[ Logo de l'organisation ]

POLITIQUE DE MANAGEMENT
DE L'INTELLIGENCE ARTIFICIELLE

Système de Management de l'IA — ISO/IEC 42001:2023

Référence document	POL-IA-001
Version	1.0
Date d'approbation	[JJ/MM/AAAA]
Classification	[ ] Confidentiel [X] Interne [ ] Public
Approuvé par	[Nom, Fonction — Direction Générale]
Responsable SMIA	[Nom, Fonction]
Prochaine revue	[JJ/MM/AAAA]

Table des matières

1. Objet et périmètre
2. Références normatives et réglementaires
3. Termes et définitions
4. Principes directeurs de l'IA responsable
- 4.1 Éthique et respect des droits fondamentaux
- 4.2 Transparence
- 4.3 Équité et non-discrimination
- 4.4 Sécurité et robustesse
- 4.5 Protection de la vie privée
- 4.6 Responsabilité et redevabilité (accountability)
5. Gouvernance de l'Intelligence Artificielle
- 5.1 Comité IA
- 5.2 Rôles et responsabilités
6. Classification des systèmes IA
7. Évaluation d'impact obligatoire
8. Gestion des données
9. Transparence et communication
10. Gestion des incidents IA
11. Formation et sensibilisation
12. Revue et amélioration continue
13. Sanctions
Annexe A : Matrice RACI
Annexe B : Historique des versions

Réf. : POL-IA-001

Version : 1.0

Date : [JJ/MM/AAAA]

Modèle gratuit — ISO 42001

1. Objet et périmètre

La présente politique définit les principes, les règles et le cadre de gouvernance applicables à l'ensemble des activités liées à l'intelligence artificielle au sein de [Nom de l'organisation].

Cette politique s'applique à :

Tous les systèmes d'intelligence artificielle développés, déployés, acquis ou utilisés par l'organisation, qu'ils soient développés en interne ou fournis par des tiers ;
L'ensemble des collaborateurs, prestataires, partenaires et sous-traitants impliqués dans la conception, le développement, le déploiement, l'exploitation ou l'utilisation de systèmes IA ;
Toutes les données utilisées pour l'entraînement, la validation, le test et l'exploitation des systèmes IA.

Le périmètre du Système de Management de l'Intelligence Artificielle (SMIA) est défini dans le document [Réf. : PER-SMIA-001].

2. Références normatives et réglementaires

Référence	Intitulé	Application
ISO/IEC 42001:2023	Systèmes de management de l'intelligence artificielle — Exigences	Cadre normatif principal du SMIA
ISO/IEC 23894:2023	Management des risques liés à l'IA — Lignes directrices	Méthodologie d'évaluation des risques IA
Règlement (UE) 2024/1689	Règlement européen sur l'intelligence artificielle (AI Act)	Obligations réglementaires par niveau de risque
Règlement (UE) 2016/679	Règlement Général sur la Protection des Données (RGPD)	Protection des données personnelles traitées par les systèmes IA
ISO/IEC 27001:2022	Systèmes de management de la sécurité de l'information	Sécurité des systèmes IA et des données
OCDE (2019)	Principes de l'OCDE sur l'intelligence artificielle	Principes directeurs pour une IA responsable

3. Termes et définitions

Terme	Définition
Intelligence Artificielle (IA)	Système informatique conçu pour fonctionner avec un certain niveau d'autonomie et qui, à partir de données d'entrée, génère des résultats tels que des prédictions, des recommandations, des décisions ou du contenu.
SMIA	Système de Management de l'Intelligence Artificielle — ensemble de politiques, procédures, processus et ressources permettant de gérer de manière responsable les systèmes IA.
EIAD	Évaluation d'Impact de l'Intelligence Artificielle — processus d'analyse des risques et impacts d'un système IA sur les individus, les groupes et la société.
Système IA à haut risque	Système IA relevant de l'Annexe III du Règlement IA européen, soumis à des obligations renforcées.
Dérive du modèle	Dégradation progressive des performances d'un modèle IA due à l'évolution des données en production.
Explicabilité	Capacité à fournir des explications compréhensibles sur le fonctionnement et les décisions d'un système IA.

4. Principes directeurs de l'IA responsable

[Nom de l'organisation] s'engage à développer et utiliser l'intelligence artificielle de manière responsable, en respectant les principes suivants :

4.1 Éthique et respect des droits fondamentaux

Article 1 — Les systèmes IA déployés par l'organisation respectent les droits fondamentaux des personnes, la dignité humaine et les valeurs démocratiques. Aucun système IA ne peut être utilisé à des fins contraires à l'éthique ou aux droits humains.

4.2 Transparence

Article 2 — L'organisation s'engage à informer les utilisateurs et les personnes affectées de l'utilisation de systèmes IA, de leur finalité et de leurs limites. Les décisions significatives prises avec l'aide de l'IA sont explicables et documentées.

4.3 Équité et non-discrimination

Article 3 — Les systèmes IA sont conçus, développés et surveillés pour prévenir et détecter les biais discriminatoires. Des tests réguliers de biais sont réalisés sur les données et les résultats des modèles. Toute discrimination identifiée fait l'objet de mesures correctives immédiates.

4.4 Sécurité et robustesse

Article 4 — Les systèmes IA sont conçus pour être sûrs, robustes et résilients. Ils sont protégés contre les attaques adverses, les manipulations et les défaillances. Des mécanismes de surveillance et d'arrêt d'urgence sont mis en place.

4.5 Protection de la vie privée

Article 5 — Le traitement des données personnelles par les systèmes IA respecte le RGPD et les réglementations applicables. Les principes de minimisation, de limitation de la finalité et de protection dès la conception (privacy by design) sont appliqués.

4.6 Responsabilité et redevabilité (accountability)

Article 6 — Des responsabilités claires sont attribuées pour chaque système IA. La supervision humaine est assurée proportionnellement au niveau de risque. L'organisation rend compte de son utilisation de l'IA aux parties prenantes.

5. Gouvernance de l'Intelligence Artificielle

5.1 Comité IA

Un Comité IA est constitué pour piloter la stratégie IA de l'organisation et superviser le SMIA. Il se réunit [mensuellement / trimestriellement] et est composé de :

Membre	Rôle dans le Comité
Directeur Général / Sponsor	Président du Comité — décisions stratégiques et allocation des ressources
Responsable SMIA	Secrétaire — coordination opérationnelle, reporting, suivi du plan d'action
DPO (Délégué à la Protection des Données)	Conformité RGPD, évaluation des impacts vie privée
RSSI (Responsable Sécurité SI)	Sécurité des systèmes IA, gestion des incidents de sécurité
Responsable Data Science / IA	Expertise technique, évaluation des modèles, bonnes pratiques
Direction juridique	Conformité réglementaire, contrats, responsabilité
Représentant(s) des directions métiers	Besoins métiers, retours d'usage, évaluation des impacts

5.2 Rôles et responsabilités

Rôle	Responsabilités principales
Direction Générale	Engagement et leadership. Approbation de la politique IA. Allocation des ressources. Revue de direction.
Responsable SMIA	Pilotage du SMIA au quotidien. Maintien de la conformité ISO 42001. Coordination des évaluations d'impact. Gestion documentaire. Reporting au Comité IA.
DPO	Conformité RGPD des traitements IA. AIPD (Analyse d'Impact Protection des Données). Conseil sur la protection des données.
RSSI	Sécurité des systèmes IA. Gestion des incidents de sécurité IA. Tests de robustesse et de vulnérabilité.
Data Scientists / Développeurs IA	Développement responsable des modèles IA. Documentation technique. Tests de biais et de performance. Monitoring en production.
Directions métiers	Expression des besoins. Validation de la pertinence des systèmes IA. Supervision humaine des décisions IA. Remontée des incidents.

6. Classification des systèmes IA

Tous les systèmes IA doivent être classifiés selon le niveau de risque défini par le Règlement européen sur l'IA (AI Act) :

Niveau	Critères	Obligations
Inacceptable	Systèmes menaçant la sécurité ou les droits fondamentaux	Interdiction totale. Le système ne peut pas être déployé.
Élevé	Impact significatif sur les droits ou la sécurité (Annexe III AI Act)	EIAD obligatoire. Supervision humaine. Documentation complète. Enregistrement UE.
Limité	Risque de manipulation ou tromperie (chatbots, deepfakes)	Obligation de transparence envers les utilisateurs.
Minimal	Risque négligeable	Bonnes pratiques volontaires. Code de conduite.

La classification est réalisée lors de l'inventaire initial et réévaluée à chaque modification significative du système ou de son contexte d'utilisation.

7. Évaluation d'impact obligatoire

Une Évaluation d'Impact de l'Intelligence Artificielle (EIAD) est obligatoire pour :

Tout nouveau système IA classifié à risque élevé ;
Toute modification majeure d'un système IA à haut risque existant ;
Tout changement significatif des données d'entraînement ou d'exploitation ;
Suite à un incident IA significatif.

L'EIAD couvre les impacts sur les individus, les groupes et la société, incluant les risques de biais, d'atteinte à la vie privée, de sécurité, de transparence et d'impact sociétal. La procédure détaillée est définie dans le document [Réf. : PRO-EIAD-001].

8. Gestion des données

Les données utilisées par les systèmes IA font l'objet d'une gouvernance spécifique :

Qualité : Des critères de qualité sont définis et mesurés (exactitude, complétude, actualité, représentativité) ;
Biais : Les données sont analysées pour détecter et corriger les biais avant entraînement et en production ;
Protection : Les données personnelles sont protégées conformément au RGPD (minimisation, pseudonymisation, chiffrement) ;
Traçabilité : L'origine, les transformations et l'utilisation des données sont documentées ;
Conservation : Les durées de conservation sont définies et respectées.

9. Transparence et communication

L'organisation met en œuvre les mesures de transparence suivantes :

Information systématique des utilisateurs lorsqu'ils interagissent avec un système IA ;
Mise à disposition d'explications sur les décisions prises par les systèmes IA, adaptées au public concerné ;
Publication d'un registre des systèmes IA utilisés (pour les systèmes à haut risque) ;
Communication régulière au Comité de direction et aux parties prenantes sur l'utilisation de l'IA et ses impacts.

10. Gestion des incidents IA

Tout incident lié à un système IA doit être signalé, documenté et traité selon la procédure de gestion des incidents IA [Réf. : PRO-INC-IA-001] :

Détection : Mécanismes de détection automatique et canaux de signalement ;
Classification : Évaluation de la gravité (critique, majeur, mineur) ;
Réponse : Actions immédiates, incluant la possibilité de désactivation du système ;
Analyse : Recherche des causes racines ;
Correction : Mise en œuvre d'actions correctives et préventives ;
Communication : Information des parties prenantes et, si requis, notification aux autorités (AIPD, autorité de contrôle IA).

11. Formation et sensibilisation

L'organisation met en place un programme de formation et de sensibilisation à l'IA responsable :

Formation initiale : Tous les collaborateurs impliqués dans les systèmes IA reçoivent une formation sur l'IA responsable, les principes éthiques et les obligations réglementaires ;
Formation continue : Mises à jour régulières sur l'évolution de la réglementation, les bonnes pratiques et les retours d'expérience ;
Sensibilisation générale : Campagnes de sensibilisation pour l'ensemble du personnel sur l'utilisation responsable de l'IA ;
Compétences techniques : Formation spécifique pour les équipes techniques (MLOps, tests de biais, explicabilité).

12. Revue et amélioration continue

La présente politique et le SMIA font l'objet d'une amélioration continue à travers :

Revue de direction : Au minimum annuelle, évaluant la performance du SMIA, les résultats des audits et les incidents ;
Audit interne : Au minimum annuel, couvrant l'ensemble des exigences ISO 42001 et des contrôles Annexe A ;
Surveillance des indicateurs : Suivi continu des KPIs définis dans le tableau de bord SMIA ;
Veille réglementaire : Suivi de l'évolution de la réglementation IA (AI Act, RGPD, normes ISO) ;
Retour d'expérience : Capitalisation sur les incidents, les audits et les évaluations d'impact.

Cette politique est revue au minimum une fois par an ou à l'occasion de tout changement significatif.

13. Sanctions

Le non-respect de la présente politique peut entraîner :

Des mesures disciplinaires conformément au règlement intérieur de l'organisation ;
La suspension ou le retrait de l'accès aux systèmes IA ;
La désactivation immédiate d'un système IA non conforme ;
Des poursuites judiciaires en cas de violation de la réglementation applicable.

Tout collaborateur constatant un manquement à cette politique est tenu de le signaler au Responsable SMIA ou via le canal de signalement éthique de l'organisation.

Annexe A — Matrice RACI

R = Responsable (réalise) | A = Approbateur (valide) | C = Consulté | I = Informé

Activité	Direction	RSMIA	DPO	RSSI	Data Science	Juridique	Métiers
Politique IA	A	R	C	C	I	C	I
Inventaire des systèmes IA	I	R	C	C	C	I	R
Classification des risques IA	I	R	C	C	C	C	I
Évaluation d'impact (EIAD)	A	R	R	C	C	C	C
Développement / Acquisition IA	A	C	C	C	R	C	R
Surveillance en production	I	C	I	C	R	I	C
Gestion des incidents IA	I	R	C	R	C	C	I
Formation IA responsable	A	R	C	C	C	I	I
Audit interne SMIA	A	R	C	C	C	I	I
Revue de direction	R	R	C	C	I	C	I
Gestion des fournisseurs IA	A	C	C	C	C	R	R
Communication / Transparence	A	R	C	I	C	C	C

Annexe B — Historique des versions

Version	Date	Auteur	Modifications	Approuvé par
0.1	[JJ/MM/AAAA]	[Nom]	Création du document — version brouillon	—
0.2	[JJ/MM/AAAA]	[Nom]	Intégration des retours du Comité IA	—
1.0	[JJ/MM/AAAA]	[Nom]	Version approuvée par la Direction Générale	[Nom, Fonction]