Retour aux modèles de politiques
Politique 05 sur 15

Politique de conformite reglementaire de l'IA

Etablit la correspondance entre les obligations reglementaires et normatives et les controles internes, attribue les responsables et garantit des preuves pretes pour l'audit pour tous les cadres applicables a l'IA.

1. Objectif

La presente politique etablit comment [Nom de l'organisation] identifie, suit et demontre la conformite aux reglementations, normes et obligations contractuelles liees a l'IA. Elle cree le processus de gestion de la conformite, definit le registre des exigences et confirme que les preuves sont maintenues pour satisfaire les regulateurs, les auditeurs, les organismes de certification et les clients.

2. Perimetre

La presente politique couvre :

  • Tous les systemes d'IA soumis a une reglementation externe (Reglement europeen sur l'IA, RGPD, regles sectorielles).
  • Tous les systemes d'IA relevant de normes volontaires (ISO/IEC 42001, NIST AI RMF).
  • Tous les systemes d'IA soumis a des obligations de conformite contractuelles (audits clients, accords partenaires).
  • Toutes les juridictions ou l'organisation developpe, deploie ou propose des systemes d'IA.

3. Vue d'ensemble et hierarchisation des cadres

Les trois principaux cadres de gouvernance de l'IA traitent de preoccupations qui se chevauchent mais restent distinctes. Les organisations doivent comprendre leur relation :

Approche recommandee : Commencer par le cadre le plus pertinent au regard de vos obligations reglementaires (Reglement europeen sur l'IA pour les operations dans l'UE, NIST AI RMF pour les organisations axees sur les Etats-Unis). Superposer l'ISO/IEC 42001 pour une gestion systematique et la certification. Utiliser les correspondances entre cadres pour eviter la duplication des efforts la ou les cadres se recoupent.

  • Reglement europeen sur l'IA : Obligations legales. Obligatoire pour les systemes d'IA commercialises ou utilises dans l'UE. Le non-respect est passible d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
  • ISO/IEC 42001 : Norme de systeme de management. Volontaire mais de plus en plus attendue par les clients et partenaires entreprises. Certifiable par des organismes accredites.
  • NIST AI RMF : Processus de gestion des risques. Volontaire, largement adopte aux Etats-Unis. Fournit une methodologie structuree pour identifier, evaluer et gerer les risques IA.

4. Correspondance inter-cadres

Le tableau suivant etablit la correspondance entre les themes de gouvernance cles et leur emplacement dans chaque cadre, permettant aux equipes de satisfaire plusieurs obligations avec un seul controle lorsque cela est possible.

Theme de gouvernanceReglement europeen sur l'IAISO/IEC 42001NIST AI RMF
Evaluation des risquesArt. 9Clause 6.1, Annexe BMAP, MEASURE
Structure de gouvernanceArt. 4a, 9, 26Clause 5.1, 5.3GOVERN (GV-1, GV-2)
Documentation techniqueArt. 11, Annexe IVClause 7.5MAP (MP-5)
Gouvernance des donneesArt. 10Annexe B (B.7)MAP (MP-3), MANAGE (MG-3)
TransparenceArt. 13, 50Clause 4.2GOVERN (GV-4)
Supervision humaineArt. 14Annexe C (C.2)GOVERN (GV-5), MANAGE (MG-4)
Exactitude et robustesseArt. 15Clause 8.4MEASURE (MS-2)
Biais et equiteArt. 10 (donnees), Considerant 47Annexe B (B.3)MEASURE (MS-2), MAP (MP-3)
Surveillance post-deploiementArt. 72Clause 9.1MANAGE (MG-1, MG-2)
Signalement des incidentsArt. 73Clause 10.2MANAGE (MG-4)
Gestion des tiersArt. 25 (chaine de valeur)Clause 8.5GOVERN (GV-6)
Formation et competencesArt. 4a (culture de l'IA)Clause 7.2GOVERN (GV-3)

5. Obligations du Reglement europeen sur l'IA

Obligations cles pour les fournisseurs et deployers de systemes d'IA a haut risque :

  • Classification des risques (Art. 6, Annexe III) : Classer tous les systemes d'IA. Le haut risque declenche des exigences obligatoires.
  • Evaluation de conformite (Art. 43) : Evaluation interne ou par un tiers avant la mise sur le marche.
  • Documentation technique (Art. 11, Annexe IV) : Dossier technique decrivant le systeme, les donnees, les tests et les performances.
  • Transparence (Art. 13, 50) : Information aux deployers/utilisateurs sur les capacites et les limites. Notifier les utilisateurs lorsqu'ils interagissent avec une IA.
  • Supervision humaine (Art. 14) : Conception permettant une supervision humaine effective du fonctionnement.
  • Evaluation de l'impact sur les droits fondamentaux (Art. 27) : Les deployers evaluent l'impact avant utilisation.
  • Surveillance post-deploiement (Art. 72) : Plan de surveillance pour les systemes a haut risque deployes.
  • Signalement des incidents (Art. 73) : Signaler les incidents graves aux autorites de surveillance du marche sans delai indu.
  • Enregistrement (Art. 49) : Inscription dans la base de donnees de l'UE avant la mise sur le marche.
  • Culture de l'IA (Art. 4a) : S'assurer que le personnel dispose d'une culture suffisante en matiere d'IA pour son role.

6. Exigences ISO/IEC 42001

Clauses cles du systeme de management de l'IA :

Certification : La certification ISO/IEC 42001 necessite un audit par un tiers accredite. Le Responsable de la gouvernance IA coordonne le programme de certification, comprenant l'Etape 1 (revue documentaire) et l'Etape 2 (audit de mise en oeuvre), ainsi que les audits de surveillance annuels.

  • Clause 4 : Contexte (parties interessees, perimetre, inventaire des systemes d'IA).
  • Clause 5 : Leadership (engagement, politique, roles).
  • Clause 6 : Planification (evaluation des risques, objectifs, evaluation de l'impact IA).
  • Clause 7 : Support (ressources, competences, sensibilisation, documentation).
  • Clause 8 : Fonctionnement (cycle de vie, tiers, gestion des donnees).
  • Clause 9 : Evaluation des performances (surveillance, audit interne, revue de direction).
  • Clause 10 : Amelioration (non-conformite, action corrective, amelioration continue).

7. Processus de gestion de la conformite

Texte de remplacement. Complétez avec le langage de votre organisation pour 7. Processus de gestion de la conformite.

7.1 Registre des exigences

Le Responsable de la gouvernance IA maintient un registre des exigences faisant correspondre chaque obligation a :

  • La clause ou l'article specifique.
  • Le controle interne qui y repond.
  • Le responsable du controle charge de la mise en oeuvre.
  • Les preuves requises pour demontrer la conformite.
  • Le statut actuel (conforme, partiellement conforme, lacune, non applicable).
  • Les plans de remediation et les echeances pour les lacunes.

7.2 Bibliotheque de preuves

Toutes les preuves de conformite sont stockees de maniere centralisee avec controle de version, etiquettes de conservation, controles d'acces et horodatage. Les types de preuves comprennent :

  • Politiques et procedures (le present document, les politiques connexes).
  • Evaluations des risques et plans de traitement.
  • Fiches de modeles, fiches de donnees et documentation technique.
  • Rapports de tests (biais, equite, securite, performance).
  • Registres de formation et evaluations des competences.
  • Comptes rendus de reunions et journaux de decisions.
  • Rapports d'incidents et revues post-incident.
  • Rapports d'audit et preuves de remediation.

7.3 Analyse des ecarts

L'analyse des ecarts est realisee lorsqu'une nouvelle reglementation entre en vigueur, lorsqu'un nouveau systeme d'IA entre dans le perimetre, annuellement dans le cadre du cycle de revue et lorsque des constatations d'audit revelent des faiblesses de controle. Les ecarts sont attribues a des responsables de remediation, avec des echeances, et suivis jusqu'a leur resolution.

7.4 Veille reglementaire

Le service juridique et conformite surveille les evolutions reglementaires. Lorsqu'un changement significatif est identifie, le registre des exigences est mis a jour, les responsables des controles concernes sont notifies, une analyse des ecarts est declenchee et le Comite de gouvernance de l'IA est informe.

8. Obligations de signalement des incidents

Cadre reglementaireObligation de signalementDelai
Reglement europeen sur l'IA (Art. 73)Signaler les incidents graves a l'autorite de surveillance du marcheSans delai indu, au plus tard 15 jours apres en avoir eu connaissance
RGPD (Art. 33)Signaler les violations de donnees personnelles a l'autorite de controleDans les 72 heures suivant la prise de connaissance
ISO/IEC 42001 (Clause 10.2)Enregistrer les non-conformites et prendre des actions correctivesDans le cadre du processus d'amelioration continue
NIST AI RMF (MG-4)Documenter et communiquer les decisions de gestion des risquesSelon le processus organisationnel

9. Roles et responsabilites

RoleResponsabilites en matiere de conformite
Responsable de la gouvernance IAMaintient le registre, coordonne les audits, suit la remediation, prepare les rapports, gere le programme de certification.
Responsables des controlesMettent en oeuvre les controles, produisent et mettent a jour les preuves, remedient aux constatations.
Juridique et conformiteSurveillent les reglementations, conseillent sur les obligations, coordonnent les interactions avec les regulateurs.
Proprietaires de modelesS'assurent que les systemes satisfont aux exigences, maintiennent la documentation technique, soutiennent les audits.
Comite de gouvernance de l'IAApprouve la strategie, examine la posture, resout les escalades.

10. Cadence de reporting

  • Mensuelle : Le Responsable de la gouvernance IA examine le statut du registre et la fraicheur des preuves.
  • Trimestrielle : Synthese de la conformite presentee au Comite de gouvernance de l'IA.
  • Annuelle : Rapport complet de conformite a la direction executive couvrant la couverture des cadres, les tendances des ecarts, les resultats d'audit et les perspectives reglementaires.

11. Derogations

Le report temporaire d'un controle de conformite necessite une justification ecrite, des controles compensatoires, une echeance de remediation et l'approbation du Responsable de la gouvernance IA (ou du Comite pour les controles a haut risque).

12. Revue

La presente politique est revue annuellement ou plus tot en cas d'entree en vigueur de nouvelles reglementations, de constatations d'audit significatives ou de changements dans le perimetre IA de l'organisation.

Controle du document

ChampValeur
Proprietaire de la politique[Responsable de la gouvernance IA]
Approuve par[Comite de gouvernance de l'IA]
Date d'entree en vigueur[Date]
Prochaine date de revue[Date + 12 mois]
Version1.0
ClassificationInterne

Prêt à implémenter cette politique ?

Utilisez VerifyWise pour personnaliser ce modèle de politique, le déployer et suivre la conformité.

Commencer gratuitementParcourir tous les modèles
Politique de conformite reglementaire de l'IA | Modèles de gouvernance IA VerifyWise