F 49v23 - Formation en ligne - Audit interne ISO 42001 intelligence artificielle version 2023

1. Qu’est-ce qu’un audit SMIA ISO 42001 ?

Un audit SMIA ISO 42001 est une évaluation systématique et indépendante du Système de Management de l’Intelligence Artificielle d’une organisation. Il vérifie que le SMIA respecte les exigences de la norme ISO 42001 en matière de gouvernance, d’éthique, de sécurité, de transparence, de conformité légale et de gestion des risques liés à l’IA.

Objectif : S’assurer que l’organisation utilise l’IA de manière responsable, sûre et conforme aux attentes des parties prenantes.

2. Quels sont les types d’audit ISO 42001 ?

• Audit interne : Réalisé par l’organisation elle-même pour évaluer sa conformité et préparer l’audit externe.
• Audit externe (certification) : Mené par un organisme certificateur accrédité pour délivrer la certification ISO 42001.
• Audit de surveillance : Audit annuel après certification pour maintenir la conformité.

3. Quelles sont les étapes clés d’un audit ISO 42001 ?

1. Préparation : revue de la documentation (politique IA, procédures, enregistrements).
2. Stage 1 (Audit documentaire) : vérification de la conformité de la documentation par rapport à la norme.
3. Stage 2 (Audit sur site) : évaluation de la mise en œuvre effective du SMIA (entretiens, observation des processus).
4. Rapport d’audit : identification des non-conformités (mineures/majeures).
5. Correction des écarts : l’organisation doit corriger les non-conformités avant la certification.
6. Décision de certification : si tout est conforme, l’organisme délivre le certificat ISO 42001.

4. Quelle est la différence entre audit interne et audit de certification ?

• Audit interne : réalisé par votre propre organisation pour évaluer votre préparation
• Audit de certification : réalisé par un organisme externe accrédité pour obtenir la certification officielle

5. Combien de temps dure un audit ISO 42001 ?

• Étape 1 (revue documentaire) : 1-2 jours
• Étape 2 (audit sur site) : 1-3 semaines selon la taille de l'organisation et le périmètre
• Préparation complète : 6-12 mois en moyenne

6. À quelle fréquence faut-il renouveler la certification ?

Le certificat ISO 42001 est valable 3 ans, avec des audits de surveillance annuels (généralement aux 12e et 24e mois). À la fin des 3 ans, un audit de renouvellement complet est nécessaire

7. Que doit inclure le périmètre d'audit ?

Le périmètre doit couvrir :

• Tous les systèmes IA dans le domaine d'application défini
• Les processus de gouvernance IA
• Les cycles de vie des systèmes IA (conception, développement, déploiement, maintenance)
• Les parties prenantes impliquées
• Les données utilisées pour entraîner et faire fonctionner l'IA
• Les contrôles de risques et de sécurité

8. Peut-on limiter le périmètre à certains systèmes IA ?

Oui, vous pouvez définir un périmètre spécifique (par exemple, uniquement les systèmes IA critiques ou un département). Cependant, le périmètre doit être justifié et tous les systèmes IA inclus doivent être conformes

9. Quels documents sont examinés lors de l'audit ?

• Politique de gouvernance IA
• Registre des systèmes IA (inventaire complet)
• Évaluations des risques et des impacts
• Procédures de gestion des données
• Documentation sur les biais et l'équité
• Registres de formation du personnel
• Journaux d'événement de surveillance et de maintenance
• Rapports d'incidents
• Preuves de supervision humaine
• Documentation de transparence et d'explicabilité

10. Que se passe-t-il si la documentation est incomplète ?

Des lacunes documentaires peuvent entraîner des non-conformités majeures qui empêchent la certification. L'organisation devra compléter la documentation et repasser l'audit

11. Qu'est-ce qu'une non-conformité majeure ET mineure ?

• Majeure : Absence totale d'un contrôle requis, risque significatif, non-respect d'une exigence critique → Certification refusée jusqu'à correction
• Mineure : Problème localisé, écart ponctuel, documentation incomplète → Peut être corrigé après certification

12. Quelles sont les non-conformités les plus fréquentes ?

1. Absence de registre complet des systèmes IA
2. Évaluations d'impact insuffisantes
3. Pas de tests de biais ou d'équité documentés
4. Supervision humaine non démontrée
5. Traçabilité des décisions IA manquante
6. Formation insuffisante du personnel
7. Gestion des risques inadéquate

13. Combien de temps pour corriger les non-conformités ?

• Mineures : Généralement 30-90 jours
• Majeures : Nécessitent souvent un nouvel audit complet après correction (3-6 mois)

14. Combien coûte un audit ISO 42001 ?

Les coûts varient selon :

• Taille de l'organisation
• Nombre de systèmes IA
• Complexité du périmètre
• Organisme de certification choisi

Estimation : 15 000€ à 100 000€+ pour la certification initiale, puis 5 000€ à 30 000€ par an pour la surveillance

15. Y a-t-il des coûts cachés ?

Oui, considérez aussi :

• Consultants externes (si nécessaire)
• Outils de conformité et de gestion
• Formation du personnel
• Temps interne consacré à la préparation
• Actions correctives

16. Qui doit participer à l'audit ?

• Responsable IA
• Ingénieurs IA
• Responsables de la sécurité et de la conformité
• Gestionnaires de projet
• Équipes juridiques et éthiques
• Direction exécutive (pour l'engagement)

17. Comment se préparer aux interviews d'audit ?

• Connaître parfaitement vos processus IA
• Préparer des exemples concrets
• Avoir les preuves et documents à portée de main
• Être transparent et honnête
• Ne pas spéculer si vous ne savez pas (dire "je vais vérifier")

18. Comment se préparer efficacement à l'audit ?

1. Faire un audit interne ou une analyse des écarts
2. Former une équipe dédiée
3. Documenter tous les processus
4. Créer un inventaire complet des systèmes IA
5. Réaliser des évaluations de risques
6. Tester vos contrôles
7. Former le personnel
8. Faire un audit blanc avec un consultant externe

19. Les auditeurs vont-ils examiner le code source de nos modèles IA ?

Pas nécessairement le code ligne par ligne, mais ils vont :

• Vérifier la documentation du développement
• Examiner les processus de test et validation
• Contrôler la traçabilité des décisions
• Évaluer les mécanismes d'explicabilité

20. Comment prouver l'absence de biais dans nos systèmes IA ?

• Tests de performance sur différentes démographies
• Analyses de disparité d'impact
• Documentation des datasets d'entraînement
• Audits réguliers des résultats
• Mécanismes de détection et correction des biais

21. Que signifie "supervision humaine" dans le contexte ISO 42001 ?

• Un humain doit pouvoir intervenir dans les décisions critiques
• Mécanismes de révision des sorties IA
• Escalade vers des experts humains si nécessaire
• Documentation de qui supervise quoi et quand

22. Que se passe-t-il après avoir obtenu la certification ?

• Vous recevez le certificat officiel (valable 3 ans)
• Vous devez maintenir la conformité continue
• Audits de surveillance annuels
• Amélioration continue du SMIA
• Mise à jour de la documentation

23. Peut-on perdre la certification ISO 42001 ?

Oui, si :

• Non-conformités majeures lors des audits de surveillance
• Incidents graves non gérés correctement
• Non-respect des actions correctives
• Changements majeurs non déclarés au certificateur

24. ISO 42001 suffit-elle pour être conforme au RGPD et à l'AI Act européen ?

ISO 42001 aide significativement à la conformité, mais ne remplace pas :

• RGPD : Des contrôles supplémentaires spécifiques aux données personnelles sont nécessaires
• AI Act : ISO 42001 est aligné mais l'AI Act a des exigences spécifiques supplémentaires

25. ISO 42001 est-elle reconnue internationalement ?

Oui, la norme ISO est reconnue mondialement. La certification ISO 42001 est acceptée dans tous les pays et facilite les opérations internationales.

26. Quels sont les bénéfices réels de la certification ?

• Confiance des clients et partenaires
• Avantage concurrentiel
• Réduction des risques juridiques
• Amélioration de la gouvernance IA
• Facilitation de la conformité réglementaire
• Accès à de nouveaux marchés (certains clients l'exigent)

Réalisation de l'audit interne selon l'ISO 19011 pour pouvoir

• identifier des opportunités d'amélioration
• augmenter la satisfaction des parties prenantes
• évaluer la performance du système de management de l'intelligence artificielle ISO 42001 version 2023

Notions de l'ISO 42001 et de l'ISO 19011

Toute personne impliquée dans la mise en oeuvre et le maintien d'un système de management de l'intelligence artificielle :

• directeur
• responsable IA
• responsable qualité
• responsable sécurité
• responsable conformité
• responsable éthique
• responsable métrologie
• responsable maintenance
• responsable QSE
• auditeur interne (présent ou futur)
• technicien IA
• opérateur IA
• technicien qualité
• assistant qualité
• chargé de mission ponctuelle d'audit système, processus ou produit
• futur audité
• étudiant

14 heures en ligne en moyenne (selon les connaissances et aptitudes cette durée peut varier individuellement). Une heure de formation en ligne équivaut à au moins 2 heures de formation en présentiel

Acquérir les techniques pour organiser et réaliser l'audit :

• construire le plan d'audit
• maîtriser le questionnaire
• savoir éviter les conflits
• analyser les documents
• montrer les points forts
• détecter les opportunités d'amélioration
• faire accepter les conclusions
• rédiger le rapport d'audit
• déclencher des actions
• suivre les actions

Méthode et outils

• site internet dédié
• module de formation en ligne spécifique
• pédagogie FOAD (formation ouverte et à distance)
• suivi de votre formation :
  • le temps que vous avez passé sur chaque chapitre, paragraphe, QCM et étude de cas du module
  • l'enregistrement des notes de tous vos essais des questionnaires à choix multiples (QCM)
• test de niveau en début de formation 
• questionnaires (QCM) avec commentaires, notes sur 20 et recommandations
• vidéos
• histoires vraies
• bonnes pratiques
• écarts à éviter
• études de cas (mise en situation)
• jeux
• blagues
• quiz exigences des normes
• tutorat en ligne :
  • accompagnement et suivi individuel tout au long de votre formation
  • en direct ou par courriel sous 24 heures
  • réponses personnalisées aux questions
  • conseils et recommandations sur les documents, livres et les liens utiles
• certificat de réalisation que vous pouvez télécharger en fin de formation (exemple)

L'accès à la formation est de 60 jours à compter de la date de validation de votre commande. Sur simple demande ce délai est renouvelé gratuitement dans les limites de 6 mois

ISO 42001, gage de confiance pour une intelligence artificielle sûre 1' 11"

What not to Say during an ISO Audit Part 1 2' 08" en anglais

What not to Say during an ISO Audit Part 2 2' 43" en anglais

What not to Say during an ISO Audit Part 3 3' 12" en anglais

Élaboration d'un rapport d'audit 4' 18"

ISO/IEC 42001 (Système de gestion de l'IA) - Mise en œuvre - Cours 1 - Introduction 7' 17"

Audit interne des processus d'une entreprise 8' 17"

AUDIT INTERNE DES SYSTEMES DE MANAGEMENT - #10 - Attitudes lors d'un audit interne 11' 40"

How to survive an ISO Audit 16' 57" en anglais

Internal Quality Auditor Course 20' 46" en anglais

Comment planifier et réaliser des audits qualité internes efficaces et pertinents ? 31' 47"

ISO 42001 ma stratégie en IA 35' 54"

Cyberzone N°29 : Décryptage de l'ISO 42001 avec le LNE 51' 29"

Assurer l'avenir : ISO/IEC 27001, ISO/IEC 42001 et la gouvernance de l'IA 57' 12"

Audits internes et externes 57' 51"

CyberZone 58 - RoadMap ISO 42001 58' 55"

Du bon usage de l’IA dans la transformation numérique avec ISO/IEC 42001 1h 04' 34"

Webinaire norme ISO 42001 "L'IA responsable au service des secteurs clés" 1h 07' 03"

Free Certified Internal Auditor Training Program on ISO 42001:2023 | Quality Asia School 6h 03' 33" en anglais

Exigences ISO 42001 version 2023