ISO IEC 17021-1 2015 (F) - Character PDF Document

Accordé sous licence par l'INNORPI à l' Université Virtuelle de Tunis
Bon de commande client n° 33/2016 du 08/03/2016
NORME
Licence pour utilisateur unique,copie et mise en réseau intrerdite.
ISO/IEC
INTERNATIONALE 17021-1
Première édition
2015-06-15
Évaluation de la conformité —
Exigences pour les organismes
procédant à l’audit et à la certification
des systèmes de management —
Partie 1:
Exigences
Conformity assessment — Requirements for bodies providing audit
and certification of management systems —
Part 1: Requirements
Numéro de référence
ISO/IEC 17021-1:2015(F)
© ISO/IEC 2015
ISO/IEC
Licence pour 17021-1:2015(F)
utilisateur unique,copie et mise en réseau intrerdite.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/IEC 2015
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO/IEC 2015 – Tous droits réservés

Licence pour utilisateur unique,copie et mise en réseau intrerdite. ISO/IEC 17021-1:2015(F)

Sommaire Page
Avant-propos............................................................................................................................................................................................................................... vi
Introduction............................................................................................................................................................................................................................. viii
1 Domaine d’application.................................................................................................................................................................................... 1
2 Références normatives.................................................................................................................................................................................... 1
3 Termes et définitions........................................................................................................................................................................................ 1
4 Principes........................................................................................................................................................................................................................ 4
4.1 Généralités................................................................................................................................................................................................... 4
4.2 Impartialité................................................................................................................................................................................................. 5
4.3 Compétence................................................................................................................................................................................................ 5
4.4 Responsabilité.......................................................................................................................................................................................... 5
4.5 Transparence............................................................................................................................................................................................. 6
4.6 Confidentialité.......................................................................................................................................................................................... 6
4.7 Traitement des plaintes.................................................................................................................................................................... 6
4.8 Approche fondée sur le risque................................................................................................................................................... 6
5 Exigences générales........................................................................................................................................................................................... 7
5.1 Domaine juridique et contractuel............................................................................................................................................ 7
5.1.1 Responsabilité juridique............................................................................................................................................ 7
5.1.2 Contrat de certification............................................................................................................................................... 7
5.1.3 Responsabilité en matière de décisions de certification................................................................ 7
5.2 Gestion de l’impartialité................................................................................................................................................................... 7
5.3 Responsabilité et situation financière................................................................................................................................. 9
6 Exigences structurelles................................................................................................................................................................................... 9
6.1 Organisation et direction................................................................................................................................................................ 9
6.2 Maîtrise opérationnelle................................................................................................................................................................. 10
7 Exigences relatives aux ressources.................................................................................................................................................10
7.1 Compétence du personnel.......................................................................................................................................................... 10
7.1.1 Considérations générales....................................................................................................................................... 10
7.1.2 Détermination des critères de compétence............................................................................................ 11
7.1.3 Processus d’évaluation............................................................................................................................................. 11
7.1.4 Autres considérations................................................................................................................................................ 11
7.2 Personnel intervenant dans les activités de certification................................................................................ 11
7.3 Intervention d’auditeurs et d’experts techniques externes individuels.............................................. 12
7.4 Enregistrements relatifs au personnel............................................................................................................................. 13
7.5 Externalisation...................................................................................................................................................................................... 13
8 Exigences relatives aux informations...........................................................................................................................................13
8.1 Informations publiques................................................................................................................................................................. 13
8.2 Documents de certification........................................................................................................................................................ 14
8.3 Référence à la certification et utilisation des marques...................................................................................... 15
8.4 Confidentialité....................................................................................................................................................................................... 16
8.5 Échange d’informations entre l’organisme de certification et ses clients......................................... 17
8.5.1 Informations relatives aux processus et aux exigences de certification........................ 17
8.5.2 Notification des modifications émanant d’un organisme de certification................... 17
8.5.3 Notification des modifications émanant d’un client certifié.................................................... 17
© ISO/IEC 2015 – Tous droits réservés iii

ISO/IEC

9 Exigences relatives aux processus...................................................................................................................................................18

9.1 Activités préalables à la certification................................................................................................................................. 18
9.1.1 Demande de certification....................................................................................................................................... 18
9.1.2 Revue de la demande................................................................................................................................................. 18
9.1.3 Programme d’audit...................................................................................................................................................... 18
9.1.4 Détermination du temps d’audit...................................................................................................................... 19
9.1.5 Échantillonnage multisite...................................................................................................................................... 20
9.1.6 Normes de systèmes de management multiples................................................................................ 20
9.2 Planification des audits................................................................................................................................................................. 20
9.2.1 Détermination des objectifs, du périmètre et des critères de l’audit............................... 20
9.2.2 Constitution de l’équipe d’audit et affectation des missions................................................... 21
9.2.3 Plan d’audit......................................................................................................................................................................... 23
9.3 Certification initiale.......................................................................................................................................................................... 24
9.3.1 Audit de certification initiale............................................................................................................................... 24
9.4 Réalisation des audits..................................................................................................................................................................... 25
9.4.1 Généralités.......................................................................................................................................................................... 25
9.4.2 Conduite de la réunion d’ouverture.............................................................................................................. 25
9.4.3 Communication pendant l’audit....................................................................................................................... 26
9.4.4 Obtention et vérification des informations............................................................................................. 27
9.4.5 Identification et enregistrement des constats d’audit.................................................................. 27
9.4.6 Préparation des conclusions d’audit............................................................................................................ 27
9.4.7 Conduite de la réunion de clôture................................................................................................................... 28
9.4.8 Rapport d’audit............................................................................................................................................................... 28
9.4.9 Analyse des causes de non-conformités.................................................................................................... 29
9.4.10 Efficacité des corrections et actions correctives................................................................................ 29
9.5 Décision de certification............................................................................................................................................................... 30
9.5.1 Généralités.......................................................................................................................................................................... 30
9.5.2 Actions précédant la prise de décision....................................................................................................... 30
9.5.3 Informations sur la délivrance d’une certification initiale........................................................ 31
9.5.4 Informations pour la délivrance d’un renouvellement de certification......................... 31
9.6 Maintien de la certification........................................................................................................................................................ 31
9.6.1 Généralités.......................................................................................................................................................................... 31
9.6.2 Activités de surveillance.......................................................................................................................................... 32
9.6.3 Renouvellement de la certification................................................................................................................ 32
9.6.4 Audits particuliers........................................................................................................................................................ 34
9.6.5 Suspension, retrait ou réduction du périmètre de la certification..................................... 34
9.7 Appels........................................................................................................................................................................................................... 35
9.8 Plaintes........................................................................................................................................................................................................ 35
9.9 Enregistrements relatifs au client........................................................................................................................................ 36
10 Exigences relatives au système de management des organismes de certification........................37
10.1 Options......................................................................................................................................................................................................... 37
10.2 Option A: Exigences générales relatives au système de management.................................................. 37
10.2.1 Généralités.......................................................................................................................................................................... 37
10.2.2 Manuel du système de management............................................................................................................ 38
10.2.3 Maîtrise des documents........................................................................................................................................... 38
10.2.4 Maîtrise des enregistrements............................................................................................................................. 38
10.2.5 Revue de direction........................................................................................................................................................ 38
10.2.6 Audits internes................................................................................................................................................................ 39
10.2.7 Actions correctives....................................................................................................................................................... 39
10.3 Option B: Exigences relatives au système de management conformément à l’ISO 9001..... 40
10.3.1 Généralités.......................................................................................................................................................................... 40
10.3.2 Domaine d’application.............................................................................................................................................. 40
10.3.3 Écoute client...................................................................................................................................................................... 40
10.3.4 Revue de direction........................................................................................................................................................ 40
Annexe A (normative) Connaissances et savoir-faire exigés.....................................................................................................41
Annexe B (informative) Méthodes possibles d’évaluation..........................................................................................................45
iv © ISO/IEC 2015 – Tous droits réservés


Annexe C (informative) Exemple d’un logigramme de détermination et de maintien

des compétences.................................................................................................................................................................................................47
Annexe D (informative) Comportement personnel souhaité....................................................................................................49
Annexe E (informative) Audit et processus de certification.......................................................................................................50
Bibliographie............................................................................................................................................................................................................................ 52
© ISO/IEC 2015 – Tous droits réservés v

ISO/IEC

Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de l’IEC participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers de
l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent dans des domaines d’intérêt
commun. D’autres organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l’ISO et l’IEC participent également aux travaux. Dans le domaine de l’évaluation de la conformité,
le comité ISO pour l’évaluation de la conformité (CASCO) est responsable du développement de Normes
internationales et de Guides.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors
de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
L’ISO/IEC 17021-1 a été élaborée par le comité technique ISO/TC CASCO, Comité pour l’évaluation de
la conformité. Le projet a été soumis aux organismes nationaux de l’ISO et de l’IEC pour vote et a été
approuvé par les deux organisations.
Cette première édition de l’ISO/IEC 17021-1 annule et remplace l’ISO/IEC 17021:2011, qui a fait l’objet
d’une révision technique.
L’ISO/IEC 17021 comprend les parties suivantes, sous le titre général Évaluation de la conformité —
Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management:
— Partie 1: Exigences
— Partie 2: Exigences de compétence pour l’audit et la certification des systèmes de management
environnemental [Spécification technique]
— Partie 3: Exigences de compétence pour l’audit et la certification des systèmes de management de la
qualité [Spécification technique]
— Partie 4: Exigences de compétence pour l’audit et la certification des systèmes de management
responsable appliqués à l’activité événementielle [Spécification technique]
— Partie 5: Exigences de compétence pour l’audit et la certification des systèmes de gestion d’actifs
[Spécification technique]
continuité d’activité [Spécification technique]
vi © ISO/IEC 2015 – Tous droits réservés



sécurité du trafic routier [Spécification technique]
© ISO/IEC 2015 – Tous droits réservés vii

ISO/IEC

Introduction
La certification d’un système de management, tel que le système de management environnemental, d’un
système de management de la qualité ou d’un système de management de la sécurité de l’information
d’un organisme, est l’un des moyens permettant d’assurer que l’organisme a mis en application un
système pour gérer des aspects relatifs à ses activités, produits et services conformes à la politique de
l’organisme et aux exigences de la Norme internationale de système de management pertinente.
La présente partie de l’ISO/IEC 17021 spécifie des exigences applicables aux organismes procédant
à l’audit et à la certification des systèmes de management. Elle présente des exigences génériques
applicables aux organismes procédant à l’audit et à la certification dans le domaine des systèmes de
management de la qualité, de management environnemental et autres. Ces organismes sont appelés
« organismes de certification ». Le respect de ces exigences est destiné à assurer que ces organismes
gèrent la certification de systèmes de management avec compétence, et d’une façon cohérente et
impartiale, facilitant ainsi la reconnaissance de ces organismes et l’acceptation de leurs certifications
sur les plans national et international. La présente partie de l’ISO/IEC 17021 sert de base, dans l’intérêt
du commerce international, à la reconnaissance de la certification de systèmes de management.
La certification d’un système de management assure par une démonstration indépendante que le
système de management de l’organisme:
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu’il a déclarés;
c) est mis en œuvre de manière efficace.
L’évaluation de la conformité, telle que la certification d’un système de management apporte une plus-
value à l’organisme, à ses clients et aux parties intéressées.
L’Article 4 décrit les principes assurant une certification crédible. Ces principes facilitent la compréhension
de l’utilisateur quant à la nature essentielle de la certification. Ils constituent une introduction nécessaire
aux Articles 5 à 10. Ces principes représentent la trame des exigences contenues dans la présente partie
de l’ISO/IEC 17021. Il faut noter que ces principes ne sont pas des exigences auditables en tant que telles.
L’Article 10 décrit deux alternatives pour soutenir et démontrer que l’organisme de certification satisfait
de manière fiable au respect des exigences de la présente partie de l’ISO/IEC 17021 au moyen de la mise
en place d’un système de management.
Les activités de certification sont les activités individuelles qui constituent l’ensemble du processus
de certification allant de la revue de la demande à l’arrêt de la certification. L’Annexe E fournit une
illustration des interactions possibles entre nombre de ces activités.
La certification comprend l’audit du système de management d’un organisme. La manière d’attester
la conformité à une norme spécifique du système de management ou à d’autres exigences normatives
prend généralement la forme d’un document de certification ou d’un certificat.
La présente partie de l’ISO/IEC 17021 est applicable à l’audit et à la certification de tout type de
système de management. Il est admis que certaines des exigences, notamment celles se rapportant aux
compétences des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre
aux attentes des parties intéressées.
Dans la présente partie de l’ISO/IEC 17021, les formes verbales suivantes sont utilisées:
— « doit » indique une exigence;
— « il convient que » indique une recommandation;
— « peut » indique une permission, une possibilité ou une capacité.
Des informations supplémentaires peuvent être obtenues dans les Directives ISO/IEC, Partie 2.
viii © ISO/IEC 2015 – Tous droits réservés

Licence pour utilisateur unique,copie et mise en réseau intrerdite.
NORME INTERNATIONALE ISO/IEC 17021-1:2015(F)
Évaluation de la conformité — Exigences pour les

organismes procédant à l’audit et à la certification des
systèmes de management —
Partie 1:
Exigences
1 Domaine d’application
La présente partie de l’ISO/IEC 17021 spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l’impartialité des organismes procédant à l’audit et à la certification de tous les types de
systèmes de management.
Les organismes de certification conformes à la présente partie de l’ISO/IEC 17021 ne sont pas tenus de
proposer tous les types de certification de système de management.
La certification de systèmes de management est une activité d’évaluation de la conformité par tierce
partie (voir l’ISO/IEC 17000:2004, 5.5) et les organismes exerçant cette activité sont par conséquent des
organismes d’évaluation de la conformité par tierce partie.
NOTE 1 Les exemples de systèmes de management incluent les systèmes de management environnemental, les
systèmes de management de la qualité, les systèmes de management de la sécurité de l’information.
NOTE 2 Dans la présente partie de l’ISO/IEC 17021, la certification de systèmes de management est désignée
« certification » et les organismes d’évaluation de la conformité par tierce partie sont désignés « organismes de
certification ».
NOTE 3 Un organisme de certification peut être gouvernemental ou non gouvernemental, avec ou sans pouvoir
réglementaire.
NOTE 4 La présente partie de l’ISO/IEC 17021 peut être utilisée comme référentiel pour l’accréditation,
l’évaluation par des pairs ou d’autres processus d’audit.
2 Références normatives
Les documents suivants, en totalité ou en partie, sont référencés de manière normative dans le présent
document et sont indispensables pour son application. Pour les références datées, seule l’édition citée
s’applique. Pour les références non datées, la dernière édition du document de référence s’applique (y
compris les éventuels amendements).
ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 9000, ISO/IEC 17000
ainsi que les suivants s’appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
© ISO 2015 – Tous droits réservés 1

ISO/IEC

3.2
impartialité
existence d’objectivité
Note 1 à l’article: L’objectivité implique soit l’absence de conflit d’intérêts soit de trouver une solution à ces conflits
de manière à ne pas porter préjudice aux activités ultérieures de l’organisme de certification.
Note 2 à l’article: D’autres termes utiles utilisés pour véhiculer la notion d’impartialité incluent « indépendance »,
« absence de tout conflit d’intérêts », « probité », « non-discrimination », « neutralité », « justice », « ouverture
d’esprit », « équité », « désintéressement », « équilibre ».
3.3
conseil en matière de système de management
contribution à l’établissement, à la mise en œuvre ou à l’entretien d’un système de management
EXEMPLE 1 Préparation ou établissement de manuels ou de procédures.
EXEMPLE 2 Fourniture de conseils, d’instructions ou de solutions spécifiques en matière d’élaboration et de

mise en œuvre d’un système de management.
Note 1 à l’article: Organiser des formations et y participer en tant que formateur ne relèvent pas des activités
de conseil, à condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits,
à fournir des informations et des conseils génériques; c’est-à-dire qu’il convient de ne pas fournir de solutions
spécifiques à un client.
Note 2 à l’article: La fourniture d’informations génériques, mais pas de solutions spécifiques à un client pour
améliorer des processus ou des systèmes, ne relève pas des activités de conseil. Ces informations peuvent inclure:
— l’explication de la signification et de l’objectif des critères de certification;
— l’identification des opportunités d’amélioration;
— l’explication des théories, méthodologies, techniques ou outils associés;
— le partage d’informations non confidentielles sur les bonnes pratiques associées;
— d’autres aspects du management qui ne sont pas couverts par le système de management audité.
3.4
audit de certification
audit réalisé par un organisme d’audit indépendant du client et des parties qui comptent sur la
certification, aux fins de certifier le système de management d’un client
Note 1 à l’article: Dans les définitions qui suivent, le terme « audit » est utilisé dans un but de simplification pour
se référer à l’audit tierce partie de certification.
Note 2 à l’article: Les audits de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, et peuvent aussi inclure des audits spéciaux.
Note 3 à l’article: Les audits de certification sont effectués, en règle générale, par les équipes d’audit des organismes
qui fournissent la certification de conformité aux exigences des normes de systèmes de management.
Note 4 à l’article: Un audit est « conjoint » quand au moins deux organismes d’audit participent à l’audit d’un client
unique.
Note 5 à l’article: Un audit est « combiné » quand un client est audité sur les exigences d’au moins deux normes de
Note 6 à l’article: Un audit est « intégré » quand un client a intégré la mise en œuvre des exigences d’au moins deux
normes de systèmes de management au sein d’un seul système de management et qu’il est audité sur au moins
deux normes.
3.5
client
organisme dont le système de management est audité à des fins de certification
2 © ISO/IEC 2015 – Tous droits réservés


3.6
auditeur
personne qui réalise un audit
3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.8
guide
personne nommée par le client pour assister l’équipe d’audit
3.9
observateur
personne qui accompagne l’équipe d’audit, mais qui n’audite pas
3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de
système de management et à ses résultats escomptés
Note 1 à l’article: voir Note en 7.1.2.
3.11
non-conformité
non-satisfaction d’une exigence
3.12
non-conformité majeure
non-conformité (3.11) qui affecte la capacité du système de management à atteindre les résultats
escomptés
Note 1 à l’article: Les non-conformités pourraient être classées comme majeures dans les circonstances suivantes:
— s’il existe un doute significatif quant à la mise en place d’une maîtrise efficace des processus ou que des produits
ou services rempliront les exigences spécifiées;
— plusieurs non-conformités mineures associées à la même exigence ou à un problème pouvant montrer une
défaillance systémique et ainsi constituer une non-conformité majeure.
3.13
non-conformité mineure
non-conformité (3.11) qui n’affecte pas la capacité du système de management à atteindre les résultats
escomptés
3.14
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
Note 1 à l’article: Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à
l’activité à auditer.
3.15
programme de certification
système d’évaluation de la conformité appliqué à des systèmes de management, auxquels s’appliquent
les mêmes exigences spécifiées, ainsi que des règles et procédures spécifiques
3.16
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit complet et efficace du système de
management de l’organisation du client
© ISO/IEC 2015 – Tous droits réservés 3

ISO/IEC

3.17
durée des audits de certification d’un système de management
partie du temps d’audit (3.16) consacrée à la réalisation d’activités d’audit, de la réunion d’ouverture à la
réunion de clôture incluse
Note 1 à l’article: Les activités d’audit incluent normalement:
— la conduite de la réunion d’ouverture;
— la réalisation d’une revue documentaire pendant la conduite de l’audit;
— la communication pendant l’audit;
— l’attribution des rôles et des responsabilités de guides et d’observateurs;
— la collecte et la vérification des informations;
— la génération des constats d’audit;
— la préparation des conclusions d’audit;
— la conduite de la réunion de clôture.
4 Principes
4.1 Généralités
4.1.1 Les principes décrits dans cet article servent de base pour cette prestation spécifique et
les exigences décrites ci-après dans la présente partie de l’ISO/IEC 17021. La présente partie de
l’ISO/IEC 17021 ne fournit pas d’exigences spécifiques applicables à toutes les situations susceptibles
de survenir. Il convient de considérer ces principes comme des recommandations à appliquer en cas de
décisions à prendre dans des situations imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu’un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu’un système de management a été évalué de manière impartiale et compétente par une
tierce partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;

b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux;
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent:
— l’impartialité;
— la compétence;
— la responsabilité;
— la transparence;
— la confidentialité;
— le traitement des plaintes;


— une approche fondée sur le risque.

NOTE La présente partie de l’ISO/IEC 17021 établit les principes de certification dans l’Article 4, tandis que
les principes correspondants relatifs aux audits sont énoncés dans l’ISO 19011:2011, Article 4.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être
impartial et perçu comme tel. Il est important que l’ensemble du personnel interne et externe soit
sensibilisé au besoin d’impartialité.
4.2.2 Le fait que les revenus d’un organisme de certification proviennent de ses clients qui paient pour
la certification constitue une menace potentielle pour l’impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d’un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées
par l’organisme de certification, et que les décisions ne soient pas faussées par d’autres intérêts ou
d’autres parties.
4.2.4 Les menaces qui pèsent sur l’impartialité peuvent inclure les suivantes, sans s’y limiter:
a) les intérêts personnels: cette menace est due au fait qu’une personne ou une entité agisse dans
son propre intérêt. Son intérêt financier représente une menace susceptible de compromettre
l’impartialité d’une certification;
b) l’autoévaluation: cette menace est due au fait qu’une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d’un client auquel l’organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l’autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d’entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves
lors des audits;
d) l’intimidation: cette menace est due au fait qu’une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d’être remplacée ou dénoncée à
sa hiérarchie.
4.3 Compétence
4.3.1 La compétence du personnel de l’organisme de certification pour toutes les fonctions impliquées
dans les activités de certification est nécessaire pour octroyer une certification qui donne confiance.
4.3.2 Il faut également que la compétence soit étayée par le système de management de l’organisme de
certification.
4.3.3 Il est capital que la direction de l’organisme de certification ait mis en œuvre un processus
permettant d’établir des critères de compétence pour le personnel impliqué dans l’audit et les autres
activités de certification et de réaliser une évaluation par rapport à ces critères.
4.4 Responsabilité
4.4.1 Le client certifié, et non l’organisme de certification, a la responsabilité d’obtenir en permanence

les résultats escomptés de la mise en œuvre de la norme de système de management et de la conformité
aux exigences de certification.

ISO/IEC

4.4.2 L’organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles
sur lesquelles est fondée la décision de certification. C’est sur la base des conclusions de l’audit et de
l’existence de preuves de conformité suffisantes qu’il prend la décision d’accorder ou de refuser la
certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d’un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d’assurer la confiance dans l’intégrité et la crédibilité de la certification, un organisme de

certification doit assurer l’accessibilité ou la diffusion au public des informations appropriées et à jour
relatives à ses processus d’audit et de certification ainsi que sur le statut de la certification (c’est-à-dire
l’octroi, le maintien de la certification, l’extension ou la réduction du périmètre de la certification, le
renouvellement, la suspension ou le rétablissement, ou le retrait de la certification) de tout organisme. La
transparence est un principe fondé sur l’accessibilité ou la diffusion des informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu’un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations
non confidentielles sur les résultats d’audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4.6 Confidentialité
Afin d’obtenir l’accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière
appropriée la conformité aux exigences de certification, il est essentiel que l’organisme de certification
ne divulgue aucune information confidentielle.
4.7 Traitement des plaintes

Les parties qui comptent sur la certification sont en droit de réclamer l’examen des plaintes et, si ces
dernières se révèlent acceptables, d’avoir confiance dans le fait que ces plaintes seront traitées de
manière appropriée et qu’un effort adéquat sera consenti par l’organisme de certification pour les
résoudre. Un traitement efficace des plaintes constitue un moyen important de protection de l’organisme
de certification, de ses clients et autres utilisateurs de certification contre tout type d’erreur, d’omission
ou d’abus. La confiance dans les activités de certification est préservée lorsque les plaintes sont traitées
de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement
des plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.
4.8 Approche fondée sur le risque

Il est nécessaire que les organismes de certification prennent en compte les risques associés à la
délivrance d’une certification compétente, cohérente et impartiale. Les risques peuvent comprendre,
mais ne sont pas limités à, ceux associés à ce qui suit:
— les objectifs de l’audit;
— l’échantillonnage utilisé dans le processus d’audit;
— l’impartialité réelle et perçue;
— les questions juridiques, réglementaires et de responsabilité;
— l’organisme client audité et son environnement opérationnel;
— l’impact de l’audit sur le client et ses activités;


— la santé et la sécurité des équipes d’audit;

— la perception des parties intéressées;
— les déclarations trompeuses du client certifié;
— l’utilisation des marques.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L’organisme de certification doit être une entité juridique ou une partie définie d’une entité juridique
pouvant être tenue juridiquement responsable de toutes ses activités de certification. Un organisme
de certification gouvernemental est considéré être une entité juridique sur la base de son statut
gouvernemental.
5.1.2 Contrat de certification
L’organisme de certification doit disposer d’un contrat juridiquement exécutoire avec chaque client pour
fournir des activités de certification conformément aux exigences pertinentes de la présente partie
de l’ISO/IEC 17021. En outre, lorsque l’organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l’organisme de certification doit assurer qu’il existe une relation contractuelle
juridiquement exécutoire entre l’organisme de certification octroyant la certification et le client,
couvrant tous les sites concernés par le périmètre de la certification.
NOTE Une relation contractuelle peut être obtenue au moyen de plusieurs contrats qui font référence les uns
aux autres ou qui sont liés de toute autre manière.
5.1.3 Responsabilité en matière de décisions de certification
L’organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière
de certification, y compris l’octroi, le refus, le maintien de la certification, l’extension ou la réduction du
périmètre de la certification, le renouvellement, la suspension ou le rétablissement après la suspension,
ou le retrait de la certification.
5.2 Gestion de l’impartialité
5.2.1 Les activités d’évaluation de la conformité doivent être menées de manière impartiale. L’organisme
de certification doit être responsable de l’impartialité de ses activités d’évaluation de la conformité et ne
doit laisser aucune pression commerciale, financière ou autre compromettre cette impartialité.
5.2.2 La direction de l’organisme de certification doit s’engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L’organisme de certification doit disposer d’une politique
par laquelle il reconnaît l’importance de l’impartialité dans l’exercice de ses activités de certification des
systèmes de management, et qu’il assure la bonne gestion des conflits d’intérêts et l’objectivité de ses
activités de certification de systèmes de management.
5.2.3 L’organisme de certification doit disposer d’un processus pour identifier, analyser, évaluer, traiter,
surveiller et documenter les risques liés aux conflits d’intérêts résultant de la certification envisagée,
y compris tous les conflits dus à ses propres relations, de façon continue. En cas de menaces pour
l’impartialité, l’organisme de certification doit documenter et apporter la preuve de la manière dont il
élimine ou limite ces menaces au minimum et documenter tout risque résiduel. La démonstration doit
couvrir toutes les menaces potentielles identifiées, que ce soit au sein de l’organisme de certification
ou du fait des activités d’autres personnes, entités ou organismes. Lorsqu’une relation menace de

ISO/IEC

compromettre l’impartialité de manière inacceptable (par exemple dans le cas d’une filiale appartenant
100 % à l’organisme de certification demandant une certification de sa société mère), la prestation de
certification ne doit pas être fournie.
La direction doit passer en revue tout risque résiduel afin de déterminer s’il se situe dans les limites d’un
risque acceptable.
Le processus d’évaluation des risques doit comprendre l’identification et la consultation des parties
intéressées appropriées, pour donner des conseils sur des sujets affectant l’impartialité, y compris
la transparence et l’image publique. La consultation des parties intéressées appropriées doit être
équilibrée, sans prédominance d’un intérêt particulier.
NOTE 1 Les sources des menaces compromettant l’impartialité de l’organisme de certification peuvent résulter
de facteurs tels que la propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation
financière, les contrats, la formation, la commercialisation, le paiement de commissions sur les ventes ou autres
incitations d’apporter de nouveaux clients, etc.
NOTE 2 Les parties intéressées peuvent inclure le personnel et les clients de l’organisme de certification,
les clients des organismes dont les systèmes de management sont certifiés, les représentants d’organismes
professionnels, les représentants des organismes gouvernementaux chargés de la réglementation ou autres
services gouvernementaux, ou les représentants d’organismes non gouvernementaux, y compris les associations
de consommateurs.
NOTE 3 Une manière de satisfaire à l’exigence de consultation de ce paragraphe consiste à réunir ces parties
intéressées en un comité.
5.2.4 Un organisme de certification ne doit pas certifier le système de management de la qualité d’un
autre organisme de certification.
5.2.5 Un organisme de certification et toute autre partie de la même entité juridique et toute entité sous
le contrôle organisationnel de l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas proposer
ou fournir des prestations de conseil en matière de système de management. Cela s’applique également à
une partie d’une entité gouvernementale identifiée comme organisme de certification.
NOTE Cela n’exclut pas la possibilité d’échange d’informations (par exemple explication des constats ou
clarification des exigences) entre l’organisme de certification et ses clients.
5.2.6 La réalisation d’audits internes par l’organisme de certification et toute autre partie de la
même entité juridique à ses clients certifiés constitue une menace significative pour l’impartialité. Par
conséquent, l’organisme de certification et toute autre partie de la même entité juridique et toute entité
sous le contrôle organisationnel de l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas
proposer ou fournir des prestations d’audits internes à ses clients certifiés. Il est reconnu que pour
atténuer cette menace, l’organisme de certification ne doit pas certifier un système de management pour
lequel il effectue des audits internes, et ce au moins dans les deux années qui suivent la fin des audits
internes.
NOTE Voir Note 1 de 5.2.3.
5.2.7 Lorsqu’un client a reçu des conseils en matière de systèmes de management de la part d’un
organisme qui est en relation avec un organisme de certification, cela constitue une menace significative
pour l’impartialité. Il est reconnu que pour atténuer cette menace, l’organisme de certification ne doit
pas certifier le système de management de ce client au moins dans les deux années qui suivent la fin de
l’activité de conseil.
NOTE Voir Note 1 de 5.2.3.
5.2.8 L’organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en
matière de système de management dans la mesure où ce fait constitue une menace inacceptable à


l’impartialité de l’organisme de certification (voir 7.5). Cela ne s’applique pas aux auditeurs individuels
sous contrat tel que spécifié en 7.3.
5.2.9 Les activités de l’organisme de certification ne doivent pas être présentées ou proposées comme
liées aux activités d’un organisme de conseil en matière de système de management. L’organisme de
certification doit prendre des mesures appropriées pour corriger les liens ou les déclarations inappropriés
d’un organisme de conseil déclarant ou suggérant que la certification serait plus simple, plus facile,
plus rapide ou moins onéreuse si l’on faisait appel à un organisme de certification donné. De même, un
organisme de certification ne doit pas déclarer ou suggérer que la certification serait plus simple, plus
facile, plus rapide ou moins onéreuse si l’on faisait appel à un organisme de conseil spécifié.
5.2.10 Afin de garantir l’absence de conflit d’intérêts, le personnel s’étant chargé d’une activité de conseil,
y compris les personnes agissant dans une structure de direction, ne doit pas participer, pour le compte
de l’organisme de certification, à un audit ou à des activités de certification s’il a pris part à des activités
de conseil sur le même système de management vis-à-vis du client. Il est reconnu que pour atténuer cette
menace, il ne doit pas être fait appel à ce personnel au moins dans les deux années qui suivent la fin de
l’activité de conseil.
5.2.11 L’organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est
menacée par les actions d’individus, d’organismes ou d’organisations.
5.2.12 L’ensemble du personnel de l’organisme de certification, qu’il soit interne ou externe, et les
comités qui pourraient influencer les activités de certification, doivent agir de manière impartiale et
ne pas permettre que toutes pressions, commerciales, financières ou autres puissent compromettre
l’impartialité.
5.2.13 Les organismes de certification doivent exiger du personnel, qu’il soit interne ou externe, de leur
révéler toute situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l’organisme
de certification un conflit d’intérêts. Les organismes de certification doivent enregistrer et utiliser ces
informations comme données d’entrée pour identifier les menaces que font peser sur l’impartialité les
activités de ce personnel ou des organismes qui les emploient et ne doivent pas faire appel à ce personnel,
qu’il soit interne ou externe, sauf s’ils peuvent apporter la preuve qu’il n’y a pas de conflit d’intérêts.
5.3 Responsabilité et situation financière
5.3.1 L’organisme de certification doit apporter la preuve qu’il a évalué les risques significatifs résultant
de ses activités de certification et qu’il a pris les dispositions appropriées (par exemple assurance ou
réserves) pour couvrir les responsabilités résultant de ses opérations dans chacun de ses domaines
d’activités et pour chacune des zones géographiques où il opère.
5.3.2 L’organisme de certification doit évaluer sa situation financière et ses sources de revenus et doit
apporter la preuve, dès l’origine et par la suite, que toutes pressions commerciales, financières ou autres
ne compromettent pas son impartialité.
6 Exigences structurelles
6.1 Organisation et direction
6.1.1 L’organisme de certification doit documenter l’organisation, les devoirs, la responsabilité et

l’autorité de la direction et des autres membres du personnel impliqués dans la certification ainsi que
de tous les comités. Lorsque l’organisme de certification est une partie définie d’une entité juridique, la
structure doit indiquer l’autorité hiérarchique et la relation avec les autres parties au sein de la même
entité juridique.

ISO/IEC

6.1.2 Les activités de certification doivent être structurées et gérées de manière à préserver l’impartialité.
6.1.3 L’organisme de certification doit identifier la direction (comité directeur, groupe de personnes ou
personne) ayant l’autorité globale et la responsabilité de chacun des points suivants:
a) l’élaboration de politiques et la mise en place de processus et de procédures relatifs à son

fonctionnement;
b) la surveillance de la mise en œuvre des politiques, processus et des procédures;
c) l’assurance de l’impartialité;
d) la surveillance de sa situation financière;
e) le développement des prestations et programmes de certification de systèmes de management;
f) la réalisation des audits et de la certification, et le traitement des plaintes;
g) les décisions en matière de certification;
h) la délégation de l’autorité aux comités ou individus, lorsque nécessaire, chargés d’entreprendre en
son nom des activités définies;
i) les dispositions contractuelles;
j) la fourniture des ressources appropriées pour les activités de certification.
6.1.4 L’organisme de certification doit disposer de règles formelles régissant la désignation, les missions
et le fonctionnement de tous les comités engagés dans les activités de certification.
6.2 Maîtrise opérationnelle
6.2.1 L’organisme de certification doit disposer d’un processus de maîtrise efficace des activités de
certification exercées par ses succursales, partenaires, mandataires, franchisés, etc., quel que soit leur
statut juridique, leurs relations ou leur localisation géographique. L’organisme de certification doit tenir
compte du risque que ces activités présentent pour la compétence, la cohérence et l’impartialité de
l’organisme de certification.
6.2.2 L’organisme de certification doit prendre en compte le niveau et la méthode appropriés de

maîtrise des activités exercées, y compris les processus, les secteurs techniques des opérations réalisées
par l’organisme de certification, la compétence du personnel, les moyens de contrôle de gestion, le compte
rendu et l’accès à distance aux opérations, enregistrements inclus.
7 Exigences relatives aux ressources
7.1 Compétence du personnel
7.1.1 Considérations générales
L’organisme de certification doit disposer de processus lui garantissant que le personnel a des
connaissances et un savoir-faire appropriés concernant les types de systèmes de management (par
exemple, systèmes de management environnemental, systèmes de management de la qualité, systèmes
de management de la sécurité de l’information) et les zones géographiques qui entrent dans son
périmètre d’action.


7.1.2 Détermination des critères de compétence
L’organisme de certification doit disposer d’un processus pour déterminer les critères de compétences des
membres du personnel impliqués dans le management et la réalisation des audits et des autres activités
de certification. Les critères de compétence doivent être déterminés en fonction des exigences propres
à chaque type de norme ou de spécification de système de management, pour chaque secteur technique
et pour chaque fonction du processus de certification. Les données de sortie du processus doivent être
les critères documentés des connaissances et du savoir-faire exigés, nécessaires à la réalisation efficace
des missions d’audit et de certification à remplir pour atteindre les résultats escomptés. L’Annexe A
spécifie les connaissances et le savoir-faire qu’un organisme de certification doit définir pour remplir
des fonctions spécifiques. Quand des critères de compétences supplémentaires ont été déterminés
pour une norme ou programme de certification spécifique (par exemple ISO/IEC/TS 17021-2, ISO/IEC/
TS 17021-3 ou ISO/TS 22003), ce sont ces critères supplémentaires qui doivent s’appliquer.
NOTE Le terme « secteur technique » s’applique de façon différente en fonction de la norme de système de
management considérée. Quel que soit le système de management, le terme s’applique aux produits, processus
et services entrant dans le domaine d’application de la norme du système de management. Le secteur technique
peut être défini par un programme de certification spécifique (par exemple l’ISO/TS 22003); sinon, il peut
être déterminé par l’organisme de certification. Il sert à couvrir un certain nombre d’autres termes tels que
« domaines », « catégories », « secteurs » etc. qui sont traditionnellement utilisés dans différentes disciplines de
7.1.3 Processus d’évaluation
L’organisme de certification doit disposer de processus documentés d’évaluation initiale des compétences
et de la surveillance continue des compétences et des performances de tous les membres du personnel
impliqués dans le management et la réalisation des audits et d’autres activités de certification, en
appliquant les critères de compétence déterminés. L’organisme de certification doit démontrer que
ses méthodes d’évaluation sont efficaces. Les données de sortie de ces processus doivent permettre
d’identifier le personnel ayant démontré le niveau de compétences requis pour les différentes fonctions
du processus d’audit et de certification. Les compétences doivent être démontrées avant que la personne
ne prenne la responsabilité de la réalisation de leurs activités au sein de l’organisme de certification.
NOTE 1 L’Annexe B décrit un certain nombre de méthodes d’évaluation des compétences pouvant être utilisées.
NOTE 2 L’Annexe C donne un exemple de logigramme de détermination et de maintien des compétences
7.1.4 Autres considérations
L’organisme de certification doit pouvoir faire appel à l’expertise technique nécessaire pour conseiller
sur des sujets relevant directement des activités de certification de tous les domaines techniques, de
types de système de management et des zones géographiques qui entrent dans son périmètre d’action.
Ces conseils peuvent être prodigués par des personnes extérieures ou par le personnel de l’organisme
de certification.
7.2 Personnel intervenant dans les activités de certification
7.2.1 L’organisme de certification doit employer suffisamment de personnel compétent pour gérer et
prendre en charge le type et la gamme de programmes d’audit ainsi que les autres tâches de certification
effectuées.
7.2.2 L’organisme de certification doit employer ou pouvoir faire appel à un nombre suffisant
d’auditeurs, y compris pour les responsables d’équipe d’audit et les experts techniques, pour couvrir la
totalité de ses activités et traiter le volume de travail représenté par les audits à effectuer.
7.2.3 L’organisme de certification doit définir clairement pour chaque personne concernée quels sont
ses devoirs, ses responsabilités et ses autorités.

ISO/IEC

7.2.4 L’organisme de certification doit disposer de processus lui permettant de sélectionner, former,
autoriser formellement les auditeurs et choisir et familiariser les experts techniques auxquels il fait appel
dans le processus de certification. L’évaluation initiale des compétences d’un auditeur doit passer par
une démonstration de sa capacité à mettre en œuvre, durant les audits, les connaissances et savoir-faire
nécessaires qui sont déterminés par un évaluateur compétent observant l’auditeur durant un audit.
NOTE Pendant le processus de sélection et de formation décrit ci-dessus, les comportements personnels
souhaités peuvent être pris en compte. Ce sont des caractéristiques qui influencent la capacité d’une personne
à réaliser des fonctions spécifiques. Par conséquent, le fait de connaître le comportement des personnes permet
à un organisme de certification de tirer avantage de leurs forces et de réduire au minimum l’impact de leurs
faiblesses. L’Annexe D décrit les comportements personnels souhaités qui présentent de l’importance pour le
personnel impliqué dans les activités de certification.
7.2.5 L’organisme de certification doit disposer d’un processus pour obtenir et démontrer l’efficacité
des audits, comprenant le déploiement d’auditeurs et de responsables d’équipe d’audit ayant aussi
bien des compétences et connaissances génériques que des compétences et connaissances spécifiques
nécessaires pour auditer dans des domaines techniques particuliers.
7.2.6 L’organisme de certification doit assurer que les auditeurs (et, le cas échéant, les experts
techniques) connaissent les processus d’audit, les exigences de la certification ainsi que les autres exigences
applicables. L’organisme de certification doit permettre aux auditeurs et aux experts techniques d’avoir
accès à une collection de procédures documentées à jour donnant des instructions d’audit et toutes les
informations pertinentes sur les opérations de certification.
7.2.7 L’organisme de certification doit identifier les besoins en formation et proposer ou donner accès
à des formations spécifiques afin que ses auditeurs, experts techniques et autres personnes intervenant
dans les activités de certification aient les compétences requises pour les fonctions qu’ils exercent.
7.2.8 Le groupe ou la personne qui prend la décision de l’octroi, du refus, du maintien, du renouvellement,
de la suspension, du rétablissement, ou du retrait de la certification, ou de l’extension ou de la réduction du
périmètre de la certification doit comprendre les exigences applicables de la norme et de la certification,
et doit avoir démontré ses compétences pour évaluer les résultats des processus d’audit, y compris les
recommandations correspondantes de l’équipe d’audit.
7.2.9 L’organisme de certification doit assurer des performances satisfaisantes de la part de tout le
personnel impliqué dans les activités d’audit et autres activités de certification. Il doit exister un processus
documenté pour surveiller les compétences et les performances de toutes les personnes impliquées, en se
fondant sur la fréquence de leurs interventions et sur le niveau de risque lié à leurs activités. L’organisme
de certification doit notamment procéder à une revue et à un enregistrement de compétence de son
personnel à la lumière de leurs performances afin d’identifier les besoins de formation.
7.2.10 L’organisme de certification doit surveiller chaque auditeur en tenant compte de chaque type
de système de management pour lequel l’auditeur est jugé compétent. Le processus documenté de
surveillance des auditeurs doivent prévoir une combinaison d’évaluation sur site, de revues des rapports
d’audit et de retours d’information des clients ou du marché. Cette surveillance doit être conçue de façon
à perturber au minimum le déroulement normal des processus de certification, notamment du point de
vue du client.
7.2.11 L’organisme de certification doit évaluer régulièrement les performances de chaque auditeur sur
site. La fréquence des évaluations sur site doit être établie en fonction du besoin déterminé à partir de
l’ensemble des informations recueillies pendant le processus de surveillance.
7.3 Intervention d’auditeurs et d’experts techniques externes individuels

L’organisme de certification doit exiger des auditeurs et des experts techniques externes de signer
un accord aux termes duquel ils s’engagent à se conformer aux politiques et mettre en œuvre les
processus applicables, définis par l’organisme de certification. L’accord doit aborder les aspects liés à


la confidentialité et à l’impartialité, et exiger des auditeurs et experts techniques externes qu’ils lui
indiquent toute relation existante ou passée qu’ils entretiennent ou ont pu entretenir avec l’organisme
qu’ils peuvent être amenés à auditer.
NOTE L’intervention d’une personne ou d’un employé d’un autre organisme sous contrat en tant qu’auditeur
externe ou expert technique ne constitue pas une externalisation.
7.4 Enregistrements relatifs au personnel

L’organisme de certification doit conserver des enregistrements du personnel à jour, y compris les
qualifications, les formations, l’expérience, les affiliations, le statut professionnel et les la compétence.
Cela inclut la direction et le personnel administratif en plus du personnel qui réalise les activités de
certification.
7.5 Externalisation
7.5.1 L’organisme de certification doit avoir un processus décrivant les conditions dans lesquelles
une externalisation peut se produire (sous-traitance à un autre organisme d’une partie des activités de
certification pour le compte de l’organisme de certification). L’organisme de certification doit disposer
d’un accord juridiquement exécutoire couvrant les dispositions adoptées, y compris la confidentialité et
les conflits d’intérêts, avec chaque organisme sous-traitant.
7.5.2 Les décisions de l’octroi, du refus, du maintien de la certification, de l’extension ou de la réduction

du périmètre de la certification, du renouvellement, de la suspension ou du rétablissement, ou du retrait
de la certification ne doivent pas être externalisées.
7.5.3 L’organisme de certification doit:
a) assumer l’entière responsabilité de toutes les activités externalisées auprès d’un autre organisme;
b) assurer que l’organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, respectent les
exigences de l’organisme de certification ainsi que les dispositions applicables de la présente partie
de l’ISO/IEC 17021, y compris en ce qui concerne les compétences, l’impartialité et la confidentialité;
c) assurer que l’organisme sous-traitant, ainsi que les personnes auxquelles il fait appel, ne sont
pas liés, directement ou par le biais d’un autre employeur, à l’organisme à auditer d’une manière
susceptible de compromettre l’impartialité.
7.5.4 L’organisme de certification doit disposer d’un processus pour l’approbation et la surveillance
de tous les sous-traitants auxquels il fait appel pour les activités de certification et doit assurer que les
enregistrements relatifs aux compétences de l’ensemble du personnel impliqué dans les activités de
certification sont conservés.
NOTE 1 Pour 7.5.1 à 7.5.4, lorsque l’organisme de certification engage des personnes ou des employés d’autres
organismes afin de fournir des ressources ou une expertise supplémentaires, ces personnes ne constituent pas
une externalisation dès lors qu’elles sont individuellement sous contrat pour opérer dans le cadre du système de
management de l’organisme de certification (voir 7.3).
NOTE 2 Pour 7.5.1 à 7.5.4, les termes « externalisation » et « sous-traitance » sont considérés comme synonymes.
8 Exigences relatives aux informations
8.1 Informations publiques
8.1.1 L’organisme de certification doit conserver (par le biais de publications, de supports électroniques
ou d’autres moyens) et rendre publiques, sans avoir à en faire la demande et dans toutes les zones
géographiques qui entrent dans son périmètre d’action, les informations concernant:

ISO/IEC

a) les processus d’audit;

b) les processus pour l’octroi, le refus, le maintien, le renouvellement, la suspension, le rétablissement
ou le retrait de la certification ou l’extension ou la réduction du périmètre de la certification;
c) les types de systèmes de management et les programmes de certification qui entrent dans son
périmètre d’action;
d) l’utilisation du nom de l’organisme de certification et de la marque ou du logo de certification;
e) les processus de traitement des demandes d’informations, des plaintes et appels;
f) sa politique en matière d’impartialité.
8.1.2 L’organisme de certification doit fournir, sur demande, les informations concernant
a) les zones géographiques qui entrent dans son périmètre d’action;

b) le statut d’une certification donnée;
c) le nom, le document normatif correspondant, le domaine d’activité et la localisation géographique
(ville et pays) d’un client certifié particulier.
NOTE 1 Dans certains cas exceptionnels (par exemple pour des raisons de sécurité), l’accès à certaines
informations peut être limité à la demande du client.
NOTE 2 L’organisme de certification peut également rendre publiques les informations figurant en 8.1.2 par
tous les moyens de son choix sans avoir à en faire la demande, par exemple sur son site Web.
8.1.3 L’organisme de certification doit s’assurer que les informations qu’il fournit au client ou au
marché, y compris la publicité, ne sont ni fausses ni trompeuses.
8.2 Documents de certification
8.2.1 L’organisme de certification doit fournir des documents de certification au client certifié par tous
les moyens de son choix.
8.2.2 Le ou les documents de certification doivent permettre d’identifier:
a) le nom et la localisation géographique de chaque client certifié (ou bien la localisation géographique
du siège social et celle de tous les sites rattachés à une certification multisite);
b) la date d’entrée en vigueur de la délivrance, de l’extension ou de la réduction du périmètre de la
certification, ou du renouvellement de la certification, qui ne doit pas être antérieure à la date de la
décision de certification correspondante;
NOTE L’organisme de certification peut conserver la date de certification initiale sur le certificat
lorsqu’un certificat expire pendant un certain temps à condition que:
— la date de début et la date d’expiration du cycle de certification actuel soient clairement indiquées;
— la date d’expiration du dernier cycle de certification soit indiquée avec la date de l’audit de renouvellement
de la certification;
c) la date d’expiration ou la date prévue pour un renouvellement coïncidant avec le cycle de

renouvellement de la certification;
d) un numéro d’identification unique;
e) la norme de système de management et/ou tout autre document normatif, avec mention de la version
(par exemple, date ou numéro de révision), utilisés pour l’audit du client certifié;


f) le périmètre de la certification en fonction du type d’activités, de produits et de services, etc., tel que
défini pour chaque site, sans qu’il ne soit ni trompeur, ni ambigu;
g) le nom, l’adresse et la marque de certification de l’organisme de certification; d’autres marques
(telles que la marque d’accréditation, le logo du client) peuvent être utilisées sous réserve qu’elles
ne soient ni trompeuses, ni ambiguës;
h) toute autre information requise par la norme et/ou tout autre document normatif utilisé pour la
certification;
i) dans le cas d’une révision de documents de certification, un moyen de distinguer les versions en
vigueur par rapport aux versions précédentes périmées.
8.3 Référence à la certification et utilisation des marques
8.3.1 Un organisme de certification doit disposer de règles régissant toute marque de certification de
système relative aux systèmes de management qu’il autorise des clients certifiés à utiliser. Ces règles
doivent, entre autres, garantir la traçabilité vers l’organisme de certification. Il ne doit y avoir aucune
ambiguïté dans la marque ou le texte d’accompagnement en ce qui concerne l’objet de la certification
et l’organisme qui a accordé la certification. Cette marque ne doit pas être utilisée sur un produit ni un
emballage de produit ni de toute autre manière pouvant être interprétée comme une indication de la
conformité dudit produit.
NOTE L’ISO/IEC 17030 fournit les informations supplémentaires relatives à l’utilisation des marques de
tierces parties.
8.3.2 Un organisme de certification ne doit pas autoriser l’apposition de ses marques par les clients
certifiés sur les rapports de laboratoire d’essai, sur les rapports d’étalonnage ou d’inspection ou sur les
certificats.
8.3.3 Un organisme de certification doit disposer de règles régissant l’utilisation de toute mention
sur l’emballage du produit ou sur les documents d’accompagnement indiquant que le client certifié
dispose d’un système de management certifié. L’emballage du produit correspond à celui qui peut être
retiré sans casser ni endommager le produit. Les documents d’accompagnement sont considérés comme
étant disponibles séparément ou facilement détachables. Les étiquettes ou les plaques signalétiques
sont considérées comme faisant partie du produit. La mention ne doit en aucun cas sous-entendre que le
produit, processus ou service est certifié par ce biais. Elle doit comprendre une référence:
— à l’identification (par exemple marque ou nom) du client certifié;

— au type de système de management (par exemple de la qualité, environnemental) et à la norme
applicable;
— à l’organisme de certification qui délivre le certificat.
8.3.4 Par le biais de dispositions juridiquement exécutoires, l’organisme de certification doit exiger que
le client certifié:
a) se conforme aux exigences de l’organisme de certification lorsqu’il fait référence au statut de la

certification dans ses moyens de communication, tels que Internet, brochures ou publicité et autres
documents;
b) ne fasse ou ne permette de faire aucune déclaration trompeuse concernant sa certification;
c) n’utilise ou ne permette d’utiliser de manière abusive aucun document de certification, dans sa
totalité ou en partie;
d) cesse, en cas de retrait de sa certification, toute publicité qui se réfère à un statut de certifié, comme
exigé par l’organisme de certification (voir 9.6.5);

ISO/IEC

e) modifie tout objet de publicité en cas de réduction du périmètre de la certification;

f) ne laisse pas utiliser la référence à la certification de son système de management pour laisser
supposer qu’un produit (y compris les services) ou un processus est certifié par l’organisme de
certification;
g) ne sous-entende pas que la certification s’applique à des activités et des sites non couverts par le
périmètre de la certification;
h) n’utilise pas sa certification de façon qui puisse nuire à la réputation de l’organisme de certification
et/ou du système de certification et compromette la confiance que lui accorde le public.
8.3.5 L’organisme de certification doit exercer une maîtrise appropriée des droits de propriété et doit
agir pour traiter toute référence incorrecte au statut de la certification ou tout usage abusif des documents,
des marques de certification ou des rapports d’audit.
NOTE Une telle action pourrait entraîner une demande de correction et d’action corrective, la suspension ou
le retrait du certificat, la publication de l’infraction et, si approprié, une action en justice.
8.4 Confidentialité
8.4.1 Dans le cadre des engagements juridiquement exécutoires, l’organisme de certification doit être
responsable de la gestion de toutes les informations obtenues ou générées au cours de ses activités de
certification à tous les niveaux de son organisation, y compris celui des comités et des organismes ou
personnes externes agissant en son nom.
8.4.2 L’organisme de certification doit indiquer au client, à l’avance, les informations qu’il a l’intention
de rendre publiques. Toutes les autres informations, à l’exception de celles rendues publiques par le
client, doivent être considérées comme confidentielles.
8.4.3 Sauf spécification contraire dans la présente partie de l’ISO/IEC 17021, les informations relatives
à un client certifié ou à une personne en particulier ne doivent pas être divulguées à un tiers sans le
consentement écrit du client certifié ou de la personne qui les a fournies.
8.4.4 Lorsqu’un organisme de certification est tenu par la loi, ou autorisé par des dispositions
contractuelles (comme avec l’organisme d’accréditation), à divulguer des informations confidentielles, le
client ou la personne en question doit être avisé, sauf si la loi l’interdit, des informations fournies.
8.4.5 Les informations relatives au client obtenues par d’autres sources que le client lui-même (par
exemple plaignant, autorités de réglementation) doivent être considérées comme confidentielles,
conformément à la politique de l’organisme de certification.
8.4.6 Le personnel, mais aussi tous les membres des comités, les fournisseurs, le personnel
d’organismes ou de personnes externes agissant au nom de l’organisme de certification, doivent préserver
la confidentialité de toutes les informations obtenues ou générées au cours des activités de l’organisme
de certification, sauf spécification contraire dans la loi.
8.4.7 L’organisme de certification doit disposer de processus, et le cas échéant, d’équipements et

d’installations lui permettant d’assurer en toute sécurité le traitement des informations confidentielles.


8.5 Échange d’informations entre l’organisme de certification et ses clients
8.5.1 Informations relatives aux processus et aux exigences de certification
L’organisme de certification doit fournir à ses clients les informations suivantes à jour:
a) une description détaillée du processus de certification initiale et en cours, y compris la demande,
les audits initiaux, les audits de surveillance et le processus d’octroi, de refus, de maintien de la
certification, d’extension ou de réduction du périmètre de la certification, de renouvellement, de
suspension ou de rétablissement, ou de retrait de la certification;
b) les exigences normatives relatives à la certification;
c) des informations relatives aux tarifs correspondants à la demande, à la certification initiale et au
maintien de la certification;
d) les exigences de l’organisme de certification pour que les clients:
1) se conforment aux exigences de certification;
2) prennent toutes les dispositions nécessaires pour la conduite des audits, y compris les
dispositions en vue de l’examen de la documentation et de l’accès à tous les processus et
zones, enregistrements et personnels pour les besoins de la certification initiale, des audits de
surveillance, du renouvellement de la certification et du traitement des plaintes;
3) prennent, le cas échéant, des dispositions pour accepter les observateurs (par exemple les
évaluateurs d’accréditation ou un auditeur en cours de formation);
e) les documents décrivant les droits et devoirs des clients certifiés, y compris les exigences à respecter
pour faire référence à sa certification dans sa communication, conformément aux exigences de 8.3;
f) des informations relatives aux processus de traitement des plaintes et appels.
8.5.2 Notification des modifications émanant d’un organisme de certification
L’organisme de certification doit dûment aviser ses clients certifiés de toute modification qu’il envisage
d’apporter à ses exigences en matière de certification. Il doit vérifier que chaque client certifié se
conforme aux nouvelles exigences.
8.5.3 Notification des modifications émanant d’un client certifié
L’organisme de certification doit prendre des dispositions exécutoires pour assurer que le client certifié
l’informe sans délai des questions qui peuvent compromettre la capacité du système de management
à continuer de se conformer aux exigences de la norme utilisée pour la certification, par exemple des
modifications concernant:
a) son statut juridique, commercial, ses propriétaires ou l’organisation;
b) l’organisation et le management (par exemple le personnel clé tel que les dirigeants, les décisionnaires
ou les techniciens);
c) les coordonnées de la personne à contacter et les sites principaux;
d) le périmètre des opérations réalisées dans le cadre du système de management certifié;
e) les modifications importantes apportées au système de management et aux processus.
L’organisme de certification doit prendre les mesures appropriées.

ISO/IEC

9 Exigences relatives aux processus
9.1 Activités préalables à la certification
9.1.1 Demande de certification
L’organisme de certification doit demander à un représentant dûment autorisé de l’organisme candidat

de lui fournir les informations requises pour lui permettre d’établir:
a) le périmètre recherché pour la certification;
b) les détails pertinents de l’organisme candidat tels qu’exigés par le schéma de certification spécifique,
y compris son nom, l’adresse de son (ses) site(s), ses processus et opérations, ses ressources humaines
et techniques, ses fonctions, ses relations et toute obligation juridique applicable;
c) l’identification des processus externalisés utilisés par l’organisme et qui affecteront la conformité
aux exigences;
d) les normes ou les autres exigences par rapport auxquelles l’organisme candidat souhaite être
certifié;
e) si des prestations de conseil en matière de système de management pour la certification ont été
fournies, et si tel est le cas, par qui.
9.1.2 Revue de la demande
9.1.2.1 L’organisme de certification doit effectuer une revue de la candidature et des informations
complémentaires concernant la certification pour assurer que:
a) les informations relatives à l’organisme candidat et à son système de management sont suffisantes
pour élaborer un programme d’audit (voir 9.1.3);
b) tout malentendu identifié entre l’organisme de certification et l’organisme candidat est résolu;
c) l’organisme de certification a la compétence et la capacité d’effectuer la prestation de certification;
d) le périmètre de la certification recherchée, le (les) site(s) où l’organisme candidat réalise ses
interventions, la durée requise pour réaliser les audits ainsi que tout autre point ayant une influence
sur les activités de certification sont pris en compte (tels que la langue, les conditions de sécurité, les
menaces pour l’impartialité, etc.).
9.1.2.2 Suite à la revue de la demande, l’organisme de certification doit soit accepter, soit refuser la
demande de certification. Lorsque l’organisme de certification refuse une demande de certification suite
à la revue de la demande, il doit documenter les raisons de son refus et les indiquer clairement au client.
9.1.2.3 Sur la base de cette revue, l’organisme de certification doit déterminer les compétences
nécessaires pour l’équipe d’audit à missionner et pour la décision de certification.
9.1.3 Programme d’audit
9.1.3.1 Un programme d’audit d’un cycle complet de certification doit être élaboré pour identifier
clairement la (les) activité(s) d’audit requise(s) pour démontrer que le système de management du client
répond aux exigences de la certification suivant la (les) norme(s) ou autres documents normatifs choisis.
Le programme d’audit pour le cycle de certification doit couvrir l’ensemble des exigences relatives au
système de management.
9.1.3.2 Le programme d’audit pour la certification initiale doit comprendre un audit initial en deux étapes,
des audits de surveillance durant la première et la deuxième années après la décision de certification et un


audit de renouvellement de certification durant la troisième année avant l’expiration de la certification. Le

premier cycle de certification de trois ans commence avec la décision de certification. Les cycles suivants
commencent avec la décision de renouvellement de la certification (voir 9.6.3.2.3). La détermination du
programme d’audit et tout ajustement ultérieur doivent tenir compte de la taille du client, du périmètre et
de la complexité du système de management du client, des produits et des processus ainsi que du niveau
démontré d’efficacité du système de management et des résultats d’audits précédents.
NOTE 1 L’Annexe E présente un logigramme d’un audit et d’un processus de certification typique.
NOTE 2 La liste suivante énumère des éléments supplémentaires qui peuvent être pris en compte lors de
l’élaboration ou de la révision d’un programme d’audit et qu’il peut également être nécessaire de prendre en
compte lors de la détermination du périmètre de l’audit et de l’élaboration du plan d’audit:
— les plaintes reçues par l’organisme de certification sur le client;
— le type de l’audit: combiné, intégré ou conjoint
— les modifications apportées aux exigences de certification;
— les modifications apportées aux exigences légales;
— les modifications apportées aux exigences d’accréditation;
— les données de performances de l’organisation [par exemple niveaux d’anomalies, les données des indicateurs
clés de performance, etc.);
— les préoccupations pertinentes des parties intéressées.
NOTE 3 Si elle est spécifiée par le programme de certification spécifique au secteur, la durée du cycle de
certification peut ne pas être de trois ans.
9.1.3.3 Les audits de surveillance doivent être effectués au moins une fois par année civile, excepté
les années de renouvellement de la certification. La date du premier audit de surveillance suivant la
certification initiale doit être fixée dans un délai maximal de douze mois à compter de la date de décision
de certification.
NOTE Il peut être nécessaire d’adapter la fréquence des audits de surveillance afin de prendre en compte
des facteurs tels que la saisonnalité ou la certification de systèmes de management sur une durée limitée (par
exemple site de construction temporaire).
9.1.3.4 Si l’organisme de certification tient compte de la certification déjà accordée au client et des audits
réalisés par un autre organisme de certification, il doit obtenir et conserver des preuves suffisantes, telles
que des rapports et la documentation des actions correctives, en cas de non-conformité. La satisfaction
des exigences de la présente partie de l’ISO/IEC 17021 doit être étayée par la documentation conservée.
L’organisme de certification doit, en se basant sur les informations obtenues, justifier et enregistrer tout
ajustement du programme d’audit existant et suivre la mise en œuvre des actions correctives concernant
les non-conformités antérieures.
9.1.3.5 Lorsque le client gère des équipes, les activités qui ont lieu pendant les rotations des équipes
doivent être prises en compte lors de l’élaboration du programme d’audit et des plans d’audit.
9.1.4 Détermination du temps d’audit
9.1.4.1 L’organisme de certification doit disposer de procédures documentées pour la détermination

du temps d’audit. Pour chaque client, l’organisme de certification doit déterminer le temps nécessaire à
la planification et à la réalisation d’un audit complet et efficace du système de management du client.
9.1.4.2 Lorsqu’il détermine le temps d’audit, il convient que l’organisme de certification tienne compte,
entre autres, des aspects suivants:

ISO/IEC

a) les exigences de la norme de système de management applicable;

b) la taille et la complexité du client et de son système de management;
c) le cadre technologique et réglementaire;
d) toute externalisation d’activités comprises dans le domaine d’application du système de management;
e) les résultats d’audits antérieurs;
f) la taille et le nombre de sites, leur emplacement géographique et toutes spécificités multisites;
g) les risques associés aux produits, aux processus ou aux activités de l’organisme;
h) si les audits sont combinés, conjoints ou intégrés.
NOTE 1 Le temps passé pour se rendre sur les sites audités n’est pas inclus dans le calcul de la durée des jours
d’audit du système de management.
NOTE 2 L’organisme de certification peut utiliser les lignes directrices établies dans l’ISO/IEC/TS 17023 pour
déterminer la durée de l’audit du système de management lors de la rédaction de ces procédures.
Quand des critères de compétences supplémentaires ont été déterminés pour un programme de
certification spécifique, par exemple l’ISO/TS 22003 ou l’ISO/IEC 27006, ces critères doivent être
appliqués.
9.1.4.3 La durée de l’audit du système de management et sa justification doivent être enregistrées.
9.1.4.4 Le temps passé par un membre quelconque de l’équipe qui n’a pas été désigné comme auditeur
(c’est-à-dire les experts techniques, les traducteurs, les interprètes, les observateurs et les auditeurs en
formation) ne doit pas être compté dans la durée de l’audit du système de management déterminée ci-
dessus.
NOTE Le recours à des traducteurs et à des interprètes, peut nécessiter du temps supplémentaire.
9.1.5 Échantillonnage multisite
Lorsqu’il est nécessaire de procéder à un échantillonnage multisite pour auditer le système de

management d’un client couvrant la même activité en plusieurs emplacements géographiques, l’organisme
de certification doit élaborer un programme d’échantillonnage afin de garantir une évaluation correcte
du système de management. Les fondements du plan d’échantillonnage doivent être documentés pour
chaque client. Pour certains programmes de certification spécifiques, l’échantillonnage n’est pas autorisé,
et quand des critères spécifiques ont été déterminés pour un programme de certification donné, par
exemple dans l’ISO/TS 22003, ces critères doivent s’appliquer.
NOTE Dans le cas de plusieurs sites activité pas la même activité, un échantillonnage n’est pas approprié.
9.1.6 Normes de systèmes de management multiples
Lorsque l’organisme de certification a accordé la certification par rapport à plusieurs normes de

systèmes de management, la planification de l’audit doit assurer un temps d’audit sur site suffisant pour
donner confiance dans la certification.
9.2 Planification des audits
9.2.1 Détermination des objectifs, du périmètre et des critères de l’audit
9.2.1.1 Les objectifs de l’audit doivent être déterminés par l’organisme de certification. Le périmètre de
l’audit et ses critères, y compris toutes modifications, doivent être établis par l’organisme de certification
après discussion avec le client.


9.2.1.2 Les objectifs de l’audit doivent décrire ce qui doit être réalisé par l’audit et doivent comporter:
a) la détermination de la conformité de tout ou parties du système de management du client, aux

critères de l’audit;
b) la détermination de la capacité du système de management à assurer que le client répond aux
exigences légales, réglementaires et contractuelles applicables;
NOTE Un audit de certification d’un système de management n’est pas un audit de conformité juridique;
c) la détermination de l’efficacité du système de management à assurer que le client peut

raisonnablement s’attendre à atteindre ses objectifs spécifiés;
d) suivant le cas, l’identification des parties du système de management susceptibles d’être améliorées.
9.2.1.3 Le périmètre de l’audit doit décrire l’étendue et les limites de l’audit, comme des sites, des
unités organisationnelles, des activités et des processus à auditer. Lorsque le processus initial ou de
renouvellement de la certification comprend plus d’un audit (par exemple lorsqu’il couvre différents
sites), le périmètre de l’audit individuel peut ne pas couvrir la totalité du périmètre de la certification,
mais l’ensemble des audits doit correspondre au périmètre du document de certification.
9.2.1.4 Les critères d’audit doivent servir de référence pour la détermination de la conformité et doivent
comprendre:
— les exigences d’un document normatif défini sur les systèmes de management;
— les processus définis et la documentation du système de management élaboré par le client.
9.2.2 Constitution de l’équipe d’audit et affectation des missions
9.2.2.1 Généralités
9.2.2.1.1 L’organisme de certification doit disposer d’un processus de sélection et de désignation de

l’équipe d’audit, y compris le responsable de l’équipe d’audit et ses experts techniques si nécessaire,
tenant compte des compétences nécessaires pour atteindre les objectifs de l’audit et des exigences
d’impartialité. S’il n’y a qu’un seul auditeur, l’auditeur doit avoir les compétences pour réaliser les
tâches d’un responsable d’équipe d’audit applicables à l’audit concerné. L’équipe d’audit doit disposer
collectivement de toutes les compétences identifiées par l’organisme de certification, telles que définies
en 9.1.2.3 pour l’audit.
9.2.2.1.2 En décidant de la taille et de la composition de l’équipe d’audit, les points suivants doivent
être pris en considération:
a) les objectifs de l’audit, son périmètre, ses critères, et la durée estimée de l’audit;
b) si l’audit est un audit combiné, conjoint ou intégré;
c) les compétences d’ensemble de l’équipe d’audit nécessaires pour atteindre les objectifs de l’audit
(voir le Tableau A.1);
d) les exigences de la certification (y compris toutes les exigences légales, réglementaires ou
contractuelles applicables);
e) la langue et la culture.
NOTE On attend du responsable d’équipe d’un audit combiné ou intégré qu’il possède des connaissances
approfondies d’au moins une des normes et qu’il soit sensibilisé aux autres normes utilisées pour cet audit
spécifique.

ISO/IEC

9.2.2.1.3 Les connaissances et le savoir-faire nécessaires du responsable de l’équipe d’audit et des

auditeurs peuvent être complétés par des experts techniques, des traducteurs et des interprètes qui
doivent opérer sous la direction d’un auditeur. Lorsqu’il est fait appel à des traducteurs ou des interprètes,
ceux-ci doivent être sélectionnés de sorte à ne pas influencer l’audit outre mesure.
NOTE Les critères de sélection des experts techniques sont déterminés au cas par cas par les besoins de
l’équipe d’audit et le périmètre de l’audit.
9.2.2.1.4 Des auditeurs en formation peuvent participer à l’audit, à condition qu’un auditeur soit
nommé comme évaluateur. L’évaluateur doit avoir les compétences nécessaires pour prendre le contrôle
des tâches et assurer la responsabilité finale des actions et des résultats de l’auditeur en formation.
9.2.2.1.5 Le responsable de l’équipe d’audit, en concertation avec l’équipe d’audit, doit attribuer
à chaque membre de l’équipe la responsabilité d’auditer des processus, des fonctions, des sites, des
domaines ou des activités spécifiques. Ces distributions de tâches doivent tenir compte des compétences,
de l’utilisation réelle et efficace de l’équipe d’audit, ainsi que des différents rôles et responsabilités des
auditeurs, des auditeurs en formation et des experts techniques. Des changements à la distribution des
tâches peuvent se faire au fur et à mesure de l’avancée de l’audit pour assurer l’atteinte des objectifs de
l’audit.
9.2.2.2 Observateurs, experts techniques et guides
9.2.2.2.1 Observateurs
La présence d’observateurs pendant une activité d’audit et sa justification doivent être convenues entre
l’organisme de certification et le client avant le démarrage de l’audit. L’équipe d’audit doit s’assurer que
les observateurs n’influencent pas ou ne perturbent pas le processus d’audit ou les résultats de l’audit
outre mesure.
NOTE Les observateurs peuvent être des membres de l’organisme client, des consultants, du personnel
d’un organisme d’accréditation, des autorités de réglementation ou toutes autres personnes dont la présence est
justifiée.
9.2.2.2.2 Experts techniques
Le rôle des experts techniques pendant une activité d’audit doit être convenu entre l’organisme de
certification et le client avant le démarrage de l’audit. Au sein de l’équipe d’audit, un expert technique ne
doit pas agir en tant qu’auditeur. Les experts techniques doivent être accompagnés d’un auditeur.
NOTE Les experts techniques peuvent fournir des conseils à l’équipe d’audit lors des phases de préparation,
de planification ou d’audit.
9.2.2.2.3 Guides
Chaque auditeur doit être accompagné d’un guide, à moins qu’il n’en soit convenu autrement entre
le responsable de l’équipe d’audit et le client. Le ou les guides sont mis à la disponibilité de l’équipe
d’audit pour faciliter l’audit. L’équipe d’audit doit s’assurer que les observateurs n’influencent pas ou ne
perturbent pas le processus d’audit ou les résultats de l’audit.
NOTE 1 Les responsabilités d’un guide peuvent consister à:
a) établir des contacts et organiser des entretiens;
b) organiser des visites dans des parties spécifiques du site ou de l’organisme;
c) s’assurer que les règles concernant les procédures d’hygiène et de sécurité du site sont connues et respectées
par les membres de l’équipe d’audit;
d) être témoin de l’audit pour le compte du client;


e) fournir des éclaircissements ou des informations sur demande d’un auditeur.
NOTE 2 Si nécessaire, l’audité peut aussi agir en tant que guide.
9.2.3 Plan d’audit
L’organisme de certification doit assurer qu’un plan d’audit est préalablement établi pour chaque audit
identifié dans le programme d’audit pour servir de base à un accord concernant la réalisation et la
programmation des activités d’audit.
NOTE Il n’est pas nécessaire qu’un organisme de certification élabore un plan d’audit pour chaque audit au
moment de l’élaboration du programme d’audit.
9.2.3.2 Préparation du plan d’audit
Le plan d’audit doit être adapté aux objectifs et au périmètre de l’audit. Le plan d’audit doit au moins
inclure ou faire référence à ce qui suit:
a) les objectifs de l’audit;
b) les critères de l’audit;
c) le périmètre de l’audit, y compris l’identification des unités organisationnelles et fonctionnelles ou
des processus à auditer;
d) les dates des audits et les sites sur lesquels les activités d’audit sur site seront menées, y compris les
visites sur les sites temporaires et les activités d’audit à distance, le cas échéant;
e) la durée escomptée des activités d’audit sur site;
f) les rôles et les responsabilités des membres de l’équipe d’audit et des personnes les accompagnant,
tels que les observateurs ou les interprètes.
NOTE Les informations du plan d’audit peuvent figurer sur plusieurs documents.
9.2.3.3 Communication des tâches de l’équipe d’audit
Les tâches attribuées à l’équipe d’audit doivent être définies et doivent amener l’équipe d’audit à:
a) examiner et vérifier la structure, les politiques, les processus, les procédures, les enregistrements
et les documents associés du client relevant de la norme de système de management;
b) confirmer leur conformité à toutes les exigences applicables au périmètre de la certification;
c) confirmer que les processus et procédures sont établis, mis en œuvre et maintenus de manière
efficace pour pouvoir accorder la confiance au système de management du client;
d) informer le client de toutes les incohérences entre sa politique, ses objectifs et ses cibles, pour qu’il
prenne des dispositions.
9.2.3.4 Communication du plan d’audit
Le plan d’audit doit être communiqué et les dates de l’audit doivent être convenues à l’avance avec le
client.
9.2.3.5 Communication concernant les membres de l’équipe d’audit
L’organisme de certification doit fournir le nom et, lorsque cela est demandé, les informations nécessaires
concernant chacun des membres de l’équipe d’audit au client dans un délai suffisant pour permettre à ce

ISO/IEC

dernier de formuler une objection à la désignation d’un membre particulier de l’équipe d’audit et ainsi
permettre à l’organisme de certification de reformer l’équipe en réponse à toute objection valide.
9.3 Certification initiale
9.3.1 Audit de certification initiale
L’audit de certification initiale d’un système de management doit être mené en deux étapes: Étape 1 et
Étape 2.
9.3.1.2 Étape 1
9.3.1.2.1 La planification doit assurer que les objectifs de l’étape 1 peuvent être remplis et le client doit
être informé des activités « sur site » réalisées lors de l’étape 1.
NOTE L’étape 1 ne nécessite pas de plan d’audit formel (voir 9.2.3).
9.3.1.2.2 L’étape 1 a pour objectifs:
a) de revoir les informations documentées du système de management du client;

b) d’évaluer les conditions spécifiques au site du client et créer l’occasion d’un échange d’informations
avec le personnel du client afin de déterminer le niveau de préparation pour l’étape 2;
c) de procéder à une revue de l’état de l’organisme client et de sa compréhension des exigences de la
norme, notamment en ce qui concerne l’identification des performances clés ou des aspects, des
processus, des objectifs et du fonctionnement significatifs du système de management;
d) d’obtenir les informations nécessaires concernant le périmètre du système de management, y
compris:
— le ou les sites du client;
— les processus et l’équipement utilisés;
— les niveaux de maîtrises établis (en particulier dans le cas de clients multisites);
— les exigences légales et réglementaires applicables;
e) procéder à une revue de l’affectation des ressources pour l’étape 2 et convenir avec le client des
détails de l’étape 2;
f) de permettre la planification de l’étape 2, une fois acquise une compréhension suffisante du système
de management du client et du fonctionnement du site dans le contexte de la norme de système de
management ou d’un autre document normatif;
g) de déterminer si les audits internes et les revues de direction ont été planifiés et réalisés et si le
niveau de mise en œuvre du système de management atteste que l’organisme client indique qu’il est
prêt pour l’étape 2.
NOTE Si au moins une partie de l’étape 1 est réalisée dans les locaux du client, cela peut aider à atteindre les
objectifs fixés ci-dessus.
9.3.1.2.3 Les conclusions documentées concernant la réalisation des objectifs de l’étape 1 et le niveau
de préparation pour l’étape 2 doivent être communiquées au client, y compris l’identification de tout
problème susceptible d’être classé comme une non-conformité au cours de l’étape 2.


NOTE Il n’est pas nécessaire que les données de sortie de l’étape 1 remplissent toutes les exigences d’un
rapport (voir 9.4.8).
9.3.1.2.4 Pour déterminer l’intervalle entre l’étape 1 et l’étape 2, il faut prendre en considération ce
dont le client aura besoin pour résoudre les problèmes identifiés au cours de l’étape 1. L’organisme de
certification peut également avoir besoin de revoir ses dispositions pour l’étape 2. Si des modifications
significatives susceptibles d’affecter le système de management interviennent, l’organisme de certification
doit envisager la nécessité de répéter tout ou partie de l’étape 1. Le client doit être informé que les résultats
de l’étape 1 peuvent entraîner le report ou l’annulation de l’étape 2.
9.3.1.3 Étape 2
L’objet de l’étape 2 est d’évaluer la mise en œuvre et l’efficacité du système de management du client.
L’étape 2 doit se dérouler sur le ou les sites du client. Elle doit comprendre au minimum l’audit des
éléments suivants:
a) les informations et les preuves relatives à la conformité à toutes les exigences de la norme relative
au système de management ou d’autres documents normatifs applicables;
b) la surveillance, le mesurage, le compte rendu et la revue des performances par rapport aux
objectifs de performance clé et aux cibles (en cohérence avec les attentes de la norme de système de
management ou de tout autre document normatif applicable);
c) l’aptitude du système de management du client et ses performances concernant la satisfaction des
exigences légales, réglementaires et contractuelles applicables;
d) la maîtrise opérationnelle des processus du client;
e) les audits internes et la revue de direction;
f) les responsabilités de la direction vis-à-vis des politiques de l’organisme client.
9.3.1.4 Conclusions de l’audit de certification initiale
L’équipe d’audit doit analyser toutes les informations et les preuves réunies au cours de l’étape 1 et de
l’étape 2 afin de passer en revue les résultats et de déterminer les conclusions de l’audit.
9.4 Réalisation des audits
9.4.1 Généralités
Pour réaliser des audits sur site, l’organisme de certification doit disposer d’un processus. Ce processus
doit comporter une réunion d’ouverture au début de l’audit et une réunion de clôture à la fin de l’audit.
Si une partie de l’audit est réalisée par voie électronique, ou si le site à auditer est virtuel, l’organisme
de certification doit s’assurer que ces activités sont menées par du personnel ayant les compétences
appropriées. Les preuves obtenues au cours de ce type d’audit doivent être suffisantes pour permettre à
l’auditeur de prendre une décision éclairée concernant la conformité de l’exigence en question.
NOTE Les audits « sur site » peuvent comprendre l’accès à distance à un ou des sites électroniques comportant
des informations pertinentes pour l’audit du système de management. L’utilisation de moyens électroniques pour
la conduite des audits peut également être prise en considération.
9.4.2 Conduite de la réunion d’ouverture
Une réunion d’ouverture formelle doit être tenue avec la direction du client et, le cas échéant, les
responsables des fonctions ou des processus à auditer. La réunion d’ouverture, normalement animée
par le responsable de l’équipe d’audit, a pour objectif de fournir une courte explication sur la façon dont

ISO/IEC

les activités d’audit vont se dérouler. Le degré de détail doit être adapté à la familiarité du client avec le
processus d’audit et doit comporter les éléments suivants:
a) présentation des participants et une description succincte de leurs rôles;
b) confirmation du périmètre de la certification;
c) confirmation du plan d’audit (y compris le type et le périmètre de l’audit, les objectifs et les critères),
des modifications éventuelles et des autres dispositions importantes, comme la date et l’heure de la
réunion de clôture, des réunions intermédiaires entre l’équipe d’audit et la direction du client;
d) confirmation des circuits de communication officiels entre l’équipe d’audit et le client;
e) confirmation de la disponibilité des ressources et de la logistique nécessaire à l’équipe d’audit;
f) confirmation des points relatifs à la confidentialité;
g) confirmation des procédures d’hygiène, d’urgence et de sécurité pour l’équipe d’audit;
h) confirmation de la disponibilité, des rôles et de l’identité des guides et des observateurs;
i) méthode utilisée pour rendre compte des constats d’audit y compris leur classement;
j) informations sur les conditions dans lesquelles il peut être mis fin à l’audit prématurément;
k) confirmation que le responsable de l’équipe d’audit et l’équipe d’audit, qui représentent l’organisme
de certification, sont responsables de l’audit et de l’exécution du plan d’audit, y compris des activités
et des cheminements d’audit;
l) confirmation du statut des constats de la revue ou de l’audit précédent, le cas échéant;
m) méthodes et procédures utilisées pour conduire l’audit sur la base d’un échantillonnage;
n) confirmation de la langue à utiliser pendant l’audit;
o) confirmation du fait que, pendant l’audit, le client sera tenu informé de l’avancement de l’audit;
p) opportunité du client de poser des questions.
9.4.3 Communication pendant l’audit
9.4.3.1 Pendant l’audit, l’équipe d’audit doit évaluer périodiquement les avancées de l’audit et échanger
des informations. Le responsable de l’équipe d’audit doit redistribuer, si nécessaire, le travail entre les
membres de l’équipe d’audit et informer régulièrement le client des avancées de l’audit et des éventuelles
difficultés.
9.4.3.2 Lorsque les preuves disponibles de l’audit indiquent que les objectifs de l’audit sont irréalisables
ou suggèrent la présence d’un risque immédiat et significatif (par exemple en matière de sécurité),
le responsable de l’équipe d’audit doit rapporter ces faits au client et, si possible, à l’organisme de
certification pour déterminer une action appropriée. Une telle action peut comprendre la reconfirmation
ou la modification du plan d’audit, la modification des objectifs ou du périmètre de l’audit, ou l’arrêt de
l’audit. Le responsable de l’équipe d’audit doit rendre compte à l’organisme de certification du résultat de
l’action entreprise.
9.4.3.3 Le responsable de l’équipe d’audit doit revoir avec le client toute nécessité de modification du
périmètre de l’audit qui se dégage au fur et à mesure de l’avancée des activités d’audit sur site et en rendre
compte à l’organisme de certification.


9.4.4 Obtention et vérification des informations
9.4.4.1 Pendant l’audit, les informations relatives aux objectifs, au périmètre et aux critères de l’audit
(y compris les informations relatives aux interfaces entre les fonctions, les activités et les processus)
doivent être obtenues à l’aide d’un échantillonnage approprié, puis vérifiées pour devenir des preuves
d’audit.
9.4.4.2 Les méthodes permettant d’obtenir les informations comprennent les éléments suivants, dont
la liste n’est pas exhaustive:
a) des entretiens;
b) l’observation des processus et des activités;
c) la revue des documents et des enregistrements.
9.4.5 Identification et enregistrement des constats d’audit
9.4.5.1 Les constats d’audit résumant la conformité et détaillant la non-conformité doivent être
identifiés, classés et enregistrés pour décider, en toute connaissance de cause, de la délivrance ou du
maintien d’une certification.
9.4.5.2 À moins que les exigences d’un programme de certification de système de management ne
l’interdisent, il est possible d’identifier et d’enregistrer des suggestions d’amélioration. Toutefois, les
constats d’audit qui correspondent à des non-conformités ne doivent pas être enregistrés en tant que
suggestions d’amélioration.
9.4.5.3 Un constat de non-conformité doit être enregistré par rapport à une exigence spécifique et doit
comporter un énoncé clair de la non-conformité, identifiant en détail les éléments objectifs sur lesquels
repose la non-conformité. Les non-conformités doivent faire l’objet d’une discussion avec le client, en
vue de s’assurer que les éléments de preuve sont exacts et que les non-conformités sont bien comprises.
L’auditeur doit cependant s’abstenir d’avancer les causes des non-conformités ou de préconiser des
solutions.
9.4.5.4 Le responsable de l’équipe d’audit doit tenter de résoudre toute divergence d’opinion entre
l’équipe d’audit et le client sur les preuves ou les constats d’audit. Les points non résolus doivent être
enregistrés.
9.4.6 Préparation des conclusions d’audit
Sous la responsabilité du responsable de l’équipe d’audit et avant la réunion de clôture, l’équipe d’audit
doit:
a) procéder à une revue des constats d’audit et de toute autre information appropriée obtenue pendant
l’audit, par rapport aux objectifs et aux critères de l’audit et classer les non-conformités;
b) se mettre d’accord sur les conclusions de l’audit, en tenant compte de l’incertitude inhérente au
processus d’audit;
c) se mettre d’accord sur toute action de suivi le cas échéant;
d) confirmer l’adéquation du programme d’audit ou identifier toute modification nécessaire pour les
audits futurs (par exemple le périmètre de certification, le temps ou les dates de l’audit, la fréquence
des actions de surveillance, les compétences de l’équipe d’audit).

ISO/IEC

9.4.7 Conduite de la réunion de clôture
9.4.7.1 Une réunion de clôture formelle, pour laquelle la liste des participants doit être enregistrée, doit
être tenue avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus
audités. La réunion de clôture, généralement animée par le responsable de l’équipe d’audit, a pour objectif
de présenter les conclusions de l’audit, y compris les recommandations relatives à la certification. Les
non-conformités doivent être présentées de façon à être comprises et le délai de réponse doit être fixé
d’un commun accord.
NOTE « Comprises » ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.
9.4.7.2 La réunion de clôture doit aussi inclure les éléments suivants lorsque le degré de détail doit être
adapté à la familiarité du client avec le processus d’audit:
a) notifier au client que les preuves d’audit obtenues étaient fondées sur un échantillon d’informations,
introduisant, de ce fait, un élément d’incertitude;
b) la méthode et le délai utilisés pour rendre compte, y compris le classement des constats d’audit;
c) le processus de l’organisme de certification pour le traitement des non-conformités, incluant toutes
les conséquences relatives au statut de la certification du client;
d) le délai dans lequel le client doit soumettre un plan de correction et une action corrective pour toute
non-conformité identifiée pendant l’audit;
e) les activités post-audit de l’organisme de certification;
f) des informations sur les processus de traitement des plaintes et des appels.
9.4.7.3 Le client doit avoir la possibilité de poser des questions. Les divergences d’opinion sur les
constats ou les conclusions d’audit entre l’équipe d’audit et le client doivent faire l’objet d’une discussion
et, dans la mesure du possible, doivent être résolues. Les divergences d’opinion qui n’ont pas été résolues
doivent être enregistrées et transmises à l’organisme de certification.
9.4.8 Rapport d’audit
9.4.8.1 L’organisme de certification doit fournir un rapport écrit pour chaque audit au client. L’équipe
d’audit peut également présenter des suggestions à l’organisme client pour l’amélioration mais elle ne
doit pas recommander des solutions spécifiques. Le rapport d’audit demeure la propriété de l’organisme
de certification.
9.4.8.2 Le responsable de l’équipe d’audit doit s’assurer de la préparation du rapport d’audit. Il doit
être responsable de son contenu. Le rapport d’audit doit fournir un enregistrement précis, concis et clair
de l’audit pour permettre de prendre une décision de certification éclairée et doit comporter ou faire
référence à ce qui suit:
a) l’identification de l’organisme de certification;

b) le nom et l’adresse du client et de la personne représentant le client;
c) le type d’audit (par exemple audit initial, de surveillance, de renouvellement de la certification ou
audits spéciaux);
d) les critères de l’audit;
e) les objectifs de l’audit;
f) le périmètre d’audit, notamment l’identification des unités organisationnelles ou fonctionnelles ou
les processus audités, ainsi que la durée de l’audit;


g) tout écart par rapport au plan d’audit et les raisons expliquant ces écarts;
h) tout élément significatif ayant des effets sur le programme d’audit;
i) l’identification du responsable de l’équipe d’audit, des membres de l’équipe d’audit et des personnes
accompagnantes;
j) les dates et les lieux où les activités d’audit (sur site ou en dehors, sites permanents ou temporaires)
ont été réalisées;
k) les constats (voir 9.4.5), les références aux preuves et les conclusions de l’audit, correspondant aux
exigences du type d’audit;
l) toute modification significative affectant le système de management du client depuis la réalisation
du dernier audit;
m) tout problème non résolu, le cas échéant;
n) le cas échéant, si l’audit est combiné, conjoint ou intégré;
o) une déclaration de non-responsabilité indiquant que l’audit est basé sur un processus
d’échantillonnage des informations disponibles;
p) des recommandations formulées par l’équipe d’audit
q) le client audité maîtrise efficacement l’utilisation des documents et marques de certification, le cas
échéant;
r) la vérification de l’efficacité des actions correctives menées concernant les non-conformités
précédemment identifiées, le cas échéant.
9.4.8.3 Le rapport doit également contenir:
a) une déclaration sur la conformité et l’efficacité du système de management ainsi qu’un récapitulatif
des preuves relatives aux éléments suivants:
— l’aptitude du système de management à satisfaire les exigences applicables et à obtenir les
résultats escomptés;
— les processus d’audit interne et de revue de direction;
b) une conclusion concernant l’adéquation du périmètre de la certification;
c) la confirmation que les objectifs de l’audit ont été remplis.
9.4.9 Analyse des causes de non-conformités
L’organisme audité doit décrire les corrections et actions correctives spécifiques entreprises ou qu’il
prévoit d’entreprendre afin d’éliminer, dans un délai déterminé, les non-conformités détectées et leurs
causes et de remédier à toutes les non-conformités qui ont été identifiées.
9.4.10 Efficacité des corrections et actions correctives
L’organisme de certification doit passer en revue les corrections, les causes identifiées et les actions
correctives soumises par le client pour déterminer si elles sont acceptables. L’organisme de certification
doit vérifier l’efficacité des corrections et des actions correctives entreprises. Les preuves obtenues
pour confirmer la résolution des non-conformités doivent être enregistrées. Le client doit être tenu
informé du résultat de la revue et de la vérification. Le client doit être informé de la nécessité de réaliser
un audit complet ou un audit partiel supplémentaire ou de fournir une preuve documentée (à confirmer

ISO/IEC

au cours des audits ultérieurs), pour vérifier que les corrections et actions correctives prévues ont bien
été menées.
NOTE La vérification de l’efficacité de la correction et de l’action corrective peut être réalisée sur la base
d’un examen des informations documentées fournies par le client ou, si nécessaire, par une vérification sur site.
Généralement cette activité est effectuée par un membre de l’équipe d’audit.
9.5 Décision de certification
9.5.1.1 L’organisme de certification doit assurer que les personnes ou les comités qui prennent
les décisions d’octroi ou de refus de la certification, d’extension ou de réduction du périmètre de la
certification, de suspension ou de rétablissement de la certification, de retrait ou de renouvellement de
la certification, sont différents de celles ou ceux ayant réalisé les audits. La ou les personnes chargées de
décider de la certification doivent avoir les compétences appropriées.
9.5.1.2 La ou les personnes [à l’exclusion des membres des comités (voir 6.1.4)] désignées par l’organisme
de certification pour prendre une décision de certification doivent être employées, ou soumises à une
disposition exécutoire, par l’organisme de certification ou une entité sous maîtrise organisationnelle
de l’organisme de certification. La maîtrise organisationnelle d’un organisme de certification doit se
présenter sous l’une des formes suivantes:
a) possession totale ou majoritaire d’une autre entité par l’organisme de certification;

b) participation majoritaire de l’organisme de certification dans le conseil d’administration d’une
autre entité;
c) une autorité documentée de l’organisme de certification sur une autre entité dans un réseau d’entités
juridiques (dans lequel réside l’organisme de certification), fondée sur la propriété ou le contrôle du
conseil d’administration.
NOTE Pour les organismes de certification gouvernementaux, d’autres parties du même gouvernement
peuvent être considérées comme liées par la propriété à l’organisme de certification.
9.5.1.3 Les personnes employées par, ou sous contrat avec, des entités sous maîtrise organisationnelle
doivent remplir les mêmes exigences de la présente partie de l’ISO/IEC 17021 que les personnes
employées par, ou sous contrat avec, l’organisme de certification.
9.5.1.4 L’organisme de certification doit enregistrer chaque décision de certification, y compris toute
information supplémentaire ou tout éclaircissement obtenu(e) auprès de l’équipe d’audit ou de toute
autre source.
9.5.2 Actions précédant la prise de décision
Avant de prendre sa décision de l’octroi de la certification, de l’extension ou de la réduction du périmètre

de la certification, du renouvellement, de la suspension ou du rétablissement, ou du retrait de la
certification, l’organisme de certification doit disposer d’un processus pour conduire une revue efficace,
incluant:
a) les informations fournies par l’équipe d’audit sont suffisantes eu égard aux exigences et au périmètre
de la certification;
b) pour toutes les non-conformités majeures, il a examiné, accepté et vérifié les corrections et actions
correctives;
c) pour toute non-conformité mineure, il a examiné et accepté le plan du client relatif aux corrections
et actions correctives.


9.5.3 Informations sur la délivrance d’une certification initiale
9.5.3.1 Les informations fournies par l’équipe d’audit à l’organisme de certification pour lui permettre
de prendre une décision doivent, au minimum, comprendre les éléments suivants:
a) le rapport d’audit;
b) les observations relatives aux non-conformités et, le cas échéant, les corrections et actions
correctives entreprises par l’organisme client;
c) la confirmation des informations fournies à l’organisme de certification et utilisées pour la revue de
la demande (voir 9.1.2);
d) la confirmation que les objectifs de l’audit ont été atteints;
e) une recommandation relative à la décision de délivrer ou non la certification, accompagnée de
toutes réserves ou observations.
9.5.3.2 Si l’organisme de certification n’est pas en mesure de vérifier la mise en œuvre des corrections
et actions correctives pour toute non-conformité majeure dans un délai de 6 mois à compte du dernier
jour de l’étape 2, l’organisme de certification doit recommencer l’étape 2 avant de recommander la
certification.
9.5.3.3 Lorsqu’un transfert de certification est envisagé entre un organisme de certification et un autre,
l’organisme de certification receveur doit disposer d’un processus permettant d’obtenir des informations
suffisantes pour prendre une décision concernant la certification.
NOTE Les programmes de certification peuvent comprendre des règles spécifiques en matière de transfert
de certification.
9.5.4 Informations pour la délivrance d’un renouvellement de certification
L’organisme de certification doit prendre les décisions de renouvellement de la certification en se

fondant sur les résultats de l’audit de renouvellement ainsi que sur les résultats de la revue du système
correspondant à la période de certification et sur les plaintes reçues de la part des utilisateurs de la
certification.
9.6 Maintien de la certification
L’organisme de certification doit maintenir la certification en s’appuyant sur la démonstration que le

client continue de satisfaire aux exigences de la norme de système de management. Il peut maintenir la
certification d’un client sur la base d’une conclusion favorable formulée par le responsable de l’équipe
d’audit, sans pour autant procéder à une revue ou une décision ultérieure indépendante, à condition que:
a) pour toute non-conformité majeure ou autre situation susceptible de donner lieu à la suspension
ou au retrait de la certification, l’organisme de certification dispose d’un système imposant au
responsable de l’équipe d’audit d’informer l’organisme de certification du besoin de réaliser une
revue avec du personnel compétent (voir 7.2.8) et différentes de celui ayant effectué l’audit afin de
déterminer le maintien ou non de la certification;
b) l’organisme de certification emploie un personnel dûment qualifié pour surveiller ses activités
de surveillance, y compris la surveillance des rapports de ses auditeurs, afin de confirmer que le
processus de certification fonctionne de manière efficace.

ISO/IEC

9.6.2 Activités de surveillance
9.6.2.1.1 L’organisme de certification doit concevoir ses activités de surveillance de manière que les
domaines et les fonctions représentatifs couverts par le système de management fassent l’objet d’un suivi
régulier. Il doit tenir compte des modifications effectuées chez le client certifié et apportées au système
de management de celui-ci.
9.6.2.1.2 Les activités de surveillance doivent comporter des audits sur site permettant de vérifier
la conformité du système de management du client certifié aux exigences spécifiées dans la norme par
rapport à laquelle la certification est octroyée. D’autres activités de surveillance peuvent inclure:
a) des enquêtes de l’organisme de certification adressées au client certifié sur des aspects touchant la
certification;
b) la revue des déclarations du client certifié en ce qui concerne ses opérations (par exemple matériel
promotionnel, site Web);
c) les demandes faites au client certifié de fournir des informations documentées (sur papier ou par
voie électronique);
d) les autres moyens de surveillance des performances du client certifié.
9.6.2.2 Audit de surveillance
Les audits de surveillance sont des audits sur site qui ne sont pas nécessairement des audits du système
complet et qui doivent donc être planifiés en même temps que les autres activités de surveillance de
manière que l’organisme de certification puisse garder confiance dans le système de management
certifié du client et dans sa capacité à rester conforme aux exigences de la certification dans l’intervalle
entre deux audits de renouvellement de la certification. Chaque surveillance selon la norme de système
de management applicable doit porter sur les éléments suivants:
a) les audits internes et la revue de direction;
b) la revue des actions entreprises vis-à-vis des non-conformités identifiées au cours de l’audit
précédent;
c) le traitement des plaintes;
d) l’efficacité du système de management par rapport à la réalisation des objectifs du client certifié et
des résultats escomptés du(des) système(s) de management pertinent(s);
e) l’état d’avancement des activités planifiées visant à l’amélioration continue;
f) la maîtrise opérationnelle continue;
e) la revue de toute modification apportée;
h) l’utilisation des marques et/ou toute autre référence à la certification.
9.6.3 Renouvellement de la certification
9.6.3.1 Planification de l’audit pour le renouvellement de la certification
9.6.3.1.1 Le but de l’audit de renouvellement est de confirmer le maintien de la conformité et de

l’efficacité du système de management dans son ensemble ainsi que sa pertinence et son applicabilité en
permanence au regard du périmètre de la certification. Un audit de renouvellement de la certification doit
être planifié et effectué en vue d’évaluer le maintien de la conformité à toutes les exigences de la norme


relative au système de management ou de tout autre document normatif applicable. Ceci doit être planifié
et effectué en temps opportun pour organiser le renouvellement avant la date d’expiration du certificat.
9.6.3.1.2 L’activité de renouvellement de la certification doit comprendre la revue des rapports d’audit
de surveillance précédents et doit tenir compte des performances du système de management pendant le
cycle de certification le plus récent.
9.6.3.1.3 Lorsque des modifications significatives sont apportées au système de management, à

l’organisme client ou au contexte dans lequel le système de management opère (par exemple modifications
de la législation), l’activité correspondant à un audit de renouvellement de la certification peut nécessiter
une étape 1.
NOTE Ces modifications peuvent intervenir à tout moment au cours du cycle de certification et il peut être
nécessaire que l’organisme de certification réalise un audit spécial (voir 9.6.4) qui peut être ou non un audit en
deux étapes.
9.6.3.2 Audit de renouvellement de la certification
9.6.3.2.1 L’audit de renouvellement de la certification doit comporter un audit sur site, qui traite des
points suivants:
a) l’efficacité du système de management dans sa totalité, à la lumière des changements internes et

externes ainsi que sa pertinence et son applicabilité en permanence au regard du périmètre de la
certification;
b) la preuve de l’engagement à maintenir l’efficacité et l’amélioration du système de management afin
d’augmenter les performances globales;
c) l’efficacité du système de management par rapport à la réalisation des objectifs du client certifié et
des résultats escomptés du(des) système(s) de management pertinent(s).
9.6.3.2.2 Pour toute non-conformité majeure, l’organisme de certification doit fixer des délais pour la
mise en œuvre de corrections et d’actions correctives. Ces actions doivent être mises en œuvre et vérifiées
avant l’expiration de la certification.
9.6.3.2.3 Lorsque les activités de renouvellement de la certification sont terminées avec succès avant
la date d’expiration de la certification existante, la date d’expiration de la nouvelle certification peut être
basée sur la date d’expiration de la certification existante. La date de délivrance indiquée sur un nouveau
certificat doit correspondre à la date de la décision de renouvellement de la certification ou à une date
ultérieure.
9.6.3.2.4 Si l’organisme de certification n’a pas terminé l’audit de renouvellement de la certification ou

s’il n’est pas en mesure de vérifier la mise en œuvre des corrections et actions correctives pour toute non-
conformité majeure (voir 9.5.2.1) avant la date d’expiration de la certification, alors le renouvellement de
la certification ne doit pas être recommandé et la validité de la certification ne doit pas être prolongée. Le
client doit en être informé et les conséquences doivent lui être expliquées.
9.6.3.2.5 L’organisme de certification peut rétablir une nouvelle certification dans les 6 mois qui
suivent l’expiration de la certification, sous réserve que les activités de renouvellement de la certification
non résolues soient terminées, à défaut un audit d’étape 2 doit au minimum être réalisé. La date d’entrée
en vigueur figurant sur le certificat doit correspondre à la date de la décision de renouvellement de la
certification ou à une date ultérieure et la date d’expiration doit être basée sur le cycle de certification
antérieur.

ISO/IEC

9.6.4 Audits particuliers
9.6.4.1 Extension du périmètre
En réponse à une demande d’extension du périmètre d’une certification déjà accordée, l’organisme de
certification doit entreprendre une revue de la candidature et déterminer toute activité d’audit nécessaire
pour décider de la possibilité ou non d’accorder l’extension. Cette démarche peut être effectuée au même
moment que l’audit de surveillance.
9.6.4.2 Audits avec un préavis très court
L’organisme de certification peut être amené à réaliser des audits de clients certifiés avec un très court
préavis ou inopinés afin d’instruire des plaintes ou suite à des modifications ou pour effectuer un suivi
des clients suspendus. Dans ces cas:
a) l’organisme de certification doit décrire et porter préalablement à la connaissance des clients
certifiés (par exemple dans les documents décrits en 8.5.1) les conditions dans lesquelles ces audits
seront conduits;
b) l’organisme de certification doit apporter un soin tout particulier à la désignation de l’équipe d’audit
du fait de l’impossibilité pour l’organisme client de formuler une objection sur les membres de
l’équipe d’audit.
9.6.5 Suspension, retrait ou réduction du périmètre de la certification
9.6.5.1 L’organisme de certification doit avoir une politique et une ou plusieurs procédures documentées
traitant de la suspension, du retrait ou de la réduction du périmètre de la certification et il doit définir les
actions qu’il doit mener en conséquence.
9.6.5.2 L’organisme de certification doit suspendre la certification, par exemple, dans les cas où:
— le système de management certifié a constamment ou gravement manqué au respect des exigences

de la certification, y compris l’exigence relative à l’efficacité du système de management;
— le client certifié n’a pas permis la réalisation des audits de surveillance ou de renouvellement de la
certification selon la périodicité requise, ou;
— l’organisme certifié a volontairement demandé une suspension.
9.6.5.3 Lorsqu’elle est suspendue, la certification du système de management du client est

provisoirement invalidée.
9.6.5.4 L’organisme de certification doit rétablir la certification suspendue si le problème qui a abouti
à la suspension a été résolu. Tout manquement à la résolution des problèmes dans le délai établi par
l’organisme de certification doit donner lieu au retrait ou à la réduction du périmètre de la certification.
NOTE Dans la plupart des cas, la suspension ne devrait pas dépasser six mois.
9.6.5.5 Lorsque le client certifié a constamment ou gravement manqué au respect des exigences de la
certification pour certains éléments relevant du périmètre de la certification, l’organisme de certification
doit réduire le périmètre de la certification pour exclure les éléments ne satisfaisant pas aux exigences.
Une telle réduction du périmètre doit être conforme aux exigences de la norme sur laquelle s’appuie la
certification.


9.7 Appels
9.7.1 L’organisme de certification doit avoir un processus documenté lui permettant de recevoir,
d’évaluer et de prendre des décisions en cas d’appel.
9.7.2 L’organisme de certification doit être responsable de toutes les décisions prises à tous les niveaux
du processus de traitement des appels. L’organisme de certification doit assurer que les personnes
impliquées dans le processus de traitement des appels sont différentes de celles ayant réalisé les audits
et pris des décisions de certification.
9.7.3 Les soumissions, les analyses et les décisions relatives aux appels ne doivent pas donner lieu à des
actions discriminatoires envers l’appelant.
9.7.4 Le processus de traitement des appels doit au moins comprendre les éléments et les méthodes
suivants:
a) le principe général du processus de réception, de validation et d’examen de l’appel ainsi que celui
des prises de décisions des actions qu’il est nécessaire d’entreprendre pour traiter l’appel, en tenant
compte des résultats d’appels précédents similaires;
b) le suivi et l’enregistrement des appels, y compris les actions entreprises pour les résoudre;
c) la vérification que toutes les corrections et actions correctives appropriées ont été entreprises.
9.7.5 L’organisme de certification recevant l’appel doit être responsable de la collecte et de la vérification
de toutes les informations nécessaires lui permettant de valider celui-ci.
9.7.6 L’organisme de certification doit accuser réception de l’appel et fournir à l’appelant les rapports
d’avancement et les résultats de l’appel.
9.7.7 La décision signifiée à l’appelant doit être prise ou examinée et approuvée par une ou des
personnes n’ayant pas été précédemment impliquées dans l’objet de l’appel.
9.7.8 L’organisme de certification doit dûment aviser l’appelant de la fin du processus de traitement de
l’appel.
9.8 Plaintes
9.8.1 L’organisme de certification doit être responsable de toutes les décisions prises à tous les niveaux
du processus de traitement des plaintes.
9.8.2 Les soumissions, les analyses et les décisions relatives aux plaintes ne doivent pas donner lieu à
des actions discriminatoires envers le plaignant.
9.8.3 Dès réception d’une plainte, l’organisme de certification doit confirmer si la plainte est liée
aux activités de certification dont il a la responsabilité, et dans l’affirmative, il doit la traiter. Lorsque la
plainte concerne un client certifié, elle doit être examinée du point de vue de l’efficacité du système de
management certifié.
9.8.4 Toute plainte valide relative à un client certifié doit également être notifiée en temps opportun
par l’organisme de certification au client certifié concerné.
9.8.5 L’organisme de certification doit avoir un processus documenté lui permettant de recevoir,
d’évaluer et de prendre des décisions en cas de plainte. Ce processus doit tenir compte des exigences de
confidentialité dans la mesure où il concerne le plaignant et l’objet de la plainte.

ISO/IEC

9.8.6 Le processus de traitement des plaintes doit au moins comprendre les éléments et les méthodes
suivants:
a) le principe général du processus de réception, de validation et d’examen de la plainte ainsi que celui
des prises de décisions des actions qu’il est nécessaire d’entreprendre pour traiter celle-ci;
b) le suivi et l’enregistrement des plaintes, y compris des actions entreprises pour les résoudre;
c) la vérification que toutes les corrections et actions correctives appropriées ont été entreprises.
NOTE L’ISO 10002 fournit des lignes directrices relatives au traitement des plaintes.
9.8.7 L’organisme de certification recevant la plainte doit être responsable de la collecte et de la

vérification de toutes les informations nécessaires lui permettant de valider celle-ci.
9.8.8 Dans la mesure du possible, l’organisme de certification doit accuser réception de la plainte et il
doit fournir au plaignant les rapports d’avancement et le résultat de la plainte.
9.8.9 La décision signifiée au plaignant doit être prise ou examinée et approuvée par une ou des
personnes n’ayant pas été précédemment impliquées dans l’objet de la plainte.
9.8.10 Dans la mesure du possible, l’organisme de certification doit dûment aviser le plaignant de la fin
du processus de traitement de la plainte.
9.8.11 L’organisme de certification doit déterminer avec le client certifié et le plaignant si l’objet de la
plainte et sa résolution doivent être rendus publics, et si oui, dans quelle mesure.
9.9 Enregistrements relatifs au client
9.9.1 L’organisme de certification doit conserver les enregistrements relatifs à l’audit et aux autres
activités de certification de tous les clients, y compris tous les organismes candidats ainsi que tous les
organismes audités, certifiés ou dont la certification a été suspendue ou retirée.
9.9.2 Les enregistrements relatifs aux clients certifiés doivent comporter:
a) les informations relatives à la demande et les rapports d’audit initial, de surveillance et de

renouvellement de la certification;
b) le contrat de certification;
c) la justification de la méthodologie utilisée pour l’échantillonnage des sites, le cas échéant;
NOTE La méthodologie pour l’échantillonnage comprend l’échantillonnage utilisé pour auditer le
système de management spécifique et/ou pour sélectionner les sites dans le cadre d’un audit multisites;
d) la justification pour la détermination du temps imparti aux auditeurs (voir 9.1.4);

e) la vérification des corrections et actions correctives;
f) les enregistrements des plaintes et des appels ainsi que de toutes les corrections et actions
correctives qui en découlent;
g) les délibérations et décisions du comité, le cas échéant;
h) la documentation relative aux décisions prises en matière de certification;
i) des documents de certification, y compris le périmètre de la certification en termes de produit, de
processus ou de service, selon le cas;


j) les enregistrements associés nécessaires pour établir la crédibilité de la certification tels que les
preuves des compétences des auditeurs et des experts techniques;
k) les programmes d’audit.
9.9.3 L’organisme de certification doit conserver en lieu sûr les enregistrements relatifs aux candidats
ainsi qu’à ses clients afin de garantir la confidentialité des informations. Lors du transport, de la
transmission ou du transfert des enregistrements, le maintien de la confidentialité doit être assuré.
9.9.4 L’organisme de certification doit avoir une politique et des procédures documentées sur la
conservation des enregistrements. Les enregistrements relatifs aux clients certifiés et aux clients
auparavant certifiés doivent être conservés pendant la durée du cycle en cours plus un cycle complet de
certification.
NOTE Dans certaines juridictions, les exigences légales imposent de conserver les enregistrements sur une
période plus longue.
10 Exigences relatives au système de management des organismes de

certification
10.1 Options
L’organisme de certification doit établir, documenter, mettre en œuvre et entretenir un système de
management de façon à pouvoir soutenir et démontrer qu’il satisfait de manière fiable aux exigences de
la présente partie de l’ISO/IEC 17021. Outre la satisfaction aux exigences des Articles 5 à 9, l’organisme
de certification doit mettre en œuvre un système de management conforme:
a) soit aux exigences générales relatives au système de management (voir 10.2);
b) soit aux exigences de système de management conformément à l’ISO 9001 (voir 10.3).
10.2 Option A: Exigences générales relatives au système de management
L’organisme de certification doit établir, documenter, mettre en œuvre et entretenir un système de

management de façon à pouvoir soutenir et démontrer qu’il satisfait de manière fiable aux exigences de
la présente partie de l’ISO/IEC 17021.
La direction de l’organisme de certification doit établir et documenter des politiques et des objectifs
applicables à ses activités. La direction doit fournir la preuve de son engagement au développement et
à la mise en œuvre du système de management conformément aux exigences de la présente partie de
l’ISO/IEC 17021. La direction doit assurer que les politiques sont bien comprises, mises en œuvre et
maintenues à tous les niveaux de l’organisme de certification.
La direction de l’organisme de certification doit nommer une personne en charge de la responsabilité et
de l’autorité pour:
a) assurer que les processus et les procédures nécessaires au système de management sont établis,
mis en œuvre et entretenus;
b) rendre compte à la direction du fonctionnement du système de management et de tout besoin
d’amélioration.

ISO/IEC

10.2.2 Manuel du système de management
Toutes les exigences applicables de la présente partie de l’ISO/IEC 17021 doivent être traitées soit dans
un manuel soit dans des documents associés. L’organisme de certification doit assurer que le manuel et
les documents associés correspondants sont accessibles à l’ensemble du personnel concerné.
10.2.3 Maîtrise des documents
L’organisme de certification doit établir des procédures lui permettant de maîtriser les documents
(internes et externes) liés au respect des exigences de la présente partie de l’ISO/IEC 17021. Ces
procédures documentées doivent définir les mesures nécessaires pour:
a) approuver l’adéquation des documents avant diffusion;
b) revoir, mettre à jour si nécessaire et approuver de nouveau les documents;
c) assurer que les modifications et le statut de la version en vigueur des documents sont identifiés;
d) assurer la disponibilité sur les lieux d’utilisation des versions pertinentes des documents applicables;
e) assurer que les documents restent lisibles et facilement identifiables;
f) assurer que les documents d’origine extérieure sont identifiés et que leur diffusion est maîtrisée;
g) empêcher toute utilisation non intentionnelle de documents périmés, et les identifier de manière
adéquate s’ils sont conservés dans un but quelconque.
NOTE La documentation peut se présenter sous toute forme ou tout type de support.
10.2.4 Maîtrise des enregistrements
L’organisme de certification doit établir des procédures pour assurer l’identification, le stockage, la
protection, l’accessibilité, la durée de conservation et l’élimination des enregistrements générés dans le
cadre des exigences de la présente partie de l’ISO/IEC 17021.
L’organisme de certification doit établir des procédures définissant une période de conservation
des enregistrements qui soit cohérente avec ses obligations contractuelles et légales. L’accès à ces
enregistrements doit être conforme aux dispositions en matière de confidentialité.
NOTE En ce qui concerne les exigences relatives aux enregistrements des clients certifiés, voir également 9.9.
10.2.5 Revue de direction
La direction de l’organisme de certification doit établir des procédures pour revoir, à intervalles
planifiés, son système de management pour assurer qu’il demeure pertinent, adéquat et efficace, y
compris les politiques et les objectifs déclarés relatifs au respect des exigences de la présente partie de
l’ISO/IEC 17021. Ces revues doivent être réalisées au moins une fois par an.
10.2.5.2 Éléments d’entrée de la revue
Les éléments d’entrée de la revue de direction doivent comprendre des informations sur:
a) les résultats des audits internes et externes;
b) le retour d’informations de la part des clients et des parties intéressées;
c) la préservation de l’impartialité;
d) l’état des actions correctives;


e) l’état des actions destinées à faire face aux risques;

f) le suivi des actions issues des revues de direction précédentes;
g) la réalisation des objectifs;
h) les changements pouvant affecter le système de management;
i) les appels et les plaintes.
10.2.5.3 Éléments de sortie de la revue
Les éléments de sortie de la revue de direction doivent comprendre les décisions et actions relatives
a) à l’amélioration de l’efficacité du système de management et de ses processus;
b) à l’amélioration des services de certification liés au respect des exigences de la présente partie de
l’ISO/IEC 17021;
c) aux besoins en ressources;
d) aux révisions de la politique et des objectifs de l’organisme.
10.2.6 Audits internes
10.2.6.1 L’organisme de certification doit établir des procédures relatives aux audits internes pour
vérifier qu’il se conforme aux exigences de la présente partie de l’ISO/IEC 17021 et que le système de
management est mis en œuvre et entretenu de manière efficace.
NOTE L’ISO 19011 fournit des lignes directrices relatives à la réalisation des audits internes.
10.2.6.2 Un programme d’audits doit être planifié en tenant compte de l’importance des processus et
des domaines à auditer, ainsi que des résultats des audits précédents.
10.2.6.3 Les audits internes doivent être réalisés au moins une fois par an. Ces audits peuvent être
réalisés moins fréquemment si l’organisme de certification peut démontrer l’efficacité et la stabilité
du système de management qu’il a mis en place conformément aux exigences de la présente partie de
l’ISO/IEC 17021.
10.2.6.4 L’organisme de certification doit assurer que:
a) les audits internes sont réalisés par un personnel compétent disposant des connaissances requises
en matière de certification, d’audit et des exigences de la présente partie de l’ISO/IEC 17021;
b) les auditeurs n’auditent pas leur propre travail;
c) le personnel responsable du domaine à auditer est informé des résultats de l’audit;
d) toutes les actions résultant d’audits internes sont entreprises en temps opportun et de manière
appropriée;
e) toutes les opportunités d’amélioration sont identifiées.
10.2.7 Actions correctives
L’organisme de certification doit établir des procédures pour identifier et gérer les non-conformités
de ses opérations. L’organisme de certification doit également, si nécessaire, mener des actions pour
éliminer les causes de non-conformités afin d’éviter qu’elles ne se reproduisent. Les actions correctives

ISO/IEC

doivent être adaptées aux effets des non-conformités rencontrées. Les procédures doivent être établies
afin de définir les exigences pour:
a) procéder à l’identification des non-conformités (par exemple celles issues des plaintes valides et des
audits internes);
b) déterminer les causes de non-conformité;
c) corriger les non-conformités;
d) évaluer le besoin d’entreprendre des actions pour que les non-conformités ne se reproduisent pas;
e) déterminer et mettre en œuvre en temps opportun les actions nécessaires;
f) enregistrer les résultats des actions mises en œuvre;
g) procéder à la revue de l’efficacité des actions correctives mises en œuvre.
10.3 Option B: Exigences relatives au système de management conformément à l’ISO 9001
L’organisme de certification doit établir et maintenir un système de management conformément aux

exigences de l’ISO 9001 de façon à pouvoir soutenir et démontrer qu’il satisfait aux exigences de la
présente partie de l’ISO/IEC 17021, complétées par celles spécifiées de 10.3.2 à 10.3.4.
10.3.2 Domaine d’application
En application des exigences de l’ISO 9001, le domaine d’application du système de management doit

comprendre les exigences de conception et de développement pour ses services de certification.
10.3.3 Écoute client
En application des exigences de l’ISO 9001, lors de l’élaboration de son système de management,
l’organisme de certification doit prendre en compte la crédibilité de la certification et traiter les besoins
de toutes les parties (tels qu’énoncés en 4.1.2) qui comptent sur ses services d’audit et de certification et
pas uniquement de ses clients.
10.3.4 Revue de direction
En application des exigences de l’ISO 9001, l’organisme de certification doit considérer comme données
d’entrée à la revue de direction, les informations relatives aux plaintes et appels pertinents émanant des
utilisateurs des services de certification et une revue de l’impartialité.


Annexe A
(normative)
Connaissances et savoir-faire exigés
A.1 Généralités
Le Tableau A.1 suivant spécifie les connaissances et le savoir-faire qu’un organisme de certification
doit définir pour remplir des fonctions de certification spécifiques. « X » indique que l’organisme de
certification doit définir les critères et le niveau de connaissances et de savoir-faire. Les exigences
relatives aux connaissances et au savoir-faire spécifiées dans ce Tableau A.1 sont expliquées plus en
détail dans le texte qui suit le tableau et sont référencées par le numéro entre parenthèses.
Tableau A.1 — Tableau des connaissances et savoir-faire

Fonctions de certification
Conduite de la revue
de la demande pour
déterminer les com- Examen des rapports
Connaissances et savoir-faire pétences requises de d’audits et prise de Audit et conduite de
l’équipe d’audit, choisir décisions de certifica- l’équipe d’audit
les membres de l’équipe tion
d’audit et déterminer la
durée de l’audit
Connaissance des pratiques mana- X (voir A.2.1)
gériales des entreprises
Connaissance des principes, pratiques X (voir A.3.1) X (voir A.2.2)
et techniques d’audit
Connaissance des normes/documents X (voir A.4.1) X (voir A.3.2) X (voir A.2.3)
normatifs de systèmes de manage-
ment spécifiques
Connaissance des processus de l’orga- X (voir A.4.2) X (voir A.3.3) X (voir A.2.4)
nisme de certification
Connaissance du secteur profession- X (voir A.4.3) X (voir A.3.4) X (voir A.2.5)
nel du client
Connaissance des produits, des pro- X (voir A.4.4) X (voir A.2.6)
cessus et de l’organisation du client
Compétence en langues appropriées X (voir A.2.7)
à tous les niveaux au sein de l’orga-
nisation du client
Savoir prendre des notes et rédiger X (voir A.2.8)
des rapports
Savoir-faire en termes de présentation X (voir A.2.9)
Savoir mener des entretiens X (voir A.2.10)
Savoir-faire en management des X (voir A.2.11)
audits
NOTE Le risque et la complexité sont d’autres éléments à prendre en compte lors du choix du niveau d’expertise nécessaire
pour l’une de ces fonctions.

ISO/IEC

A.2 Exigences de compétence pour les auditeurs pour les systèmes de

management
A.2.1 Connaissance des pratiques managériales des entreprises
Connaissance des principaux types d’organisation, de la taille, de la gouvernance, de la structure et des
pratiques sur le lieu de travail, des systèmes d’information et de données, des systèmes de documentation
et des technologies de l’information.
A.2.2 Connaissance des principes, pratiques et techniques d’audit

Connaissance générale des principes, des pratiques et des techniques d’audit des systèmes de management,
tels que spécifiés dans la présente norme, suffisante pour réaliser des audits de certification et pour
évaluer les processus d’audit interne.
A.2.3 Connaissance des normes/documents normatifs de systèmes de management

spécifiques
Connaissance de la norme de système de management ou autres documents normatifs spécifiés pour la
certification, suffisante pour déterminer l’efficacité de leur mise en œuvre et la conformité aux exigences.
A.2.4 Connaissance des processus de l’organisme de certification

Connaissance des processus d’un organisme de certification, suffisante pour opérer suivant les
procédures et processus de l’organisme de certification.
A.2.5 Connaissance du secteur professionnel du client

Connaissance de la terminologie, des pratiques et des processus courants dans le secteur professionnel
d’un client, suffisante pour comprendre les attentes du secteur dans le contexte de la norme de système
de management ou de tout autre document normatif.
NOTE Par secteur professionnel on entend activités économiques (par exemple aérospatial, industrie
chimique, services financiers).
A.2.6 Connaissance des produits, des processus et de l’organisation du client

Connaissance des types de produits ou de processus d’un client, suffisante pour comprendre comment
fonctionne son organisation, et comment les exigences de la norme de système de management ou de
tout autre document normatif pertinent peuvent être appliquées.
A.2.7 Compétence en langues appropriées à tous les niveaux au sein de l’organisation

du client
Capacité de communiquer de manière efficace avec les personnes à tous les niveaux d’une organisation
en utilisant les termes, expressions et discours appropriés.
A.2.8 Savoir prendre des notes et rédiger des rapports

Capacité de lire et d’écrire avec une rapidité, une précision et une compréhension suffisantes pour
procéder à des enregistrements, prendre des notes et communiquer les constats et les conclusions de
l’audit de manière efficace.
A.2.9 Savoir-faire en termes de présentation

Capacité de présenter les constats et les conclusions de l’audit de façon compréhensible. Pour le
responsable de l’équipe d’audit, capacité de présenter devant un public (par exemple lors de la réunion
de clôture) les constats et les conclusions de l’audit, ainsi que des recommandations appropriées à
l’auditoire.


A.2.10 Savoir mener des entretiens

Capacité de mener des entretiens afin d’obtenir des informations pertinentes en posant des questions
ouvertes bien formulées et en sachant écouter pour comprendre et évaluer les réponses.
A.2.11 Savoir-faire en management des audits

Capacité de réaliser et de gérer un audit de manière à atteindre les objectifs de l’audit dans le délai
convenu. Pour le responsable de l’équipe d’audit, capacité d’animer des réunions pour un échange efficace
d’informations et capacité de procéder à des affectations ou des réaffectations si nécessaire.
A.3 Exigences de compétence pour le personnel examinant les rapports d’audits

et prenant les décisions de certification
Les fonctions de ce type de personnel peuvent être assurées par une ou plusieurs personnes.
A.3.1 Connaissance des principes, pratiques et techniques d’audit

Connaissance générale des principes, des pratiques et des techniques d’audit des systèmes de
management, tels que spécifiés dans la présente norme, suffisante pour comprendre un rapport d’audit
de certification.

spécifiques
certification, suffisante pour prendre une décision sur la base d’un rapport d’audit de certification.

Connaissance des processus d’un organisme de certification, suffisante pour déterminer si les attentes
de l’organisme de certification ont été satisfaites sur la base des informations soumises pour la revue.

Connaissance de la terminologie, des pratiques et des processus courants dans le secteur d’activité
d’un client, suffisante pour comprendre un rapport d’audit dans le contexte de la norme de système de
management ou de tout autre document normatif.
A.4 Exigences de compétence pour le personnel conduisant la revue de la

demande pour déterminer les compétences requises de l’équipe d’audit, choisir
les membres de l’équipe d’audit et déterminer la durée de l’audit
Les fonctions de ce type de personnel peuvent être assurées par une ou plusieurs personnes.

spécifiques
certification.

Connaissance des processus d’un organisme de certification, suffisante pour désigner des membres
d’équipe d’audit compétents et pour déterminer précisément la durée de l’audit.

ISO/IEC


Connaissance de la terminologie, des pratiques et des processus courants dans le secteur d’activité
d’un client, suffisante pour désigner des membres d’équipe d’audit compétents et pour déterminer
précisément la durée de l’audit.
A.4.4 Connaissance des produits, des processus et de l’organisation du client

Connaissance des types de produits ou de processus d’un client, suffisante pour désigner des membres
d’équipe d’audit compétents et pour déterminer précisément la durée de l’audit.


Annexe B
(informative)
Méthodes possibles d’évaluation
B.1 Généralités
La présente annexe fournit des exemples de méthodes d’évaluation en vue d’aider les organismes de
certification.
Les méthodes d’évaluation des compétences des personnes peuvent être regroupées en cinq catégories
principales: revue des enregistrements, retour d’informations, entretiens, observations et examens.
Ces catégories peuvent être encore subdivisées. Ce qui suit constitue une brève description de chaque
méthode, son utilité et ses limites dans l’évaluation des connaissances et savoir-faire. Il est improbable
que l’une quelconque de ces méthodes, à elle seule, puisse confirmer les compétences.
Les méthodes décrites de B.2 à B.6 peuvent fournir des informations utiles sur les connaissances et
savoir-faire; elles sont plus efficaces quand elles sont conçues pour être utilisées avec des critères de
compétence précis issus du processus de détermination des compétences spécifié en 7.1.2 et en 7.1.3.
Un exemple d’un logigramme de détermination et de maintien des compétences est donné à l’Annexe C.
B.2 Revue des enregistrements

Certains enregistrements constituent des indicateurs de connaissances, comme un curriculum vitae
montrant l’expérience professionnelle, l’expérience en matière d’audits, la formation initiale et la
formation continue.
Certains enregistrements sont des indicateurs de savoir-faire, comme les rapports d’audit, les
enregistrements de l’expérience professionnelle, l’expérience en matière d’audit, la formation initiale et
la formation continue.
Il est improbable que ces enregistrements à eux seuls constituent des preuves de compétence suffisantes.
D’autres enregistrements sont des preuves directes de la démonstration d’une compétence, comme un
rapport d’évaluation de la performance d’un auditeur menant un audit.
B.3 Retour d’informations

Un retour d’informations direct des employeurs précédents peut constituer un indicateur de
connaissances et de savoir-faire, mais il est important de noter que, parfois, les employeurs ne divulguent
pas d’informations négatives.
Les références personnelles peuvent constituer un indicateur de connaissances et de savoir-faire. Il est
improbable qu’un candidat donne une référence personnelle qui fournirait des informations négatives.
Le retour d’informations par les pairs peut constituer un indicateur de connaissances et de savoir-faire.
Ce type de retour d’informations peut être influencé par les relations entre pairs.
Le retour d’informations des clients peut constituer un indicateur de connaissances et de savoir-faire.
Pour un auditeur, le retour d’informations peut être influencé par les résultats de l’audit.
Le retour d’informations à lui seul ne constitue pas une preuve de compétence satisfaisante.

ISO/IEC

B.4 Entretiens
Les entretiens peuvent être utiles pour obtenir des informations sur les connaissances et le savoir-faire.
Les entretiens d’embauche peuvent être utiles pour entrer dans le détail des informations fournies par
le curriculum vitae et l’expérience professionnelle passée sur les connaissances et savoir-faire.
Les entretiens à l’occasion des revues de performance peuvent apporter des informations spécifiques
sur les connaissances et savoir-faire.
Un entretien avec l’équipe d’audit pour une revue postérieure à l’audit peut apporter des informations
utiles sur les connaissances et les savoir-faire d’un auditeur. Il donne l’occasion de comprendre pourquoi
un auditeur a pris des décisions spécifiques, choisi des cheminements d’audit spécifiques, etc. Cette
technique peut être utilisée après un audit au cours duquel assiste un observateur et peut être aussi
utilisée ultérieurement au moment de l’examen du rapport d’audit écrit. Cette technique peut s’avérer
particulièrement utile pour déterminer les compétences relatives à un secteur technique spécifique.
Des preuves directes de démonstration de compétence peuvent s’obtenir dans le cadre d’un entretien
structuré avec des enregistrements appropriés par rapport à des critères de compétence spécifiés.
Des entretiens peuvent être utilisés pour évaluer les savoir-faire en langues, communication et
interpersonnel.
B.5 Observations
Observer une personne en train d’accomplir une mission peut donner des preuves directes de la
compétence en mettant en œuvre des connaissances et des savoir-faire en vue d’atteindre un résultat
souhaité. Cette méthode d’évaluation est utile pour toutes les fonctions, le personnel administratif et de
direction, ainsi que pour les auditeurs et les responsables des décisions de certification. Le niveau de
difficulté présenté par l’audit constitue une limite à l’observation de l’auditeur réalisant un audit.
Il est utile d’observer périodiquement une personne pour confirmer le maintien de sa compétence.
B.6 Examens
Les examens écrits peuvent donner de bonnes preuves, bien documentées, des connaissances et, en
fonction des méthodes, des savoir-faire.
Un examen oral peut fournir de bonnes preuves des connaissances (en fonction de la compétence de
l’examinateur), mais des résultats limités sur les savoir-faire.
Les examens pratiques peuvent donner un résultat équilibré sur les connaissances et les savoir-faire,
en fonction du processus d’examen et de la compétence de l’examinateur. Des exemple de méthodes
incluent les jeux de rôle, les études de cas, la simulation du stress et les situations en milieu de travail.


Annexe C
(informative)
Exemple d’un logigramme de détermination et de maintien des

compétences
Le logigramme de la Figure C.1 montre un modèle de détermination des compétences du personnel en

identifiant les tâches spécifiques à réaliser, les connaissances et le savoir-faire spécifiques nécessaires
pour atteindre le résultat escompté. Ce logigramme utilise les méthodes décrites dans l’Annexe B.

ISO/IEC

Figure C.1 — Exemple d’un logigramme de détermination et de maintien des compétences


Annexe D
(informative)
Comportement personnel souhaité
Des exemples de comportement personnel, importants pour le personnel impliqué dans des activités de
certification pour tout type de système de management, sont décrits ci-après:
a) intègre, c’est-à-dire juste, attaché à la vérité, sincère, honnête et discret;
b) ouvert d’esprit, c’est-à-dire soucieux de prendre en considération des idées ou des points de vue
différents;
c) diplomate, c’est-à-dire faisant preuve de tact et d’habileté dans les relations avec les autres;
d) coopératif, c’est-à-dire collaborant efficacement avec les autres;
e) observateur, c’est-à-dire activement attentif aux activités et à leur environnement;
f) perspicace, c’est-à-dire appréhendant instinctivement et capable de comprendre les situations;
g) polyvalent, c’est-à-dire ayant de la facilité à s’adapter à différentes situations;
h) tenace, c’est-à-dire persévérant, concentré sur l’atteinte des objectifs;
i) capable de décision, c‘est-à-dire capable de tirer en temps voulu des conclusions fondées sur un
raisonnement et une analyse logiques;
j) autonome, c’est-à-dire agissant et travaillant de son propre chef;
k) professionnel, c’est-à-dire ayant sur le lieu de travail un comportement courtois, consciencieux et
généralement sérieux;
l) courageux moralement, c’est-à-dire disposé à agir de façon responsable et éthique même si ces actions
peuvent ne pas être toujours populaires et parfois causer des désagréments ou une confrontation;
m) organisé, c’est-à-dire faisant montre d’une gestion du temps efficace, établissant des priorités,
planifiant, le tout avec efficacité.
La détermination du comportement est une détermination situationnelle et les faiblesses ne peuvent
apparaître que dans un contexte spécifique. Il convient que l’organisme de certification prenne une
action appropriée pour toute faiblesse identifiée qui pénalise l’activité de certification.

ISO/IEC

Annexe E
(informative)
Audit et processus de certification
La Figure E.1 représente un logigramme typique de processus. D’autres activités d’audit peuvent être
effectuées, par exemple une revue documentaire et des audits spéciaux. Pour la différence entre le cycle
d’audit et le cycle de certification, voir 9.2 et 9.3.


Figure E.1 — Logigramme type pour un audit et un processus de certification

ISO/IEC

Bibliographie
[1] ISO 9001, Systèmes de management de la qualité — Exigences

[2] ISO 10002, Management de la qualité — Satisfaction des clients — Lignes directrices pour le
traitement des réclamations dans les organismes
[3] ISO 14001, Systèmes de management environnemental — Exigences et lignes directrices pour son
utilisation
[4] ISO/IEC/TS 17021-2, Évaluation de la conformité — Exigences pour les organismes procédant à
l’audit et à la certification des systèmes de management — Partie 2: Exigences de compétence pour
l’audit et la certification des systèmes de management environnemental
l’audit et la certification des systèmes de management de la qualité
[6] ISO/IEC/TS 17021-4, Évaluation de la conformité — Exigences pour les organismes procédant
à l’audit et à la certification des systèmes de management — Partie 4: Exigences de compétence
pour l’audit et la certification des systèmes de management responsable appliqués à l’activité
événementielle
l’audit et la certification des systèmes de gestion d’actifs
l’audit et la certification des systèmes de management de la continuité d’activité
l’audit et la certification des systèmes de management de la sécurité du trafic routier
[10] ISO/IEC/TS 17023, Évaluation de la conformité — Lignes directrices pour la détermination de la
durée des audits de certification d’un système de management
[11] ISO/IEC 17030, Évaluation de la conformité — Exigences générales pour les marques de conformité
par tierce partie
[12] ISO 19011:2011, Lignes directrices pour l’audit des systèmes de management
[13] ISO 20121, Systèmes de management responsable appliqués à l’activité événementielle — Exigences
et recommandations de mise en oeuvre
[14] ISO/TS 22003, Systèmes de management de la sécurité des denrées alimentaires — Exigences pour
les organismes procédant à l’audit et à la certification de systèmes de management de la sécurité des
denrées alimentaires
[15] ISO 22301, Sécurité sociétale — Systèmes de management de la continuité d’activité — Exigences
[16] ISO/IEC 27006, Technologies de l’information — Techniques de sécurité — Exigences pour les
organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de
l’information
[17] ISO 31000, Management du risque — Principes et lignes directrices
[18] IEC 31010, Gestion des risques — Techniques d’évaluation des risques


[19] ISO 39001, Systèmes de management de la sécurité routière — Exigences et recommandations de

bonnes pratiques
[20] ISO 50003, Systèmes de management de l’énergie — Exigences pour les organismes procédant à
l’audit et à la certification de systèmes de management de l’énergie
[21] ISO 55001, Gestion d’actifs — Systèmes de management — Exigences

ISO/IEC

ICS 03.120.20
Prix basé sur 48 pages
© ISO/IEC 2015 – Tous droits réservés

ISO IEC 17021-1 2015 (F) - Character PDF Document

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO IEC 17021-1 2015 (F) - Character PDF Document

Transféré par

Droits d'auteur :

Formats disponibles

Accordé sous licence par l'INNORPI à l' Université Virtuelle de Tunis

Bon de commande client n° 33/2016 du 08/03/2016

DOCUMENT PROTÉGÉ PAR COPYRIGHT

ii ﻿ © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés ﻿ iii

9 Exigences relatives aux processus...................................................................................................................................................18

iv ﻿ © ISO/IEC 2015 – Tous droits réservés

Annexe C (informative) Exemple d’un logigramme de détermination et de maintien

© ISO/IEC 2015 – Tous droits réservés ﻿ v

vi ﻿ © ISO/IEC 2015 – Tous droits réservés

— Partie 7: Exigences de compétence pour l’audit et la certification des systèmes de management de la

© ISO/IEC 2015 – Tous droits réservés ﻿ vii

viii ﻿ © ISO/IEC 2015 – Tous droits réservés

Évaluation de la conformité — Exigences pour les

© ISO 2015 – Tous droits réservés ﻿ 1

EXEMPLE 2 Fourniture de conseils, d’instructions ou de solutions spécifiques en matière d’élaboration et de

— l’explication de la signification et de l’objectif des critères de certification;

— l’identification des opportunités d’amélioration;

— l’explication des théories, méthodologies, techniques ou outils associés;

2 ﻿ © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés ﻿ 3

— la conduite de la réunion d’ouverture;

— la réalisation d’une revue documentaire pendant la conduite de l’audit;

— la communication pendant l’audit;

— l’attribution des rôles et des responsabilités de guides et d’observateurs;

— la collecte et la vérification des informations;

— la génération des constats d’audit;

— la préparation des conclusions d’audit;

— la conduite de la réunion de clôture.

a) les clients des organismes de certification;

4.1.3 Les principes permettant de donner confiance comprennent:

4 ﻿ © ISO/IEC 2015 – Tous droits réservés

— une approche fondée sur le risque.

4.4.1 Le client certifié, et non l’organisme de certification, a la responsabilité d’obtenir en permanence

© ISO/IEC 2015 – Tous droits réservés ﻿ 5

4.5.1 Afin d’assurer la confiance dans l’intégrité et la crédibilité de la certification, un organisme de

4.7 Traitement des plaintes

4.8 Approche fondée sur le risque

6 ﻿ © ISO/IEC 2015 – Tous droits réservés

— la santé et la sécurité des équipes d’audit;

5.1 Domaine juridique et contractuel

5.1.1 Responsabilité juridique

5.1.2 Contrat de certification

5.1.3 Responsabilité en matière de décisions de certification

5.2 Gestion de l’impartialité

© ISO/IEC 2015 – Tous droits réservés ﻿ 7

8 ﻿ © ISO/IEC 2015 – Tous droits réservés

5.3 Responsabilité et situation financière

6.1 Organisation et direction

6.1.1 L’organisme de certification doit documenter l’organisation, les devoirs, la responsabilité et

© ISO/IEC 2015 – Tous droits réservés ﻿ 9

a) l’élaboration de politiques et la mise en place de processus et de procédures relatifs à son

6.2 Maîtrise opérationnelle

6.2.2 L’organisme de certification doit prendre en compte le niveau et la méthode appropriés de

7 Exigences relatives aux ressources

7.1 Compétence du personnel

7.1.1 Considérations générales

10 ﻿ © ISO/IEC 2015 – Tous droits réservés

7.1.2 Détermination des critères de compétence

7.1.3 Processus d’évaluation

NOTE 2 L’Annexe C donne un exemple de logigramme de détermination et de maintien des compétences

7.1.4 Autres considérations

7.2 Personnel intervenant dans les activités de certification

ii © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés iii

iv © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés v

vi © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés vii

viii © ISO/IEC 2015 – Tous droits réservés

© ISO 2015 – Tous droits réservés 1

2 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 3

4 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 5

6 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 7

8 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 9

10 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 11

12 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 13

14 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 15

16 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 17

18 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 19

20 © ISO/IEC 2015 – Tous droits réservés

© ISO/IEC 2015 – Tous droits réservés 21

22 © ISO/IEC 2015 – Tous droits réservés