Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Risques et conformité

Risques et conformité

Évaluer les risques liés à l'IA selon l'ISO 42001

Par David Zbinden Dernière vérification : 24 mai 2026
En bref

Au cœur de l'ISO 42001 (clause 6), la gestion des risques liés à l'IA se fait en trois temps : évaluer les risques qu'un système d'IA fait peser sur l'organisation et sur les personnes, décider comment les traiter, et analyser l'impact du système sur les personnes concernées. Le niveau de contrôle s'ajuste au risque réel.

Le risque au cœur de la norme

La clause 6 de l'ISO 42001 porte sur la planification, et son volet central est la gestion des risques liés à l'IA.[1] La norme adopte une approche par les risques : plutôt que d'imposer les mêmes contrôles à tout le monde, elle demande d'ajuster le niveau d'encadrement aux risques réels que présentent les systèmes d'IA dans le périmètre de l'organisation.[1][2]

Les trois temps : évaluation, traitement, impact

La démarche s'articule en trois étapes complémentaires, décrites aux clauses 6.1.2 à 6.1.4.[1][3]

La démarche en trois temps
6.1.2Évaluation des risques
6.1.3Traitement des risques
6.1.4Analyse d'impact

Schéma reformulé, le texte de la norme n'est pas reproduit.

Évaluer (6.1.2)

L'organisation définit un processus d'appréciation des risques : elle identifie les risques qui aident ou empêchent d'atteindre ses objectifs d'IA, apprécie leurs conséquences possibles pour l'organisation, les personnes et la société ainsi que leur vraisemblance, puis hiérarchise les risques en vue de leur traitement.[1]

Traiter (6.1.3)

Pour chaque risque, l'organisation choisit une option de traitement, selon la typologie classique du risque : le réduire, l'éviter, le transférer, ou l'accepter en connaissance de cause.[3] Elle sélectionne ensuite les mesures appropriées et les confronte aux mesures de référence de l'Annexe A, ce qui se formalise dans une déclaration d'applicabilité (le document qui justifie les mesures retenues ou écartées).[1][3]

Analyser l'impact (6.1.4)

Propre à l'IA, l'analyse d'impact examine les conséquences possibles d'un système sur les personnes, les groupes de personnes et la société, en tenant compte de son usage prévu et des mésusages prévisibles, par exemple un biais ou une atteinte à la vie privée. Ses constats reviennent alimenter l'évaluation des risques.[1][3]

Ce qui rend le risque IA particulier

Un système d'IA ne se gère pas tout à fait comme un logiciel classique. La norme pointe plusieurs spécificités qui justifient un encadrement dédié :[1]

  • des décisions automatisées parfois peu transparentes ou difficiles à expliquer ;
  • des systèmes qui apprennent en continu et dont le comportement évolue avec le temps ;
  • des enjeux d'équité et de biais, de transparence, et de qualité des données utilisées ;
  • des conséquences possibles directement sur des personnes.

Un exemple concret

À titre d'illustration, reprenons une fiduciaire romande qui utilise un outil d'IA pour pré-trier des documents clients. L'évaluation des risques pourrait identifier : une fuite de données confidentielles vers l'outil, un classement erroné qui passe inaperçu, ou un biais selon le type de client. Le traitement consisterait par exemple à restreindre les données envoyées à l'outil, à maintenir un contrôle humain sur les cas sensibles, et à journaliser les décisions. L'analyse d'impact, elle, se demanderait quelles conséquences une erreur de tri aurait concrètement pour un client. La même logique vaut pour un cabinet d'avocats ou un assureur.

Ce que cela implique en pratique

Sans entrer dans une méthode imposée, la démarche suit toujours la même logique :

  • recenser les systèmes d'IA réellement utilisés ou développés ;
  • pour chacun, identifier les risques et les apprécier ;
  • décider d'une option de traitement et des mesures associées ;
  • documenter les choix dans une déclaration d'applicabilité ;
  • réévaluer à chaque changement significatif et de façon périodique.

Questions fréquentes

L'ISO 42001 impose-t-elle une méthode de gestion des risques précise ?

Non. La norme demande une approche par les risques mais laisse l'organisation choisir sa méthode d'appréciation, du moment qu'elle est cohérente et documentée.[1]

Quelle différence entre évaluation des risques et analyse d'impact ?

L'évaluation des risques est le processus global : elle apprécie les conséquences possibles pour l'organisation, les personnes et la société, leur vraisemblance et leur niveau. L'analyse d'impact est un examen dédié aux conséquences sur les personnes et la société, dont les résultats alimentent l'évaluation des risques.[1][3]

Qu'est-ce que la déclaration d'applicabilité ?

C'est le document qui liste les mesures de référence de l'Annexe A retenues ou écartées, avec la justification de chaque choix.[1][3]

Quand faut-il réévaluer les risques ?

À chaque changement significatif d'un système ou de son contexte d'usage, et périodiquement dans le cadre de l'amélioration continue.[1]

Cadrer les risques IA de votre organisation

Un premier échange permet d'identifier vos systèmes d'IA et les risques prioritaires à traiter.

Voir l'accompagnement

À lire ensuite

Comprendre Qu'est-ce que la norme ISO/IEC 42001 ? Comparatifs ISO 42001 face à l'ISO 27001 et l'AI Act Se certifier Le parcours de certification
Sources
  1. ISO/IEC 42001:2023, clause 6 (texte de la norme). Référence documentaire, non reproduite.
  2. ISO/IEC 42001:2023, page officielle ISO. iso.org/standard/42001
  3. Schellman, « How to Assess and Treat AI Risks and Impacts with ISO/IEC 42001:2023 ». schellman.com

Dernière vérification : 24 mai 2026. Sources primaires : le texte de la norme et ISO.org. Le texte de la norme n'est pas reproduit.