Retour à la liste

Structure HLS pour l'ISO-IEC 42001

DM, IA et Cybersécurité

Introduction

La structure HLS a été introduite par l'Organisation internationale de normalisation (ISO) pour donner aux normes de systèmes de gestion une structure uniforme et un contenu de base similaire. Les articles 4 à 10 peuvent être regroupés dans un modèle Planifier-Faire-Vérifier-Agir (Plan-Do-Check-Act - PDCA). L’objectif est d’améliorer l’alignement des différentes normes ISO grâce à une structure inter-normes.


La norme ISO 13485 n'est actuellement pas sous la structure HLS, mais des changements sont à venir... Les normes ISO-IEC 42001 et ISO 27001 suivent la structure HLS.



La structure HSL est basée sur l'Annexe SL / Appendice 2 des Directives ISO/CEI, Partie 1 – Supplément ISO consolidé – Procédures spécifiques à l'ISO. https://www.iso.org/committee/54996.html?t=-Duqtv8H-DoUiDQTNCpLN0UhREpjaZ130Orwm4_WLY97n2yln9bslL_OpNRJZCit&view=documents#section-isodocuments-top



Structure en vue macro et cycle PDCA

La structure HLS est basée sur 10 chapitres :

  1. Portée
  2. Références normatives
  3. Termes et définitions
  4. Contexte de l'organisation
  5. Leadership
  6. Planification
  7. Support
  8. Fonctionnement
  9. Évaluation des performances
  10. Amélioration


Les 3 premiers chapitres sont généraux et sans exigence.


Les 7 chapitres suivants sont basés sur le cycle PDCA (Plan-Do-Check-Act). Ils sont affectés aux différentes phases du PDCA :

  • Plan : Chapitres 4, 5 et 6
  • Do : chapitres 7 et 8
  • Check : Chapitre 9
  • Act : Chapitre 10


Exemple de normes suivant déjà la structure HLS

  • ISO-IEC 27001 : Sécurité de l'information, cybersécurité et protection de la vie privée ; HLS à partir de la version 2013
  • ISO 9001 : Systèmes de management de la qualité ; HLS à partir de la version 2015
  • ISO 14001 : Management environnemental ; HLS à partir de la version 2015
  • ISO-IEC 17025 : Exigences générales relatives à la compétence des laboratoires d'essais et d'étalonnage ; HLS à partir de la version 2017
  • ISO 45001 : Systèmes de management de la santé et de la sécurité au travail ; HLS dès la 1ère version (2018)
  • ISO-IEC 42001 : Technologies de l'information – Intelligence artificielle – Système de management ; HLS dès de la 1ère version (2023)


Ci-dessous nous avons dessiné l'exemple de la structure HLS pour la norme ISO-IEC 42001 :



Avantage de la structure HLS

Les objectifs de la structure HLS sont de :

  • Fournir un ensemble commun d'exigences cohérentes entre les différentes normes.
  • Permettre une lecture plus facile des exigences en les structurant selon le principe d'amélioration continue (PDCA).
  • Améliorer la performance grâce à la compréhension du contexte global de l'organisation et des attentes des parties intéressées.
  • Accentuer la gestion des risques et des opportunités,
  • Maitriser les changements dans des environnements de plus en plus complexes.



Description macro des chapitres au sein de la structure HLS

Chapitre 1 – Portée (usage général, hors PDCA)

Ce chapitre définit le champ d'application, c'est-à-dire définit ce que vise la norme et la cible de cette norme (qui est visé).


Par exemple, dans la norme ISO-IEC 42001, la norme spécifie les exigences et fournit des lignes directrices pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion de l'IA (intelligence artificielle) dans le contexte d'une organisation. Il s’applique à toute organisation, quels que soient sa taille son type et sa nature, qui fournit ou utilise des produits ou des services utilisant des systèmes d’IA.


Chapitre 2 – Références normatives (usage général, hors PDCA)

Ce chapitre contient la liste des normes, datées, nécessaires à la mise en œuvre de la norme concernée.


Par exemple, IISO-IEC 42001 fait référence à « ISO/IEC 22989:2022, Technologies de l'information — Intelligence artificielle — Concepts et terminologie de l'intelligence artificielle » pour les principes et le vocabulaire utilisés dans la norme.


Chapitre 3 – Termes et définitions (usage général, hors PDCA)

Ce chapitre répertorie les définitions utiles pour comprendre et appliquer la norme. Il comprend des termes communs de base (par exemple organisation, partie intéressée, direction générale, non-conformité, etc.) et des termes spécifiques au domaine considéré.


Par exemple, la norme ISO-IEC 42001 répertorie des termes tels que sécurité de l'information, évaluation de l'impact du système d'IA, qualité des données ou déclaration d'applicabilité, etc. Et bien d'autres définition se trouvent dans la norme ISO/IEC 22989.



Chapitre 4 – Contexte de l'organisation

Ce chapitre est lié au Plan au sein du PDCA. Il définira ce qu'est une Organisation au regard de la norme, dans quel Contexte cette organisation évolue, et listera les Parties Prenantes (contexte juridique, normes applicables, fournisseurs, clients, etc.).


L'objectif est d'obtenir une vue d'ensemble du contexte qui aidera à définir la portée du système de management.


Par exemple, la norme ISO-IEC 42001 répertoriera les différents rôles qu'une organisation peut jouer relativement au système d'IA (par exemple, les fournisseurs d'IA, les producteurs d'IA, les clients d'IA, les partenaires d'IA, les sujets d'IA, les autorités compétentes, etc.)

L’ISO-IEC 42001 répertoriera également les considérations liées aux contextes externes et internes telles que : les exigences juridiques applicables, les politiques, les lignes directrices et les décisions des régulateurs qui ont un impact sur l'interprétation, les mesures incitatives ou les conséquences associées à l'objectif prévu et à l'utilisation des systèmes d'IA, la culture, les traditions, les valeurs, les normes et l'éthique en ce qui concerne le développement et l'utilisation de l'IA, le paysage concurrentiel et les tendances des nouveaux produits et services utilisant les systèmes d'IA, l'objectif prévu du système d'IA, etc.

Ensuite, l'ISO-IEC 42001 s'attachera à comprendre les besoins et les attentes des parties intéressées, pour finalement demander à l'organisation de déterminer le périmètre du système de management de l'IA.



Chapitre 5 – Leadership

Ce chapitre est lié au Plan au sein du PDCA. Il définira les notions de leadership, autour de l'engagement à atteindre les objectifs, des objectifs eux-mêmes et de la gestion des ressources pour atteindre les buts. L'engagement sera communiqué et enregistré à travers la politique de l'organisation.


Ce chapitre met l'accent sur le rôle du leadership et son engagement. La direction définit la politique et assure la disponibilité et la qualité des ressources. Le leadership promeut le système de management et veille à sa bonne mise en œuvre au sein de l’organisation.


Par exemple, la norme ISO-IEC 42001 abordera :

  • Leadership et engagement,
  • Politique d'IA, et
  • Rôles, responsabilités et autorités



Chapitre 6 – Planification

Ce chapitre est lié (évidemment) au Plan au sein du PDCA. Il définira les notions d'Objectifs, caractérisera les Risques et Opportunités, et les Actions à mettre en œuvre pour atteindre les objectifs.


L'organisation planifie les objectifs mais aussi les actions mises en œuvre pour réduire les risques et les opportunités. La planification nécessite de définir ce qui doit être fait, les ressources pour atteindre les objectifs, les responsabilités, les délais et les critères d'évaluation de l'efficacité.


Par exemple, la norme ISO-IEC 42001 abordera :

  • Les actions pour faire face aux risques et aux opportunités
  • Les objectifs de l'IA et planification pour les atteindre
  • La planification des changements


Chapitre 7 – Assistance

Ce chapitre est lié au Do (mise en œuvre) au sein du PDCA. Il définira les notions de Compétence (savoir-être et savoir-faire), de Communication (interne et externe) et d'Information Documentée (enregistrée, contrôlée et maintenue).


Les ressources sont décrites au chapitre 5, et peuvent être très diverses. Dans le cas des ressources humaines, les compétences doivent être définies et prouvées. L'article met l'accent sur la sensibilisation et l'implication des salariés.


Par exemple, la norme ISO-IEC 42001 abordera :

  • Les ressources
  • Les compétence (déterminer la compétence nécessaire, s'assurer que ces personnes sont compétentes sur la base d'une éducation, d'une formation ou d'une expérience appropriée ; et le cas échéant, prendre des mesures pour acquérir les compétences nécessaires)
  • La sensibilisation (politique d'IA, conséquences du non-respect des exigences du système de gestion de l'IA, etc.)
  • La communication (quoi, quand, avec qui et comment communiquer)
  • Les informations documentées



Chapitre 8 – Fonctionnement

Ce chapitre est lié au Do (mise en œuvre) au sein du PDCA. Il définira les notions de Processus (inputs pour produire des outputs) et de Critères.


Les activités de l'organisation sont découpées en processus (internes et externes) et sont liées à des critères. Ce chapitre énumérera les nombreuses exigences relatives au fonctionnement de l'organisation et le contenu est profondément relié au sujet de la norme.


Par exemple, la norme ISO-IEC 42001 développe des exigences concernant l’IA, l’évaluation et le traitement des risques liés à l’IA, ainsi que l’évaluation de l’impact de l’IA.



Chapitre 9 – Évaluation des performances

Ce chapitre est lié au Check (évaluation) au sein du PDCA. Il définira les notions de Revue de Direction et d'Audit Interne.


Les activités de suivi, de mesure, d'analyse et d'évaluation (quoi, quand, comment) sont définies par l'organisation. Des audits internes sont planifiés et réalisés pour évaluer l'efficacité du système de gestion. Les réunions de direction permettent à la direction de revoir le système de management, en se concentrant sur les enjeux, les performances, les actions, etc. de l’organisation.


Par exemple, la norme ISO-IEC 42001 abordera :

  • Le suivi, mesure, analyse et évaluation (ce qui doit être surveillé, quand surveiller et quand évaluer les résultats)
  • L’audit interne (planification et réalisation des audits)
  • Les revues de direction



Chapitre 10 – Amélioration

Ce chapitre est lié au Act (amélioration) au sein du PDCA. Il définira les notions de Non-conformité, d'Action Corrective et d'Amélioration Continue.


L'organisme doit contrôler, corriger et traiter les conséquences des non-conformités. L'organisme doit prendre des mesures correctives pour éviter que la non-conformité ne se reproduise. L'organisation doit s'engager à s'améliorer continuellement.


Par exemple, la norme ISO-IEC 42001 abordera :

  • L’amélioration continue
  • Les non-conformités et les actions correctives (réagir, évaluer, mettre en œuvre toute action nécessaire, examiner l'efficacité, etc.)




Conclusion

L’ISO-IEC 42001 est construite sur le système HLS. L'ISO 13485 ne suit pas encore le système HLS (pour le moment). Comment votre organisation peut-elle concilier les deux normes ? CSDmed est déjà formée aux nouvelles exigences ISO-IEC 42001 et peut vous aider à construire un Système de Management Intégré (SMI), combinant l’ISO 13485 et l’ISO-IEC 42001.


CSDmed apporte son expertise et une approche méthodique à ses clients, start-ups, fabricants, importateurs et distributeurs de dispositifs médicaux, grâce à une équipe d'experts et de consultants spécialisés, qui sauront aborder la norme ISO-IEC 42001 pour le Management de l'IA dans son intégralité, et prendre en compte les exigences futures de l'IA Act.


🔗 Contactez-nous et découvrez comment nous pouvons vous aider.