La norme ISO 42001 : Système de gestion des IA

Sur le blog, et dans la série de conférences que nous venons de faire, nous avons beaucoup discuter des bénéfices et risques potentiels de l’Intelligence Artificielle. C’est un sujet qui nous passionne et personnellement, j’aime discuter des possibilités et du futur à construire avec ce merveilleux outil qu’est l’IA.

Cependant pour réaliser cette volonté de construire un monde meilleur avec l’IA, il faut une mettre en place un cadre robuste de création et d’utilisation des IA. Et c’est là qu’intervient ISO et la norme ISO 42001 sur les systèmes de gestion des IA.

Pour les quelques personnes qui ne le savent pas, ISO est une organisation internationale chargée de la normalisation. Pour faire simple, c’est elle qui définit les standards, les normes sur tout un tas de sujets allant de la gestion d’entreprise, à la gestion des denrées alimentaires, la sécurité de l’information, etc… Les différentes organisations peuvent ensuite prendre ces normes et mettre en place des processus pour les respecter, puis se faire auditer pour obtenir une certification correspondante à la norme.
En France, c’est l’AFNOR qui est membre d’ISO. Ils participent au nom de la France à l’élaboration des normes et certifient les organisations qui le demande. Cet audit n’est pas gratuit, mais la certification ISO est largement reconnue, et est un gage de qualité.

Comme je l’ai écrit plus haut, la norme dont je veux parler aujourd’hui, c’est la norme 42001 – « Artificial Intelligence Management System ». L’objectif de l’article est de survoler les différents éléments de cette norme et quel est son cadre global.

Le contenu de la norme

Le but de la norme ISO 42001, c’est de fournir un cadre aux organisations pour mettre en place et intégrer les intelligences artificielles de manière responsable et éthique. Pour cela, la norme prévoit que l’organisation doit respecter un certain nombre de clauses qu’elle définit. Il y en a 10 au total, mais on va en aborder 7 ici. Les 3 autres (qui sont aussi les premières) servent à poser le cadre de la norme et les termes et définitions utilisés dans la norme.

Clause 4 : Le contexte de l’organisation

Dans cette clause, l’objectif est d’analyser et documenter dans quel contexte évolue notre organisation. Ce qu’on appelle le contexte, c’est quel est l’état de l’utilisation de l’IA chez les concurrents ? Quels sont les différents acteurs et parties prenantes dans les système d’IA ? Quelles sont les réglementations en vigueurs ? Dans quel cadre éthique l’organisation doit évoluer, etc… ?
Bref on analyse l’environnement dans lequel évolue l’entreprise.

Clause 5 : Le leadership

Ici, leadership est à comprendre au sens de la direction de l’organisation. Cette clause définit quel est justement le rôle de la direction dans la gouvernance de l’IA. Elle permet de construire la vision et la stratégie IA de l’entreprise, quelles sont ses priorités et la direction à prendre. Évidemment cette vision et stratégie doivent respecter les principes d’IA responsable et éthique.

On définit ici aussi quelle est la politique IA de la société et comment l’organisation communique sur celle-ci de manière proactive.

Clause 6 : La planification

Le but de la planification, dans la norme, c’est de planifier la gestion des risques, leur traitement et évaluer l’impact de l’IA dans différents cas. Il y est défini plusieurs types de risques comme les risques de performance, de sécurité, juridique, etc… On y donne aussi le cadre à respecter pour bien planifier sa gestion de risques et les changements.

Clause 7 : Le support

La clause du support concerne la mise en œuvre des moyens nécessaires pour s’assurer du fonctionnement du système de gestion d’IA. On parle aussi bien de moyens techniques comme l’infrastructure de l’intelligence artificielle que du socle de compétences nécessaires pour la maintenir. On y aborde aussi les sujets de sensibilisations des employés à l’IA, de communication et de documentation interne.

Clause 8 : L’opérationnel

Comme son nom le suggère, l’objectif de cette clause est de gérer les opérations liées à l’IA. Une des question à laquelle on veut répondre est: comment on gère le cycle de vie des projets incluant de l’IA. Que ce soit les différentes phases de conception / réalisation / déploiement, la norme exige qu’on respecte leur standard pour ces phases.

Clause 9 : L’évaluation des performances

Ce point ci s’attaque à l’évaluation des performances de l’IA. Maintenant que la norme a montré comment on doit concevoir, gérer notre système de gestion, il s’agit de savoir s’il est efficace. La norme impose d’avoir des processus d’audit en interne et de revue du système de gestion.

Clause 10 : L’amélioration

Une fois qu’on arrive à évaluer le système de gestion, la norme aborde les sujets d’amélioration continue. L’objectif est de mettre en place des actions correctives et préventives pour permettre d’améliorer en permanence le système de gestion, et potentiellement de revoir certaines phases pour de nouveau s’aligner avec la stratégie de l’entreprise, et le respect de la norme.

Ces clauses dépendent naturellement les unes des autres pour être implémenté correctement. Elles ont été rédigés dans l’objectif de représenter une démarche cohérente. On analyse l’environnement, on choisit une stratégie, puis on la planifie, réalise et on améliore. Il est donc important de garder en tête ce schéma, qui, personnellement, me rappelle beaucoup les phases de réalisation d’un projet, de l’idéation, jusqu’à la mise en production.

Et chez Reboot, on en fait quoi de cette norme ?

Chez Reboot, même si nous ne sommes pas (encore !) certifié ISO 42001, cette norme nous inspire beaucoup pour mettre en place nos propres processus pour gérer l’IA. La norme ISO 42001 est très lourde et demande beaucoup de documentation, et de processus à mettre en place. L’image qu’elle dépeint de l’organisation d’une entreprise est très hiérarchique, et ça colle moins à notre culture Opale, plus horizontale.

Cependant ce n’est pas, selon moi, un frein pour obtenir la certification de cette norme. Ça reste un objectif à long terme de notre Squad, et il faut qu’on adapte ces clauses et principes à notre organisation. Car même si la vision de l’entreprise de la norme ISO 42001 n’est pas exactement comment nous fonctionnons, les principes qu’elle énonce restent universels et s’appliquent quand même. Et surtout cette norme aborde beaucoup d’aspects que nous voulons avoir pour notre gestion des intelligences artificielles, et elle me semble très complète sur le sujet.

Partager l'article:

Autres articles