Blog · Risques et conformité
Analyse d'impact IA : exemple et méthode ISO 42001
L'analyse d'impact d'un système d'IA, au sens de la clause 6.1.4 et de l'Annexe A d'ISO/IEC 42001, identifie les effets sur les personnes, les groupes et la société, puis fixe des mesures de traitement. Elle se déclenche à la mise en service, lors d'un changement notable et à intervalle régulier, et se documente bout en bout.
Ce que recouvre l'analyse d'impact dans ISO 42001
L'analyse d'impact d'un système d'IA est un processus formalisé qui identifie, évalue et traite les effets, positifs et négatifs, d'un système d'IA sur les personnes, les groupes et la société[3]. Dans ISO/IEC 42001, elle se rattache à la planification du SMIA (clause 6.1.4) et trouve ses objectifs de contrôle dans l'Annexe A, en particulier la famille A.5 qui porte sur l'évaluation des impacts du système d'IA[7].
L'exercice ne se confond pas avec l'évaluation des risques au sens de la clause 6.1.2. Cette dernière vise l'organisation et ses objectifs. L'analyse d'impact, elle, regarde vers l'extérieur : les utilisateurs finaux, les personnes concernées par une décision automatisée, les tiers qui subissent une externalité[5]. Les deux exercices se nourrissent mutuellement mais ne se substituent pas.
Le périmètre couvre l'ensemble du cycle de vie, de la conception au retrait, et inclut les dimensions juridique, éthique, sociale et technique[5]. C'est ce qui distingue l'analyse d'impact d'une simple revue de sécurité : elle interroge la légitimité de l'usage autant que sa robustesse.
Quand déclencher une analyse d'impact
Trois moments justifient un déclenchement, selon la lecture qui se dégage des guides pratiques de mise en œuvre d'ISO 42001 : avant le déploiement d'un nouveau système d'IA, lors d'un changement significatif (jeu de données, finalité, public cible, modèle sous-jacent) et à intervalle régulier, par exemple annuellement[3].
À la date de publication (juin 2026), les obligations de l'AI Act européen montent en charge, avec une échéance importante au 2 août 2026 selon les rappels de la presse spécialisée[2]. Cela invite à anticiper un déclencheur supplémentaire : tout système qui bascule, par évolution réglementaire, dans la catégorie haut risque doit faire l'objet d'une analyse d'impact à jour. Vérifier l'évolution depuis cette date sur le texte officiel reste prudent.
Un quatrième déclencheur, moins discuté, mérite d'être inscrit dans la procédure : un incident significatif ou une plainte fondée. Une analyse d'impact figée perd sa valeur dès que la réalité opérationnelle diverge de l'hypothèse initiale[3].
Méthode en sept étapes
Les guides convergent vers une trame en six à huit étapes. La séquence ci-dessous synthétise les sources sans reproduire le texte de la norme.
Trame consolidée à partir des étapes décrites par les guides de mise en œuvre.
Synthèse des étapes décrites par les guides indépendants.[3][5]
Cadrage et contexte
Délimitez les frontières du système : finalité, données entrantes, sorties, public visé, contexte géographique, culturel et légal du déploiement[5]. Précisez aussi le rôle de votre organisation (fournisseur, déployeur, intégrateur), car les obligations diffèrent selon le rôle au sens de l'AI Act[7].
Classification d'impact
Une grille à quatre niveaux est couramment utilisée : faible (outil interne, effet marginal), moyen (décision au contact du client mais réversible), élevé (affecte des droits, des opportunités ou le bien-être) et critique (sécurité, santé, droits fondamentaux)[3]. Cette classification dicte l'effort à mobiliser pour les étapes suivantes.
Cartographie des parties prenantes
Identifiez les groupes potentiellement affectés : utilisateurs, clients, employés, populations vulnérables, société au sens large[3]. Pour chacun, notez le canal par lequel ils subissent l'effet du système (décision automatisée, recommandation, exposition à un contenu généré).
Évaluation par dimensions
Cinq dimensions sont retenues par les guides indépendants : juridique et réglementaire, bien-être physique et psychologique, équité et biais, transparence et explicabilité, impact sociétal[3]. À cela s'ajoutent, côté technique, la qualité des données, la robustesse et la sécurité[7].
Hiérarchisation
Pour chaque effet identifié, cotez la probabilité, la gravité et la détectabilité[3]. La gravité doit intégrer l'irréversibilité : une décision automatisée de refus de crédit n'est pas équivalente à une recommandation de contenu, même si la probabilité est similaire.
Traitement et contrôles
Définissez les mesures techniques, organisationnelles et de politique pour réduire les risques et amplifier les effets positifs[5]. La supervision humaine, les audits de biais, la détection de dérive et les voies d'escalade font partie de la panoplie usuelle[3].
Documentation et revue
Consignez les constats, les décisions, les arbitrages écartés et les actions retenues[3]. Prévoyez une réévaluation après tout changement majeur ou incident, et fixez la cadence de revue périodique.
Exemple de bout en bout : tri de candidatures dans une PME romande
Pour rendre la méthode concrète, prenons un cas générique observé fréquemment : une PME romande qui envisage d'activer une fonctionnalité de présélection de CV dans son outil SaaS de gestion RH. Le scénario est volontairement modeste, parce que c'est là que l'analyse d'impact est souvent négligée. Les éléments chiffrés sont des hypothèses de travail, pas des données réelles.
Cadrage
Finalité : classer automatiquement les CV reçus pour un poste administratif selon une note d'adéquation. Entrées : CV au format texte, fiche de poste. Sortie : score et liste ordonnée. Rôle de la PME : déployeur d'un système fourni par un éditeur tiers. Contexte : Suisse romande, droit du travail suisse, nLPD applicable au traitement des données des candidats.
Classification
Impact élevé : le système influence une opportunité d'emploi. Selon la grille évoquée plus haut, l'effet affecte les opportunités d'une personne, ce qui place le cas dans la catégorie haut niveau[3]. À noter que des usages RH de ce type sont visés par l'annexe III de l'AI Act au titre des systèmes haut risque[2].
Parties prenantes
Candidats (dont candidats appartenant à des groupes potentiellement défavorisés par un biais d'apprentissage), recruteurs internes, responsable RH, direction, éditeur du SaaS, autorité de protection des données.
Évaluation par dimensions
| Juridique | Risque de décision automatisée au sens de la nLPD, obligation d'information du candidat |
|---|---|
| Équité et biais | Risque de biais de genre ou de parcours selon le jeu d'entraînement de l'éditeur, peu transparent |
| Transparence | Score peu explicable, contestation difficile par le candidat |
| Bien-être | Effet psychologique d'un refus opaque, sentiment d'injustice |
| Sociétal | Reproduction de biais structurels du marché du travail si non corrigés |
Les dimensions retenues reprennent la grille des guides indépendants[3]. La colonne de droite est une hypothèse de cadrage, pas une mesure.
Hiérarchisation et traitement
Le biais et le défaut de transparence ressortent en priorité, parce qu'ils combinent probabilité non négligeable, gravité (perte de chance) et faible détectabilité côté déployeur. Mesures retenues, à titre d'exemple : maintien systématique d'une revue humaine avant tout rejet, demande contractuelle à l'éditeur d'un rapport d'audit de biais, mention explicite dans l'offre d'emploi de l'usage d'un outil d'aide à la présélection, voie de contestation simple via le service RH[3].
Piège fréquent observé
Les démarches observées montrent une tendance à classer ce type d'usage en impact moyen au motif que la décision finale reste humaine. C'est insuffisant : si le recruteur ne lit que les vingt premiers profils sur deux cents et que le tri initial est opaque, l'effet pratique sur le candidat est celui d'une décision automatisée. La supervision humaine doit être effective, pas formelle[2].
Articulation avec l'AIPD, l'AI Act et ISO 23894
L'analyse d'impact ISO 42001 ne dispense pas d'une analyse d'impact relative à la protection des données quand celle-ci est requise par la nLPD ou le RGPD. Les deux exercices se recoupent sur les parties prenantes et les risques, mais l'AIPD est centrée sur les données personnelles et leurs droits associés, alors que l'analyse d'impact IA couvre un périmètre plus large incluant les effets sociétaux[7].
Côté AI Act, la classification haut risque entraîne des obligations spécifiques pour le déployeur, dont la documentation des mesures de supervision humaine et l'information des personnes concernées[2]. Une analyse d'impact bien menée alimente directement ces obligations sans travail redondant.
ISO/IEC 23894 fournit, en complément, des lignes directrices spécifiques aux risques liés à l'IA et s'articule avec ISO 31000[7]. Lecture utile pour préciser la cotation et l'identification des risques sur la couche données et modèles.
Pièges fréquents et points de contrôle
Les démarches observées montrent quelques pièges récurrents qui méritent un point de contrôle explicite dans la procédure.
- Confondre analyse de risque organisationnelle (clause 6.1.2) et analyse d'impact (clause 6.1.4). La première sert les objectifs internes, la seconde regarde les effets externes[5].
- Réutiliser une analyse antérieure sans déclencheur. Un changement de jeu de données ou de fournisseur du modèle suffit à invalider les conclusions[3].
- Sous-pondérer l'irréversibilité. Une décision réversible mais subie à grande échelle peut produire plus d'impact qu'un cas individuel grave mais rare[3].
- Limiter les parties prenantes aux utilisateurs internes. Les personnes affectées par les sorties du système doivent être considérées, même quand elles n'interagissent pas avec l'outil[5].
- Documenter le résultat sans documenter le raisonnement. L'auditeur cherche à comprendre comment vous êtes arrivé à la cotation, pas seulement à lire la cotation[3].
Livrables attendus et conservation
Trois livrables forment le socle attendu, en cohérence avec ce que demande l'Annexe A et les guides de mise en œuvre.
Le rapport d'analyse d'impact lui-même : périmètre, classification, parties prenantes, dimensions cotées, hiérarchisation, mesures de traitement, responsables, calendrier de revue[5]. Le registre des analyses d'impact, qui consolide les rapports pour donner une vue d'ensemble au comité de gouvernance. Et la trace des communications avec les parties prenantes, internes comme externes, y compris les régulateurs le cas échéant[3].
Sur la conservation, la norme reste flexible et renvoie à la politique documentaire du SMIA. Une règle pragmatique consiste à aligner la durée de conservation sur la durée d'exploitation du système, prolongée des délais de prescription applicables. Interprétation à valider par le conseil juridique selon le secteur.
Le travail n'a de valeur que s'il est réutilisé. Une analyse d'impact rangée dans un dossier partagé sans rappel de revue ne sert qu'à l'audit initial. Inscrivez la prochaine date de réévaluation dans le plan d'audit interne et dans le registre, et faites-en un point récurrent de la revue de direction.
Questions fréquentes
Quelle différence entre analyse d'impact et évaluation des risques dans ISO 42001 ?
L'évaluation des risques (clause 6.1.2) vise l'organisation et ses objectifs. L'analyse d'impact (clause 6.1.4) vise les effets du système d'IA sur les personnes, les groupes et la société, sur tout le cycle de vie. Les deux exercices se nourrissent mutuellement mais ne se substituent pas, et l'Annexe A traite l'évaluation des impacts comme un objectif de contrôle distinct.[5][7]
À quelle fréquence faut-il refaire une analyse d'impact ?
Trois déclencheurs sont communément retenus : avant déploiement, lors d'un changement significatif et à intervalle régulier, par exemple annuellement. Un quatrième mérite d'être ajouté en pratique : tout incident significatif ou plainte fondée. La cadence doit être proportionnée au niveau d'impact, plus rapprochée pour les systèmes classés élevé ou critique.[3]
Une AIPD au sens du RGPD suffit-elle ?
Non. L'AIPD couvre les données personnelles et les droits associés, alors que l'analyse d'impact ISO 42001 inclut les dimensions éthiques, sociétales et techniques propres à l'IA, comme le biais ou l'explicabilité. Les deux documents partagent une partie de la cartographie des parties prenantes mais répondent à des obligations distinctes et restent complémentaires.[7]
Qui doit participer à l'analyse d'impact ?
Le DPO ou responsable conformité pilote, mais l'exercice exige des compétences techniques, juridiques, éthiques et métier. Les utilisateurs finaux et, autant que possible, des représentants des personnes affectées doivent être consultés. La direction valide le niveau d'impact résiduel accepté, dans le cadre du leadership prévu par la norme.[3][6]
Faut-il un outil dédié pour mener l'analyse d'impact ?
Non. Un modèle structuré, une grille de cotation et un registre suffisent pour démarrer. Des plateformes de gouvernance IA existent et peuvent industrialiser le suivi quand le portefeuille de systèmes croît, mais elles ne remplacent pas la rigueur du raisonnement. Mieux vaut une analyse manuelle bien documentée qu'un outil mal nourri.[6]
Situer votre organisation face à la norme ISO 42001
Un premier échange permet de cadrer les écarts à combler et les priorités.
Demander un avis indépendantÀ lire ensuite
- Réglementation IA : EU AI Act et ISO 42001, Nowbrains https://nowbrains.com/reglementation-ia-eu-ai-act-et-iso-42001
- Évaluation de l'impact des systèmes d'IA : guide étape par étape, K. Vidhani https://fr.linkedin.com/pulse/ai-system-impact-assessment-step-by-step-guide-iso-kapil-vidhani-t5gjf
- Key Considerations for Conducting an AI Impact Assessment (ISO 42001), Elevate Consult https://elevateconsult.com/insights/key-considerations-for-conducting-an-ai-impact-assessment-iso-42001/
- Normes volontaires : ISO 42001, LNE et NIST AI RMF, Naaia https://naaia.ai/iso-42001-nist-lne-comparaison/
- Évaluation de l'impact de l'IA, AI Act et ISO 42001, Niskaa https://niskaa.com/fr/services/services-de-cybersecurite/evaluation-impact-ia/
Dernière vérification : 1 juin 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.