ISO/IEC 42001:2023

INTERNATIONAL ISO/IEC
STANDARD 42001
First edition
2023-12
Information technology — Artificial
intelligence — Management system
Technologies de l'information — Intelligence artificielle — Système
de management
Reference number
© ISO/IEC 2023
© ISO/IEC 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2023 – All rights reserved

Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .5
4.1 Understanding the organization and its context . 5
4.2 Understanding the needs and expectations of interested parties . 6
4.3 Determining the scope of the AI management system . 6
4.4 AI management system . 6
5 Leadership . 7
5.1 Leadership and commitment . 7
5.2 AI policy . 7
5.3 Roles, responsibilities and authorities . 8
6 Planning . 8
6.1 Actions to address risks and opportunities . 8
6.1.1 General . 8
6.1.2 AI risk assessment . 9
6.1.3 AI risk treatment . 9
6.1.4 AI system impact assessment . 10
6.2 AI objectives and planning to achieve them . 10
6.3 Planning of changes . 11
7 Support .11
7.1 Resources . 11
7.2 Competence . 11
7.3 Awareness . 12
7.4 Communication .12
7.5 Documented information . 12
7.5.1 General .12
7.5.2 Creating and updating documented information .12
7.5.3 Control of documented information . 13
8 Operation .13
8.1 Operational planning and control . 13
8.2 AI risk assessment .13
8.3 AI risk treatment . 14
8.4 AI system impact assessment . 14
9 Performance evaluation .14
9.1 Monitoring, measurement, analysis and evaluation . . 14
9.2 Internal audit . 14
9.2.1 General . 14
9.2.2 Internal audit programme . 14
9.3 Management review .15
9.3.1 General .15
9.3.2 Management review inputs . 15
9.3.3 Management review results . 15
10 Improvement .15
10.1 Continual improvement . 15
10.2 Nonconformity and corrective action . 16
Annex A (normative) Reference control objectives and controls .17
iii
© ISO/IEC 2023 – All rights reserved

Annex B (normative) Implementation guidance for AI controls .21
Annex C (informative) Potential AI-related organizational objectives and risk sources .46
Annex D (informative) Use of the AI management system across domains or sectors .49
Bibliography .51
iv
© ISO/IEC 2023 – All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of
any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC
had not received notice of (a) patent(s) which may be required to implement this document. However,
implementers are cautioned that this may not represent the latest information, which may be obtained
from the patent database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall
not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 42, Artificial intelligence.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
v
© ISO/IEC 2023 – All rights reserved

Introduction
Artificial intelligence (AI) is increasingly applied across all sectors utilizing information technology
and is expected to be one of the main economic drivers. A consequence of this trend is that certain
applications can give rise to societal challenges over the coming years.
This document intends to help organizations responsibly perform their role with respect to AI systems
(e.g. to use, develop, monitor or provide products or services that utilize AI). AI potentially raises
specific considerations such as:
— The use of AI for automatic decision-making, sometimes in a non-transparent and non-explainable
way, can require specific management beyond the management of classical IT systems.
— The use of data analysis, insight and machine learning, rather than human-coded logic to design
systems, both increases the application opportunities for AI systems and changes the way that such
systems are developed, justified and deployed.
— AI systems that perform continuous learning change their behaviour during use. They require
special consideration to ensure their responsible use continues with changing behaviour.
This document provides requirements for establishing, implementing, maintaining and continually
improving an AI management system within the context of an organization. Organizations are expected
to focus their application of requirements on features that are unique to AI. Certain features of AI, such
as the ability to continuously learn and improve or a lack of transparency or explainability, can warrant
different safeguards if they raise additional concerns compared to how the task would traditionally be
performed. The adoption of an AI management system to extend the existing management structures is
a strategic decision for an organization.
The organization’s needs and objectives, processes, size and structure as well as the expectations of
various interested parties influence the establishment and implementation of the AI management
system. Another set of factors that influence the establishment and implementation of the AI
management system are the many use cases for AI and the need to strike the appropriate balance
between governance mechanisms and innovation. Organizations can elect to apply these requirements
using a risk-based approach to ensure that the appropriate level of control is applied for the particular
AI use cases, services or products within the organization’s scope. All these influencing factors are
expected to change and be reviewed from time to time.
The AI management system should be integrated with the organization’s processes and overall
management structure. Specific issues related to AI should be considered in the design of processes,
information systems and controls. Crucial examples of such management processes are:
— determination of organizational objectives, involvement of interested parties and organizational
policy;
— management of risks and opportunities;
— processes for the management of concerns related to the trustworthiness of AI systems such as
security, safety, fairness, transparency, data quality and quality of AI systems throughout their life
cycle;
— processes for the management of suppliers, partners and third parties that provide or develop AI
systems for the organization.
This document provides guidelines for the deployment of applicable controls to support such processes.
This document avoids specific guidance on management processes. The organization can combine
generally accepted frameworks, other International Standards and its own experience to implement
crucial processes such as risk management, life cycle management and data quality management which
are appropriate for the specific AI use cases, products or services within the scope.
vi
© ISO/IEC 2023 – All rights reserved

An organization conforming with the requirements in this document can generate evidence of its
responsibility and accountability regarding its role with respect to AI systems.
The order in which requirements are presented in this document does not reflect their importance or
imply the order in which they are implemented. The list items are enumerated for reference purposes
only.
Compatibility with other management system standards
This document applies the harmonized structure (identical clause numbers, clause titles, text and
common terms and core definitions) developed to enhance alignment among management system
standards (MSS). The AI management system provides requirements specific to managing the issues
and risks arising from using AI in an organization. This common approach facilitates implementation
and consistency with other management system standards, e.g. related to quality, safety, security and
privacy.
vii
© ISO/IEC 2023 – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 42001:2023(E)
Information technology — Artificial intelligence —
Management system
1 Scope
This document specifies the requirements and provides guidance for establishing, implementing,
maintaining and continually improving an AI (artificial intelligence) management system within the
context of an organization.
This document is intended for use by an organization providing or using products or services that
utilize AI systems. This document is intended to help the organization develop, provide or use AI
systems responsibly in pursuing its objectives and meet applicable requirements, obligations related to
interested parties and expectations from them.
This document is applicable to any organization, regardless of size, type and nature, that provides or
uses products or services that utilize AI systems.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 22989:2022, Information technology — Artificial intelligence — Artificial intelligence concepts
and terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 22989 and the following
apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (3.6)
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution or part or combination thereof, whether incorporated or
not, public or private.
Note 2 to entry: If the organization is part of a larger entity, the term “organization” refers only to the part of the
larger entity that is within the scope of the AI management system (3.4).
3.2
interested party
person or organization (3.1) that can affect, be affected by, or perceive itself to be affected by a decision
or activity
Note 1 to entry: An overview of interested parties in AI is provided in ISO/IEC 22989:2022, 5.19.
© ISO/IEC 2023 – All rights reserved

3.3
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.
Note 2 to entry: If the scope of the management system (3.4) covers only part of an organization, then top
management refers to those who direct and control that part of the organization.
3.4
management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.5) and
objectives (3.6), as well as processes (3.8) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The management system elements include the organization’s structure, roles and responsibilities,
planning and operation.
3.5
policy
intentions and direction of an organization (3.1) as formally expressed by its top management (3.3)
3.6
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as finance, health and safety, and environment).
They can be, for example, organization-wide or specific to a project, product or process (3.8).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended result, as a purpose, as an
operational criterion, as an AI objective or by the use of other words with similar meaning (e.g. aim, goal, or
target).
Note 4 to entry: In the context of AI management systems (3.4), AI objectives are set by the organization (3.1),
consistent with the AI policy (3.5), to achieve specific results.
3.7
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73) and
consequences (as defined in ISO Guide 73), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated likelihood (as defined in ISO Guide 73) of occurrence.
3.8
process
set of interrelated or interacting activities that uses or transforms inputs to deliver a result
Note 1 to entry: Whether the result of a process is called an output, a product or a service depends on the context
of the reference.
© ISO/IEC 2023 – All rights reserved

3.9
competence
ability to apply knowledge and skills to achieve intended results
3.10
documented information
information required to be controlled and maintained by an organization (3.1) and the medium on
which it is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to:
— the management system (3.4), including related processes (3.8);
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.11
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to managing activities, processes (3.8), products, services, systems or
organizations (3.1).
Note 3 to entry: In the context of this document, performance refers both to results achieved by using AI systems
and results related to the AI management system (3.4). The correct interpretation of the term is clear from the
context of its use.
3.12
continual improvement
recurring activity to enhance performance (3.11)
3.13
effectiveness
extent to which planned activities are realized and planned results are achieved
3.14
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1) and
interested parties (3.2) that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, e.g. in documented information (3.10).
3.15
conformity
fulfilment of a requirement (3.14)
3.16
nonconformity
non-fulfilment of a requirement (3.14)
3.17
corrective action
action to eliminate the cause(s) of a nonconformity (3.16) and to prevent recurrence
© ISO/IEC 2023 – All rights reserved

3.18
audit
systematic and independent process (3.8) for obtaining evidence and evaluating it objectively to
determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.1) itself, or by an external party on its
behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
3.19
measurement
process (3.8) to determine a value
3.20
monitoring
determining the status of a system, a process (3.8) or an activity
Note 1 to entry: To determine the status, there can be a need to check, supervise or critically observe.
3.21
control
measure that maintains and/or modifies risk (3.7)
Note 1 to entry: Controls include, but are not limited to, any process, policy, device, practice or other conditions
and/or actions which maintain and/or modify risk.
Note 2 to entry: Controls may not always exert the intended or assumed modifying effect.
[SOURCE: ISO 31000:2018, 3.8, modified — Added as application domain ]
3.22
governing body
person or group of people who are accountable for the performance and conformance of the organization
Note 1 to entry: Not all organizations, particularly small organizations, will have a governing body separate from
top management.
Note 2 to entry: A governing body can include, but is not limited to, board of directors, committees of the board,
supervisory board, trustees or overseers.
[SOURCE: ISO/IEC 38500:2015, 2.9, modified — Added Notes to entry.]
3.23
information security
preservation of confidentiality, integrity and availability of information
Note 1 to entry: Other properties such as authenticity, accountability, non-repudiation and reliability can also be
involved.
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.24
AI system impact assessment
formal, documented process by which the impacts on individuals, groups of individuals, or both, and
societies are identified, evaluated and addressed by an organization developing, providing or using
products or services utilizing artificial intelligence
© ISO/IEC 2023 – All rights reserved

3.25
data quality
characteristic of data that the data meet the organization’s data requirements for a specific context
1)
[SOURCE: ISO/IEC 5259-1:— , 3.4]
3.26
statement of applicability
documentation of all necessary controls (3.23) and justification for inclusion or exclusion of controls
Note 1 to entry: Organizations may not require all controls listed in Annex A or may even exceed the list in
Annex A with additional controls established by the organization itself.
Note 2 to entry: All identified risks shall be documented by the organization according to the requirements of
this document. All identified risks and the risk management measures (controls) established to address them
shall be reflected in the statement of applicability.
4 Context of the organization
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that
affect its ability to achieve the intended result(s) of its AI management system.
The organization shall determine whether climate change is a relevant issue.
The organization shall consider the intended purpose of the AI systems that are developed, provided or
used by the organization. The organization shall determine its roles with respect to these AI systems.
NOTE 1 To understand the organization and its context, it can be helpful for the organization to determine its
role relative to the AI system. These roles can include, but are not limited to, one or more of the following:
— AI providers, including AI platform providers, AI product or service providers;
— AI producers, including AI developers, AI designers, AI operators, AI testers and evaluators, AI deployers, AI
human factor professionals, domain experts, AI impact assessors, procurers, AI governance and oversight
professionals;
— AI customers, including AI users;
— AI partners, including AI system integrators and data providers;
— AI subjects, including data subjects and other subjects;
— relevant authorities, including policymakers and regulators.
A detailed description of these roles is provided by ISO/IEC 22989. Furthermore, the types of roles and their
[29]
relationship to the AI system life cycle are also described in the NIST AI risk management framework. The
organization’s roles can determine the applicability and extent of applicability of the requirements and controls
in this document.
NOTE 2 External and internal issues to be addressed under this clause can vary according to the organization’s
roles and jurisdiction and their impact on its ability to achieve the intended outcome(s) of its AI management
system. These can include, but are not limited to:
a) external context related considerations such as:
1) applicable legal requirements, including prohibited uses of AI;
2) policies, guidelines and decisions from regulators that have an impact on the interpretation or
enforcement of legal requirements in the development and use of AI systems;
1) Under preparation. Stage at the time of publication ISO/IEC DIS 5259-1:2023.
© ISO/IEC 2023 – All rights reserved

3) incentives or consequences associated with the intended purpose and the use of AI systems;
4) culture, traditions, values, norms and ethics with respect to development and use of AI;
5) competitive landscape and trends for new products and services using AI systems;
b) internal context related considerations such as:
1) organizational context, governance, objectives (see 6.2), policies and procedures;
2) contractual obligations;
3) intended purpose of the AI system to be developed or used.
NOTE 3 Role determination can be formed by obligations related to categories of data the organization
processes (e.g. personally identifiable information (PII) processor or PII controller when processing PII). See
ISO/IEC 29100 for PII and related roles. Roles can also be informed by legal requirements specific to AI systems.
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
— the interested parties that are relevant to the AI management system;
— the relevant requirements of these interested parties;
— which of these requirements will be addressed through the AI management system.
NOTE Relevant interested parties can have requirements related to climate change.
4.3 Determining the scope of the AI management system
The organization shall determine the boundaries and applicability of the AI management system to
establish its scope.
When determining this scope, the organization shall consider:
— the external and internal issues referred to in 4.1;
— the requirements referred to in 4.2.
The scope shall be available as documented information.
The scope of the AI management system shall determine the organization’s activities with respect to
this document’s requirements on the AI management system, leadership, planning, support, operation,
performance, evaluation, improvement, controls and objectives.
4.4 AI management system
The organization shall establish, implement, maintain, continually improve and document an AI
management system, including the processes needed and their interactions, in accordance with the
requirements of this document.
© ISO/IEC 2023 – All rights reserved

5 Leadership
5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the AI management
system by:
— ensuring that the AI policy (see 5.2) and AI objectives (see 6.2) are established and are compatible
with the strategic direction of the organization;
— ensuring the integration of the AI management system requirements into the organization’s
business processes;
— ensuring that the resources needed for the AI management system are available;
— communicating the importance of effective AI management and of conforming to the AI management
system requirements;
— ensuring that the AI management system achieves its intended result(s);
— directing and supporting persons to contribute to the effectiveness of the AI management system;
— promoting continual improvement;
— supporting other relevant roles to demonstrate their leadership as it applies to their areas of
responsibility.
NOTE 1 Reference to “business” in this document can be interpreted broadly to mean those activities that are
core to the purposes of the organization’s existence.
NOTE 2 Establishing, encouraging and modelling a culture within the organization, to take a responsible
approach to using, development and governing AI systems can be an important demonstration of commitment
and leadership by top management. Ensuring awareness of and compliance with such a responsible approach and
in support of the AI management system through leadership can aid the success of the AI management system.
5.2 AI policy
Top management shall establish an AI policy that:
a) is appropriate to the purpose of the organization;
b) provides a framework for setting AI objectives (see 6.2);
c) includes a commitment to meet applicable requirements;
d) includes a commitment to continual improvement of the AI management system.
The AI policy shall:
— be available as documented information;
— refer as relevant to other organizational policies;
— be communicated within the organization;
— be available to interested parties, as appropriate.
Control objectives and controls for establishing an AI policy are provided in A.2 in Table A.1.
Implementation guidance for these controls is provided in B.2.
NOTE Considerations for organizations when developing AI policies are provided in ISO/IEC 38507.
© ISO/IEC 2023 – All rights reserved

5.3 Roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for relevant roles are assigned
and communicated within the organization.
Top management shall assign the responsibility and authority for:
a) ensuring that the AI management system conforms to the requirements of this document;
b) reporting on the performance of the AI management system to top management.
NOTE A control for defining and allocating roles and responsibilities is provided in A.3.2 in Table A.1.
Implementation guidance for this control is provided in B.3.2.
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the AI management system, the organization shall consider the issues referred to in
4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be
addressed to:
— give assurance that the AI management system can achieve its intended result(s);
— prevent or reduce undesired effects;
— achieve continual improvement.
The organization shall establish and maintain AI risk criteria that support:
— distinguishing acceptable from non-acceptable risks;
— performing AI risk assessments;
— conducting AI risk treatment;
— assessing AI risk impacts.
NOTE 1 Considerations to determine the amount and type of risk that an organization is willing to pursue or
retain are provided in ISO/IEC 38507 and ISO/IEC 23894.
The organization shall determine the risks and opportunities according to:
— the domain and application context of an AI system;
— the intended use;
— the external and internal context described in 4.1.
NOTE 2 More than one AI system can be considered in the scope of the AI management system. In this case the
determination of opportunities and uses is performed for each AI system or groupings of AI systems.
The organization shall plan:
a) actions to address these risks and opportunities;
b) how to:
1) integrate and implement the actions into its AI management system processes;
2) evaluate the effectiveness of these actions.
© ISO/IEC 2023 – All rights reserved

The organization shall retain documented information on actions taken to identify and address AI risks
and AI opportunities.
NOTE 3 Guidance on how to implement risk management for organizations developing, providing or using AI
products, systems and services is provided in ISO/IEC 23894.
NOTE 4 The context of the organization and its activities can have an impact on the organization’s risk
management activities.
NOTE 5 The way of defining risk and therefore of envisioning risk management can vary across sectors and
industries. The definition of risk in 3.7 allows a broad vision of risk adaptable to any sector, such as the sectors
mentioned in Annex D. In any case, it is the role of the organization, as part of risk assessment, to first adopt a
vision of risk adapted to its context. This can include approaching risk through definitions used in sectors where
the AI system is developed for and used, such as the definition from ISO/IEC Guide 51.
6.1.2 AI risk assessment
The organization shall define and establish an AI risk assessment process that:
a) is informed by and aligned with the AI policy (see 5.2) and AI objectives (see 6.2);
NOTE When assessing the consequences as part of 6.1.2 d) 1), the organization can utilize an AI system
impact assessment as indicated in 6.1.4.
b) is designed such that repeated AI risk assessments can produce consistent, valid and comparable
results;
c) identifies risks that aid or prevent achieving its AI objectives;
d) analyses the AI risks to:
1) assess the potential consequences to the organization, individuals and societies that would
result if the identified risks were to materialize;
2) assess, where applicable, the realistic likelihood of the identified risks;
3) determine the levels of risk;
e) evaluates the AI risks to:
1) compare the results of the risk analysis with the risk criteria (see 6.1.1);
2) prioritize the assessed risks for risk treatment.
The organization shall retain documented information about the AI risk assessment process.
6.1.3 AI risk treatment
Taking the risk assessment results into account, the organization shall define an AI risk treatment
process to:
a) select appropriate AI risk treatment options;
b) determine all controls that are necessary to implement the AI risk treatment options chosen and
compare the controls with those in Annex A to verify that no necessary controls have been omitted;
NOTE 1 Annex A provides reference controls for meeting organizational objectives and addressing risks
related to the design and use of AI systems.
c) consider the controls from Annex A that are relevant for the implementation of the AI risk treatment
options;
d) identify if additional controls are necessary beyond those in Annex A in order to implement all risk
treatment options;
© ISO/IEC 2023 – All rights reserved

e) consider the guidance in Annex B for the implementation of controls determined in b) and c);
NOTE 2 Control objectives are implicitly included in the controls chosen. The organization can select an
appropriate set of control objectives and controls from Annex A. The Annex A controls are not exhaustive
and additional control objectives and controls can be needed. If different or additional controls are necessary
beyond those in Annex A, the organization can design such controls or take them from existing sources. AI
risk management can be integrated in other management systems, if applicable.
f) produce a statement of applicability that contains the necessary controls [see b), c) and d)] and
provide justification for inclusion and exclusion of controls. Justification for exclusion can include
where the controls are not deemed necessary by the risk assessment and where they are not
required by (or are subject to exceptions under) applicable external requirements.
NOTE 3 The organization can provide documented justifications for excluding any control objectives in
general or for specific AI systems, whether those listed in Annex A or established by the organization itself.
g) formulate an AI risk treatment plan.
The organization shall obtain approval from the designated management for the AI risk treatment plan
and for acceptance of the residual AI risks. The necessary controls shall be:
— aligned to the objectives in 6.2;
— available as documented information;
— communicated within the organization;
— available to interested parties, as appropriate.
The organization shall retain documented information about the AI risk treatment process.
6.1.4 AI system impact assessment
The organization shall define a process for assessing the potential consequences for individuals or
groups of individuals, or both, and societies that can result from the development, provision or use of AI
systems.
The AI system impact assessment shall determine the potential consequences an AI system’s
deployment, intended use and foreseeable misuse has on individuals or groups of individuals, or both,
and societies.
The AI system impact assessment shall take into account the specific technical and societal context
where the AI system is deployed and applicable jurisdictions.
The result of the AI system impact assessment shall be documented. Where appropriate, the result of
the system impact assessment can be made available to relevant interested parties as defined by the
organization.
The organization shall consider the results of the AI system impact assessment in the risk assessment
(see 6.1.2). A.5 in Table A.1 provides controls for assessing impacts of AI systems.
NOTE In some contexts (such as safety or privacy critical AI systems), the organization can require that
discipline-specific AI system impact assessments (e.g. safety, privacy or security impact) be performed as part of
the overall risk management activities of an organization.
6.2 AI objectives and planning to achieve them
The organization shall establish AI objectives at relevant functions and levels.
The AI objectives shall:
a) be consistent with the AI policy (see 5.2);
© ISO/IEC 2023 – All rights reserved

b) be measurab
...

Norme
internationale
ISO/IEC 42001
Première édition
Technologies de l'information —
2023-12
Intelligence artificielle — Système
de management
Information technology — Artificial intelligence — Management
system
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2023 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 5
4.1 Comprendre l'organisme et son contexte .5
4.2 Comprendre les besoins et attentes des parties intéressées .6
4.3 Détermination du périmètre du système de management de l'IA .6
4.4 Système de management de l'IA . .7
5 Leadership . 7
5.1 Leadership et engagement .7
5.2 Politique d'IA .7
5.3 Rôles, responsabilités et autorités au sein de l'organisme .8
6 Planification. 8
6.1 Actions pour traiter les risques et les opportunités .8
6.1.1 Généralités .8
6.1.2 Appréciation des risques liés à l'IA .9
6.1.3 Traitement des risques liés à l'IA .10
6.1.4 Évaluation de l'impact du système d'IA .10
6.2 Objectifs d'IA et planification pour les atteindre .11
6.3 Planification des changements .11
7 Soutien .12
7.1 Ressources . 12
7.2 Compétences . . . 12
7.3 Sensibilisation . 12
7.4 Communication . 12
7.5 Informations documentées . 13
7.5.1 Généralités . 13
7.5.2 Création et mise à jour des informations documentées . 13
7.5.3 Maîtrise des informations documentées . 13
8 Exploitation . 14
8.1 Planification et maîtrise . .14
8.2 Appréciation des risques liés à l'IA .14
8.3 Traitement des risques liés à l'IA .14
8.4 Évaluation de l'impact du système d'IA . .14
9 Évaluation des performances .15
9.1 Surveillance, mesure, analyse et évaluation . 15
9.2 Audit interne . . 15
9.2.1 Généralités . 15
9.2.2 Programme d'audit interne. 15
9.3 Revue de direction . 15
9.3.1 Généralités . 15
9.3.2 Éléments d'entrée de la revue de direction .16
9.3.3 Résultats de la revue de direction .16
10 Amélioration .16
10.1 Amélioration continue .16
10.2 Non-conformité et action corrective .16
Annexe A (normative) Mesures et objectifs de mesures de référence .18
Annexe B (normative) Recommandations pour la mise en œuvre des mesures de l'IA .22

© ISO/IEC 2023 – Tous droits réservés
iii
Annexe C (informative) Objectifs organisationnels et sources de risques potentiels liés à l'IA .48
Annexe D (informative) Utilisation du système de management de l'IA dans différents domaines
ou secteurs .51
Bibliographie .53

© ISO/IEC 2023 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO
ou de l'IEC participent au développement de Normes Internationales par l'intermédiaire des comités
techniques créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité
technique. Les comités techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun.
D'autres organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et
l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'ISO et l'IEC attirent l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO et L'IEC ne prennent pas position quant à la preuve, à la
validité et à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du
présent document, l'ISO et l'IEC n'avaient pas reçu notification qu'un ou plusieurs brevets pouvaient être
nécessaires à sa mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application
du présent document que des informations plus récentes sont susceptibles de figurer dans la base de données
de brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient
être tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 42, Intelligence artificielle.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve aux adresses www.iso.org/fr/members.html et www.iec.ch/national-committees.

© ISO/IEC 2023 – Tous droits réservés
v
Introduction
L'intelligence artificielle (IA) est de plus en plus appliquée dans tous les secteurs utilisant les technologies
de l'information et elle est appelée à devenir l'un des principaux moteurs économiques. Une conséquence de
cette tendance est que certaines applications peuvent engendrer des défis sociétaux au cours des années à
venir.
Le présent document vise à aider les organismes à remplir leur rôle de manière responsable en ce qui
concerne les systèmes d'IA (par exemple, utiliser, développer, surveiller ou fournir des produits ou services
utilisant l'IA). L'IA soulève potentiellement des considérations spécifiques, notamment:
— l'utilisation de l'IA pour la prise de décision automatique, parfois de manière non transparente et
non explicable, peut nécessiter une gestion spécifique qui dépasse le cadre de la gestion des systèmes
informatiques classiques;
— l'utilisation de l'analyse des données, des insights et de l'apprentissage machine plutôt que d'une logique
codée par des agents humains pour la conception des systèmes non seulement augmente les opportunités
d'application des systèmes d'IA, mais modifie également la manière dont ces systèmes sont développés,
justifiés et déployés;
— les systèmes d'IA qui apprennent en continu modifient leur comportement pendant l'utilisation. Il est
absolument essentiel à cet égard de veiller à maintenir leur utilisation responsable tout au long de
l'évolution de leur comportement.
Le présent document spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et
à l'amélioration continue d'un système de management de l'IA dans le contexte d'un organisme. Il est attendu
des organismes qu'ils appliquent spécifiquement les exigences relatives aux caractéristiques propres
à l'IA. Certaines caractéristiques de l'IA, telles que la capacité d'apprentissage et d'amélioration continus
ou le manque de transparence ou d'explicabilité, peuvent justifier des mesures d'encadrement différentes
si elles soulèvent des préoccupations supplémentaires par rapport à la manière dont la tâche serait
traditionnellement exécutée. L'adoption d'un système de management de l'IA pour étendre les structures de
management existantes est une décision stratégique pour un organisme.
Les besoins et les objectifs, les processus, la taille et la structure de l'organisme ainsi que les attentes des
différentes parties intéressées influencent l'établissement et la mise en œuvre du système de management
de l'IA. Le grand nombre de cas d'application de l'IA et la nécessité de parvenir à un juste équilibre entre
les mécanismes de gouvernance et l'innovation constituent un autre ensemble de facteurs qui influencent
l'établissement et la mise en œuvre du système de management de l'IA. Les organismes peuvent choisir
d'appliquer ces exigences en adoptant une approche fondée sur le risque pour s'assurer que le niveau de
contrôle approprié est appliqué pour les cas d'usage, les services ou les produits particuliers de l'IA relevant
du périmètre d'activité de l'organisme. Tous ces facteurs d'influence sont présumés évoluer et faire l'objet de
vérifications régulières.
Il convient que le système de management de l'IA soit intégré aux processus et à la structure globale
de gestion de l'organisme. Il convient de prendre en compte les problèmes spécifiques liés à l'IA dans la
conception des processus, des systèmes d'information et des mesures. Des exemples essentiels de ces
processus de management sont:
— la détermination des objectifs organisationnels, l'implication des parties intéressées et la politique
organisationnelle;
— le management des risques et des opportunités;
— les processus de management des problèmes liés aux critères de confiance des systèmes d'IA, tels que la
sécurité, la sûreté, l'équité, la transparence, la qualité des données et la qualité des systèmes d'IA tout au
long de leur cycle de vie;
— les processus de management des fournisseurs, des partenaires et des tiers qui fournissent ou développent
des systèmes d'IA pour l'organisme.

© ISO/IEC 2023 – Tous droits réservés
vi
Le présent document fournit des lignes directrices pour le déploiement des mesures applicables à l'appui de
ces processus.
Le présent document évite des recommandations spécifiques sur les processus de management. L'organisme
peut combiner des cadres généralement acceptés, d'autres Normes internationales et sa propre expérience
pour mettre en œuvre des processus essentiels tels que le management du risque, la gestion du cycle de vie
et la gestion de la qualité des données, qui sont appropriés pour les cas d'usage, les produits ou les services
spécifiques de l'IA relevant du domaine d'application du présent document.
Un organisme qui satisfait aux exigences du présent document peut générer des preuves de sa responsabilité
et de sa redevabilité en ce qui concerne son rôle vis-à-vis des systèmes d'IA.
L'ordre dans lequel les exigences sont présentées dans le présent document ne reflète pas leur importance
ni l'ordre dans lequel elles sont mises en œuvre. Les éléments de liste sont énumérés uniquement à titre de
référence.
Compatibilité avec les autres normes de systèmes de management
Le présent document applique la structure harmonisée (numéros d'articles identiques, titres d'articles, texte,
termes communs et définitions essentielles) élaborée pour assurer un meilleur alignement entre les normes
de système de management (MSS). Le système de management de l'IA fournit des exigences spécifiques à la
gestion des problèmes et des risques liés à l'utilisation de l'IA dans un organisme. Cette approche commune
facilite la mise en œuvre et la cohérence avec d'autres normes de système de management, par exemple
relatives à la qualité, à la sûreté, à la sécurité et à la protection de la vie privée.

© ISO/IEC 2023 – Tous droits réservés
vii
Norme internationale ISO/IEC 42001:2023(fr)
Technologies de l'information — Intelligence artificielle —
Système de management
1 Domaine d'application
Le présent document spécifie les exigences et les recommandations relatives à l'établissement, à la mise
en œuvre, à la mise à jour et à l'amélioration continue d'un système de management de l'IA (intelligence
artificielle) dans le contexte d'un organisme.
Le présent document est destiné à être utilisé par un organisme qui fournit ou utilise des produits ou
services utilisant des systèmes d'IA. Le présent document vise à aider l'organisme à développer, à fournir
ou à utiliser des systèmes d'IA de manière responsable dans la poursuite de ses objectifs et à satisfaire aux
exigences applicables, aux obligations liées aux parties intéressées et aux attentes vis-à-vis desdites parties
intéressées.
Le présent document s'applique à tout organisme, quels que soient sa taille, son type et sa nature, qui fournit
ou utilise des produits ou services utilisant des systèmes d'IA.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 22989:2022, Technologies de l'information — Intelligence artificielle — Concepts et terminologie
relatifs à l'intelligence artificielle
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 22989 ainsi que les suivants
s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
organisme
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et des
relations lui permettant d'atteindre ses objectifs (3.6)
Note 1 à l'article: Le concept d'organisme englobe, sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédemment mentionnées, qu'il s'agisse d'une
personne morale ou non, de droit public ou privé.
Note 2 à l'article: Si l'organisme fait partie d'une plus grande entité, le terme «organisme» fait uniquement référence à
la partie de cette entité qui est comprise dans le champ d'application du système de management (3.4) de l'IA.

© ISO/IEC 2023 – Tous droits réservés
3.2
partie intéressée
personne ou organisme (3.1) qui peut soit influer sur une décision ou une activité, soit être influencé(e) ou se
sentir influencé(e) par une décision ou une activité
Note 1 à l'article: Une vue d'ensemble des parties intéressées dans le domaine de l'IA est fournie dans
l'ISO/IEC 22989:2022, 5.19.
3.3
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.1) au plus haut niveau
Note 1 à l'article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de l'organisme.
Note 2 à l'article: Si le domaine d'application du système de management (3.4) ne couvre qu’une partie de l’organisme,
alors «direction» fait référence à ceux qui orientent et dirigent cette partie de l’organisme.
3.4
système de management
ensemble d'éléments corrélés ou en interaction d'un organisme (3.1), utilisés pour établir des politiques (3.5)
et des objectifs (3.6), ainsi que des processus (3.8) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification et le fonctionnement de l'organisme.
3.5
politique
intentions et orientations d'un organisme (3.1) telles qu'elles sont officiellement formulées par sa direction
(3.3)
3.6
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à plusieurs domaines (tels que la finance, la santé et la sécurité, et
l'environnement). Ils peuvent, par exemple, concerner tout l'organisme ou bien un projet, un produit ou un processus
(3.8).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple par un résultat attendu, une
finalité, un critère opérationnel, un objectif d'IA, ou par l'utilisation d'autres termes ayant la même signification (par
exemple ambition, but ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management (3.4) de l'IA, les objectifs d'IA sont fixés par l'organisme
(3.1), en cohérence avec sa politique (3.5) en matière d'IA et en vue d'obtenir des résultats précis.
3.7
risque
effet de l'incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L'incertitude est l'état, même partiel, de manque d'information, de compréhension ou de connaissance
relative à un événement, à ses conséquences ou à sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis dans
le Guide ISO 73) et à des conséquences potentielles (telles que définies dans le Guide ISO 73), ou par référence à une
combinaison des deux.
© ISO/IEC 2023 – Tous droits réservés
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement
(y compris une variation des circonstances) et de la vraisemblance (telle que définie dans le Guide ISO 73) de son
occurrence.
3.8
processus
ensemble d'activités corrélées ou en interaction qui utilise ou transforme des éléments d'entrée pour
produire un résultat
Note 1 à l'article: La désignation du résultat d'un processus comme «élément de sortie», «produit» ou «service» dépend
du contexte de référence.
3.9
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
3.10
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.1) ainsi que le support sur lequel elle
est disponible
Note 1 à l'article: Les informations documentées peuvent se présenter sous n'importe quels format et support et
peuvent provenir de n'importe quelle source.
Note 2 à l'article: «Information documentée» peut renvoyer:
— au système de management (3.4), y compris les processus (3.8) connexes;
— aux informations créées en vue du fonctionnement de l'organisme (documentation);
— aux preuves des résultats atteints (enregistrements).
3.11
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent se rapporter à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d'activités, de processus (3.8), de produits, de
services, de systèmes ou d'organismes (3.1).
Note 3 à l'article: Dans le contexte du présent document, la performance se rapporte à la fois aux résultats obtenus en
utilisant des systèmes d'IA et aux résultats liés au système de management (3.4) de l'IA. L'interprétation correcte du
terme est claire dans le contexte de son utilisation.
3.12
amélioration continue
activité récurrente menée pour améliorer les performances (3.11)
3.13
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
3.14
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme (3.1) et les parties
intéressées (3.2), que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence qui est formulée, par exemple dans une information
documentée (3.10).
© ISO/IEC 2023 – Tous droits réservés
3.15
conformité
satisfaction d'une exigence (3.14)
3.16
non-conformité
non-satisfaction d'une exigence (3.14)
3.17
action corrective
action visant à éliminer la ou les causes d'une non-conformité (3.16) et à prévenir sa récurrence
3.18
audit
processus (3.8) systématique et indépendant visant à obtenir des preuves et à les évaluer de manière
objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être
un audit combiné (s'il combine au moins deux domaines).
Note 2 à l'article: Un audit interne est conduit par l'organisme (3.1) lui-même ou par une partie externe pour le compte
de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
3.19
mesure
mesurage
processus (3.8) visant à déterminer une valeur
3.20
surveillance
détermination de l'état d'un système, d'un processus (3.8) ou d'une activité
Note 1 à l'article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d'observer d'un point de
vue critique.
3.21
mesure
action qui maintient et/ou modifie un risque (3.7)
Note 1 à l'article: Une mesure du risque inclut, sans toutefois s'y limiter, n'importe quels processus, politique, dispositif,
pratique ou autres conditions et/ou actions qui maintiennent et/ou modifient un risque.
Note 2 à l'article: Une mesure du risque n'aboutit pas toujours nécessairement à la modification voulue ou supposée.
[SOURCE: ISO 31000:2018, 3.8, modifié — Ajout du domaine d'application .]
3.22
organe de gouvernance
personne ou groupe de personnes qui sont redevables de la performance et de la conformité de l'organisme
Note 1 à l'article: Tous les organismes, en particulier les petits organismes, n'ont pas un organe de gouvernance
distinct de la direction.
Note 2 à l'article: Un organe de gouvernance peut comprendre, sans s'y limiter, le conseil d'administration, les comités
du conseil d'administration, le conseil de surveillance, les administrateurs ou les superviseurs.
[SOURCE: ISO/IEC 38500:2015, 2.9, modifié — Ajout de Notes à l'article.]

© ISO/IEC 2023 – Tous droits réservés
3.23
sécurité de l'information
protection de la confidentialité, de l'intégrité et de la disponibilité de l'information
Note 1 à l'article: D'autres propriétés telles que l'authenticité, la redevabilité, la non-répudiation et la fiabilité peuvent
également être impliquées.
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.24
évaluation de l'impact du système d'IA
processus formel documenté au cours duquel les impacts sur des personnes et/ou des groupes de personnes
ainsi que sur les sociétés sont identifiés, évalués et traités par un organisme qui développe, fournit ou utilise
des produits ou services utilisant l'intelligence artificielle
3.25
qualité des données
caractéristique des données selon laquelle les données satisfont aux exigences de l'organisme en matière de
données pour un contexte spécifié
1)
[SOURCE: ISO/IEC 5259-1:— , 3.4]
3.26
déclaration d'applicabilité
documentation de tous les mesures (3.21) et justification de l'inclusion ou de l'exclusion de mesures
Note 1 à l'article: Les organismes peuvent ne pas exiger toutes les mesures énumérées dans l'Annexe A ou peuvent
même dépasser la liste de l'Annexe A avec des mesures supplémentaires établis par l'organisme lui-même.
Note 2 à l'article: Tous les risques identifiés doivent être documentés par l'organisme conformément aux exigences du
présent document. Tous les risques identifiés, ainsi que les mesures de management du risque (mesures) établies pour
les traiter, doivent être reflétés dans la déclaration d'applicabilité.
4 Contexte de l'organisme
4.1 Comprendre l'organisme et son contexte
L'organisme doit déterminer les questions externes et internes pertinentes par rapport à son objet, et qui
influent sur sa capacité à obtenir le ou les résultats attendus de son système de management de l'IA.
L'organisme doit déterminer si de tels enjeux découlent des changements climatiques.
L'organisme doit prendre en compte la finalité prévue des systèmes d'IA qui sont développés, fournis ou
utilisés par l'organisme. L'organisme doit déterminer ses rôles par rapport à ces systèmes d'IA.
NOTE 1 Pour comprendre l'organisme et son contexte, il peut être utile pour l'organisme de déterminer son rôle par
rapport au système d'IA. Ces rôles peuvent comprendre, entre autres, un ou plusieurs des éléments suivants:
— les fournisseurs d'IA, y compris les fournisseurs de plateforme d'IA et les fournisseurs de produits ou de services
d'IA;
— les producteurs d'IA, y compris les développeurs d'IA, les concepteurs d'IA, les opérateurs d'IA, les testeurs et les
évaluateurs d'IA, les professionnels du déploiement de l'IA, les professionnels des facteurs humains de l'IA, les
experts de domaine, les évaluateurs d'impact de l'IA, les acheteurs, et les professionnels de la gouvernance et de la
supervision de l'IA;
— les clients d'IA, y compris les utilisateurs d'IA;
— les partenaires d'IA, y compris les intégrateurs de systèmes et les fournisseurs de données d'IA;
— les sujets d'IA, y compris les sujets de données et autres sujets;
1) En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 5259-1: 2023.

© ISO/IEC 2023 – Tous droits réservés
— les autorités compétentes, y compris les décideurs politiques et les organismes de réglementation.
Une description détaillée de ces rôles est fournie dans l'ISO/IEC 22989. De plus, les types de rôles et leur relation avec
[29]
le cycle de vie du système d'IA sont également décrits dans le cadre de management du risque de l'IA du NIST. Les
rôles de l'organisme peuvent déterminer l'applicabilité et l'étendue de l'applicabilité des exigences et des mesures du
présent document.
NOTE 2 Les enjeux externes et internes à traiter en vertu du présent article peuvent varier en fonction des rôles et
de la juridiction de l'organisme, ainsi que de leur impact sur la capacité de l'organisme à atteindre le ou les résultats
attendus de son système de management de l'IA. Ces facteurs peuvent comprendre, sans toutefois s'y limiter:
a) des considérations liées au contexte externe telles que:
1) les exigences légales applicables, y compris les utilisations interdites de l'IA;
2) les politiques, lignes directrices et décisions des organismes de réglementation qui ont une incidence sur
l'interprétation ou l'application des exigences légales dans le cadre du développement et de l'utilisation des
systèmes d'IA;
3) les incitations ou les conséquences associées à l'usage prévu et à l'utilisation des systèmes d'IA;
4) la culture, les traditions, les valeurs, les normes et les considérations éthiques en ce qui concerne le
développement et l'utilisation de l'IA;
5) le paysage concurrentiel et les tendances pour les nouveaux produits et services utilisant des systèmes d'IA;
b) des considérations liées au contexte interne telles que:
1) le contexte organisationnel, la gouvernance, les objectifs (voir 6.2), les politiques et les procédures;
2) les obligations contractuelles;
3) la finalité prévue du système d'IA à développer ou utiliser.
NOTE 3 La détermination des rôles peut être encadrée par des obligations liées aux catégories de données
que l'organisme traite (par exemple, le sous-traitant de données à caractère personnel (DCP) ou le responsable de
traitement de DCP lors du traitement de DCP). Voir l'ISO/IEC 29100 pour les DCP et les rôles associés. Les rôles peuvent
également être éclairés par des exigences légales spécifiques aux systèmes d'IA.
4.2 Comprendre les besoins et attentes des parties intéressées
L'organisme doit déterminer:
— les parties intéressées qui sont concernées par le système de management de l'IA;
— les exigences pertinentes de ces parties intéressées;
— lesquelles de ces exigences seront traitées par le système de management de l'IA.
NOTE Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques.
4.3 Détermination du périmètre du système de management de l'IA
L'organisme doit déterminer les limites et l'applicabilité du système de management de l'IA pour en établir
le périmètre.
Ce faisant, l'organisme doit prendre en compte:
— les enjeux internes et externes auxquels il est fait référence en 4.1;
— les exigences auxquelles il est fait référence en 4.2.
Le périmètre doit être disponible sous forme d'information documentée.
Le périmètre du système de management de l'IA doit déterminer les activités de l'organisme en ce qui
concerne les exigences du présent document relatives au système de management, au leadership, à la

© ISO/IEC 2023 – Tous droits réservés
planification, au soutien, à l'exploitation, à la performance, à l'évaluation, à l'amélioration, aux mesures et
aux objectifs du système d'IA.
4.4 Système de management de l'IA
L'organisme doit établir, mettre en œuvre, tenir à jour et continuellement améliorer et documenter un
système de management de l'IA, y compris les processus nécessaires et leurs interactions, conformément
aux exigences du présent document.
5 Leadership
5.1 Leadership et engagement
La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de management
de l'IA en:
— s'assurant que la politique d'IA (voir 5.2) et les objectifs d'IA (voir 6.2) sont établis et qu'ils sont compatibles
avec l'orientation stratégique de l'organisme;
— s'assurant que les exigences liées au système de management de l'IA sont intégrées aux processus métiers
de l'organisme;
— s'assurant que les ressources nécessaires pour le système de management de l'IA sont disponibles;
— communiquant sur l'importance de l'efficacité du management de l'IA et de la conformité aux exigences
du système de management de l'IA;
— s'assurant que le système de management de l'IA produit le ou les résultats escomptés;
— orientant et soutenant les personnes pour qu'elles contribuent à l'efficacité du système de management
de l'IA;
— promouvant l'amélioration continue; et
— soutenant les autres rôles pertinents afin de démontrer que leur leadership s'applique dans leurs
domaines de responsabilité.
NOTE 1 La référence au «métier» dans le présent document peut s'interpréter au sens large, c'est-à-dire comme les
activités qui contribuent directement aux finalités de l'organisme.
NOTE 2 L'établissement, l'encouragement et le façonnage d'une culture au sein de l'organisme pour adopter une
approche responsable de l'utilisation, du développement et de la gouvernance des systèmes d'IA peuvent constituer
un témoignage important de l'engagement et du leadership de la direction. La sensibilisation et la conformité à cette
approche responsable, de même que le soutien du système de management de l'IA au travers du leadership, peuvent
contribuer à la réussite du système de management de l'IA.
5.2 Politique d'IA
La direction doit établir une politique d'IA:
a) appropriée à la finalité de l'organisme;
b) fournissant un cadre pour la définition des objectifs d'IA (voir 6.2);
c) comprenant l'engagement de satisfaire aux exigences applicables;
d) comprenant un engagement en faveur de l'amélioration continue du système de management de l'IA.
La politique d'IA doit:
— être disponible sous la forme d'une information documentée;

© ISO/IEC 2023 – Tous droits réservés
— se référer aux autres politiques organisationnelles pertinentes;
— être communiquée au sein de l'organisme;
— être disponible pour les parties intéressées, le cas échéant.
Les mesures pour l'établissement d'une politique d'IA ainsi que leurs objectifs sont fournies en A.2 dans le
Tableau A.1. Des recommandations pour la mise en œuvre de ces mesures sont fournies à l'Article B.2.
NOTE Les aspects à prendre en compte par les organismes lors de l'élaboration des politiques d'IA sont fournis
dans l'ISO/IEC 38507.
5.3 Rôles, responsabilités et autorités au sein de l'organisme
La direction doit s'assurer que les responsabilités et autorités des rôles pertinents sont attribuées et
communiquées au sein de l'organisme.
La direction doit attribuer la responsabilité et l'autorité pour:
a) s'assurer que le système de management de l'IA est conforme aux exigences du présent document;
b) rendre compte des performances du système de management de l'IA à la direction.
NOTE Une mesure pour la définition et l'attribution des rôles et responsabilités est fournie en A.3.2 dans le
Tableau A.1. Des recommandations pour la mise en œuvre de cette mesure sont fournies en B.3.2.
6 Planification
6.1 Actions pour traiter les risques et les opportunités
6.1.1 Généralités
Lors de la planification de son système de management de l'IA, l'organisme doit examiner les enjeux
mentionnés en 4.1 et les exigences mentionnées en 4.2 et déterminer les risques et les opportunités à traiter
pour:
— donner l'assurance que le système de management de l'IA peut atteindre le ou les résultats attendus;
— prévenir ou réduire les effets indésirables;
— parvenir à une amélioration continue.
L'organisme doit établir et tenir à jour des critères de risque liés à l'IA qui permettent:
— de distinguer les risques acceptables des risques non acceptables;
— de réaliser les appréciations de risques liés à l'IA;
— de mener à bien le traitement des risques liés à l'IA;
— d'évaluer les impacts des risques liés à l'IA.
NOTE 1 Les considérations relatives à la détermination de la quantité et du type de risque qu'un organisme est
disposé à prendre ou à supporter sont fournies dans l'ISO/IEC 38507 et l'ISO/IEC 23894.
L'organisme doit déterminer les risques et les opportunités selon:
— le domaine et le contexte d'application d'un système d'IA;
— l'utilisation prévue;
— les contextes externe et interne décrits en 4.1.

© ISO/IEC 2023 – Tous droits réservés
NOTE 2 Plusieurs systèmes d'IA peuvent être envisagés dans le domaine d'application du système de management
de l'IA. Dans ce cas, la détermination des opportunités et des utilisations est effectuée pour chaque système d'IA ou
chaque regroupement de systèmes d'IA.
L'organisme doit planifier:
a) les actions pour traiter les risques et les opportunités;
b) comment:
1) intégrer et mettre en œuvre les actions au sein des processus du système de management de l'IA;
2) d'évaluer l'efficacité de ces actions.
L'organisme doit conserver des informations documentées sur les actions entreprises pour identifier et
traiter les risques liés à l'IA et les opportunités de l'IA.
NOTE 3 L'ISO/IEC 23894 fournit des recommandations sur la manière de mettre en œuvre le management du risque
pour les organismes qui développent, fournissent ou utilisent des produits, systèmes et services d'IA.
NOTE 4 Le contexte de l'organisme et ses activités peuvent avoir une incidence sur les activités de management du
risque de l'organisme.
NOTE 5 La manière de définir le risque et, par conséquent, d'envisager le management
...

Date: 2026-03-10
ISO/IEC 42001:2023(fr)
ISO/IEC JTC 1/SC 42
Secrétariat:
Première édition
2023-12
Technologies de l'information — Intelligence artificielle —
Système de management
Information technology — Artificial intelligence — Management system
ICS: 03.100.70; 35.020
ISO/IEC 42001:2023(Ffr)
© ISO/IEC 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvreoeuvre, aucune partie
de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie, ou la diffusion sur l'internetl’internet ou sur un intranet, sans autorisation écrite
préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du
demandeur.
ISO Copyright Officecopyright office
Case PostaleCP 401 • • Ch. de Blandonnet 8
CH-1214 Vernier, GenèveGeneva
Tél.:Phone: + 41 22 749 01 11
E-mail: copyright@iso.org
WebWebsite: www.iso.org
www.iso.org
Publié en Suisse
© ISO/IEC 2023 – Tous droits réservés
ii
© ISO/IEC 2023 – Tous droits réservés
ii
Sommaire
Pa
ge
Avant-propos . v
Introduction . vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 6
4.1 Comprendre l'organisme et son contexte . 6
4.2 Comprendre les besoins et attentes des parties intéressées . 8
4.3 Détermination du périmètre du système de management de l'IA . 8
4.4 Système de management de l'IA . 8
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique d'IA . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 9
6 Planification . 10
6.1 Actions pour traiter les risques et les opportunités . 10
6.1.1 Généralités . 10
6.1.2 Appréciation des risques liés à l'IA . 11
6.1.3 Traitement des risques liés à l'IA . 11
6.1.4 Évaluation de l'impact du système d'IA . 12
6.2 Objectifs d'IA et planification pour les atteindre . 13
6.3 Planification des changements . 14
7 Soutien . 14
7.1 Ressources . 14
7.2 Compétences . 14
7.3 Sensibilisation . 14
7.4 Communication . 14
7.5 Informations documentées . 15
7.5.1 Généralités . 15
7.5.2 Création et mise à jour des informations documentées . 15
7.5.3 Maîtrise des informations documentées . 15
8 Exploitation . 16
8.1 Planification et maîtrise . 16
8.2 Appréciation des risques liés à l'IA . 16
8.3 Traitement des risques liés à l'IA . 16
8.4 Évaluation de l'impact du système d'IA . 17
9 Évaluation des performances . 17
9.1 Surveillance, mesure, analyse et évaluation . 17
9.2 Audit interne . 17
9.2.1 Généralités . 17
9.2.2 Programme d'audit interne . 17
9.3 Revue de direction . 18
9.3.1 Généralités . 18
9.3.2 Éléments d'entrée de la revue de direction . 18
9.3.3 Résultats de la revue de direction . 18
© ISO/IEC 2023 – Tous droits réservés
iii
ISO/IEC 42001:2023(Ffr)
10 Amélioration . 18
10.1 Amélioration continue . 18
10.2 Non-conformité et action corrective . 18
Annexe A (normative) Mesures et objectifs de mesures de référence . 20
Annexe B (normative) Recommandations pour la mise en œuvre des mesures de l'IA . 25
Annexe C (informative) Objectifs organisationnels et sources de risques potentiels liés à l'IA . 54
Annexe D (informative) Utilisation du système de management de l'IA dans différents domaines
ou secteurs . 57
Bibliographie . 59

© ISO/IEC 2023 – Tous droits réservés
iv
© ISO/IEC 2023 – Tous droits réservés
iv
Sommaire
Avant-propos . vi
Introduction . vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 6
4.1 Comprendre l'organisme et son contexte . 6
4.2 Comprendre les besoins et attentes des parties intéressées . 7
4.3 Détermination du périmètre du système de management de l'IA . 7
4.4 Système de management de l'IA . 7
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique d'IA . 8
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 9
6 Planification . 9
6.1 Actions pour traiter les risques et les opportunités . 9
6.2 Objectifs d'IA et planification pour les atteindre . 12
6.3 Planification des changements . 13
7 Soutien . 13
7.1 Ressources . 13
7.2 Compétences . 13
7.3 Sensibilisation . 14
7.4 Communication . 14
7.5 Informations documentées . 14
8 Exploitation . 15
8.1 Planification et maîtrise . 15
8.2 Appréciation des risques liés à l'IA . 16
8.3 Traitement des risques liés à l'IA . 16
8.4 Évaluation de l'impact du système d'IA . 16
9 Évaluation des performances . 16
9.1 Surveillance, mesure, analyse et évaluation . 16
9.2 Audit interne . 17
9.3 Revue de direction . 17
10 Amélioration . 18
10.1 Amélioration continue . 18
10.2 Non-conformité et action corrective . 18
Annexe A (normative) Mesures et objectifs de mesures de référence . 20
Annexe B (normative) Recommandations pour la mise en œuvre des mesures de l'IA. 24
Annexe C (informative) Objectifs organisationnels et sources de risques potentiels liés à l'IA . 54
Annexe D (informative) Utilisation du système de management de l'IA dans différents domaines
ou secteurs . 57
Bibliographie . 59

© ISO/IEC 2023 – Tous droits réservés
v
ISO/IEC 42001:2023(Ffr)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l'IEC participent au développement de Normes Internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l'IEC
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'ISO et l'IEC attirent l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO et L'IEC ne prennent pas position quant à la preuve, à la validité
et à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du présent
document, l'ISO et l'IEC n'avaient pas reçu notification qu'un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de brevets,
disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch.https://patents.iec.ch. L’ISO et l’IEC ne
sauraient être tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 42, Intelligence artificielle.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve aux adresses www.iso.org/fr/members.html et www.iec.ch/national-committees.
© ISO/IEC 2023 – Tous droits réservés
vi
© ISO/IEC 2023 – Tous droits réservés
vi
Introduction
L'intelligence artificielle (IA) est de plus en plus appliquée dans tous les secteurs utilisant les technologies de
l'information et elle est appelée à devenir l'un des principaux moteurs économiques. Une conséquence de cette
tendance est que certaines applications peuvent engendrer des défis sociétaux au cours des années à venir.
Le présent document vise à aider les organismes à remplir leur rôle de manière responsable en ce qui concerne
les systèmes d'IA (par exemple, utiliser, développer, surveiller ou fournir des produits ou services utilisant
l'IA). L'IA soulève potentiellement des considérations spécifiques, notamment:
— — l'utilisation de l'IA pour la prise de décision automatique, parfois de manière non transparente et non
explicable, peut nécessiter une gestion spécifique qui dépasse le cadre de la gestion des systèmes
informatiques classiques;
— — l'utilisation de l'analyse des données, des insights et de l'apprentissage machine plutôt que d'une
logique codée par des agents humains pour la conception des systèmes non seulement augmente les
opportunités d'application des systèmes d'IA, mais modifie également la manière dont ces systèmes sont
développés, justifiés et déployés;
— — les systèmes d'IA qui apprennent en continu modifient leur comportement pendant l'utilisation. Il est
absolument essentiel à cet égard de veiller à maintenir leur utilisation responsable tout au long de
l'évolution de leur comportement.
Le présent document spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et à
l'amélioration continue d'un système de management de l'IA dans le contexte d'un organisme. Il est attendu
des organismes qu'ils appliquent spécifiquement les exigences relatives aux caractéristiques propres à l'IA.
Certaines caractéristiques de l'IA, telles que la capacité d'apprentissage et d'amélioration continus ou le
manque de transparence ou d'explicabilité, peuvent justifier des mesures d'encadrement différentes si elles
soulèvent des préoccupations supplémentaires par rapport à la manière dont la tâche serait
traditionnellement exécutée. L'adoption d'un système de management de l'IA pour étendre les structures de
management existantes est une décision stratégique pour un organisme.
Les besoins et les objectifs, les processus, la taille et la structure de l'organisme ainsi que les attentes des
différentes parties intéressées influencent l'établissement et la mise en œuvre du système de management de
l'IA. Le grand nombre de cas d'application de l'IA et la nécessité de parvenir à un juste équilibre entre les
mécanismes de gouvernance et l'innovation constituent un autre ensemble de facteurs qui influencent
l'établissement et la mise en œuvre du système de management de l'IA. Les organismes peuvent choisir
d'appliquer ces exigences en adoptant une approche fondée sur le risque pour s'assurer que le niveau de
contrôle approprié est appliqué pour les cas d'usage, les services ou les produits particuliers de l'IA relevant
du périmètre d'activité de l'organisme. Tous ces facteurs d'influence sont présumés évoluer et faire l'objet de
vérifications régulières.
Il convient que le système de management de l'IA soit intégré aux processus et à la structure globale de gestion
de l'organisme. Il convient de prendre en compte les problèmes spécifiques liés à l'IA dans la conception des
processus, des systèmes d'information et des mesures. Des exemples essentiels de ces processus de
management sont:
— — la détermination des objectifs organisationnels, l'implication des parties intéressées et la politique
organisationnelle;
— — le management des risques et des opportunités;
© ISO/IEC 2023 – Tous droits réservés
vii
ISO/IEC 42001:2023(Ffr)
— — les processus de management des problèmes liés aux critères de confiance des systèmes d'IA, tels que
la sécurité, la sûreté, l'équité, la transparence, la qualité des données et la qualité des systèmes d'IA tout
au long de leur cycle de vie;
— — les processus de management des fournisseurs, des partenaires et des tiers qui fournissent ou
développent des systèmes d'IA pour l'organisme.
Le présent document fournit des lignes directrices pour le déploiement des mesures applicables à l'appui de
ces processus.
Le présent document évite des recommandations spécifiques sur les processus de management. L'organisme
peut combiner des cadres généralement acceptés, d'autres Normes internationales et sa propre expérience
pour mettre en œuvre des processus essentiels tels que le management du risque, la gestion du cycle de vie et
la gestion de la qualité des données, qui sont appropriés pour les cas d'usage, les produits ou les services
spécifiques de l'IA relevant du domaine d'application du présent document.
Un organisme qui satisfait aux exigences du présent document peut générer des preuves de sa responsabilité
et de sa redevabilité en ce qui concerne son rôle vis-à-vis des systèmes d'IA.
L'ordre dans lequel les exigences sont présentées dans le présent document ne reflète pas leur importance ni
l'ordre dans lequel elles sont mises en œuvre. Les éléments de liste sont énumérés uniquement à titre de
référence.
Compatibilité avec les autres normes de systèmes de management
Le présent document applique la structure harmonisée (numéros d'articles identiques, titres d'articles, texte,
termes communs et définitions essentielles) élaborée pour assurer un meilleur alignement entre les normes
de système de management (MSS). Le système de management de l'IA fournit des exigences spécifiques à la
gestion des problèmes et des risques liés à l'utilisation de l'IA dans un organisme. Cette approche commune
facilite la mise en œuvre et la cohérence avec d'autres normes de système de management, par exemple
relatives à la qualité, à la sûreté, à la sécurité et à la protection de la vie privée.
© ISO/IEC 2023 – Tous droits réservés
viii
© ISO/IEC 2023 – Tous droits réservés
viii
Norme internationale ISO/IEC 42001:2023(fr)

Technologies de l'information — Intelligence artificielle — Système
de management
1 Domaine d'application
Le présent document spécifie les exigences et les recommandations relatives à l'établissement, à la mise en
œuvre, à la mise à jour et à l'amélioration continue d'un système de management de l'IA (intelligence
artificielle) dans le contexte d'un organisme.
Le présent document est destiné à être utilisé par un organisme qui fournit ou utilise des produits ou services
utilisant des systèmes d'IA. Le présent document vise à aider l'organisme à développer, à fournir ou à utiliser
des systèmes d'IA de manière responsable dans la poursuite de ses objectifs et à satisfaire aux exigences
applicables, aux obligations liées aux parties intéressées et aux attentes vis-à-vis desdites parties intéressées.
Le présent document s'applique à tout organisme, quels que soient sa taille, son type et sa nature, qui fournit
ou utilise des produits ou services utilisant des systèmes d'IA.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ilsqu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'éditionl’édition citée
s'appliques’applique. Pour les références non datées, la dernière édition du document de référence s'applique
(y compris les éventuels amendements).
ISO/IEC 22989:2022, Technologies de l'information — Intelligence artificielle — Concepts et terminologie
relatifs à l'intelligence artificielle
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 22989 ainsi que les suivants,
s'appliquent.
L'ISOL’ISO et l'IECl’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— — ISO Online browsing platform: disponible à l'adressel’adresse
https://www.iso.org/obphttps://www.iso.org/obp
— — IEC Electropedia: disponible à l'adressel’adresse
https://www.electropedia.org/https://www.electropedia.org/
3.1 3.1
organisme
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et des
relations lui permettant d'atteindre ses objectifs (3.6)(3.6)
Note 1 à l'article: Le concept d'organisme englobe, sans s'y limiter, les travailleurs indépendants, les compagnies, les
sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les institutions,
ou bien une partie ou une combinaison des entités précédemment mentionnées, qu'il s'agisse d'une personne morale ou
non, de droit public ou privé.
© ISO/IEC 2023 – Tous droits réservés
ISO/IEC 42001:2023(Ffr)
Note 2 à l'article: Si l'organisme fait partie d'une plus grande entité, le terme «organisme» fait uniquement référence à la
partie de cette entité qui est comprise dans le champ d'application du système de management (3.4)(3.4) de l'IA.
3.2 3.2
partie intéressée
personne ou organisme (3.1)(3.1) qui peut soit influer sur une décision ou une activité, soit être influencé(e)
ou se sentir influencé(e) par une décision ou une activité
Note 1 à l'article: Une vue d'ensemble des parties intéressées dans le domaine de l'IA est fournie dans
l'ISO/IEC 22989:2022, 5.19.
3.3 3.3
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.1)(3.1) au plus haut niveau
Note 1 à l'article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de l'organisme.
Note 2 à l'article: Si le domaine d'application du système de management (3.4)(3.4) ne couvre qu’une partie de
l’organisme, alors «direction» fait référence à ceux qui orientent et dirigent cette partie de l’organisme.
3.4 3.4
système de management
ensemble d'éléments corrélés ou en interaction d'un organisme (3.1),(3.1), utilisés pour établir des
politiques (3.5) (3.5) et des objectifs (3.6),(3.6), ainsi que des processus (3.8)(3.8) de façon à atteindre ces
objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification et le fonctionnement de l'organisme.
3.5 3.5
politique
intentions et orientations d'un organisme (3.1)(3.1) telles qu'elles sont officiellement formulées par sa
direction (3.3)(3.3)
3.6 3.6
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à plusieurs domaines (tels que la finance, la santé et la sécurité, et
l'environnement). Ils peuvent, par exemple, concerner tout l'organisme ou bien un projet, un produit ou un processus
(3.8).(3.8).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple par un résultat attendu, une finalité,
un critère opérationnel, un objectif d'IA, ou par l'utilisation d'autres termes ayant la même signification (par exemple
ambition, but ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management (3.4)(3.4) de l'IA, les objectifs d'IA sont fixés par
l'organisme (3.1),(3.1), en cohérence avec sa politique (3.5)(3.5) en matière d'IA et en vue d'obtenir des résultats précis.
© ISO/IEC 2023 – Tous droits réservés
© ISO/IEC 2023 – Tous droits réservés
3.7 3.7
risque
effet de l'incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L'incertitude est l'état, même partiel, de manque d'information, de compréhension ou de connaissance
relative à un événement, à ses conséquences ou à sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis dans le
Guide ISO 73) et à des conséquences potentielles (telles que définies dans le Guide ISO 73), ou par référence à une
combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement (y compris
une variation des circonstances) et de la vraisemblance (telle que définie dans le Guide ISO 73) de son occurrence.
3.8 3.8
processus
ensemble d'activités corrélées ou en interaction qui utilise ou transforme des éléments d'entrée pour produire
un résultat
Note 1 à l'article: La désignation du résultat d'un processus comme «élément de sortie», «produit» ou «service» dépend
du contexte de référence.
3.9 3.9
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
3.10 3.10
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.1)(3.1) ainsi que le support sur lequel
elle est disponible
Note 1 à l'article: Les informations documentées peuvent se présenter sous n'importe quels format et support et peuvent
provenir de n'importe quelle source.
Note 2 à l'article: «Information documentée» peut renvoyer:
— — au système de management (3.4),(3.4), y compris les processus (3.8)(3.8) connexes;
— — aux informations créées en vue du fonctionnement de l'organisme (documentation);
— — aux preuves des résultats atteints (enregistrements).
3.11 3.11
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent se rapporter à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d'activités, de processus (3.8),(3.8), de produits,
de services, de systèmes ou d'organismes (3.1).(3.1).
Note 3 à l'article: Dans le contexte du présent document, la performance se rapporte à la fois aux résultats obtenus en
utilisant des systèmes d'IA et aux résultats liés au système de management (3.4)(3.4) de l'IA. L'interprétation correcte du
terme est claire dans le contexte de son utilisation.
© ISO/IEC 2023 – Tous droits réservés
ISO/IEC 42001:2023(Ffr)
3.12 3.12
amélioration continue
activité récurrente menée pour améliorer les performances (3.11)(3.11)
3.13 3.13
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
3.14 3.14
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme (3.1)(3.1) et les parties
intéressées (3.2),(3.2), que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence qui est formulée, par exemple dans une information
documentée (3.10).(3.10).
3.15 3.15
conformité
satisfaction d'une exigence (3.14)(3.14)
3.16 3.16
non-conformité
non-satisfaction d'une exigence (3.14)(3.14)
3.17 3.17
action corrective
action visant à éliminer la ou les causes d'une non-conformité (3.16)(3.16) et à prévenir sa récurrence
3.18 3.18
audit
processus (3.8)(3.8) systématique et indépendant visant à obtenir des preuves et à les évaluer de manière
objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être
un audit combiné (s'il combine au moins deux domaines).
Note 2 à l'article: Un audit interne est conduit par l'organisme (3.1)(3.1) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
3.19 3.19
mesure
mesurage
processus (3.8)(3.8) visant à déterminer une valeur
3.20 3.20
surveillance
détermination de l'état d'un système, d'un processus (3.8)(3.8) ou d'une activité
Note 1 à l'article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d'observer d'un point de
vue critique.
© ISO/IEC 2023 – Tous droits réservés
© ISO/IEC 2023 – Tous droits réservés
3.21 3.21
mesure
action qui maintient et/ou modifie un risque (3.7)(3.7)
Note 1 à l'article: Une mesure du risque inclut, sans toutefois s'y limiter, n'importe quels processus, politique, dispositif,
pratique ou autres conditions et/ou actions qui maintiennent et/ou modifient un risque.
Note 2 à l'article: Une mesure du risque n'aboutit pas toujours nécessairement à la modification voulue ou supposée.
[SOURCE: ISO 31000:2018, 3.8, modifié — Ajout du domaine d'application .]
3.22 3.22
organe de gouvernance
personne ou groupe de personnes qui sont redevables de la performance et de la conformité de l'organisme
Note 1 à l'article: Tous les organismes, en particulier les petits organismes, n'ont pas un organe de gouvernance distinct
de la direction.
Note 2 à l'article: Un organe de gouvernance peut comprendre, sans s'y limiter, le conseil d'administration, les comités
du conseil d'administration, le conseil de surveillance, les administrateurs ou les superviseurs.
[SOURCE: ISO/IEC 38500:2015, 2.9, modifié — Ajout de Notes à l'article.]
3.23 3.23
sécurité de l'information
protection de la confidentialité, de l'intégrité et de la disponibilité de l'information
Note 1 à l'article: D'autres propriétés telles que l'authenticité, la redevabilité, la non-répudiation et la fiabilité peuvent
également être impliquées.
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.24 3.24
évaluation de l'impact du système d'IA
processus formel documenté au cours duquel les impacts sur des personnes et/ou des groupes de personnes
ainsi que sur les sociétés sont identifiés, évalués et traités par un organisme qui développe, fournit ou utilise
des produits ou services utilisant l'intelligence artificielle
3.25 3.25
qualité des données
caractéristique des données selon laquelle les données satisfont aux exigences de l'organisme en matière de
données pour un contexte spécifié
1 1)
[SOURCE: ISO/IEC 5259--1:— , , 3.4]
3.26 3.26
déclaration d'applicabilité
documentation de tous les mesures (3.21)(3.21) et justification de l'inclusion ou de l'exclusion de mesures
Note 1 à l'article: Les organismes peuvent ne pas exiger toutes les mesures énumérées dans l'Annexe Al'Annexe A ou
peuvent même dépasser la liste de l'Annexe Al'Annexe A avec des mesures supplémentaires établis par l'organisme lui-
même.
En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 5259-1: 2023.
1)
En cours d'élaboration. Stade à la date de publication: ISO/IEC DIS 5259-1:2023.

© ISO/IEC 2023 – Tous droits réservés
ISO/IEC 42001:2023(Ffr)
Note 2 à l'article: Tous les risques identifiés doivent être documentés par l'organisme conformément aux exigences du
présent document. Tous les risques identifiés, ainsi que les mesures de management du risque (mesures) établies pour
les traiter, doivent être reflétés dans la déclaration d'applicabilité.
4 Contexte de l'organisme
4.1 Comprendre l'organisme et son contexte
L'organisme doit déterminer les questions externes et internes pertinentes par rapport à son objet, et qui
influent sur sa capacité à obtenir le ou les résultats attendus de son système de management de l'IA.
L'organisme doit déterminer si de tels enjeux découlent des changements climatiques.
L'organisme doit prendre en compte la finalité prévue des systèmes d'IA qui sont développés, fournis ou
utilisés par l'organisme. L'organisme doit déterminer ses rôles par rapport à ces systèmes d'IA.
NOTE 1 Pour comprendre l'organisme et son contexte, il peut être utile pour l'organisme de déterminer son rôle par
rapport au système d'IA. Ces rôles peuvent comprendre, entre autres, un ou plusieurs des éléments suivants:
— — les fournisseurs d'IA, y compris les fournisseurs de plateforme d'IA et les fournisseurs de produits ou de services
d'IA;
— — les producteurs d'IA, y compris les développeurs d'IA, les concepteurs d'IA, les opérateurs d'IA, les testeurs et
les évaluateurs d'IA, les professionnels du déploiement de l'IA, les professionnels des facteurs humains de l'IA, les
experts de domaine, les évaluateurs d'impact de l'IA, les acheteurs, et les professionnels de la gouvernance et de la
supervision de l'IA;
— — les clients d'IA, y compris les utilisateurs d'IA;
— — les partenaires d'IA, y compris les intégrateurs de systèmes et les fournisseurs de données d'IA;
— — les sujets d'IA, y compris les sujets de données et autres sujets;
— — les autorités compétentes, y compris les décideurs politiques et les organismes de réglementation.
Une description détaillée de ces rôles est fournie dans l'ISO/IEC 22989. De plus, les types de rôles et leur relation avec le
[29] [29]
cycle de vie du système d'IA sont également décrits dans le cadre de management du risque de l'IA du NIST. . Les
rôles de l'organisme peuvent déterminer l'applicabilité et l'étendue de l'applicabilité des exigences et des mesures du
présent document.
NOTE 2 Les enjeux externes et internes à traiter en vertu du présent article peuvent varier en fonction des rôles et de
la juridiction de l'organisme, ainsi que de leur impact sur la capacité de l'organisme à atteindre le ou les résultats attendus
de son système de management de l'IA. Ces facteurs peuvent comprendre, sans toutefois s'y limiter:
a) a) des considérations liées au contexte externe telles que:
1) 1) les exigences légales applicables, y compris les utilisations interdites de l'IA;
2) 2) les politiques, lignes directrices et décisions des organismes de réglementation qui ont une incidence
sur l'interprétation ou l'application des exigences légales dans le cadre du développement et de l'utilisation des
systèmes d'IA;
3) 3) les incitations ou les conséquences associées à l'usage prévu et à l'utilisation des systèmes d'IA;
© ISO/IEC 2023 – Tous droits réservés
© ISO/IEC 2023 – Tous droits réservés
4) 4) la culture, les traditions, les valeurs, les normes et les considérations éthiques en ce qui concerne le
développement et l'utilisation de l'IA;
5) 5) le paysage concurrentiel et les tendances pour les nouveaux produits et services utilisant des systèmes
d'IA;
b) b) des considérations liées au contexte interne telles que:
1) 1) le contexte organisationnel, la gouvernance, les objectifs (voir 6.2),6.2), les politiques et les procédures;
2) 2) les obligations contractuelles;
3) 3) la finalité prévue du système d'IA à développer ou utiliser.
NOTE 3 La détermination des rôles peut être encadrée par des obligations liées aux catégories de données que
l'organisme traite (par exemple, le sous-traitant de données à caractère personnel (DCP) ou le responsable de traitement
de DCP lors du traitement de DCP). Voir l'ISO/IEC 29100 pour les DCP et les rôles associés. Les rôles peuvent également
être éclairés par des exigences légales spécifiques aux systèmes d'IA.
4.2 Comprendre les besoins et attentes des parties intéressées
L'organisme doit déterminer:
— — les parties intéressées qui sont concernées par le système de management de l'IA;
— — les exigences pertinentes de ces parties intéressées;
— — lesquelles de ces exigences seront traitées par le système de management de l'IA.
NOTE Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques.
4.3 Détermination du périmètre du système de management de l'IA
L'organisme doit déterminer les limites et l'applicabilité du système de management de l'IA pour en établir le
périmètre.
Ce faisant, l'organisme doit prendre en compte:
— — les enjeux internes et externes auxquels il est fait référence en 4.1;4.1;
— — les exigences auxquelles il est fait référence en 4.2.4.2.
Le périmètre doit être disponible sous forme d'information documentée.
Le périmètre du système de management de l'IA doit déterminer les activités de l'organisme en ce qui
concerne les exigences du présent document relatives au système de management, au leadership, à la
planification, au soutien, à l'exploitation, à la performance, à l'évaluation, à l'amélioration, aux mesures et aux
objectifs du système d'IA.
4.4 Système de management de l'IA
L'organisme doit établir, mettre en œuvre, tenir à jour et continuellement améliorer et documenter un
système de management de l'IA, y compris les processus nécessaires et leurs interactions, conformément aux
exigences du présent document.
© ISO/IEC 2023 – Tous droits réservés
ISO/IEC 42001:2023(Ffr)
5 Leadership
5.1 Leadership et engagement
La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de management
de l'IA en:
— — s'assurant que la politique d'IA (voir 5.2)5.2)
...