ISO/IEC 22989:2022 — concepts et terminologie de l'IA

ISO/IEC 22989 en langage clair —
le vocabulaire commun des systèmes d'IA

Avant de gouverner l'IA, il faut savoir de quoi on parle. ISO/IEC 22989, publiée en 2022, fournit le vocabulaire international des systèmes d'intelligence artificielle : concepts fondamentaux, étapes du cycle de vie, rôles humains, propriétés clés. Pour une PME québécoise qui adopte ou évalue un outil d'IA, c'est la base de toute conversation rigoureuse avec ses fournisseurs, son équipe TI et ses auditeurs.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre ISO/IEC 22989 — guide pratique pour PME québécoises

ISO 22989 ne dit pas comment faire — elle dit comment nommer. C'est la fondation linguistique sur laquelle reposent les autres standards IA (ISO 38507 gouvernance, ISO 23894 risques, ISO 42001 management, ISO 42005 impact).

Préalable conseillé : avant d'aborder cette page, parcourir la fiche IA et décisions automatisées (Loi 25) qui présente les obligations de l'article 12.1 de la Loi 25. Le présent guide remonte au niveau du vocabulaire international.

Pourquoi un vocabulaire commun de l'IA est nécessaire

Constat : en 2026, l'IA souffre d'un vocabulaire fragmenté. « Modèle » peut désigner le système d'IA complet, le modèle statistique sous-jacent, ou un produit commercial. « Biais » peut désigner un préjudice algorithmique, un ajustement statistique, ou une orientation politique. Sans vocabulaire commun, les conversations dérivent et les exigences contractuelles deviennent ambiguës.

ISO/IEC 22989:2022 a été publié en juillet 2022 par le comité technique conjoint ISO/IEC JTC 1/SC 42, qui rassemble plus de 40 pays et coordonne l'ensemble des normes ISO sur l'IA. C'est le premier livrable terminologique du comité, conçu pour servir de fondation à tous les autres standards IA.

Trois usages concrets pour une PME québécoise :

  • Exigences contractuelles avec les fournisseurs. Quand vous signez un contrat avec un fournisseur d'outil d'IA, exiger que le système réponde à des propriétés au sens d'ISO 22989 (transparence, explicabilité, robustesse) rend les attentes vérifiables plutôt qu'aspirationnelles.
  • Communication interne entre direction et TI. Le vocabulaire ISO permet de distinguer ce qui relève de l'organisation (gouvernance, supervision humaine, politiques d'usage) de ce qui relève du système technique (modèle, algorithme, jeu de données).
  • Conformité Loi 25 et autres régimes. Pour démontrer une diligence raisonnable autour de l'usage de l'IA, le vocabulaire ISO sert de référence commune avec les auditeurs, les juristes et les autorités.

À retenir

ISO 22989 ne se certifie pas — elle s'utilise. C'est la base linguistique qui rend possibles les autres normes (gouvernance ISO 38507, risques ISO 23894, management ISO 42001, impact ISO 42005). Sans elle, la suite reste abstraite.

Concepts fondamentaux — système d'IA, modèle, algorithme, données

Définition centrale (ISO 22989) : un système d'IA (AI system) est un système conçu pour produire, à partir d'objectifs définis par un humain, des sorties (prédictions, contenus, recommandations, décisions) qui peuvent influencer les environnements physiques ou virtuels avec lesquels il interagit. Il fonctionne avec différents niveaux d'autonomie et peut s'adapter en exploitant des données.

ISO 22989 distingue plusieurs concepts qu'on confond souvent dans le langage courant :

  • AI system (système d'IA) — le système complet incluant le modèle, les données, l'infrastructure et l'interface. C'est le niveau auquel s'applique la gouvernance.
  • AI model (modèle d'IA) — la représentation mathématique apprise à partir des données d'entraînement. ChatGPT est un système ; GPT-4 est un modèle.
  • Algorithm (algorithme) — la procédure utilisée pour entraîner le modèle ou pour le faire fonctionner. Différent du modèle.
  • Dataset (jeu de données) — l'ensemble des données utilisées pour l'entraînement, la validation ou le test du modèle.
  • Feature (caractéristique) — variable d'entrée utilisée par le modèle pour produire ses sorties.
  • Inference (inférence) — l'étape où le modèle déjà entraîné produit ses sorties à partir de nouvelles entrées.

Cette distinction permet par exemple de comprendre pourquoi corriger un biais peut nécessiter de réentraîner le modèle (problème dans les données ou l'algorithme) plutôt que d'ajuster le système (problème dans l'usage ou la gouvernance).

Cycle de vie d'un système d'IA selon ISO 22989 :

  1. Inception — définition des objectifs, de l'usage, des contraintes.
  2. Design and development — conception du système, sélection des algorithmes, préparation des données.
  3. Verification and validation — tests de qualité, vérification des propriétés exigées.
  4. Deployment — mise en production.
  5. Operation and monitoring — usage en production, surveillance des performances et des dérives.
  6. Continuous validation — réévaluation périodique en fonction de l'évolution des données et des usages.
  7. Re-evaluation or retirement — décision de mettre à jour, remplacer ou retirer le système.

Cette structure de cycle de vie est reprise par ISO 42001 (AIMS) pour structurer le système de management d'une organisation. Pour une PME québécoise qui adopte un outil d'IA, identifier à quelle étape on se situe permet de prioriser les contrôles à mettre en place.

À retenir

Distinguer le système (organisation, usage), le modèle (mathématique, apprentissage), l'algorithme (procédure) et les données (alimentation) est la base d'une conversation rigoureuse sur l'IA. La majorité des malentendus en PME viennent de la confusion de ces niveaux.

Rôles humains — supervision et responsabilité

Distinction centrale : ISO 22989 introduit trois positions de supervision humaine, qui correspondent à des niveaux différents d'implication dans les décisions. Cette distinction est cruciale pour interpréter l'article 12.1 de la Loi 25 sur les décisions exclusivement automatisées.

Human-in-the-loop (HITL).

L'humain intervient dans la boucle de décision avant qu'une action soit prise. Le système d'IA propose une recommandation, l'humain la valide, l'action est exécutée. Pour une PME, c'est la posture par défaut recommandée pour les décisions à enjeux : approbation de crédit, embauche, déclaration de sinistre. L'IA assiste, l'humain décide.

Human-on-the-loop (HOTL).

Le système d'IA prend les décisions, mais un humain supervise et peut intervenir à tout moment. Approprié pour les décisions à fort volume ou faible enjeu individuel : tri de courriels, recommandations de contenu, détection d'anomalies non bloquantes. La supervision est continue mais pas systématique.

Human-over-the-loop (HOOTL ou « over-the-loop »).

Le système d'IA prend les décisions de manière autonome. Un humain peut auditer et reconfigurer après coup, mais n'intervient pas en temps réel. Approprié pour les décisions techniques routinières (allocation de ressources serveur, optimisation de chaîne logistique) où l'enjeu individuel est faible et la vitesse compte.

Articulation avec l'article 12.1 de la Loi 25 :

L'article 12.1 vise les décisions exclusivement automatisées qui produisent des effets juridiques ou affectent significativement une personne. En vocabulaire ISO 22989, cela correspond aux postures « over-the-loop » sans intervention humaine effective avant la décision. Pour ces cas, la Loi 25 impose des obligations spécifiques de transparence et de droit à l'information. Une posture human-in-the-loop bien documentée évite l'application stricte de l'article 12.1.

À retenir

Pour une PME, choisir explicitement la posture (human-in-the-loop, on-the-loop, over-the-loop) pour chaque usage d'IA est la décision de gouvernance la plus structurante. Elle détermine ensuite les obligations Loi 25 et les exigences techniques au système.

Propriétés clés des systèmes d'IA

Convergence multi-régimes : ISO 22989 définit une dizaine de propriétés que les autres normes (ISO 23894 risques, ISO 42001 management, ISO 42005 impact) utilisent comme exigences. Le vocabulaire ISO est aussi celui que reprend l'AI Act européen et que recommandent les chartes éthiques (UNESCO, OCDE, NIST AI RMF).

Six propriétés clés à connaître :

  • Transparency (transparence) — capacité à révéler des informations sur le système d'IA, ses données et son fonctionnement, dans la limite de ce qui est utile et possible. Précondition de la confiance.
  • Explainability (explicabilité) — capacité à fournir, pour une décision donnée, une explication compréhensible des facteurs qui l'ont déterminée. Différente de la transparence — un système peut être transparent sans être explicable.
  • Robustness (robustesse) — capacité du système à maintenir son niveau de performance face à des conditions variées ou adverses (données aberrantes, attaques adversariales).
  • Reliability (fiabilité) — capacité du système à exécuter de manière cohérente les tâches pour lesquelles il a été conçu.
  • Bias (biais) — déviation systématique du système qui produit des résultats injustes ou déséquilibrés. ISO 22989 distingue plusieurs sources : biais des données, biais de l'algorithme, biais de l'usage.
  • Fairness (équité) — propriété d'un système qui traite les personnes de manière équitable, sans discrimination injustifiée. Plusieurs définitions formelles existent — la définition utilisée doit être précisée.

Pour une PME québécoise qui acquiert un outil d'IA, exiger que le fournisseur documente son système au regard de ces propriétés (au sens d'ISO 22989) est une exigence concrète. C'est notamment ce qui permet de construire un cahier des charges contractuel précis plutôt qu'un vœu pieux d'« IA responsable ».

À retenir

Les six propriétés (transparence, explicabilité, robustesse, fiabilité, biais, équité) sont les exigences vérifiables qu'une PME peut formuler à ses fournisseurs d'IA. Citer explicitement ISO 22989 dans les contrats donne un sens partagé à ces termes.

Articulation avec les autres normes IA et la Loi 25

Position dans la famille ISO IA : ISO 22989 est la fondation linguistique. Les normes opérationnelles s'appuient sur son vocabulaire pour définir leurs exigences. Pour une PME, l'ordre logique d'adoption est : 22989 (vocabulaire), puis 38507 (gouvernance) ou 23894 (risques) selon les priorités, puis 42001 (management) pour structurer un système complet, et 42005 pour les évaluations d'impact.

Cartographie des standards IA ISO/IEC :

  • ISO/IEC 22989:2022 — concepts et terminologie (cette fiche).
  • ISO/IEC 38507:2022 — gouvernance de l'IA pour les organes de direction.
  • ISO/IEC 23894:2023 — gestion des risques de l'IA, basée sur ISO 31000.
  • ISO/IEC 42001:2023 — système de management de l'IA (AIMS), certifiable, publié en décembre 2023.
  • ISO/IEC 42005:2025 — évaluation d'impact des systèmes d'IA, publiée en 2025.
  • ISO/IEC TR 24028 — vue d'ensemble de la fiabilité (trustworthiness) des systèmes d'IA.
  • ISO/IEC TR 24368 — vue d'ensemble des considérations éthiques et sociales.

Articulation avec la Loi 25 (Québec) :

  • L'article 12.1 de la Loi 25 (décision exclusivement automatisée) bénéficie du vocabulaire d'ISO 22989 pour définir précisément ce qu'est un « traitement automatisé » et qui qualifie une décision comme « exclusivement » automatisée.
  • L'article 3.3 (EFVP) trouve dans ISO 42005 sa version IA spécifique. ISO 22989 fournit le vocabulaire de cette EFVP IA.
  • L'article 18.3 (DPA pour sous-traitants) gagne en précision contractuelle quand on peut spécifier des propriétés au sens ISO 22989.

Pour une PME québécoise qui adopte un outil d'IA, la séquence logique est : maîtriser le vocabulaire (ISO 22989), définir la posture de gouvernance (ISO 38507), faire l'évaluation d'impact (ISO 42005 + EFVP article 3.3), encadrer contractuellement le fournisseur (DPA + ISO 23894), et structurer le tout dans un système de management si l'organisation va dans cette direction (ISO 42001).

À retenir

Une PME n'a pas besoin de toutes les normes ISO IA. Elle a besoin de comprendre comment elles s'articulent et de choisir celles pertinentes pour sa situation. ISO 22989 est l'investissement minimal — sans elle, les autres restent abstraites.

Erreurs fréquentes et pièges à éviter

Constat de terrain : les difficultés observées en PME viennent rarement d'un rejet de l'IA — elles viennent de l'absence de vocabulaire structuré, qui empêche de qualifier précisément les attentes et les risques.
  • Confondre IA et automatisation. Tout traitement automatisé n'est pas de l'IA au sens ISO. Une règle « si X alors Y » codée en dur n'est pas un système d'IA — la distinction compte pour comprendre quelles obligations s'appliquent.
  • Exigences floues type « IA éthique » ou « IA responsable ». Ces termes n'ont pas de définition opposable. Préférer les propriétés ISO 22989 (transparence, explicabilité, robustesse, équité) qui sont vérifiables.
  • Ignorer la posture human-in/on/over-the-loop. Sans choix explicite, la posture de fait peut être plus permissive que ce que la direction souhaite, et l'article 12.1 de la Loi 25 peut s'appliquer sans qu'on s'en aperçoive.
  • Confondre transparence et explicabilité. Un système peut publier sa documentation (transparent) sans être capable d'expliquer pourquoi il a pris telle décision sur tel cas (explicable). Les deux exigences sont distinctes.
  • Considérer ISO 22989 comme certifiable. Elle ne l'est pas — c'est une norme de définition. La certifiable de la famille IA est ISO 42001.
  • Ignorer le cycle de vie. Beaucoup d'organisations gouvernent l'IA au moment de l'adoption, mais oublient les étapes ultérieures (surveillance, réévaluation, retrait). Le cycle ISO 22989 est un rappel utile.

L'erreur la plus structurelle : aborder l'IA comme un sujet purement technique. ISO 22989 et ses prolongements (gouvernance, risques, management) traitent l'IA comme un sujet organisationnel et sociétal autant que technique — c'est cette posture qui permet à une PME de gouverner l'usage de l'IA plutôt que de le subir.

À retenir

Investir une demi-journée dans la maîtrise du vocabulaire ISO 22989 est probablement le meilleur retour sur investissement de gouvernance IA pour une PME québécoise. Toutes les conversations ultérieures (avec fournisseurs, employés, auditeurs, juristes) en bénéficient.

En résumé

ISO/IEC 22989:2022 est la norme internationale qui établit le vocabulaire et les concepts fondamentaux des systèmes d'intelligence artificielle, publiée en juillet 2022. Elle définit les concepts clés (système d'IA, modèle, algorithme, jeu de données, inférence, cycle de vie en sept étapes), les rôles humains de supervision (human-in-the-loop, on-the-loop, over-the-loop) et les propriétés vérifiables (transparence, explicabilité, robustesse, fiabilité, biais, équité). Elle n'est pas certifiable — c'est une norme de définition utilisée comme fondation par toutes les autres normes ISO sur l'IA (38507 gouvernance, 23894 risques, 42001 management, 42005 impact). Pour une PME québécoise, sa maîtrise est l'investissement minimal en gouvernance IA — elle structure les exigences contractuelles aux fournisseurs et l'application de l'article 12.1 de la Loi 25 sur les décisions automatisées.

Réponse rapide

ISO 22989 est-elle certifiable? Non. C'est une norme de définition, pas un système de management. La certifiable de la famille IA est ISO/IEC 42001 (AIMS) publiée en décembre 2023.

Par où commencer pour une PME? Maîtriser six concepts : système d'IA, modèle, algorithme, supervision human-in-the-loop, transparence, biais. Ce socle suffit pour structurer la conversation avec les fournisseurs et l'équipe TI.

Structurer votre vocabulaire IA dans votre organisation?

Pour les organisations qui veulent encadrer l'usage de l'IA avec un vocabulaire commun et des exigences contractuelles précises envers leurs fournisseurs, un accompagnement structuré sur la base d'ISO 22989 et des autres normes IA aide à formaliser la posture. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →