| DÉCLARATION D'APPLICABILITÉ (SoA) Statement of Applicability — ISO/IEC 42001:2023 Annexe A | |||
| Référence | SOA-SMIA-001 | Version | 1.0 |
| Date | [JJ/MM/AAAA] | Prochaine revue | [JJ/MM/AAAA] |
| Responsable SMIA | [Nom, Fonction] | Approuvé par | [Nom, Fonction — Direction Générale] |
| Classification | Confidentiel | ||
Modèle gratuit — ISO 42001
La présente Déclaration d'Applicabilité (Statement of Applicability — SoA) identifie les contrôles de l'Annexe A de la norme ISO/IEC 42001:2023 qui sont applicables au Système de Management de l'Intelligence Artificielle (SMIA) de [Nom de l'organisation], ainsi que les justifications des éventuelles exclusions.
Ce document est un livrable obligatoire de la norme ISO/IEC 42001:2023 (clause 6.1.3) et constitue une pièce essentielle de l'audit de certification.
| Réf. | Intitulé du contrôle | Appl. | Justification d'exclusion (si Non) | Impl. | Moyen de mise en œuvre | Document de référence |
|---|---|---|---|---|---|---|
| A.2 — Politiques liées à l'IA | ||||||
| A.2.1 | Politique d'IA | Oui | — | Partiel | Politique IA d'entreprise rédigée, en cours de validation par la Direction Générale. | POL-IA-001 |
| A.2.2 | Politique d'utilisation interne de l'IA | Oui | — | Non | Charte d'utilisation de l'IA à rédiger. Intégration prévue au règlement intérieur. | À créer |
| A.3 — Organisation interne | ||||||
| A.3.1 | Rôles et responsabilités IA | Oui | — | Partiel | Responsable SMIA nommé. Comité IA constitué. Fiches de poste à mettre à jour. | NOM-RSMIA-001, CR-ComIA |
| A.3.2 | Reporting interne IA | Oui | — | Partiel | Reporting trimestriel au Comité IA en place. Tableau de bord SMIA en cours de déploiement. | TDB-SMIA-001 |
| A.3.3 | Allocation des ressources | Oui | — | Oui | Budget SMIA validé par la Direction. Ressources humaines allouées (RSMIA + équipe projet). | BUD-SMIA-2026 |
| A.4 — Ressources liées aux systèmes IA | ||||||
| A.4.1 | Inventaire des systèmes IA | Oui | — | Oui | Registre des systèmes IA tenu à jour. Processus de déclaration formalisé. | REG-SIA-001 |
| A.4.2 | Classification des systèmes IA | Oui | — | Oui | Classification selon les niveaux de risque AI Act réalisée pour tous les systèmes inventoriés. | REG-SIA-001 (colonne risque) |
| A.4.3 | Gestion responsable des données | Oui | — | Partiel | Politique de gestion des données existante (RGPD). Extension aux spécificités IA en cours. | POL-DATA-001 |
| A.4.4 | Documentation des systèmes IA | Oui | — | Partiel | Template de documentation technique créé. Documentation complète pour 3/5 systèmes. | DOC-TECH-SIA |
| A.4.5 | Provisionnement et qualité des données | Oui | — | Non | Critères de qualité des données IA à définir. Processus de vérification à mettre en place. | À créer |
| A.4.6 | Maintenance des systèmes IA | Oui | — | Non | Procédure de maintenance (monitoring, réentraînement, patching) à formaliser. | À créer |
| A.5 — Évaluation d'impact des systèmes IA | ||||||
| A.5.1 | Évaluation d'impact IA | Oui | — | Oui | Procédure EIAD formalisée et approuvée. Évaluations réalisées pour les systèmes à haut risque. | PRO-EIAD-001, REG-EIAD |
| A.5.2 | Traitement des résultats d'évaluation | Oui | — | Oui | Plan de traitement des risques intégré. Actions de mitigation suivies dans le tableau de bord. | PTR-SMIA-001 |
| A.5.3 | Surveillance continue des impacts | Oui | — | Non | Monitoring automatisé à mettre en place. KPIs d'impact à définir. | À créer |
| A.5.4 | Documentation des évaluations d'impact | Oui | — | Oui | Registre EIAD formalisé avec archivage des preuves et décisions. | REG-EIAD-001 |
| A.6 — Cycle de vie des systèmes IA | ||||||
| A.6.1 | Gestion du cycle de vie | Oui | — | Non | Processus de cycle de vie à formaliser (de la conception au retrait). | À créer |
| A.6.2 | Conception et développement | Oui | — | Partiel | Bonnes pratiques de développement documentées. Intégration des principes IA responsable en cours. | GUIDE-DEV-IA-001 |
| A.6.3 | Vérification et validation | Oui | — | Partiel | Tests de performance réalisés. Tests de biais et de robustesse à systématiser. | PRO-TEST-IA-001 |
| A.6.4 | Déploiement | Oui | — | Non | Procédure de déploiement avec go/no-go et plan de rollback à formaliser. | À créer |
| A.6.5 | Exploitation et surveillance | Oui | — | Non | Monitoring des performances en production à automatiser. Alertes de dérive à configurer. | À créer |
| A.6.6 | Mise hors service | Oui | — | Non | Procédure de retrait des systèmes IA à rédiger. | À créer |
| A.6.7 | Gestion des changements IA | Oui | — | Non | Processus de gestion des changements IA à intégrer au processus de change management existant. | À créer |
| A.7 — Relations avec les tiers | ||||||
| A.7.1 | Chaîne d'approvisionnement IA | Oui | — | Partiel | Liste des fournisseurs IA établie. Analyse des risques de la chaîne d'approvisionnement en cours. | REG-FOURN-IA-001 |
| A.7.2 | Évaluation des fournisseurs IA | Oui | — | Non | Grille d'évaluation des fournisseurs IA à créer. Critères spécifiques IA à définir. | À créer |
| A.7.3 | Contrats et SLA | Oui | — | Non | Clauses contractuelles IA type à rédiger. Intégration dans les contrats existants. | À créer |
| A.7.4 | Surveillance des fournisseurs | Oui | — | Non | Processus de surveillance continue des fournisseurs IA à mettre en place. | À créer |
| A.7.5 | Communication avec les utilisateurs | Oui | — | Partiel | Information IA présente sur le chatbot RH. Extension à tous les systèmes à planifier. | Notice chatbot RH |
| A.8 — Données pour les systèmes IA | ||||||
| A.8.1 | Gouvernance des données IA | Oui | — | Non | Cadre de gouvernance des données spécifique IA à créer (complémentaire au RGPD existant). | À créer |
| A.8.2 | Qualité des données | Oui | — | Non | Métriques de qualité des données IA à définir et à mesurer systématiquement. | À créer |
| A.8.3 | Protection des données personnelles | Oui | — | Oui | Conformité RGPD assurée par le DPO. AIPD réalisées pour les traitements IA à données personnelles. | REG-AIPD, POL-RGPD |
| A.8.4 | Détection et atténuation des biais | Oui | — | Non | Processus de détection des biais à formaliser. Outils et métriques à sélectionner. | À créer |
| A.9 — Transparence et explicabilité | ||||||
| A.9.1 | Transparence des systèmes IA | Oui | — | Non | Politique de transparence IA à rédiger. Registre public des systèmes à haut risque à publier. | À créer |
| A.9.2 | Explicabilité des décisions | Oui | — | Non | Outils d'explicabilité (SHAP/LIME) à déployer pour les systèmes à haut risque. | À créer |
| A.9.3 | Communication aux parties prenantes | Oui | — | Non | Plan de communication IA parties prenantes à élaborer. | À créer |
| A.9.4 | Traçabilité et journalisation | Oui | — | Partiel | Journalisation technique en place. Traçabilité des décisions IA à renforcer. | Logs techniques |
| A.10 — Supervision humaine et contrôle | ||||||
| A.10.1 | Supervision humaine | Oui | — | Partiel | Supervision humaine en place pour scoring crédit et détection fraude. À étendre aux autres systèmes. | PRO-SUP-IA-001 |
| A.10.2 | Mécanismes de contrôle et d'arrêt | Oui | — | Non | Kill switch et procédures d'arrêt d'urgence à implémenter pour chaque système IA. | À créer |
| A.10.3 | Recours et contestation | Oui | — | Non | Procédure de recours pour les décisions IA automatisées à mettre en place. | À créer |
| Statut d'implémentation | Nombre | % |
|---|---|---|
| Implémenté (Oui) | 8 | 21% |
| Partiellement implémenté | 12 | 32% |
| Non implémenté | 18 | 47% |
| Total contrôles applicables | 38 | 100% |
| Contrôles exclus (non applicables) | 0 | — |
Dans la présente version de la Déclaration d'Applicabilité, aucun contrôle de l'Annexe A n'est exclu. L'ensemble des 38 contrôles est considéré comme applicable au périmètre du SMIA de [Nom de l'organisation].
Si des exclusions devaient être décidées lors de futures révisions, elles seraient documentées dans le tableau ci-dessous avec leur justification :
| Réf. Annexe A | Intitulé | Justification de l'exclusion | Approuvé par | Date |
|---|---|---|---|---|
| Aucune exclusion à ce jour | ||||
La présente Déclaration d'Applicabilité est approuvée par les signataires suivants :
| Responsable SMIA | Direction Générale |
|---|---|
|
___________________________________ [Nom, Fonction] Date : [JJ/MM/AAAA] |
___________________________________ [Nom, Fonction] Date : [JJ/MM/AAAA] |
| Version | Date | Auteur | Modifications |
|---|---|---|---|
| 0.1 | [JJ/MM/AAAA] | [Nom] | Création initiale — identification des contrôles applicables |
| 0.2 | [JJ/MM/AAAA] | [Nom] | Évaluation du niveau d'implémentation |
| 1.0 | [JJ/MM/AAAA] | [Nom] | Version approuvée par la Direction |