Guide web gratuit · Famille ISO de gouvernance de l'intelligence artificielle
Pour dirigeants, RPRP et responsables conformité de PME québécoises

Gouvernance de l'intelligence artificielle —
la famille ISO 42001 pour les PME du Québec

ISO 22989, 38507, 23894, 42001, 42005 — cinq normes complémentaires publiées entre 2022 et 2025 qui couvrent l'ensemble du sujet : vocabulaire, gouvernance par le conseil, gestion du risque, système de management certifiable et évaluation d'impact. Le pendant pour l'IA de ce que représente la famille ISO 27000 pour la sécurité de l'information.

Planifier un appel d'orientation →

🎓 Avant les normes ISO — la formation guide

Guide pratique pour intégrer l'IA en entreprise

Avant de s'attaquer aux cinq normes ISO de gouvernance IA, beaucoup d'organisations gagnent à comprendre les bases et à choisir consciemment entre IA et automatisation traditionnelle. Cette formation en cinq modules démystifie l'intelligence artificielle pour les entreprises de la construction, avec des exemples adaptés au quotidien d'un entrepreneur électricien.

  • Module 1 — Les bases de l'IA : ChatGPT, modèles LLM, deep learning, multimodal, local versus cloud
  • Module 2 — Automatisation ou IA? Avantages et inconvénients des deux approches pour une PME
  • Module 3 — Gouvernance pratique — politique interne d'IA dans une PME
  • Module 4 — Évaluation avant adoption — priorisation des cas d'usage (méthode 3 lentilles) et EFVP IA
  • Module 5 — Structurer dans la durée — surveillance et évolution

Format vidéoconférence · adressée aux entreprises de la construction · exemples concrets pour entrepreneurs électriciens · positionnée diplomatiquement entre adoption et prudence.

Voir le détail de la formation et les modules →

Une famille ISO pour encadrer l'intelligence artificielle

La gouvernance de l'intelligence artificielle est l'ensemble des décisions, des rôles et des contrôles qui encadrent la conception, le déploiement et l'usage d'un système d'IA dans une organisation. L'ISO et l'IEC ont publié, entre 2022 et 2025, cinq normes complémentaires qui couvrent l'ensemble du sujet — du vocabulaire commun à l'évaluation d'impact d'un système spécifique, en passant par la gouvernance par le conseil et le système de management certifiable.

Ensemble, elles forment ce qu'on appelle aujourd'hui la famille ISO de gouvernance IA, le pendant pour l'intelligence artificielle de ce que représente la famille ISO 27000 pour la sécurité de l'information.

Préalables conseillés : ce hub présume une compréhension de l'article 12.1 de la Loi 25 (décisions automatisées) et des fondations en gestion des renseignements personnels. Voir d'abord la section IA et décisions automatisées de la Formation Numérique, et la Formation Gouvernance PRP (registre des activités, EFVP, sous-traitants) qui sert de socle pour aborder ensuite la famille ISO IA.

À démystifier d'entrée de jeu

La famille ISO IA n'est pas réservée aux grandes entreprises. Une PME québécoise qui adopte ChatGPT, Microsoft Copilot ou Gemini pour son équipe peut s'en inspirer dès maintenant — sans viser une certification, sans construire un système de management complet.

Pour la majorité des PME, l'objectif réaliste est l'alignement progressif : adopter le vocabulaire commun (ISO 22989), structurer une évaluation d'impact pour les projets sensibles (ISO 42005), gérer les risques connus (ISO 23894). La certification 42001 reste un investissement justifié uniquement par des exigences contractuelles fortes.

Pourquoi ça concerne une PME québécoise

L'adoption d'outils d'IA est devenue rapide et transversale dans les PME : assistants génératifs, copilotes pour la rédaction, automatisation de la prospection, scoring de candidatures, transcription de réunions, suggestions de codes médicaux. La plupart de ces usages traitent des renseignements personnels : noms de clients, courriels, données de candidats, dossiers, conversations enregistrées.

Or, dès qu'un système d'IA traite des renseignements personnels, la Loi 25 québécoise s'applique intégralement. Le fait que le traitement passe par une IA tierce (OpenAI, Anthropic, Google, Microsoft) ne dispense pas l'organisation de ses obligations : registre des traitements, EFVP en cas de risque sérieux, encadrement des sous-traitants, droit à l'information de la personne, droit de rectification, prise de décision automatisée (article 12.1).

Le risque concret pour une PME qui adopte l'IA sans cadre

  • Décisions automatisées non documentées qui exposent à des plaintes auprès de la CAI.
  • Renseignements personnels transférés hors Québec sans EFVP, sans clause contractuelle, sans information de la personne.
  • Hallucinations de l'IA prises pour des faits dans des décisions RH, financières ou cliniques.
  • Aucune traçabilité du modèle utilisé, donc aucune capacité à démontrer la conformité en cas de contrôle.
  • Investissement dans des solutions IA qui se révèlent non conformes après déploiement, donc à retirer.

Les normes ISO IA donnent un cadre éprouvé pour absorber ces risques sans réinventer une méthodologie maison à chaque fois.

Les cinq normes — vue d'ensemble

Les normes se complètent et se lisent dans un certain ordre. Chaque section renvoie à la fiche détaillée correspondante.

ISO/IEC 22989:2022 — Concepts et terminologie de l'IA

Ce que vous apprenez : le vocabulaire commun de la conformité IA — ce qu'est un système d'IA, un modèle, un jeu de données, un cycle de vie, une partie prenante. Norme socle, publiée en juillet 2022, à laquelle toutes les autres normes IA se réfèrent.

C'est la norme socle. Elle ne prescrit rien — elle harmonise. Pour une PME, c'est le point d'entrée pour comprendre le langage de la conformité IA sans se perdre dans le jargon des fournisseurs. Deux amendements (ISO/IEC 22989:2022/Amd 1 et Amd 2) sont en préparation à l'ISO pour intégrer le vocabulaire propre à l'IA générative et aux grands modèles de langage, qui ont émergé après la publication initiale (état au 2026-05-06 : statut « International Standard under publication », date de sortie non encore publiée par l'ISO).

Fiche détaillée — ISO 22989 →

ISO/IEC 38507:2022 — Implications de l'IA pour la gouvernance

Ce que vous apprenez : ce que la gouvernance d'une organisation doit garantir face à l'IA — alignement avec la stratégie, conformité, attribution des responsabilités, supervision des risques, communication avec les parties prenantes. S'adresse explicitement aux conseils d'administration et aux dirigeants.

Publiée en avril 2022, elle ne dit pas comment implanter l'IA — elle dit ce que la direction doit s'assurer de mettre en place. Pour une PME, c'est la norme qui protège la direction d'une dérive technique non maîtrisée et qui encadre le rôle du conseil ou du dirigeant unique.

Fiche détaillée — ISO 38507 →

ISO/IEC 23894:2023 — Gestion du risque IA

Ce que vous apprenez : comment adapter une démarche de gestion du risque (ISO 31000:2018) aux spécificités de l'IA — biais, dérive du modèle, opacité, dépendance aux fournisseurs, hallucinations. Pas un nouveau cadre, mais une extension de cadre existant.

Publiée en février 2023, elle est calquée sur ISO 31000:2018 (gestion du risque générale) et l'enrichit de considérations propres à l'IA. Pour une PME, c'est le pont entre une démarche de gestion des risques existante et les nouveaux risques apportés par l'adoption de l'IA.

Fiche détaillée — ISO 23894 →

ISO/IEC 42001:2023 — Système de management de l'IA (AIMS)

Ce que vous apprenez : la première norme ISO certifiable consacrée à l'IA — structure d'un AIMS (AI Management System) suivant le même cycle PDCA qu'ISO 27001, clauses 4 à 10, Annexe A avec les mesures pour encadrer le cycle de vie complet d'un système d'IA.

Publiée en décembre 2023, c'est la norme structurante de la famille IA. Si vous voulez prouver à un client institutionnel ou à un partenaire que votre usage de l'IA est gouverné, c'est elle qui sert de référence. Une organisation déjà alignée ISO 27001 progresse plus vite vers 42001 grâce à la structure de management commune.

Fiche détaillée — ISO 42001 →

ISO/IEC 42005:2025 — Évaluation d'impact d'un système d'IA

Ce que vous apprenez : la méthodologie pour évaluer l'impact d'un système d'IA sur les personnes, les groupes et la société. Équivalent IA de l'EFVP imposée par la Loi 25 (article 3.3) — d'où le terme EFVP-IA qui commence à circuler dans la communauté privacy.

Publiée en 2025, c'est la norme la plus récente et celle qui parle le plus directement aux praticiens de la Loi 25. Pour une PME québécoise, c'est probablement la norme avec le retour sur investissement le plus direct : elle donne une méthodologie concrète pour évaluer l'impact d'un projet IA avant son déploiement, sans exiger un système de management complet.

Fiche détaillée — ISO 42005 →

Une question avant d'aller plus loin ?

infos@kavenchamberland.com  ·  418-297-0558

Articulation entre les normes — comment lire la famille

Les cinq normes ne sont pas redondantes. Chacune répond à une question différente.

Norme Question à laquelle elle répond Public principal
ISO 22989 « De quoi parle-t-on quand on dit IA? » Tous
ISO 38507 « Comment notre conseil gouverne-t-il l'IA? » Direction, conseil d'administration
ISO 23894 « Quels sont nos risques liés à l'IA? » Gestionnaire risques, RPRP
ISO 42001 « Comment structurons-nous notre management IA? » Direction, équipes IA
ISO 42005 « Quel impact a tel système d'IA spécifique? » RPRP, équipe projet

Ordre de lecture vs ordre de mise en œuvre

L'ordre logique de lecture pour une organisation qui démarre est : 22989 (vocabulaire) → 38507 (gouvernance) → 23894 (risques) → 42001 (management) → 42005 (évaluation par projet).

L'ordre logique de mise en œuvre est différent : on commence souvent par 42005 (évaluer l'impact d'un projet IA spécifique avant de le lancer), parce que c'est l'action concrète qui répond à un besoin légal immédiat sous Loi 25.

Articulation avec ISO 27001, ISO 27701 et la Loi 25

La famille ISO IA complète les référentiels privacy et sécurité existants — elle ne les remplace pas.

Avec ISO 27001 (sécurité de l'information)

ISO 27001 protège la confidentialité, l'intégrité et la disponibilité de l'information. Quand cette information alimente un système d'IA, ISO 27001 reste applicable — l'IA ajoute une couche, elle n'enlève rien. ISO 42001 reprend d'ailleurs la même structure de système de management que 27001, ce qui rend l'intégration naturelle pour une organisation déjà alignée 27001.

Avec ISO 27701 (renseignements personnels)

ISO 27701 ajoute la dimension vie privée à 27001. ISO 42005 ajoute la dimension impact à un système d'IA. Les deux peuvent se combiner : ISO 27701 documente le traitement des renseignements personnels en général, ISO 42005 documente l'impact spécifique d'un système d'IA qui les utilise. Une EFVP Loi 25 conduite selon les deux normes est plus solide qu'une EFVP conduite sans cadre.

Avec la Loi 25

La Loi 25 reste l'obligation légale au Québec. Les normes ISO IA sont volontaires. Mais elles couvrent précisément ce que la Loi 25 demande quand un traitement passe par de l'IA :

Obligation Loi 25 Norme ISO IA correspondante
Tenir un registre des activités (art. 3.2) 42001 (management des systèmes d'IA déployés)
EFVP en cas de risque sérieux (art. 3.3) 42005 (méthodologie d'évaluation d'impact IA)
Encadrer les sous-traitants (art. 18.3) 42001 Annexe A (relations fournisseurs IA)
Information sur la prise de décision automatisée (art. 12.1) 42001 + 42005 (transparence et documentation)
Gouvernance et responsabilités (art. 3.1) 38507 (gouvernance par le conseil)
Identification et gestion des risques 23894 (risques IA spécifiques)

Pour une PME québécoise qui adopte l'IA, suivre la famille ISO produit naturellement la documentation que la Commission d'accès à l'information est susceptible d'exiger en cas de plainte ou de contrôle.

Lien avec les cadres internationaux

Les normes ISO IA ne vivent pas en vase clos. Elles s'articulent avec les deux principaux cadres internationaux d'IA responsable.

AI Act européen (Règlement 2024/1689)

En vigueur depuis août 2024, en déploiement progressif jusqu'en 2027. Il impose des obligations différenciées selon le niveau de risque du système d'IA (risque inacceptable, élevé, limité, minimal). Pour une PME québécoise qui exporte ses services en Europe ou qui utilise des outils IA d'origine européenne, l'AI Act peut devenir applicable. Les normes harmonisées attendues pour démontrer la conformité incluent ISO 42001 et ISO 42005 — suivre la famille ISO est donc un raccourci vers la conformité européenne.

OECD AI Principles (mises à jour 2024)

Adoptés en 2019 et révisés en 2024, ils définissent cinq principes d'IA digne de confiance : croissance inclusive et bien-être, valeurs humaines et équité, transparence et explicabilité, robustesse et sécurité, responsabilité. Le Canada en est signataire. Les normes ISO IA opérationnalisent ces principes : 38507 traduit la responsabilité, 23894 traduit la robustesse, 42005 traduit la transparence.

Comment Kaven utilise ces normes dans ses mandats

État actuel — phase de développement

Au moment de la rédaction, les contrôles qualité de Kaven (CQ Numérique, CQ Gouvernance Loi 25, CQ Site web Loi 25, Diagnostic stratégique) ne s'appuient pas encore directement sur les normes ISO IA. Ces contrôles qualité utilisent ISO 27001:2022, ISO 27701:2019, CIS Controls v8 IG1, OWASP Top 10 et la Loi 25. La famille ISO IA est en phase d'intégration progressive.

Évolution prévue

  • Phase de stabilisation — pour les organisations qui ont déjà atteint un haut niveau de maturité en gouvernance Loi 25 :
    • Simulation d'audit — préparation à un vrai audit certifié par un organisme accrédité, accompagnement vers la maîtrise et l'autonomie de l'organisation.
    • Formations sur mesure — adaptées au contexte spécifique de l'entreprise, conçues pour autonomiser l'organisation dans sa conformité Loi 25 plutôt que de la rendre dépendante d'un consultant externe.
    • Accompagnement à l'intégration de l'IA selon les meilleures pratiques — basé sur la famille ISO IA (42001 pour le management, 38507 pour la gouvernance, 42005 pour l'évaluation d'impact).
  • Service EFVP-IA — nouveau livrable basé sur 42005, pour évaluer l'impact d'un projet IA spécifique avant son déploiement (déploiement d'un copilote pour le service client, automatisation du tri de candidatures, etc.).
  • Contrôle qualité Gouvernance Loi 25 — extension pour couvrir le cas où des renseignements personnels sont traités par un système d'IA (intégration de questions issues de 42001 Annexe A).

Posture actuelle

La majorité des PME québécoises n'ont pas besoin d'une certification ISO 42001. Elles ont besoin de savoir où elles en sont quand elles adoptent l'IA, et de documenter ce qui est requis par la Loi 25 dans ce nouveau contexte. Le travail de Kaven est de transposer le cadre ISO en gestes simples et défendables, adaptés à la taille et aux moyens d'une PME.

Limite explicite : pour la certification formelle ISO 42001, il faut s'adresser à un organisme accrédité. Les guides et services présentés ici accompagnent l'alignement et présentent les principes — ils ne délivrent pas et ne préparent pas formellement à la certification.

À retenir

  1. Cinq normes complémentaires, pas redondantes — chacune répond à une question différente.
  2. 22989 harmonise le vocabulaire ; 38507 parle au conseil ; 23894 cadre les risques ; 42001 structure le management ; 42005 évalue l'impact d'un système.
  3. L'IA ne dispense pas de la Loi 25 — elle ajoute des exigences (article 12.1 sur la décision automatisée notamment).
  4. 42005 est l'équivalent IA de l'EFVP — c'est la norme avec le retour sur investissement le plus direct pour une PME québécoise.
  5. S'aligner ≠ se certifier — pour une PME, viser l'alignement progressif est généralement plus pertinent que viser une certification 42001 formelle.

Vous voulez situer votre organisation par rapport à ces normes IA?

Un appel d'orientation de 30 minutes, gratuit et sans engagement. On regarde ensemble votre contexte et on identifie quelle norme cible en priorité pour vos projets IA.

Planifier l'appel d'orientation →