Académique Documents
Professionnel Documents
Culture Documents
NORME
Licence pour utilisateur unique,copie et mise en réseau intrerdite.
ISO/IEC
INTERNATIONALE 17021-1
Première édition
2015-06-15
Évaluation de la conformité —
Exigences pour les organismes
procédant à l’audit et à la certification
des systèmes de management —
Partie 1:
Exigences
Conformity assessment — Requirements for bodies providing audit
and certification of management systems —
Part 1: Requirements
Numéro de référence
ISO/IEC 17021-1:2015(F)
© ISO/IEC 2015
Accordé sous licence par l'INNORPI à l' Université Virtuelle de Tunis
Bon de commande client n° 33/2016 du 08/03/2016
ISO/IEC
Licence pour 17021-1:2015(F)
utilisateur unique,copie et mise en réseau intrerdite.
Sommaire Page
Avant-propos............................................................................................................................................................................................................................... vi
Introduction............................................................................................................................................................................................................................. viii
1 Domaine d’application.................................................................................................................................................................................... 1
2 Références normatives.................................................................................................................................................................................... 1
3 Termes et définitions........................................................................................................................................................................................ 1
4 Principes........................................................................................................................................................................................................................ 4
4.1 Généralités................................................................................................................................................................................................... 4
4.2 Impartialité................................................................................................................................................................................................. 5
4.3 Compétence................................................................................................................................................................................................ 5
4.4 Responsabilité.......................................................................................................................................................................................... 5
4.5 Transparence............................................................................................................................................................................................. 6
4.6 Confidentialité.......................................................................................................................................................................................... 6
4.7 Traitement des plaintes.................................................................................................................................................................... 6
4.8 Approche fondée sur le risque................................................................................................................................................... 6
5 Exigences générales........................................................................................................................................................................................... 7
5.1 Domaine juridique et contractuel............................................................................................................................................ 7
5.1.1 Responsabilité juridique............................................................................................................................................ 7
5.1.2 Contrat de certification............................................................................................................................................... 7
5.1.3 Responsabilité en matière de décisions de certification................................................................ 7
5.2 Gestion de l’impartialité................................................................................................................................................................... 7
5.3 Responsabilité et situation financière................................................................................................................................. 9
6 Exigences structurelles................................................................................................................................................................................... 9
6.1 Organisation et direction................................................................................................................................................................ 9
6.2 Maîtrise opérationnelle................................................................................................................................................................. 10
7 Exigences relatives aux ressources.................................................................................................................................................10
7.1 Compétence du personnel.......................................................................................................................................................... 10
7.1.1 Considérations générales....................................................................................................................................... 10
7.1.2 Détermination des critères de compétence............................................................................................ 11
7.1.3 Processus d’évaluation............................................................................................................................................. 11
7.1.4 Autres considérations................................................................................................................................................ 11
7.2 Personnel intervenant dans les activités de certification................................................................................ 11
7.3 Intervention d’auditeurs et d’experts techniques externes individuels.............................................. 12
7.4 Enregistrements relatifs au personnel............................................................................................................................. 13
7.5 Externalisation...................................................................................................................................................................................... 13
8 Exigences relatives aux informations...........................................................................................................................................13
8.1 Informations publiques................................................................................................................................................................. 13
8.2 Documents de certification........................................................................................................................................................ 14
8.3 Référence à la certification et utilisation des marques...................................................................................... 15
8.4 Confidentialité....................................................................................................................................................................................... 16
8.5 Échange d’informations entre l’organisme de certification et ses clients......................................... 17
8.5.1 Informations relatives aux processus et aux exigences de certification........................ 17
8.5.2 Notification des modifications émanant d’un organisme de certification................... 17
8.5.3 Notification des modifications émanant d’un client certifié.................................................... 17
Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de l’IEC participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers de
l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent dans des domaines d’intérêt
commun. D’autres organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l’ISO et l’IEC participent également aux travaux. Dans le domaine de l’évaluation de la conformité,
le comité ISO pour l’évaluation de la conformité (CASCO) est responsable du développement de Normes
internationales et de Guides.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors
de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
L’ISO/IEC 17021-1 a été élaborée par le comité technique ISO/TC CASCO, Comité pour l’évaluation de
la conformité. Le projet a été soumis aux organismes nationaux de l’ISO et de l’IEC pour vote et a été
approuvé par les deux organisations.
Cette première édition de l’ISO/IEC 17021-1 annule et remplace l’ISO/IEC 17021:2011, qui a fait l’objet
d’une révision technique.
L’ISO/IEC 17021 comprend les parties suivantes, sous le titre général Évaluation de la conformité —
Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management:
— Partie 1: Exigences
— Partie 2: Exigences de compétence pour l’audit et la certification des systèmes de management
environnemental [Spécification technique]
— Partie 3: Exigences de compétence pour l’audit et la certification des systèmes de management de la
qualité [Spécification technique]
— Partie 4: Exigences de compétence pour l’audit et la certification des systèmes de management
responsable appliqués à l’activité événementielle [Spécification technique]
— Partie 5: Exigences de compétence pour l’audit et la certification des systèmes de gestion d’actifs
[Spécification technique]
— Partie 6: Exigences de compétence pour l’audit et la certification des systèmes de management de la
continuité d’activité [Spécification technique]
Introduction
La certification d’un système de management, tel que le système de management environnemental, d’un
système de management de la qualité ou d’un système de management de la sécurité de l’information
d’un organisme, est l’un des moyens permettant d’assurer que l’organisme a mis en application un
système pour gérer des aspects relatifs à ses activités, produits et services conformes à la politique de
l’organisme et aux exigences de la Norme internationale de système de management pertinente.
La présente partie de l’ISO/IEC 17021 spécifie des exigences applicables aux organismes procédant
à l’audit et à la certification des systèmes de management. Elle présente des exigences génériques
applicables aux organismes procédant à l’audit et à la certification dans le domaine des systèmes de
management de la qualité, de management environnemental et autres. Ces organismes sont appelés
« organismes de certification ». Le respect de ces exigences est destiné à assurer que ces organismes
gèrent la certification de systèmes de management avec compétence, et d’une façon cohérente et
impartiale, facilitant ainsi la reconnaissance de ces organismes et l’acceptation de leurs certifications
sur les plans national et international. La présente partie de l’ISO/IEC 17021 sert de base, dans l’intérêt
du commerce international, à la reconnaissance de la certification de systèmes de management.
La certification d’un système de management assure par une démonstration indépendante que le
système de management de l’organisme:
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu’il a déclarés;
c) est mis en œuvre de manière efficace.
L’évaluation de la conformité, telle que la certification d’un système de management apporte une plus-
value à l’organisme, à ses clients et aux parties intéressées.
L’Article 4 décrit les principes assurant une certification crédible. Ces principes facilitent la compréhension
de l’utilisateur quant à la nature essentielle de la certification. Ils constituent une introduction nécessaire
aux Articles 5 à 10. Ces principes représentent la trame des exigences contenues dans la présente partie
de l’ISO/IEC 17021. Il faut noter que ces principes ne sont pas des exigences auditables en tant que telles.
L’Article 10 décrit deux alternatives pour soutenir et démontrer que l’organisme de certification satisfait
de manière fiable au respect des exigences de la présente partie de l’ISO/IEC 17021 au moyen de la mise
en place d’un système de management.
Les activités de certification sont les activités individuelles qui constituent l’ensemble du processus
de certification allant de la revue de la demande à l’arrêt de la certification. L’Annexe E fournit une
illustration des interactions possibles entre nombre de ces activités.
La certification comprend l’audit du système de management d’un organisme. La manière d’attester
la conformité à une norme spécifique du système de management ou à d’autres exigences normatives
prend généralement la forme d’un document de certification ou d’un certificat.
La présente partie de l’ISO/IEC 17021 est applicable à l’audit et à la certification de tout type de
système de management. Il est admis que certaines des exigences, notamment celles se rapportant aux
compétences des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre
aux attentes des parties intéressées.
Dans la présente partie de l’ISO/IEC 17021, les formes verbales suivantes sont utilisées:
— « doit » indique une exigence;
— « il convient que » indique une recommandation;
— « peut » indique une permission, une possibilité ou une capacité.
Des informations supplémentaires peuvent être obtenues dans les Directives ISO/IEC, Partie 2.
1 Domaine d’application
La présente partie de l’ISO/IEC 17021 spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l’impartialité des organismes procédant à l’audit et à la certification de tous les types de
systèmes de management.
Les organismes de certification conformes à la présente partie de l’ISO/IEC 17021 ne sont pas tenus de
proposer tous les types de certification de système de management.
La certification de systèmes de management est une activité d’évaluation de la conformité par tierce
partie (voir l’ISO/IEC 17000:2004, 5.5) et les organismes exerçant cette activité sont par conséquent des
organismes d’évaluation de la conformité par tierce partie.
NOTE 1 Les exemples de systèmes de management incluent les systèmes de management environnemental, les
systèmes de management de la qualité, les systèmes de management de la sécurité de l’information.
NOTE 2 Dans la présente partie de l’ISO/IEC 17021, la certification de systèmes de management est désignée
« certification » et les organismes d’évaluation de la conformité par tierce partie sont désignés « organismes de
certification ».
NOTE 3 Un organisme de certification peut être gouvernemental ou non gouvernemental, avec ou sans pouvoir
réglementaire.
NOTE 4 La présente partie de l’ISO/IEC 17021 peut être utilisée comme référentiel pour l’accréditation,
l’évaluation par des pairs ou d’autres processus d’audit.
2 Références normatives
Les documents suivants, en totalité ou en partie, sont référencés de manière normative dans le présent
document et sont indispensables pour son application. Pour les références datées, seule l’édition citée
s’applique. Pour les références non datées, la dernière édition du document de référence s’applique (y
compris les éventuels amendements).
ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 9000, ISO/IEC 17000
ainsi que les suivants s’appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence d’objectivité
Note 1 à l’article: L’objectivité implique soit l’absence de conflit d’intérêts soit de trouver une solution à ces conflits
de manière à ne pas porter préjudice aux activités ultérieures de l’organisme de certification.
Note 2 à l’article: D’autres termes utiles utilisés pour véhiculer la notion d’impartialité incluent « indépendance »,
« absence de tout conflit d’intérêts », « probité », « non-discrimination », « neutralité », « justice », « ouverture
d’esprit », « équité », « désintéressement », « équilibre ».
3.3
conseil en matière de système de management
contribution à l’établissement, à la mise en œuvre ou à l’entretien d’un système de management
EXEMPLE 1 Préparation ou établissement de manuels ou de procédures.
Note 1 à l’article: Organiser des formations et y participer en tant que formateur ne relèvent pas des activités
de conseil, à condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits,
à fournir des informations et des conseils génériques; c’est-à-dire qu’il convient de ne pas fournir de solutions
spécifiques à un client.
Note 2 à l’article: La fourniture d’informations génériques, mais pas de solutions spécifiques à un client pour
améliorer des processus ou des systèmes, ne relève pas des activités de conseil. Ces informations peuvent inclure:
— le partage d’informations non confidentielles sur les bonnes pratiques associées;
— d’autres aspects du management qui ne sont pas couverts par le système de management audité.
3.4
audit de certification
audit réalisé par un organisme d’audit indépendant du client et des parties qui comptent sur la
certification, aux fins de certifier le système de management d’un client
Note 1 à l’article: Dans les définitions qui suivent, le terme « audit » est utilisé dans un but de simplification pour
se référer à l’audit tierce partie de certification.
Note 2 à l’article: Les audits de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, et peuvent aussi inclure des audits spéciaux.
Note 3 à l’article: Les audits de certification sont effectués, en règle générale, par les équipes d’audit des organismes
qui fournissent la certification de conformité aux exigences des normes de systèmes de management.
Note 4 à l’article: Un audit est « conjoint » quand au moins deux organismes d’audit participent à l’audit d’un client
unique.
Note 5 à l’article: Un audit est « combiné » quand un client est audité sur les exigences d’au moins deux normes de
systèmes de management.
Note 6 à l’article: Un audit est « intégré » quand un client a intégré la mise en œuvre des exigences d’au moins deux
normes de systèmes de management au sein d’un seul système de management et qu’il est audité sur au moins
deux normes.
3.5
client
organisme dont le système de management est audité à des fins de certification
3.6
auditeur
personne qui réalise un audit
3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.8
guide
personne nommée par le client pour assister l’équipe d’audit
3.9
observateur
personne qui accompagne l’équipe d’audit, mais qui n’audite pas
3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de
système de management et à ses résultats escomptés
Note 1 à l’article: voir Note en 7.1.2.
3.11
non-conformité
non-satisfaction d’une exigence
3.12
non-conformité majeure
non-conformité (3.11) qui affecte la capacité du système de management à atteindre les résultats
escomptés
Note 1 à l’article: Les non-conformités pourraient être classées comme majeures dans les circonstances suivantes:
— s’il existe un doute significatif quant à la mise en place d’une maîtrise efficace des processus ou que des produits
ou services rempliront les exigences spécifiées;
— plusieurs non-conformités mineures associées à la même exigence ou à un problème pouvant montrer une
défaillance systémique et ainsi constituer une non-conformité majeure.
3.13
non-conformité mineure
non-conformité (3.11) qui n’affecte pas la capacité du système de management à atteindre les résultats
escomptés
3.14
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
Note 1 à l’article: Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à
l’activité à auditer.
3.15
programme de certification
système d’évaluation de la conformité appliqué à des systèmes de management, auxquels s’appliquent
les mêmes exigences spécifiées, ainsi que des règles et procédures spécifiques
3.16
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit complet et efficace du système de
management de l’organisation du client
3.17
durée des audits de certification d’un système de management
partie du temps d’audit (3.16) consacrée à la réalisation d’activités d’audit, de la réunion d’ouverture à la
réunion de clôture incluse
Note 1 à l’article: Les activités d’audit incluent normalement:
4 Principes
4.1 Généralités
4.1.1 Les principes décrits dans cet article servent de base pour cette prestation spécifique et
les exigences décrites ci-après dans la présente partie de l’ISO/IEC 17021. La présente partie de
l’ISO/IEC 17021 ne fournit pas d’exigences spécifiques applicables à toutes les situations susceptibles
de survenir. Il convient de considérer ces principes comme des recommandations à appliquer en cas de
décisions à prendre dans des situations imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu’un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu’un système de management a été évalué de manière impartiale et compétente par une
tierce partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
— l’impartialité;
— la compétence;
— la responsabilité;
— la transparence;
— la confidentialité;
— le traitement des plaintes;
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être
impartial et perçu comme tel. Il est important que l’ensemble du personnel interne et externe soit
sensibilisé au besoin d’impartialité.
4.2.2 Le fait que les revenus d’un organisme de certification proviennent de ses clients qui paient pour
la certification constitue une menace potentielle pour l’impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d’un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées
par l’organisme de certification, et que les décisions ne soient pas faussées par d’autres intérêts ou
d’autres parties.
4.2.4 Les menaces qui pèsent sur l’impartialité peuvent inclure les suivantes, sans s’y limiter:
a) les intérêts personnels: cette menace est due au fait qu’une personne ou une entité agisse dans
son propre intérêt. Son intérêt financier représente une menace susceptible de compromettre
l’impartialité d’une certification;
b) l’autoévaluation: cette menace est due au fait qu’une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d’un client auquel l’organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l’autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d’entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves
lors des audits;
d) l’intimidation: cette menace est due au fait qu’une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d’être remplacée ou dénoncée à
sa hiérarchie.
4.3 Compétence
4.3.1 La compétence du personnel de l’organisme de certification pour toutes les fonctions impliquées
dans les activités de certification est nécessaire pour octroyer une certification qui donne confiance.
4.3.2 Il faut également que la compétence soit étayée par le système de management de l’organisme de
certification.
4.3.3 Il est capital que la direction de l’organisme de certification ait mis en œuvre un processus
permettant d’établir des critères de compétence pour le personnel impliqué dans l’audit et les autres
activités de certification et de réaliser une évaluation par rapport à ces critères.
4.4 Responsabilité
4.4.2 L’organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles
sur lesquelles est fondée la décision de certification. C’est sur la base des conclusions de l’audit et de
l’existence de preuves de conformité suffisantes qu’il prend la décision d’accorder ou de refuser la
certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d’un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu’un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations
non confidentielles sur les résultats d’audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4.6 Confidentialité
Afin d’obtenir l’accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière
appropriée la conformité aux exigences de certification, il est essentiel que l’organisme de certification
ne divulgue aucune information confidentielle.
5 Exigences générales
L’organisme de certification doit être une entité juridique ou une partie définie d’une entité juridique
pouvant être tenue juridiquement responsable de toutes ses activités de certification. Un organisme
de certification gouvernemental est considéré être une entité juridique sur la base de son statut
gouvernemental.
L’organisme de certification doit disposer d’un contrat juridiquement exécutoire avec chaque client pour
fournir des activités de certification conformément aux exigences pertinentes de la présente partie
de l’ISO/IEC 17021. En outre, lorsque l’organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l’organisme de certification doit assurer qu’il existe une relation contractuelle
juridiquement exécutoire entre l’organisme de certification octroyant la certification et le client,
couvrant tous les sites concernés par le périmètre de la certification.
NOTE Une relation contractuelle peut être obtenue au moyen de plusieurs contrats qui font référence les uns
aux autres ou qui sont liés de toute autre manière.
L’organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière
de certification, y compris l’octroi, le refus, le maintien de la certification, l’extension ou la réduction du
périmètre de la certification, le renouvellement, la suspension ou le rétablissement après la suspension,
ou le retrait de la certification.
5.2.1 Les activités d’évaluation de la conformité doivent être menées de manière impartiale. L’organisme
de certification doit être responsable de l’impartialité de ses activités d’évaluation de la conformité et ne
doit laisser aucune pression commerciale, financière ou autre compromettre cette impartialité.
5.2.2 La direction de l’organisme de certification doit s’engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L’organisme de certification doit disposer d’une politique
par laquelle il reconnaît l’importance de l’impartialité dans l’exercice de ses activités de certification des
systèmes de management, et qu’il assure la bonne gestion des conflits d’intérêts et l’objectivité de ses
activités de certification de systèmes de management.
5.2.3 L’organisme de certification doit disposer d’un processus pour identifier, analyser, évaluer, traiter,
surveiller et documenter les risques liés aux conflits d’intérêts résultant de la certification envisagée,
y compris tous les conflits dus à ses propres relations, de façon continue. En cas de menaces pour
l’impartialité, l’organisme de certification doit documenter et apporter la preuve de la manière dont il
élimine ou limite ces menaces au minimum et documenter tout risque résiduel. La démonstration doit
couvrir toutes les menaces potentielles identifiées, que ce soit au sein de l’organisme de certification
ou du fait des activités d’autres personnes, entités ou organismes. Lorsqu’une relation menace de
compromettre l’impartialité de manière inacceptable (par exemple dans le cas d’une filiale appartenant
100 % à l’organisme de certification demandant une certification de sa société mère), la prestation de
certification ne doit pas être fournie.
La direction doit passer en revue tout risque résiduel afin de déterminer s’il se situe dans les limites d’un
risque acceptable.
Le processus d’évaluation des risques doit comprendre l’identification et la consultation des parties
intéressées appropriées, pour donner des conseils sur des sujets affectant l’impartialité, y compris
la transparence et l’image publique. La consultation des parties intéressées appropriées doit être
équilibrée, sans prédominance d’un intérêt particulier.
NOTE 1 Les sources des menaces compromettant l’impartialité de l’organisme de certification peuvent résulter
de facteurs tels que la propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation
financière, les contrats, la formation, la commercialisation, le paiement de commissions sur les ventes ou autres
incitations d’apporter de nouveaux clients, etc.
NOTE 2 Les parties intéressées peuvent inclure le personnel et les clients de l’organisme de certification,
les clients des organismes dont les systèmes de management sont certifiés, les représentants d’organismes
professionnels, les représentants des organismes gouvernementaux chargés de la réglementation ou autres
services gouvernementaux, ou les représentants d’organismes non gouvernementaux, y compris les associations
de consommateurs.
NOTE 3 Une manière de satisfaire à l’exigence de consultation de ce paragraphe consiste à réunir ces parties
intéressées en un comité.
5.2.4 Un organisme de certification ne doit pas certifier le système de management de la qualité d’un
autre organisme de certification.
5.2.5 Un organisme de certification et toute autre partie de la même entité juridique et toute entité sous
le contrôle organisationnel de l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas proposer
ou fournir des prestations de conseil en matière de système de management. Cela s’applique également à
une partie d’une entité gouvernementale identifiée comme organisme de certification.
NOTE Cela n’exclut pas la possibilité d’échange d’informations (par exemple explication des constats ou
clarification des exigences) entre l’organisme de certification et ses clients.
5.2.6 La réalisation d’audits internes par l’organisme de certification et toute autre partie de la
même entité juridique à ses clients certifiés constitue une menace significative pour l’impartialité. Par
conséquent, l’organisme de certification et toute autre partie de la même entité juridique et toute entité
sous le contrôle organisationnel de l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas
proposer ou fournir des prestations d’audits internes à ses clients certifiés. Il est reconnu que pour
atténuer cette menace, l’organisme de certification ne doit pas certifier un système de management pour
lequel il effectue des audits internes, et ce au moins dans les deux années qui suivent la fin des audits
internes.
NOTE Voir Note 1 de 5.2.3.
5.2.7 Lorsqu’un client a reçu des conseils en matière de systèmes de management de la part d’un
organisme qui est en relation avec un organisme de certification, cela constitue une menace significative
pour l’impartialité. Il est reconnu que pour atténuer cette menace, l’organisme de certification ne doit
pas certifier le système de management de ce client au moins dans les deux années qui suivent la fin de
l’activité de conseil.
NOTE Voir Note 1 de 5.2.3.
5.2.8 L’organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en
matière de système de management dans la mesure où ce fait constitue une menace inacceptable à
l’impartialité de l’organisme de certification (voir 7.5). Cela ne s’applique pas aux auditeurs individuels
sous contrat tel que spécifié en 7.3.
5.2.9 Les activités de l’organisme de certification ne doivent pas être présentées ou proposées comme
liées aux activités d’un organisme de conseil en matière de système de management. L’organisme de
certification doit prendre des mesures appropriées pour corriger les liens ou les déclarations inappropriés
d’un organisme de conseil déclarant ou suggérant que la certification serait plus simple, plus facile,
plus rapide ou moins onéreuse si l’on faisait appel à un organisme de certification donné. De même, un
organisme de certification ne doit pas déclarer ou suggérer que la certification serait plus simple, plus
facile, plus rapide ou moins onéreuse si l’on faisait appel à un organisme de conseil spécifié.
5.2.10 Afin de garantir l’absence de conflit d’intérêts, le personnel s’étant chargé d’une activité de conseil,
y compris les personnes agissant dans une structure de direction, ne doit pas participer, pour le compte
de l’organisme de certification, à un audit ou à des activités de certification s’il a pris part à des activités
de conseil sur le même système de management vis-à-vis du client. Il est reconnu que pour atténuer cette
menace, il ne doit pas être fait appel à ce personnel au moins dans les deux années qui suivent la fin de
l’activité de conseil.
5.2.11 L’organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est
menacée par les actions d’individus, d’organismes ou d’organisations.
5.2.12 L’ensemble du personnel de l’organisme de certification, qu’il soit interne ou externe, et les
comités qui pourraient influencer les activités de certification, doivent agir de manière impartiale et
ne pas permettre que toutes pressions, commerciales, financières ou autres puissent compromettre
l’impartialité.
5.2.13 Les organismes de certification doivent exiger du personnel, qu’il soit interne ou externe, de leur
révéler toute situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l’organisme
de certification un conflit d’intérêts. Les organismes de certification doivent enregistrer et utiliser ces
informations comme données d’entrée pour identifier les menaces que font peser sur l’impartialité les
activités de ce personnel ou des organismes qui les emploient et ne doivent pas faire appel à ce personnel,
qu’il soit interne ou externe, sauf s’ils peuvent apporter la preuve qu’il n’y a pas de conflit d’intérêts.
5.3.1 L’organisme de certification doit apporter la preuve qu’il a évalué les risques significatifs résultant
de ses activités de certification et qu’il a pris les dispositions appropriées (par exemple assurance ou
réserves) pour couvrir les responsabilités résultant de ses opérations dans chacun de ses domaines
d’activités et pour chacune des zones géographiques où il opère.
5.3.2 L’organisme de certification doit évaluer sa situation financière et ses sources de revenus et doit
apporter la preuve, dès l’origine et par la suite, que toutes pressions commerciales, financières ou autres
ne compromettent pas son impartialité.
6 Exigences structurelles
6.1.2 Les activités de certification doivent être structurées et gérées de manière à préserver l’impartialité.
6.1.3 L’organisme de certification doit identifier la direction (comité directeur, groupe de personnes ou
personne) ayant l’autorité globale et la responsabilité de chacun des points suivants:
6.1.4 L’organisme de certification doit disposer de règles formelles régissant la désignation, les missions
et le fonctionnement de tous les comités engagés dans les activités de certification.
6.2.1 L’organisme de certification doit disposer d’un processus de maîtrise efficace des activités de
certification exercées par ses succursales, partenaires, mandataires, franchisés, etc., quel que soit leur
statut juridique, leurs relations ou leur localisation géographique. L’organisme de certification doit tenir
compte du risque que ces activités présentent pour la compétence, la cohérence et l’impartialité de
l’organisme de certification.
L’organisme de certification doit disposer de processus lui garantissant que le personnel a des
connaissances et un savoir-faire appropriés concernant les types de systèmes de management (par
exemple, systèmes de management environnemental, systèmes de management de la qualité, systèmes
de management de la sécurité de l’information) et les zones géographiques qui entrent dans son
périmètre d’action.
L’organisme de certification doit disposer d’un processus pour déterminer les critères de compétences des
membres du personnel impliqués dans le management et la réalisation des audits et des autres activités
de certification. Les critères de compétence doivent être déterminés en fonction des exigences propres
à chaque type de norme ou de spécification de système de management, pour chaque secteur technique
et pour chaque fonction du processus de certification. Les données de sortie du processus doivent être
les critères documentés des connaissances et du savoir-faire exigés, nécessaires à la réalisation efficace
des missions d’audit et de certification à remplir pour atteindre les résultats escomptés. L’Annexe A
spécifie les connaissances et le savoir-faire qu’un organisme de certification doit définir pour remplir
des fonctions spécifiques. Quand des critères de compétences supplémentaires ont été déterminés
pour une norme ou programme de certification spécifique (par exemple ISO/IEC/TS 17021-2, ISO/IEC/
TS 17021-3 ou ISO/TS 22003), ce sont ces critères supplémentaires qui doivent s’appliquer.
NOTE Le terme « secteur technique » s’applique de façon différente en fonction de la norme de système de
management considérée. Quel que soit le système de management, le terme s’applique aux produits, processus
et services entrant dans le domaine d’application de la norme du système de management. Le secteur technique
peut être défini par un programme de certification spécifique (par exemple l’ISO/TS 22003); sinon, il peut
être déterminé par l’organisme de certification. Il sert à couvrir un certain nombre d’autres termes tels que
« domaines », « catégories », « secteurs » etc. qui sont traditionnellement utilisés dans différentes disciplines de
systèmes de management.
L’organisme de certification doit disposer de processus documentés d’évaluation initiale des compétences
et de la surveillance continue des compétences et des performances de tous les membres du personnel
impliqués dans le management et la réalisation des audits et d’autres activités de certification, en
appliquant les critères de compétence déterminés. L’organisme de certification doit démontrer que
ses méthodes d’évaluation sont efficaces. Les données de sortie de ces processus doivent permettre
d’identifier le personnel ayant démontré le niveau de compétences requis pour les différentes fonctions
du processus d’audit et de certification. Les compétences doivent être démontrées avant que la personne
ne prenne la responsabilité de la réalisation de leurs activités au sein de l’organisme de certification.
NOTE 1 L’Annexe B décrit un certain nombre de méthodes d’évaluation des compétences pouvant être utilisées.
L’organisme de certification doit pouvoir faire appel à l’expertise technique nécessaire pour conseiller
sur des sujets relevant directement des activités de certification de tous les domaines techniques, de
types de système de management et des zones géographiques qui entrent dans son périmètre d’action.
Ces conseils peuvent être prodigués par des personnes extérieures ou par le personnel de l’organisme
de certification.
7.2.1 L’organisme de certification doit employer suffisamment de personnel compétent pour gérer et
prendre en charge le type et la gamme de programmes d’audit ainsi que les autres tâches de certification
effectuées.
7.2.2 L’organisme de certification doit employer ou pouvoir faire appel à un nombre suffisant
d’auditeurs, y compris pour les responsables d’équipe d’audit et les experts techniques, pour couvrir la
totalité de ses activités et traiter le volume de travail représenté par les audits à effectuer.
7.2.3 L’organisme de certification doit définir clairement pour chaque personne concernée quels sont
ses devoirs, ses responsabilités et ses autorités.
7.2.4 L’organisme de certification doit disposer de processus lui permettant de sélectionner, former,
autoriser formellement les auditeurs et choisir et familiariser les experts techniques auxquels il fait appel
dans le processus de certification. L’évaluation initiale des compétences d’un auditeur doit passer par
une démonstration de sa capacité à mettre en œuvre, durant les audits, les connaissances et savoir-faire
nécessaires qui sont déterminés par un évaluateur compétent observant l’auditeur durant un audit.
NOTE Pendant le processus de sélection et de formation décrit ci-dessus, les comportements personnels
souhaités peuvent être pris en compte. Ce sont des caractéristiques qui influencent la capacité d’une personne
à réaliser des fonctions spécifiques. Par conséquent, le fait de connaître le comportement des personnes permet
à un organisme de certification de tirer avantage de leurs forces et de réduire au minimum l’impact de leurs
faiblesses. L’Annexe D décrit les comportements personnels souhaités qui présentent de l’importance pour le
personnel impliqué dans les activités de certification.
7.2.5 L’organisme de certification doit disposer d’un processus pour obtenir et démontrer l’efficacité
des audits, comprenant le déploiement d’auditeurs et de responsables d’équipe d’audit ayant aussi
bien des compétences et connaissances génériques que des compétences et connaissances spécifiques
nécessaires pour auditer dans des domaines techniques particuliers.
7.2.6 L’organisme de certification doit assurer que les auditeurs (et, le cas échéant, les experts
techniques) connaissent les processus d’audit, les exigences de la certification ainsi que les autres exigences
applicables. L’organisme de certification doit permettre aux auditeurs et aux experts techniques d’avoir
accès à une collection de procédures documentées à jour donnant des instructions d’audit et toutes les
informations pertinentes sur les opérations de certification.
7.2.7 L’organisme de certification doit identifier les besoins en formation et proposer ou donner accès
à des formations spécifiques afin que ses auditeurs, experts techniques et autres personnes intervenant
dans les activités de certification aient les compétences requises pour les fonctions qu’ils exercent.
7.2.8 Le groupe ou la personne qui prend la décision de l’octroi, du refus, du maintien, du renouvellement,
de la suspension, du rétablissement, ou du retrait de la certification, ou de l’extension ou de la réduction du
périmètre de la certification doit comprendre les exigences applicables de la norme et de la certification,
et doit avoir démontré ses compétences pour évaluer les résultats des processus d’audit, y compris les
recommandations correspondantes de l’équipe d’audit.
7.2.9 L’organisme de certification doit assurer des performances satisfaisantes de la part de tout le
personnel impliqué dans les activités d’audit et autres activités de certification. Il doit exister un processus
documenté pour surveiller les compétences et les performances de toutes les personnes impliquées, en se
fondant sur la fréquence de leurs interventions et sur le niveau de risque lié à leurs activités. L’organisme
de certification doit notamment procéder à une revue et à un enregistrement de compétence de son
personnel à la lumière de leurs performances afin d’identifier les besoins de formation.
7.2.10 L’organisme de certification doit surveiller chaque auditeur en tenant compte de chaque type
de système de management pour lequel l’auditeur est jugé compétent. Le processus documenté de
surveillance des auditeurs doivent prévoir une combinaison d’évaluation sur site, de revues des rapports
d’audit et de retours d’information des clients ou du marché. Cette surveillance doit être conçue de façon
à perturber au minimum le déroulement normal des processus de certification, notamment du point de
vue du client.
7.2.11 L’organisme de certification doit évaluer régulièrement les performances de chaque auditeur sur
site. La fréquence des évaluations sur site doit être établie en fonction du besoin déterminé à partir de
l’ensemble des informations recueillies pendant le processus de surveillance.
la confidentialité et à l’impartialité, et exiger des auditeurs et experts techniques externes qu’ils lui
indiquent toute relation existante ou passée qu’ils entretiennent ou ont pu entretenir avec l’organisme
qu’ils peuvent être amenés à auditer.
NOTE L’intervention d’une personne ou d’un employé d’un autre organisme sous contrat en tant qu’auditeur
externe ou expert technique ne constitue pas une externalisation.
7.5 Externalisation
7.5.1 L’organisme de certification doit avoir un processus décrivant les conditions dans lesquelles
une externalisation peut se produire (sous-traitance à un autre organisme d’une partie des activités de
certification pour le compte de l’organisme de certification). L’organisme de certification doit disposer
d’un accord juridiquement exécutoire couvrant les dispositions adoptées, y compris la confidentialité et
les conflits d’intérêts, avec chaque organisme sous-traitant.
a) assumer l’entière responsabilité de toutes les activités externalisées auprès d’un autre organisme;
b) assurer que l’organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, respectent les
exigences de l’organisme de certification ainsi que les dispositions applicables de la présente partie
de l’ISO/IEC 17021, y compris en ce qui concerne les compétences, l’impartialité et la confidentialité;
c) assurer que l’organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, ne sont
pas liés, directement ou par le biais d’un autre employeur, à l’organisme à auditer d’une manière
susceptible de compromettre l’impartialité.
7.5.4 L’organisme de certification doit disposer d’un processus pour l’approbation et la surveillance
de tous les sous-traitants auxquels il fait appel pour les activités de certification et doit assurer que les
enregistrements relatifs aux compétences de l’ensemble du personnel impliqué dans les activités de
certification sont conservés.
NOTE 1 Pour 7.5.1 à 7.5.4, lorsque l’organisme de certification engage des personnes ou des employés d’autres
organismes afin de fournir des ressources ou une expertise supplémentaires, ces personnes ne constituent pas
une externalisation dès lors qu’elles sont individuellement sous contrat pour opérer dans le cadre du système de
management de l’organisme de certification (voir 7.3).
NOTE 2 Pour 7.5.1 à 7.5.4, les termes « externalisation » et « sous-traitance » sont considérés comme synonymes.
8.1.1 L’organisme de certification doit conserver (par le biais de publications, de supports électroniques
ou d’autres moyens) et rendre publiques, sans avoir à en faire la demande et dans toutes les zones
géographiques qui entrent dans son périmètre d’action, les informations concernant:
8.1.2 L’organisme de certification doit fournir, sur demande, les informations concernant
NOTE 2 L’organisme de certification peut également rendre publiques les informations figurant en 8.1.2 par
tous les moyens de son choix sans avoir à en faire la demande, par exemple sur son site Web.
8.1.3 L’organisme de certification doit s’assurer que les informations qu’il fournit au client ou au
marché, y compris la publicité, ne sont ni fausses ni trompeuses.
8.2.1 L’organisme de certification doit fournir des documents de certification au client certifié par tous
les moyens de son choix.
a) le nom et la localisation géographique de chaque client certifié (ou bien la localisation géographique
du siège social et celle de tous les sites rattachés à une certification multisite);
b) la date d’entrée en vigueur de la délivrance, de l’extension ou de la réduction du périmètre de la
certification, ou du renouvellement de la certification, qui ne doit pas être antérieure à la date de la
décision de certification correspondante;
NOTE L’organisme de certification peut conserver la date de certification initiale sur le certificat
lorsqu’un certificat expire pendant un certain temps à condition que:
— la date de début et la date d’expiration du cycle de certification actuel soient clairement indiquées;
— la date d’expiration du dernier cycle de certification soit indiquée avec la date de l’audit de renouvellement
de la certification;
f) le périmètre de la certification en fonction du type d’activités, de produits et de services, etc., tel que
défini pour chaque site, sans qu’il ne soit ni trompeur, ni ambigu;
g) le nom, l’adresse et la marque de certification de l’organisme de certification; d’autres marques
(telles que la marque d’accréditation, le logo du client) peuvent être utilisées sous réserve qu’elles
ne soient ni trompeuses, ni ambiguës;
h) toute autre information requise par la norme et/ou tout autre document normatif utilisé pour la
certification;
i) dans le cas d’une révision de documents de certification, un moyen de distinguer les versions en
vigueur par rapport aux versions précédentes périmées.
8.3.1 Un organisme de certification doit disposer de règles régissant toute marque de certification de
système relative aux systèmes de management qu’il autorise des clients certifiés à utiliser. Ces règles
doivent, entre autres, garantir la traçabilité vers l’organisme de certification. Il ne doit y avoir aucune
ambiguïté dans la marque ou le texte d’accompagnement en ce qui concerne l’objet de la certification
et l’organisme qui a accordé la certification. Cette marque ne doit pas être utilisée sur un produit ni un
emballage de produit ni de toute autre manière pouvant être interprétée comme une indication de la
conformité dudit produit.
NOTE L’ISO/IEC 17030 fournit les informations supplémentaires relatives à l’utilisation des marques de
tierces parties.
8.3.2 Un organisme de certification ne doit pas autoriser l’apposition de ses marques par les clients
certifiés sur les rapports de laboratoire d’essai, sur les rapports d’étalonnage ou d’inspection ou sur les
certificats.
8.3.3 Un organisme de certification doit disposer de règles régissant l’utilisation de toute mention
sur l’emballage du produit ou sur les documents d’accompagnement indiquant que le client certifié
dispose d’un système de management certifié. L’emballage du produit correspond à celui qui peut être
retiré sans casser ni endommager le produit. Les documents d’accompagnement sont considérés comme
étant disponibles séparément ou facilement détachables. Les étiquettes ou les plaques signalétiques
sont considérées comme faisant partie du produit. La mention ne doit en aucun cas sous-entendre que le
produit, processus ou service est certifié par ce biais. Elle doit comprendre une référence:
8.3.4 Par le biais de dispositions juridiquement exécutoires, l’organisme de certification doit exiger que
le client certifié:
8.3.5 L’organisme de certification doit exercer une maîtrise appropriée des droits de propriété et doit
agir pour traiter toute référence incorrecte au statut de la certification ou tout usage abusif des documents,
des marques de certification ou des rapports d’audit.
NOTE Une telle action pourrait entraîner une demande de correction et d’action corrective, la suspension ou
le retrait du certificat, la publication de l’infraction et, si approprié, une action en justice.
8.4 Confidentialité
8.4.1 Dans le cadre des engagements juridiquement exécutoires, l’organisme de certification doit être
responsable de la gestion de toutes les informations obtenues ou générées au cours de ses activités de
certification à tous les niveaux de son organisation, y compris celui des comités et des organismes ou
personnes externes agissant en son nom.
8.4.2 L’organisme de certification doit indiquer au client, à l’avance, les informations qu’il a l’intention
de rendre publiques. Toutes les autres informations, à l’exception de celles rendues publiques par le
client, doivent être considérées comme confidentielles.
8.4.3 Sauf spécification contraire dans la présente partie de l’ISO/IEC 17021, les informations relatives
à un client certifié ou à une personne en particulier ne doivent pas être divulguées à un tiers sans le
consentement écrit du client certifié ou de la personne qui les a fournies.
8.4.4 Lorsqu’un organisme de certification est tenu par la loi, ou autorisé par des dispositions
contractuelles (comme avec l’organisme d’accréditation), à divulguer des informations confidentielles, le
client ou la personne en question doit être avisé, sauf si la loi l’interdit, des informations fournies.
8.4.5 Les informations relatives au client obtenues par d’autres sources que le client lui-même (par
exemple plaignant, autorités de réglementation) doivent être considérées comme confidentielles,
conformément à la politique de l’organisme de certification.
8.4.6 Le personnel, mais aussi tous les membres des comités, les fournisseurs, le personnel
d’organismes ou de personnes externes agissant au nom de l’organisme de certification, doivent préserver
la confidentialité de toutes les informations obtenues ou générées au cours des activités de l’organisme
de certification, sauf spécification contraire dans la loi.
L’organisme de certification doit fournir à ses clients les informations suivantes à jour:
a) une description détaillée du processus de certification initiale et en cours, y compris la demande,
les audits initiaux, les audits de surveillance et le processus d’octroi, de refus, de maintien de la
certification, d’extension ou de réduction du périmètre de la certification, de renouvellement, de
suspension ou de rétablissement, ou de retrait de la certification;
b) les exigences normatives relatives à la certification;
c) des informations relatives aux tarifs correspondants à la demande, à la certification initiale et au
maintien de la certification;
d) les exigences de l’organisme de certification pour que les clients:
1) se conforment aux exigences de certification;
2) prennent toutes les dispositions nécessaires pour la conduite des audits, y compris les
dispositions en vue de l’examen de la documentation et de l’accès à tous les processus et
zones, enregistrements et personnels pour les besoins de la certification initiale, des audits de
surveillance, du renouvellement de la certification et du traitement des plaintes;
3) prennent, le cas échéant, des dispositions pour accepter les observateurs (par exemple les
évaluateurs d’accréditation ou un auditeur en cours de formation);
e) les documents décrivant les droits et devoirs des clients certifiés, y compris les exigences à respecter
pour faire référence à sa certification dans sa communication, conformément aux exigences de 8.3;
f) des informations relatives aux processus de traitement des plaintes et appels.
L’organisme de certification doit dûment aviser ses clients certifiés de toute modification qu’il envisage
d’apporter à ses exigences en matière de certification. Il doit vérifier que chaque client certifié se
conforme aux nouvelles exigences.
L’organisme de certification doit prendre des dispositions exécutoires pour assurer que le client certifié
l’informe sans délai des questions qui peuvent compromettre la capacité du système de management
à continuer de se conformer aux exigences de la norme utilisée pour la certification, par exemple des
modifications concernant:
a) son statut juridique, commercial, ses propriétaires ou l’organisation;
b) l’organisation et le management (par exemple le personnel clé tel que les dirigeants, les décisionnaires
ou les techniciens);
c) les coordonnées de la personne à contacter et les sites principaux;
d) le périmètre des opérations réalisées dans le cadre du système de management certifié;
e) les modifications importantes apportées au système de management et aux processus.
L’organisme de certification doit prendre les mesures appropriées.
9.1.2.1 L’organisme de certification doit effectuer une revue de la candidature et des informations
complémentaires concernant la certification pour assurer que:
a) les informations relatives à l’organisme candidat et à son système de management sont suffisantes
pour élaborer un programme d’audit (voir 9.1.3);
b) tout malentendu identifié entre l’organisme de certification et l’organisme candidat est résolu;
c) l’organisme de certification a la compétence et la capacité d’effectuer la prestation de certification;
d) le périmètre de la certification recherchée, le (les) site(s) où l’organisme candidat réalise ses
interventions, la durée requise pour réaliser les audits ainsi que tout autre point ayant une influence
sur les activités de certification sont pris en compte (tels que la langue, les conditions de sécurité, les
menaces pour l’impartialité, etc.).
9.1.2.2 Suite à la revue de la demande, l’organisme de certification doit soit accepter, soit refuser la
demande de certification. Lorsque l’organisme de certification refuse une demande de certification suite
à la revue de la demande, il doit documenter les raisons de son refus et les indiquer clairement au client.
9.1.2.3 Sur la base de cette revue, l’organisme de certification doit déterminer les compétences
nécessaires pour l’équipe d’audit à missionner et pour la décision de certification.
9.1.3.1 Un programme d’audit d’un cycle complet de certification doit être élaboré pour identifier
clairement la (les) activité(s) d’audit requise(s) pour démontrer que le système de management du client
répond aux exigences de la certification suivant la (les) norme(s) ou autres documents normatifs choisis.
Le programme d’audit pour le cycle de certification doit couvrir l’ensemble des exigences relatives au
système de management.
9.1.3.2 Le programme d’audit pour la certification initiale doit comprendre un audit initial en deux étapes,
des audits de surveillance durant la première et la deuxième années après la décision de certification et un
NOTE 2 La liste suivante énumère des éléments supplémentaires qui peuvent être pris en compte lors de
l’élaboration ou de la révision d’un programme d’audit et qu’il peut également être nécessaire de prendre en
compte lors de la détermination du périmètre de l’audit et de l’élaboration du plan d’audit:
— les données de performances de l’organisation [par exemple niveaux d’anomalies, les données des indicateurs
clés de performance, etc.);
NOTE 3 Si elle est spécifiée par le programme de certification spécifique au secteur, la durée du cycle de
certification peut ne pas être de trois ans.
9.1.3.3 Les audits de surveillance doivent être effectués au moins une fois par année civile, excepté
les années de renouvellement de la certification. La date du premier audit de surveillance suivant la
certification initiale doit être fixée dans un délai maximal de douze mois à compter de la date de décision
de certification.
NOTE Il peut être nécessaire d’adapter la fréquence des audits de surveillance afin de prendre en compte
des facteurs tels que la saisonnalité ou la certification de systèmes de management sur une durée limitée (par
exemple site de construction temporaire).
9.1.3.4 Si l’organisme de certification tient compte de la certification déjà accordée au client et des audits
réalisés par un autre organisme de certification, il doit obtenir et conserver des preuves suffisantes, telles
que des rapports et la documentation des actions correctives, en cas de non-conformité. La satisfaction
des exigences de la présente partie de l’ISO/IEC 17021 doit être étayée par la documentation conservée.
L’organisme de certification doit, en se basant sur les informations obtenues, justifier et enregistrer tout
ajustement du programme d’audit existant et suivre la mise en œuvre des actions correctives concernant
les non-conformités antérieures.
9.1.3.5 Lorsque le client gère des équipes, les activités qui ont lieu pendant les rotations des équipes
doivent être prises en compte lors de l’élaboration du programme d’audit et des plans d’audit.
9.1.4.2 Lorsqu’il détermine le temps d’audit, il convient que l’organisme de certification tienne compte,
entre autres, des aspects suivants:
NOTE 2 L’organisme de certification peut utiliser les lignes directrices établies dans l’ISO/IEC/TS 17023 pour
déterminer la durée de l’audit du système de management lors de la rédaction de ces procédures.
Quand des critères de compétences supplémentaires ont été déterminés pour un programme de
certification spécifique, par exemple l’ISO/TS 22003 ou l’ISO/IEC 27006, ces critères doivent être
appliqués.
9.1.4.4 Le temps passé par un membre quelconque de l’équipe qui n’a pas été désigné comme auditeur
(c’est-à-dire les experts techniques, les traducteurs, les interprètes, les observateurs et les auditeurs en
formation) ne doit pas être compté dans la durée de l’audit du système de management déterminée ci-
dessus.
NOTE Le recours à des traducteurs et à des interprètes, peut nécessiter du temps supplémentaire.
9.2.1.1 Les objectifs de l’audit doivent être déterminés par l’organisme de certification. Le périmètre de
l’audit et ses critères, y compris toutes modifications, doivent être établis par l’organisme de certification
après discussion avec le client.
9.2.1.2 Les objectifs de l’audit doivent décrire ce qui doit être réalisé par l’audit et doivent comporter:
9.2.1.3 Le périmètre de l’audit doit décrire l’étendue et les limites de l’audit, comme des sites, des
unités organisationnelles, des activités et des processus à auditer. Lorsque le processus initial ou de
renouvellement de la certification comprend plus d’un audit (par exemple lorsqu’il couvre différents
sites), le périmètre de l’audit individuel peut ne pas couvrir la totalité du périmètre de la certification,
mais l’ensemble des audits doit correspondre au périmètre du document de certification.
9.2.1.4 Les critères d’audit doivent servir de référence pour la détermination de la conformité et doivent
comprendre:
— les exigences d’un document normatif défini sur les systèmes de management;
— les processus définis et la documentation du système de management élaboré par le client.
9.2.2.1 Généralités
9.2.2.1.2 En décidant de la taille et de la composition de l’équipe d’audit, les points suivants doivent
être pris en considération:
a) les objectifs de l’audit, son périmètre, ses critères, et la durée estimée de l’audit;
b) si l’audit est un audit combiné, conjoint ou intégré;
c) les compétences d’ensemble de l’équipe d’audit nécessaires pour atteindre les objectifs de l’audit
(voir le Tableau A.1);
d) les exigences de la certification (y compris toutes les exigences légales, réglementaires ou
contractuelles applicables);
e) la langue et la culture.
NOTE On attend du responsable d’équipe d’un audit combiné ou intégré qu’il possède des connaissances
approfondies d’au moins une des normes et qu’il soit sensibilisé aux autres normes utilisées pour cet audit
spécifique.
9.2.2.1.4 Des auditeurs en formation peuvent participer à l’audit, à condition qu’un auditeur soit
nommé comme évaluateur. L’évaluateur doit avoir les compétences nécessaires pour prendre le contrôle
des tâches et assurer la responsabilité finale des actions et des résultats de l’auditeur en formation.
9.2.2.1.5 Le responsable de l’équipe d’audit, en concertation avec l’équipe d’audit, doit attribuer
à chaque membre de l’équipe la responsabilité d’auditer des processus, des fonctions, des sites, des
domaines ou des activités spécifiques. Ces distributions de tâches doivent tenir compte des compétences,
de l’utilisation réelle et efficace de l’équipe d’audit, ainsi que des différents rôles et responsabilités des
auditeurs, des auditeurs en formation et des experts techniques. Des changements à la distribution des
tâches peuvent se faire au fur et à mesure de l’avancée de l’audit pour assurer l’atteinte des objectifs de
l’audit.
9.2.2.2.1 Observateurs
La présence d’observateurs pendant une activité d’audit et sa justification doivent être convenues entre
l’organisme de certification et le client avant le démarrage de l’audit. L’équipe d’audit doit s’assurer que
les observateurs n’influencent pas ou ne perturbent pas le processus d’audit ou les résultats de l’audit
outre mesure.
NOTE Les observateurs peuvent être des membres de l’organisme client, des consultants, du personnel
d’un organisme d’accréditation, des autorités de réglementation ou toutes autres personnes dont la présence est
justifiée.
Le rôle des experts techniques pendant une activité d’audit doit être convenu entre l’organisme de
certification et le client avant le démarrage de l’audit. Au sein de l’équipe d’audit, un expert technique ne
doit pas agir en tant qu’auditeur. Les experts techniques doivent être accompagnés d’un auditeur.
NOTE Les experts techniques peuvent fournir des conseils à l’équipe d’audit lors des phases de préparation,
de planification ou d’audit.
9.2.2.2.3 Guides
Chaque auditeur doit être accompagné d’un guide, à moins qu’il n’en soit convenu autrement entre
le responsable de l’équipe d’audit et le client. Le ou les guides sont mis à la disponibilité de l’équipe
d’audit pour faciliter l’audit. L’équipe d’audit doit s’assurer que les observateurs n’influencent pas ou ne
perturbent pas le processus d’audit ou les résultats de l’audit.
NOTE 1 Les responsabilités d’un guide peuvent consister à:
c) s’assurer que les règles concernant les procédures d’hygiène et de sécurité du site sont connues et respectées
par les membres de l’équipe d’audit;
9.2.3.1 Généralités
L’organisme de certification doit assurer qu’un plan d’audit est préalablement établi pour chaque audit
identifié dans le programme d’audit pour servir de base à un accord concernant la réalisation et la
programmation des activités d’audit.
NOTE Il n’est pas nécessaire qu’un organisme de certification élabore un plan d’audit pour chaque audit au
moment de l’élaboration du programme d’audit.
Le plan d’audit doit être adapté aux objectifs et au périmètre de l’audit. Le plan d’audit doit au moins
inclure ou faire référence à ce qui suit:
a) les objectifs de l’audit;
b) les critères de l’audit;
c) le périmètre de l’audit, y compris l’identification des unités organisationnelles et fonctionnelles ou
des processus à auditer;
d) les dates des audits et les sites sur lesquels les activités d’audit sur site seront menées, y compris les
visites sur les sites temporaires et les activités d’audit à distance, le cas échéant;
e) la durée escomptée des activités d’audit sur site;
f) les rôles et les responsabilités des membres de l’équipe d’audit et des personnes les accompagnant,
tels que les observateurs ou les interprètes.
NOTE Les informations du plan d’audit peuvent figurer sur plusieurs documents.
Les tâches attribuées à l’équipe d’audit doivent être définies et doivent amener l’équipe d’audit à:
a) examiner et vérifier la structure, les politiques, les processus, les procédures, les enregistrements
et les documents associés du client relevant de la norme de système de management;
b) confirmer leur conformité à toutes les exigences applicables au périmètre de la certification;
c) confirmer que les processus et procédures sont établis, mis en œuvre et maintenus de manière
efficace pour pouvoir accorder la confiance au système de management du client;
d) informer le client de toutes les incohérences entre sa politique, ses objectifs et ses cibles, pour qu’il
prenne des dispositions.
Le plan d’audit doit être communiqué et les dates de l’audit doivent être convenues à l’avance avec le
client.
L’organisme de certification doit fournir le nom et, lorsque cela est demandé, les informations nécessaires
concernant chacun des membres de l’équipe d’audit au client dans un délai suffisant pour permettre à ce
dernier de formuler une objection à la désignation d’un membre particulier de l’équipe d’audit et ainsi
permettre à l’organisme de certification de reformer l’équipe en réponse à toute objection valide.
9.3.1.1 Généralités
L’audit de certification initiale d’un système de management doit être mené en deux étapes: Étape 1 et
Étape 2.
9.3.1.2 Étape 1
9.3.1.2.1 La planification doit assurer que les objectifs de l’étape 1 peuvent être remplis et le client doit
être informé des activités « sur site » réalisées lors de l’étape 1.
NOTE L’étape 1 ne nécessite pas de plan d’audit formel (voir 9.2.3).
9.3.1.2.3 Les conclusions documentées concernant la réalisation des objectifs de l’étape 1 et le niveau
de préparation pour l’étape 2 doivent être communiquées au client, y compris l’identification de tout
problème susceptible d’être classé comme une non-conformité au cours de l’étape 2.
NOTE Il n’est pas nécessaire que les données de sortie de l’étape 1 remplissent toutes les exigences d’un
rapport (voir 9.4.8).
9.3.1.2.4 Pour déterminer l’intervalle entre l’étape 1 et l’étape 2, il faut prendre en considération ce
dont le client aura besoin pour résoudre les problèmes identifiés au cours de l’étape 1. L’organisme de
certification peut également avoir besoin de revoir ses dispositions pour l’étape 2. Si des modifications
significatives susceptibles d’affecter le système de management interviennent, l’organisme de certification
doit envisager la nécessité de répéter tout ou partie de l’étape 1. Le client doit être informé que les résultats
de l’étape 1 peuvent entraîner le report ou l’annulation de l’étape 2.
9.3.1.3 Étape 2
L’objet de l’étape 2 est d’évaluer la mise en œuvre et l’efficacité du système de management du client.
L’étape 2 doit se dérouler sur le ou les sites du client. Elle doit comprendre au minimum l’audit des
éléments suivants:
a) les informations et les preuves relatives à la conformité à toutes les exigences de la norme relative
au système de management ou d’autres documents normatifs applicables;
b) la surveillance, le mesurage, le compte rendu et la revue des performances par rapport aux
objectifs de performance clé et aux cibles (en cohérence avec les attentes de la norme de système de
management ou de tout autre document normatif applicable);
c) l’aptitude du système de management du client et ses performances concernant la satisfaction des
exigences légales, réglementaires et contractuelles applicables;
d) la maîtrise opérationnelle des processus du client;
e) les audits internes et la revue de direction;
f) les responsabilités de la direction vis-à-vis des politiques de l’organisme client.
L’équipe d’audit doit analyser toutes les informations et les preuves réunies au cours de l’étape 1 et de
l’étape 2 afin de passer en revue les résultats et de déterminer les conclusions de l’audit.
9.4.1 Généralités
Pour réaliser des audits sur site, l’organisme de certification doit disposer d’un processus. Ce processus
doit comporter une réunion d’ouverture au début de l’audit et une réunion de clôture à la fin de l’audit.
Si une partie de l’audit est réalisée par voie électronique, ou si le site à auditer est virtuel, l’organisme
de certification doit s’assurer que ces activités sont menées par du personnel ayant les compétences
appropriées. Les preuves obtenues au cours de ce type d’audit doivent être suffisantes pour permettre à
l’auditeur de prendre une décision éclairée concernant la conformité de l’exigence en question.
NOTE Les audits « sur site » peuvent comprendre l’accès à distance à un ou des sites électroniques comportant
des informations pertinentes pour l’audit du système de management. L’utilisation de moyens électroniques pour
la conduite des audits peut également être prise en considération.
Une réunion d’ouverture formelle doit être tenue avec la direction du client et, le cas échéant, les
responsables des fonctions ou des processus à auditer. La réunion d’ouverture, normalement animée
par le responsable de l’équipe d’audit, a pour objectif de fournir une courte explication sur la façon dont
les activités d’audit vont se dérouler. Le degré de détail doit être adapté à la familiarité du client avec le
processus d’audit et doit comporter les éléments suivants:
a) présentation des participants et une description succincte de leurs rôles;
b) confirmation du périmètre de la certification;
c) confirmation du plan d’audit (y compris le type et le périmètre de l’audit, les objectifs et les critères),
des modifications éventuelles et des autres dispositions importantes, comme la date et l’heure de la
réunion de clôture, des réunions intermédiaires entre l’équipe d’audit et la direction du client;
d) confirmation des circuits de communication officiels entre l’équipe d’audit et le client;
e) confirmation de la disponibilité des ressources et de la logistique nécessaire à l’équipe d’audit;
f) confirmation des points relatifs à la confidentialité;
g) confirmation des procédures d’hygiène, d’urgence et de sécurité pour l’équipe d’audit;
h) confirmation de la disponibilité, des rôles et de l’identité des guides et des observateurs;
i) méthode utilisée pour rendre compte des constats d’audit y compris leur classement;
j) informations sur les conditions dans lesquelles il peut être mis fin à l’audit prématurément;
k) confirmation que le responsable de l’équipe d’audit et l’équipe d’audit, qui représentent l’organisme
de certification, sont responsables de l’audit et de l’exécution du plan d’audit, y compris des activités
et des cheminements d’audit;
l) confirmation du statut des constats de la revue ou de l’audit précédent, le cas échéant;
m) méthodes et procédures utilisées pour conduire l’audit sur la base d’un échantillonnage;
n) confirmation de la langue à utiliser pendant l’audit;
o) confirmation du fait que, pendant l’audit, le client sera tenu informé de l’avancement de l’audit;
p) opportunité du client de poser des questions.
9.4.3.1 Pendant l’audit, l’équipe d’audit doit évaluer périodiquement les avancées de l’audit et échanger
des informations. Le responsable de l’équipe d’audit doit redistribuer, si nécessaire, le travail entre les
membres de l’équipe d’audit et informer régulièrement le client des avancées de l’audit et des éventuelles
difficultés.
9.4.3.2 Lorsque les preuves disponibles de l’audit indiquent que les objectifs de l’audit sont irréalisables
ou suggèrent la présence d’un risque immédiat et significatif (par exemple en matière de sécurité),
le responsable de l’équipe d’audit doit rapporter ces faits au client et, si possible, à l’organisme de
certification pour déterminer une action appropriée. Une telle action peut comprendre la reconfirmation
ou la modification du plan d’audit, la modification des objectifs ou du périmètre de l’audit, ou l’arrêt de
l’audit. Le responsable de l’équipe d’audit doit rendre compte à l’organisme de certification du résultat de
l’action entreprise.
9.4.3.3 Le responsable de l’équipe d’audit doit revoir avec le client toute nécessité de modification du
périmètre de l’audit qui se dégage au fur et à mesure de l’avancée des activités d’audit sur site et en rendre
compte à l’organisme de certification.
9.4.4.1 Pendant l’audit, les informations relatives aux objectifs, au périmètre et aux critères de l’audit
(y compris les informations relatives aux interfaces entre les fonctions, les activités et les processus)
doivent être obtenues à l’aide d’un échantillonnage approprié, puis vérifiées pour devenir des preuves
d’audit.
9.4.4.2 Les méthodes permettant d’obtenir les informations comprennent les éléments suivants, dont
la liste n’est pas exhaustive:
a) des entretiens;
b) l’observation des processus et des activités;
c) la revue des documents et des enregistrements.
9.4.5.1 Les constats d’audit résumant la conformité et détaillant la non-conformité doivent être
identifiés, classés et enregistrés pour décider, en toute connaissance de cause, de la délivrance ou du
maintien d’une certification.
9.4.5.2 À moins que les exigences d’un programme de certification de système de management ne
l’interdisent, il est possible d’identifier et d’enregistrer des suggestions d’amélioration. Toutefois, les
constats d’audit qui correspondent à des non-conformités ne doivent pas être enregistrés en tant que
suggestions d’amélioration.
9.4.5.3 Un constat de non-conformité doit être enregistré par rapport à une exigence spécifique et doit
comporter un énoncé clair de la non-conformité, identifiant en détail les éléments objectifs sur lesquels
repose la non-conformité. Les non-conformités doivent faire l’objet d’une discussion avec le client, en
vue de s’assurer que les éléments de preuve sont exacts et que les non-conformités sont bien comprises.
L’auditeur doit cependant s’abstenir d’avancer les causes des non-conformités ou de préconiser des
solutions.
9.4.5.4 Le responsable de l’équipe d’audit doit tenter de résoudre toute divergence d’opinion entre
l’équipe d’audit et le client sur les preuves ou les constats d’audit. Les points non résolus doivent être
enregistrés.
Sous la responsabilité du responsable de l’équipe d’audit et avant la réunion de clôture, l’équipe d’audit
doit:
a) procéder à une revue des constats d’audit et de toute autre information appropriée obtenue pendant
l’audit, par rapport aux objectifs et aux critères de l’audit et classer les non-conformités;
b) se mettre d’accord sur les conclusions de l’audit, en tenant compte de l’incertitude inhérente au
processus d’audit;
c) se mettre d’accord sur toute action de suivi le cas échéant;
d) confirmer l’adéquation du programme d’audit ou identifier toute modification nécessaire pour les
audits futurs (par exemple le périmètre de certification, le temps ou les dates de l’audit, la fréquence
des actions de surveillance, les compétences de l’équipe d’audit).
9.4.7.1 Une réunion de clôture formelle, pour laquelle la liste des participants doit être enregistrée, doit
être tenue avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus
audités. La réunion de clôture, généralement animée par le responsable de l’équipe d’audit, a pour objectif
de présenter les conclusions de l’audit, y compris les recommandations relatives à la certification. Les
non-conformités doivent être présentées de façon à être comprises et le délai de réponse doit être fixé
d’un commun accord.
NOTE « Comprises » ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.
9.4.7.2 La réunion de clôture doit aussi inclure les éléments suivants lorsque le degré de détail doit être
adapté à la familiarité du client avec le processus d’audit:
a) notifier au client que les preuves d’audit obtenues étaient fondées sur un échantillon d’informations,
introduisant, de ce fait, un élément d’incertitude;
b) la méthode et le délai utilisés pour rendre compte, y compris le classement des constats d’audit;
c) le processus de l’organisme de certification pour le traitement des non-conformités, incluant toutes
les conséquences relatives au statut de la certification du client;
d) le délai dans lequel le client doit soumettre un plan de correction et une action corrective pour toute
non-conformité identifiée pendant l’audit;
e) les activités post-audit de l’organisme de certification;
f) des informations sur les processus de traitement des plaintes et des appels.
9.4.7.3 Le client doit avoir la possibilité de poser des questions. Les divergences d’opinion sur les
constats ou les conclusions d’audit entre l’équipe d’audit et le client doivent faire l’objet d’une discussion
et, dans la mesure du possible, doivent être résolues. Les divergences d’opinion qui n’ont pas été résolues
doivent être enregistrées et transmises à l’organisme de certification.
9.4.8.1 L’organisme de certification doit fournir un rapport écrit pour chaque audit au client. L’équipe
d’audit peut également présenter des suggestions à l’organisme client pour l’amélioration mais elle ne
doit pas recommander des solutions spécifiques. Le rapport d’audit demeure la propriété de l’organisme
de certification.
9.4.8.2 Le responsable de l’équipe d’audit doit s’assurer de la préparation du rapport d’audit. Il doit
être responsable de son contenu. Le rapport d’audit doit fournir un enregistrement précis, concis et clair
de l’audit pour permettre de prendre une décision de certification éclairée et doit comporter ou faire
référence à ce qui suit:
g) tout écart par rapport au plan d’audit et les raisons expliquant ces écarts;
h) tout élément significatif ayant des effets sur le programme d’audit;
i) l’identification du responsable de l’équipe d’audit, des membres de l’équipe d’audit et des personnes
accompagnantes;
j) les dates et les lieux où les activités d’audit (sur site ou en dehors, sites permanents ou temporaires)
ont été réalisées;
k) les constats (voir 9.4.5), les références aux preuves et les conclusions de l’audit, correspondant aux
exigences du type d’audit;
l) toute modification significative affectant le système de management du client depuis la réalisation
du dernier audit;
m) tout problème non résolu, le cas échéant;
n) le cas échéant, si l’audit est combiné, conjoint ou intégré;
o) une déclaration de non-responsabilité indiquant que l’audit est basé sur un processus
d’échantillonnage des informations disponibles;
p) des recommandations formulées par l’équipe d’audit
q) le client audité maîtrise efficacement l’utilisation des documents et marques de certification, le cas
échéant;
r) la vérification de l’efficacité des actions correctives menées concernant les non-conformités
précédemment identifiées, le cas échéant.
a) une déclaration sur la conformité et l’efficacité du système de management ainsi qu’un récapitulatif
des preuves relatives aux éléments suivants:
— l’aptitude du système de management à satisfaire les exigences applicables et à obtenir les
résultats escomptés;
— les processus d’audit interne et de revue de direction;
b) une conclusion concernant l’adéquation du périmètre de la certification;
c) la confirmation que les objectifs de l’audit ont été remplis.
L’organisme audité doit décrire les corrections et actions correctives spécifiques entreprises ou qu’il
prévoit d’entreprendre afin d’éliminer, dans un délai déterminé, les non-conformités détectées et leurs
causes et de remédier à toutes les non-conformités qui ont été identifiées.
L’organisme de certification doit passer en revue les corrections, les causes identifiées et les actions
correctives soumises par le client pour déterminer si elles sont acceptables. L’organisme de certification
doit vérifier l’efficacité des corrections et des actions correctives entreprises. Les preuves obtenues
pour confirmer la résolution des non-conformités doivent être enregistrées. Le client doit être tenu
informé du résultat de la revue et de la vérification. Le client doit être informé de la nécessité de réaliser
un audit complet ou un audit partiel supplémentaire ou de fournir une preuve documentée (à confirmer
au cours des audits ultérieurs), pour vérifier que les corrections et actions correctives prévues ont bien
été menées.
NOTE La vérification de l’efficacité de la correction et de l’action corrective peut être réalisée sur la base
d’un examen des informations documentées fournies par le client ou, si nécessaire, par une vérification sur site.
Généralement cette activité est effectuée par un membre de l’équipe d’audit.
9.5.1 Généralités
9.5.1.1 L’organisme de certification doit assurer que les personnes ou les comités qui prennent
les décisions d’octroi ou de refus de la certification, d’extension ou de réduction du périmètre de la
certification, de suspension ou de rétablissement de la certification, de retrait ou de renouvellement de
la certification, sont différents de celles ou ceux ayant réalisé les audits. La ou les personnes chargées de
décider de la certification doivent avoir les compétences appropriées.
9.5.1.2 La ou les personnes [à l’exclusion des membres des comités (voir 6.1.4)] désignées par l’organisme
de certification pour prendre une décision de certification doivent être employées, ou soumises à une
disposition exécutoire, par l’organisme de certification ou une entité sous maîtrise organisationnelle
de l’organisme de certification. La maîtrise organisationnelle d’un organisme de certification doit se
présenter sous l’une des formes suivantes:
9.5.1.3 Les personnes employées par, ou sous contrat avec, des entités sous maîtrise organisationnelle
doivent remplir les mêmes exigences de la présente partie de l’ISO/IEC 17021 que les personnes
employées par, ou sous contrat avec, l’organisme de certification.
9.5.1.4 L’organisme de certification doit enregistrer chaque décision de certification, y compris toute
information supplémentaire ou tout éclaircissement obtenu(e) auprès de l’équipe d’audit ou de toute
autre source.
9.5.3.1 Les informations fournies par l’équipe d’audit à l’organisme de certification pour lui permettre
de prendre une décision doivent, au minimum, comprendre les éléments suivants:
a) le rapport d’audit;
b) les observations relatives aux non-conformités et, le cas échéant, les corrections et actions
correctives entreprises par l’organisme client;
c) la confirmation des informations fournies à l’organisme de certification et utilisées pour la revue de
la demande (voir 9.1.2);
d) la confirmation que les objectifs de l’audit ont été atteints;
e) une recommandation relative à la décision de délivrer ou non la certification, accompagnée de
toutes réserves ou observations.
9.5.3.2 Si l’organisme de certification n’est pas en mesure de vérifier la mise en œuvre des corrections
et actions correctives pour toute non-conformité majeure dans un délai de 6 mois à compte du dernier
jour de l’étape 2, l’organisme de certification doit recommencer l’étape 2 avant de recommander la
certification.
9.5.3.3 Lorsqu’un transfert de certification est envisagé entre un organisme de certification et un autre,
l’organisme de certification receveur doit disposer d’un processus permettant d’obtenir des informations
suffisantes pour prendre une décision concernant la certification.
NOTE Les programmes de certification peuvent comprendre des règles spécifiques en matière de transfert
de certification.
9.6.1 Généralités
9.6.2.1 Généralités
9.6.2.1.1 L’organisme de certification doit concevoir ses activités de surveillance de manière que les
domaines et les fonctions représentatifs couverts par le système de management fassent l’objet d’un suivi
régulier. Il doit tenir compte des modifications effectuées chez le client certifié et apportées au système
de management de celui-ci.
9.6.2.1.2 Les activités de surveillance doivent comporter des audits sur site permettant de vérifier
la conformité du système de management du client certifié aux exigences spécifiées dans la norme par
rapport à laquelle la certification est octroyée. D’autres activités de surveillance peuvent inclure:
a) des enquêtes de l’organisme de certification adressées au client certifié sur des aspects touchant la
certification;
b) la revue des déclarations du client certifié en ce qui concerne ses opérations (par exemple matériel
promotionnel, site Web);
c) les demandes faites au client certifié de fournir des informations documentées (sur papier ou par
voie électronique);
d) les autres moyens de surveillance des performances du client certifié.
Les audits de surveillance sont des audits sur site qui ne sont pas nécessairement des audits du système
complet et qui doivent donc être planifiés en même temps que les autres activités de surveillance de
manière que l’organisme de certification puisse garder confiance dans le système de management
certifié du client et dans sa capacité à rester conforme aux exigences de la certification dans l’intervalle
entre deux audits de renouvellement de la certification. Chaque surveillance selon la norme de système
de management applicable doit porter sur les éléments suivants:
a) les audits internes et la revue de direction;
b) la revue des actions entreprises vis-à-vis des non-conformités identifiées au cours de l’audit
précédent;
c) le traitement des plaintes;
d) l’efficacité du système de management par rapport à la réalisation des objectifs du client certifié et
des résultats escomptés du(des) système(s) de management pertinent(s);
e) l’état d’avancement des activités planifiées visant à l’amélioration continue;
f) la maîtrise opérationnelle continue;
e) la revue de toute modification apportée;
h) l’utilisation des marques et/ou toute autre référence à la certification.
relative au système de management ou de tout autre document normatif applicable. Ceci doit être planifié
et effectué en temps opportun pour organiser le renouvellement avant la date d’expiration du certificat.
9.6.3.1.2 L’activité de renouvellement de la certification doit comprendre la revue des rapports d’audit
de surveillance précédents et doit tenir compte des performances du système de management pendant le
cycle de certification le plus récent.
9.6.3.2.1 L’audit de renouvellement de la certification doit comporter un audit sur site, qui traite des
points suivants:
9.6.3.2.2 Pour toute non-conformité majeure, l’organisme de certification doit fixer des délais pour la
mise en œuvre de corrections et d’actions correctives. Ces actions doivent être mises en œuvre et vérifiées
avant l’expiration de la certification.
9.6.3.2.3 Lorsque les activités de renouvellement de la certification sont terminées avec succès avant
la date d’expiration de la certification existante, la date d’expiration de la nouvelle certification peut être
basée sur la date d’expiration de la certification existante. La date de délivrance indiquée sur un nouveau
certificat doit correspondre à la date de la décision de renouvellement de la certification ou à une date
ultérieure.
9.6.3.2.5 L’organisme de certification peut rétablir une nouvelle certification dans les 6 mois qui
suivent l’expiration de la certification, sous réserve que les activités de renouvellement de la certification
non résolues soient terminées, à défaut un audit d’étape 2 doit au minimum être réalisé. La date d’entrée
en vigueur figurant sur le certificat doit correspondre à la date de la décision de renouvellement de la
certification ou à une date ultérieure et la date d’expiration doit être basée sur le cycle de certification
antérieur.
En réponse à une demande d’extension du périmètre d’une certification déjà accordée, l’organisme de
certification doit entreprendre une revue de la candidature et déterminer toute activité d’audit nécessaire
pour décider de la possibilité ou non d’accorder l’extension. Cette démarche peut être effectuée au même
moment que l’audit de surveillance.
L’organisme de certification peut être amené à réaliser des audits de clients certifiés avec un très court
préavis ou inopinés afin d’instruire des plaintes ou suite à des modifications ou pour effectuer un suivi
des clients suspendus. Dans ces cas:
a) l’organisme de certification doit décrire et porter préalablement à la connaissance des clients
certifiés (par exemple dans les documents décrits en 8.5.1) les conditions dans lesquelles ces audits
seront conduits;
b) l’organisme de certification doit apporter un soin tout particulier à la désignation de l’équipe d’audit
du fait de l’impossibilité pour l’organisme client de formuler une objection sur les membres de
l’équipe d’audit.
9.6.5.1 L’organisme de certification doit avoir une politique et une ou plusieurs procédures documentées
traitant de la suspension, du retrait ou de la réduction du périmètre de la certification et il doit définir les
actions qu’il doit mener en conséquence.
9.6.5.2 L’organisme de certification doit suspendre la certification, par exemple, dans les cas où:
9.6.5.4 L’organisme de certification doit rétablir la certification suspendue si le problème qui a abouti
à la suspension a été résolu. Tout manquement à la résolution des problèmes dans le délai établi par
l’organisme de certification doit donner lieu au retrait ou à la réduction du périmètre de la certification.
NOTE Dans la plupart des cas, la suspension ne devrait pas dépasser six mois.
9.6.5.5 Lorsque le client certifié a constamment ou gravement manqué au respect des exigences de la
certification pour certains éléments relevant du périmètre de la certification, l’organisme de certification
doit réduire le périmètre de la certification pour exclure les éléments ne satisfaisant pas aux exigences.
Une telle réduction du périmètre doit être conforme aux exigences de la norme sur laquelle s’appuie la
certification.
9.7 Appels
9.7.1 L’organisme de certification doit avoir un processus documenté lui permettant de recevoir,
d’évaluer et de prendre des décisions en cas d’appel.
9.7.2 L’organisme de certification doit être responsable de toutes les décisions prises à tous les niveaux
du processus de traitement des appels. L’organisme de certification doit assurer que les personnes
impliquées dans le processus de traitement des appels sont différentes de celles ayant réalisé les audits
et pris des décisions de certification.
9.7.3 Les soumissions, les analyses et les décisions relatives aux appels ne doivent pas donner lieu à des
actions discriminatoires envers l’appelant.
9.7.4 Le processus de traitement des appels doit au moins comprendre les éléments et les méthodes
suivants:
a) le principe général du processus de réception, de validation et d’examen de l’appel ainsi que celui
des prises de décisions des actions qu’il est nécessaire d’entreprendre pour traiter l’appel, en tenant
compte des résultats d’appels précédents similaires;
b) le suivi et l’enregistrement des appels, y compris les actions entreprises pour les résoudre;
c) la vérification que toutes les corrections et actions correctives appropriées ont été entreprises.
9.7.5 L’organisme de certification recevant l’appel doit être responsable de la collecte et de la vérification
de toutes les informations nécessaires lui permettant de valider celui-ci.
9.7.6 L’organisme de certification doit accuser réception de l’appel et fournir à l’appelant les rapports
d’avancement et les résultats de l’appel.
9.7.7 La décision signifiée à l’appelant doit être prise ou examinée et approuvée par une ou des
personnes n’ayant pas été précédemment impliquées dans l’objet de l’appel.
9.7.8 L’organisme de certification doit dûment aviser l’appelant de la fin du processus de traitement de
l’appel.
9.8 Plaintes
9.8.1 L’organisme de certification doit être responsable de toutes les décisions prises à tous les niveaux
du processus de traitement des plaintes.
9.8.2 Les soumissions, les analyses et les décisions relatives aux plaintes ne doivent pas donner lieu à
des actions discriminatoires envers le plaignant.
9.8.3 Dès réception d’une plainte, l’organisme de certification doit confirmer si la plainte est liée
aux activités de certification dont il a la responsabilité, et dans l’affirmative, il doit la traiter. Lorsque la
plainte concerne un client certifié, elle doit être examinée du point de vue de l’efficacité du système de
management certifié.
9.8.4 Toute plainte valide relative à un client certifié doit également être notifiée en temps opportun
par l’organisme de certification au client certifié concerné.
9.8.5 L’organisme de certification doit avoir un processus documenté lui permettant de recevoir,
d’évaluer et de prendre des décisions en cas de plainte. Ce processus doit tenir compte des exigences de
confidentialité dans la mesure où il concerne le plaignant et l’objet de la plainte.
9.8.6 Le processus de traitement des plaintes doit au moins comprendre les éléments et les méthodes
suivants:
a) le principe général du processus de réception, de validation et d’examen de la plainte ainsi que celui
des prises de décisions des actions qu’il est nécessaire d’entreprendre pour traiter celle-ci;
b) le suivi et l’enregistrement des plaintes, y compris des actions entreprises pour les résoudre;
c) la vérification que toutes les corrections et actions correctives appropriées ont été entreprises.
NOTE L’ISO 10002 fournit des lignes directrices relatives au traitement des plaintes.
9.8.8 Dans la mesure du possible, l’organisme de certification doit accuser réception de la plainte et il
doit fournir au plaignant les rapports d’avancement et le résultat de la plainte.
9.8.9 La décision signifiée au plaignant doit être prise ou examinée et approuvée par une ou des
personnes n’ayant pas été précédemment impliquées dans l’objet de la plainte.
9.8.10 Dans la mesure du possible, l’organisme de certification doit dûment aviser le plaignant de la fin
du processus de traitement de la plainte.
9.8.11 L’organisme de certification doit déterminer avec le client certifié et le plaignant si l’objet de la
plainte et sa résolution doivent être rendus publics, et si oui, dans quelle mesure.
9.9.1 L’organisme de certification doit conserver les enregistrements relatifs à l’audit et aux autres
activités de certification de tous les clients, y compris tous les organismes candidats ainsi que tous les
organismes audités, certifiés ou dont la certification a été suspendue ou retirée.
j) les enregistrements associés nécessaires pour établir la crédibilité de la certification tels que les
preuves des compétences des auditeurs et des experts techniques;
k) les programmes d’audit.
9.9.3 L’organisme de certification doit conserver en lieu sûr les enregistrements relatifs aux candidats
ainsi qu’à ses clients afin de garantir la confidentialité des informations. Lors du transport, de la
transmission ou du transfert des enregistrements, le maintien de la confidentialité doit être assuré.
9.9.4 L’organisme de certification doit avoir une politique et des procédures documentées sur la
conservation des enregistrements. Les enregistrements relatifs aux clients certifiés et aux clients
auparavant certifiés doivent être conservés pendant la durée du cycle en cours plus un cycle complet de
certification.
NOTE Dans certaines juridictions, les exigences légales imposent de conserver les enregistrements sur une
période plus longue.
10.1 Options
L’organisme de certification doit établir, documenter, mettre en œuvre et entretenir un système de
management de façon à pouvoir soutenir et démontrer qu’il satisfait de manière fiable aux exigences de
la présente partie de l’ISO/IEC 17021. Outre la satisfaction aux exigences des Articles 5 à 9, l’organisme
de certification doit mettre en œuvre un système de management conforme:
a) soit aux exigences générales relatives au système de management (voir 10.2);
b) soit aux exigences de système de management conformément à l’ISO 9001 (voir 10.3).
10.2.1 Généralités
Toutes les exigences applicables de la présente partie de l’ISO/IEC 17021 doivent être traitées soit dans
un manuel soit dans des documents associés. L’organisme de certification doit assurer que le manuel et
les documents associés correspondants sont accessibles à l’ensemble du personnel concerné.
L’organisme de certification doit établir des procédures lui permettant de maîtriser les documents
(internes et externes) liés au respect des exigences de la présente partie de l’ISO/IEC 17021. Ces
procédures documentées doivent définir les mesures nécessaires pour:
a) approuver l’adéquation des documents avant diffusion;
b) revoir, mettre à jour si nécessaire et approuver de nouveau les documents;
c) assurer que les modifications et le statut de la version en vigueur des documents sont identifiés;
d) assurer la disponibilité sur les lieux d’utilisation des versions pertinentes des documents applicables;
e) assurer que les documents restent lisibles et facilement identifiables;
f) assurer que les documents d’origine extérieure sont identifiés et que leur diffusion est maîtrisée;
g) empêcher toute utilisation non intentionnelle de documents périmés, et les identifier de manière
adéquate s’ils sont conservés dans un but quelconque.
NOTE La documentation peut se présenter sous toute forme ou tout type de support.
L’organisme de certification doit établir des procédures pour assurer l’identification, le stockage, la
protection, l’accessibilité, la durée de conservation et l’élimination des enregistrements générés dans le
cadre des exigences de la présente partie de l’ISO/IEC 17021.
L’organisme de certification doit établir des procédures définissant une période de conservation
des enregistrements qui soit cohérente avec ses obligations contractuelles et légales. L’accès à ces
enregistrements doit être conforme aux dispositions en matière de confidentialité.
NOTE En ce qui concerne les exigences relatives aux enregistrements des clients certifiés, voir également 9.9.
10.2.5.1 Généralités
La direction de l’organisme de certification doit établir des procédures pour revoir, à intervalles
planifiés, son système de management pour assurer qu’il demeure pertinent, adéquat et efficace, y
compris les politiques et les objectifs déclarés relatifs au respect des exigences de la présente partie de
l’ISO/IEC 17021. Ces revues doivent être réalisées au moins une fois par an.
Les éléments d’entrée de la revue de direction doivent comprendre des informations sur:
a) les résultats des audits internes et externes;
b) le retour d’informations de la part des clients et des parties intéressées;
c) la préservation de l’impartialité;
d) l’état des actions correctives;
Les éléments de sortie de la revue de direction doivent comprendre les décisions et actions relatives
a) à l’amélioration de l’efficacité du système de management et de ses processus;
b) à l’amélioration des services de certification liés au respect des exigences de la présente partie de
l’ISO/IEC 17021;
c) aux besoins en ressources;
d) aux révisions de la politique et des objectifs de l’organisme.
10.2.6.1 L’organisme de certification doit établir des procédures relatives aux audits internes pour
vérifier qu’il se conforme aux exigences de la présente partie de l’ISO/IEC 17021 et que le système de
management est mis en œuvre et entretenu de manière efficace.
NOTE L’ISO 19011 fournit des lignes directrices relatives à la réalisation des audits internes.
10.2.6.2 Un programme d’audits doit être planifié en tenant compte de l’importance des processus et
des domaines à auditer, ainsi que des résultats des audits précédents.
10.2.6.3 Les audits internes doivent être réalisés au moins une fois par an. Ces audits peuvent être
réalisés moins fréquemment si l’organisme de certification peut démontrer l’efficacité et la stabilité
du système de management qu’il a mis en place conformément aux exigences de la présente partie de
l’ISO/IEC 17021.
a) les audits internes sont réalisés par un personnel compétent disposant des connaissances requises
en matière de certification, d’audit et des exigences de la présente partie de l’ISO/IEC 17021;
b) les auditeurs n’auditent pas leur propre travail;
c) le personnel responsable du domaine à auditer est informé des résultats de l’audit;
d) toutes les actions résultant d’audits internes sont entreprises en temps opportun et de manière
appropriée;
e) toutes les opportunités d’amélioration sont identifiées.
L’organisme de certification doit établir des procédures pour identifier et gérer les non-conformités
de ses opérations. L’organisme de certification doit également, si nécessaire, mener des actions pour
éliminer les causes de non-conformités afin d’éviter qu’elles ne se reproduisent. Les actions correctives
doivent être adaptées aux effets des non-conformités rencontrées. Les procédures doivent être établies
afin de définir les exigences pour:
a) procéder à l’identification des non-conformités (par exemple celles issues des plaintes valides et des
audits internes);
b) déterminer les causes de non-conformité;
c) corriger les non-conformités;
d) évaluer le besoin d’entreprendre des actions pour que les non-conformités ne se reproduisent pas;
e) déterminer et mettre en œuvre en temps opportun les actions nécessaires;
f) enregistrer les résultats des actions mises en œuvre;
g) procéder à la revue de l’efficacité des actions correctives mises en œuvre.
10.3.1 Généralités
En application des exigences de l’ISO 9001, lors de l’élaboration de son système de management,
l’organisme de certification doit prendre en compte la crédibilité de la certification et traiter les besoins
de toutes les parties (tels qu’énoncés en 4.1.2) qui comptent sur ses services d’audit et de certification et
pas uniquement de ses clients.
En application des exigences de l’ISO 9001, l’organisme de certification doit considérer comme données
d’entrée à la revue de direction, les informations relatives aux plaintes et appels pertinents émanant des
utilisateurs des services de certification et une revue de l’impartialité.
Annexe A
(normative)
A.1 Généralités
Le Tableau A.1 suivant spécifie les connaissances et le savoir-faire qu’un organisme de certification
doit définir pour remplir des fonctions de certification spécifiques. « X » indique que l’organisme de
certification doit définir les critères et le niveau de connaissances et de savoir-faire. Les exigences
relatives aux connaissances et au savoir-faire spécifiées dans ce Tableau A.1 sont expliquées plus en
détail dans le texte qui suit le tableau et sont référencées par le numéro entre parenthèses.
Annexe B
(informative)
B.1 Généralités
La présente annexe fournit des exemples de méthodes d’évaluation en vue d’aider les organismes de
certification.
Les méthodes d’évaluation des compétences des personnes peuvent être regroupées en cinq catégories
principales: revue des enregistrements, retour d’informations, entretiens, observations et examens.
Ces catégories peuvent être encore subdivisées. Ce qui suit constitue une brève description de chaque
méthode, son utilité et ses limites dans l’évaluation des connaissances et savoir-faire. Il est improbable
que l’une quelconque de ces méthodes, à elle seule, puisse confirmer les compétences.
Les méthodes décrites de B.2 à B.6 peuvent fournir des informations utiles sur les connaissances et
savoir-faire; elles sont plus efficaces quand elles sont conçues pour être utilisées avec des critères de
compétence précis issus du processus de détermination des compétences spécifié en 7.1.2 et en 7.1.3.
Un exemple d’un logigramme de détermination et de maintien des compétences est donné à l’Annexe C.
B.4 Entretiens
Les entretiens peuvent être utiles pour obtenir des informations sur les connaissances et le savoir-faire.
Les entretiens d’embauche peuvent être utiles pour entrer dans le détail des informations fournies par
le curriculum vitae et l’expérience professionnelle passée sur les connaissances et savoir-faire.
Les entretiens à l’occasion des revues de performance peuvent apporter des informations spécifiques
sur les connaissances et savoir-faire.
Un entretien avec l’équipe d’audit pour une revue postérieure à l’audit peut apporter des informations
utiles sur les connaissances et les savoir-faire d’un auditeur. Il donne l’occasion de comprendre pourquoi
un auditeur a pris des décisions spécifiques, choisi des cheminements d’audit spécifiques, etc. Cette
technique peut être utilisée après un audit au cours duquel assiste un observateur et peut être aussi
utilisée ultérieurement au moment de l’examen du rapport d’audit écrit. Cette technique peut s’avérer
particulièrement utile pour déterminer les compétences relatives à un secteur technique spécifique.
Des preuves directes de démonstration de compétence peuvent s’obtenir dans le cadre d’un entretien
structuré avec des enregistrements appropriés par rapport à des critères de compétence spécifiés.
Des entretiens peuvent être utilisés pour évaluer les savoir-faire en langues, communication et
interpersonnel.
B.5 Observations
Observer une personne en train d’accomplir une mission peut donner des preuves directes de la
compétence en mettant en œuvre des connaissances et des savoir-faire en vue d’atteindre un résultat
souhaité. Cette méthode d’évaluation est utile pour toutes les fonctions, le personnel administratif et de
direction, ainsi que pour les auditeurs et les responsables des décisions de certification. Le niveau de
difficulté présenté par l’audit constitue une limite à l’observation de l’auditeur réalisant un audit.
Il est utile d’observer périodiquement une personne pour confirmer le maintien de sa compétence.
B.6 Examens
Les examens écrits peuvent donner de bonnes preuves, bien documentées, des connaissances et, en
fonction des méthodes, des savoir-faire.
Un examen oral peut fournir de bonnes preuves des connaissances (en fonction de la compétence de
l’examinateur), mais des résultats limités sur les savoir-faire.
Les examens pratiques peuvent donner un résultat équilibré sur les connaissances et les savoir-faire,
en fonction du processus d’examen et de la compétence de l’examinateur. Des exemple de méthodes
incluent les jeux de rôle, les études de cas, la simulation du stress et les situations en milieu de travail.
Annexe C
(informative)
Annexe D
(informative)
Des exemples de comportement personnel, importants pour le personnel impliqué dans des activités de
certification pour tout type de système de management, sont décrits ci-après:
a) intègre, c’est-à-dire juste, attaché à la vérité, sincère, honnête et discret;
b) ouvert d’esprit, c’est-à-dire soucieux de prendre en considération des idées ou des points de vue
différents;
c) diplomate, c’est-à-dire faisant preuve de tact et d’habileté dans les relations avec les autres;
d) coopératif, c’est-à-dire collaborant efficacement avec les autres;
e) observateur, c’est-à-dire activement attentif aux activités et à leur environnement;
f) perspicace, c’est-à-dire appréhendant instinctivement et capable de comprendre les situations;
g) polyvalent, c’est-à-dire ayant de la facilité à s’adapter à différentes situations;
h) tenace, c’est-à-dire persévérant, concentré sur l’atteinte des objectifs;
i) capable de décision, c‘est-à-dire capable de tirer en temps voulu des conclusions fondées sur un
raisonnement et une analyse logiques;
j) autonome, c’est-à-dire agissant et travaillant de son propre chef;
k) professionnel, c’est-à-dire ayant sur le lieu de travail un comportement courtois, consciencieux et
généralement sérieux;
l) courageux moralement, c’est-à-dire disposé à agir de façon responsable et éthique même si ces actions
peuvent ne pas être toujours populaires et parfois causer des désagréments ou une confrontation;
m) organisé, c’est-à-dire faisant montre d’une gestion du temps efficace, établissant des priorités,
planifiant, le tout avec efficacité.
La détermination du comportement est une détermination situationnelle et les faiblesses ne peuvent
apparaître que dans un contexte spécifique. Il convient que l’organisme de certification prenne une
action appropriée pour toute faiblesse identifiée qui pénalise l’activité de certification.
Annexe E
(informative)
La Figure E.1 représente un logigramme typique de processus. D’autres activités d’audit peuvent être
effectuées, par exemple une revue documentaire et des audits spéciaux. Pour la différence entre le cycle
d’audit et le cycle de certification, voir 9.2 et 9.3.
Bibliographie
ICS 03.120.20
Prix basé sur 48 pages