Accueil›Normes›ISO/IEC 17021-1
NORME D'ACCRÉDITATION
ISO/IEC 17021-1
Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management
La norme de référence pour les organismes de certification de systèmes de management. Publiée en 2015, elle définit les exigences de compétence, d'impartialité et de cohérence que doivent respecter les organismes certifiant selon l'ISO 9001, l'ISO 14001, l'ISO 45001 et d'autres référentiels de management.
Qu'est-ce que la norme ISO/IEC 17021-1 ?
La norme ISO/IEC 17021-1:2015 est une norme internationale qui établit les exigences relatives à la compétence, à la cohérence et à l'impartialité des organismes réalisant l'audit et la certification de systèmes de management. Elle s'applique à tous les organismes de certification, quel que soit le référentiel de management concerné (ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 50001, etc.).
Cette norme est le fruit d'une évolution importante : elle remplace l'ISO/IEC 17021:2011 en intégrant de nouvelles exigences relatives à la compétence des auditeurs et au processus de certification. Le suffixe '-1' indique qu'elle constitue la norme de base, complétée par des normes sectorielles de la série ISO/IEC 17021 (parties 2 à 10) qui définissent les compétences spécifiques par référentiel.
En France, le Cofrac (Comité Français d'Accréditation) utilise l'ISO/IEC 17021-1 comme référentiel principal pour accréditer les organismes de certification de systèmes de management. L'accréditation Cofrac garantit que l'organisme de certification dispose des compétences, de l'indépendance et des processus nécessaires pour délivrer des certifications fiables et reconnues internationalement via les accords de reconnaissance mutuelle IAF.
Le processus de certification : étapes 1 et 2
Le processus de certification selon l'ISO/IEC 17021-1 se déroule en deux étapes distinctes, chacune ayant des objectifs précis :
L'audit initial étape 1 (ou audit documentaire) vise à évaluer la préparation de l'organisme candidat à la certification. L'équipe d'audit examine le système documentaire, évalue la compréhension des exigences du référentiel par l'organisme, collecte les informations nécessaires sur les processus et les sites, et vérifie que les audits internes et la revue de direction ont été réalisés. Cette étape permet de déterminer si l'organisme est prêt pour l'audit étape 2 et d'identifier les points d'attention.
L'audit initial étape 2 (ou audit de certification) est réalisé sur site. L'équipe d'audit évalue la mise en œuvre effective et l'efficacité du système de management. Elle vérifie la conformité aux exigences du référentiel, l'atteinte des objectifs, la maîtrise des processus et la prise en compte des résultats de l'étape 1. Les constats sont classés en non-conformités majeures, non-conformités mineures et pistes d'amélioration.
Après l'obtention de la certification, l'organisme fait l'objet d'audits de surveillance annuels (couvrant une partie du système) et d'un audit de renouvellement tous les trois ans, portant sur l'ensemble du système de management.
Compétences des auditeurs et équipes d'audit
L'ISO/IEC 17021-1 accorde une importance majeure à la compétence des auditeurs, qui constitue la pierre angulaire de la crédibilité de la certification. La norme définit un cadre complet d'exigences :
Les compétences génériques : tout auditeur doit maîtriser les principes d'audit (ISO 19011), les techniques d'entretien et d'observation, la rédaction de constats et de rapports, ainsi que les exigences de la norme ISO/IEC 17021-1 elle-même. Les qualités personnelles requises incluent l'intégrité, l'ouverture d'esprit, la diplomatie et le sens de l'observation.
Les compétences spécifiques au référentiel : pour chaque norme de système de management, l'auditeur doit justifier de connaissances techniques approfondies. Les normes ISO/IEC 17021-2 à 17021-10 définissent ces compétences par référentiel (qualité, environnement, santé-sécurité, énergie, sécurité alimentaire, etc.).
Les compétences sectorielles : l'auditeur doit connaître le secteur d'activité de l'organisme audité (réglementation applicable, risques spécifiques, bonnes pratiques). L'organisme de certification doit mettre en place un processus de qualification et de maintien des compétences incluant formation initiale, tutorat, évaluation et surveillance continue.
Processus d'accréditation Cofrac pour la certification de systèmes de management
Le Cofrac accrédite les organismes de certification de systèmes de management selon l'ISO/IEC 17021-1, en s'appuyant sur les documents de la section Certification, notamment le document CERT CEPE INF 07 qui définit les portées d'accréditation.
Dépôt de la demande : l'organisme candidat soumet un dossier détaillant son organisation, ses référentiels de certification visés, les compétences de ses auditeurs et responsables de certification, et son système de management. Le Cofrac évalue la recevabilité et planifie l'évaluation.
Évaluation documentaire et sur site : les évaluateurs Cofrac analysent l'ensemble du système, de la gestion des auditeurs à la prise de décision de certification. L'évaluation comprend l'observation d'audits en conditions réelles (audits témoins) pour vérifier la compétence des équipes d'audit sur le terrain. C'est un élément déterminant de l'évaluation Cofrac.
Décision et surveillance : l'accréditation est accordée pour un cycle de 5 ans avec des évaluations de surveillance régulières incluant de nouveaux audits témoins. L'organisme doit démontrer en continu sa capacité à gérer la compétence de ses auditeurs, l'impartialité de ses décisions et la cohérence de ses pratiques de certification.
Le délai moyen d'obtention de l'accréditation est de 8 à 14 mois, variable selon le nombre de référentiels et de secteurs visés.
Impartialité et gestion des conflits d'intérêts
L'impartialité est un pilier fondamental de l'ISO/IEC 17021-1. La norme exige que l'organisme de certification mette en place des mesures structurelles et opérationnelles robustes pour garantir l'objectivité de ses décisions de certification :
Le comité pour la sauvegarde de l'impartialité : chaque organisme de certification doit constituer un comité indépendant, composé de parties intéressées représentatives (clients, régulateurs, associations professionnelles, consommateurs). Ce comité supervise les politiques et pratiques liées à l'impartialité et dispose d'un droit d'accès à toute information pertinente.
La séparation stricte entre conseil et certification : un organisme de certification accrédité ne peut pas certifier un client auquel il a fourni du conseil en système de management dans les deux années précédentes. Cette règle vise à prévenir tout conflit d'intérêts entre l'accompagnement à la mise en conformité et l'évaluation indépendante.
L'analyse des risques d'impartialité : l'organisme doit identifier, analyser et documenter systématiquement les menaces à l'impartialité (intérêts financiers, liens commerciaux, pressions, etc.) et démontrer que des mesures de maîtrise adéquates sont en place. Le Cofrac accorde une attention particulière à cet aspect lors de ses évaluations, car les défaillances d'impartialité compromettent la confiance dans l'ensemble du système de certification.
Exigences clés
- Processus d'audit structuré en deux étapes (initiale et certification)
- Qualification et maintien des compétences des auditeurs
- Comité pour la sauvegarde de l'impartialité
- Séparation stricte entre activités de conseil et de certification
- Processus de décision de certification documenté et traçable
- Audits de surveillance annuels et renouvellement triennal
- Gestion des non-conformités et des appels
- Système de management conforme aux exigences de la norme
Qui est concerné
- Organismes de certification ISO 9001 (management de la qualité)
- Organismes de certification ISO 14001 (management environnemental)
- Organismes de certification ISO 45001 (santé et sécurité au travail)
- Organismes de certification ISO 27001 (sécurité de l'information)
- Organismes de certification ISO 50001 (management de l'énergie)
- Organismes de certification multi-référentiels
- Nouveaux entrants souhaitant créer un organisme de certification accrédité
Bénéfices de l'accréditation
- Reconnaissance officielle de la compétence par le Cofrac
- Délivrance de certificats reconnus internationalement (accords IAF MLA)
- Crédibilité renforcée auprès des entreprises et des donneurs d'ordre
- Accès aux marchés exigeant des certificats sous accréditation
- Amélioration continue de la qualité des audits et des décisions
- Avantage concurrentiel face aux organismes non accrédités
Documents Cofrac de référence
Questions fréquentes
La norme ISO/IEC 17021-1:2015 définit les exigences de compétence, d'impartialité et de cohérence pour les organismes réalisant l'audit et la certification de systèmes de management (ISO 9001, ISO 14001, ISO 45001, etc.). Elle est utilisée par le Cofrac pour accréditer les organismes de certification en France.
L'étape 1 (audit documentaire) évalue la préparation de l'organisme : documentation, audits internes, revue de direction. L'étape 2 (audit sur site) vérifie la mise en œuvre effective du système de management, sa conformité au référentiel et son efficacité. Les deux étapes sont obligatoires pour la certification initiale.
Un auditeur doit maîtriser les principes d'audit (ISO 19011), les exigences du référentiel de certification concerné, et disposer de connaissances sectorielles adéquates. L'organisme de certification doit mettre en place un processus formel de qualification incluant formation, tutorat, évaluation et surveillance continue.
La certification de systèmes de management (ISO 17021-1) évalue la conformité d'un système de management dans son ensemble et délivre un certificat de conformité. L'inspection (ISO 17020) évalue la conformité d'un produit, d'un processus, d'un service ou d'une installation à des exigences spécifiques et délivre un rapport d'inspection.
C'est un comité indépendant, composé de parties intéressées représentatives, qui supervise les politiques et pratiques de l'organisme de certification en matière d'impartialité. Sa constitution est obligatoire selon l'ISO/IEC 17021-1 et son fonctionnement est vérifié par le Cofrac lors des évaluations.
Un certificat de système de management est délivré pour un cycle de trois ans. Pendant cette période, l'organisme certifié fait l'objet d'audits de surveillance annuels. À l'issue du cycle, un audit de renouvellement complet est réalisé pour reconduire la certification.
Oui, un organisme de certification peut être accrédité pour plusieurs référentiels de systèmes de management (ISO 9001, 14001, 45001, 27001, etc.). La portée d'accréditation Cofrac est définie dans le document CERT CEPE INF 07 et peut être étendue progressivement.
Nos trois fondateurs sont d'anciens responsables d'accréditation du Cofrac. Nous proposons un accompagnement complet : diagnostic initial, construction du système documentaire, formation des auditeurs, préparation aux audits témoins Cofrac et suivi continu via Mon Assistant Qualité. 100% des organismes accompagnés ont obtenu leur accréditation.
ACCOMPAGNEMENT
Besoin d'un accompagnement
ISO/IEC 17021-1 ?
Nos consultants, anciens responsables d'accréditation Cofrac, connaissent cette norme de l'intérieur. Contactez-nous pour un premier échange gratuit.