Analyse web gratuite Pour nous joindre

ISO/IEC 42001 : Système de gestion de l'intelligence artificielle

Publiée en décembre 2023, ISO/IEC 42001 définit les exigences d'un système de gestion de l'intelligence artificielle (SGIA). Elle s'adresse aux organisations qui développent, intègrent ou utilisent des systèmes d'IA, y compris les PME qui déploient des outils comme ChatGPT, Claude ou Gemini sans développer leurs propres modèles.

C'est quoi ISO 42001 ?

ISO/IEC 42001 est structurée comme les autres normes de management ISO (27001, 9001, 22301) : elle impose un cycle Planifier–Faire–Vérifier–Agir, une approche fondée sur les risques et une annexe de contrôles (Annexe A) que l'organisation adapte à son contexte.

L'Annexe A contient 38 contrôles regroupés en neuf objectifs (A.2 à A.10), couvrant la gouvernance, les politiques, les ressources, le cycle de vie de l'IA, les données, l'utilisation, les tiers et la surveillance.

Les trois rôles dans la chaîne de valeur de l'IA

La norme distingue le fournisseur d'IA (créateur du modèle), l'intégrateur d'IA (développeur d'applications au-dessus d'un modèle) et l'utilisateur d'IA (organisation qui emploie un outil clé en main).

Les trois rôles sont dans le périmètre de la norme, mais pas avec la même intensité. Une PME qui autorise ses employés à utiliser ChatGPT pour la rédaction est utilisatrice d'IA, et doit mettre en place une gouvernance adaptée à ce profil, sans appliquer tous les contrôles réservés aux développeurs de modèles.

Pourquoi s'y intéresser au Québec ?

Dès qu'un employé utilise un outil d'IA pour traiter des données clients, des renseignements personnels ou des secrets d'affaires, l'organisation entre dans le périmètre d'une gouvernance IA structurée.

ISO 42001 offre un cadre reconnu pour démontrer une utilisation responsable de l'IA : utile dans les appels d'offres, les due diligences fournisseurs et l'alignement avec des cadres complémentaires comme l'ISO 27001 ou l'ISO 27701.

Certification et mise en œuvre

Comme l'ISO 27001, la certification ISO 42001 est délivrée par un organisme de certification accrédité après un audit externe du SGIA.

Pour une PME utilisatrice pure (sans développement ni entraînement de modèle), le programme peut rester réaliste : politique d'usage acceptable, responsable désigné, formation des employés, gestion contractuelle des fournisseurs et revue périodique.

Pour aller plus loin

Demandez une évaluation gratuite ← Toutes les normes couvertes