3 Processus de conception et de développement responsables.
A.6.2 Cycle de vie du système d’IA :
- A.6.2.2 Exigences et spécifications du système d’IA.
- A.6.2.3 Documentation de la conception et du développement du système d’IA.
- A.6.2.4 Vérification et validation du système d’IA.
- A.6.2.5 Déploiement du système d’IA.
- A.6.2.6 Opération et surveillance du système d’IA.
- A.6.2.7 Documentation technique du système d’IA.
Si vous n’écrivez aucune ligne de code d’IA et que vous n’entraînez aucun modèle, AUCUN de ces contrôles ne vous concerne directement. C’est OpenAI, Anthropic ou Google qui les applique pour vous.
Ce que vous devez exiger, en revanche, c’est la preuve que votre fournisseur les applique. Ça relève de A.10 (relations avec les tiers), pas de A.6.
A.6.2.8 sur la journalisation des événements demeure partiellement applicable. Vous devez consigner l’usage que vos employés font de l’outil, au minimum les accès et les types d’usage sensibles.
A.7 : données pour l’IA, largement non applicable
L’objectif A.7 porte sur les données utilisées dans le développement et l’opération des systèmes d’IA. Cinq contrôles :
- A.7.2 Données pour le développement et l’amélioration du système d’IA.
- A.7.3 Acquisition des données.
- A.7.4 Qualité des données pour les systèmes d’IA.
- A.7.5 Provenance des données.
- A.7.6 Préparation des données.
Vous ne fournissez pas de données d’entraînement à votre fournisseur. Vous fournissez des questions, des prompts, parfois des fichiers ponctuels. Ces contrôles, dans leur intention première, ne s’appliquent pas à vous.
Attention, par contre. Si vous utilisez la fonction « projets » de ChatGPT ou Claude pour téléverser des documents internes, vous entrez dans une zone grise. La provenance et la qualité des données que VOUS fournissez deviennent pertinentes, surtout sous la Loi 25 du Québec. À ce moment-là, A.7.4 et A.7.5 redeviennent applicables en version utilisateur.
Ce qui demeure pleinement applicable
Pour une PME utilisatrice pure de ChatGPT, ces contrôles restent au cœur du programme et ne peuvent PAS être retirés de la déclaration d’applicabilité :
| Contrôle | Sujet | Pourquoi |
|---|---|---|
| A.2 | Politiques liées à l’IA | Vous devez avoir une politique d’usage acceptable. |
| A.3 | Organisation interne | Qui est responsable des décisions IA dans l’organisation. |
| A.4 | Ressources | Formation et compétences des employés qui utilisent l’IA. |
| A.5 | Évaluation d’impact | Quels impacts votre usage de l’IA a-t-il sur clients, employés, société. |
| A.8 | Information aux parties prenantes | Avez-vous dit à vos clients que leurs courriels passent par ChatGPT? |
| A.9 | Utilisation des systèmes d’IA | Le cœur du profil utilisateur : limites, supervision, garde-fous. |
| A.10 | Relations avec les tiers | Le contrat avec votre fournisseur, les responsabilités partagées. |
A.10 mérite un mot. C’est lui qui remplace les contrôles que vous venez de retirer. Vous ne validez pas le modèle vous-même? D’accord. Vous devez exiger contractuellement que votre fournisseur le fasse, et obtenir un mécanisme pour vérifier qu’il le fait réellement. Rapports SOC 2, ISO 42001 du fournisseur, attestations de conformité, journaux d’audit.
Vous ne pouvez pas externaliser la responsabilité. Vous pouvez externaliser l’exécution.
Combien de contrôles vous reste-t-il?
Sur les 38 contrôles totaux de l’Annexe A :
- Environ 12 contrôles techniques sous A.6 et A.7 ne s’appliquent pas, ou seulement de façon résiduelle (les 8 contrôles de A.6.1 et A.6.2 liés au développement, plus 4 des 5 contrôles de A.7 sur les données).
- Les 26 autres demeurent applicables, à intensité variable selon votre usage réel.
Pour une PME qui utilise l’IA pour la rédaction interne, la productivité administrative, un peu de support à la clientèle, on parle d’un programme de gouvernance IA tout à fait réaliste à mettre en place. Pas trivial. Mais réaliste.
Deux pièges à éviter
Piège 1. Ne vous laissez pas convaincre par un consultant qui veut absolument vous facturer l’application des 38 contrôles. Si vous n’avez aucun développement, A.6 et A.7 sont en grande partie hors portée. Documentez la justification dans votre déclaration d’applicabilité et passez à la suite.
Piège 2. Ne croyez pas que « ne pas faire d’IA » vous exempte de la norme. Dès qu’un employé pose une question à ChatGPT pour rédiger un courriel à un client, vous êtes dans le périmètre. Vous êtes utilisateur d’IA. Et utilisateur d’IA, ça vient avec ses responsabilités.
À faire cette semaine
Si vous êtes dans cette situation :
- Rédigez une politique d’usage acceptable de l’IA, même brève.
- Identifiez le responsable interne
- Lisez les conditions d’utilisation de votre fournisseur (OpenAI, Anthropic, Google) avec une attention particulière au traitement des données.
- Documentez quels employés utilisent l’IA et pour quels usages.
- Formez vos gens sur ce qu’ils peuvent y mettre, mais surtout sur ce qu’ils ne doivent PAS y mettre.
Ça représente environ 80% du travail utile. Le reste est de la documentation et de la revue périodique.
Sources
- ISO/IEC 42001:2023, Information technology — Artificial intelligence — Management system, Annexe A, Tableau A.1 (texte officiel de la norme).
- Microsoft — Overview of ISO/IEC 42001 (UNIDO, 2025)
