IA y gestion

ISO 42005 — Évaluation d'impact des systèmes d'IA

L'ISO/IEC 42005:2025 est la première norme internationale qui établit comment évaluer les effets d'un système d'IA sur les personnes, les groupes et la société tout au long de son cycle de vie. Si votre organisation développe ou déploie de l'IA, cette analyse n'est plus facultative : le règlement européen sur l'IA l'exige pour les systèmes à haut risque.

NormeISO/IEC 42005:2025
PublicationMai 2025
PérimètreToute organisation qui développe ou utilise l'IA

L'ISO/IEC 42005:2025 a été publiée en mai 2025 par l'ISO et l'IEC en tant que norme de lignes directrices — non certifiable — conçue pour permettre aux organisations d'évaluer de manière systématique l'impact de leurs systèmes d'intelligence artificielle. Contrairement à l'ISO 42001, qui définit le système de management de l'IA au niveau organisationnel, la 42005 descend au niveau de chaque système concret : quels effets il produit, sur qui, à quel moment du cycle de vie et quels contrôles atténuent ces effets. C'est le complément technique qui complète le tableau de gouvernance.

La norme structure l'évaluation autour de six dimensions d'impact : sociale, économique, environnementale, éthique, vie privée et gouvernance. Pour chaque dimension, les groupes concernés sont identifiés — employés, utilisateurs finaux, tiers, communautés —, la probabilité et la gravité de l'impact sont analysées, et les mesures d'atténuation adoptées sont documentées. Le résultat est un registre audité qui démontre la diligence raisonnable auprès des régulateurs, des partenaires et des clients. Cette approche s'aligne directement sur l'article 27 du règlement européen sur l'IA, qui exige des évaluations d'impact sur les droits fondamentaux de la part des organismes publics, des entités privées fournissant des services publics et des déployeurs de certains systèmes d'IA à haut risque.

Chez Summum Calidad, nous accompagnons ce processus de l'analyse initiale jusqu'à l'intégration des conclusions dans le système de management de l'IA existant — ou en cours de construction —. Forts de plus de 18 ans d'expérience dans la mise en œuvre de systèmes normalisés et de près de 200 certifications ISO accompagnées depuis 2007, nous traduisons les exigences techniques en procédures que votre équipe interne peut pérenniser sans dépendre de consultants externes. Si vous disposez déjà de l'ISO 42001, la 42005 est l'étape naturelle pour démontrer que votre gouvernance de l'IA opère également au niveau du système, et pas seulement au niveau de l'organisation.

Le processus ISO 42005.

Le processus · quatre étapes
01

Inventaire et priorisation des systèmes

Nous identifions tous les systèmes d'IA en service ou en développement, définissons les seuils d'évaluation et les priorisons selon le niveau de risque, le secteur et l'exposition réglementaire au regard du règlement sur l'IA.

02

Évaluation des impacts par dimension

Nous analysons chaque système selon les six dimensions de la norme (sociale, économique, environnementale, éthique, vie privée, gouvernance), en identifiant les groupes concernés ainsi que la probabilité et la gravité de chaque impact.

03

Plan d'atténuation et contrôles

Nous concevons des mesures techniques et procédurales pour réduire les impacts négatifs identifiés, nous les rattachons au registre des risques et nous désignons des responsables internes pour le suivi.

04

Documentation, approbation et surveillance continue

Nous formalisons le rapport d'évaluation avec une traçabilité complète, obtenons l'approbation interne requise et mettons en place le processus de révision périodique conforme au cycle de vie du système.

Ce qui est inclus

Ce qu'inclut ISO 42005.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Inventaire des systèmes d'IA

    Catalogue structuré de tous les systèmes devant faire l'objet d'une évaluation, avec critères de priorisation et seuils documentés.

  • Modèles d'évaluation normalisés

    Questionnaires et matrices alignés sur l'ISO/IEC 42005:2025 et les exigences du règlement sur l'IA pour chaque catégorie de risque.

  • Analyse des parties prenantes concernées

    Identification et classification de tous les groupes potentiellement impactés : employés, clients, fournisseurs et communauté au sens large.

  • Registre des impacts et des contrôles

    Document audité recensant les impacts identifiés, la valorisation du risque, les mesures d'atténuation adoptées et les preuves associées.

  • Intégration avec l'ISO 42001

    Rattachement des résultats de l'évaluation au système de management de l'IA existant ou en cours de déploiement, bouclant ainsi la boucle de gouvernance.

  • Formation de l'équipe interne

    Formation pratique permettant à l'équipe responsable de l'IA de réaliser les évaluations ultérieures de manière autonome, sans recours permanent à un support externe.

Questions fréquentes sur ISO 42005.

L'ISO 42005 est-elle certifiable ?

Non. L'ISO/IEC 42005:2025 est une norme de lignes directrices, et non de spécifications. Il n'existe pas de processus de certification par tierce partie pour cette norme. Sa valeur réside dans la rigueur méthodologique qu'elle apporte et dans la documentation auditée qu'elle génère, laquelle sert de preuve de diligence raisonnable auprès des régulateurs et des auditeurs du règlement sur l'IA.

Quelle est la différence entre l'ISO 42001 et l'ISO 42005 ?

L'ISO 42001 définit le système de management de l'IA au niveau de l'ensemble de l'organisation et est certifiable. L'ISO 42005 opère au niveau de chaque système d'IA concret et fournit la méthode pour évaluer son impact spécifique. Elles sont complémentaires : la 42001 fournit le cadre ; la 42005 l'applique système par système.

Quelles organisations sont concernées par l'évaluation d'impact de l'IA ?

Toute organisation qui développe, déploie ou utilise des systèmes d'IA, en particulier celles qui opèrent dans des secteurs à haut risque au sens du règlement sur l'IA (ressources humaines, crédit, accès aux services essentiels, infrastructures critiques). Les entreprises qui fournissent de l'IA à des administrations publiques ou à des secteurs réglementés ont des obligations plus strictes et des délais plus proches.

Combien de temps faut-il pour réaliser une évaluation d'impact selon l'ISO 42005 ?

Cela dépend du nombre de systèmes et de leur complexité. Pour une PME disposant d'un ou deux systèmes d'IA en production, un processus bien encadré peut être achevé en quatre à huit semaines. L'effort principal porte sur l'inventaire initial et l'identification des groupes concernés ; une fois la méthodologie établie, les évaluations ultérieures sont sensiblement plus rapides.

L'ISO 42005 couvre-t-elle les exigences du règlement européen sur l'IA ?

La norme s'aligne sur l'article 27 du règlement sur l'IA, qui oblige les organismes publics, les entités privées fournissant des services publics et les déployeurs de systèmes d'IA à haut risque visés aux points 5(b) et 5(c) de l'annexe III à réaliser des évaluations d'impact sur les droits fondamentaux. Bien que l'ISO 42005 ne soit pas officiellement harmonisée avec le règlement, son application fournit des preuves solides de conformité et systématise le processus que le règlement exige de documenter.