ISO/IEC 23894:2023 — gestion des risques liés à l'IA

ISO/IEC 23894 en langage clair —
la gestion des risques de l'IA pour une PME

L'IA introduit des risques que les méthodes traditionnelles de gestion ne couvrent pas naturellement : biais algorithmiques, dérives de modèle, opacité des décisions, dépendance excessive à un fournisseur. ISO/IEC 23894:2023 fournit la méthodologie, basée sur ISO 31000:2018, pour identifier, évaluer et traiter ces risques de manière structurée. Pour une PME québécoise, c'est le cadre qui transforme la prudence intuitive en pratique défendable.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre ISO/IEC 23894 — guide pratique pour PME québécoises

ISO 23894 ne réinvente pas la gestion des risques — elle l'adapte à l'IA. Pour une PME qui gère déjà ses risques de manière informelle, c'est l'occasion de structurer la pensée sans changer fondamentalement les processus.

Préalable conseillé : avant d'aborder cette page, parcourir les fiches ISO 22989 (vocabulaire) et ISO 38507 (gouvernance) qui établissent le cadre dans lequel s'inscrit la gestion des risques.

Pourquoi gérer les risques de l'IA différemment

Constat : les méthodes classiques de gestion des risques (financier, opérationnel, sécurité) supposent une certaine prévisibilité du système géré. L'IA introduit de l'imprévisibilité par construction — un même système peut produire des sorties différentes pour des entrées similaires, ses performances peuvent dériver dans le temps, ses biais peuvent émerger sans qu'on s'en aperçoive.

ISO/IEC 23894:2023, publiée en février 2023, est la première norme internationale spécifiquement dédiée à la gestion des risques liés à l'IA. Elle a été élaborée par le comité ISO/IEC JTC 1/SC 42 (le même qui a produit ISO 22989, 38507, 42001 et 42005) pour combler un manque méthodologique.

Trois caractéristiques propres aux risques IA :

  • Émergence. Les biais ou dérives ne sont pas toujours visibles à la conception — ils émergent à l'usage, parfois après des mois ou des années. La gestion doit être continue, pas ponctuelle.
  • Opacité. Les modèles complexes (réseaux de neurones profonds, modèles de langue) peuvent être difficiles à expliquer. La cause d'un comportement problématique n'est pas toujours identifiable.
  • Effets indirects. Un système d'IA peut affecter des tiers qui n'ont pas consenti à son usage (par exemple, un système de recommandation peut influencer le comportement d'achat de millions de personnes). La portée des risques dépasse souvent l'organisation qui déploie le système.

À retenir

L'IA n'est pas un actif comme un autre. Sa gestion des risques exige des considérations spécifiques que les méthodes traditionnelles ne fournissent pas. ISO 23894 comble cette lacune sans réinventer la roue — elle s'appuie sur ISO 31000.

Le cycle ISO 31000 appliqué à l'IA

Méthodologie : ISO 31000:2018 fournit le cadre standard de gestion des risques (principes, cadre, processus). ISO 23894 reprend cette structure et l'enrichit pour l'IA. Le cycle reste : Établir le contexte → Identifier les risques → Analyser → Évaluer → Traiter → Surveiller → Communiquer.

Étape 1 — Établir le contexte (IA-spécifique).

Définir le périmètre : quel système d'IA? Quelles parties prenantes? Quels objectifs? Pour une PME, cela inclut le contexte d'usage (interne, externe, public), le niveau d'autonomie du système (au sens d'ISO 22989 — human-in/on/over-the-loop), et la criticité des décisions affectées.

Étape 2 — Identifier les risques.

ISO 23894 propose une typologie des sources de risque IA :

  • Risques liés aux données — qualité, biais, représentativité, fuite de renseignements personnels.
  • Risques liés au modèle — robustesse, dérive de performance, vulnérabilité aux attaques adversariales, opacité.
  • Risques liés à l'usage — mauvaise utilisation par les employés, dépendance excessive, automatisation inadaptée à des cas particuliers.
  • Risques pour les personnes affectées — équité, atteinte à la vie privée, perte d'autonomie décisionnelle, discrimination.
  • Risques liés à la chaîne d'approvisionnement — défaillance d'un fournisseur, changement de conditions d'utilisation, retrait du marché du service.

Étape 3 — Analyser les risques.

Pour chaque risque identifié, évaluer la probabilité et l'impact. Pour l'IA, cela demande des compétences spécifiques : comprendre comment un biais se manifeste statistiquement, comment une dérive de modèle est détectable, comment une fuite de données peut survenir via un prompt mal formulé.

Étape 4 — Évaluer les risques.

Comparer le risque à la tolérance de l'organisation. Pour une PME, cela passe par les décisions de direction (ISO 38507) — quelle posture face au risque? Quel niveau de risque est acceptable? Quel niveau exige une mitigation?

Étape 5 — Traiter les risques.

Quatre options classiques (éviter, transférer, accepter, mitiger) avec des spécificités IA :

  • Éviter — ne pas adopter ce système d'IA pour ce cas d'usage.
  • Transférer — encadrer contractuellement le risque avec le fournisseur (DPA, garanties, indemnisations).
  • Accepter — décision documentée que le risque résiduel est tolérable.
  • Mitiger — ajouter de la supervision humaine, du contrôle de qualité, de la surveillance des dérives, de la formation des utilisateurs.

Étape 6 — Surveiller et revoir.

Crucial pour l'IA. Les systèmes évoluent (mises à jour des modèles), les données changent (dérive), les usages se déforment. Sans surveillance continue, les risques traités à l'adoption peuvent se transformer en quelques mois. Pour une PME, prévoir une revue trimestrielle des systèmes d'IA déployés.

À retenir

La gestion des risques IA n'est pas un événement — c'est un cycle. La surveillance continue est ce qui distingue une démarche défendable d'un exercice ponctuel. Une PME peut tenir ce cycle dans un tableur trimestriel.

Articulation avec ISO 42001, ISO 42005, EFVP et la Loi 25

Position dans la famille : ISO 23894 fournit la méthodologie de gestion des risques. ISO 42001 (AIMS) intègre cette gestion dans un système de management complet. ISO 42005 (impact assessment) en est l'application à un système d'IA spécifique. L'EFVP de la Loi 25 (article 3.3) recoupe largement la logique d'ISO 42005 pour les renseignements personnels.

Vue d'ensemble :

  • ISO 23894 — méthodologie générale de gestion des risques IA, cycle de vie complet.
  • ISO 42001 — système de management qui intègre la gestion des risques dans une approche organisationnelle complète.
  • ISO 42005 — évaluation d'impact d'un système d'IA spécifique, à un moment donné, généralement avant adoption ou avant mise en production.
  • EFVP article 3.3 Loi 25 — évaluation d'impact orientée renseignements personnels, exigée pour tout projet d'acquisition, développement ou refonte impliquant des renseignements personnels.

Pour une PME québécoise qui adopte un outil d'IA :

La séquence pratique combine ces outils. ISO 23894 fournit la méthode (qu'est-ce qu'un risque, comment l'évaluer). ISO 42005 fournit le format livrable (évaluation documentée). L'EFVP de la Loi 25 garantit la couverture obligatoire des renseignements personnels. Une seule analyse bien construite peut satisfaire les trois cadres simultanément.

À retenir

Pour une PME québécoise, l'EFVP article 3.3 Loi 25 est le déclencheur obligatoire. ISO 23894 fournit la méthode pour la rendre rigoureuse. ISO 42005 fournit le format pour la rendre lisible et auditable.

Démarche d'adoption pour une PME et erreurs fréquentes

Posture pragmatique : une PME n'a pas besoin d'un système de gestion des risques sophistiqué. Elle a besoin d'un cycle simple, documenté, suivi. Un tableur structuré couvre largement les attentes pour la majorité des PME québécoises.

Démarche en quatre étapes :

  1. Inventaire des systèmes d'IA en usage. Lister tous les outils d'IA utilisés (ChatGPT entreprise, Copilot, Gemini, outils sectoriels) avec leur usage, les données traitées et les utilisateurs concernés.
  2. Évaluation initiale par système. Pour chaque système, identifier les principaux risques selon les cinq catégories ISO 23894 (données, modèle, usage, personnes, chaîne). Évaluer probabilité et impact.
  3. Décisions de traitement. Pour chaque risque significatif, décider : éviter, transférer, accepter ou mitiger. Documenter les mesures retenues.
  4. Cycle de revue. Revue trimestrielle : nouveaux systèmes adoptés, dérives observées, incidents survenus, mises à jour des fournisseurs. Revue annuelle stratégique avec la direction.

Erreurs fréquentes en PME :

  • Évaluation à l'adoption sans surveillance ultérieure. Les risques IA évoluent — un système jugé sûr en 2024 peut avoir dérivé en 2026. La surveillance continue est essentielle.
  • Ignorer les risques liés à l'usage. Beaucoup d'organisations évaluent le système technique mais oublient comment les employés vont l'utiliser réellement (mauvaise utilisation, dépendance excessive).
  • Confondre absence d'incident et absence de risque. Un système d'IA qui n'a pas causé d'incident visible peut quand même avoir produit des décisions biaisées invisibles. La détection des risques émergents demande une surveillance proactive.
  • Pas de tolérance au risque définie. Sans posture claire de la direction, l'évaluation des risques flotte. Quel niveau est acceptable? Cette décision relève de la gouvernance (ISO 38507).
  • Surconfiance dans les fournisseurs. Le DPA et les déclarations marketing du fournisseur ne remplacent pas l'évaluation propre de l'organisation. Un fournisseur peut être conforme mais ses produits utilisés de manière inappropriée dans votre contexte.

L'erreur structurelle : traiter la gestion des risques IA comme une formalité administrative. ISO 23894 invite à un exercice substantiel — sans réflexion réelle sur les risques, le document produit n'a pas de valeur défensive en cas d'incident.

À retenir

Pour une PME, la gestion des risques IA tient dans un tableur trimestriel structuré par système. La rigueur vient de la régularité de la revue, pas de la sophistication de l'outil.

En résumé

ISO/IEC 23894:2023 est la norme internationale de gestion des risques liés à l'intelligence artificielle, publiée en février 2023. Elle s'appuie sur ISO 31000:2018 (gestion du risque général) et l'adapte aux spécificités de l'IA. Le cycle classique (établir le contexte → identifier → analyser → évaluer → traiter → surveiller → communiquer) est enrichi par une typologie des sources de risque IA : données, modèle, usage, personnes affectées, chaîne d'approvisionnement. Pour une PME québécoise, ISO 23894 fournit la méthodologie qui rend rigoureuse l'EFVP exigée par l'article 3.3 de la Loi 25 et qui structure les décisions de traitement (éviter, transférer, accepter, mitiger). Elle s'articule avec ISO 38507 (gouvernance, qui fixe la tolérance au risque) et ISO 42001 (système de management, qui intègre la gestion des risques dans l'organisation).

Réponse rapide

ISO 23894 est-elle obligatoire? Non — c'est un cadre de bonnes pratiques. Mais elle structure la gestion des risques que la Loi 25 article 3.3 (EFVP) exige implicitement pour les projets impliquant des renseignements personnels.

Faut-il un outil sophistiqué? Non. Pour une PME québécoise, un tableur structuré par système d'IA et par catégorie de risque, revu trimestriellement, suffit. La valeur est dans la régularité de la revue.

Structurer la gestion des risques IA dans votre PME?

Pour les organisations qui veulent encadrer leurs systèmes d'IA avec une démarche rigoureuse de gestion des risques alignée sur ISO 23894 et la Loi 25, un accompagnement structuré aide à mettre en place un cycle simple et défendable. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →