Organisation : [Nom de l'organisation] | Date d'évaluation : [JJ/MM/AAAA] | Évaluateur : [Nom] | Version : 1.0
| Réf. |
Contrôle |
Description |
Appl. |
Impl. |
Preuve / Document |
Écart identifié |
Action corrective |
Resp. |
Échéance |
Priorité |
| A.2 — Politiques liées à l'IA (2 contrôles) |
| A.2.1 |
Politique d'IA |
Établir une politique d'IA approuvée par la direction, communiquée et disponible aux parties intéressées. |
Oui |
Partiel |
|
|
|
|
|
|
| A.2.2 |
Politique d'utilisation interne de l'IA |
Définir les règles d'utilisation des systèmes IA par le personnel, incluant les usages autorisés et interdits. |
Oui |
Non |
|
|
|
|
|
|
| A.3 — Organisation interne (3 contrôles) |
| A.3.1 |
Rôles et responsabilités IA |
Définir et attribuer les rôles et responsabilités pour le développement, le déploiement et l'exploitation des systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.3.2 |
Reporting interne IA |
Mettre en place des mécanismes de reporting pour informer la direction des performances et incidents des systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.3.3 |
Allocation des ressources |
S'assurer que les ressources nécessaires (humaines, techniques, financières) sont allouées pour le SMIA. |
Oui |
Partiel |
|
|
|
|
|
|
| A.4 — Ressources liées aux systèmes IA (6 contrôles) |
| A.4.1 |
Inventaire des systèmes IA |
Établir et maintenir un inventaire de tous les systèmes IA dans le périmètre du SMIA. |
Oui |
Partiel |
|
|
|
|
|
|
| A.4.2 |
Classification des systèmes IA |
Classifier les systèmes IA selon leurs niveaux de risque et d'impact. |
Oui |
Non |
|
|
|
|
|
|
| A.4.3 |
Gestion responsable des données |
Définir les pratiques de gestion des données utilisées par les systèmes IA (qualité, intégrité, pertinence, biais). |
Oui |
Non |
|
|
|
|
|
|
| A.4.4 |
Documentation des systèmes IA |
Maintenir une documentation technique complète pour chaque système IA (architecture, données, modèles, performances). |
Oui |
Partiel |
|
|
|
|
|
|
| A.4.5 |
Provisionnement et qualité des données |
S'assurer que les données d'entraînement et d'exploitation sont de qualité suffisante et exemptes de biais problématiques. |
Oui |
Non |
|
|
|
|
|
|
| A.4.6 |
Maintenance des systèmes IA |
Définir et appliquer des procédures de maintenance, de mise à jour et de reconversion des modèles IA. |
Oui |
Non |
|
|
|
|
|
|
| A.5 — Évaluation d'impact des systèmes IA (4 contrôles) |
| A.5.1 |
Évaluation d'impact IA |
Réaliser des évaluations d'impact pour les systèmes IA à risque, couvrant les impacts sur les individus, les groupes et la société. |
Oui |
Non |
|
|
|
|
|
|
| A.5.2 |
Traitement des résultats d'évaluation |
Traiter les résultats de l'évaluation d'impact et mettre en œuvre les mesures de mitigation nécessaires. |
Oui |
Non |
|
|
|
|
|
|
| A.5.3 |
Surveillance continue des impacts |
Surveiller en continu les impacts des systèmes IA en production et réévaluer périodiquement. |
Oui |
Non |
|
|
|
|
|
|
| A.5.4 |
Documentation des évaluations d'impact |
Documenter les résultats des évaluations d'impact, les décisions prises et les mesures de suivi. |
Oui |
Non |
|
|
|
|
|
|
| A.6 — Cycle de vie des systèmes IA (7 contrôles) |
| A.6.1 |
Gestion du cycle de vie |
Définir et appliquer des processus pour la gestion de l'ensemble du cycle de vie des systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.6.2 |
Conception et développement |
Appliquer des méthodologies de conception et de développement intégrant les principes d'IA responsable. |
Oui |
Partiel |
|
|
|
|
|
|
| A.6.3 |
Vérification et validation |
Vérifier et valider les systèmes IA avant déploiement (tests, benchmarks, évaluation des performances). |
Oui |
Partiel |
|
|
|
|
|
|
| A.6.4 |
Déploiement |
Définir des procédures de déploiement incluant critères de go/no-go, plan de rollback et surveillance post-déploiement. |
Oui |
Non |
|
|
|
|
|
|
| A.6.5 |
Exploitation et surveillance |
Surveiller les performances des systèmes IA en production (dérive du modèle, dégradation, incidents). |
Oui |
Non |
|
|
|
|
|
|
| A.6.6 |
Mise hors service |
Définir des procédures de retrait des systèmes IA (archivage données, communication, transition). |
Oui |
Non |
|
|
|
|
|
|
| A.6.7 |
Gestion des changements IA |
Contrôler et documenter les modifications apportées aux systèmes IA (modèle, données, paramètres). |
Oui |
Non |
|
|
|
|
|
|
| A.7 — Relations avec les tiers (5 contrôles) |
| A.7.1 |
Chaîne d'approvisionnement IA |
Identifier et gérer les risques liés à la chaîne d'approvisionnement des systèmes IA (fournisseurs, sous-traitants). |
Oui |
Non |
|
|
|
|
|
|
| A.7.2 |
Évaluation des fournisseurs IA |
Évaluer les fournisseurs de systèmes IA avant engagement (capacités, certifications, pratiques éthiques). |
Oui |
Non |
|
|
|
|
|
|
| A.7.3 |
Contrats et SLA |
Inclure des clauses spécifiques IA dans les contrats fournisseurs (transparence, audit, responsabilité, données). |
Oui |
Non |
|
|
|
|
|
|
| A.7.4 |
Surveillance des fournisseurs |
Surveiller en continu les performances et la conformité des fournisseurs de systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.7.5 |
Communication avec les utilisateurs |
Informer les utilisateurs finaux de l'utilisation de systèmes IA et de leurs droits. |
Oui |
Partiel |
|
|
|
|
|
|
| A.8 — Données pour les systèmes IA (4 contrôles) |
| A.8.1 |
Gouvernance des données IA |
Établir un cadre de gouvernance des données spécifique aux systèmes IA (collecte, stockage, utilisation, suppression). |
Oui |
Non |
|
|
|
|
|
|
| A.8.2 |
Qualité des données |
Définir et mesurer des critères de qualité pour les données utilisées par les systèmes IA (exactitude, complétude, actualité). |
Oui |
Non |
|
|
|
|
|
|
| A.8.3 |
Protection des données personnelles |
S'assurer de la conformité au RGPD et aux réglementations applicables pour les données personnelles traitées par les systèmes IA. |
Oui |
Partiel |
|
|
|
|
|
|
| A.8.4 |
Détection et atténuation des biais |
Mettre en place des mécanismes de détection et de correction des biais dans les données et les modèles IA. |
Oui |
Non |
|
|
|
|
|
|
| A.9 — Transparence et explicabilité (4 contrôles) |
| A.9.1 |
Transparence des systèmes IA |
Fournir des informations claires sur le fonctionnement, les capacités et les limites des systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.9.2 |
Explicabilité des décisions |
Assurer l'explicabilité des décisions prises par les systèmes IA, proportionnellement au niveau de risque. |
Oui |
Non |
|
|
|
|
|
|
| A.9.3 |
Communication aux parties prenantes |
Communiquer de manière proactive avec les parties prenantes sur l'utilisation de l'IA et ses impacts. |
Oui |
Non |
|
|
|
|
|
|
| A.9.4 |
Traçabilité et journalisation |
Assurer la traçabilité des décisions IA, des données utilisées et des modifications apportées aux modèles. |
Oui |
Non |
|
|
|
|
|
|
| A.10 — Supervision humaine et contrôle (3 contrôles) |
| A.10.1 |
Supervision humaine |
Définir le niveau de supervision humaine requis pour chaque système IA, proportionnel au niveau de risque. |
Oui |
Partiel |
|
|
|
|
|
|
| A.10.2 |
Mécanismes de contrôle et d'arrêt |
Mettre en place des mécanismes permettant d'interrompre ou de corriger le fonctionnement des systèmes IA. |
Oui |
Non |
|
|
|
|
|
|
| A.10.3 |
Recours et contestation |
Permettre aux personnes affectées par une décision IA de contester cette décision et d'obtenir une révision humaine. |
Oui |
Non |
|
|
|
|
|
|