2 Normes, définitions et livres

• 2.1 Normes
• 2.2 Définitions
• 2.3 Livres

2.1 Normes

Normes et référentiels liés à l'IA

Prévoir pour ne pas subir

La norme ISO 42001 (2023) - Information technology — Artificial intelligence — Management system (Technologies de l'information — Intelligence artificielle — Système de management) n’est pas isolée, elle s’ajoute ou s’intègre aux autres normes dans un système de management global pour aligner gouvernance, sécurité et éthique.

Note 1 : une grande partie des normes sont intitulées ISO/IEC. Pour simplifier nous utilisons le sigle ISO.
Note 2 : quand une norme est indisponible en français le lien est sur le texte anglais.
Quelques normes pour consultation ou utilisation afin de mettre en place un système de management de l’intelligence artificielle (IA) :

• ISO/TS 4213 (2022) – Information technology — Artificial intelligence — Assessment of machine learning classification performance (Technologies de l'information — Intelligence artificielle — Evaluation des performances de classification de l'apprentissage machine)
• ISO 5259-2 (2024) - Intelligence artificielle — Qualité des données pour les analyses de données et l’apprentissage automatique (AA) - Partie 2: Mesures de la qualité des données
• ISO 5338 (2023) - Information technology — Artificial intelligence — AI system life cycle processes (Technologies de l'information — Intelligence artificielle — Processus de cycle de vie des systèmes d'IA)
• ISO/TS 6254 (2025) - Information technology — Artificial intelligence — Objectives and approaches for explainability and interpretability of machine learning (ML) models and artificial intelligence (AI) systems (Technologies de l'information — Intelligence artificielle — Objectifs et approches pour l'explicabilité et l'interprétabilité des modèles d'apprentissage automatique (AA) et des systèmes d'intelligence artificielle (IA)) 
• ISO 8000-2 (2022) – Data quality – Part 2 : Vocabulary (Qualité des données - Partie 2: Vocabulaire)
• ISO 9001 (2015) - Systèmes de management de la qualité — Exigences
• ISO 9241-210 (2019) - Ergonomie de l'interaction homme-système - Partie 210: Conception centrée sur l'opérateur humain pour les systèmes interactifs
• ISO 19011 (2018) - Lignes directrices pour l’audit des systèmes de management
• ISO 19944-1 (2020) - Cloud computing and distributed platforms ─ Data flow, data categories and data use - Part 1: Fundamentals (Informatique en nuage et plates-formes distribuées ─ Flux de données, catégories de données et utilisation des données - Partie 1: Principes de base)
• ISO 20546 (2019) - Information technology — Big data — Overview and vocabulary (Technologies de l'information — Mégadonnées — Vue d'ensemble et vocabulaire)
• ISO 22301 (2019) - Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
• ISO 22989 (2022) - Technologies de l'information — Intelligence artificielle — Concepts et terminologie relatifs à l'intelligence artificielle
• ISO 23053 (2022) - Cadre pour les systèmes d'intelligence artificielle (IA) qui utilisent l'apprentissage automatique (ML) 
• ISO 23894 (2023) - Technologies de l’information — Intelligence artificielle — Recommandations relatives au management du risque
• ISO TR 24027 (2021) - Information technology — Artificial intelligence (AI) — Bias in AI systems and AI aided decision making (Technologie de l'information — Intelligence artificielle (IA) — Biais dans les systèmes d’IA et dans la prise de décision assistée par IA)
• ISO TR 24029-1 (2021) – Artificial Intelligence (AI) — Assessment of the robustness of neural networks - Part 1: Overview (Intelligence artificielle (IA) — Évaluation de la robustesse des réseaux de neurones - Partie 1: Vue d'ensemble
• ISO TR 24368 (2022) - Information technology — Artificial intelligence — Overview of ethical and societal concerns (Technologies de l'information — Intelligence artificielle — Aperçu des préoccupations éthiques et sociétales)
• ISO 25024 (2015) – Systems and software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Measurement of data quality (Ingénierie des systèmes et du logiciel — Exigences et évaluation de la qualité des systèmes et du logiciel (SQuaRE) — Mesurage de la qualité des données)
• ISO 25059 (2023) - Software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Quality model for AI systems (Ingénierie du logiciel — Exigences de qualité et évaluation des systèmes et du logiciel (SQuaRE) — Modèle de qualité pour les systèmes d'IA)
• ISO 27000 (2018) - Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information (gratuit – PAS - Spécifications publiquement disponibles) — Vue d'ensemble et vocabulaire
• ISO 27001 (2022) – Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Exigences
• ISO 27005 (2022) – Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information
• ISO 27701 (2025) - Techniques de sécurité — Extension d'ISO/IEC 42001 et ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes directrices
• ISO 29100 (2024) - Information technology — Security techniques — Privacy framework (Technologies de l'information — Techniques de sécurité — Cadre privé)
• ISO 31000 (2018) - Management du risque — Lignes directrices
• ISO 37002 (2021) - Systèmes de management des alertes — Lignes directrices
• ISO 38500 (2024) - Information technology — Governance of IT for the organization (Technologies de l'information — Gouvernance des technologies de l'information pour l'entreprise)
• ISO 38507 (2022) – Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations (Technologies de l'Information — Gouvernance des technologies de l'information — Implications de gouvernance de l'utilisation par des organisations de l'intelligence artificielle)
• ISO 42001 (2023) - Information technology — Artificial intelligence — Management system (Technologies de l'information — Intelligence artificielle — Système de management)

Le rapport de l’UNESCO de 2021 « Recommandation sur l’éthique de l’intelligence artificielle » contient 141 recommandations de bon sens. 

Le AI Risk Management Framework (Cadre de gestion des risques liés à l'IA) est une ligne directrice complète (à télécharger gratuitement) élaborée par le National Institute of Standards and Technology (NIST) américain publiée en janvier 2023.

Le Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 comprend 64 articles sur la résilience opérationnelle numérique (DORA - Digital Operational Resilience Act). Il est obligatoire pour les entités financières des pays de l’UE depuis le 17 janvier 2025.

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 comprend 144 articles sur des règles harmonisées concernant l’intelligence artificielle (règlement européen sur l'intelligence artificielle connu comme « AI Act »). 

Les normes ISO (plus de 21 000) sont utilisées dans d'innombrables domaines et sont reconnues dans le monde entier. 

Tous ces référentiels et beaucoup d’autres peuvent être commandés (sous format électronique ou papier) sur le site de l'AFNOR (Association française de normalisation) dans la rubrique boutique, catalogue, normes. 
Plus de 28 000 normes (en anglais et autres langues) sont disponibles gratuitement sur le site Public.resource.Org.

Haut de page

2.2 Définitions

Termes et définitions liés à l'IA

Le début de la sagesse est la définition des termes. Attribué à Socrate

Certains termes spécifiques :

Actif : tout élément ayant de la valeur pour l’organisation
Action corrective : action pour éliminer les causes d’une non-conformité ou tout autre événement indésirable et empêcher leur réapparition
Appréciation du risque : processus d’identification, d’analyse et d’évaluation du risque
Audit : examen méthodique et indépendant en vue de déterminer si les activités et les résultats satisfont aux dispositions préétablies et sont aptes à atteindre les objectif
Client : celui qui reçoit un produit
Compétence : aptitudes, connaissances et expériences personnelles
Confidentialité : propriété d’une information d’être dévoilée aux seules personnes autorisées (voir aussi ISO 27000, 3.10) 
Conformité : satisfaction d’une exigence spécifiée
Cryptographie : activités de protection de la confidentialité d’une information à l’aide de codification et de décodification 
Déclaration d’applicabilité (DdA) : document décrivant les objectifs et les mesures liés aux exigences IA
Direction : groupe ou personnes chargées de la gestion au plus haut niveau de l’entreprise
Disponibilité : propriété d’une information d’être accessible en temps voulu aux seules personnes autorisées (voir aussi ISO 27000, 3.7)
Document : tout support permettant le traitement d’une information
Efficacité : capacité de réalisation des activités planifiées avec le minimum d’efforts
Efficience : rapport financier entre le résultat obtenu et les ressources utilisées
Exigence : besoin ou attente implicite ou explicite 
Incident (IA) : dysfonctionnement d’un système d’IA entraînant une perturbation de la gestion ou du fonctionnement d’infrastructures critiques 
Indicateur : valeur d’un paramètre, associé à un objectif, permettant de façon objective d’en mesurer l’efficacité
Intégrité : propriété d’une information d’être non altérée (voir aussi ISO 27000, 3.36)
Non-conformité : non-satisfaction d’une exigence spécifiée
Objectif : but mesurable à atteindre
Organisation (entreprise) : structure qui satisfait un besoin
Partie prenante : personne, groupe ou organisation pouvant affecter ou être affecté par une entreprise
Performance : résultats mesurables et attendus du système de management
Prestataire externe (fournisseur) : celui qui procure un produit
Processus : activités qui transforment des éléments d’entrée en éléments de sortie
Produit (ou service) : tout résultat d’un processus ou d’une activité
Qualité : aptitude à satisfaire aux exigences
Risque résiduel : risque accepté (voir aussi ISO Guide 73, 3.8.1.6)
Risque : vraisemblance d’apparition d’une menace ou d’une opportunité
Satisfaction du client : objectif prioritaire de chaque système de management 
Sauvegarde : copie de données afin d’archiver et protéger contre la perte
Sécurité de l’information : mesures permettant de protéger la confidentialité, l’intégrité et la disponibilité de l’information (voir aussi ISO 27000, 3.28)
SMIA : système de management de l'intelligence artificielle
Système de management : ensemble de processus permettant d’atteindre les objectifs
Traçabilité : aptitude à mémoriser ou restituer tout ou partie d’une trace des fonctions exécutées
Traitement du risque : activités de modification du risque (voir aussi ISO Guide 73, 3.8.1)
Vulnérabilité : faiblesse d’un actif pouvant conduire à un accès non autorisé (voir aussi ISO 27000, 3.77)

Dans la terminologie des systèmes de managementensemble de processus permettant d'atteindre les objectifs (voir aussi ISO 9000, 3.5.3) ne pas confondre :

• accident et incident
  • l’accident est un événement imprévu grave
  • l’incident est un événement qui peut entraîner un accident
• anomalie, défaillance, défaut, dysfonctionnement, gaspillage, non-conformité et rebut
  • l'anomalie est une déviation par rapport à ce qui est attendu
  • le défaut est la non-satisfaction d'une exigence liée à une utilisation prévue
  • la défaillance c'est quand une fonction est devenue inapte
  • le dysfonctionnement est un fonctionnement dégradé qui peut entraîner une défaillance
  • le gaspillage c'est quand il y a des coûts ajoutés mais pas de valeur
  • la non-conformité est la non-satisfaction d'une exigence spécifiée en production
  • le rebut est un produit non conforme qui sera détruit
• audit, inspection, audité et auditeur
  • l'audit est le processus d'obtention des preuves d'audit
  • l'inspection est la vérification de conformité d'un processus ou produit
  • l'audité est celui qui est audité
  • l'auditeur est celui qui réalise l'audit
• client, prestataire externe et sous-traitant
  • le client reçoit un produit
  • le prestataire externe procure un produit
  • le sous-traitant procure un service ou un produit sur lequel est réalisé un travail spécifique
• efficacité et efficience
  • l'efficacité est le niveau d'obtention des résultats escomptés
  • l'efficience est le rapport entre les résultats obtenus et les ressources utilisées
• incident et non-conformité
  • l'incident est un événement indésirable
  • la non-conformité est le non-respect d'une exigence
• informer et communiquer
  • informer c’est porter une information à la connaissance de quelqu’un
  • communiquer c’est transmettre un message, écouter la réaction et dialoguer
• maîtriser et optimiser
  • la maîtrise est le respect des objectifs
  • l'optimisation est la recherche des meilleurs résultats possibles
• objectif et indicateur
  • l'objectif est un engagement recherché
  • l'indicateur est l'information de la différence entre le résultat obtenu et l'objectif fixé
• processus, procédure, produit, procédé, activité et tâche
  • le processus est la façon de satisfaire le client en utilisant le personnel pour atteindre les objectifs
  • la procédure est la description de la façon dont on devrait se conformer aux règles
  • le produit est le résultat d'un processus
  • le procédé est la façon d'exécuter une activité
  • l'activité est un ensemble de tâches
  • la tâche est une suite de simples opérations
• programme d'audit et plan d'audit
  • le programme d'audit est la planification annuelle des audits
  • le plan d'audit est le descriptif des activités d'un audit
• sécurité et sureté
  • la sécurité (security) est la prévention contre les risques d'origine involontaire
  • la sureté (safety) est la prévention contre les risques malveillants
• suivi et revue
  • le suivi est la vérification d'atteinte de résultats d'une action
  • la revue est l'analyse de l'efficacité à atteindre des objectifs

L'information est stockée de multiples façons comme :

• numérique (données stockées électroniquement)
• forme matérielle (sur papier ou autres)
• connaissances (le savoir-faire du personnel)

L'information est transmise de différentes manières comme :

• numérique (courrier électronique)
• physiquement (poste)
• verbalement (réunions)

Remarque 1 : le mot anglais « control » a plusieurs sens. Il peut être traduit par maîtrise, mesure, autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des malentendus notre préférence est pour maîtrise, mesure et inspection au détriment de contrôle. 

Remarque 2 : entre processus et procédé notre préférence est pour processus (en anglais « process »).

Remarque 3 : un actif est une notion large. Un actif peut être :

• une information
• un document
• une archive
• une infrastructure
• un matériel technique
• un logiciel
• le personnel
• la renommée de l’organisation
• un processus
• un service

Remarque 4 : l'utilisation des définitions de l'ISO 9000, de l’ISO 27001 et de l'ISO 42001 est recommandée. Le plus important est de définir pour tous dans l'organisation un vocabulaire commun et sans équivoque.

Remarque 5 : information documentée est toute information que l’on doit tenir à jour (procédure ) ou conserver (enregistrement, instruction ).

Remarque 6 : entre partie prenante et partie intéressée notre préférence est pour partie prenante

Pour d’autres définitions, commentaires, explications et interprétations que vous ne trouvez pas dans ce module et l'annexe 06 vous pouvez consulter :  

• Plateforme de consultation en ligne (OBP) de l’ISO
• Electropedia de l’IEC

Haut de page

2.3 Livres

Livres liés à la qualité et la sécurité de l'information

Quand je pense à tous les livres qu'il me reste encore à lire, j'ai la certitude d'être encore heureux. Jules Renard

Pour aller plus loin quelques livres sur l'IAintelligence artificielle :

•  Nicolas Sabouret, Lizete De Assis, Comprendre l'intelligence artificielle, Ellipses, 2019
•  Luc Julia, L'intelligence artificielle n'existe pas: Le cocréateur de Siri déconstruit le mythe de l'IA ! , 2020
•  Peter Norvig, Stuart Russell, Intelligence artificielle, Une approche moderne, Pearson, 2021
•  Daniel Andler, Intelligence artificielle, intelligence humaine : la double énigme, NRF Essais, 2023 
•  Jean-Paul Haton et al, Intelligences artificielles : de la théorie à la pratique : Modèles, applications et enjeux des IA, Dunod, 2023
•  Claude Pinet, 10 clés pour la sécurité de l'information : ISO/IEC 42001:2022, AFNOR, 2023 
•  David Brenet, L’intelligence artificielle expliquée – Des concepts de base aux applications avancées de l’IA, ENI, 2024
•  John Kyriazoglou, ISO 42001:2022 Guide de mise en œuvre : Comment mieux se conformer aux exigences de la norme ISO27K, Notre Savoir, 2024
•  Jean-François Deldon, Luc Truntzler, Guide de l'IA en entreprise, First Interactive, 2024
•  Pedro Uria-Recio, Comment l'IA Transformera Notre Avenir : Comprendre l'Intelligence Artificielle pour être à l'avant-garde. Apprentissage automatique. IA Générative. Robots. Superintelligence, Pedro URIA-RECIO, 2024
•  Jean-Baptiste LEHEUP, C’est décidé, je me mets à l’IA ! : Comprendre et utiliser l'intelligence artificielle au quotidien Broché, Independently published, 2024
•  Stéphane Roder, Guide pratique de l'intelligence artificielle dans l'entreprise : Après ChatGPT : Créer de la valeur, augmenter la performance, Eyrolles, 2024
•  Jean-Gabriel Ganascia, L'I.A. expliquée aux humains, Seuil, 2024
•  Thierry Gatines, Réussir sa certification ISO 42001, Thebookedition, 2025
•  Olivier Cappé, Claire Marc, Tout comprendre (ou presque) sur l'intelligence artificielle, CNRS, 2025
•  Luca Massaron et al, L'Intelligence artificielle pour les Nuls, Pour les nuls, 2025
•  Luc Julia, IA génératives, pas créatives. L'intelligence artificielle n'existe (toujours) pas, Cherche Midi, 2025
•  Benjamin Pouch, 7 jours pour débuter avec l’IA : Programme pas à pas pour débutants afin de maîtriser l’intelligence artificielle sans connaissances techniques, améliorer votre productivité et gagner du temps, Independently published, 2025
•  Jean-Baptiste Leheup, Découvrir l’IA avec Mistral : La puissance de l’intelligence artificielle avec le fleuron français ! Independently published, 2025
•  Alex Frith et al, L'intelligence artificielle - Découvrons ensemble - Dès 7 ans, Usborne, 2025
•  Marie Britom, L'intelligence artificielle pour débutants : Comprendre et utiliser l'IA au quotidien – même si vous partez de zéro, Independently published, 2025
   

Minute de détente. Jeu :  Procédure

Haut de page

• Accueil
• Mon compte
• Plan du site
• FAQ
• CGU