• Toute organisation qui développe, fournit, déploie ou utilise des systèmes IA, quel que soit son secteur ou sa taille
• Standard de guidance non certifiable seul - destiné à être appliqué en complément d'ISO 31000:2018 et d'ISO/IEC 42001:2023
Exemptions
• Standard volontaire - aucune obligation légale directe. Référencé comme méthodologie reconnue par les autorités de marché et les auditeurs IA
Articles clés
5 articles documentés
Articles structurants documentés dans la cartographie ACF.
Clause 4
Principes du risk management appliqués à l'IA
Reprise des 8 principes d'ISO 31000 (intégré, structuré et exhaustif, adapté, inclusif, dynamique, basé sur la meilleure information, facteurs humains et culturels, amélioration continue) avec leur déclinaison spécifique aux systèmes IA (transparence, biais, autonomie, explicabilité).
Obligations
• Intégrer la gestion des risques IA dans la gouvernance globale (4.1)
• Structurer la démarche risk management de manière exhaustive (4.2)
• Adapter l'approche au contexte IA (4.3)
• Prendre en compte les facteurs humains et culturels propres à l'IA (4.7)
Clause 5
Framework (cadre de management des risques IA)
Cadre organisationnel à mettre en place : leadership et engagement, intégration, conception du framework, mise en œuvre, évaluation et amélioration. Spécifie comment incarner la politique risk management dans une organisation qui développe ou utilise de l'IA.
Obligations
• Démontrer leadership et engagement de la direction (5.2)
• Intégrer le framework dans toutes les fonctions de l'organisation (5.3)
• Concevoir et adapter le framework au contexte IA (5.4)
• Mettre en œuvre, évaluer et améliorer continuellement le framework (5.5 à 5.7)
Clause 6
Processus de risk management (cœur du standard)
Processus en 6 étapes : communication et consultation, scope/context/criteria, risk assessment (identification + analyse + évaluation), risk treatment, monitoring & review, recording & reporting. Chaque étape est commentée avec exemples IA spécifiques (biais de données, hallucinations, drift, attaques adversariales, manque d'explicabilité).
Obligations
• Communiquer et consulter les parties prenantes IA (6.2)
• Définir scope, contexte et critères de risque IA (6.3)
• Conduire risk identification IA (6.4.2)
• Conduire risk analysis IA - vraisemblance et impact (6.4.3)
• Conduire risk evaluation IA - décision de traitement (6.4.4)
• Définir et appliquer le risk treatment IA (6.5)
• Surveiller et revoir les risques en continu (6.6)
• Enregistrer et rapporter (6.7)
Annexe A
Objectifs IA et sources de risque
Liste d'objectifs IA usuels (équité/fairness, accountability, explainability, transparence, robustesse, fiabilité, contrôle humain, sûreté/safety, sécurité, privacy) et des sources de risque IA correspondantes. Fournit un catalogue de référence pour la phase d'identification des risques.
Obligations
• S'appuyer sur Annexe A pour formaliser les objectifs IA (fairness, explainability, etc.)
• Utiliser le catalogue de sources de risque comme checklist d'identification
Annexe B
Intégration du risk management dans le cycle de vie IA
Décrit comment intégrer le processus risk management dans chacune des phases du cycle de vie (inception, design and development, verification & validation, deployment, operation & monitoring, re-evaluation, retirement). Pont explicite avec ISO/IEC 5338 (lifecycle processes).
Obligations
• Décliner le processus risk management dans chaque phase du cycle de vie IA
• Articuler la démarche avec ISO/IEC 5338 pour les processus de cycle de vie
• Mettre à jour l'évaluation des risques à chaque jalon du cycle de vie
Adopter un framework de risk management IA aligné sur ISO 31000 et 23894 (Clause 5)
ProcessClause 6.3
Définir scope, contexte et critères de risque IA (incl. niveau d'acceptation des risques)
ProcessClause 6.4.2 · Annexe A
Conduire une identification systématique des risques IA (biais, dérive, sécurité, explicabilité)
ProcessClause 6.4.3 · Clause 6.4.4
Conduire une analyse des risques IA (vraisemblance × impact) et leur évaluation
ProcessClause 6.5
Définir et appliquer un plan de traitement des risques IA (évitement, réduction, transfert, acceptation)
ProcessClause 6.6 · Annexe B
Mettre en place un monitoring continu des risques IA sur tout le cycle de vie
DocumentationClause 6.7
Enregistrer et rapporter les risques IA et leur traitement (registre risk management IA)
GouvernanceClause 6.2
Communiquer et consulter les parties prenantes sur les risques IA (utilisateurs, métiers, comité éthique)
ProcessAnnexe B
Réévaluer les risques à chaque étape clé du cycle de vie IA (design, V&V, déploiement, opération)
GouvernanceClause 5.7
Démontrer l'amélioration continue du framework risk management IA
Sanctions
Montants maximaux applicables selon les articles fixés par le texte.
Base légale · N/A - guidance volontaire
Aucune sanction pécuniaire imposée par la norme
Standard ISO volontaire - pas de sanctions légales
Base légale · ISO/IEC 42001 §6.1 + AI Act Art. 9 (risk management system)
Non-conformité ISO/IEC 42001 (clauses 6.1.2 / 6.1.3), refus de certification, présomption négative AI Act art. 9
Conséquences d'une démarche risk management IA insuffisante constatée lors d'audit AI Act, AIMS (42001) ou client
Articulation avec l'AI Act
ISO/IEC 23894 est le cadre méthodologique de référence pour démontrer la conformité à l'AI Act art. 9 (risk management system pour les systèmes haut-risque). Articulation pratique : (1) art. 9 AI Act exige un processus itératif d'identification, estimation, évaluation et atténuation des risques sur tout le cycle de vie - ISO 23894 décrit exactement ce processus ; (2) ISO/IEC 42001 §6.1.2 et §6.1.3 délèguent la méthodologie risk management à ISO 23894 ; (3) en pratique, un déployeur qui souhaite démontrer art. 9 AI Act sans effort de réinvention adopte ISO 23894 comme méthode et documente ses livrables (registre risque, traitement, monitoring) conformément à ce standard ; (4) la complémentarité avec NIST AI RMF (Govern/Map/Measure/Manage) est explicitement reconnue - ISO 23894 et NIST AI RMF sont alignés.