ISO/IEC 38507:2022 — gouvernance de l'IA pour la direction

ISO/IEC 38507 en langage clair —
la gouvernance de l'IA pour la direction d'une PME

L'IA pose des questions qui dépassent la TI — elles touchent la stratégie, l'éthique, la responsabilité légale et la confiance des parties prenantes. ISO/IEC 38507:2022 fournit aux organes de direction (conseils d'administration, comités exécutifs, dirigeants de PME) un cadre pour encadrer, superviser et rendre des comptes sur l'usage de l'IA. Pour une PME québécoise, c'est la pièce stratégique qui complète ISO 42001 (système de management opérationnel) côté décisionnel.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre ISO/IEC 38507 — guide pratique pour PME québécoises

ISO 38507 ne dit pas comment développer ou exploiter un système d'IA — elle dit comment la direction décide d'encadrer, surveiller et rendre des comptes sur son usage. C'est un cadre stratégique, pas opérationnel.

Préalable conseillé : avant d'aborder cette page, parcourir la fiche ISO 22989 — concepts et terminologie de l'IA qui fournit le vocabulaire utilisé dans toutes les autres normes IA. Le présent guide remonte au niveau gouvernance.

Pourquoi la direction doit s'occuper de l'IA

Constat : dans beaucoup de PME, l'adoption de l'IA est délégué aux employés ou à l'équipe TI sans cadre formel. Chaque utilisateur décide ce qu'il confie à ChatGPT, quels outils il installe, comment il interprète les recommandations d'un système. Sans gouvernance, l'organisation est exposée à des risques juridiques, de réputation et de fuite de données.

ISO 38507:2022 — Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations — a été publiée en 2022 pour répondre à cette lacune. Elle est issue de la famille des normes de gouvernance IT (ISO/IEC 38500) et applique la même logique au cas particulier de l'IA.

Trois questions structurantes auxquelles la direction doit répondre :

  • Quelle est notre posture face à l'IA? Adoption agressive, prudente, restreinte? Quels usages sont encouragés, lesquels sont interdits?
  • Qui rend des comptes sur l'IA? Le conseil, la direction, le RPRP, l'équipe TI? Comment les responsabilités sont-elles distribuées?
  • Comment savons-nous si ça fonctionne? Quels indicateurs surveillons-nous? Comment la direction est-elle informée des incidents, des dérives, des nouveaux risques?

ISO 38507 ne donne pas les réponses — elle structure la conversation pour qu'une organisation puisse y répondre de manière cohérente. Pour une PME québécoise, c'est l'outil qui transforme « il faudrait s'occuper de l'IA » en décisions documentées et actionnables.

À retenir

L'IA est une décision de direction, pas une décision technique. ISO 38507 fournit le cadre pour que cette décision soit prise consciemment plutôt que par défaut.

Les six dimensions de la gouvernance IA selon ISO 38507

Structure : ISO 38507 organise la gouvernance autour de six dimensions complémentaires que la direction doit traiter. Ces six dimensions couvrent l'ensemble des questions qui se posent quand l'IA entre dans l'organisation.

1. Stratégie et alignement. Comment l'IA s'inscrit-elle dans la stratégie de l'organisation? L'adoption répond-elle à des objectifs alignés avec la mission? Pour une PME québécoise, c'est la question du « pourquoi » avant celle du « comment ». Adopter ChatGPT pour gagner du temps en rédaction est une décision stratégique différente d'utiliser un système d'IA pour des décisions clients.

2. Valeurs et éthique. Quelles valeurs guident les choix de l'organisation face à l'IA? Quelles utilisations sont acceptables, lesquelles sont rejetées? Pour une PME, c'est le moment de formaliser une politique d'usage interne — ce qui est permis et ce qui est interdit avec ChatGPT, Copilot, Gemini, etc.

3. Risques et opportunités. Comment l'organisation identifie-t-elle, évalue-t-elle et surveille-t-elle les risques liés à l'IA? Comment équilibre-t-elle les opportunités (productivité, innovation) avec les risques (fuite de données, biais, dépendance technologique)? ISO 23894 fournit la méthodologie de gestion des risques propre à l'IA.

4. Conformité et responsabilité légale. Quelles obligations légales s'appliquent à l'usage de l'IA dans le secteur et la juridiction de l'organisation? Pour une PME québécoise : Loi 25 article 12.1 (décisions automatisées), article 17 (transferts hors Québec si l'IA est hébergée à l'étranger), article 18.3 (DPA si l'outil d'IA est un sous-traitant), Loi 25 article 3.3 (EFVP avant adoption).

5. Compétences et capacités. L'organisation a-t-elle les compétences pour gouverner l'IA (interne ou externe)? Les employés sont-ils formés? Comment les compétences évoluent-elles avec la technologie? Pour une PME, c'est la décision entre développer en interne, externaliser ou se contenter d'utiliser sans personnaliser.

6. Performance et reddition de comptes. Comment la direction sait-elle si l'IA fonctionne comme prévu? Quels indicateurs (KPI) sont surveillés? Comment les incidents sont-ils remontés et traités? Comment le conseil ou la direction reçoit-elle de l'information périodique?

À retenir

Les six dimensions ne sont pas une checklist — ce sont des questions structurantes. Une PME peut traiter chaque dimension dans un paragraphe d'une politique interne. L'important n'est pas le volume documentaire, c'est la conscience de chaque dimension.

Articulation avec ISO 42001, ISO 23894 et la Loi 25

Position dans la famille : ISO 38507 est complémentaire des autres normes IA, pas concurrente. Direction (38507) → Système de management (42001) → Gestion des risques (23894) → Évaluation d'impact (42005). Chaque norme couvre une couche distincte.

Articulation simplifiée :

  • ISO 38507 — gouvernance. Quoi décider, qui décide, comment surveiller. Niveau direction.
  • ISO 42001 — management. Comment structurer le système opérationnel pour exécuter les décisions de gouvernance. Niveau organisation.
  • ISO 23894 — risques. Comment identifier et traiter les risques propres à l'IA. Niveau processus.
  • ISO 42005 — impact. Comment évaluer l'impact d'un système d'IA spécifique avant son adoption. Niveau projet.

Articulation avec la Loi 25 (Québec) :

  • L'article 12.1 de la Loi 25 (décisions exclusivement automatisées) demande à la direction de connaître quels traitements sont concernés — c'est précisément la dimension « Conformité » d'ISO 38507.
  • L'article 3.3 (EFVP) demande à la direction d'avoir un processus structuré d'évaluation avant adoption — dimension « Risques et opportunités » d'ISO 38507.
  • L'obligation de désigner un Responsable PRP (article 8) crée un rôle de reddition de comptes — dimension « Performance et reddition de comptes » d'ISO 38507.

Pour une PME québécoise, l'avantage de combiner ISO 38507 et la Loi 25 est de transformer les obligations légales en cadre de gouvernance complet. La Loi 25 fournit le « quoi obligatoire » ; ISO 38507 fournit le « comment structurer la décision ».

À retenir

Une PME peut adopter ISO 38507 sans adopter ISO 42001. La gouvernance peut exister sans système de management formel. Pour beaucoup de PME, ISO 38507 + politique interne d'usage de l'IA + EFVP au cas par cas couvre largement.

Démarche d'adoption pour une PME québécoise

Posture pragmatique : adopter ISO 38507 dans une PME ne demande pas de produire un manuel de 60 pages. Il suffit de prendre des décisions documentées sur les six dimensions et de mettre en place les mécanismes de suivi appropriés.

Démarche en cinq étapes pour une PME québécoise :

  1. Inventaire des usages d'IA actuels. Quels outils d'IA sont déjà utilisés dans l'organisation? Par qui, pour quoi? Cet inventaire est souvent une surprise — beaucoup d'employés utilisent ChatGPT sans qu'aucune décision formelle n'ait été prise.
  2. Décision de posture. Direction : quelle posture pour l'organisation? Adoption proactive, prudente, restreinte? Quels usages sont permis, lesquels interdits, lesquels exigent une approbation préalable?
  3. Politique interne d'usage de l'IA. Document court (2-5 pages) qui formalise la posture et les règles. Inclut : usages permis, données autorisées, formation requise, processus d'approbation pour nouveaux outils, incidents à signaler.
  4. Mécanismes de surveillance. Qui suit les incidents? Quels indicateurs? Quelle fréquence de revue par la direction? Pour une PME, une revue trimestrielle suffit typiquement.
  5. Revue annuelle. Une fois par an, la direction réévalue la posture en fonction de l'évolution de la technologie, des risques observés, des opportunités manquées.

Pour une PME québécoise typique, la mise en place initiale prend quelques semaines de réflexion en direction. Le maintien continu prend quelques heures par trimestre.

À retenir

Une PME peut couvrir ISO 38507 avec une politique interne de 2-5 pages, une revue trimestrielle des usages et une réévaluation annuelle. Ce qui compte est la régularité de la conversation — pas le volume des documents.

Erreurs fréquentes et pièges à éviter

Constat : les manquements observés en PME ne viennent presque jamais d'une mauvaise décision — ils viennent de l'absence de décision. La gouvernance par défaut est la pire forme de gouvernance.
  • Déléguer entièrement la décision IA à la TI ou aux employés. La gouvernance est explicitement la responsabilité des organes de direction. La déléguer crée une exposition réputationnelle et juridique.
  • Ne jamais formaliser de posture. Sans politique interne, chaque employé décide individuellement de ce qu'il confie à ChatGPT. C'est la situation par défaut dans la majorité des PME.
  • Confondre interdiction et gouvernance. Interdire toute IA est une posture, mais c'est rarement la bonne. Encadrer les usages est plus réaliste et plus défendable.
  • Ignorer la dimension humaine. Les compétences évoluent, les emplois changent, les attentes des employés évoluent. Une politique IA qui ignore ces dimensions vieillit vite.
  • Pas de revue périodique. La technologie IA évolue tous les trimestres. Une politique adoptée en 2024 et jamais revue est probablement obsolète en 2026.

L'erreur structurelle : traiter l'IA comme un sujet ponctuel plutôt qu'une dimension permanente de la gouvernance organisationnelle. ISO 38507 invite à intégrer l'IA dans le cycle régulier des décisions de direction, comme la finance, les ressources humaines ou la cybersécurité.

À retenir

Pour une PME, la meilleure preuve d'adoption d'ISO 38507 n'est pas un volume documentaire — c'est une conversation régulière de la direction sur les six dimensions. Si l'IA n'apparaît jamais dans les décisions de direction, la gouvernance n'existe pas, peu importe ce que disent les documents.

En résumé

ISO/IEC 38507:2022 est la norme internationale de gouvernance de l'IA pour les organes de direction d'une organisation. Publiée en 2022 et applicable à toutes tailles d'organisations, elle structure la gouvernance autour de six dimensions : stratégie et alignement, valeurs et éthique, risques et opportunités, conformité et responsabilité, compétences et capacités, performance et reddition de comptes. Elle complète ISO 42001 (système de management) côté décisionnel — la direction décide via 38507, l'organisation exécute via 42001. Pour une PME québécoise, son adoption peut tenir dans une politique interne de 2 à 5 pages plus une revue trimestrielle. Elle s'articule directement avec la Loi 25 sur les questions de décisions automatisées (article 12.1), d'EFVP (article 3.3) et de désignation du RPRP (article 8).

Réponse rapide

ISO 38507 est-elle obligatoire? Non. C'est un cadre de bonnes pratiques, pas une exigence légale. Mais elle structure des décisions que la Loi 25 rend implicitement nécessaires (politique interne d'IA, EFVP, surveillance des décisions automatisées).

Combien de temps pour adopter? Quelques semaines de réflexion en direction pour la mise en place initiale, puis quelques heures par trimestre pour le maintien. Pas un projet de plusieurs mois.

Structurer la gouvernance de l'IA dans votre direction?

Pour les organisations qui veulent formaliser la posture de leur direction face à l'IA et mettre en place une politique interne d'usage cohérente avec la Loi 25, un accompagnement structuré aide à couvrir les six dimensions d'ISO 38507. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →