• Toute organisation qui développe, fournit ou déploie un système IA susceptible d'avoir des impacts sur les individus, les groupes ou la société
• Particulièrement pertinent pour les systèmes IA classés haut-risque (AI Act Annexe III) et pour les déployeurs publics tenus à la FRIA (AI Act art. 27)
• Standard de guidance non certifiable seul - destiné à être appliqué en complément d'ISO/IEC 42001:2023 (clause 6.1.4 / contrôle A.5.5)
Exemptions
• Standard volontaire - aucune obligation légale directe. Devient de facto obligatoire pour démontrer la conformité à l'AI Act art. 27 (FRIA) et à ISO 42001 §6.1.4
Articles clés
6 articles documentés
Articles structurants documentés dans la cartographie ACF.
Clause 4
Concepts et démarche AIIA
Définit le concept d'AI System Impact Assessment (AIIA) : démarche systématique de description, d'analyse et d'évaluation des impacts (positifs et négatifs) d'un système IA sur les individus, les groupes et la société. Articulation avec risk management (ISO 23894), évaluation d'impact privacy (ISO 29134) et FRIA (AI Act art. 27).
Obligations
• Comprendre la distinction entre impact assessment (sur les personnes / société) et risk assessment (sur l'organisation)
• Cadrer l'AIIA comme livrable du SMSIA (ISO 42001 §6.1.4 / contrôle A.5.5)
• Articuler l'AIIA avec les autres évaluations d'impact applicables (DPIA, FRIA)
Clause 5
Cadre organisationnel de l'AIIA
Décrit les conditions organisationnelles pour conduire une AIIA : leadership, politique d'impact assessment, ressources, rôles et responsabilités, compétences et formations nécessaires (incl. expertise éthique, juridique, sociotechnique, métier).
Obligations
• Définir une politique d'AIIA approuvée par la direction
• Désigner un responsable d'AIIA (ou comité éthique IA)
• Allouer les ressources et compétences pluridisciplinaires nécessaires
• Documenter les rôles et responsabilités dans la conduite des AIIA
• Définir les conditions de déclenchement d'une AIIA (6.2)
• Cadrer le scope, les objectifs et les parties prenantes affectées (6.3)
• Collecter et documenter les données sur le système IA et son contexte (6.4)
• Identifier les impacts potentiels sur individus, groupes et société (6.5)
• Analyser et évaluer les impacts (sévérité, vraisemblance, réversibilité) (6.6)
• Déterminer et documenter les mesures de traitement (6.7)
• Documenter l'AIIA dans un rapport structuré (6.8)
• Communiquer le rapport aux parties prenantes pertinentes (6.9)
• Revoir et mettre à jour l'AIIA à chaque changement substantiel (6.10)
Annexe A
Domaines d'impact à analyser
Catalogue de domaines d'impact à passer en revue lors d'une AIIA : dignité humaine, autonomie individuelle, non-discrimination et égalité (biais), vie privée et protection des données, sûreté physique et santé, sécurité psychologique, démocratie et état de droit, accès à l'information, environnement, conditions de travail, accessibilité, droits de l'enfant.
Obligations
• Utiliser le catalogue Annexe A comme grille d'analyse exhaustive
• Justifier l'exclusion de tout domaine non analysé
Annexe B
Articulation avec FRIA, DPIA et autres évaluations d'impact
Tables d'équivalence et de complémentarité avec les évaluations d'impact connexes : Fundamental Rights Impact Assessment (AI Act art. 27), Data Protection Impact Assessment (RGPD art. 35), Algorithmic Impact Assessment (Canada Directive on Automated Decision-Making), Human Rights Impact Assessment (UNGP).
Obligations
• Mutualiser les livrables AIIA / FRIA / DPIA lorsque les exigences se recouvrent
• Documenter explicitement les obligations légales additionnelles couvertes par l'AIIA
Annexe C
Modèle de rapport AIIA
Template structuré de rapport AIIA : description du système, contexte d'utilisation, parties prenantes, méthodologie, impacts identifiés, évaluation, mesures de traitement, monitoring prévu, signatures et approbations.
Obligations
• Adopter ou adapter le template Annexe C comme structure de référence pour le rapport AIIA
• Conserver la traçabilité des décisions dans le rapport (auteurs, dates, validations)
Définir une politique d'AIIA et désigner un responsable (ou comité éthique IA)
ProcessClause 6.2
Définir les critères de déclenchement d'une AIIA (criticité, classification AI Act, changement majeur)
ProcessClause 6.3
Cadrer chaque AIIA (scope, objectifs, parties prenantes affectées)
DocumentationClause 6.4
Collecter et documenter les données sur le système IA et son contexte d'usage
ProcessClause 6.5 · Annexe A
Identifier les impacts sur les individus, groupes et société selon le catalogue Annexe A
ProcessClause 6.6
Analyser et évaluer les impacts (sévérité, vraisemblance, réversibilité, étendue)
ProcessClause 6.7
Déterminer et documenter des mesures de traitement (mitigation, transparence, contrôle humain)
DocumentationClause 6.8 · Annexe C
Produire un rapport AIIA structuré conforme au template Annexe C
NotificationClause 6.9
Communiquer le rapport AIIA aux parties prenantes pertinentes (utilisateurs, autorités, partenaires)
ProcessClause 6.10
Réviser l'AIIA à chaque changement substantiel du système ou de son contexte
DocumentationAnnexe B
Articuler l'AIIA avec les évaluations connexes : FRIA (AI Act art. 27), DPIA (RGPD art. 35)
Sanctions
Montants maximaux applicables selon les articles fixés par le texte.
Base légale · N/A - guidance volontaire
Aucune sanction pécuniaire imposée par la norme
Standard ISO volontaire - pas de sanctions légales
Base légale · AI Act Art. 27 + Art. 99 §4
Jusqu'à 15 M€ ou 3 % CA mondial (AI Act art. 99 §4 - obligations déployeurs)
Conséquences si l'AIIA est exigée par l'AI Act art. 27 (FRIA) et que l'organisation ne la produit pas
Base légale · ISO/IEC 42001:2023 §6.1.4 + Annexe A.5.5
Non-conformité ISO 42001, refus ou retrait de certification
Conséquences si l'AIIA est exigée par ISO 42001 (§6.1.4 / contrôle A.5.5) et défaillante
Articulation avec l'AI Act
ISO/IEC 42005 est l'outil méthodologique de référence pour produire la Fundamental Rights Impact Assessment (FRIA) imposée par l'AI Act art. 27 aux déployeurs publics et à certains déployeurs privés de systèmes haut-risque. Articulation pratique : (1) AI Act art. 27 impose une évaluation des impacts sur les droits fondamentaux avant la mise en service - ISO 42005 décrit exactement la méthode (clause 6 + Annexe A) ; (2) ISO/IEC 42001 §6.1.4 et contrôle A.5.5 exigent un AIIA - ISO 42005 est le standard d'application ; (3) l'AIIA ISO 42005 est plus large que la FRIA (couvre aussi impacts environnementaux, conditions de travail, accessibilité) - une AIIA bien conduite couvre la FRIA et au-delà ; (4) articulation avec RGPD art. 35 DPIA : l'Annexe B fournit les tables d'équivalence pour mutualiser les livrables ; (5) une AIIA documentée selon ISO 42005 constitue une présomption favorable lors d'un contrôle AI Act et facilite la démonstration de due diligence.