ISO/IEC 23894:2023 – Intelligence artificielle — Recommandations relatives au management du risque

Par Guillaume Promé
le 7 Mar. 2023 Logiciel, Risques et B/R, Veille gratuite

La norme ISO/IEC 23894 vient d’être publiée, elle s’intéresse à la gestion des risques pour les organismes qui développent, produisent, déploient ou utilisent des produits, systèmes et services faisant appel à l’intelligence artificielle.

Résumé

La norme demande de mettre en œuvre l’ISO 31000:2008 “Management du risque” et – le cas échéant – ajoute des considérations “tournées IA” aux exigences très générales de la l’ISO 31000.

Aussi, la norme vous demandera de prendre en compte les données utilisées pour construire vos IA, le caractère dynamique des performances d’une IA et d’autres préoccupations du moment : environnement, droits humains, impact sociétal, impact environnemental… et même “l’impact communautaire”.

La norme est très générale, elle n’apporte pas d’aide pratique pour la gestion des risques.

L’ISO/IEC 23894 est-elle utile en contexte dispositifs médicaux ?

Bien que visant tous les produits et service, la norme ISO/IEC 23894 n’est pas taillée pour le médical qui a ses propres objectifs (un rapport bénéfice/risque favorable pour le patient) et ses propres méthodes (réduire tous les risques autant que possible, favoriser les maitrise par conception, etc…).

Cette norme est plutôt pensée pour la gestion des “risques et opportunités” des organismes, cheval de bataille de l’ISO 9001:2015, non repris dans l’ISO 13485:2016.

Cette approche intègre les risques économiques, culturels (?) ou même réputationnels qui vont au-delà des exigences réglementaires, la règlementation ciblant uniquement sur la sécurité des patients et des utilisateurs. De même, les mesures de maitrise des risques proposées ne sont pas compatibles avec le cadre législatif européen sur les DM :

Pour traiter les risques (…) l’organisme peut considérer (…) Le partage du risque (par exemple, au travers de contrats ou en souscrivant une assurance).

ISO/IEC 23894:2023 § 6.5.2

Une IA peut-elle faire une norme pour gérer les risques associés aux IA ?

Posons la question à Chat GPT :

gestion des risques gat gpt

Le résultat est plutôt convaincant.

Selon le slogan officiel “Ce n’est pas la norme qui fait l’usage, mais l’usage qui fait la norme”. Une IA faisant le “best-of” de ce qu’elle sait d’un sujet, son usage pour rédiger de normes n’aurait rien de délirant. Mais cela risquerait d’être rapide et efficace.