ISO/IEC 42005:2025 — évaluation d'impact des systèmes d'IA

ISO/IEC 42005 en langage clair —
évaluer l'impact d'un système d'IA avant adoption

Avant de déployer un système d'IA qui affecte des personnes (clients, employés, partenaires), une organisation responsable évalue son impact. ISO/IEC 42005, publiée en 2025, fournit la méthodologie internationale pour conduire cette évaluation. Pour une PME québécoise, elle complète l'EFVP exigée par l'article 3.3 de la Loi 25 en couvrant les dimensions d'impact humain et sociétal au-delà des seuls renseignements personnels.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre ISO/IEC 42005 — guide pratique pour PME québécoises

ISO 42005 est la pièce qui rend opérationnelle la prudence face à l'IA. Elle transforme « il faudrait évaluer l'impact avant de déployer » en méthode structurée et livrable défendable.

Préalables conseillés : avant d'aborder cette page, parcourir les fiches EFVP — article 3.3 Loi 25 (méthode en six questions pour les renseignements personnels) et ISO 23894 — gestion des risques IA (cycle de gestion du risque). ISO 42005 prolonge ces deux outils sur la dimension impact humain et sociétal.

Pourquoi évaluer l'impact d'un système d'IA

Constat : les systèmes d'IA peuvent avoir des effets que la gestion des risques classique ne capture pas pleinement — biais sur des groupes spécifiques, perte d'autonomie décisionnelle des utilisateurs, transformations indirectes des comportements à grande échelle. ISO 42005 fournit la méthode pour identifier, documenter et surveiller ces effets.

ISO/IEC 42005 a été publiée en 2025 par le comité ISO/IEC JTC 1/SC 42 (le même qui a produit les autres normes IA). Elle vient combler un manque méthodologique : les évaluations existantes (EFVP au sens Loi 25, DPIA au sens RGPD, gestion des risques au sens ISO 23894) couvraient des angles partiels. ISO 42005 offre une vision intégrée propre à l'IA.

Trois caractéristiques propres à l'évaluation d'impact IA :

  • Portée plus large que la vie privée seule. Elle inclut l'équité, la transparence, l'autonomie des personnes, les impacts sociétaux indirects.
  • Considération des usages prévus, prévisibles et de mauvais usages. Pas seulement ce que le système est conçu pour faire — aussi ce que des utilisateurs pourraient en faire.
  • Surveillance dans le temps. L'évaluation initiale est suivie d'une surveillance des effets observés — ce qui permet de détecter les dérives.

Pour une PME québécoise, l'utilité concrète : avant de déployer un nouveau CRM avec recommandations IA, un chatbot client, un système d'analyse des candidatures, l'évaluation d'impact donne une base de décision documentée. En cas de plainte ou d'incident ultérieur, c'est la pièce qui démontre la diligence raisonnable.

À retenir

L'évaluation d'impact IA n'est pas un exercice formaliste — c'est l'analyse qui transforme une décision intuitive en décision défendable. Pour une PME, elle protège la direction au moment où l'IA est adoptée.

Méthodologie ISO 42005 — la structure de l'évaluation

Approche : ISO 42005 fournit un cadre méthodologique structuré sans imposer un format documentaire unique. Pour une PME québécoise, l'évaluation peut tenir dans un document de 5 à 15 pages, structuré selon les sections recommandées du standard.

Sept dimensions à couvrir dans une évaluation d'impact ISO 42005 :

  1. Description du système d'IA. Qu'est-ce que le système fait, dans quel contexte, pour quelles finalités? Qui en sont les fournisseurs, les utilisateurs, les destinataires?
  2. Données utilisées. Quelles catégories de données alimentent le système? D'où viennent-elles? Comment sont-elles préparées? Présence de renseignements personnels (lien direct avec EFVP Loi 25)?
  3. Identification des parties prenantes affectées. Qui est touché par les décisions ou les sorties du système? Directement (utilisateurs, clients) et indirectement (employés, tiers, société).
  4. Catégories d'impacts. Impacts sur l'équité (biais, discrimination), la vie privée (renseignements personnels), l'autonomie (capacité à décider), les droits fondamentaux, l'environnement.
  5. Évaluation de la probabilité et de la gravité des impacts. Pour chaque catégorie, estimer la probabilité que l'impact se manifeste et sa gravité s'il se manifeste.
  6. Mesures de mitigation. Pour les impacts significatifs, quelles mesures sont en place ou à mettre en place? Mesures techniques (supervision humaine, contrôles de qualité), organisationnelles (formation, politique d'usage), juridiques (contrats, consentement).
  7. Plan de surveillance. Comment l'organisation va-t-elle suivre les impacts effectifs après déploiement? Quels indicateurs? Quelle fréquence de revue?

Cette méthodologie est compatible avec les approches existantes — EFVP de la Loi 25 (renseignements personnels), DPIA du RGPD (article 35), gestion des risques d'ISO 23894. Une organisation qui structure son évaluation selon ISO 42005 satisfait largement ces autres cadres simultanément.

À retenir

Une évaluation ISO 42005 défendable couvre les sept dimensions sans devenir un exercice formaliste de plusieurs centaines de pages. Pour une PME, 5 à 15 pages structurées suffisent.

Articulation avec l'EFVP de la Loi 25 et les autres normes

Convergence stratégique : EFVP article 3.3 Loi 25 (renseignements personnels) + ISO 42005 (impact IA) + ISO 23894 (gestion des risques) couvrent ensemble la totalité des dimensions à évaluer pour un système d'IA traitant des renseignements personnels. Une seule analyse bien construite peut satisfaire les trois cadres.

Périmètres distincts mais convergents :

  • EFVP article 3.3 Loi 25 — orienté renseignements personnels. Obligatoire pour tout projet d'acquisition, développement ou refonte d'un système d'information les impliquant. Méthode en six questions (quoi, pourquoi, qui, où / combien de temps, risques, mitigation).
  • ISO 42005 — orienté impact humain et sociétal d'un système d'IA. Volontaire mais recommandée par ISO 42001 pour les systèmes à fort potentiel d'impact. Couvre l'équité, l'autonomie, la transparence en plus de la vie privée.
  • ISO 23894 — orienté gestion des risques. Cycle complet (identification, analyse, évaluation, traitement, surveillance) appliqué aux risques propres à l'IA. S'intègre dans la gestion des risques globale de l'organisation.

Pour une PME québécoise qui adopte un système d'IA traitant des renseignements personnels :

La séquence pratique consiste à produire une analyse intégrée qui couvre simultanément les trois angles. Elle se structure typiquement comme suit :

  1. Description du système et des données (commun aux trois cadres).
  2. Identification des parties prenantes et des impacts (ISO 42005).
  3. Analyse des risques propres à l'IA (ISO 23894).
  4. Analyse spécifique des renseignements personnels (EFVP article 3.3 Loi 25).
  5. Mesures de mitigation par catégorie d'impact et de risque.
  6. Avis du Responsable PRP (exigence Loi 25) et décision documentée de la direction.
  7. Plan de surveillance dans le temps.

Une telle analyse intégrée tient typiquement dans un document de 10 à 20 pages pour une PME. Elle évite la duplication de trois documents distincts pour le même projet.

À retenir

Pour une PME québécoise, l'EFVP article 3.3 Loi 25 reste le déclencheur obligatoire. ISO 42005 enrichit la méthode pour les projets d'IA. ISO 23894 fournit le cycle de gestion. Une analyse intégrée couvre les trois cadres simultanément.

Démarche d'adoption pour une PME et erreurs fréquentes

Posture pragmatique : ISO 42005 ne s'applique pas à tous les usages d'IA dans une PME. Elle s'applique aux projets qui ont un potentiel d'impact significatif sur des personnes ou la société. Pour les usages routiniers (rédaction d'emails, recherche d'informations), elle est disproportionnée.

Quand utiliser ISO 42005 dans une PME québécoise :

  • Adoption d'un système d'IA prenant des décisions affectant des personnes (crédit, embauche, assurance, accès à un service).
  • Déploiement d'un chatbot ou assistant IA exposé aux clients ou aux employés à grande échelle.
  • Système d'IA traitant à grande échelle des renseignements personnels.
  • Tout cas où l'article 12.1 de la Loi 25 (décision exclusivement automatisée) s'applique.
  • Adoption d'un outil d'IA sectoriel (santé, finance, éducation) où les enjeux dépassent la simple productivité.

Quand un usage léger d'IA ne demande pas ISO 42005 :

  • Usage individuel de ChatGPT pour rédiger des courriels ou résumer des documents (sans renseignements personnels confiés).
  • Outil de recherche ou de synthèse interne sans décision automatisée.
  • Aide à la créativité (génération de visuels, textes) sans usage opérationnel direct.

Erreurs fréquentes :

  • Considérer l'évaluation comme un événement ponctuel. ISO 42005 inclut un volet de surveillance dans le temps — l'évaluation à l'adoption doit être réévaluée périodiquement.
  • Ignorer les usages prévisibles non prévus. Les utilisateurs peuvent détourner un système d'IA de son usage original. L'évaluation doit considérer ces possibilités.
  • Limiter l'évaluation aux renseignements personnels. Faire seulement l'EFVP article 3.3 Loi 25 sans considérer l'équité, l'autonomie, les biais — c'est passer à côté de l'apport spécifique d'ISO 42005.
  • Confondre absence d'incident et absence d'impact. Un système peut produire des décisions biaisées invisibles. La surveillance proactive (indicateurs, audits) est nécessaire pour détecter les impacts émergents.
  • Sous-traiter l'évaluation au fournisseur. Le fournisseur du système d'IA peut documenter les capacités du système, mais c'est l'organisation utilisatrice qui doit évaluer l'impact dans son propre contexte.

L'erreur structurelle : croire que l'évaluation d'impact est l'affaire des grandes organisations seulement. Pour une PME québécoise qui adopte un système d'IA affectant ses clients ou employés, l'analyse est aussi nécessaire — elle est simplement proportionnée à la taille et aux risques.

À retenir

Pour une PME, ISO 42005 s'applique aux projets d'IA significatifs, pas aux usages quotidiens. Une évaluation proportionnée (10 à 20 pages, intégrée avec l'EFVP) couvre les attentes réalistes. La sophistication du document n'est pas la mesure de qualité — la pertinence des questions abordées l'est.

En résumé

ISO/IEC 42005:2025 est la norme internationale d'évaluation d'impact des systèmes d'intelligence artificielle, publiée en 2025. Elle structure l'analyse autour de sept dimensions : description du système, données utilisées, parties prenantes affectées, catégories d'impacts (équité, vie privée, autonomie, droits, environnement), probabilité et gravité, mesures de mitigation, plan de surveillance. Elle complète ISO 42001 (système de management), ISO 23894 (gestion des risques) et ISO 38507 (gouvernance) en se concentrant spécifiquement sur les effets humains et sociétaux. Pour une PME québécoise, elle s'articule avec l'EFVP exigée par l'article 3.3 de la Loi 25 — une analyse intégrée couvre les deux cadres simultanément. Elle est volontaire mais recommandée pour les systèmes à fort potentiel d'impact (décisions affectant des personnes, traitement à grande échelle, décisions exclusivement automatisées au sens de l'article 12.1).

Réponse rapide

ISO 42005 remplace-t-elle l'EFVP de la Loi 25? Non. L'EFVP article 3.3 reste obligatoire pour les renseignements personnels. ISO 42005 enrichit la méthode pour les projets d'IA en couvrant les impacts au-delà de la vie privée. Une analyse intégrée satisfait les deux.

Tous les usages d'IA exigent-ils ISO 42005? Non. Elle s'applique aux projets à fort potentiel d'impact — décisions affectant des personnes, déploiement à grande échelle, décisions automatisées au sens de l'article 12.1. Pour les usages routiniers individuels, elle est disproportionnée.

Mener une évaluation d'impact pour un projet d'IA en cours?

Pour les organisations qui doivent encadrer un projet d'IA significatif (CRM avec recommandations, chatbot, système de décision automatisée), un accompagnement structuré aide à produire une évaluation d'impact intégrée ISO 42005 + EFVP Loi 25, défendable et proportionnée. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →