ISO/IEC 42001:2023 est la première norme internationale au monde relative à un système de management pour l’intelligence artificielle, publiée en décembre 2023 par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Elle fournit un cadre structuré permettant aux organisations d’établir, de mettre en œuvre, de maintenir et d’améliorer en continu un système de management de l’IA (AIMS).
La norme suit la structure commune des systèmes de management ISO (Annex SL/Annex L) et couvre : le contexte organisationnel et les exigences des parties prenantes, l’engagement de la direction et la politique relative à l’IA, la planification des risques et opportunités liés à l’IA, la gestion des ressources y compris les compétences en matière d’IA, la planification et la maîtrise opérationnelles des systèmes d’IA, l’évaluation des performances et la surveillance, ainsi que l’amélioration continue du management de l’IA.
Les principaux domaines traités comprennent la gestion des risques liés à l’IA (identification, évaluation et traitement des risques spécifiques aux systèmes d’IA), la gouvernance et la responsabilité (attribution claire de la responsabilité des décisions liées à l’IA), la transparence (documentation de la finalité du système d’IA, de l’utilisation des données et de la logique décisionnelle), ainsi que les pratiques d’IA responsable tout au long du cycle de vie complet du système.
Processus de certification : Les organisations souhaitant obtenir la certification ISO 42001 suivent un parcours structuré : définir le périmètre du système de management de l’IA (quels systèmes d’IA ou unités opérationnelles sont concernés), réaliser une analyse des écarts par rapport aux exigences de la norme, mettre en place les mesures et la documentation requises, mener un audit interne, puis faire appel à un organisme de certification tiers accrédité pour réaliser un audit externe en deux étapes. La certification est généralement valable trois ans, avec des audits de surveillance annuels.
À qui elle s’adresse : ISO 42001 concerne toute organisation qui développe, déploie ou exploite des systèmes d’IA, y compris les fournisseurs de technologies, les institutions financières, les prestataires de santé, les agences gouvernementales et les sociétés de services professionnels. Elle est particulièrement précieuse pour les organisations des secteurs réglementés, où il est essentiel de démontrer une gouvernance responsable de l’IA auprès des clients, des régulateurs et des auditeurs.
Relation avec ISO 27001 : ISO 42001 est conçue pour compléter ISO 27001 (systèmes de management de la sécurité de l’information), et non pour la remplacer. ISO 27001 traite de manière générale de la confidentialité, de l’intégrité et de la disponibilité des actifs informationnels. ISO 42001 traite des défis spécifiques de gouvernance, de risque et de responsabilité introduits par les systèmes d’IA, tels que les biais des modèles, l’opacité, la dérive des données et les sorties non intentionnelles. Les organisations certifiées ISO 27001 peuvent intégrer ISO 42001 à leur système de management existant, en tirant parti des mesures et de la documentation partagées.
Pertinence pour l’Australie : ISO 42001 s’aligne étroitement sur les exigences émergentes de gouvernance de l’IA en Australie. Le Voluntary AI Safety Standard (2024) du gouvernement australien et le cadre d’IA responsable du Department of Industry partagent l’accent mis par ISO 42001 sur la gestion des risques, la supervision humaine, la transparence et la responsabilité. Les organisations australiennes qui adoptent ISO 42001 sont bien positionnées à mesure qu’une réglementation spécifique à l’IA se développe au niveau national, et la norme fournit un cadre crédible pour démontrer la conformité aux exigences du Privacy Act australien en matière de prise de décision automatisée.
ISO 42001 complète également les exigences du NIST AI RMF et de l’EU AI Act, créant un écosystème de gouvernance international complet pour les organisations opérant dans plusieurs juridictions.