Guide ISO/IEC 42001 — cours gratuit sur la norme de système de management de l’IA
Qu'est-ce que la norme ISO/IEC 42001?
Qu'est-ce que la norme ISO/IEC 42001?
La norme ISO/IEC 42001:2023 est la norme internationale qui spécifie les exigences relatives à un système de management de l'intelligence artificielle (SMIA). Publiée en décembre 2023 par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle constitue la toute première norme certifiable au monde pour un système de management de l'intelligence artificielle.
Son titre complet est *Technologies de l'information — Intelligence artificielle — Système de management*. À l'instar de la norme ISO 27001 pour la sécurité de l'information ou de la norme ISO 9001 pour la qualité, la norme ISO 42001 ne vous indique pas quels modèles d'IA construire ni quels algorithmes utiliser. Elle vous indique comment gouverner la façon dont votre organisation développe, fournit ou utilise des systèmes d'IA — de manière responsable et documentée.
Source officielle : ISO/IEC 42001:2023
Ce que signifie une « norme de système de management »
Une norme de système de management décrit la mécanique organisationnelle continue — politiques, rôles, processus, mesures, enregistrements, audits — qu'une organisation met en place pour atteindre systématiquement un objectif défini. Pour la norme ISO 42001, cet objectif est le développement et l'utilisation responsables de l'IA.
Il s'agit d'une distinction cruciale. La norme ISO 42001 n'est pas :
- Une certification de produit pour un modèle d'IA précis
- Une référence technique de justesse, de latence ou de performance
- Une évaluation ponctuelle que l'on réussit puis que l'on oublie
Il s'agit d'un système vivant. Vous l'établissez, vous l'exploitez, vous le surveillez et vous l'améliorez de façon continue. Un auditeur examine non seulement si vous avez rédigé une politique, mais aussi si le système fonctionne réellement — si vous évaluez les risques liés à l'IA avant le déploiement, si vous documentez les décisions, si vous examinez la performance et si vous corrigez les problèmes lorsqu'ils surviennent.
Pourquoi la norme ISO 42001 a-t-elle été créée
Dès 2023, partout, les organisations déployaient l'IA plus vite qu'elles ne pouvaient la gouverner. Les normes existantes couvraient la sécurité de l'information (ISO 27001), la qualité (ISO 9001) et la protection de la vie privée (ISO 27701), mais aucune ne traitait des risques distinctifs des systèmes d'IA :
- L'opacité — des modèles dont les décisions sont difficiles à expliquer
- Les biais et l'équité — des sorties qui peuvent systématiquement désavantager des groupes de personnes
- L'autonomie — des systèmes qui agissent ou décident avec une supervision humaine limitée
- L'apprentissage continu — des modèles dont le comportement change à mesure que les données changent
- La dépendance aux données — la qualité et la provenance des données d'entraînement qui déterminent des résultats concrets
Les autorités de réglementation ont répondu par la loi (le Règlement européen sur l'IA, le projet de LIAD au Canada, des lignes directrices sectorielles). L'ISO et l'IEC ont répondu par un cadre volontaire et auditable qui offre aux organisations une manière structurée et internationalement reconnue de démontrer qu'elles maîtrisent ces risques — quelle que soit la loi précise qui s'applique à elles.
Volontaire et certifiable
Deux mots définissent le caractère de la norme ISO 42001 :
| Propriété | Ce que cela signifie |
|---|---|
| Volontaire | Aucune loi ne vous oblige à adopter la norme ISO 42001. Vous la choisissez pour bâtir la confiance, satisfaire vos clients et prendre les devants sur la réglementation. |
| Certifiable | Un organisme de certification tiers accrédité peut auditer votre SMIA et délivrer un certificat officiel attestant que votre système est conforme à la norme. |
C'est le caractère certifiable qui distingue la norme ISO 42001 de la plupart des autres cadres relatifs à l'IA. Le cadre de gestion des risques liés à l'IA du NIST, par exemple, constitue d'excellentes lignes directrices — mais il n'existe pas de certificat du NIST. La norme ISO 42001 vous permet de présenter à un client, à une autorité de réglementation ou à un conseil d'administration un résultat d'audit indépendant, et non une simple autodéclaration.
Qui la publie et la maintient
La norme ISO 42001 est un produit conjoint de l'ISO et de l'IEC, élaboré par l'entremise du sous-comité ISO/IEC JTC 1/SC 42, qui est l'organe international responsable de la normalisation de l'IA. Le SC 42 a également produit les normes complémentaires que vous rencontrerez plus loin dans ce cours, notamment ISO/IEC 22989 (concepts et terminologie de l'IA) et ISO/IEC 23894 (lignes directrices sur la gestion des risques liés à l'IA).
Où la norme ISO 42001 se situe dans le paysage plus large
Voyez la norme ISO 42001 comme la colonne vertébrale de gouvernance qui relie tout ce que votre organisation fait avec l'IA :
- Elle se situe au-dessus des projets d'IA individuels, en leur donnant une politique, un processus de gestion des risques et une structure de responsabilité communs.
- Elle s'intègre à vos systèmes de management existants (sécurité, qualité, protection de la vie privée) plutôt que de les remplacer.
- Elle soutient vos efforts de conformité légale — mais un certificat n'est pas en soi une preuve de conformité à une loi précise.
Nous explorons chacun de ces fils conducteurs dans les modules qui suivent. Pour une orientation plus large, consultez les guides complémentaires sur la gouvernance de l'IA et le Règlement européen sur l'IA.
Quiz du module
1. Quand la norme ISO/IEC 42001 a-t-elle été publiée?
2. De quel type de norme s'agit-il pour ISO/IEC 42001?
3. Qu'est-ce qui distingue la norme ISO 42001 du cadre de gestion des risques liés à l'IA du NIST?
4. La norme ISO/IEC 42001 a été élaborée par quel organe?
Tous les modules
Rédigé et tenu à jour par Vivek Chakravarthy, fondateur de Canuckt.
Articles connexes
Approfondissez avec ces analyses du blogue Canuckt.
La Loi européenne sur l'IA pour les PME canadiennes : quand elle s'applique vraiment à vous
La plupart des PME canadiennes voient la Loi européenne sur l'IA comme un problème européen. Voici précisément quand elle traverse l'Atlantique jusqu'à une entreprise de Halifax ou de Calgary — et quoi faire à ce sujet.
LireLe Règlement européen sur l'IA s'applique-t-il à mon entreprise canadienne ? Guide de décision 2026
Vous n'avez pas besoin d'un bureau en Europe pour que le Règlement européen sur l'IA vous atteigne. Si votre IA touche des personnes dans l'UE, ou si son résultat y aboutit, vous pourriez être visé. Voici un guide de décision conçu pour les entreprises canadiennes.
LireCe que la décision du CPVP sur ChatGPT signifie pour votre entreprise canadienne
Les autorités fédérale et provinciales de protection de la vie privée du Canada ont conclu qu'OpenAI a recueilli des renseignements personnels sans consentement valide et n'offrait aux personnes aucun moyen réel de les corriger ou de les supprimer. Voici ce que cette décision sur ChatGPT change réellement pour une entreprise qui utilise l'IA.
LirePourquoi les outils de détection à code source ouvert comme Presidio ne suffisent pas pour la conformité canadienne
Presidio est un outil à code source ouvert bien conçu. Il est aussi centré sur les États-Unis, exige une configuration importante pour les identifiants canadiens et fait reposer toute la charge de conformité sur votre équipe d'ingénierie.
Lire