4 Contexte 

• 4.1 Contexte
• 4.2 Parties prenantes
• 4.3 Domaine d'application
• 4.4 SMIA 

Les deux choses les plus importantes n'apparaissent pas au bilan de l'entreprise : sa réputation et ses hommes. Henry Ford

Pour mettre en place avec succès un système de management de l’intelligence artificielle il faut bien comprendre et évaluer tout ce qui peut influer sur la raison d’être et la performance de l’organisation. Un exemple de détermination des enjeux est donné dans le paragraphe 5.4.1 de l’ISO 31000. Il convient d’engager une réflexion approfondie après quelques activités essentielles :
 

• dresser un diagnostic approfondi du contexte unique dans lequel se trouve l’organisation en prenant en compte les enjeux :
  • externes comme l’environnement :
    • social
    • réglementaire (RGPD, usages d’IA interdits par l’AI Act)
    • économique (opportunités de marché liées aux usages d’IA)
    • politique
    • technologique (évolution rapide des solutions IA)
    • naturel
  • internes comme :
    • aspects spécifiques de la culture d’entreprise :
      • vision
      • raison d’être, finalité, mission
      • valeurs essentielles
      • attentes éthiques, perception du système d’IA
      • personnel
      • produits et services
      • processus, politiques, procédures, consignes, objectifs
      • infrastructures
      • obligations contractuelles envers partenaires et clients
• surveiller et passer en revue régulièrement toute information relative aux enjeux externes et internes
• déterminer si le changement climatique est un enjeu pertinent (empreinte énergétique des modèles IA utilisés)
• analyser les facteurs pouvant influer sur l’atteinte des objectifs de l’organisation
• clarifier vos rôles vis-à-vis du système d’IA (êtes-vous développeur, fournisseur, intégrateur ou utilisateur ?)

Chaque enjeu est identifié par son niveau d’influence et de maîtrise. La priorité est donnée aux enjeux très influents et pas du tout maîtrisés. Enjeux externes et internes, cf. E 08v23. 

Les analyses PESTEL et SWOT (nos forces et faiblesses, les opportunités et les menaces) peuvent être utiles pour une analyse pertinente du contexte de l’organisation (cf. annexe 05). L’analyse SWOT aide à comprendre notre environnement commercial. Elle nous permet également d'identifier les problèmes internes et externes, qui pourraient avoir un impact sur la sécurité de l'information. 

Exemples de rôles :

• développeur de modèles IA (concevoir un moteur de recommandation). Documenter les données d’entraînement, mesurer les biais et fournir des garanties de performance
• fournisseur de solutions IA (intégrer un moteur de recommandation dans son produit). Gérer les contrats, informer ses clients des limites et assurer le support en cas de dérive du modèle
• intégrateur (déployer la solution IA chez un client). Veiller à la compatibilité avec les systèmes existants et aux obligations contractuelles
• utilisateur professionnel (analyser les risques de crédit dans une banque qui utilise une application IA). S’assurer que l’usage reste conforme aux exigences légales (ex. interdiction de discriminations)
• utilisateur final (le client qui interagit avec le système IA). Même si son rôle est moins formalisé, il doit être pris en compte dans l’analyse des impacts et des attentes

 Minute de détente. Jeu : Contexte de l'entreprise

• le diagnostic du contexte comprend les principaux enjeux externes et internes
• les valeurs essentielles comme partie de la culture d’entreprise sont pris en compte dans le contexte de l’organisation
• les résultats de l’analyse du contexte sont largement diffusés
• l’analyse SWOT inclut beaucoup d’exemples pertinents
• l’analyse SWOT est un outil performant pour l’identification des principales menaces et opportunités

• des enjeux du contexte de l’organisation comme l'environnement concurrentiel ne sont pas pris en compte
• dans certains cas la culture d'entreprise n'est pas prise en compte
• l’analyse des risques ne prend pas en compte les enjeux stratégiques
• manque de lien clair entre l’analyse SWOT et les actions entreprises

Haut de page

4.2 Parties prenantes

Comprendre les exigences des parties prenantes

Exigences 5 à 7

Il n'y a qu'une seule définition valable de la finalité de l'entreprise : créer un client. Peter Drucker

Pour bien comprendre les besoins et attentes des parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) il faut commencer par déterminer tous ceux qui peuvent être concernés par le système de managementensemble de processus permettant d'atteindre les objectifs (voir aussi ISO 9000, 3.5.3)de l'IAintelligence artificielle comme par exemple :

• salariés
• direction
• clients
• prestataires externes (fournisseurs, sous-traitants, consultants)
• autorités réglementaires, de protection des données
• propriétaires
• actionnaires
• banquiers
• distributeurs
• concurrents
• citoyens
• voisins
• organisations sociales et politiques

Une liste des parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) est réalisée par une équipe pluridisciplinaire. Chaque partie prenante est identifiée par son niveau d’influence et de maîtrise. La priorité est donnée aux parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) très influentes et pas du tout maîtrisées, cf. E 08v23, Liste des parties prenantes. 

Les exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) des  parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) qui changent avec le temps, sont revues régulièrement (cf. le processus Tenir à jour la veille réglementaire, annexe 03).  

• satisfaire aux exigences du SMIA
• se préparer à faire face aux menaces
• saisir des opportunités d'amélioration

• clients et utilisateurs finaux (attentes en matière de sécurité, transparence, performance)
• un client peut demander une IA explicable (transparence)
• collaborateurs (formation, acceptabilité, conditions de travail avec l’IA)
• une équipe peut exiger une charte interne d’utilisation responsable
• autorités de régulation (conformité légale et éthique)
• une autorité peut imposer la conservation de journaux d’audit
• partenaires et fournisseurs (garanties contractuelles, interopérabilité)

• la liste des parties prenantes est à jour
• les besoins et attentes des parties prenantes sont établis au moyen de rencontres sur place, enquêtes, tables rondes et réunions (mensuelles ou fréquentes)
• l’application des exigences légales et réglementaires est une démarche de prévention et non une contrainte

• des exigences réglementaires et légales ne sont pas prises en compte
• le délai de livraison n'est pas validé par le client
• les attentes des parties prenantes ne sont pas déterminées
• la liste des parties prenantes ne contient pas leur domaine d’activité

Haut de page

4.3 Domaine d'application

Définir le domaine d'application du SMIA

Exigences 8 à 12

 Dans beaucoup de domaines, le gagnant est celui qui est le mieux renseigné. André Muller

Le domaine d’application (ou autrement dit le périmètre) du système de managementensemble de processus permettant d'atteindre les objectifs (voir aussi ISO 9000, 3.5.3) de l'IAintelligence artificielle est défini.

La Déclaration d'applicabilité - DdA (cf. § 6.1.3 f et annexe 07) permet :  

• de déterminer ce qui fait partie ou ne fait pas partie du SMIA
• d’identifier et tenir à jour les mesures à appliquer
• de répondre pour chaque mesure aux questions :
  • qu’est-ce qui doit être fait ?
  • pourquoi ? 
  • comment ?
  • quel est son statut ?
• de planifier et d’auditer le SMIA

Chaque mesure de la déclaration d’applicabilité est directement liée au traitement d’un risquevraisemblance d'apparition d'une menace ou d'une opportunité et de sa gravité (voir aussi ISO Guide 73, 1.1). 

Pour bien déterminer le domaine d’application du SMIA sont pris en compte les spécificités du contexte de l’organisation comme :

• les enjeux liés à l'IA (cf. § 4.1)
• les activités de l’organisation, y compris de support
• la culture d’entreprise
• l’environnement :
  • social
  • financier
  • technologique
  • économique
• les exigences des parties prenantes (cf. § 4.2)
• les exigences légales
• les processus externalisés

Le Domaine d’application, cf. E 08v23, est disponible comme enregistrementdocument fournissant des preuves tangibles des résultats obtenus (voir aussi ISO 9000, 3.8.10 et information documentée). Il est cohérent avec les enjeux et parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) et inclut les limites : 

• de l’organisation :
  • système d'IA
  • produits
  • services
  • activités
• de l’information et de la communication :
  • conception et développement de logiciels
  • maintenance
• physique :
  • siège social
  • filiales

• le domaine d'application est pertinent et disponible sur simple demande
• les exigences non applicables sont justifiées par écrit
• le département non inclus dans le domaine d’activité est traité comme un fournisseur avec toutes les conséquences (contrat, accord de confidentialité, surveillance de la performance)

• certains produits sont en dehors du domaine d'application du SMIA sans justification
• le domaine d’application est obsolète (la nouvelle filiale n’est pas incluse)
• le domaine d’application n'est pas validé par la direction
• le domaine d'application du SMIA est classifié comme confidentiel

Haut de page

4.4 SMIA

Exigences du SMIA, processus et interactions du SMIA

Exigence 13

Les exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) de la norme ISO 42001 sont intégrées dans le SMIA.

Pour cela :

• le système de management de l'IA est :
  • planifié (cf. le processus Planifier le SMIA, E 08v23)  
  • établi
  • documenté (un système documentaire simple et suffisant est mis en place)
  • mis en place et
  • amélioré en continu
• la politique IA, les objectifs, les ressources et l'environnement de travail sont déterminés
• les menaces sont déterminées et les actions pour les réduire sont établies (cf. § 6.1)
• les processus essentiels nécessaires au SMIA sont maîtrisés (cf. le processus Piloter les processus, E 08v23) :  
  • les ressources correspondantes assurées
  • les éléments d'entrée et de sortie déterminés
  • les informations nécessaires disponibles
  • les pilotes nommés (responsabilités et autorités définies)
  • les séquences et les interactions déterminées
  • chaque processus est mesuré et surveillé (critères établis), les objectifs sont établis et les indicateurs de performance analysés
  • les performance des processus sont évalués
  • les modifications nécessaires sont introduites pour obtenir les résultats attendus
  • les actions pour obtenir l’amélioration continue des processus sont établies
• le strict minimum ("autant que nécessaire") des documents sur les processus est conservé et tenu disponible ()

Le manuel IA n’est pas une exigencebesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) de la norme ISO 42001 mais cela est toujours une possibilité de présenter l’organisation, son SMIA et ses procédures,  politiques et processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) (cf. annexe 08). 

Le guide de l’ISO « The integrated use of management system standards » (L’utilisation intégrée des normes de systèmes de management) de 2018, en anglais, contient des recommandations pertinentes sur l’intégration des systèmes de management.

Pièges à éviter : 

• faire de la sur-qualité : 
  • une opération inutile est réalisée sans que cela ajoute de la valeur et sans que le client le demande – c’est un gaspillage, cf. les outils qualité E 12
• faire écrire toutes les procédures par le responsable IA : 
  • le personnel a conscience de la pertinence et de l’importance de chacun à la contribution aux objectifs IA, ce qui est encore plus vrai pour les chefs de départements et les pilotes de processus
• oublier les spécificités liées à la culture d'entreprise : 
  • innovation, luxe, secret, management autoritaire (Apple)
  • culture forte liée à l’écologie, à l’action et la lutte, tout en cultivant le secret (Greenpeace)
  • culture d’entreprise fun et décalée (Michel&Augustin)
  • entreprise libérée, l’homme est bon, aimer son client, rêve partagé (Favi, cf. F 60)

Les exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) de la norme ISO 42001 sont montrées en figure 4-1 et sur la page dédiée :

Figure 4-1. Les exigences de la norme ISO 42001 (2023)

Les exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) IAintelligence artificielle concernent :

• les risques de l’organisation :
  • les menaces sur les actifs
  • la vulnérabilité et la vraisemblance d’apparition
  • les conséquences
• les exigences légales et contractuelles
• les principes, objectifs et obligations d'utilisation responsable du système d'IA

Intégrer les exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) du SMIA dans les processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) métier permet de garantir aux parties prenantespersonne, groupe ou organisation pouvant affecter ou être affecté par une entreprise (voir aussi ISO 26000, 2.20) (surtout aux clientscelui qui reçoit un produit (voir aussi ISO 9000, 3.2.4)) une maîtrise des risquesvraisemblance d'apparition d'une menace ou d'une opportunité et de sa gravité (voir aussi ISO Guide 73, 1.1) liés au système d’IAintelligence artificielle. Adopter ces exigencesbesoin ou attente implicite ou explicite (voir aussi ISO 9000, 3.6.4) est une décision stratégique de la directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.1.1).

• la cartographie des processus contient assez de flèches pour bien montrer qui est le client (interne ou externe)
• beaucoup de flèches (plusieurs clients) sont utilisées pour les processus (aucun client n’est oublié)
• pendant la revue de processus la valeur ajoutée du processus est bien dévoilée
• l’analyse de la performance des processus est un exemple de preuve d’amélioration continue de l’efficacité du SMIA
• la direction surveille régulièrement les objectifs et les plans d'action
• les engagements de la direction relatifs à l’amélioration continue sont largement diffusés
• la finalité de chaque processus est clairement définie

• certains éléments de sortie de processus ne sont pas correctement définis (clients non pris en compte)
• critères d’efficacité des processus non établis
• pilote de processus non formalisé
• processus externalisés non déterminés
• des activités bien réelles ne sont pas identifiées dans aucun processus
• maîtrise des prestations externalisées non décrite
• séquences et interactions de certains processus ne sont pas déterminées
• critères et méthodes pour assurer la performance des processus non définis
• surveillance de la performance de certains processus non établie
• les ressources du SMIA ne permettent pas d'atteindre les objectifs
• le SMIA n’est pas à jour (nouveaux processus non identifiés)
• les menaces et faiblesses identifiées dans l’analyse SWOT restent sans actions

  Minute de détente. Jeu : Bonnes pratiques et écarts à éviter a

Haut de page

• Accueil
• Mon compte
• Plan du site
• FAQ
• CGU