30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Modèle gratuit · ISO 42001

Modèle de déclaration d'applicabilité ISO 42001Documentez chaque décision sur les contrôles de l'Annexe A

La déclaration d'applicabilité est le document autour duquel votre audit de certification ISO 42001 est planifié. Ce modèle liste les 38 contrôles de l'Annexe A regroupés par domaine d'objectifs, avec des colonnes pour l'applicabilité, la justification, le statut de mise en œuvre, les preuves et le responsable, ainsi que des exemples travaillés et un bloc d'approbation.

Qu'est-ce qu'une déclaration d'applicabilité ?

La DdA consigne lesquels des 38 contrôles de référence de l'Annexe A d'ISO/IEC 42001:2023 s'appliquent à votre organisation, pourquoi, et comment chacun est mis en œuvre. Trois raisons la rendent centrale pour la certification :

L'audit commence ici

Les auditeurs de certification demandent la DdA très tôt et construisent le plan d'audit à partir d'elle. Ils échantillonnent vos contrôles applicables et testent les preuves derrière chacun : chaque ligne doit tenir.

Traçable jusqu'à votre évaluation des risques

Chaque contrôle déclaré applicable doit se rattacher à un risque, à une obligation légale ou contractuelle, ou à un objectif métier. Chaque exclusion doit démontrer que le risque ou l'activité sous-jacente n'existe réellement pas.

Un document vivant

La DdA est réexaminée et réapprouvée chaque fois que l'évaluation des risques évolue, que des systèmes d'IA sont ajoutés ou retirés, ou qu'un incident révèle une lacune. L'historique des versions et le bloc d'approbation sont intégrés au modèle.

Comment fonctionne le tableau de la DdA

Chaque contrôle de l'Annexe A occupe une ligne : référence, contrôle paraphrasé, applicabilité, justification, statut de mise en œuvre, référence de preuve et responsable désigné. Voici trois exemples annotés tirés du modèle :

A.6.2.6Exploitation et surveillance continues des systèmes d'IA déployés
ApplicableMis en œuvre
Justification

Couvre les risques R-014 (dérive du modèle de scoring crédit) et R-021 (dégradation silencieuse du chatbot de support). Les seuils de surveillance et les voies d'escalade sont définis dans la procédure d'exploitation des modèles.

Référence de preuve

POL-AI-07 v2.1 ; rapports mensuels de performance des modèles ; configuration des alertes dans la plateforme MLOps

Responsable

Responsable ML Engineering

A.7.6Préparation des données pour le développement d'IA
ExcluNon applicable
Justification

Aucun modèle n'est entraîné ni affiné en interne ; toute la capacité d'IA est achetée sous forme de services hébergés par des fournisseurs, il n'existe donc aucun pipeline de données d'entraînement. La décision sera réexaminée si un développement interne démarre.

Référence de preuve

Inventaire des systèmes d'IA INV-2026-Q2 montrant l'absence de développement interne de modèles

Responsable

Responsable de la gouvernance de l'IA

A.6.2.8Conservation des journaux d'événements des systèmes d'IA
ApplicableEn cours
Justification

Couvre le risque R-009 : incapacité à reconstituer les décisions assistées par l'IA lors de réclamations ou d'incidents. Les auditeurs attendent un plan crédible, pas une liste terminée : ce type de ligne partielle est normal.

Référence de preuve

Journalisation des requêtes et réponses active pour le chatbot client ; déploiement sur les deux copilotes internes prévu au T3 2026

Responsable

Responsable des opérations de sécurité

Les 38 contrôles de l'Annexe A, regroupés par domaine d'objectifs

Le modèle couvre les neuf domaines d'objectifs de contrôle de l'Annexe A d'ISO/IEC 42001:2023 avec des résumés paraphrasés, plus un tableau de synthèse de la couverture.

A.2
Politiques en matière d'IA
3 contrôles
A.3
Organisation interne
2 contrôles
A.4
Ressources des systèmes d'IA
5 contrôles
A.5
Évaluation des impacts des systèmes d'IA
4 contrôles
A.6
Cycle de vie des systèmes d'IA
9 contrôles
A.7
Données des systèmes d'IA
5 contrôles
A.8
Information des parties intéressées
4 contrôles
A.9
Utilisation des systèmes d'IA
3 contrôles
A.10
Relations avec les tiers et les clients
3 contrôles

Analyse d'écarts ou déclaration d'applicabilité ?

Les deux documents se partagent la norme. Utilisez les deux pour couvrir ISO 42001 de bout en bout.

Analyse d'écarts : chapitres 4 à 10

  • Mesure la maturité de votre système de management de l'IA face aux exigences obligatoires de la norme
  • Couvre le contexte, le leadership, la planification, le support, le fonctionnement, l'évaluation des performances et l'amélioration
  • Résultat : des notes de maturité, des écarts avec causes racines et une feuille de route de remédiation

Déclaration d'applicabilité : Annexe A

  • Consigne lesquels des 38 contrôles de référence s'appliquent à votre organisation et pourquoi
  • Justifie chaque inclusion et chaque exclusion afin que les auditeurs puissent relier les décisions aux risques
  • Résultat : le registre contrôle par contrôle autour duquel votre audit de certification est planifié
Obtenir le modèle d'analyse d'écarts ISO 42001
Pour commencer

Gardez les preuves de votre DdA prêtes pour l'audit

Aona AI découvre chaque outil d'IA utilisé dans votre organisation, surveille les données qui y circulent et maintient à jour l'inventaire d'IA et les pistes d'audit vers lesquels pointe votre déclaration d'applicabilité.