Exigences de la norme ISO 42001 intelligence artificielle version 2023
31/10/2025
Quiz Exigences ISO 42001 version 2023 Vous souhaitez vous familiariser avec la structure de la norme, identifier et comprendre les exigences de l'ISO 42001 version 2023, alors à vous de jouer !
Le quiz "Exigences de l'ISO 42001 version 2023" vous aidera à assimiler les principales exigences de la norme.
Les questions (exigences) de ce quiz sont 85, pas de panique. Les exigences de la norme sont 206 mais ces 85 exigences sont parmi les plus importantes, alors n'hésitez pas à apprendre de façon ludique !
Ne pensez pas que vous pouvez terminer ce quiz en moins d'une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !
Nouveautés sur la norme intelligence artificielle ISO 42001 version 2023
Les 206 exigences (doit, doivent, en anglais shall) des articles 4 à 10 et de l'annexe A de l'ISO 42001 sont réparties comme suit:
|
N°
|
Article
|
cycle PDCA
|
Exigences N°
|
Nombre
|
|
4
|
Contexte | Planifier (Plan) |
1 ÷ 13
|
13
|
| 5 | Leadership | Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) |
13 ÷ 32
|
19 |
| 6 | Planification | Planifier (Plan) |
33 ÷ 90
|
58
|
| 7 | Support | Planifier, Dérouler (Plan, Do) |
91 ÷ 114
|
24 |
| 8 | Réalisation | Dérouler (Do) |
115 ÷ 131
|
17 |
| 9 | Performance | Comparer (Check) | 132 ÷ 156 | 25 |
| 10 | Amélioration | Agir (Act) | 157 ÷ 168 | 12 |
| Comparer (Check) | 169 ÷ 171 | 3 | ||
| Annexe A.3 | Comparer (Check) | 172 ÷ 173 | 2 | |
| Annexe A.4 | Comparer (Check) | 174 ÷ 178 | 5 | |
| Annexe A.5 | Comparer (Check) | 179 ÷ 182 | 4 | |
| Annexe A.6 | Comparer (Check) | 183 ÷ 191 | 9 | |
| Annexe A.7 | Comparer (Check) | 192 ÷ 196 | 5 | |
| Annexe A.8 | Comparer (Check) | 197 ÷ 200 | 4 | |
| Annexe A.9 | Comparer (Check) | 201 ÷ 203 | 3 | |
| Annexe A.10 | Comparer (Check) | 204 ÷ 206 | 3 | |
|
Total
|
206
|
|||
.jpg){kind=small}
.jpg)
Les exigences dans les articles, paragraphes et annexes de la norme ISO 42001
Le cycle PDCA de Deming
Remarque. Toute exigence normalement commence par "L'organisation doit ...". Pour simplifier nous présentons les exigences directement en commençant avec le verbe.
|
ISO 42001 - Exigences et commentaires
|
||||
|
N°
|
Paragraphe
|
Exigence
|
Cycle PDCA, liens, commentaires
|
|
|
Contexte
|
Planifier (Plan)
|
|||
|
4.1
|
Contexte de l'organisation
|
|
||
|
1
|
4.1
|
Déterminer les enjeux externes et internes | Comprendre tout ce qui peut influer sur la finalité (la mission) de l'entreprise (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMIA. Cf. paragraphe 6.1 et paragraphe 7.5.1 | |
|
2
|
4.1
|
Déterminer si des enjeux découlent des changements climatiques | Changements concernant les actions en lien avec le climat, cf. l'ISO 14001 | |
|
3
|
4.1
|
Considérer la finalité prévue des systèmes d'IA | Qui sont développés, fournis ou utilisés par l'organisation | |
|
4
|
4.1
|
Déterminer ses rôles | Par rapport aux systèmes d'IA | |
|
4.2
|
Parties prenantes
|
|
||
|
5
|
4.2
|
Déterminer les parties prenantes | Concernés par le SMIA, comme clients, lois, contrats et autres. Cf. paragraphe 7.5.1 | |
| 6 | 4.2 | Déterminer les exigences des parties prenantes | Besoins et attentes relatives aux exigences et obligations. Les parties prenantes peuvent avoir des exigences relatives aux changements climatiques | |
| 7 | 4.2 | Déterminer les exigences concernées par le SMIA | Qui seront traitées par le SMIA | |
|
4.3
|
Domaine d'application
|
 |
||
|
8
|
4.3
|
Déterminer le domaine d'application du SMIA | Limites (administratives) et applicabilité | |
| 9 | 4.3 | Prendre en considération les enjeux externes et internes | "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1 | |
| 10 | 4.3 | Prendre en compte les exigences des parties prenantes | Lors de modifications des processus, des exigences, des infrastructures. Cf. paragraphe 4.2 | |
| 11 | 4.3 | Rendre disponible le domaine d'application | Sous forme de document, cf. paragraphe 7.5.1 | |
| 12 | 4.3 | Déterminer les activités de l'organisation par rapport aux exigences de l'ISO 42001 | En lien avec le leadership, la planification, le support, la réalisation, la performance, l'évaluation, l'amélioration, les mesures et les objectifs | |
|
4.4
|
Système de management de l'intelligence artificielle
|
|
||
| 13 | 4.4 | Établir, appliquer, tenir à jour, documenter et améliorer en continu le SMIA | Y compris les processus nécessaires et leurs interactions. "Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming | |
|
5
|
Leadership
|
Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act)
|
||
|
5.1
|
Leadership et engagement
|
|
||
| 14 | 5.1 | S'assurer que la politique et les objectifs IA sont mis en place |
"Un escalier se balaie en commençant par le haut. Proverbe roumain." S'assurer de la compatibilité avec l'orientation stratégique. La direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMIA |
|
| 15 | 5.1 | Assurer l'intégration des exigences du SMIA aux processus métier | Faire preuve de leadership | |
| 16 | 5.1 | S'assurer que les ressources nécessaires au SMIA sont disponibles | Ressources pour établir, appliquer, tenir à jour et améliorer le SMIA. Cf. paragraphe 4.4 | |
| 17 | 5.1 | Communiquer sur l'importance de disposer d'un SMIA efficace | Et se conformer aux exigences du SMIA | |
| 18 | 5.1 | S'assurer que le SMIA atteigne les résultats attendus | Engagement, réactivité et soutien actif de la direction | |
| 19 | 5.1 | Orienter et soutenir le personnel | Afin qu'il contribue à la performance du SMIA | |
| 20 | 5.1 | Promouvoir l'amélioration continue | "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10 | |
| 21 | 5.1 | Soutenir les personnes concernées à faire preuve de leadership | Quand cela est nécessaire (s'applique à leur domaine de responsabilité) | |
|
5.2
|
Politique IA
|
|
||
| 22 | 5.2 a | Établir la politique IA | En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1 | |
| 23 | 5.2 b | Fournir un cadre pour l'établissement des objectifs IA | Cf. paragraphe 6.2 et annexe A.2. Un guide de mise en oeuvre des mesures est disponible en annexe B.2 de l'ISO 42001 | |
| 24 | 5.2 c | S'engager à respecter les exigences applicables | Concernant le SMIA | |
| 25 | 5.2 d | S'engager à améliorer en continu le SMIA | Cf. article 10 | |
| 26 | 5.2 | Rendre disponible la politique IA | Sous forme d'un document. Cf. paragraphe 7.5.1 | |
| 27 | 5.2 | Référer la politique IA comme pertinente | Aux autres politiques de l'organisation | |
| 28 | 5.2 | Communiquer la politique IA | A tous les niveaux de l'organisation | |
| 29 | 5.2 | Tenir la politique IA disponible aux parties prenantes | Le cas échéant | |
|
5.3
|
Rôles, responsabilités et autorités
|
|
||
| 30 | 5.3 | S'assurer que les responsabilité et autorités du SMIA sont attribuées | Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1 | |
| 31 | 5.3 a | S'assurer que le SMIA respecte les exigences de la norme ISO 42001 | Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1) | |
| 32 | 5.3 b | Présenter des rapports sur la performance du SMIA à la direction, de manière régulière | En attribuant la responsabilité et l'autorité nominativement, cf. paragraphe 7.5.1 | |
|
6
|
Planification
|
Planifier, Dérouler (Plan, Do)
|
||
|
6.1
|
Actions face aux risques
|
|
||
|
6.1.1
|
Généralités
|
|
||
| 33 | 6.1.1 | Déterminer les risques et opportunités | La gestion des risques est basée sur la norme ISO 31000 (voir la formation F 61). Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge" | |
| 34 | 6.1.1 | S'assurer que le SMIA peut atteindre les résultats escomptés | Afin d'anticiper ou de réduire les effets indésirables | |
| 35 | 6.1.1 | Prévenir ou réduire les effets indésirables | Cf. paragraphe 6.1.3 | |
| 36 | 6.1.1 | S'améliorer en continu | Démarche d'amélioration continue, cf. article 10 | |
| 37 | 6.1.1 | Etablir et maintenir des critères de risque IA | Pour tous les processus du SMIA | |
| 38 | 6.1.1 | Faire la distinction entre risques acceptables et non acceptables | Cf. paragraphe 6.1.2 | |
| 39 | 6.1.1 | Réaliser des appréciations des risques IA | Cf. paragraphe 6.1.2 | |
| 40 | 6.1.1 | Conduire le traitement des risques IA | Cf. paragraphe 6.1.2 | |
| 41 | 6.1.1 | Apprécier les impact des risques IA | Cf. paragraphe 6.1.2 | |
| 42 | 6.1.1 | Déterminer les risques et opportunités | En fonction du domaine et du contexte d'application d'un système d'IA | |
| 43 | 6.1.1 | Déterminer les risques et opportunités | En fonction de l'utilisation prévue | |
| 44 | 6.1.1 | Déterminer les risques et opportunités | En fonction du contexte externe et interne, cf. § 4.1 | |
| 45 | 6.1.1 a | Planifier les actions à mettre en oeuvre | Face aux risques et opportunités | |
| 46 | 6.1.1 b 1 | Planifier comment intégrer et mettre en oeuvre les actions | Dans ses processus du SMIA | |
| 47 | 6.1.1 b 2 | Planifier comment évaluer l'éfficacité | De ces actions | |
| 48 | 6.1.1 | Conserver les enregistrements sur les actions prises | Pour identifier et faire face aux risques et opportunités IA, cf. paragraphe 7.5.1 | |
|
6.1.2
|
Appréciation des risques IA
|
|
||
| 49 | 6.1.2 a | Appliquer le processus d'appréciation des risques IA | En étant informé et aligné sur la politique et les objectifs IA | |
| 50 | 6.1.2 b | Appliquer le processus d'appréciation des risques IA | En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables. Défi physique et intellectuel inhumain. Cf. le blog d'Oxebridge "iso-risk-management-can-now-be-infallible" | |
| 51 | 6.1.2 c | Identifier les risques | Qui aident ou empêchent d'atteindre ses objectifs IA | |
| 52 | 6.1.2 d 1 | Analyser les risques IA | Pour apprécier les conséquences potentielles des risques si ceux-ci se concrétisent | |
| 53 | 6.1.2 d 2 | Apprécier la vraisemblance réaliste des risques identifiés | Le cas échéant | |
| 54 | 6.1.2 d 3 | Déterminer le niveau de risque | Suite à l'analyse des risques IA | |
| 55 | 6.1.2 e 1 | Evaluer les risques IA | Pour comparer les résultats de l'analyse de risque avec les critères de risque, cf. § 6.1.1 | |
| 56 | 6.1.2 e 2 | Hiérarchiser les risques | Evalués pour le traitement du risque | |
| 57 | 6.1.2 | Conserver les enregistrementss sur le processus d'appréciation des risques IA | Cf. paragraphe 7.5.1 | |
|
6.1.3
|
Traitement des risques IA
|
|
||
| 58 | 6.1.3 a | Définir et appliquer le processus de traitement des risques IA | Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2 | |
| 59 | 6.1.3 b | Déterminer toutes les mesures nécessaires à entreprendre | Pour l'option choisie | |
| 60 | 6.1.3 b | Comparer les mesures avec ceux de l'annexe A | Afin de vérifier qu'aucune mesure nécessaire n'est oubliée | |
| 61 | 6.1.3 c | Considérer la pertinence des mesures de l'annexe A | Pour la mise en oeuvre de options de traitement des risques IA | |
| 62 | 6.1.3 d | Identifier si des mesures supplémentaires sont nécessaires au-delà de ceux de l'annexe A | Afin de mettre en oeuvre toutes les options de traitement des risques | |
| 63 | 6.1.3 e | Prendre en compte le guide de l'annexe B | Pour la mise en oeuvre des mesures déterminées en b) et c) | |
| 64 | 6.1.3 f | Produire une déclaration d'applicabilité | Contenant les mesures nécessaires (voir b), c) et d)) et les justifications d'inclusion et d'exclusion | |
| 65 | 6.1.3 g | Elaborer un plan de traitement des risques | Pour la mise en oeuvre des mesures déterminées en b) et c) | |
| 66 | 6.1.3 | Obtenir l'approbation des responsables désignés pour le plan de traitement des risques IA | Et l'acceptation des risques résiduels | |
| 67 | 6.1.3 | Aligner les mesures nécessaires sur les objectifs | Cf. § 6.2 | |
| 68 | 6.1.3 | Rendre les mesures nécessaires disponibles | Sous forme documentée | |
| 69 | 6.1.3 | Communiquer les mesures nécessaires au sein de l'organisation | Pour la mise en oeuvre des mesures déterminées en b) et c) | |
| 70 | 6.1.3 | Rendre les mesures nécessaires disponibles au parties prenantes | Selon les cas | |
| 71 | 6.1.3 | Conserver les enregistrements du traitement des risques IA | Pour la mise en oeuvre des mesures déterminées en b) et c) | |
|
6.1.4
|
Appréciation de l'impact du système d'IA
|
|
||
| 72 | 6.1.4 | Définir et appliquer un processus pour apprécier les conséquences potentielles sur les individus, groupes d'individus ou les sociétés | Résultant du développement, de la fourniture et de l'utilisation des système d'IA | |
| 73 | 6.1.4 | Déterminer les conséquences potentielles sur les individus, groupes d'individus ou les sociétés | Résultant du déploiement, de l'utilisationprévue et de la mauvaise utilisation prévisible des systèmes d'IA | |
| 74 | 6.1.4 | Prendre en compte les spécificités techniques et le contexte sociétal | Où le système d'IA est déployé et les juridictions applicables | |
| 75 | 6.1.4 | Documenter le résultat de l'appréciation de l'impact du système d'IA | Le cas échéant ce résultat peut être mis à disposition des paties prenantes | |
| 76 | 6.1.4 | Considérer les résultats de l'appréciation de l'impact du système d'IA dans l'appréciation des risques | Cf. 6.1.2. L'annexe A.5 fournit des mesures pour l'appréciation des impacts des systèmes d'IA | |
|
6.2
|
Objectifs IA
|
|
||
| 77 | 6.2 | Établir les objectifs IA | Pour toutes les fonctions et niveaux concernés | |
| 78 | 6.2 a | Déterminer des objectifs IA | Cohérents avec la politique IA, cf. § 5.2 | |
| 79 | 6.2 b | Déterminer des objectifs IA | Mesurables, si possible | |
| 80 | 6.2 c | Déterminer des objectifs IA | En tenant compte des exigences applicables à l'IA, des résultats de l'appréciation et du traitement des risques | |
| 81 | 6.2 d | Surveiller les objectifs IA | Cf. § 9.1 | |
| 82 | 6.2 e | Communiquer les objectifs IA | Cf. § 7.4 | |
| 83 | 6.2 f | Mettre à jour les objectifs IA | Comme approprié | |
| 84 | 6.2 g | Conserver les objectifs IA | Sous forme de documents, cf. § 7.5 | |
| 85 | 6.2 | Déterminer ce qui sera fait | Lors de la planification des objectifs IA | |
| 86 | 6.2 | Déterminer les ressources nécessaires | Lors de la planification des objectifs IA | |
| 87 | 6.2 | Déterminer le responsable | Lors de la planification des objectifs IA | |
| 88 | 6.2 | Déterminer les échéances | Lors de la planification des objectifs IA | |
| 89 | 6.2 | Déterminer comment les résultats seront évalués | Lors de la planification des objectifs IA | |
|
Planification des modifications
|
|
|||
| 90 | 6.3 | Planifier les modifications du SMIA | Avant de les appliquer | |
|
7
|
Support
|
Dérouler (Do)
|
||
|
7.1
|
Ressources
|
|
||
|
91
|
7.1
|
Détrminer et fournir les ressources nécessaires | Afin d'établir, appliquer, tenir à jour et améliorer en continu le SMIA | |
|
7.2
|
Compétences
|
|
||
| 92 | 7.2 | Déterminer les compétences nécessaires des personnes concernées | Les personnes concernées peuvent influer sur les performances IA | |
| 93 | 7.2 | S'assurer que ces personnes sont compétentes | Sur la base d'une formation initiale et professionnelle et de l'expérience | |
| 94 | 7.2 | Mener des actions, le cas échéant, pour acquérir et tenir à jour les compétences nécessaires | Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes | |
| 95 | 7.2 | Rendre disponibles les enregistrements des compétences | Cf. paragraphe 7.5.1 | |
|
7.3
|
Sensibilisation
|
|
||
|
96
|
7.3
|
Sensibiliser le personnel à la politique IA | Cf. paragraphe 5.2 | |
| 97 | 7.3 | Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMIA | Et des effets bénéfiques de la performance améliorée du SMIA | |
| 98 | 7.3 | Sensibiliser le personnel aux répercussions du non-respect des exigences du SMIA | Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles | |
|
7.4
|
Communication
|
|||
| 99 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris sur quels sujets, cf. paragraphe 7.5.1 | |
| 100 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris quand communiquer | |
| 101 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris avec qui communiquer | |
| 102 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris comment communiquer | |
|
7.5
|
Documentation
|
|||
|
7.5.1
|
Généralités
|
|
||
| 103 | 7.5.1 a | Inclure dans le SMIA les documents exigés par l'ISO 42001 |
Documents (informations documentées) disponibles, à conserver, à identifier, à maîtriser :
Politique :
|
|
| 104 | 7.5.1 b | Inclure les documents jugés nécessaires à l'efficacité du SMIA |
Ces documents sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions et à la compétence du personnel |
|
|
7.5.2
|
Création et mise à jour
|
|
||
| 105 | 7.5.2 | Identifier et décrire les documents de façon appropriée | Lors de leur création et mise à jour. Comme titre, auteur, date, codification | |
| 106 | 7.5.2 | S'assurer que le format et le support des documents sont appropriés | Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique | |
| 107 | 7.5.2 | Passer en revue et valider les documents de façon appropriée | Afin de déterminer leur pertinence et adéquation | |
|
7.5.3
|
Maîtrise des documents
|
|||
| 108 | 7.5.3 a | Maîtriser les documents pour qu'ils soient disponibles et conviennent à l'utilisation | Quand nécessaire et à l'endroit voulu. Selon les exigences du SMIA et de la norme ISO 42001 | |
| 109 | 7.5.3 b | Maîtriser les documents pour qu'ils soient convenablement protégées | Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité | |
| 110 | 7.5.3 | Appliquer des activités de distribution, d'accès, de récupération et d'utilisation | Afin de maîtriser les documents | |
| 111 | 7.5.3 | Appliquer des activités de stockage et de protection | Y compris la préservation de lisibilité | |
| 112 | 7.5.3 | Appliquer des activités de maîtrise des modifications | Comme la maîtrise des versions | |
| 113 | 7.5.3 | Appliquer des activités de conservation et d'élimination | En déterminant pour chaque document la durée de conservation et la manière d'élimination | |
| 114 | 7.5.3 | Identifier et maîtriser les documents d'origine externe | Liste des documents d'origine externe jugés nécessaires à la planification et au fonctionnement du SMIA | |
|
8
|
Réalisation
|
Dérouler (Do) | ||
|
8.1
|
Planification et maîtrise opérationnelles
|
|
||
| 115 |
8.1 | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMIA | En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1 | |
| 116 | 8.1 | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMIA | En mettant en oeuvre la maîtrise de ces processus | |
| 117 | 8.1 | Appliquer les mesures liées au système de management d'IA | Selon 6.1.3, comme le développement du système d'IA, les mesures d'utilisation liées au cycle de vie) | |
| 118 | 8.1 | Surveiller l'efficacité des mesures | Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 | |
| 119 | 8.1 | Prendre en considération des actions correctives | Si les résultats attendus ne sont pas atteints, cf. les annexes A et B | |
| 120 | 8.1 | Rendre disponibles des documents suffisants | Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 | |
| 121 | 8.1 | Maîtriser les modifications prévues et analyser ceux qui sont imprévues | En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1 | |
| 122 | 8.1 | S'assurer que les processus externalisés sont maîtrisés et pertinents | Y compris les produits et services externalisés | |
|
Appréciation des risques IA
|
|
|||
| 123 | 8.2 | Apprécier les risques IA régulièrement | Ou lorsque des modifications importantes sont proposées ou se produisent, cf. 6.1.2 | |
| 124 | 8.2 | Conserver les résultats de toutes les appréciations des risques | Résultats de l'appréciation, cf. paragraphe 7.5.1 | |
|
Traitement des risques IA
|
|
|||
| 125 | 8.3 | Appliquer le plan de traitement des risques | Conformément au paragraphe 6.1.3 et vérifier l'efficacité du plan | |
| 126 | 8.3 | Réaliser un processus de traitement du risque | Pour tout nouveau risque identifié conformément au paragraphe 6.1.3 | |
| 127 | 8.3 | Passer en revue et revalider les options de traitement du risque | Pour des options de traitement du risque non efficaces conformément au paragraphe 6.1.3 | |
| 128 | 8.3 | Mettre à jour le plan des traitement des risques | Pour des options de traitement du risque non efficaces conformément au paragraphe 6.1.3 | |
| 129 | 8.3 | Conserver les résultats de traitement des risques | Plan de traitement des risques, cf. paragraphe 7.5.1 | |
|
Appréciation de l'impact des systèmes d'IA
|
|
|||
| 130 | 8.4 | Réaliser des appréciations de l'impact du système d'IA | Selon 6.1.4 à intervalles réguliers ou suite à des modifications importantes proposées | |
| 131 | 8.4 | Conserver les résultats des appréciations des risques | Plan de traitement des risques, cf. paragraphe 7.5.1 | |
|
9
|
Performance
|
Comparer (Check)
|
||
|
9.1
|
Inspection
|
|
||
| 132 | 9.1 | Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) | Y compris les processus et les mesures pour atteindre ses objectifs | |
| 133 | 9.1 | Déterminer les méthodes d'inspection | Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible | |
| 134 | 9.1 | Déterminer le moment d'inspection | Y compris les points où la surveillance et la mesure sont réalisées | |
| 135 | 9.1 | Déterminer le moment d'analyse des résultats de l'inspection | Y compris le moment d'évaluation de ces résultats | |
| 136 | 9.1 | Rendre les résultats de l'inspection disponibles | Comme enregistrements. Cf. paragraphe 7.5.1 | |
| 137 | 9.1 | Evaluer la performance du SMIA | Y compris l'efficacité du SMIA | |
|
9.2
|
Audit interne
|
|
||
|
9.2.1
|
Généralités
|
|
||
| 138 | 9.2.1 a 1 | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA respecte les exigences de l'organisation | Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2 | |
| 139 | 9.2.1 a 2 | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA respecte les exigences de la norme ISO 42001 | Exigences dans les articles 4 à 10 et l'annexe A de la norme | |
| 140 | 9.2.1 b | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA est appliqué efficacement | Cf. la revue de direction, paragraphe 9.3 | |
|
9.2.2
|
Programme d'audit
|
|
||
| 141 | 9.2.2 | Planifier, établir, appliquer et tenir à jour le programme d'audit | Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l'ISO 19011 | |
| 142 | 9.2.2 | Tenir compte dans le programme d'audit de l'importance des processus | Et des résultats des audits précédents | |
| 143 | 9.2.2 a | Définir les objectifs et critères d'audit | Et le périmètre de chaque audit. Suivre les recommandation de l'ISO 19011 | |
| 144 | 9.2.2 b | Sélectionner les auditeurs | Afin de conduire des audits objectifs et impartiaux. Suivre les recommandation de l'ISO 19011 | |
| 145 | 9.2.2 c | Rendre compte des résultats des audits | A la direction concernée | |
| 146 | 9.2.2 | Rendre disponibles sous forme d'enregistrements l'application du programme d'audit | Et les résultats d'audit, cf. paragraphe 7.5.1 | |
|
9.3
|
Revue de direction
|
|
||
|
9.3.1
|
Généralités
|
|
||
| 147 | 9.3.1 | Passer en revue le SMIA à des intervalles planifiés | Afin de s'assurer que le SMIA est toujours approprié, adéquat et efficace. "Aucun système n'est parfait" | |
|
9.3.2
|
Eléments d'entrée
|
|
||
| 148 | 9.3.2 a | Inclure l'avancement des actions décidées au cours de la revue de direction précédente | Utiliser le dernier rapport de la revue de direction | |
| 149 | 9.3.2 b | Inclure les modifications des enjeux du SMIA | Cf. paragraphe 4.1 | |
| 150 | 9.3.2 c | Inclure les modifications des exigences (besoins et attentes) des parties prenantes | Cf. paragraphe 4.2 | |
| 151 | 9.3.2 d 1 | Inclure les tendances des retours d'information | Y compris les non-conformités et les actions correctives, cf. paragraphe 10.2 | |
| 152 | 9.3.2 d 2 | Inclure les tendances des résultats des inspections | Autrement dit les résultats de la surveillance et du mesurage, cf. paragraphe 9.1 | |
| 153 | 9.3.2 d 3 | Inclure les tendances des résultats des audits | Cf. paragraphe 9.2 | |
| 154 | 9.3.2 e | Inclure les opportunités d'amélioration | Cf. paragraphe 10.1 | |
|
9.3.3
|
Eléments de sortie
|
|
||
| 155 | 9.3.3 | Inclure dans les résultats de la revue de direction les décisions d'amélioration continue | Et les éventuels changement du SMIA | |
| 156 | 9.3.3 | Rendre disponibles les résultats de la revue de direction | Comme preuves. Cf. paragraphe 7.5.1 | |
|
10
|
Amélioration
|
Agir (Act)
|
||
|
10.1
|
Amélioration continue
|
|
||
| 157 | 10.1 | Améliorer en continu la pertinence, l'adéquation et l'efficacité du SMIA | En améliorant la performance globale du SMIA | |
|
Non-conformité et action corrective
|
|
|||
| 158 | 10.2 a 1 | Réagir à la non-conformité | Afin de la maîtriser et de la corriger | |
| 159 | 10.2 a 2 | Réagir à la non-conformité | Afin de faire face aux conséquences de la non-conformité | |
| 160 | 10.2 b 1 | Passer en revue la non-conformité | En évaluant si une action est nécessaire pour éliminer la cause | |
| 161 | 10.2 b 2 | Trouver la cause des non-conformités | Si possible jusqu'à la cause première | |
| 162 | 10.2 b 3 | Déterminer si des non-conformités similaires se sont produites | Ou pourraient se produire | |
| 163 | 10.2 c | Appliquer toutes les actions nécessaires | Y compris des actions correctives | |
| 164 | 10.2 d | Passer en revue l'efficacité de toute action menée | Y compris toute action corrective | |
| 165 | 10.2 e | Modifier le SMIA | Si cela est nécessaire | |
| 166 | 10.2 | Mener des actions correctives appropriées aux conséquences réelles ou potentielles | Par rapport aux non-conformités apparues | |
| 167 | 10.2 | Rendre disponibles les enregistrements sur la nature des non-conformités | Cf. paragraphe 7.5.1 | |
| 168 | 10.2 | Rendre disponibles les enregistrements sur les résultats des actions correctives | Cf. paragraphe 7.5.1 | |
| Annexe A |
Comparer (Check)
|
|||
| A.2 |
Politiques liées à l'IA
|
|
||
| 169 | A.2.2 | Documenter une politique pour le développement ou l'utilisation des systèmes d'IA | Cf. § 5.2 | |
| 170 | A.2.3 | Déterminer dans quels cas d'autres politiques peuvent être affectées ou s'appliquer aux objectifs | De l'organisation en matière de systèmes d'IA | |
| 171 | A.2.4 | Passer en revue la politique IA à intervalles réguliers | Afin de garantir sa pertinence, son adéquation et son efficacité continues | |
| A.3 |
Organisation interne
|
|
||
| 172 | A.3.2 | Attribuer les rôles et responsibilités pour l'IA | Selon les besoins de l'organisation | |
| 173 | A.3.3 | Définir et appliquer un processus de signalement des préoccupations | Du rôle de l'organisation sur le système d'IA tout au long de son cycle de vie | |
| A.4 |
Ressources pour des systèmes d'IA
|
|
||
| 174 | A.4.2 | Identifier et documenter les ressources pertinentes | Pour les activités à chaque étape du cycle de vie du système d'IA | |
| 175 | A.4.3 | Documenter les informations relatives aux ressources de données | Utilisées pour le système d'IA | |
| 176 | A.4.4 | Documenter les informations relatives aux ressources en outils | Utilisées pour le système d'IA | |
| 177 | A.4.5 | Documenter les informations sur le système et les ressources informatiques | Utilisées pour le système d'IA | |
| 178 | A.4.6 | Documenter les informations relatives aux ressources humaines et leurs compétences | Utilisées pour le développement, le déploiement, l'exploitation, la gestion du changement, la maintenance, le transfert et l'intégration et le déclassement, la vérification et l'intégration du système d'IA | |
| A.5 |
Appréciation de l'impact des systèmes d'IA
|
|
||
| 179 | A.5.2 | Etablir un processus pour apprécier les conséquences potentielles pour les individus, groupes d'individus ou sociétés | Qui peuvent résulter du système d'IA tout au long de son cycle de vie | |
| 180 | A.5.3 | Documenter les résultats des appréciations de l'impact du système d'IA | Sur les individus ou groupes d'individus | |
| 181 | A.5.4 | Apprécier et documenter les impacts potentiels des systèmes d'IA | Gérer de manière appropriée l'accès au code source, aux outils de développement et aux bibliothèques de logiciels | |
| 182 | A.5.5 | Apprécier et documenter le potentiel des impacts sociétaux de leur système d’IA | Tout au long de leur cycle de vie | |
| A.6 |
Cycle de vie du système d'IA
|
|
||
| A.6.1 |
Lignes directrices pour le développement d'un système d'IA
|
|
||
| 183 | A.6.1.2 | Identifier et documenter les objectifs pour orienter le développement responsable du système d’IA | Et de prendre ces objectifs en compte et intégrer des mesures pour les atteindre dans le cycle de vie du développement | |
| 184 | A.6.1.3 | Définir et documenter les processus spécifiques | Pour la conception et le développement responsables du système d'IA | |
| A.6.2 |
Cycle de vie du système d'IA
|
|
||
| 185 | A.6.2.2 | Spécifier et documenter les exigences pour les nouveaux systèmes d’IA | Ou améliorer le matériel des systèmes existants | |
| 186 | A.6.2.3 | Documenter la conception et le développement du système d'IA | En se basant sur les objectifs de l'organisation, les exigences documentaires et les critères de spécification | |
| 187 | A.6.2.4 | Définir et documenter les mesures de vérification et de validation pour le système d'IA | Et spécifier les critères pour leur utilisation | |
| 188 | A.6.2.5 | Documenter un plan de déploiement | Et veiller à ce que des exigences appropriées soient satisfaites avant le déploiement du système d'IA | |
| 189 | A.6.2.6 | Définir et documenter les éléments nécessaires pour le fonctionnement continu du système d’IA | Au minimum, cela devrait inclure la surveillance du système et de la performance, les réparations, les mises à jour et le support | |
| 191 | A.6.2.7 | Déterminer quelle documentation technique du système d’IA est nécessaire pour chaque catégorie concernée des parties prenantes | Telles que les utilisateurs, les partenaires, les autorités de surveillance, et fournir la documentation technique dans la forme appropriée | |
| 191 | A.6.2.8 | Déterminer à quelles phases du cycle de vie du système d’IA la tenue des registres des journaux d'événements devrait être activée | Mais au minimum lorsque le système d’IA est en cours d'utilisation | |
| A.7 |
Données pour les systèms d'IA
|
|
||
| 192 | A.7.2 | Définir, documenter et appliquer des processus de gestion des données | Liés au développement des systèmes d’IA | |
| 193 | A.7.3 | Déterminer et documenter des détails sur l'acquisition et la sélection des données | Utilisées dans les systèmes d’IA | |
| 194 | A.7.4 | Définir et documenter les exigences pour la qualité des données | Et s'assurer que les données utilisées pour développer et exploiter le système d’IA répond à ces exigences | |
| 195 | A.7.5 | Définir et documenter un processus pour l'enregistrement de l’origine des données utilisées dans son système d’IA | Tout au long des cycles de vie des données et du système d’IA | |
| 196 | A.7.6 | Définir et documenter ses critères de sélection de préparation des données | Et les méthodes à utiliser pour la préparation des données | |
| A.8 | Informations pour les parties prenantes des systèmes d'IA |
|
||
| 197 | A.8.2 | Déterminer et fournir les informations nécessaires | Aux utilisateurs du système d'IA | |
| 198 | A.8.3 | Fournir aux parties prenantes la possibilité de signaler les impacts négatifs | Du système d'IA | |
| 199 | A.8.4 | Déterminer et documenter un plan de communication des incidents | Pour les utilisateurs du système d'IA | |
| 200 | A.8.5 | Déterminer et documenter ses obligations en matière de communication dinformations sur le système d'IA | Aux parties prenantes | |
| A.9 |
Utilisation des systèmes d'IA
|
|
||
| 201 | A.9.2 | Définir et documenter les processus | Pour l'utilisation responsable des systèmes d'IA | |
| 202 | A.9.3 | Déterminer et documenter les objectifs | Pour guider l'utilisation responsable des systèmes d'IA | |
| 203 | A.9.4 | S'assurer que le système d'IA est utilisé conformément aux utilisations prévues du système d'IA | Et à la documentation qui l'accompagne | |
| A.10 |
Relations avec les tiers et clients
|
|
||
| 204 | A.10.2 | S’assurer que les responsabilités au cours du cycle de vie de son système d’IA sont réparties | Entre l’organisation, ses partenaires, ses fournisseurs, ses clients et des tiers | |
| 205 | A.10.3 | Etablir un processus pour garantir que l’utilisation des services, produits ou matériaux fournis par les fournisseurs est conforme à l’approche de l’organisation | En matière de développement et d’utilisation responsables des systèmes d’IA | |
| 206 | A.10.4 | S’assurer que son approche responsable du développement et de l’utilisation des systèmes d’IA prend en compte les attentes | Et les besoins de ses clients | |
|
|
|
|
|
|
.gif){kind=small}
.gif){kind=small}
.jpg){kind=small}
