Je continue dans la même logique que mon article sur les contrôles ISO 27001 non applicables aux organisations sans développement logiciel. Aujourd’hui je m’attaque à la version IA.
La norme ISO/IEC 42001:2023, publiée en décembre 2023, encadre les systèmes de gestion de l’intelligence artificielle. Son Annexe A contient 38 contrôles regroupés en 9 objectifs (A.2 à A.10).
Une PME qui utilise uniquement ChatGPT, Claude ou Gemini via leur interface SaaS, sans développer ses propres modèles, n’a pas à appliquer la moitié de ces contrôles.
Le principe : utilisateur ou fournisseur?
ISO 42001 distingue plusieurs rôles dans la chaîne de valeur de l’IA :
- Le fournisseur d’IA, soit le créateur du modèle (OpenAI, Anthropic, Google).
- L’intégrateur d’IA, soit celui qui développe une application au-dessus d’un modèle.
- L’utilisateur d’IA, soit celui qui se sert d’un outil clé en main.
Une PME qui dit à ses employés « utilisez ChatGPT pour rédiger vos courriels » est strictement utilisatrice. Pas fournisseur. Pas intégrateur.
A.6 : cycle de vie de l’IA, largement non applicable
L’objectif A.6 traite du cycle de vie complet d’un système d’IA. Si vous n’écrivez aucune ligne de code d’IA et que vous n’entraînez aucun modèle, AUCUN de ces contrôles ne vous concerne directement. C’est OpenAI, Anthropic ou Google qui les applique pour vous.
Ce que vous devez exiger, en revanche, c’est la preuve que votre fournisseur les applique. Ça relève de A.10 (relations avec les tiers), pas de A.6.
A.7 : données pour l’IA, largement non applicable
L’objectif A.7 porte sur les données utilisées dans le développement et l’opération des systèmes d’IA. Vous ne fournissez pas de données d’entraînement à votre fournisseur. Ces contrôles, dans leur intention première, ne s’appliquent pas à vous.
Ce qui demeure pleinement applicable
Pour une PME utilisatrice pure de ChatGPT, ces contrôles restent au cœur du programme :
| Contrôle | Sujet | Pourquoi |
|---|---|---|
| A.2 | Politiques liées à l’IA | Vous devez avoir une politique d’usage acceptable. |
| A.3 | Organisation interne | Qui est responsable des décisions IA dans l’organisation. |
| A.4 | Ressources | Formation et compétences des employés qui utilisent l’IA. |
| A.5 | Évaluation d’impact | Quels impacts votre usage de l’IA a-t-il sur clients, employés, société. |
| A.8 | Information aux parties prenantes | Avez-vous dit à vos clients que leurs courriels passent par ChatGPT? |
| A.9 | Utilisation des systèmes d’IA | Le cœur du profil utilisateur : limites, supervision, garde-fous. |
| A.10 | Relations avec les tiers | Le contrat avec votre fournisseur, les responsabilités partagées. |
Vous ne pouvez pas externaliser la responsabilité. Vous pouvez externaliser l’exécution.
Sources
- ISO/IEC 42001:2023, Information technology — Artificial intelligence — Management system, Annexe A.
- Microsoft — Overview of ISO/IEC 42001 (UNIDO, 2025)