Juridique

Avec la pandémie, des aménagements prévus pour les processus de certifications

Anne-Aurore Ruget (Bureau Veritas Certification) : « nous avons pu maintenir la quasi-totalité des audits pour les certifications HDS et ISO 27001 ».

La crise sanitaire a contraint les organismes certificateurs à s'adapter. Pour éviter que leurs clients ne se retrouvent dans l'impossibilité de faire certifier ou de renouveler leurs certifications dans les délais prévus, des aménagements ont été mis en place avec l'accord des organismes d'accréditation.

PublicitéEn France et dans le monde, de nombreuses entreprises choisissent de se faire certifier, afin d'offrir des garanties de qualité à leurs clients ou de répondre à certaines exigences sociétales. Des certifications ISO portent par exemple sur le management de la qualité, avec la norme ISO 9001 et son équivalent ISO 20000 pour les services informatiques ; la santé et la sécurité au travail avec ISO 45001 ; le management environnemental avec ISO 14001 ou encore la sécurité des systèmes d'information, avec la norme ISO 27001. Reconnues à l'international, certaines de ces certifications sont même des prérequis pour exercer des activités à caractère sensible : la certification HDS (hébergeur de données de santé) demande par exemple les certifications ISO 27001 et ISO 20000. À titre indicatif, selon l'ISO Survey plus de 21 000 organisations françaises étaient certifiées ISO 9001 en 2018, plus de 6000 avaient la certification ISO 14001 et 223 détenaient une certification ISO 27001 en cours de validité. Par ailleurs, selon l'Agence du Numérique en Santé, environ 100 organisations détiennent actuellement une certification HDS en France.

En temps normal, une organisation qui souhaite obtenir ou renouveler l'une de ces certifications doit se soumettre à un processus d'audit bien établi, qui respecte un calendrier précis. Pour les nouvelles certifications, il faut ainsi prévoir un audit initial, puis deux suivis pendant les trois ans de validité de la certification, sachant que le premier suivi peut avoir lieu au plus tard 18 mois après l'audit initial. À la fin des trois ans, l'entreprise doit de nouveau réaliser un audit similaire au premier avant que sa certification n'expire. Tous ces audits étaient jusqu'à présent effectués pour l'essentiel sur site chez les clients, mais la pandémie de Covid-19 est venue compliquer leur réalisation, avec le risque pour certaines organisations de voir leur certification expirer avant d'avoir pu la renouveler. « Les audits prévus au moment du confinement ont été suspendus, et assez vite, les organismes d'accréditation ont prévu des aménagements. Nous nous sommes adaptés en proposant notamment des audits à distance », explique Anne-Aurore Ruget, directrice du département digital chez Bureau Veritas Certification.

Des audits réalisables à distance

L'IAF (International Accreditation Forum), qui fédère les organismes d'accréditation nationaux afin de permettre la reconnaissance des certifications à l'international, a ainsi publié une liste de questions fréquentes à propos de la pandémie de Covid-19. Le 12 mai 2020, le Cofrac (Comité français d'accréditation) a quant à lui rédigé une note à destination des organismes certificateurs, en autorisant des dérogations à la procédure habituelle. Celles-ci permettent de décaler les audits sur site jusqu'à six mois. Par ailleurs, pour les organisations déjà certifiées, la certification antérieure est prolongée pendant une durée ne pouvant dépasser six mois. « A défaut, la suspension ou le retrait de certification doivent être envisagés », indique la note du Cofrac. « Les délais des prolongations accordées seront retranchés de la période de validité du cycle suivant, les dates butoirs restant inchangées. » De son côté, l'Ukas, organisme d'accréditation du Royaume-Uni, a prévu que si la partie sur site des audits ne pouvait être réalisée en raison des restrictions sur les déplacements, les entreprises disposaient de trois mois à la levée de ces restrictions pour prendre une décision sur le renouvellement de leur certification. Si toutefois le délai devait excéder 12 mois, la certification serait en revanche retirée et un nouvel audit initial nécessaire. « Ce dispositif a pour le moment été prolongé jusqu'à fin septembre, mais les organismes d'accréditation sont à l'écoute si la situation sanitaire évolue », souligne Anne-Aurore Ruget. Une dérogation supplémentaire est également prévue pour la migration de la norme OHSAS 18001 vers ISO 45001, qui devait obligatoirement être faite avant avril 2021. Six mois de plus ont été accordés, portant l'échéance au 30 septembre 2021.

PublicitéAutre possibilité introduite à l'occasion de la crise sanitaire, la réalisation d'une partie, voire de la totalité des audits à distance. La note du Cofrac précise que l'utilisation des technologies de communication était autorisée pour les audits. « La faisabilité est appréciée au cas par cas par l'organisme de certification, après échange et accord de son client, si les conditions techniques sont réunies et si la réalisation de l'activité permet d'obtenir les mêmes informations que si elle était réalisée sur site, s'agissant de la vérification de la conformité du client aux exigences du programme de certification », indique Nathalie Saveant, directrice de la section certification du Cofrac dans cette note.

Anticiper les échéances

Pour bénéficier de ces aménagements, les entreprises qui rencontrent des difficultés à se conformer au processus de certification à cause de la pandémie doivent expliquer leur situation aux organismes certificateurs. Selon Anne-Aurore Ruget, la faisabilité des audits à distance dépend principalement du périmètre de certification. « Si celle-ci porte à 100% sur du service, l'audit est totalement faisable à distance. S'il y a des activités de production matérielles, une partie de la procédure peut tout de même se faire à distance. Nous avons pu faire les interviews via Teams, examiner les infrastructures en visioconférence », illustre Anne-Aurore Ruget. Celle-ci soulève toutefois quelques différences selon le type de certification concernée. « Nous avons pu maintenir la quasi-totalité des audits pour les certifications HDS et ISO 27001, car la majorité du processus a pu se faire à distance. C'est un peu plus compliqué pour ISO 14001, car une partie importante de l'audit concerne les infrastructures sur site. »

Depuis cet été, les audits sur site ont pu reprendre dans le respect des règles sanitaires. Ceux qui ont subi le plus de décalage sont les audits initiaux. « Nous essayons d'étaler les audits au maximum en demandant aux clients d'anticiper, pour éviter d'avoir un pic de charge sur la fin d'année », précise Anne-Aurore Ruget. La situation la plus critique concerne les renouvellements de certification. « Nous pouvons toujours en faire une partie à distance, notamment les entretiens avec les personnes clefs et la revue de la documentation du Système de Management. Nous avons incité tous les clients qui le pouvaient à le faire, pour éviter les goulets d'étranglement », ajoute Anne-Aurore Ruget.