La déclaration d'applicabilité est le document autour duquel votre audit de certification ISO 42001 est planifié. Ce modèle liste les 38 contrôles de l'Annexe A regroupés par domaine d'objectifs, avec des colonnes pour l'applicabilité, la justification, le statut de mise en œuvre, les preuves et le responsable, ainsi que des exemples travaillés et un bloc d'approbation.
La DdA consigne lesquels des 38 contrôles de référence de l'Annexe A d'ISO/IEC 42001:2023 s'appliquent à votre organisation, pourquoi, et comment chacun est mis en œuvre. Trois raisons la rendent centrale pour la certification :
Les auditeurs de certification demandent la DdA très tôt et construisent le plan d'audit à partir d'elle. Ils échantillonnent vos contrôles applicables et testent les preuves derrière chacun : chaque ligne doit tenir.
Chaque contrôle déclaré applicable doit se rattacher à un risque, à une obligation légale ou contractuelle, ou à un objectif métier. Chaque exclusion doit démontrer que le risque ou l'activité sous-jacente n'existe réellement pas.
La DdA est réexaminée et réapprouvée chaque fois que l'évaluation des risques évolue, que des systèmes d'IA sont ajoutés ou retirés, ou qu'un incident révèle une lacune. L'historique des versions et le bloc d'approbation sont intégrés au modèle.
Chaque contrôle de l'Annexe A occupe une ligne : référence, contrôle paraphrasé, applicabilité, justification, statut de mise en œuvre, référence de preuve et responsable désigné. Voici trois exemples annotés tirés du modèle :
Couvre les risques R-014 (dérive du modèle de scoring crédit) et R-021 (dégradation silencieuse du chatbot de support). Les seuils de surveillance et les voies d'escalade sont définis dans la procédure d'exploitation des modèles.
POL-AI-07 v2.1 ; rapports mensuels de performance des modèles ; configuration des alertes dans la plateforme MLOps
Responsable ML Engineering
Aucun modèle n'est entraîné ni affiné en interne ; toute la capacité d'IA est achetée sous forme de services hébergés par des fournisseurs, il n'existe donc aucun pipeline de données d'entraînement. La décision sera réexaminée si un développement interne démarre.
Inventaire des systèmes d'IA INV-2026-Q2 montrant l'absence de développement interne de modèles
Responsable de la gouvernance de l'IA
Couvre le risque R-009 : incapacité à reconstituer les décisions assistées par l'IA lors de réclamations ou d'incidents. Les auditeurs attendent un plan crédible, pas une liste terminée : ce type de ligne partielle est normal.
Journalisation des requêtes et réponses active pour le chatbot client ; déploiement sur les deux copilotes internes prévu au T3 2026
Responsable des opérations de sécurité
Le modèle couvre les neuf domaines d'objectifs de contrôle de l'Annexe A d'ISO/IEC 42001:2023 avec des résumés paraphrasés, plus un tableau de synthèse de la couverture.
Les deux documents se partagent la norme. Utilisez les deux pour couvrir ISO 42001 de bout en bout.
Aona AI découvre chaque outil d'IA utilisé dans votre organisation, surveille les données qui y circulent et maintient à jour l'inventaire d'IA et les pistes d'audit vers lesquels pointe votre déclaration d'applicabilité.