• Toute organisation qui développe, intègre, déploie ou maintient un système IA tout au long de son cycle de vie
• Particulièrement pertinent pour les systèmes haut-risque AI Act (Annexe III) soumis à documentation technique (Annexe IV) et à post-market monitoring
• Standard de processus non certifiable seul - applicable en complément d'ISO/IEC 42001 (Annexe A.6) et d'ISO/IEC 23894 (cycle de vie risk management)
Exemptions
• Standard volontaire - aucune obligation légale directe. Devient de facto la référence pour documenter le cycle de vie d'un système IA haut-risque selon AI Act art. 11 + Annexe IV
Articles clés
7 articles documentés
Articles structurants documentés dans la cartographie ACF.
Clause 4
Concepts et structure de processus IA
Pose les concepts de cycle de vie IA : phases (inception, design and development, verification and validation, deployment, operation and monitoring, continuous validation, re-evaluation, retirement), processus (techniques, gestion, agreement) et activités. Pose la spécificité IA : itérativité, dépendance aux données, dérive (drift), retraining, contrôle humain.
Obligations
• Adopter une vision processus du cycle de vie IA
• Reconnaître la spécificité itérative et data-dépendante des systèmes IA
Processus d'acquisition et de fourniture d'un système IA : appel d'offres, contractualisation, transfert de propriété intellectuelle, exigences sur les données d'entraînement et leur provenance, garanties de performance, SLA en production, conditions de retrait.
Obligations
• Définir les exigences IA dans les contrats fournisseurs (datasets, performance, retraining)
• Encadrer le transfert et la responsabilité des modèles entre acquéreur et fournisseur
• Documenter les garanties de performance et SLA en production
Clause 6
Processus organizational project-enabling
Processus qui supportent les projets IA dans l'organisation : life cycle model management, infrastructure management, portfolio management, human resource management, quality management, knowledge management. Spécificité IA : compétences pluridisciplinaires (data science + métier + éthique + juridique), infrastructure MLOps, gouvernance des modèles.
Obligations
• Maintenir un référentiel de cycle de vie IA appliqué à tous les projets
• Gérer les ressources et compétences IA (data science, MLOps, éthique IA)
• Mettre en place une gouvernance des modèles (model governance)
Clause 7
Processus technical management (gestion projet IA)
Processus de pilotage projet IA : project planning, project assessment and control, decision management, risk management (renvoi à ISO 23894), configuration management (versioning code + données + modèles), information management, measurement, quality assurance.
Obligations
• Planifier explicitement les projets IA avec jalons spécifiques (data collection, training, V&V, déploiement)
• Mettre en place un configuration management couvrant code, données et modèles (model registry)
• Articuler la gestion des risques projet avec ISO 23894
Clause 8
Processus technical (cœur du standard - cycle de vie technique)
Processus techniques pour développer et exploiter un système IA : business or mission analysis, stakeholder needs and requirements definition, system requirements definition, architecture definition, design definition, system analysis, implementation (data acquisition + model training), integration, verification, transition, validation, operation, maintenance, disposal. Activités IA spécifiques : data collection / labeling / cleansing, feature engineering, model selection, training, hyperparameter tuning, model evaluation, deployment, monitoring (incl. drift), retraining, retirement.
Obligations
• Définir besoins et exigences IA en intégrant performance, robustesse, fairness, explicabilité
• Documenter l'architecture et la design definition (8.4 / 8.5)
• Tracer la collecte et la préparation des données d'entraînement (8.7 implementation)
• Conduire la verification du modèle (tests techniques 8.9) et la validation (8.11 conformité aux besoins)
• Mettre en place monitoring en production : performance, drift, biais, sécurité (8.13 operation)
• Maintenir le système IA : retraining, mise à jour, gestion des incidents (8.14 maintenance)
• Définir et exécuter la phase de retrait / décommissionnement (8.15 disposal)
Annexe A
Mapping ISO 5338 ↔ ISO/IEC/IEEE 12207 et 15288
Tables d'équivalence entre les processus ISO 5338 et les processus génériques de cycle de vie logiciel (12207) et système (15288). Permet aux organisations ayant déjà adopté ces standards d'identifier rapidement les processus à ajouter ou adapter pour l'IA.
Obligations
• Mutualiser la documentation lorsque l'organisation utilise déjà 12207 ou 15288
• Identifier les processus IA additionnels via les tables de mapping
Annexe B
Activités IA spécifiques et bonnes pratiques
Catalogue d'activités IA techniques : data versioning, model registry, automated retraining pipelines, drift detection, A/B testing en production, shadow deployment, canary release, model card / system card publication, post-market monitoring. Bonnes pratiques MLOps.
Obligations
• Mettre en place un model registry (versioning des modèles)
• Implémenter une détection de drift en production
• Publier des model cards / system cards décrivant les caractéristiques du modèle
• Conduire un post-market monitoring conforme AI Act art. 72
Documenter besoins, architecture et design definition d'un système IA
TechniqueClause 8.7
Tracer la collecte, le nettoyage et la préparation des données d'entraînement
ProcessClause 8.9 · Clause 8.11
Conduire verification (tests techniques) et validation (conformité aux besoins) du système IA
TechniqueClause 8.13 · Annexe B
Mettre en place un monitoring en production : performance, drift, biais, sécurité
ProcessClause 8.14
Maintenir le système IA : retraining, mises à jour, gestion d'incidents
ProcessClause 8.15
Définir et exécuter la phase de retrait / décommissionnement du système IA
DocumentationAnnexe B
Publier des model cards / system cards décrivant le modèle (performance, limites, usage prévu)
ProcessAnnexe B
Conduire un post-market monitoring conforme AI Act art. 72 (incidents, drift, mises à jour)
Sanctions
Montants maximaux applicables selon les articles fixés par le texte.
Base légale · N/A - guidance volontaire
Aucune sanction pécuniaire imposée par la norme
Standard ISO volontaire - pas de sanctions légales
Base légale · AI Act Art. 11 + Annexe IV + Art. 72 (post-market monitoring) + Art. 99 §4
Jusqu'à 15 M€ ou 3 % CA mondial (AI Act art. 99 §4 - obligations providers)
Conséquences en cas de défaut de documentation cycle de vie pour système IA haut-risque AI Act
Base légale · ISO/IEC 42001:2023 Annexe A.6
Refus ou retrait de certification ISO/IEC 42001
Conséquences en cas de non-conformité ISO 42001 Annexe A.6 (cycle de vie)
Articulation avec l'AI Act
ISO/IEC 5338 est le standard méthodologique de référence pour structurer le cycle de vie d'un système IA, et donc pour produire la documentation technique AI Act art. 11 + Annexe IV. Articulation pratique : (1) AI Act art. 11 + Annexe IV exigent une documentation technique couvrant description, conception, processus de développement, données d'entraînement, V&V, monitoring - ISO 5338 décrit exactement ces processus et fournit la structure de référence ; (2) ISO/IEC 42001 Annexe A.6 (AI system life cycle) renvoie à ISO 5338 pour le détail des processus ; (3) AI Act art. 72 (post-market monitoring system) trouve dans ISO 5338 §8.13 + Annexe B son équivalent méthodologique (monitoring, drift detection, model registry) ; (4) AI Act art. 9 (risk management) sur tout le cycle de vie est cohérent avec ISO 5338 (intégration risk management à chaque phase, renvoi explicite à ISO 23894) ; (5) une organisation qui structure ses processus IA selon ISO 5338 dispose d'un socle directement réutilisable pour la documentation technique AI Act et pour la certification ISO 42001.