Vous êtes sur la page 1sur 61

NF EN ISO/CEI 17021

mai 2011

Ce document est à usage exclusif et non collectif des clients Saga Web.
Toute mise en réseau, reproduction et rediffusion, sous quelque forme que ce soit,
même partielle, sont strictement interdites.

This document is intended for the exclusive and non collective use of Saga Web customers.
All network exploitation, reproduction and re-dissemination,even partial, whatever the form
(hardcopy or other media), is strictly prohibited.

Saga Web

Pour EADS FRANCE

Client 00233300

le 7/6/2011 13:40

Extract from GDN - This document is a working copy


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

FA168554 ISSN 0335-3931

norme européenne NF EN ISO/CEI 17021


Mai 2011

Indice de classement : X 50-072

ICS : 03.120.20

Évaluation de la conformité
Exigences pour les organismes procédant
à l'audit et à la certification des systèmes
de management

E : Conformity assessment — Requirements for bodies providing audit


and certification of management systems
D : Konformitätsbewertung — Anforderungen an Stellen, die Managementsysteme
auditieren und zertifizieren
© AFNOR 2011 — Tous droits réservés

Norme française homologuée


par décision du Directeur Général d'AFNOR le 6 avril 2011 pour prendre effet
le 6 mai 2011.
Remplace la norme homologuée NF EN ISO/CEI 17021, de novembre 2006.

Correspondance La Norme européenne EN ISO/CEI 17021:2011 a le statut d'une norme française


et reproduit intégralement la Norme internationale ISO/CEI 17021:2011.

Analyse Le présent document spécifie les principes et les exigences relatifs à la compétence,
à la cohérence et à l'impartialité lors des audits et lors de la certification de systèmes
de management de tous types (par exemple systèmes de management de la qualité
ou systèmes de management environnemental) et relatives aux organismes
fournissant cette activité. Les organismes de certification conformes au présent
document ne sont pas tenus de proposer tous les types de certification de système
de management.

Descripteurs Thésaurus International Technique : contrôle de conformité, certification,


évaluation, gestion, organisme de certification, exigence, contrat, personnel,
information, échange d'information, processus, audit de qualité.

Modifications Par rapport au document remplacé, révision de la norme.

Corrections

Éditée et diffusée par l’Association Française de Normalisation (AFNOR) — 11, rue Francis de Pressensé — 93571 La Plaine Saint-Denis Cedex
Tél. : + 33 (0)1 41 62 80 00 — Fax : + 33 (0)1 49 17 90 00 — www.afnor.org

© AFNOR AFNOR 2011 1er tirage 2011-05-P

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

Évaluation et démonstrations AFNOR XA50

Membres de la commission de normalisation


Président : M LOISIER
Secrétariat : MLLE LONGERE — AFNOR

MME ADROT DGA DQP SDSM


M ANTONI MBDA FRANCE
M AUBELIS SCHNEIDER ELECTRIC INDUSTRIES SAS
M BAZIN DGAL — DION GENERALE ALIMENTATION
M BERGER MINEFI / DGCIS / SCD / SQUALPI
MME BERNIER BUREAU DE NORMALISATION DES CÉRAMIQUES
ET TERRE CUITE
M BERRIER CSTB
M BESLIN AFNOR CERTIFICATION
M BOUCHER AFNOR
MME BRANTON UNION TECHNIQUE DE L'ELECTRICITÉ
MME BREART EDF CEIDRE
MME BREY-RAOULT AFNOR CERTIFICATION
M CALMELS M CALMELS MARCEL
M CAMBEROU AFNOR CERTIFICATION
M CANNOT CTC
M CASSAN COFRAC
M CHAMPAGNE PIERRE CHAMPAGNE
MME CHAPELLE CSTB
M COLOMIES SOPEMEA
MME COLY-DUFOURT ASSO LEO LAGRANGE DEF CONSOMMATEURS
M CONTET UNION DE NORMALISATION DE LA MÉCANIQUE
M DALRYMPLE AFNOR
M DAUCHET DGCCRF
MME DE MEREDIEU ANSES
MME DECAUX FAMILLES RURALES
M DEFRANCE AFOC — ASSO FORCE OUVRIERE CONSO
MME DESENFANT LNE
MME DESROCHES AFNOR CERTIFICATION
MME DROUILLOT CSTB
M DUBOST GAZ DE FRANCE — DIRECTION RECHERCHE
M FILHOL SNCF / NORHA
M FOSTAN AREVA T&D SA — AHT
M FOUBERT AIR LIQUIDE
MME FREYSSINET MINEFI / DGCIS / SCD / SQUALPI
M GIROUD BIO-RAD
M GRZESKOWIAK ASTE
M GUILLEMIN CTDEC
M HANOT LCIE SAS

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

—3— NF EN ISO/CEI 17021:2011

MME HELLER UNION TECHNIQUE DE L'ELECTRICITÉ


M HOCQUET FCBA
MME INCATASCIATO LCIE SAS
M ISNARD FIEEC
M JACQUES INRS
MME JUNCA AFNOR CERTIFICATION
MME KOCIEMBA-FILLEUL MBDA FRANCE
M LAUNEY LNE
M LAURENTIE ANSES — LABORATOIRE DE FOUGERE
M LE DIRECTEUR GENERAL DU SCL SCL — SCE COMMUN DES LABORATOIRES
MME LE NIGER DGCCRF
MME LE SANT LNE
M LEBENTAL MEDDTL — CGEDD
M LEBON ASQUAL
M LECLERC ACI C/O ALAIN LECLERC
M LECLERC ANSES
M LEGASTELOIS GIE SESAM VITALE
M LEMPIRE GEP
M LOISIER SNCF
M MARQUES CTMNC
MLLE MICHEAU AFNOR CERTIFICATION
MME MIENVILLE AFNOR
MME MINY AFITEP
M MOTTARD DIRECTION DE LA PRÉVENTION DES POLLUTIONS
ET DES RISQUES
M MOUNIN CEMAGREF
MME NENNER APAVE GROUPE
M PERRUCHET UTAC SAS
MME PHILIPPON INI — CERAH
M PIERSON LNE
M PINEAU SNCF — DION DU MATERIEL
M RAIN UIC — UNION DES INDUSTRIES CHIMIQUES
M REPOSEUR ACAC
MLLE RIMBERT AFNOR
MME SADER LCPP — LABO CENTRAL PREFECTURE DE POLICE
MME SAUVION SNCF — DIRECTION DES ACHATS
MME SAVEANT COFRAC
M SCHNEIDER COFRAC
MME SEBILLAUD ICAR
M SINGER SILLIKER
MME SOUBEYRAN DGAL — DION GENERALE ALIMENTATION
MLLE TAFFOREAU SOPEMEA
M THIBAULT BUREAU VERITAS
MME TOUSSAINT COFRAC
M TUSSEAU COMITE INTERPROF VIN CHAMPAGNE
M VERDIERE EDF CEIDRE
M VICARD STRATENE

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

NORME EUROPÉENNE EN ISO/CEI 17021


EUROPÄISCHE NORM
EUROPEAN STANDARD Février 2011

ICS : 03.120.20 Remplace EN ISO/CEI 17021:2006vs

Version française

Évaluation de la conformité —
Exigences pour les organismes procédant à l'audit et à la certification
des systèmes de management
(ISO/CEI 17021:2011)

Konformitätsbewertung — Conformity assessment —


Anforderungen an Stellen, die Managementsysteme Requirements for bodies providing audit
auditieren und zertifizieren and certification of management systems
(ISO/IEC 17021:2011) (ISO/IEC 17021:2011)

La présente norme européenne a été adoptée par le CEN/CENELEC le 17 janvier 2011.

Les membres du CEN/CENELEC sont tenus de se soumettre au Règlement Intérieur du CEN/CENELEC qui
définit les conditions dans lesquelles doit être attribué, sans modification, le statut de norme nationale à la norme
européenne.

Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues
auprès du Secrétariat Central ou auprès des membres du CEN/CENELEC.

La présente norme européenne existe en trois versions officielles (allemand, anglais, français). Une version faite
dans une autre langue par traduction sous la responsabilité d'un membre du CEN dans sa langue nationale, et
notifiée au Secrétariat Central, a le même statut que les versions officielles.

Les membres du CEN/CENELEC sont les organismes nationaux de normalisation et les comités
électrotechniques nationaux des pays suivants : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie,
Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie,
Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-Uni,
Slovaquie, Slovénie, Suède et Suisse.

Centre de Gestion du CEN : Secrétariat Central du CENELEC :


17 Avenue Marnix, B-1000 Bruxelles 17 Avenue Marnix, B-1000 Bruxelles

© CEN/CENELEC 2011 Tous droits d'exploitation sous quelque forme et de quelque manière
que ce soit réservés dans le monde entier aux membres nationaux
du CEN et aux membres du CENELEC. Réf. n° EN ISO/CEI 17021:2011 F

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

EN ISO/CEI 17021:2011 (F)

Avant-propos

Le présent document (EN ISO/IEC 17021:2011) a été élaboré par le Comité pour l'évaluation de la conformité
en collaboration avec le Comité Technique CEN/CENELEC/TC 1 «Critères applicables aux organismes d'évaluation
de la conformité», dont le secrétariat est tenu par BSI.
Cette Norme européenne devra recevoir le statut de norme nationale, soit par publication d'un texte identique, soit
par entérinement, au plus tard en août 2011, et toutes les normes nationales en contradiction devront être retirées
au plus tard en août 2011.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits
de propriété intellectuelle ou de droits analogues. Le CEN et/ou le CENELEC ne saurait [sauraient] être tenu[s]
pour responsable[s] de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
Le présent document remplace l’EN ISO/IEC 17021:2006.
Selon le Règlement Intérieur du CEN/CENELEC, les instituts de normalisation nationaux des pays suivants sont
tenus de mettre cette Norme européenne en application : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie,
Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie,
Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni,
Slovaquie, Slovénie, Suède et Suisse.

Notice d'entérinement

Le texte de ISO/IEC 17021:2011 a été approuvé par le CEN comme EN ISO/IEC 17021:2011 sans aucune
modification.

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Sommaire Page

Avant-propos ......................................................................................................................................................v
Introduction........................................................................................................................................................vi
1 Domaine d'application ..........................................................................................................................1
2 Références normatives .........................................................................................................................1
3 Termes et définitions ............................................................................................................................1
4 Principes ................................................................................................................................................3
4.1 Généralités .............................................................................................................................................3
4.2 Impartialité .............................................................................................................................................3
4.3 Compétence ...........................................................................................................................................4
4.4 Responsabilité .......................................................................................................................................4
4.5 Transparence .........................................................................................................................................4
4.6 Confidentialité........................................................................................................................................5
4.7 Traitement des plaintes ........................................................................................................................5
5 Exigences générales .............................................................................................................................5
5.1 Domaine juridique et contractuel ........................................................................................................5
5.2 Gestion de l'impartialité........................................................................................................................5
5.3 Responsabilité et situation financière.................................................................................................7
6 Exigences structurelles ........................................................................................................................7
6.1 Organisation et direction ......................................................................................................................7
6.2 Comité pour la préservation de l'impartialité .....................................................................................8
7 Exigences relatives aux ressources....................................................................................................9
7.1 Compétence de la direction et du personnel .....................................................................................9
7.2 Personnel intervenant dans les activités de certification ...............................................................10
7.3 Intervention d'auditeurs et d'experts techniques externes individuels.........................................11
7.4 Enregistrements relatifs au personnel..............................................................................................11
7.5 Externalisation.....................................................................................................................................12
8 Exigences relatives aux informations ...............................................................................................12
8.1 Informations accessibles au public...................................................................................................12
8.2 Documents de certification ................................................................................................................13
8.3 Répertoire des clients certifiés ..........................................................................................................13
8.4 Référence à la certification et utilisation des marques ...................................................................13
8.5 Confidentialité......................................................................................................................................14
8.6 Échange d'informations entre l'organisme de certification et ses clients ....................................15
9 Exigences relatives aux processus...................................................................................................16
9.1 Exigences générales ...........................................................................................................................16
9.2 Évaluation et certification initiales ....................................................................................................24
9.3 Activités de surveillance.....................................................................................................................27
9.4 Renouvellement de la certification ....................................................................................................28
9.5 Audits particuliers ...............................................................................................................................29
9.6 Suspension, retrait ou réduction du périmètre de la certification .................................................30
9.7 Appels...................................................................................................................................................30
9.8 Plaintes .................................................................................................................................................31
9.9 Enregistrements relatifs aux demandeurs et aux clients................................................................32
10 Exigences relatives au système de management des organismes de certification ....................33
10.1 Options .................................................................................................................................................33
10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001............33
10.3 Option 2: Exigences générales relatives au système de management .........................................33

© ISO 2011 – Tous droits réservés iii


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe A (normative) Connaissances et savoir-faire exigés .................................................................... 37


Annexe B (informative) Méthodes possibles d'évaluation........................................................................... 38
Annexe C (informative) Exemple d'un organigramme de détermination et de maintien des
compétences ....................................................................................................................................... 40
Annexe D (informative) Comportements personnels souhaités ................................................................. 42
Annexe E (informative) Audit tierce partie et processus de certification................................................... 43
Annexe F (informative) Éléments à prendre en considération pour le programme, le périmètre ou
le plan d'audit ...................................................................................................................................... 45
Bibliographie .................................................................................................................................................... 47

iv © ISOI 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.

La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.

L'ISO 17021 a été élaborée par le comité ISO pour l'évaluation de la conformité (CASCO).

Le projet a été soumis aux organismes nationaux de l'ISO et de la CEI pour vote et a été approuvé par les
deux organisations.

Cette seconde édition annule et remplace la première édition (ISO/CEI 17021:2006), qui a fait l'objet d'une
révision en vue d'élargir le domaine d'application. La première édition est provisoirement conservée pendant
une période d'un an jusqu'à la revue systématique de l'ensemble du document.

La présente Norme internationale a également été publiée dans une version marquée, non officielle, indiquant
les changements par rapport à la précédente édition.

© ISO 2011 – Tous droits réservés v


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Introduction
La certification d'un système de management, tel qu'un système de management de la qualité ou de
management environnemental d'un organisme candidat, est l'un des moyens permettant d'assurer que
l'organisme a mis en application un système pour gérer des aspects relatifs à ses activités, conforme à sa
politique.

La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management avec compétence, et d'une façon cohérente et impartiale, facilitant ainsi la reconnaissance de
ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale sert de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management.

La certification d'un système de management assure par une démonstration indépendante que le système de
management de l'organisme

a) est conforme aux exigences spécifiées,

b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, et

c) est mis en œuvre de manière efficace.

L'évaluation de la conformité, telle que la certification d'un système de management apporte une plus-value à
l'organisme, à ses clients et aux parties intéressées.

L'Article 4 de la présente Norme internationale décrit les principes assurant une certification crédible. Ces
principes facilitent la compréhension du lecteur quant à la nature essentielle de la certification. Ils constituent
une introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame de toutes les exigences
contenues dans la présente Norme internationale. Il faut noter que ces principes ne sont pas des exigences
auditables en tant que telles. L'Article 10 décrit deux alternatives pour soutenir et démontrer que l'organisme
de certification satisfait de manière fiable au respect des exigences de la présente Norme internationale au
moyen de la mise en place d'un système de management.

La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management. Elle présente des exigences génériques applicables aux organismes de
certification, procédant à l'audit et à la certification dans le domaine des systèmes de management de la
qualité, de management environnemental et autres. Ces organismes sont appelés «organismes de
certification». Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente Norme internationale
par des organismes désignés différemment entreprenant des activités couvertes par le domaine d'application
décrit dans ce document.

La certification comprend l'audit du système de management d'un organisme. La manière d'attester la


conformité à une norme spécifique du système de management ou à d'autres exigences normatives prend
généralement la forme d'un document de certification ou d'un certificat.

La publication de la présente Norme internationale comprend le texte de l'ISO/CEI 17021:2006, y compris des
modifications consistant à supprimer les références pertinentes à l'ISO 19011, avec un nouveau texte ajoutant
des exigences spécifiques pour les audits tierce partie de certification et le management des compétences du
personnel impliqué dans les activités de certification.

vi © ISOI 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Les besoins des marchés spécifiques ont déjà été identifiés, et sont liés à un manque d'exigences spécifiques
et reconnues pour les auditeurs tierce partie des systèmes de management, tels que les systèmes de
management de la qualité, les systèmes de management environnemental ou les systèmes de management
de la sécurité des denrées alimentaires. Le manque d'exigences en matière de compétences pour les
auditeurs et dans la façon dont ces auditeurs sont managés et déployés a été identifié comme constituant un
point faible par les principales parties intéressées, dont des industriels.

La présente Norme internationale fournit un ensemble d'exigences pour l'audit des systèmes de management
à un niveau générique visant à fournir une détermination fiable de la conformité aux exigences relatives à la
certification, effectuée par une équipe d'audit compétente, avec des ressources adéquates, en suivant un
processus cohérent, et en reportant les résultats de façon méthodique.

La présente Norme internationale est applicable à l'audit et à la certification de tout type de système de
management. Il est admis que certaines des exigences, notamment celles se rapportant aux compétences
des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre aux attentes des
parties intéressées.

Dans la présente Norme internationale, le mot «doit» indique une exigence et l'expression «il convient de»
une recommandation.

© ISO 2011 – Tous droits réservés vii


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

Extract from GDN - This document is a working copy


Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

NORME INTERNATIONALE ISO/CEI 17021:2011(F)

Évaluation de la conformité — Exigences pour les organismes


procédant à l'audit et à la certification des systèmes de
management

1 Domaine d'application
La présente Norme internationale spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous
types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et
relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente
Norme internationale ne sont pas tenus de proposer tous les types de certification de système de
management.

La certification de systèmes de management (désignée dans la présente Norme internationale par


«certification») est une activité d'évaluation de la conformité par tierce partie (voir l'ISO/CEI 17000:2004, 5.5).
Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par
tierce partie (désignés dans la présente Norme internationale «organisme(s) de certification»).

NOTE 1 La certification d'un système de management est parfois appelée «enregistrement», et les organismes de
certification sont parfois désignés par «organismes d'enregistrement».

NOTE 2 Un organisme de certification peut être gouvernemental ou non gouvernemental (avec ou sans pouvoir
réglementaire).

NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.

2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).

ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire

ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux.

3 Termes et définitions

Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, l'ISO/CEI 17000
ainsi que les suivants s'appliquent.

3.1
client certifié
organisme dont le système de management a été certifié

© ISO 2011 – Tous droits réservés 1


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

3.2
impartialité
existence réelle et perceptible d'objectivité

NOTE 1 L'objectivité implique soit l'absence de conflit d'intérêts soit de trouver une solution à ces conflits de manière à
ne pas porter préjudice aux activités ultérieures de l'organisme de certification.

NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement, équilibre.

3.3
conseil en matière de système de management
contribution à l'élaboration, à la mise en œuvre ou à l'entretien d'un système de management

EXEMPLES

a) la préparation ou la production de manuels ou de procédures, et

b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application


d'un système de management.

NOTE Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à fournir des
informations et des conseils génériques disponibles dans le domaine public; c'est-à-dire qu'il convient de ne pas fournir de
solutions spécifiques à une entreprise.

3.4
audit tierce partie de certification
audit réalisé par un organisme d'audit indépendant du client et de l'utilisateur, aux fins de certifier le système
de management d'un client

NOTE 1 Dans les définitions qui suivent, le terme «audit» est utilisé dans un but de simplification pour se référer à
l'audit tierce partie de certification.

NOTE 2 Les audits tierce partie de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, mais peuvent aussi inclure des audits spéciaux.

NOTE 3 Les audits tierce partie de certification sont effectués, en règle générale, par les équipes d'audit des
organismes qui fournissent la certification de conformité aux exigences des normes de systèmes de management.

NOTE 4 Un audit est «conjoint» quand au moins deux organismes d'audit participent à l'audit d'un client unique.

NOTE 5 Un audit est «combiné» quand un client est audité sur les exigences d'au moins deux normes de système de
management.

NOTE 6 Un audit est «intégré» quand un client a intégré l'application des exigences d'au moins deux normes de
systèmes de management au sein d'un seul système de management et qu'il est audité sur au moins deux normes.

3.5
client
organisme dont le système de management est audité à des fins de certification

3.6
auditeur
personne qui réalise un audit

3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés

2 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

3.8
guide
personne nommée par le client pour assister l'équipe d'audit

3.9
observateur
personne qui accompagne l'équipe d'audit, mais qui n'audite pas

3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de système
de management

4 Principes

4.1 Généralités

4.1.1 Ces principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions à prendre dans des situations imprévues. Ces
principes ne constituent pas des exigences.

4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu'un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu'un système de management a été évalué de manière impartiale et compétente par une tierce
partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):

a) les clients des organismes de certification;

b) les clients des organismes dont les systèmes de management sont certifiés;

c) les pouvoirs publics;

d) les organismes non gouvernementaux; et

e) les consommateurs et le grand public.

4.1.3 Les principes permettant de donner confiance comprennent

⎯ l'impartialité,

⎯ la compétence,

⎯ la responsabilité,

⎯ la transparence,

⎯ la confidentialité,

⎯ le traitement des plaintes.

4.2 Impartialité

4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.

© ISO 2011 – Tous droits réservés 3


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.

4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas faussées par d'autres intérêts ou d'autres
parties.

4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:

a) les intérêts personnels: cette menace est due au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification;

b) l'autoévaluation: cette menace est due au fait qu'une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d'un client auquel l'organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l'autoévaluation;

c) la familiarité (ou confiance): cette menace est due au fait d'entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors
des audits;

d) l'intimidation: cette menace est due au fait qu'une personne ou une entité éprouve la sensation de subir
des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
hiérarchie.

4.3 Compétence

Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son système de management.

4.4 Responsabilité

4.4.1 C'est l'organisme client, et non l'organisme de certification, qui est responsable de la conformité aux
exigences de certification.

4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence
de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.

NOTE Tout audit est fondé sur un échantillonnage du système de management d'un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.

4.5 Transparence

4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de


certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification ainsi que sur le statut de la certification (c'est-à-dire l'octroi,
l'extension, le maintien, le renouvellement, la suspension, la réduction du périmètre certifié ou le retrait de la
certification) de tout organisme. La transparence est un principe fondé sur l'accessibilité ou la diffusion des
informations appropriées.

4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu'un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).

4 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

4.6 Confidentialité

Afin d'obtenir l'accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière appropriée
la conformité aux exigences de certification, il est essentiel que l'organisme de certification préserve la
confidentialité de toute information privée sur le client.

4.7 Traitement des plaintes

Les parties qui comptent sur la certification sont en droit de réclamer l'examen des plaintes et, si ces
dernières se révèlent acceptables, d'avoir confiance dans le fait que les plaintes seront traitées de manière
appropriée et qu'un effort adéquat sera consenti pour les résoudre. Un traitement efficace des plaintes
constitue un moyen important de protection de l'organisme de certification, de ses clients et autres utilisateurs
de certification contre tout type d'erreur, d'omission ou d'abus. La confiance dans les activités de certification
est préservée lorsque les plaintes sont traitées de manière appropriée.

NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement des
plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.

5 Exigences générales

5.1 Domaine juridique et contractuel

5.1.1 Responsabilité juridique

L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique de façon à
pouvoir être tenu juridiquement responsable de toutes ses activités de certification. Un organisme de
certification gouvernemental est considéré être une entité juridique sur la base de son statut gouvernemental.

5.1.2 Contrat de certification

Un organisme de certification doit disposer d'un contrat juridiquement exécutoire pour fournir des services de
certification à son client. En outre, lorsque l'organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l'organisme de certification doit assurer qu'il existe une relation contractuelle
juridiquement exécutoire entre l'organisme de certification octroyant la certification et délivrant le certificat et
tous les sites concernés par le domaine de la certification.

5.1.3 Responsabilité en matière de décisions de certification

L'organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière de
certification, y compris l'octroi, le maintien, le renouvellement, l'extension, la réduction, la suspension et le
retrait de la certification.

5.2 Gestion de l'impartialité

5.2.1 La direction de l'organisme de certification doit s'engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L'organisme de certification doit rédiger une déclaration
accessible au public par laquelle il reconnaît l'importance de l'impartialité dans l'exercice de ses activités de
certification des systèmes de management, et qu'il assure la bonne gestion des conflits d'intérêts et
l'objectivité de ses activités de certification de systèmes de management.

5.2.2 L'organisme de certification doit identifier, analyser et documenter les conflits d'intérêts potentiels
résultant de la certification envisagée, y compris tous les conflits dus à ses propres relations. Entretenir des
relations n'implique pas nécessairement qu'un organisme de certification soit confronté à un conflit d'intérêts.
Cependant, si une relation compromet l'impartialité, l'organisme de certification doit apporter la preuve de la
manière dont il élimine ou limite ce risque au minimum. Ces informations doivent être tenues à disposition du

© ISO 2011 – Tous droits réservés 5


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

comité spécifié en 6.2, et doivent couvrir toutes les sources potentielles de conflit d'intérêts identifiées, que ce
soit au sein de l'organisme de certification ou du fait des activités d'autres personnes, entités ou organismes.

NOTE Une relation qui compromet l'impartialité de l'organisme de certification peut résulter de facteurs tels que la
propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation financière, les contrats, la
commercialisation, le paiement de commissions sur les ventes ou autres incitations d'apporter de nouveaux clients, etc.

5.2.3 Lorsqu'une relation risque de compromettre l'impartialité de manière inacceptable (par exemple dans
le cas d'une filiale appartenant 100 % à l'organisme de certification demandant une certification de sa société
mère), la prestation de certification ne doit pas être fournie.

NOTE Voir Note de 5.2.2.

5.2.4 Un organisme de certification ne doit pas certifier les activités de certification de systèmes de
management d'un autre organisme de certification.

NOTE Voir Note de 5.2.2.

5.2.5 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations de conseil en matière de système de management. Cela s'applique
également à une partie d'une entité gouvernementale identifiée comme organisme de certification.

5.2.6 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations d'audits internes à des clients certifiés. Un organisme de certification ne
doit pas certifier un système de management pour lequel il a effectué des audits internes, et ce pendant une
durée de deux ans suivant la fin de la prestation. Cela s'applique également à une partie d'une entité
gouvernementale identifiée comme organisme de certification.

NOTE Voir Note de 5.2.2.

5.2.7 Un organisme de certification ne doit pas certifier le système de management d'un client ayant
bénéficié de conseils en matière de système de management ou d'audits internes pour le même système de
management, lorsque la relation qui existe entre l'organisme de conseil et l'organisme de certification
constitue une menace inacceptable au regard de l'impartialité de l'organisme de certification.

NOTE 1 L'un des moyens permettant de ramener la menace au regard de l'impartialité à un niveau acceptable
consiste à laisser passer une période minimale de deux ans après la fin de la prestation de conseil en matière de système
de management.

NOTE 2 Voir Note de 5.2.2.

5.2.8 L'organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en matière
de système de management dans la mesure où ce fait constitue une menace inacceptable à l'impartialité de
l'organisme de certification (voir 7.5). Cela ne s'applique pas aux auditeurs individuels sous contrat tel que
spécifié en 7.3.

5.2.9 Les activités de l'organisme de certification ne doivent pas être présentées ou proposées comme
liées aux activités d'un organisme de conseil en matière de système de management. L'organisme de
certification doit prendre des mesures appropriées pour éviter qu'un organisme de conseil ne déclare ou ne
suggère que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à
un organisme de certification donné. De même, un organisme de certification ne doit pas déclarer ou suggérer
que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à un
organisme de conseil spécifié.

5.2.10 Pour garantir l'absence de conflit d'intérêts, le personnel s'étant chargé d'une activité de conseil, y
compris les personnes agissant dans une structure de direction, ne doit pas participer, pour le compte de
l'organisme de certification, à un audit ou à des activités de certification s'il a pris part à des activités de
conseil sur le même système de management vis-à-vis du client concerné dans les deux années qui suivent
la fin de l'activité de conseil.

6 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

5.2.11 L'organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est
menacée par les actions d'individus, d'organismes ou d'organisations.

5.2.12 L'ensemble du personnel de l'organisme de certification, qu'il soit interne ou externe, et les comités
qui pourraient influencer les activités de certification, doivent agir de manière impartiale et être libres de toutes
pressions, commerciales, financières ou autres qui pourraient compromettre leur impartialité.

5.2.13 Les organismes de certification doivent exiger du personnel, qu'il soit interne ou externe, de leur
révéler toute situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l'organisme de
certification un conflit d'intérêts. Les organismes de certification doivent utiliser ces informations comme
données d'entrée pour identifier les menaces que font peser sur l'impartialité les activités de ce personnel ou
des organismes qui les emploient et ne doivent pas faire appel à ce personnel, qu'il soit interne ou externe,
sauf s'ils peuvent apporter la preuve qu'il n'y a pas de conflit d'intérêts.

5.3 Responsabilité et situation financière

5.3.1 L'organisme de certification doit apporter la preuve qu'il a évalué les risques significatifs résultant de
ses activités de certification et qu'il a pris les dispositions appropriées (par exemple assurance ou réserves)
pour couvrir les responsabilités résultant de ses opérations dans chacun de ses domaines d'activités et pour
chacune des zones géographiques où il opère.

5.3.2 L'organisme de certification doit évaluer sa situation financière et ses sources de revenus et doit
apporter la preuve au comité spécifié en 6.2 qu'il est libre, dès l'origine et par la suite, de toutes pressions
commerciales, financières ou autres susceptibles de compromettre son impartialité.

6 Exigences structurelles

6.1 Organisation et direction

6.1.1 L'organisme de certification doit documenter l'organisation, les devoirs, la responsabilité et l'autorité
de la direction et des autres membres du personnel de certification ainsi que de tous les comités. Lorsque
l'organisme de certification est une partie définie d'une entité juridique, la structure doit indiquer l'autorité
hiérarchique et la relation avec les autres parties au sein de la même entité juridique.

6.1.2 L'organisme de certification doit identifier la direction (comité directeur, groupe de personnes ou
personne) ayant l'autorité globale et la responsabilité de chacun des points suivants:

a) l'élaboration de politiques relatives au fonctionnement de l'organisme;

b) la surveillance de la mise en œuvre des politiques et des procédures;

c) la surveillance de la situation financière de l'organisme;

d) le développement des prestations et programmes de certification de systèmes de management;

e) la réalisation des audits, certification et traitement des plaintes;

f) les décisions en matière de certification;

© ISO 2011 – Tous droits réservés 7


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

g) la délégation de l'autorité aux comités ou individus, lorsque nécessaire, chargés d'entreprendre en son
nom des activités définies;

h) les dispositions contractuelles;

i) la fourniture des ressources appropriées pour les activités de certification.

6.1.3 L'organisme de certification doit disposer de règles formelles régissant la désignation, les missions et
le fonctionnement de tous les comités engagés dans les activités de certification.

6.2 Comité pour la préservation de l'impartialité

6.2.1 La structure de l'organisme de certification doit préserver l'impartialité de ses activités et prévoir un
comité pour

a) l'aider à élaborer les politiques en termes d'impartialité de ses activités de certification,

b) contrebalancer toute tendance d'un organisme de certification à laisser des considérations commerciales
ou autres entraver la fourniture objective et fiable de la prestation de certification,

c) donner des conseils sur des sujets affectant la confiance dans la certification, y compris la transparence
et son image, et

d) effectuer une revue, au moins une fois par an, sur l'impartialité des processus d'audit, de certification et
de prise de décision qui lui sont propres.

D'autres tâches ou devoirs peuvent être confiés au comité, dès lors qu'ils ne compromettent pas son rôle
essentiel qui est de préserver son impartialité.

6.2.2 La composition, les missions, les devoirs, les pouvoirs, la compétence des membres et les
responsabilités de ce comité doivent être formellement documentés et avoir été validés par la direction de
l'organisme de certification afin de garantir

a) l'équilibre des intérêts représentés sans qu'aucun puisse prédominer (les employés internes ou externes
de l'organisme de certification sont considérés comme représentant un seul intérêt et ne doivent pas être
prédominants),

b) l'accès à toutes les informations nécessaires pour permettre au comité de remplir ses fonctions
(voir également 5.2.2 et 5.3.2), et

c) le droit du comité, si ses recommandations ne sont pas prises en compte par la direction de l'organisme
de certification, d'entreprendre une action indépendante (par exemple en informant les autorités, les
organismes d'accréditation et les parties prenantes). En entreprenant une action indépendante, les
comités doivent respecter les exigences de confidentialité stipulées en 8.5 relatives au client et à
l'organisme de certification.

6.2.3 Bien que ce comité ne puisse pas représenter tous les intérêts, il convient qu'un organisme de
certification identifie et sollicite les intérêts essentiels. Ces intérêts peuvent comprendre les parties suivantes:
les clients de l'organisme de certification, les clients des organismes dont les systèmes de management sont
certifiés, les représentants des organismes professionnels du secteur, les représentants des organismes
gouvernementaux chargés de la réglementation ou autres services gouvernementaux, ou les représentants
d'organismes non gouvernementaux, y compris les organisations de consommateurs.

8 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

7 Exigences relatives aux ressources

7.1 Compétence de la direction et du personnel

7.1.1 Considérations générales

L'organisme de certification doit disposer de processus lui garantissant que le personnel a une connaissance
appropriée des types de systèmes de management et des zones géographiques qui entrent dans son
périmètre d'action.

Il doit déterminer les compétences requises pour chaque secteur technique (correspondant au programme de
certification spécifique) et pour chaque fonction de certification.

Il doit déterminer les moyens de démontrer cette compétence avant d'exécuter des fonctions spécifiques.

7.1.2 Détermination des critères de compétence

L'organisme de certification doit disposer d'un processus documenté pour déterminer les critères de
compétences des membres du personnel impliqués dans le management et la réalisation des audits et de la
certification. Les critères de compétence doivent être déterminés en fonction des exigences propres à chaque
type de norme ou de spécification de système de management, pour chaque secteur technique et pour
chaque fonction du processus de certification. Les données de sortie du processus doivent être les critères
documentés des connaissances et du savoir-faire exigés, nécessaires à la réalisation efficace des missions
d'audit et de certification à remplir pour atteindre les résultats escomptés. L'Annexe A spécifie les
connaissances et le savoir-faire qu'un organisme de certification doit définir pour remplir des fonctions
spécifiques. Quand des critères de compétences supplémentaires ont été déterminés pour un programme de
certification spécifique, par exemple dans l'ISO/TS 22003 (Systèmes de management de la sécurité des
denrées alimentaires), ce sont ces critères supplémentaires qui doivent s'appliquer.

NOTE L'expression «secteur technique» peut s'appliquer de façon différente en fonction de la norme de système de
management considérée. Quel que soit le système de management, l'expression s'applique aux produits et processus
entrant dans le domaine d'application de la norme du système de management. Les secteurs techniques peuvent être
définis par un programme de certification spécifique (par exemple l'ISO/TS 22003); sinon, ils peuvent être déterminés par
l'organisme de certification. Ci-dessous figurent des exemples d'application de l'expression «secteur technique» pour
différents types de systèmes de management:

⎯ Pour une norme de système de management de la qualité, l'expression «secteur technique» se rapporte aux
processus nécessaires pour satisfaire les attentes du client et les exigences légales et réglementaires applicables
aux produits et services de l'organisme.

⎯ Pour une norme de système de management environnemental, l'expression «secteur technique» se rapporte aux
catégories d'activités, de produits et de services relatifs aux aspects environnementaux affectant l'air, l'eau, la terre,
les ressources naturelles, la flore, la faune et les êtres humains.

⎯ Pour une norme de système de management de la sécurité d'une chaîne logistique, l'expression «secteur
technique» se rapporte aux processus liés aux risques encourus en matière de sécurité des marchandises, comme
le transport, le stockage et l'information.

⎯ Pour une norme de système de management de la sécurité de l'information, l'expression «secteur technique» se
rapporte, entre autres, aux catégories de technologies et pratiques de sécurité de l'information, aux activités de
technologie de communication et d'information et aux activités commerciales liées au choix de contrôles de sécurité
appropriés et proportionnés qui protègent les actifs d'information.

© ISO 2011 – Tous droits réservés 9


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

7.1.3 Processus d'évaluation

L'organisme de certification doit disposer de processus documentés d'évaluation initiale des compétences et
de la surveillance continue des compétences et des performances de tous les membres du personnel
impliqués dans le management et la réalisation des audits et de la certification, en appliquant les critères de
compétence déterminés. L'organisme de certification doit démontrer que ses méthodes d'évaluation sont
efficaces. Les données de sortie de ces processus doivent permettre d'identifier le personnel ayant démontré
le niveau de compétences requis pour les différentes fonctions du processus d'audit et de certification.

NOTE L'Annexe B décrit un certain nombre de méthodes d'évaluation pouvant servir à évaluer les connaissances et
le savoir-faire.

7.1.4 Autres considérations

7.1.4.1 En déterminant les exigences de compétence pour son personnel chargé des différentes activités
de certification, l'organisme de certification doit inclure des fonctions assumées par la direction et le personnel
administratif en plus de celles directement liées aux activités d'audit et de certification.

7.1.4.2 L'organisme de certification doit pouvoir faire appel à l'expertise technique nécessaire pour
conseiller sur des sujets relevant directement de la certification de domaines techniques, de types de système
de management et des zones géographiques qui entrent dans son périmètre d'action. Ces conseils peuvent
être prodigués par des personnes extérieures ou par le personnel de l'organisme de certification.

7.2 Personnel intervenant dans les activités de certification

7.2.1 L'organisme de certification doit, dans le cadre de sa propre organisation, employer un personnel
ayant les compétences suffisantes pour gérer le type et la gamme de programmes d'audit ainsi que les autres
tâches de certification effectués.

7.2.2 L'organisme de certification doit employer ou pouvoir faire appel à un nombre suffisant d'auditeurs, y
compris pour les responsables d'équipe d'audit et les experts techniques, pour couvrir la totalité de ses
activités et traiter le volume de travail représenté par les audits à effectuer.

7.2.3 L'organisme de certification doit définir clairement pour chaque personne concernée quels sont ses
devoirs, ses responsabilités et ses autorités.

7.2.4 L'organisme de certification doit disposer de processus définis lui permettant de sélectionner, former,
autoriser formellement les auditeurs et choisir les experts techniques auxquels il fait appel dans le processus
de certification. L'évaluation initiale des compétences d'un auditeur doit passer par une démonstration de sa
capacité à mettre en œuvre, durant les audits, les connaissances et savoir-faire nécessaires qui sont
déterminés par un évaluateur compétent observant l'auditeur durant un audit.

NOTE Pendant le processus de sélection et de formation décrit ci-dessus, les comportements personnels souhaités
peuvent être pris en compte. Ce sont des caractéristiques qui influencent la capacité d'une personne à réaliser des
fonctions spécifiques. Par conséquent, le fait de connaître les comportements des personnes permet à un organisme de
certification de tirer avantage de leurs forces et de réduire au minimum l'impact de leurs faiblesses. L'Annexe D décrit les
comportements personnels souhaités qui présentent de l'importance pour le personnel impliqué dans les activités de
certification.

7.2.5 L'organisme de certification doit disposer d'un processus pour obtenir et démontrer l'efficacité des
audits, comprenant le déploiement d'auditeurs et de responsables d'équipe d'audit ayant aussi bien des
compétences et connaissances génériques que des compétences et connaissances spécifiques nécessaires
pour auditer dans des domaines techniques particuliers.

10 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

7.2.6 L'organisme de certification doit assurer que les auditeurs (et, le cas échéant, les experts techniques)
connaissent les processus d'audit, les exigences de la certification ainsi que les autres exigences applicables.
L'organisme de certification doit permettre aux auditeurs et aux experts techniques d'avoir accès à une
collection de procédures documentées à jour donnant des instructions d'audit et toutes les informations
pertinentes sur les opérations de certification.

7.2.7 L'organisme de certification doit faire appel à des auditeurs et à des experts techniques uniquement
pour les activités de certification où ils ont fait la preuve de leurs compétences.

NOTE L'affectation des auditeurs et des experts techniques aux équipes chargées de réaliser des audits spécifiques
est traitée en 9.1.3.

7.2.8 L'organisme de certification doit identifier les besoins en formation et proposer des formations
spécifiques afin que ses auditeurs, experts techniques et autres personnes intervenant dans les activités de
certification aient les compétences requises pour les fonctions qu'ils exercent.

7.2.9 Le groupe ou la personne qui prend la décision de l'octroi, du maintien, du renouvellement, de


l'extension, de la réduction, de la suspension ou du retrait de la certification doit comprendre les exigences
applicables du fait de la norme et de la certification, et doit avoir démontré ses compétences pour évaluer les
processus d'audit et les recommandations correspondantes de l'équipe d'audit.

7.2.10 L'organisme de certification doit assurer des performances satisfaisantes de la part de tout le
personnel impliqué dans les activités d'audit et de certification. Il doit disposer de procédures documentées et
de critères de surveillance et de mesure des performances de toutes les personnes impliquées, en se fondant
sur la fréquence de leurs interventions et sur le niveau de risque lié à leurs activités. L'organisme de
certification doit notamment procéder à une revue de compétence de son personnel à la lumière de leurs
performances afin d'identifier les besoins de formation.

7.2.11 Les procédures documentées de surveillance des auditeurs doivent prévoir une combinaison
d'observations sur site, de revues des rapports d'audit et de retours d'information des clients ou du marché et
doivent être définies dans des exigences documentées. Cette surveillance doit être conçue de façon à
perturber au minimum le déroulement normal des processus de certification, notamment du point de vue du
client.

7.2.12 L'organisme de certification doit observer régulièrement les performances de chaque auditeur sur site.
La fréquence des observations sur site doit être établie en fonction du besoin déterminé à partir de l'ensemble
des informations recueillies pendant le processus de surveillance.

7.3 Intervention d'auditeurs et d'experts techniques externes individuels

L'organisme de certification doit exiger des auditeurs et des experts techniques externes de signer un accord
aux termes duquel ils s'engagent à se conformer aux politiques et aux procédures applicables, définies par
l'organisme de certification. L'accord doit aborder les aspects liés à la confidentialité et à l'indépendance vis-à-
vis des intérêts commerciaux et autres, et exiger des auditeurs et experts techniques externes qu'ils lui
indiquent tout lien existant ou passé qu'ils entretiennent ou ont pu entretenir avec l'organisme qu'ils peuvent
être amenés à auditer.

NOTE L'intervention d'auditeurs et d'experts techniques liés par ce type d'accord ne constitue pas une externalisation
de l'audit, tel que décrit en 7.5.

7.4 Enregistrements relatifs au personnel

L'organisme de certification doit conserver des enregistrements à jour de toutes les qualifications, formations,
expérience, affiliations, statut professionnel, domaines de compétence de chaque personne ainsi que de toute
activité éventuelle de conseil ayant été effectués. Ces enregistrements concernent également la direction et le
personnel administratif en plus de celles directement liées à l'évaluation et à la certification.

© ISO 2011 – Tous droits réservés 11


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

7.5 Externalisation

7.5.1 L'organisme de certification doit avoir un processus décrivant les conditions dans lesquelles une
externalisation peut se produire (sous-traitance à un autre organisme d'une partie des activités de certification
pour le compte de l'organisme de certification). L'organisme de certification doit disposer d'un accord
juridiquement exécutoire couvrant les dispositions adoptées, y compris la confidentialité et les conflits
d'intérêts, avec chaque organisme sous-traitant.

NOTE 1 La sous-traitance peut se faire à d'autres organismes de certification. L'intervention d'auditeurs et d'experts
techniques sous contrat est traitée en 7.3.

NOTE 2 Pour les besoins de la présente Norme internationale, les termes «externalisation» et «sous-traitance» sont
considérés comme synonymes.

7.5.2 Les décisions quant à la délivrance, le maintien, le renouvellement, l'extension, la réduction, la


suspension ou le retrait d'une certification ne doivent jamais être externalisées.

7.5.3 L'organisme de certification doit

a) assumer l'entière responsabilité de toutes les activités externalisées auprès d'un autre organisme,

b) assurer que l'organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, respectent les
exigences de l'organisme de certification ainsi que les dispositions applicables de la présente Norme
internationale, y compris en ce qui concerne les compétences, l'impartialité et la confidentialité, et

c) assurer que l'organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, ne sont pas liés,
directement ou par le biais d'un autre employeur, à l'organisme à auditer d'une manière susceptible de
compromettre l'impartialité.

7.5.4 L'organisme de certification doit disposer de procédures documentées pour la qualification et la


surveillance de tous les sous-traitants auxquels il fait appel pour les activités de certification et doit assurer
que les enregistrements relatifs aux compétences des auditeurs et des experts techniques sont conservés.

8 Exigences relatives aux informations

8.1 Informations accessibles au public

8.1.1 L'organisme de certification doit conserver et tenir accessible, ou fournir sur demande, les
informations décrivant ses processus d'audit et de certification pour la délivrance, le maintien, l'extension, le
renouvellement, la réduction, la suspension ou le retrait de la certification, ainsi que pour les activités de
certification, les types de systèmes de management et les zones géographiques qui entrent dans son
périmètre d'action.

8.1.2 L'organisme de certification doit s'assurer que les informations qu'il fournit au client ou au marché, y
compris la publicité, ne sont ni fausses ni trompeuses.

8.1.3 L'organisme de certification doit tenir accessibles au public les informations relatives à l'octroi, à la
suspension ou au retrait des certifications.

8.1.4 L'organisme de certification doit fournir, sur demande de toute partie, un moyen de vérifier la validité
d'une certification donnée.

NOTE 1 Si les informations émanent de plusieurs sources (par exemple sous forme imprimée ou électronique ou en
associant les deux formes), un système assurant la traçabilité et l'absence d'ambiguïté entre les sources peut être mis en
œuvre (par exemple système de numérotation unique ou liens hypertexte sur l'Internet).

NOTE 2 Dans certains cas exceptionnels (par exemple pour des raisons de sécurité), l'accès à certaines informations
peut être limité à la demande du client.

12 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

8.2 Documents de certification

8.2.1 L'organisme de certification doit fournir des documents de certification au client certifié par tous les
moyens de son choix.

8.2.2 La date d'entrée en vigueur mentionnée sur un document de certification ne doit pas être antérieure à
la date de la décision de certification.

8.2.3 Le ou les documents de certification doivent permettre d'identifier

a) le nom et l'adresse de chaque client dont le système de management est certifié (ou bien l'adresse du
siège social et celle de tous les sites rattachés à une certification multisite),

b) la date de la délivrance, de l'extension ou du renouvellement de la certification,

c) la date d'expiration ou la date prévue pour un renouvellement coïncidant avec le cycle de renouvellement
de la certification,

d) un numéro d'identification unique,

e) la norme et/ou le document normatif, y compris le numéro de la version et/ou de la révision utilisée pour
l'audit du client certifié,

f) le périmètre de la certification en fonction du produit (ou service), du processus, etc., tel que défini pour
chaque site,

g) le nom, l'adresse et la marque de certification de l'organisme de certification; d'autres marques (telles que
la marque d'accréditation) peuvent être utilisées sous réserve qu'elles ne soient ni trompeuses, ni
ambiguës,

h) toute autre information requise par la norme et/ou tout autre document normatif utilisé pour la certification,

i) dans le cas d'une révision de documents de certification, un moyen de distinguer les versions en vigueur
par rapport aux versions précédentes périmées.

8.3 Répertoire des clients certifiés

L'organisme de certification doit conserver et rendre accessible au public, ou fournir sur demande, par le
moyen de son choix, un répertoire des certifications validées qui doit au minimum indiquer, pour chaque client
certifié, le nom, le document normatif applicable, le périmètre, le lieu (par exemple ville et pays), et dans le
cas d'une certification multisite, indiquer le lieu du siège social ainsi que celui de tous les sites rattachés.

NOTE Le répertoire reste la propriété exclusive de l'organisme de certification.

8.4 Référence à la certification et utilisation des marques

8.4.1 Un organisme de certification doit avoir une politique régissant l'utilisation de toute marque qu'il
autorise des clients certifiés à utiliser. Cette politique doit, entre autres, garantir la traçabilité vers l'organisme
de certification. Il ne doit y avoir aucune ambiguïté dans la marque ou le texte d'accompagnement en ce qui
concerne l'objet de la certification et l'organisme qui a accordé la certification. Cette marque ne doit pas être
utilisée sur un produit ou un emballage de produit visible par le consommateur ou de toute autre manière
pouvant être interprétée comme une indication de la conformité dudit produit.

NOTE L'ISO/CEI 17030 fournit les exigences relatives à l'utilisation des marques de tierces parties.

8.4.2 Un organisme de certification ne doit pas autoriser l'apposition de ses marques sur les rapports de
laboratoire d'essai, d'étalonnage ou de contrôle dans la mesure où des rapports de ce type sont considérés
dans ce contexte comme des produits.

© ISO 2011 – Tous droits réservés 13


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

8.4.3 L'organisme de certification doit exiger que l'organisme client

a) se conforme aux exigences de l'organisme de certification lorsqu'il fait référence au statut de la


certification dans ses moyens de communication, tels que Internet, brochures ou publicité et autres
documents,

b) ne fait ou ne permet de faire aucune déclaration trompeuse concernant sa certification,

c) n'utilise ou ne permet d'utiliser de manière abusive aucun document de certification, dans sa totalité ou
en partie,

d) cesse, en cas de suspension ou de retrait de sa certification, toute publicité qui se réfère à un statut de
certifié, comme exigé par l'organisme de certification (voir 9.6.3 et 9.6.6),

e) modifie tout objet de publicité en cas de réduction du périmètre de la certification,

f) ne laisse pas utiliser la référence à la certification de son système de management pour laisser supposer
qu'un produit (y compris les services) ou un processus est approuvé par l'organisme de certification,

g) ne sous-entend pas que la certification s'applique à des activités non couvertes par le périmètre de la
certification, et

h) n'utilise pas sa certification de façon qui puisse nuire à la réputation de l'organisme de certification et/ou
du système de certification et compromette la confiance que lui accorde le public.

8.4.4 L'organisme de certification doit exercer un contrôle approprié des droits de propriété et doit agir pour
traiter toute référence incorrecte au statut de la certification ou tout usage abusif des documents et des
marques de certification ou des rapports d'audit.

NOTE Une telle action pourrait entraîner une demande de correction et d'action corrective, la suspension ou le retrait
du certificat, la publication de l'infraction et, si approprié, une action en justice.

8.5 Confidentialité

8.5.1 Dans le cadre des engagements juridiquement exécutoires, l'organisme de certification doit avoir une
politique et prendre des mesures pour préserver la confidentialité des informations obtenues ou générées au
cours de ses activités de certification à tous les niveaux de son organisation, y compris celui des comités et
des organismes ou personnes externes agissant en son nom.

8.5.2 L'organisme de certification doit indiquer au client, à l'avance, les informations qu'il a l'intention de
rendre publiques. Toutes les autres informations, à l'exception de celles rendues publiques par le client,
doivent être considérées comme confidentielles.

8.5.3 Sauf spécification contraire dans la présente Norme internationale, les informations relatives à un
client ou à une personne en particulier ne doivent pas être divulguées à un tiers sans le consentement écrit du
client ou de la personne qui les a fournies. Lorsqu'un organisme de certification est tenu par la loi de divulguer
des informations confidentielles à un tiers, le client ou la personne en question doit être préalablement avisé,
dans les limites spécifiées par la loi, des informations qui seront fournies.

8.5.4 Les informations relatives au client obtenues par d'autres sources que le client lui-même (par exemple
plaignant, autorités de réglementation) doivent être considérées comme confidentielles, conformément à la
politique de l'organisme de certification.

8.5.5 Le personnel, mais aussi tous les membres des comités, les fournisseurs, le personnel d'organismes
ou de personnes externes agissant au nom de l'organisme de certification, doivent préserver la confidentialité
de toutes les informations obtenues ou générées au cours des activités de l'organisme de certification.

14 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

8.5.6 L'organisme de certification doit disposer et utiliser des équipements et des installations lui permettant
d'assurer en toute sécurité le traitement des informations confidentielles (par exemple documents,
enregistrements).

8.5.7 Lorsque des informations confidentielles sont divulguées à d'autres organismes (par exemple
organisme d'accréditation, groupe participant à un système particulier d'évaluation par des pairs), l'organisme
de certification doit en aviser son client.

8.6 Échange d'informations entre l'organisme de certification et ses clients

8.6.1 Informations relatives aux processus et aux exigences de certification

L'organisme de certification doit, fournir à ses clients les informations suivantes à jour:

a) une description détaillée du processus de certification initiale et en cours, y compris la demande, les
audits initiaux, les audits de surveillance et le processus d'octroi, de maintien, de réduction, d'extension,
de suspension, de retrait et de renouvellement de la certification;

b) les exigences normatives relatives à la certification;

c) des informations relatives aux tarifs correspondants à la demande, à la certification initiale et au maintien
de la certification;

d) les exigences de l'organisme de certification pour les clients potentiels:

1) se conformer aux exigences de certification;

2) prendre toutes les dispositions nécessaires pour la conduite des audits, y compris les dispositions en
vue de l'examen de la documentation et de l'accès à tous les processus et zones, enregistrements et
personnels pour les besoins de la certification initiale, des audits de surveillance, du renouvellement
de la certification et du traitement des plaintes; et

3) prendre, le cas échéant, des dispositions pour accepter les observateurs (par exemple les auditeurs
d'accréditation ou les auditeurs en cours de formation);

e) les documents décrivant les droits et devoirs des clients certifiés, y compris les exigences à respecter
pour faire référence à sa certification dans sa communication, conformément aux exigences de 8.4;

f) des informations relatives aux procédures de traitement des plaintes et appels.

8.6.2 Notification des modifications émanant d'un organisme de certification

L'organisme de certification doit dûment aviser ses clients certifiés de toute modification qu'il envisage
d'apporter à ses exigences en matière de certification. Il doit vérifier que chaque client certifié se conforme
aux nouvelles exigences.

NOTE Des dispositions contractuelles à établir avec les clients certifiés peuvent s'avérer nécessaires pour assurer la
mise en application de ces exigences. Un modèle de contrat de licence pour l'utilisation de la certification, comprenant les
aspects liés à une notification de modifications, si elle est applicable, est disponible dans l'ISO/CEI Guide 28:2004,
Annexe E.

© ISO 2011 – Tous droits réservés 15


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

8.6.3 Notification des modifications émanant d'un client

L'organisme de certification doit prendre des dispositions exécutoires pour assurer que le client certifié
l'informe rapidement des questions qui peuvent compromettre la capacité du système de management à
continuer de se conformer aux exigences de la norme utilisée pour la certification, par exemple des
modifications concernant

a) son statut juridique, commercial, ses propriétaires ou l'organisation,

b) l'organisation et le management (par exemple le personnel clé tel que les dirigeants, les décisionnaires
ou les techniciens),

c) les coordonnées de la personne à contacter et les sites principaux,

d) le périmètre des opérations réalisées dans le cadre du système de management certifié, et

e) les modifications importantes apportées au système de management et aux processus.

NOTE Un modèle de contrat de licence pour l'utilisation de la certification, comprenant les aspects liés à une
notification de modifications, si elle est applicable, est disponible dans le Guide ISO/CEI 28:2004, Annexe E.

9 Exigences relatives aux processus

9.1 Exigences générales

9.1.1 Programme d'audit

9.1.1.1 Un programme d'audit d'un cycle complet de certification doit être élaboré pour identifier
clairement la (les) activité(s) d'audit requise(s) pour démontrer que le système de management du client
répond aux exigences de la certification à la (aux) norme(s) ou à l'(aux) autre(s) document(s) normatif(s)
choisi(s).

9.1.1.2 Le programme d'audit doit comprendre un audit initial en deux étapes, des audits de surveillance
durant la première et la deuxième année et un audit de renouvellement de certification durant la troisième
année avant l'expiration de la certification. Le cycle de certification de trois ans commence avec la décision de
certification ou de renouvellement de la certification. La détermination du programme d'audit et tout
ajustement ultérieur doivent tenir compte de la taille de l'organisation, du périmètre et de la complexité du
système de management du client, des produits et des processus ainsi que du niveau démontré d'efficacité
du système de management et des résultats d'audits précédents.

NOTE 1 L'Annexe E présente un organigramme d'un audit et d'un processus de certification de tierce partie typique.

NOTE 2 L'Annexe F énumère des éléments supplémentaires qui peuvent être pris en compte lors de l'élaboration ou
de la révision d'un programme d'audit.

9.1.1.3 Lorsqu'un organisme de certification tient compte de certifications déjà accordées au client ou
d'autres audits déjà réalisés, il doit réunir suffisamment d'informations vérifiables pour justifier et enregistrer
tout ajustement du programme d'audit.

9.1.2 Plan d'audit

9.1.2.1 Généralités

L'organisme de certification doit assurer qu'un plan d'audit est établi pour chaque audit identifié dans le
programme d'audit pour servir de base à un accord concernant la réalisation et la programmation des activités
d'audit. Ce plan d'audit doit être fondé sur des exigences documentées de l'organisme de certification.

16 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.1.2.2 Détermination des objectifs, du périmètre et des critères de l'audit

9.1.2.2.1 Les objectifs de l'audit doivent être déterminés par l'organisme de certification. Le périmètre de
l'audit et ses critères, y compris toutes modifications, doivent être établis par l'organisme de certification après
discussion avec le client.

9.1.2.2.2 Les objectifs de l'audit doivent décrire ce qui doit être réalisé par l'audit et doivent comporter

a) la détermination de la conformité de tout ou parties du système de management du client, aux critères de


l'audit,
b) l'évaluation de la capacité du système de management pour assurer que l'organisation du client répond
aux exigences légales, réglementaires et contractuelles applicables,
NOTE Un audit de certification d'un système de management n'est pas un audit de conformité juridique.

c) l'évaluation de l'efficacité du système de management pour assurer que l'organisation du client répond en
permanence à ses objectifs spécifiés, et
d) le cas échéant, l'identification des parties du système de management susceptibles d'être améliorées.

9.1.2.2.3 Le périmètre de l'audit doit décrire l'étendue et les limites de l'audit, comme des emplacements
physiques, des unités organisationnelles, des activités et des processus à auditer. Lorsque le processus initial
ou de renouvellement de la certification comprend plus d'un audit (par exemple lorsqu'il couvre différents
emplacements), le périmètre de l'audit individuel peut ne pas couvrir la totalité du périmètre de la certification,
mais l'ensemble des audits doit correspondre au périmètre du document de certification.

NOTE L'Annexe F énumère des éléments supplémentaires qui peuvent être pris en compte lors de la détermination
ou de la révision du périmètre de l'audit.

9.1.2.2.4 Les critères d'audit doivent servir de référence pour la détermination de la conformité et doivent
comprendre

⎯ les exigences d'un document normatif défini sur les systèmes de management, et

⎯ les processus définis et la documentation du système de management élaboré par le client.

9.1.2.3 Préparation du plan d'audit

Le plan d'audit doit être adapté aux objectifs et au périmètre de l'audit. Le plan d'audit doit au moins inclure ou
faire référence à ce qui suit:

a) les objectifs de l'audit;

b) les critères de l'audit;

c) le périmètre de l'audit, y compris l'identification des unités organisationnelles et fonctionnelles ou des


processus à auditer;

d) les dates des audits et les sites sur lesquels les activités d'audit sur site doivent être menées, y compris
les visites sur les sites temporaires, le cas échéant;

e) le temps prévu et la durée des activités d'audit sur site;

f) Les rôles et les responsabilités des membres de l'équipe d'audit et des personnes les accompagnant.

NOTE 1 Les informations du plan d'audit peuvent figurer sur plusieurs documents.

NOTE 2 L'Annexe F énumère des éléments supplémentaires qui peuvent être pris en compte lors de la préparation ou
de la révision du programme d'audit.

© ISO 2011 – Tous droits réservés 17


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.1.3 Constitution de l'équipe d'audit et affectation des missions

9.1.3.1 L'organisme de certification doit disposer d'un processus de sélection et de désignation de


l'équipe d'audit, y compris le responsable de l'équipe d'audit, tenant compte des compétences nécessaires
pour atteindre les objectifs de l'audit. S'il n'y a qu'un seul auditeur, l'auditeur doit avoir les compétences pour
réaliser les tâches d'un responsable d'équipe d'audit applicables à l'audit concerné.

9.1.3.2 En décidant de la taille et de la composition de l'équipe d'audit, les points suivants doivent être
pris en considération:

a) les objectifs de l'audit, son périmètre, ses critères, et la durée estimée de l'audit;

b) si l'audit est un audit combiné, intégré ou conjoint;

c) les compétences d'ensemble de l'équipe d'audit pour atteindre les objectifs de l'audit;

d) les exigences de la certification (y compris toutes les exigences légales, réglementaires ou contractuelles
applicables);

e) la langue et la culture;

f) si les membres de l'équipe d'audit ont été amenés auparavant à auditer le système de management du
client.

9.1.3.3 Les connaissances et le savoir-faire nécessaires du responsable de l'équipe d'audit et des


auditeurs peuvent être complétés par des experts techniques, des traducteurs et des interprètes qui doivent
opérer sous la direction d'un auditeur. Lorsqu'il est fait appel à des traducteurs ou des interprètes, ceux-ci
doivent être sélectionnés de sorte à ne pas influencer l'audit outre mesure.

NOTE Les critères de sélection des experts techniques sont déterminés au cas par cas par les besoins de l'équipe
d'audit et le périmètre de l'audit.

9.1.3.4 Des auditeurs en formation peuvent être intégrés à l'équipe d'audit en tant que participants, à
condition qu'un auditeur soit nommé comme évaluateur. L'évaluateur doit avoir les compétences nécessaires
pour prendre le contrôle des tâches et assurer la responsabilité finale des actions et des résultats de l'auditeur
en formation.

9.1.3.5 Le responsable de l'équipe d'audit, en concertation avec l'équipe d'audit, doit attribuer à chaque
membre de l'équipe la responsabilité d'auditer des processus, des fonctions, des sites, des domaines ou des
activités spécifiques. Ces distributions de tâches doivent tenir compte des compétences, de l'utilisation réelle
et efficace de l'équipe d'audit, ainsi que des différents rôles et responsabilités des auditeurs, des auditeurs en
formation et des experts techniques. Des changements à la distribution des tâches peuvent se faire au fur et à
mesure de l'avancée de l'audit pour assurer l'atteinte des objectifs de l'audit.

9.1.4 Détermination de la durée de l'audit

9.1.4.1 L'organisme de certification doit disposer de procédures documentées pour la détermination de la


durée de l'audit et l'organisme de certification doit déterminer pour chaque client le temps nécessaire à la
planification et à la réalisation d'un audit complet et efficace du système de management du client. Le temps
imparti déterminé par l'organisme de certification ainsi que les justificatifs correspondants doivent être
enregistrés. Lorsqu'il détermine la durée de l'audit, il convient que l'organisme de certification tienne compte,
entre autres, des aspects suivants:

a) les exigences de la norme de système de management applicable;

18 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

b) la taille et la complexité;

c) le cadre technologique et réglementaire;

d) toute externalisation d'activités comprises dans le domaine d'application du système de management;

e) les résultats d'audits antérieurs;

f) le nombre de sites et toutes spécificités multisites;

g) les risques associés aux produits, aux processus ou aux activités de l'organisme;

h) si les audits sont combinés, conjoints ou intégrés.

Quand des critères de compétences supplémentaires ont été déterminés pour un programme de certification
spécifique, par exemple l'ISO/TS 22003 ou l'ISO/CEI 27006, ces critères doivent être appliqués.

9.1.4.2 Le temps passé par un membre quelconque de l'équipe qui n'a pas été désigné comme auditeur
(c'est-à-dire les experts techniques, les traducteurs, les interprètes, les observateurs et les auditeurs en
formation) ne doit pas être compté dans la durée d'audit déterminée ci-dessus.

NOTE Le recours à des traducteurs, des interprètes, peut nécessiter une durée d'audit supplémentaire.

9.1.5 Échantillonnage multi-site

Lorsqu'il est nécessaire de procéder à un échantillonnage multisite pour auditer le système de management
d'un client couvrant la même activité en plusieurs endroits, l'organisme de certification doit élaborer un
programme d'échantillonnage afin de garantir une évaluation correcte du système de management. Les
fondements du plan d'échantillonnage doivent être documentés pour chaque client.

9.1.6 Communication des tâches de l'équipe d'audit

Les tâches attribuées à l'équipe d'audit doivent être définies et portées à la connaissance de l'organisme du
client et doivent amener l'équipe d'audit à

a) examiner et vérifier la structure, les politiques, les processus, les procédures, les enregistrements et les
documents associés de l'organisme client applicables au système de management,

b) confirmer leur conformité à toutes les exigences applicables au périmètre de la certification,

c) confirmer que les processus et procédures sont établis, mis en œuvre et maintenus de manière efficace
pour pouvoir accorder la confiance au système de management du client, et

d) informer le client de toutes les incohérences entre sa politique, ses objectifs et ses cibles (en cohérence
avec les attentes de la norme dont relève le système de management ou avec tout autre document
normatif) et les résultats, pour que le client prenne des dispositions.

9.1.7 Communication concernant les membres de l'équipe d'audit

L'organisme de certification doit fournir le nom et, lorsque cela est demandé, les informations nécessaires
concernant chacun des membres de l'équipe d'audit à l'organisme client dans un délai suffisant pour
permettre à ce dernier de formuler une objection à la désignation d'un auditeur ou d'un expert technique
particulier et ainsi permettre à l'organisme de certification de reformer l'équipe à la satisfaction du client en
réponse à toute objection justifiée.

© ISO 2011 – Tous droits réservés 19


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.1.8 Communication du plan d’audit

Le plan d'audit doit être communiqué et les dates de l'audit doivent être convenues à l'avance avec
l'organisme client.

9.1.9 Réalisation des audits sur site

9.1.9.1 Généralités

Pour réaliser des audits sur site, l'organisme de certification doit disposer d'un processus. Ce processus doit
comporter une réunion d'ouverture au début de l'audit et une réunion de clôture à la fin de l'audit.

NOTE En complément des visites de site (par exemple une usine), les audits «sur site» peuvent comprendre l'accès
à distance à un ou des sites électroniques comportant des informations pertinentes pour l'audit du système de
management.

9.1.9.2 Conduite de la réunion d'ouverture

Une réunion d'ouverture formelle, pour laquelle la liste des participants doit être enregistrée, doit être tenue
avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus à auditer. La
réunion d'ouverture, qui doit être normalement animée par le reponsable de l'équipe d'audit, a pour objectif de
fournir une courte explication sur la façon dont les activités d'audit vont se dérouler et doit comprendre les
élements suivants. Le degré de détail doit être adapté à la familiarité du client avec le processus d'audit:

a) présentation des participants et une description succincte de leurs rôles;

b) confirmation du périmètre de la certification;

c) confirmation du plan d'audit (y compris le type et le périmètre de l'audit, les objectifs et les critères), des
modifications éventuelles et des autres dispositions importantes, comme la date et l'heure de la réunion
de clôture, des réunions intermédiaires entre l'équipe d'audit et la direction du client;

d) confirmation des circuits de communication officiels entre l'équipe d'audit et le client;

e) confirmation de la disponibilité des ressources et de la logistique nécessaire à l'équipe d'audit;

f) confirmation des points relatifs à la confidentialité;

g) confirmation des procédures d'hygiène, d'urgence et de sécurité pour l'équipe d'audit;

h) confirmation de la disponibilité, des rôles et de l'identité des guides et des observateurs;

i) méthode utilisée pour rendre compte des constats d'audit y compris leur classement;

j) informations sur les conditions dans lesquelles il peut être mis fin à l'audit prématurément;

k) confirmation que le responsable de l'équipe d'audit et l'équipe d'audit, qui représentent l'organisme de
certification, sont responsables de l'audit et de l'exécution du plan d'audit, y compris des activités et des
cheminements d'audit;

l) confirmation du statut des constats de la revue ou de l'audit précédent, le cas échéant;

m) méthodes et procédures utilisées pour conduire l'audit sur la base d'un échantillonnage;

n) confirmation de la langue à utiliser pendant l'audit;

o) confirmation du fait que, pendant l'audit, le client sera tenu informé de l'avancement de l'audit;

p) opportunité du client de poser des questions.

20 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.1.9.3 Communication pendant l'audit

9.1.9.3.1 Pendant l'audit, l'équipe d'audit doit évaluer périodiquement les avancées de l'audit et échanger
des informations. Le responsable de l'équipe d'audit doit redistribuer, si nécessaire, le travail entre les
membres de l'équipe d'audit et informer régulièrement le client des avancées de l'audit et des éventuelles
difficultés.

9.1.9.3.2 Lorsque les preuves disponibles de l'audit indiquent que les objectifs de l'audit sont irréalisables
ou suggèrent la présence d'un risque immédiat et significatif (par exemple en matière de sécurité), le
responsable de l'équipe d'audit doit rapporter ces faits au client et, si possible, à l'organisme de certification
pour déterminer une action appropriée. Une telle action peut comprendre la reconfirmation ou la modification
du plan d'audit, la modification des objectifs ou du périmètre de l'audit, ou l'arrêt de l'audit. Le responsable de
l'équipe d'audit doit rendre compte à l'organisme de certification du résultat de l'action entreprise.

9.1.9.3.3 Le responsable de l'équipe d'audit doit revoir avec le client toute nécessité de modification du
périmètre de l'audit qui se dégage au fur et à mesure de l'avancée des activités d'audit sur site et en rendre
compte à l'organisme de certification.

9.1.9.4 Observateurs et guides

9.1.9.4.1 Observateurs

La présence d'observateurs pendant une activité d'audit et sa justification doivent être convenues entre
l'organisme de certification et le client avant le démarrage de l'audit. L'équipe d'audit doit s'assurer que les
observateurs n'influencent pas ou ne perturbent pas le processus d'audit ou les résultats de l'audit.

NOTE Les observateurs peuvent être des membres de l'organisme du client, des consultants, du personnel d'un
organisme d'accréditation, des régulateurs ou toutes autres personnes dont la présence est justifiée.

9.1.9.4.2 Guides

Chaque auditeur doit être accompagné d'un guide, à moins qu'il n'en soit convenu autrement entre le
responsable de l'équipe d'audit et le client. Le(s) guide(s) est(sont) mis à la disponibilité de l'équipe d'audit
pour faciliter l'audit. L'équipe d'audit doit s'assurer que les observateurs n'influencent pas ou ne perturbent
pas le processus d'audit ou les résultats de l'audit.

NOTE Les responsabilités d'un guide peuvent consister à

a) établir des contacts et organiser des entretiens,

b) organiser des visites dans des parties spécifiques du site ou de l'organisme,

c) s'assurer que les règles concernant les procédures d'hygiène et de sécurité du site sont connues et respectées par
les membres de l'équipe d'audit,

d) être témoin de l'audit pour le compte du client, et

e) fournir des éclaircissements ou des informations sur demande d'un auditeur.

9.1.9.5 Collecte et vérification des informations

9.1.9.5.1 Pendant l'audit, les informations relatives aux objectifs, au périmètre et aux critères de l'audit (y
compris les informations relatives aux interfaces entre les fonctions, les activités et les processus) doivent être
recueillies à l'aide d'un échantillonnage approprié, puis vérifiées pour devenir des preuves d'audit.

9.1.9.5.2 Les méthodes permettant de recueillir les informations comprennent les éléments suivants, dont
la liste n'est pas exhaustive:

© ISO 2011 – Tous droits réservés 21


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

a) des entretiens;

b) l'observation des processus et des activités;

c) la revue des documents et des enregistrements.

9.1.9.6 Identification et enregistrement des constats d'audit

9.1.9.6.1 Les constats d'audit résumant la conformité et détaillant la non-conformité, ainsi que les preuves
d'audit associées, doivent être enregistrées et faire l'objet d'un rapport pour décider, en toute connaissance
de cause, de la délivrance ou du maintien d'une certification.

9.1.9.6.2 À moins que les exigences d'un programme de système de management ne l'interdisent, il est
possible d'identifier et d'enregistrer des suggestions d'amélioration. Toutefois, les constats d'audit qui
correspondent à des non-conformités selon 9.1.15 b) et c) ne doivent pas être enregistrés en tant que
suggestions d'amélioration.

9.1.9.6.3 Un constat de non-conformité doit être enregistré par rapport à l'exigence spécifique du critère
correspondant de l'audit, comporter un énoncé clair de la non-conformité et identifier en détail les éléments
objectifs sur lesquels repose la non-conformité. Les non-conformités doivent faire l'objet d'une discussion
avec le client, en vue de s'assurer que les éléments de preuve sont exacts et que les non-conformités sont
bien comprises. L'auditeur doit cependant s'abstenir d'avancer les causes des non-conformités ou de
préconiser des solutions.

NOTE Les non-conformités, correspondant aux exigences de 9.1.15 b), peuvent être classées comme non-
conformités majeures, alors que les autres non-conformités [9.1.15 c)] peuvent être classées comme non-conformités
mineures.

9.1.9.6.4 Le responsable de l'équipe d'audit doit tenter de résoudre toute divergence d'opinion entre
l'équipe d'audit et le client sur les preuves ou les constats d'audit. Les points non résolus doivent être
enregistrés.

9.1.9.7 Préparation des conclusions d'audit

Avant la réunion de clôture, l'équipe d'audit doit

a) procéder à une revue des constats d'audit et de toute autre information appropriée recueillie pendant
l'audit, par rapport aux objectifs de l'audit,
b) se mettre d'accord sur les conclusions de l'audit, en tenant compte de l'incertitude inhérente au
processus d'audit,
c) identifier toute action de suivi le cas échéant, et
d) confirmer l'adéquation du programme d'audit ou identifier toute modification nécessaire (par exemple le
périmètre, le moment ou les dates de l'audit, la fréquence des actions de surveillance, les compétences).

9.1.9.8 Conduite de la réunion de clôture

9.1.9.8.1 Une réunion de clôture formelle, pour laquelle la liste des participants doit être enregistrée, doit
être tenue avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus
audités. La réunion de clôture, qui doit être normalement animée par le responsable de l'équipe d'audit, a
pour objectif de présenter les conclusions de l'audit, y compris les recommandations relatives à la certification.
Les non-conformités doivent être présentées de façon à être comprises et le délai de réponse doit être fixé
d'un commun accord.

NOTE «Comprises» ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.

9.1.9.8.2 La réunion de clôture doit aussi inclure les éléments suivants. Le degré de détail doit être adapté
à la familiarité du client avec le processus d'audit:

22 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

a) notifier au client que les preuves d'audit recueillies étaient fondées sur un échantillon d'informations,
introduisant, de ce fait, un élément d'incertitude;
b) la méthode et le délai utilisés pour rendre compte, y compris le classement des constats d'audit;
c) le processus de l'organisme de certification pour le traitement des non-conformités, incluant toutes les
conséquences relatives au statut de la certification du client;
d) le délai dans lequel le client doit soumettre un plan de correction et une action corrective pour toute non-
conformité identifiée pendant l'audit;
e) les activités post-audit de l'organisme de certification;
f) des informations sur les processus de traitement des plaintes et d'appel.

9.1.9.8.3 Le client doit avoir la possibilité de poser des questions. Les divergences d'opinion sur les
constats ou les conclusions d'audit entre l'équipe d'audit et le client doivent faire l'objet d'une discussion et,
dans la mesure du possible, doivent être résolues. Les divergences d'opinion qui n'ont pas été résolues
doivent être enregistrées et transmises à l'organisme de certification.

9.1.10 Rapport d’audit

9.1.10.1 L'organisme de certification doit fournir un rapport écrit pour chaque audit. L'équipe d'audit peut
également présenter des suggestions à l'organisme client pour l'amélioration mais elle ne doit pas
recommander des solutions spécifiques. Le rapport d'audit demeure la propriété de l'organisme de
certification.

9.1.10.2 Le responsable de l'équipe d'audit doit s'assurer de la préparation du rapport d'audit. Il doit être
responsable de son contenu. Le rapport d'audit doit fournir un enregistrement précis, concis et clair de l'audit
pour permettre de prendre une décision de certification éclairée et doit comporter ou faire référence à ce qui
suit:

a) l'identification de l'organisme de certification;

b) le nom et l'adresse du client et de la personne représentant la direction du client;

c) le type d'audit (par exemple audit initial, de surveillance, de renouvellement de la certification);

d) les critères de l'audit;

e) les objectifs de l'audit;

f) le périmètre d'audit, notamment l'identification des unités organisationnelles ou fonctionnelles ou les


processus audités, ainsi que la durée de l'audit;

g) l'identification du responsable de l'équipe d'audit, des membres de l'équipe d'audit et des personnes
accompagnantes;

h) les dates et les lieux où les activités d'audit (sur site ou en dehors) ont été réalisées;

i) les constats, les preuves et les conclusions de l'audit, correspondant aux exigences du type d'audit;

j) tout problème non résolu, le cas échéant.

9.1.11 Analyse des causes de non-conformités

L'organisme audité doit décrire les corrections et actions correctives spécifiques entreprises ou qu'il prévoit
d'entreprendre afin d'éliminer, dans un délai déterminé, les non-conformités détectées et leurs causes et de
remédier à toutes les non-conformités qui ont été identifiées.

© ISO 2011 – Tous droits réservés 23


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.1.12 Efficacité des corrections et actions correctives

L'organisme de certification doit passer en revue les corrections, les causes identifiées et les actions
correctives soumises par le client pour déterminer si elles sont acceptables. L'organisme de certification doit
vérifier l'efficacité des corrections et des actions correctives entreprises. Les preuves obtenues pour confirmer
la résolution des non-conformités doivent être enregistrées. Le client doit être tenu informé du résultat de la
revue et de la vérification.

NOTE La vérification de l'efficacité de la correction et de l'action corrective peut être réalisée sur la base d'un
examen de la documentation fournie par le client ou, si nécessaire, par une vérification sur site.

9.1.13 Audits supplémentaires

L'organisme audité doit être informé de la nécessité de réaliser un audit complet ou un audit partiel
supplémentaire ou de fournir une preuve documentée (à confirmer au cours des audits de surveillance
ultérieurs), pour vérifier que les corrections et actions correctives prévues ont bien été menées.

9.1.14 Décision de certification

L'organisme de certification doit assurer que les personnes ou les comités qui prennent les décisions de
certification et de renouvellement de la certification sont différents de celles ou ceux ayant réalisé les audits.

9.1.15 Actions précédant la prise de décision

Avant de prendre sa décision, l'organisme de certification doit confirmer que:

a) les informations fournies par l'équipe d'audit sont suffisantes eu égard aux exigences et au périmètre de
la certification,

b) il a examiné, accepté et vérifié l'efficacité des corrections et actions correctives, pour toutes les non-
conformités qui constituent

1) une non-satisfaction à une ou plusieurs exigences de la norme de système de management, ou

2) une situation où il subsiste un doute significatif quant à la capacité du système de management du


client à atteindre les résultats escomptés;

c) il a examiné et accepté les corrections et actions correctives du client pour toute autre non-conformité.

9.2 Évaluation et certification initiales

9.2.1 Demande de certification

L'organisme de certification doit demander à un représentant dûment autorisé de l'organisme candidat de lui
fournir les informations requises pour lui permettre d'établir:

a) le périmètre recherché pour la certification,

b) les caractéristiques générales de l'organisme candidat, y compris son nom, l'adresse de son ou de ses
sites, les aspects significatifs de ses processus et opérations et toute obligation juridique applicable,

c) des renseignements d'ordre général concernant le périmètre de la certification demandée et portant sur
l'organisme candidat, tels que ses activités, ses ressources humaines et techniques, ses fonctions et ses
relations au sein d'une raison sociale plus large, le cas échéant,

d) les informations concernant tous les processus externalisés utilisés par l'organisation et qui affecteront la
conformité aux exigences de certification,

24 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

e) les normes ou les autres exigences par rapport auxquelles l'organisme candidat souhaite être certifié, et

f) tout renseignement relatif au recours à des organismes de conseil en matière de système de


management.

9.2.2 Revue de la demande

9.2.2.1 Avant de procéder à l'audit, l'organisme de certification doit effectuer une revue de la candidature
et des informations complémentaires concernant la certification pour assurer que

a) les informations relatives à l'organisme candidat et à son système de management sont suffisantes pour
effectuer l'audit,

b) les exigences relatives à la certification sont clairement définies, documentées et ont été fournies à
l'organisme candidat,

c) tout malentendu identifié entre l'organisme de certification et l'organisme candidat est résolu,

d) l'organisme de certification a la compétence et la capacité d'effectuer la prestation de certification,

e) le périmètre de la certification recherchée, le(s) lieu(x) où l'organisme candidat réalise ses interventions,
la durée requise pour réaliser les audits ainsi que tout autre point ayant une influence sur les activités de
certification sont pris en compte (tels que la langue, les conditions de sécurité, les menaces pour
l'impartialité, etc.),

f) les enregistrements des justifications de la décision d'effectuer l'audit sont conservés.

9.2.2.2 Suite à la revue de la demande, l'organisme de certification doit soit accepter, soit refuser la
demande de certification. Lorsque l'organisme de certification refuse une demande de certification suite à la
revue de la demande, il doit documenter les raisons de son refus et les indiquer clairement au client.

NOTE En refusant une demande de certification, il convient que l'organisme de certification prenne soin de ne pas
agir en contradiction avec les principes déterminés dans l'Article 4.

9.2.2.3 Sur la base de cette revue, l'organisme de certification doit déterminer les compétences
nécessaires pour l'équipe d'audit à missionner et pour la décision de certification.

9.2.2.4 L'équipe d'audit doit être désignée et constituée d'auditeurs (et d'experts techniques si
nécessaire) qui disposent collectivement de toutes les compétences identifiées par l'organisme de certification,
telles que définies en 9.2.2.2 comme nécessaires pour la certification de l'organisme candidat. L'équipe doit
être sélectionnée en fonction des compétences des auditeurs et experts techniques telles que stipulées en
7.2.5 et peut être constituée tant de personnel interne que de prestataires externes.

9.2.2.5 La ou les personnes chargées de décider de la certification doivent être désignées de façon à
garantir que les compétences appropriées sont disponibles (voir 7.2.9).

9.2.3 Audit de certification initiale

L'audit de certification initiale d'un système de management doit être mené en deux étapes: Étape 1 et
Étape 2.

© ISO 2011 – Tous droits réservés 25


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.2.3.1 Audit d'Étape 1

9.2.3.1.1 L'audit d'Étape 1 doit être réalisé en vue

a) d'auditer la documentation du système de management mis en place par le client,

b) d'évaluer le lieu et les conditions spécifiques au site du client et créer l'occasion d'un échange
d'informations avec le personnel du client afin de déterminer le niveau de préparation pour l'audit
d'Étape 2,

c) de procéder à une revue de l'état de l'organisme client et de sa compréhension des exigences de la


norme, notamment en ce qui concerne l'identification des performances clés ou des aspects, des
processus, des objectifs et du fonctionnement significatifs du système de management,

d) de réunir les informations nécessaires concernant le périmètre du système de management, les


processus et le ou les sites de l'organisme client ainsi que les aspects réglementaires et juridiques
correspondants auxquels le client doit se conformer, (par exemple les aspects relatifs à la qualité, au
respect de l'environnement et aux contraintes réglementaires applicables aux activités effectuées par
l'organisme du client, les risques associés, etc.),

e) de procéder à une revue de l'affectation des ressources pour l'Étape 2 et convenir avec le client des
détails de l'audit d'Étape 2,

f) de permettre la planification de l'audit d'Étape 2, une fois acquise une compréhension suffisante du
système de management et du fonctionnement du site, lorsque ceux-ci peuvent avoir une influence,

g) de déterminer si les audits internes et la revue de direction ont été planifiés et réalisés et si le niveau de
mise en œuvre du système de management atteste que l'organisme client indique qu'il est prêt pour
l'audit d'Étape 2.

Pour la plupart des systèmes de management, il est recommandé qu'au moins une partie de l'audit d'Étape 1
soit réalisée dans les locaux du client afin d'atteindre les objectifs fixés ci-dessus.

9.2.3.1.2 Les résultats de l'audit d'Étape 1 doivent être documentés et communiqués au client, y compris
l'identification de tout problème susceptible d'être classé comme une non-conformité au cours de l'audit
d'Étape 2.

9.2.3.1.3 Pour déterminer l'intervalle entre l'Étape 1 et l'Étape 2, il faut prendre en considération ce dont le
client aura besoin pour résoudre les problèmes identifiés au cours de l'audit d'Étape 1. L'organisme de
certification peut également avoir besoin de revoir ses dispositions pour l'Étape 2.

9.2.3.2 Audit d'Étape 2

L'objet de l'étape 2 est d'évaluer la mise en œuvre et l'efficacité du système de management du client. L'audit
d'Étape 2 doit se dérouler sur le ou les site(s) du client. Cette deuxième étape d'audit doit comprendre au
minimum les éléments suivants:

a) les informations et les preuves relatives à la conformité à toutes les exigences de la norme relative au
système de management ou d'autres documents normatifs applicables;

b) la surveillance, le mesurage, le compte rendu et la revue des performances par rapport aux objectifs de
performance clé et aux cibles (en cohérence avec les attentes de la norme de système de management
ou de tout autre document normatif applicable);

c) le système de management du client et les performances par rapport à la conformité réglementaire;

d) la maîtrise opérationnelle des processus du client;

e) les audits internes et la revue de direction;

26 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

f) les responsabilités de la direction vis-à-vis des politiques de l'organisme client;

g) les liens entre les exigences normatives, la politique, les objectifs de performance et les cibles (en
cohérence avec les attentes de la norme appropriée au système de management ou de tout autre
document normatif) toute exigence juridique applicable, les responsabilités, les compétences du
personnel, les opérations, les procédures, les données de performance et les résultats et conclusions des
audits internes.

9.2.4 Conclusions de l'audit de certification initiale

L'équipe d'audit doit analyser toutes les informations et les preuves réunies au cours des audits d'Étape 1 et
d'Étape 2 afin de passer en revue les résultats et de déterminer les conclusions de l'audit.

9.2.5 Informations sur la délivrance d'une certification initiale

9.2.5.1 Les informations fournies par l'équipe d'audit à l'organisme de certification pour lui permettre de
prendre une décision doivent, au minimum, comprendre les éléments suivants:

a) les rapports d'audit;

b) les observations relatives aux non-conformités et, le cas échéant, les corrections et actions correctives
entreprises par l'organisme client;

c) la confirmation des informations fournies à l'organisme de certification et utilisées pour la revue de la


demande (voir 9.2.2);

d) une recommandation relative à la décision de délivrer ou non la certification, accompagnée de toutes


réserves ou observations.

9.2.5.2 L'organisme de certification doit prendre la décision de certification en se fondant sur une
évaluation des résultats et des conclusions de l'audit et sur toute autre information pertinente (par exemple
information publique, commentaires du client sur le rapport d'audit).

9.3 Activités de surveillance

9.3.1 Généralités

9.3.1.1 L'organisme de certification doit concevoir ses activités de surveillance de manière que les
domaines et les fonctions représentatifs couverts par le système de management fassent l'objet d'un suivi
régulier. Il doit tenir compte des modifications effectuées chez le client certifié et apportées au système de
management de celui-ci.

9.3.1.2 Les activités de surveillance doivent comporter des audits sur site permettant de vérifier la
conformité du système de management du client certifié aux exigences spécifiées dans la norme par rapport
à laquelle la certification est octroyée. D'autres activités de surveillance peuvent inclure

a) des enquêtes de l'organisme de certification adressées au client certifié sur des aspects touchant la
certification,

b) la revue des déclarations du client en ce qui concerne ses opérations (par exemple matériel promotionnel,
site Web),

c) les demandes faites au client de fournir des documents et des enregistrements (sur papier ou par voie
électronique),

d) les autres moyens de surveillance des performances du client certifié.

© ISO 2011 – Tous droits réservés 27


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.3.2 Audit de surveillance

9.3.2.1 Les audits de surveillance sont des audits sur site qui ne sont pas nécessairement des audits du
système complet et qui doivent donc être planifiés en même temps que les autres activités de surveillance de
manière que l'organisme de certification puisse garder confiance dans le système de management certifié et
dans sa capacité à rester conforme aux exigences de la certification dans l'intervalle entre deux audits de
renouvellement de la certification. Le programme d'audit de surveillance doit porter au minimum sur les
éléments suivants:

a) les audits internes et la revue de direction;

b) la revue des actions entreprises vis-à-vis des non-conformités identifiées au cours de l'audit précédent;

c) le traitement des plaintes;

d) l'efficacité du système de management par rapport à la réalisation des objectifs du client certifié;

e) l'état d'avancement des activités planifiées visant à l'amélioration continue;

f) la maîtrise opérationnelle continue;

g) la revue de toute modification apportée;

h) l'utilisation des marques et/ou toute autre référence à la certification.

9.3.2.2 Les audits de surveillance doivent être effectués au moins une fois par an. La date du premier
audit de surveillance suivant la certification initiale doit être fixée dans un délai maximal de douze mois à
compter du dernier jour de la deuxième étape de l'audit.

9.3.3 Maintien de la certification

L'organisme de certification doit maintenir la certification en s'appuyant sur la démonstration que le client
continue de satisfaire aux exigences de la norme de système de management. Il peut maintenir la certification
d'un client sur la base d'une conclusion favorable formulée par le responsable de l'équipe d'audit, sans pour
autant procéder à une revue ultérieure, à condition

a) pour toute non-conformité ou autre situation susceptible de donner lieu à la suspension ou au retrait de la
certification, l'organisme de certification dispose d'un système imposant au responsable de l'équipe
d'audit d'informer l'organisme de certification du besoin de réaliser une revue avec des personnes
dûment qualifiées (voir 7.2.9) et différentes de celles ayant effectué l'audit afin de déterminer le maintien
ou non de la certification, et

b) que l'organisme de certification emploie un personnel dûment qualifié pour surveiller ses activités de
surveillance, y compris la surveillance des rapports de ses auditeurs, afin de confirmer que le processus
de certification fonctionne de manière efficace.

9.4 Renouvellement de la certification

9.4.1 Planification de l'audit pour le renouvellement de la certification

9.4.1.1 Un audit de renouvellement de la certification doit être planifié et effectué pour évaluer le maintien
de la conformité à toutes les exigences de la norme relative au système de management ou de tout autre
document normatif applicable. Le but de l'audit de renouvellement est de confirmer le maintien de la
conformité et de l'efficacité du système de management dans son ensemble ainsi que sa pertinence et son
applicabilité en permanence au regard du périmètre de la certification.

9.4.1.2 L'audit de renouvellement de la certification doit également prévoir une revue des performances
du système de management sur la période de certification et comprendre la revue des rapports d'audit de
surveillance précédents.

28 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.4.1.3 Lorsque des modifications significatives sont apportées au système de management, à


l'organisme client ou au contexte dans lequel le système de management opère (par exemple modifications
de la législation), l'activité correspondant à un audit de renouvellement de la certification peut nécessiter de
réaliser un audit d'Étape 1.

9.4.1.4 Dans le cas où l'organisme de certification a accordé la certification à plusieurs sites ou selon
plusieurs référentiels de systèmes de management, la planification de l'audit doit assurer une couverture
d'audit sur site suffisante pour donner confiance dans la certification.

9.4.2 Audit de renouvellement de la certification

9.4.2.1 L'audit de renouvellement de la certification doit comporter un audit sur site, qui traite des points
suivants:

a) l'efficacité du système de management dans sa totalité, à la lumière des changements internes et


externes ainsi que sa pertinence et son applicabilité en permanence au regard du périmètre de la
certification;

b) la preuve de l'engagement à maintenir l'efficacité et l'amélioration du système de management afin


d'augmenter les performances globales;
c) si les opérations au sein du système de management certifié contribuent à l'atteinte des objectifs fixés
dans la politique de l'organisme candidat.

9.4.2.2 Lorsque des cas de non-conformité ou d'absence de preuves de conformité sont identifiés au
cours d'un audit de renouvellement de la certification, l'organisme de certification doit fixer des délais pour la
mise en œuvre de corrections et d'actions correctives avant l'expiration de la certification.

9.4.3 Informations pour la délivrance d'un renouvellement de certification

L'organisme de certification doit prendre les décisions de renouvellement de la certification en se fondant sur
les résultats de l'audit de renouvellement ainsi que sur les résultats de la revue du système correspondant à
la période de certification et sur les plaintes reçues de la part des utilisateurs de la certification.

9.5 Audits particuliers

9.5.1 Extensions du périmètre de la certification

En réponse à une demande d'extension du périmètre d'une certification déjà accordée, l'organisme de
certification doit entreprendre une revue de la candidature et déterminer toute activité d'audit nécessaire pour
décider de la possibilité ou non d'accorder l'extension. Cette démarche peut être effectuée au même moment
que l'audit de surveillance.

9.5.2 Audits avec un préavis très court

L'organisme de certification peut être amené à réaliser des audits de clients certifiés avec un très court
préavis afin d'instruire des plaintes (voir 9.8) ou suite à des modifications (voir 8.6.3) ou pour effectuer un suivi
des clients suspendus (voir 9.6). Dans ces cas

a) l'organisme de certification doit décrire et porter préalablement à la connaissance des clients certifiés (par
exemple dans les documents décrits en 8.6.1) les conditions dans lesquelles ces visites avec un préavis
très court doivent être effectuées, et
b) l'organisme de certification doit apporter un soin tout particulier à la désignation de l'équipe d'audit du fait
de l'impossibilité pour l'organisme client de formuler une objection sur les membres de l'équipe d'audit.

© ISO 2011 – Tous droits réservés 29


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.6 Suspension, retrait ou réduction du périmètre de la certification

9.6.1 L'organisme de certification doit avoir une politique et une ou plusieurs procédures documentées
traitant de la suspension, du retrait ou de la réduction du périmètre de la certification et il doit définir les
actions qu'il doit mener en conséquence.

9.6.2 L'organisme de certification doit suspendre la certification, par exemple, dans les cas où

a) lorsque le système de management certifié a constamment ou gravement manqué au respect des


exigences de la certification, y compris l'exigence relative à l'efficacité du système de management,

b) le client certifié n'a pas permis la réalisation des audits de surveillance ou de renouvellement de la
certification selon la périodicité requise, ou

c) si l'organisme certifié a volontairement demandé une suspension temporaire.

9.6.3 Lorsqu'elle est suspendue, la certification du système de management du client est provisoirement
invalidée. L'organisme de certification doit prendre des dispositions exécutoires avec ses clients pour assurer
qu'en cas de suspension le client s'abstient dorénavant de toute promotion de sa certification. L'organisme de
certification doit tenir accessible au public le fait de toute suspension de certification (voir 8.1.3) et prendre
toute autre mesure qu'il juge nécessaire.

9.6.4 Tout manquement à la résolution des problèmes dans le délai établi par l'organisme de certification
doit donner lieu au retrait ou à la réduction du périmètre de la certification.

NOTE Dans la plupart des cas, la suspension ne devrait pas dépasser six mois.

9.6.5 Lorsque le client a constamment ou gravement manqué au respect des exigences de la certification
pour certains éléments relevant du périmètre de la certification, l'organisme de certification doit réduire le
périmètre de la certification pour exclure les éléments ne satisfaisant pas aux exigences. Une telle réduction
du périmètre doit être conforme aux exigences de la norme sur laquelle s'appuie la certification.

9.6.6 L'organisme de certification doit prendre des dispositions exécutoires avec le client certifié en cas de
retrait de la certification [(voir 8.4.3 d)] pour assurer que, dès notification du retrait de la certification, le client
cesse toute publicité qui se réfère à son statut d'organisme certifié.

9.6.7 Sur simple demande d'un tiers, l'organisme de certification doit indiquer le statut de la certification du
système de management d'un client, comme étant suspendue, retirée ou réduite.

9.7 Appels

9.7.1 L'organisme de certification doit avoir un processus documenté lui permettant de recevoir, d'évaluer
et de prendre des décisions en cas d'appel.

9.7.2 Une description du processus de traitement des appels doit être accessible au public.

9.7.3 L'organisme de certification doit être responsable de toutes les décisions prises à tous les niveaux du
processus de traitement des appels. L'organisme de certification doit assurer que les personnes impliquées
dans le processus de traitement des appels sont différentes de celles ayant réalisé les audits et pris des
décisions de certification.

9.7.4 Les soumissions, les analyses et les décisions relatives aux appels ne doivent pas donner lieu à des
actions discriminatoires envers l'appelant.

30 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.7.5 Le processus de traitement des appels doit au moins comprendre les éléments et les méthodes
suivants:

a) le principe général du processus de réception, de validation et d'examen de l'appel ainsi que celui des
prises de décisions des actions à entreprendre pour traiter l'appel, en tenant compte des résultats
d'appels précédents similaires;

b) le suivi et l'enregistrement des appels, y compris les actions entreprises pour les résoudre;

c) assurer que toutes les corrections et actions correctives appropriées ont été entreprises.

9.7.6 L'organisme de certification doit accuser réception de l'appel et fournir à l'appelant les rapports
d'avancement et les résultats.

9.7.7 La décision signifiée à l'appelant doit être prise ou examinée et approuvée par une ou des personnes
n'ayant pas été précédemment impliquées dans l'objet de l'appel.

9.7.8 L'organisme de certification doit dûment aviser l'appelant de la fin du processus de traitement de
l'appel.

9.8 Plaintes

9.8.1 Une description du processus de traitement des plaintes doit être accessible au public.

9.8.2 Dès réception d'une plainte, l'organisme de certification doit confirmer si la plainte est liée aux
activités de certification dont il a la responsabilité, et dans l'affirmative, il doit la traiter. Lorsque la plainte
concerne un client certifié, elle doit être examinée du point de vue de l'efficacité du système de management
certifié.

9.8.3 Toute plainte relative à un client certifié doit également être notifiée en temps opportun par
l'organisme de certification au client certifié concerné.

9.8.4 L'organisme de certification doit avoir un processus documenté lui permettant de recevoir, d'évaluer
et de prendre des décisions relatives aux plaintes. Ce processus doit tenir compte des exigences de
confidentialité dans la mesure où il concerne le plaignant et l'objet de la plainte.

9.8.5 Le processus de traitement des plaintes doit au moins comprendre les éléments et méthodes
suivants:

a) le principe général du processus de réception, de validation et d'examen de la plainte ainsi que celui des
prises de décisions des actions à entreprendre pour traiter celle-ci;

b) le suivi et l'enregistrement des plaintes, y compris des actions entreprises pour les résoudre;

c) la vérification que toutes les corrections et actions correctives appropriées ont été entreprises.

NOTE L'ISO 10002 fournit des lignes directrices relatives au traitement des plaintes.

9.8.6 L'organisme de certification recevant la plainte doit être responsable de la collecte et de la vérification
de toutes les informations nécessaires lui permettant de valider celle-ci.

9.8.7 Dans la mesure du possible, l'organisme de certification doit accuser réception de la plainte et il doit
fournir au plaignant les rapports d'avancement et les résultats.

9.8.8 La décision signifiée au plaignant doit être prise ou examinée et approuvée par une ou des personnes
n'ayant pas été précédemment impliquées dans l'objet de la plainte.

© ISO 2011 – Tous droits réservés 31


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

9.8.9 Dans la mesure du possible, l'organisme de certification doit dûment aviser le plaignant de la fin du
processus de traitement de la plainte.

9.8.10 L'organisme de certification doit déterminer avec le client et le plaignant si l'objet de la plainte et sa
résolution doivent être rendus publics, et si oui, dans quelle mesure.

9.9 Enregistrements relatifs aux demandeurs et aux clients

9.9.1 L'organisme de certification doit conserver les enregistrements relatifs au processus d'audit et autres
activités de certification de tous les clients, y compris tous les organismes candidats ainsi que tous les
organismes audités, certifiés ou dont la certification a été suspendue ou retirée.

9.9.2 Les enregistrements relatifs aux clients certifiés doivent comporter

a) les informations relatives à la demande et les rapports d'audit initial, de surveillance et de renouvellement
de la certification,

b) le contrat de certification,

c) la justification de la méthodologie utilisée pour l'échantillonnage,

d) la justification pour la détermination du temps imparti aux auditeurs (voir 9.1.4),

e) la vérification des corrections et actions correctives,

f) les enregistrements des plaintes et des appels ainsi que de toutes les corrections et actions correctives
qui en découlent,

g) les délibérations et décisions du comité, le cas échéant,

h) la documentation relative aux décisions prises en matière de certification,

i) des documents de certification, y compris le périmètre de la certification en termes de produit, de


processus ou service, selon le cas, et

j) les enregistrements associés nécessaires pour établir la crédibilité de la certification tels que les preuves
des compétences des auditeurs et des experts techniques.

NOTE La méthodologie pour l'échantillonnage comprend l'échantillonnage utilisé pour évaluer le système de
management spécifique et/ou pour sélectionner les sites dans le cadre d'une évaluation multisites.

9.9.3 L'organisme de certification doit conserver en lieu sûr les enregistrements relatifs aux candidats ainsi
qu'à ses clients afin de garantir la confidentialité des informations. Lors du transport, de la transmission ou du
transfert des enregistrements, le maintien de la confidentialité doit être assuré.

9.9.4 L'organisme de certification doit avoir une politique et des procédures documentées sur la
conservation des enregistrements. Les enregistrements doivent être conservés pendant la durée du cycle en
cours plus un cycle complet de certification.

NOTE Dans certaines juridictions, les exigences légales imposent de conserver les enregistrements sur une période
plus longue.

32 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

10 Exigences relatives au système de management des organismes de certification

10.1 Options

L'organisme de certification doit établir et maintenir un système de management capable de soutenir et de


démontrer qu'il satisfait de façon fiable aux exigences de la présente Norme internationale. Outre la
satisfaction aux exigences des Articles 5 à 9, l'organisme de certification doit mettre en œuvre un système de
management conforme

a) soit aux exigences de système de management conformément à l'ISO 9001 (voir 10.2),

b) soit aux exigences d'un système de management général (voir 10.3).

10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001

10.2.1 Généralités

L'organisme de certification doit établir et maintenir un système de management conformément aux


exigences de l'ISO 9001 de façon à pouvoir soutenir et démontrer qu'il satisfait aux exigences de la présente
Norme internationale, complétées par celles spécifiées de 10.2.2 à 10.2.5.

10.2.2 Domaine d'application

En application des exigences de l'ISO 9001, le domaine d'application du système de management doit
comprendre les exigences de conception et de développement pour ses services de certification.

10.2.3 Écoute client

En application des exigences de l'ISO 9001, lors de l'élaboration de son système de management,
l'organisme de certification doit prendre en compte la crédibilité de la certification et traiter les besoins de
toutes les parties (tels qu'énoncés en 4.1.2) qui comptent sur ses services d'audit et de certification et pas
uniquement de ses clients.

10.2.4 Revue de direction

En application des exigences de l'ISO 9001, l'organisme de certification doit considérer comme données
d'entrée à la revue de direction, les informations relatives aux plaintes et appels pertinents émanant des
utilisateurs des services de certification.

10.3 Option 2: Exigences générales relatives au système de management

10.3.1 Généralités

L'organisme de certification doit établir, documenter, mettre en œuvre et entretenir un système de


management de façon à pouvoir soutenir et démontrer qu'il satisfait de manière fiable aux exigences de la
présente Norme internationale.

La direction de l'organisme de certification doit établir et documenter des politiques et des objectifs
applicables à ses activités. La direction doit fournir la preuve de son engagement au développement et à la
mise en œuvre du système de management conformément aux exigences de la présente Norme
internationale. La direction doit assurer que les politiques sont bien comprises, mises en œuvre et maintenues
à tous les niveaux de l'organisme de certification.

La direction de l'organisme de certification doit nommer un membre de l'encadrement qui, nonobstant d'autres
responsabilités, doit avoir de la responsabilité et de l'autorité en particulier pour

© ISO 2011 – Tous droits réservés 33


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

a) assurer que les processus et les procédures nécessaires au système de management sont établis, mis
en œuvre et entretenus, et

b) rendre compte à la direction du fonctionnement du système de management et de tout besoin


d'amélioration.

10.3.2 Manuel du système de management

Toutes les exigences applicables de la présente Norme internationale doivent être traitées soit dans un
manuel soit dans des documents associés. L'organisme de certification doit assurer que le manuel et les
documents associés correspondants sont accessibles à l'ensemble du personnel concerné.

10.3.3 Maîtrise des documents

L'organisme de certification doit établir des procédures lui permettant de maîtriser les documents (internes et
externes) liés au respect des exigences de la présente Norme internationale. Ces procédures documentées
doivent définir les mesures nécessaires pour

a) approuver l'adéquation des documents avant diffusion,

b) revoir, mettre à jour si nécessaire et approuver de nouveau les documents,

c) assurer que les modifications et le statut de la version en vigueur des documents sont identifiés,

d) assurer la disponibilité sur les lieux d'utilisation des versions pertinentes des documents applicables,

e) assurer que les documents restent lisibles et facilement identifiables,

f) assurer que les documents d'origine extérieure sont identifiés et que leur diffusion est maîtrisée, et

g) empêcher toute utilisation non intentionnelle de documents périmés, et les identifier de manière adéquate
s'ils sont conservés dans un but quelconque.

NOTE La documentation peut se présenter sous toute forme ou tout type de support.

10.3.4 Maîtrise des enregistrements

L'organisme de certification doit établir des procédures pour assurer l'identification, le stockage, la protection,
l'accessibilité, la durée de conservation et l'élimination des enregistrements générés dans le cadre des
exigences de la présente Norme internationale.

L'organisme de certification doit établir des procédures définissant une période de conservation des
enregistrements qui soit cohérente avec ses obligations contractuelles et légales. L'accès à ces
enregistrements doit être conforme aux dispositions en matière de confidentialité.

NOTE En ce qui concerne les exigences relatives aux enregistrements des clients certifiés, voir également 9.9.

10.3.5 Revue de direction

10.3.5.1 Généralités

La direction de l'organisme de certification doit établir des procédures pour revoir, à intervalles planifiés, son
système de management pour assurer qu'il demeure pertinent, adéquat et efficace, y compris les politiques et
les objectifs déclarés relatifs au respect des exigences de la présente Norme internationale. Ces revues
doivent être réalisées au moins une fois par an.

34 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

10.3.5.2 Éléments d'entrée de la revue

Les éléments d'entrée de la revue de direction doivent comprendre des informations sur

a) les résultats des audits internes et externes,

b) les retours d'information des clients et des parties intéressées liés au respect des exigences de la
présente Norme internationale,

c) le retour de la part du comité pour la préservation de l'impartialité,

d) l'état des actions préventives et correctives,

e) le suivi des actions issues des revues de direction précédentes,

f) la réalisation des objectifs,

g) les changements pouvant affecter le système de management, et

h) les appels et les plaintes.

10.3.5.3 Éléments de sortie de la revue

Les éléments de sortie de la revue de direction doivent comprendre les décisions et actions relatives

a) à l'amélioration de l'efficacité du système de management et de ses processus,

b) à l'amélioration des services de certification liés au respect des exigences de la présente Norme
internationale, et

c) aux besoins en ressources.

10.3.6 Audits internes

10.3.6.1 L'organisme de certification doit établir des procédures relatives aux audits internes pour vérifier
qu'il se conforme aux exigences de la présente Norme internationale et que le système de management est
mis en œuvre et entretenu de manière efficace.

NOTE L'ISO 19011 fournit des lignes directrices relatives à la réalisation des audits internes.

10.3.6.2 Un programme d'audits doit être planifié en tenant compte de l'importance des processus et des
domaines à auditer, ainsi que des résultats des audits précédents.

10.3.6.3 Les audits internes doivent être réalisés au moins une fois par an. Ces audits peuvent être
réalisés moins fréquemment si l'organisme de certification peut démontrer l'efficacité et la stabilité du système
de management qu'il a mis en place conformément aux exigences de la présente Norme internationale.

10.3.6.4 L'organisme de certification doit assurer que

a) les audits internes sont réalisés par un personnel qualifié disposant des connaissances requises en
matière de certification, d'audit et des exigences de la présente Norme internationale,

b) les auditeurs n'auditent pas leur propre travail,

c) le personnel responsable du domaine à auditer est informé des résultats de l'audit,

d) toutes les actions résultant d'audits internes sont entreprises en temps opportun et de manière
appropriée, et

© ISO 2011 – Tous droits réservés 35


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

e) toutes les opportunités d'amélioration sont identifiées.

10.3.7 Actions correctives

L'organisme de certification doit établir des procédures pour identifier et gérer les non-conformités de ses
opérations. L'organisme de certification doit également, si nécessaire, mener des actions pour éliminer les
causes de non-conformités afin d'éviter qu'elles ne se reproduisent. Les actions correctives doivent être
adaptées aux effets des non-conformités rencontrées. Les procédures doivent être établies afin de définir les
exigences pour

a) procéder à l'identification des non-conformités (par exemple celles issues des plaintes et des audits
internes),

b) déterminer les causes de non-conformité,

c) corriger les non-conformités,

d) évaluer le besoin d'entreprendre des actions pour que les non-conformités ne se reproduisent pas,

e) déterminer et mettre en œuvre en temps opportun les actions nécessaires,

f) enregistrer les résultats des actions mises en œuvre, et

g) procéder à la revue de l'efficacité des actions correctives mises en œuvre.

10.3.8 Actions préventives

L'organisme de certification doit établir des procédures relatives aux actions préventives permettant d'éliminer
les causes de non-conformités potentielles. Les actions préventives doivent être adaptées aux effets
probables des problèmes potentiels. Les procédures relatives aux actions préventives doivent être établies
afin de définir les exigences pour:

a) déterminer les non-conformités potentielles et leurs causes,

b) évaluer le besoin d'entreprendre des actions pour éviter l'apparition de non-conformités,

c) déterminer et mettre en œuvre les actions nécessaires,

d) enregistrer les résultats des actions mises en œuvre, et

e) procéder à la revue de l'efficacité des actions préventives mises en œuvre.

NOTE Il n'est pas forcément nécessaire de rédiger des procédures distinctes pour le traitement des actions
correctives d'une part et préventives d'autre part.

36 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe A
(normative)

Connaissances et savoir-faire exigés

Le tableau suivant spécifie les connaissances et le savoir-faire qu'un organisme de certification doit définir
pour remplir des fonctions de certification spécifiques. X indique que l'organisme de certification doit définir les
critères et le niveau de connaissances et de savoir-faire. X+ indique qu'un niveau de connaissances et de
savoir-faire plus élevé est nécessaire.

Tableau A.1 — Tableau des connaissances et savoir-faire

Conduite de la revue de la
Fonctions de certification
demande pour déterminer Examen des
les compétences requises rapports d'audits
Conduite de
de l'équipe d'audit, choisir et prise de Audit
l'équipe d'audit
les membres de l'équipe décisions de
d'audit et déterminer la certification
Connaissances durée de l'audit
et savoir-faire
Connaissance des pratiques X X
managériales des entreprises
Connaissances des principes, X X+ X+
pratiques et techniques d'audit
Connaissance des X X X+ X+
normes/documents normatifs de
systèmes de management
spécifiques
Connaissance des processus de X X X X
l'organisme de certification
Connaissance du secteur X X X+ X+
professionnel du client
Connaissances des produits, des X X X
processus et de l'organisation du
client
Compétences en langues X X
appropriées à tous les niveaux au
sein de l'organisation du client
Savoir prendre des notes et rédiger X X
des rapports
Savoir-faire des présentations X X+
Savoir mener des entretiens X X
Savoir-faire en management des X X+
audits
Pour la connaissance des produits, des processus et de l'organisation du client, lorsqu'une équipe accomplit la mission, il est
nécessaire que l'expertise existe au sein de cette équipe ou qu'elle puisse être apportée par un expert technique. Lorsqu'un audit est
conduit par une équipe, il convient que le niveau de savoir-faire nécessaire soit détenu collectivement au sein de l'équipe et non par
chaque membre individuel de l'équipe.
Il convient que le responsable d'équipe d'un audit combiné ou intégré dispose d'un niveau de connaissances approfondi sur au moins
l'une des normes. Il est par ailleurs nécessaire qu'il soit au courant des autres normes utilisées pour cet audit particulier.
NOTE Le risque et la complexité sont d'autres éléments à prendre en compte lors de la détermination du niveau d'expertise
nécessaire pour chacune de ces fonctions.

© ISO 2011 – Tous droits réservés 37


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe B
(informative)

Méthodes possibles d'évaluation

IMPORTANT — La présente annexe est informative et n'a pas pour objet de constituer une exigence.

B.1 Généralités
La présente annexe a pour objet de donner des exemples de méthodes d'évaluation en vue d'aider les
organismes de certification.

Les méthodes d'évaluation des compétences des personnes peuvent être regroupées en cinq catégories
principales: revue des enregistrements, retour d'informations, entretiens, observations et examens. Ces
catégories peuvent être encore subdivisées. Ce qui suit constitue une brève description de chaque méthode,
son utilité et ses limites dans l'évaluation des connaissances et savoir-faire. Il est improbable que l'une
quelconque de ces méthodes, à elle seule, puisse confirmer les compétences.

Les méthodes (qui suivent) de B.2 à B.6 peuvent fournir des informations utiles sur les connaissances et
savoir-faire; elles sont plus efficaces quand elles sont conçues pour être utilisées avec des critères de
compétence précis issus du processus de détermination des compétences spécifié en 7.1.2 et en 7.1.3.

Suit, à titre d'exemple, dans l'Annexe C, un organigramme pour déterminer et maintenir les compétences.

B.2 Revue des enregistrements


Certains enregistrements constituent des indicateurs de connaissances, comme un curriculum vitae montrant
l'expérience professionnelle, l'expérience en matière d'audits, la formation initiale et la formation continue.

Certains enregistrements sont des indicateurs de savoir-faire, comme les rapports d'audit, les
enregistrements de l'expérience professionnelle, l'expérience en matière d'audit, la formation initiale et la
formation continue.

Il est improbable que ces enregistrements à eux seuls constituent des preuves de compétence suffisantes.

D'autres enregistrements sont des preuves directes de la démonstration d'une compétence, comme un
rapport d'évaluation de la performance d'un auditeur menant un audit.

B.3 Retour d'informations


Un retour d'informations direct des employeurs précédents peut constituer un indicateur de connaissances et
de savoir-faire, mais il est important de noter que, parfois, les employeurs ne divulguent pas d'informations
négatives.

Les références personnelles peuvent constituer un indicateur de connaissances et de savoir-faire. Il est


improbable qu'un candidat donne une référence personnelle qui fournirait des informations négatives.

Le retour d'informations par les pairs peut constituer un indicateur de connaissances et de savoir-faire. Ce
type de retour d'informations peut être influencé par les relations entre pairs.

Le retour d'informations des clients peut constituer un indicateur de connaissances et de savoir-faire. Pour un
auditeur, le retour d'informations peut être influencé par les résultats de l'audit.

38 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Le retour d'informations à lui seul ne constitue pas une preuve de compétence satisfaisante.

B.4 Entretiens
Les entretiens peuvent être utiles pour obtenir des informations sur les connaissances et savoir-faire.

Les entretiens d'embauche peuvent être utiles pour entrer dans le détail des informations fournies par le
curriculum vitae et l'expérience professionnelle passée sur les connaissances et savoir-faire.

Les entretiens à l'occasion des revues de performance peuvent apporter des informations spécifiques sur les
connaissances et savoir-faire.

Un entretien avec l'équipe d'audit pour une revue postérieure à l'audit peut apporter des informations utiles
sur les connaissances et les savoir-faire d'un auditeur. Il donne l'occasion de comprendre pourquoi un
auditeur a pris des décisions spécifiques, choisi des cheminements d'audit spécifiques, etc. Cette technique
peut être utilisée après un audit au cours duquel assiste un observateur et peut être aussi utilisée
ultérieurement au moment de l'examen du rapport d'audit écrit. Cette technique peut s'avérer particulièrement
utile pour déterminer les compétences relatives à un secteur technique spécifique.

Des preuves directes de démonstration de compétence peuvent s'obtenir dans le cadre d'un entretien
structuré avec des enregistrements appropriés par rapport à des critères de compétence spécifiés.

Des entretiens peuvent être utilisés pour évaluer les savoir-faire en langues, communication et interpersonnel.

B.5 Observations
Observer une personne en train d'accomplir une mission peut donner des preuves directes de la compétence
en mettant en œuvre des connaissances et des savoir-faire en vue d'atteindre un résultat souhaité. Cette
méthode d'évaluation est utile pour toutes les fonctions, le personnel administratif et de direction, ainsi que
pour les auditeurs et les responsables des décisions de certification. Le niveau de difficulté présenté par
l'audit constitue une limite à l'observation de l'auditeur réalisant un audit.

Il est utile d'observer périodiquement une personne pour confirmer le maintien de sa compétence.

B.6 Examens
Les examens écrits peuvent donner de bonnes preuves, bien documentées, des connaissances et, en
fonction des méthodes, des savoir-faire.

Un examen oral peut fournir de bonnes preuves des connaissances (en fonction de la compétence de
l'examinateur), mais des résultats limités sur les savoir-faire.

Les examens pratiques peuvent donner un résultat équilibré sur les connaissances et les savoir-faire, en
fonction du processus d'examen et de la compétence de l'examinateur. Les méthodes peuvent consister, par
exemple, en jeu de rôle, études de cas, simulation de stress ou situations en milieu de travail.

© ISO 2011 – Tous droits réservés 39


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe C
(informative)

Exemple d'un organigramme de détermination


et de maintien des compétences

IMPORTANT — La présente annexe est informative et n'a pas pour objet de constituer une exigence.

L'organigramme de la présente annexe montre un modèle de détermination des compétences du personnel


en identifiant les tâches spécifiques à réaliser, les connaissances et le savoir-faire spécifiques nécessaires
pour atteindre le résultat escompté. Ce tableau utilise les méthodes énumérées dans l'Annexe B.

40 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Détermination des Détermination


Identification des Identification des
critères de de la méthode Initiation (si
fonctions au sein capacités de
compétence pour d’évacuation nécessaire)
de l’OC l’équipe actuelle
chaque fonction des critères

Évaluation des Revue


écarts dans les - des connaissances
savoir-faire et les - des savoir-faire
connaissances - de l’expérience

OUI Bonne NON Établir programme


adéquation ? formation
f rmation / tutorat
fo

NON
Démonstration
Formation
des connaissances
eff
f icace ?
efficace
et savoir-faire

PDCA

Satisfaisant ?

OUI

OUI Détermination Engager auditeur


Secteurs
critères sur la spécialiste ou
spécifiques ?
base du risque expert technique
NON

NON NON

Détermination
OUI Critères NON Perfectionnement
OUI programme de
Compétent respectés ? des savoir-faire développement
possible ?
auditeurs

Revue OUI Perf


Perfectionnement
rfectionnement
périodique de savoir-faire
des savoir-
r fa
f ire
NON la compétence satisfaisant
satisfa
f isant ?

PDCA

Écart
identifié ?

OUI

OUI

Détermination
programme
de formation

NON

Formation
efficace
eff
f icace ?

PDCA

Figure C.1 — Exemple d'un organigramme de détermination et de maintien des compétences

© ISO 2011 – Tous droits réservés 41


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe D
(informative)

Comportements personnels souhaités

IMPORTANT — La présente annexe est informative et n'a pas pour objet de constituer unr exigence.

Des exemples de comportements personnels, importants pour le personnel impliqué dans des activités de
certification pour tout type de système de management, sont décrits ci-après:

a) intègre, c'est-à-dire juste, attaché à la vérité, sincère, honnête et discret;

b) ouvert d'esprit, c'est-à-dire soucieux de prendre en considération des idées ou des points de vue
différents;

c) diplomate, c'est-à-dire faisant preuve de tact et d'habileté dans les relations avec les autres;

d) coopératif, c'est-à-dire collaborant efficacement avec les autres;

e) observateur, c'est-à-dire activement attentif aux activités et à leur environnement;

f) perspicace, c'est-à-dire appréhendant instinctivement et capable de comprendre les situations;

g) polyvalent, c'est-à-dire ayant de la facilité à s'adapter à différentes situations;

h) tenace, c'est-à-dire persévérant, concentré sur l'atteinte des objectifs;

i) capable de décision, c‘est-à-dire capable de tirer en temps voulu des conclusions fondées sur un
raisonnement et une analyse logiques;

j) autonome, c'est-à-dire agissant et travaillant de son propre chef;

k) professionnel, c'est-à-dire ayant sur le lieu de travail un comportement courtois, consciencieux et


généralement sérieux;

l) courageux moralement, c'est-à-dire disposé à agir de façon responsable et éthique même si ces actions
peuvent ne pas être toujours populaires et parfois causer des désagréments ou une confrontation;

m) organisé, c'est-à-dire faisant montre d'une gestion du temps efficace, établissant des priorités, planifiant,
le tout avec efficacité.

La détermination des comportements est une détermination situationnelle et les faiblesses ne peuvent
apparaître que dans un contexte spécifique. Il convient que l'organisme de certification prenne une action
appropriée pour toute faiblesse identifiée qui pénalise l'activité de certification.

42 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe E
(informative)

Audit tierce partie et processus de certification


IMPORTANT — La présente annexe est informative et n'a pas pour objet de constituer une exigence.

La Figure E.1 représente un organigramme typique de processus. D'autres activités d'audit peuvent être
effectuées, par exemple une revue documentaire et des audits spéciaux. Pour la différence entre le cycle
d'audit et le cycle de certification, voir 9.1.1.2 et 9.3.2.2.

© ISO 2011 – Tous droits réservés 43


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Décision de certification initiale /


Expiration de la certification
Décision de renouvellement de certification

Cycle de certification de trois (3) ans

Activités de surveillance continue

Le client soumet Audits de surveillance Renouvellement de la certification


Le premier audit de surveillance doit se Les activités de renouvellement de la
sa demande de Certification initiale
dérouler dans les 12 mois suivant l’audit certification doivent être achevées avant la
certification initiale d’étape 2, puis au moins une fois par an date d’expiration de la certification

Echange Sélection et
Echange d’informations entre le client et l’OC (par exemple, modification
d’informations désignation de l’équipe
du périmètre de la certification) ; Déterminer si des changements au programme d’audit
entre le client compétente pour l’audit
sont nécessaires
et l’OC d’étape 1

Revue de la Planification de l’audit


Plan de l’audit de renouvellement
demande de
d’étape 1 de certification
certification

Identification des problèmes


et demande d’informations Réalisation de
Confirmer le programme d’audit et le communiquer au client
complémentaires l’audit d’étape 1
(le cas échéant)

Résolution des
Élaboration du problèmes de
programme d’audit l’audit d’étape 1
(le cas échéant)

Proposition de Confirmation/
certification et désignation de l’équipe
Confirmer/désigner l’équipe d’audit compétente
confirmation du compétente pour l’audit
programme d’audit d’étape 2

Le client et l’OC
Plan de l’audit
s’engagent dans un Plan audit(s) Plan de l’audit
de renouvellement
dispositif de certification d’étape 2 de surveillance
de la certification
formel

Réalisation de Réalisation audit(s)


Réalisation
l’audit de de renouvellement
audit(s) d’étape 2
surveillance de la certification

Résolution des Résolution des Résolution des problèmes


problèmes d’audit problèmes de l’audit de l’audit de renouvellement
d’étape 2 de surveillance de la certification
(le cas échéant) (le cas échéant) (le cas échéant)

Conclusions de
Conclusions de Conclusions de
l’audit de
l’audit de l’audit de
renouvellement
certification initiale surveillance
de la certification

Décision de Décision de renouvellement


certification initiale de la certification
Revue
indépendante de
la certification
(si nécessaire)
Délivrance de la certification Délivrance de la certification
initiale et émission des et émission des documents
documents de certification de certification

Confirmation du programme d’audit, des audits de suivi appropriés et des activités de surveillance, y compris la fréquence et la durée
Prendre en considération les audits spéciaux

Figure E.1 — Organigramme type de processus pour un audit tierce partie


et un processus de certification

44 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Annexe F
(informative)

Éléments à prendre en considération pour le programme,


le périmètre ou le plan d'audit

IMPORTANT — La présente annexe est informative et n'a pas pour objet de constituer une exigence.

F.1 Généralités
La présente annexe comporte une liste d'éléments qu'un organisme de certification peut étudier en élaborant
ou en révisant un programme d'audit, un périmètre ou un plan d'audit.

F.2 Liste des éléments à prendre en considération


La liste inclut les éléments suivants:

a) le périmètre et la complexité du système de management du client;

b) les produits et les processus (y compris les services);

c) la taille de l'organisme du client;

d) les sites à auditer;

e) la langue de l'organisme du client et les langues parlées et écrites;

f) les exigences du secteur ou les systèmes réglementaires;

g) les exigences et les attentes du client et de ses propres clients;

h) le nombre et les heures d'équipes;

i) la durée d'audit requise pour chaque activité d'audit;

j) les compétences de chaque membre de l'équipe d'audit;

k) la nécessité d'auditer des sites provisoires;

l) les résultats de l'audit d'étape 1 ou d'autres audits précédents;

m) les résultats d'autres activités de surveillance;

n) le niveau d'efficacité démontré du système de management;

o) la recevabilité de l'échantillonnage;

p) les plaintes des clients;

q) les plaintes reçues par l'organisme de certification sur le client;

r) le type de l'audit: combiné, intégré ou conjoint;

© ISO 2011 – Tous droits réservés 45


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

s) les modifications apportées à l'organisation du client, ses produits, ses processus ou ses systèmes de
management;

t) les modifications apportées aux exigences de certification;

u) les modifications apportées aux exigences légales;

v) les modifications apportées aux exigences d'accréditation;

w) le risque et la complexité;

x) les données de performances de l'organisation [par exemple niveaux d'anomalie, les données des
indicateurs clés de performance (ICP), etc.];

y) les préoccupations des parties intéressées;

z) les informations obtenues lors des audits précédents.

46 © ISO 2011 – Tous droits réservés


Extract from GDN - This document is a working copy
Saga Web pour EADS FRANCE le 7/6/2011 13:40 NF EN ISO/CEI 17021:2011-05

ISO/CEI 17021:2011(F)

Bibliographie

[1] ISO 9001:2000, Systèmes de management de la qualité — Exigences

[2] ISO 10002, Management de la qualité — Satisfaction des clients — Lignes directrices pour le
traitement des réclamations dans les organismes

[3] ISO 14001, Systèmes de management environnemental — Exigences et lignes directrices pour son
utilisation

[4] ISO 19011, Lignes directrices pour l'audit des systèmes de management

[5] ISO/CEI 17030:2003, Évaluation de la conformité — Exigences générales pour les marques de
conformité par tierce partie

[6] Guide ISO/CEI 28:2004, Évaluation de la conformité — Lignes directrices pour un système type de
certification des produits par une tierce partie

[7] ISO/TS 22003, Systèmes de management de la sécurité des denrées alimentaires — Exigences pour
les organismes procédant à l'audit et à la certification de systèmes de management de la sécurité des
denrées alimentaires

[8] ISO/CEI 27006, Technologies de l'information — Techniques de sécurité — Exigences pour les
organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information

© ISO 2011 – Tous droits réservés 47