L'essentiel
Publiée en décembre 2023, ISO/IEC 42001 est la première norme internationale certifiable consacrée au système de gestion de l'IA, l'AIMS. Elle fait pour l'IA ce qu'ISO 27001 a fait pour la sécurité de l'information : transformer des bonnes intentions en système vérifiable.
La norme suit la structure harmonisée des systèmes de gestion ISO : contexte, leadership, planification, support, opération, évaluation de la performance, amélioration. Une annexe de contrôles propres à l'IA la complète, du cycle de vie des systèmes à l'évaluation d'impact.
Sa logique est le cycle planifier, déployer, vérifier, améliorer. On ne certifie pas une IA parfaite ; on certifie une organisation qui sait encadrer la sienne et le prouver.
Quoi
Une norme de système de gestion, comme ISO 9001 ou ISO 27001, mais pour l'IA. Certification par tierce partie possible.
Depuis
Décembre 2023. Les premières certifications d'organisations ont suivi dès 2024.
Pour qui
Toute organisation qui développe ou utilise de l'IA et veut une gouvernance démontrable, de la PME au groupe.
Ce que la norme exige, en pratique
| Exigence | En clair |
|---|---|
| Contexte et parties prenantes | Savoir quels systèmes d'IA vous touchent, et qui ils touchent. |
| Leadership et politique | Une politique IA portée par la direction, avec des rôles nommés. |
| Évaluation des risques et impacts | Apprécier les risques et les impacts de chaque système, avant et pendant son usage. |
| Cycle de vie encadré | Mise en service, surveillance, modification et retrait documentés. |
| Amélioration continue | Audits internes, revues de direction, correctifs : le système apprend. |
Dans le référentiel IA id, ISO/IEC 42001 pèse fortement sur les propriétés Gouvernée, Imputable et Reproductible. identifiable atteste un état et une trajectoire vers la norme ; le cabinet n'est pas un organisme de certification accrédité.
Comment identifiable vous y prépare
identifiable prépare votre organisation à ISO/IEC 42001 : formation sur la norme, construction de votre AIMS, et évaluation de votre trajectoire contre le référentiel IA id.
Trois questions qui reviennent
La certification est-elle obligatoire ?
Non. Mais elle devient un avantage concurrentiel dans les appels d'offres, et une réponse solide quand un client demande comment votre IA est gouvernée.
Quelle différence avec le NIST AI RMF ?
Le NIST AI RMF est un cadre volontaire de gestion du risque ; ISO/IEC 42001 est une norme certifiable de système de gestion. Le premier nourrit le second. Le référentiel IA id les fait converger.
Combien de temps pour s'y préparer ?
Cela dépend de votre point de départ, et c'est exactement ce que l'Indice IA mesure. Une PME avec des pratiques documentées peut viser une trajectoire en mois, pas en années.
À quelle distance êtes-vous d'ISO/IEC 42001 ?
L'Indice IA mesure vos six propriétés contre les quatre cadres, dont ISO/IEC 42001. Première lecture en douze questions.