La première norme internationale de système de management pour l'IA, offrant un cadre pour établir, mettre en œuvre et améliorer la gouvernance de l'IA.
ISO/IEC 42001:2023 est la première norme internationale au monde spécifiant les exigences relatives à l'établissement, à la mise en œuvre, à la maintenance et à l'amélioration continue d'un système de management de l'intelligence artificielle (AIMS) au sein des organisations. Publiée le 18 décembre 2023 par l'Organisation internationale de normalisation et la Commission électrotechnique internationale, elle fournit un cadre structuré pour gérer les risques et les opportunités liés à l'IA.
La norme suit la structure harmonisée (HS) commune à toutes les normes de système de management ISO (comme ISO 27001, ISO 9001), ce qui la rend familière aux organisations déjà certifiées selon d'autres normes ISO et permet une intégration aisée dans les systèmes de management existants.
ISO 42001 est conçue pour s'appliquer à toute organisation qui fournit ou utilise des produits ou services fondés sur l'IA, quels que soient sa taille, son type ou son secteur d'activité. Elle aborde les défis propres aux systèmes d'IA, notamment les considérations éthiques, la transparence, la responsabilité et la nature dynamique de la technologie d'IA.
La norme exige des organisations qu'elles prennent en compte le contexte propre à l'IA de leurs activités, y compris l'impact sociétal des systèmes d'IA, les exigences réglementaires et les attentes des parties prenantes. Elle impose une approche systématique de la gestion des risques liés à l'IA qui va au-delà des cadres traditionnels de gestion des risques informatiques pour englober l'équité, la transparence, l'explicabilité et la supervision humaine.
Les principaux éléments structurels comprennent l'engagement de la direction en faveur d'une IA responsable, une politique d'IA, des processus d'appréciation et de traitement des risques liés à l'IA, des objectifs et une planification pour le management de l'IA, des exigences de support (ressources, compétence, sensibilisation, communication), une planification et une maîtrise opérationnelles, une évaluation des performances et une amélioration continue.
ISO 42001 est particulièrement précieuse en tant qu'outil de conformité car elle fournit un cadre certifiable permettant de démontrer une diligence raisonnable dans le cadre de multiples régimes réglementaires. Les organisations cherchant à se conformer à l'EU AI Act, par exemple, peuvent utiliser la certification ISO 42001 comme preuve d'un cadre solide de gouvernance de l'IA, bien que la certification à elle seule ne garantisse pas la conformité réglementaire.
La norme aborde également le cycle de vie du système d'IA, depuis la conception et la conception jusqu'au développement, aux tests, au déploiement, à l'exploitation et au retrait. Cette approche par cycle de vie garantit que la gouvernance de l'IA n'est pas une réflexion après coup mais qu'elle est intégrée à chaque étape du développement et de l'utilisation du système d'IA.
Les annexes de la norme fournissent des orientations détaillées sur les mesures de maîtrise propres à l'IA, notamment les mesures relatives à la gestion des données, à l'évaluation de l'impact des systèmes d'IA, aux processus de développement des systèmes d'IA, aux relations avec les tiers et les clients, et à la surveillance de l'exploitation des systèmes. Ces mesures de maîtrise peuvent être sélectionnées et adaptées en fonction de l'appréciation des risques liés à l'IA propre à l'organisation.
Établir un système de management de l'IA avec un périmètre et des limites définis
Élaborer une politique d'IA approuvée par la direction générale
Réaliser des appréciations des risques liés à l'IA couvrant la sécurité, l'équité, la transparence et la responsabilité
Mettre en œuvre des plans de traitement des risques liés à l'IA avec des mesures de maîtrise appropriées issues de l'annexe A
Définir les rôles, les responsabilités et les autorités pour la gouvernance de l'IA
Assurer la compétence et la sensibilisation du personnel impliqué dans les systèmes d'IA
Tenir à jour les informations documentées de l'AIMS
Planifier et maîtriser les processus du cycle de vie du système d'IA
Réaliser des évaluations de l'impact des systèmes d'IA
Surveiller, mesurer, analyser et évaluer la performance de l'AIMS
Réaliser des audits internes de l'AIMS
Procéder à des revues de direction
Traiter les non-conformités et favoriser l'amélioration continue
Gérer les fournisseurs d'IA tiers et les risques de la chaîne d'approvisionnement de l'IA
Non, la certification ISO 42001 est volontaire. Elle fournit toutefois un cadre structuré de gouvernance de l'IA qui peut aider à démontrer la conformité aux réglementations émergentes sur l'IA comme l'EU AI Act. Certains processus d'achat et secteurs d'activité pourraient de plus en plus exiger ou privilégier la certification ISO 42001.
ISO 42001 fournit un cadre de système de management susceptible de soutenir la conformité à l'EU AI Act. Tandis que l'EU AI Act fixe des exigences légales, ISO 42001 offre une approche systématique pour satisfaire à bon nombre de ces exigences. La Commission européenne peut reconnaître certaines normes comme conférant une présomption de conformité.
Oui. ISO 42001 suit la structure harmonisée ISO, ce qui la rend directement intégrable à ISO 27001 (sécurité de l'information), ISO 9001 (qualité), ISO 14001 (environnement) et à d'autres normes de système de management.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.