ISO/IEC 42001:2023 (ISO/IEC 42001:2023) — ACF Compliance

Retour à la couverture

ISO/IEC 42001:2023

ISO/IEC 42001:2023 — Information technology - Artificial intelligence - Management system

InternationalVoir la régulation officielle

articles documentés

obligations actionnables

niveaux de sanction

En vigueur depuis

2023-12-18

Périmètre d'application

Entités concernées

• ai_provider
• ai_developer
• ai_user_organization
• ai_deployer
• partner_in_ai_value_chain

Seuils d'application

• Toute organisation qui fournit, développe, utilise des systèmes IA ou en est affectée, quelle que soit la taille ou le secteur
• Standard certifiable via un organisme de certification accrédité (ISO/IEC 17021 + 42006 quand publié)

Exemptions

• Standard volontaire - aucune obligation légale directe, sauf si exigé par contrat / appel d'offres

Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Clause 4

Contexte de l'organisation

Identifier les enjeux internes / externes, les besoins et attentes des parties intéressées, le périmètre du SMSIA et son interaction avec d'autres systèmes de management (ISMS, QMS, PIMS).

Obligations

• Documenter les enjeux et parties intéressées (4.1, 4.2)
• Définir le périmètre du SMSIA en incluant systèmes IA développés / fournis / utilisés (4.3)
• Établir le SMSIA et l'améliorer continuement (4.4)

Clause 5

Leadership

Engagement de la direction, politique IA, attribution des rôles, responsabilités et autorités pour le SMSIA.

Obligations

• La direction doit démontrer son leadership (5.1)
• Établir une politique IA documentée (5.2)
• Définir rôles, responsabilités et autorités SMSIA (5.3)

Clause 6

Planification (incl. AI risk assessment et AI system impact assessment)

Actions face aux risques et opportunités, évaluation des risques IA (6.1.2), traitement des risques IA (6.1.3), évaluation d'impact des systèmes IA / AIIA (6.1.4), objectifs IA et planification du changement.

Obligations

• Définir et appliquer un processus d'AI risk assessment (6.1.2)
• Définir et appliquer un AI risk treatment plan (6.1.3) avec référence aux contrôles Annexe A
• Réaliser un AI System Impact Assessment - AIIA (6.1.4, annexe B contrôle A.5.5)
• Fixer des objectifs IA mesurables (6.2)
• Planifier les changements (6.3)

Clause 7

Support

Ressources, compétences, sensibilisation, communication, information documentée. Toutes les fonctions nécessaires au SMSIA doivent être supportées.

Obligations

• Allouer les ressources nécessaires (7.1)
• S'assurer des compétences (7.2)
• Sensibiliser le personnel (7.3)
• Définir les règles de communication interne / externe (7.4)
• Tenir l'information documentée à jour (7.5)

Clause 8

Operation

Planification et contrôle opérationnels, AI risk assessment et AI system impact assessment réalisés lors de l'opération, mise en œuvre des contrôles Annexe A.

Obligations

• Planifier et contrôler les opérations (8.1)
• Réaliser l'AI risk assessment au cours des opérations (8.2)
• Mettre en œuvre le AI risk treatment plan (8.3)
• Réaliser l'AIIA en opération (8.4)

Clause 9

Évaluation des performances

Surveillance, mesure, analyse et évaluation. Audit interne et revue de direction du SMSIA.

Obligations

• Surveiller, mesurer, analyser et évaluer le SMSIA (9.1)
• Conduire des audits internes planifiés (9.2)
• Conduire une revue de direction (9.3)

Clause 10

Amélioration

Amélioration continue, traitement des non-conformités, actions correctives.

Obligations

• Améliorer continuellement le SMSIA (10.1)
• Traiter les non-conformités et mettre en œuvre des actions correctives (10.2)

Annexe A

Reference controls (39 contrôles regroupés en 9 catégories A.2 à A.10)

39 contrôles de référence : politiques IA (A.2), structure organisationnelle (A.3), ressources (A.4), évaluation impact (A.5), cycle de vie système IA (A.6), données (A.7), information aux parties intéressées (A.8), usage des systèmes IA (A.9), tiers et parties prenantes (A.10).

Obligations

• Sélectionner et justifier les contrôles applicables dans la Statement of Applicability
• Implémenter les contrôles sélectionnés
• Documenter les décisions d'exclusion

Annexe B

Implementation guidance des contrôles Annexe A

Guidance d'implémentation pour chaque contrôle Annexe A : objectif, mise en œuvre, exemples. Notamment B.5.4 (AI system impact assessment) et B.6 (cycle de vie).

Obligations

• Utiliser B comme référence pour déployer chaque contrôle
• Adapter l'implémentation au contexte et à la taille de l'organisation

Annexe C / Annexe D

AI-related organizational objectives et risk sources / Use of AI MS across domains

Annexe C : liste indicative d'objectifs IA (équité, transparence, santé / sécurité, contestabilité, robustesse, fiabilité, etc.) et de sources de risque. Annexe D : guidance d'intégration du SMSIA avec d'autres référentiels sectoriels (santé, finance, etc.).

Obligations

• S'appuyer sur l'Annexe C pour formaliser les objectifs IA et la cartographie des risques
• Intégrer le SMSIA avec d'autres référentiels existants en utilisant la guidance D

Obligations transverses

11 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

GouvernanceClause 5.2
Établir une politique IA documentée approuvée par la direction (5.2)
GouvernanceClause 5.3
Définir et attribuer les rôles, responsabilités et autorités SMSIA (5.3)
ProcessClause 6.1.2
Mettre en place un processus d'AI risk assessment (6.1.2)
ProcessClause 6.1.3
Établir un AI risk treatment plan référençant les contrôles Annexe A (6.1.3)
DocumentationClause 6.1.3 · Annexe A
Produire une Statement of Applicability listant les contrôles Annexe A retenus / exclus
ProcessClause 6.1.4 · Annexe A.5
Conduire un AI System Impact Assessment (AIIA) pour chaque système IA pertinent (6.1.4, annexe B contrôle A.5.5)
DocumentationAnnexe A.6 · Annexe B.6
Documenter le cycle de vie IA et les processus de développement / acquisition (Annexe A.6)
GouvernanceAnnexe A.7 · Annexe B.7
Encadrer les données IA (qualité, gouvernance, provenance) (Annexe A.7)
DocumentationAnnexe A.8
Informer les parties intéressées (transparency, information utilisateurs) (Annexe A.8)
ProcessClause 9.2 · Clause 9.3
Conduire audits internes (9.2) et revues de direction (9.3) du SMSIA
ProcessClause 10.1 · Clause 10.2
Mettre en œuvre amélioration continue et actions correctives (10.1, 10.2)

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · N/A - certification volontaire

Aucune sanction pécuniaire imposée par la norme

Standard ISO volontaire - pas de sanctions légales

Base légale · Procédures ISO/IEC 17021 + 42006

Non-renouvellement, suspension ou retrait de certificat par l'organisme de certification accrédité

Conséquences en cas de non-conformité identifiée lors d'un audit de certification

Articulation avec l'AI Act

ISO/IEC 42001 est appelé à devenir la norme harmonisée européenne de référence pour l'AI Act. Articulation pratique : (1) un SMSIA conforme 42001 implémente directement les exigences AI Act art. 9 (risk management), art. 10 (data governance), art. 17 (quality management system), art. 14 (human oversight) ; (2) la clause 6.1.4 et l'AIIA recouvrent largement la FRIA AI Act art. 27 (avec des différences : la FRIA est obligatoire pour déployeurs publics et certains haut-risque, l'AIIA est plus large) ; (3) une certification 42001 crée une présomption favorable lors d'un audit de conformité art. 40-43, sans dispenser des obligations spécifiques AI Act ; (4) ISO/IEC 42005 (AI System Impact Assessment, en cours) viendra compléter 42001 pour la partie impact.

Retour à /coverage Lancer le Diagnostic Flash Discuter de votre périmètre