CQS Experts

09 53 93 16 42
info@cqs-experts.fr
Facebook Instagram Linkedin
Menu

Les news CQS 2019

Steven Noll

Certification ISO 27001 : les 6 points essentiels de cette norme

La protection des données est un défi quotidien à relever pour les entreprises du XXIe siècle. Parmi toutes les normes, il en est une, l’ISO 27001 qui peut faire la différence auprès de vos clients pour gagner leur confiance et en interne pour améliorer la sécurisation des données sensibles face aux menaces extérieures. Obtenir la certification ISO 27001 est un atout dont votre entreprise ne devrait pas se passer. Découvrez les points clés et les enjeux de cette norme.

Certification ISO 27001 : à quoi sert cette norme ?

Nommée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences », la certification ISO 27001 est une norme internationale de référence. Elle permet une gestion optimale des risques liés à la sécurité de l’information.

En clair, grâce à elle, les entreprises surveillent, révisent, entretiennent et améliorent la gestion de la sécurité des informations en mettant en place un Système de Management de Sécurité de l’Information (SMSI).

Toutes les données sont efficacement protégées avec une méthodologie technique et organisationnelle. Il ne s’agit pas uniquement de défendre les systèmes informatiques contre des intrusions, mais de mettre en place les bonnes pratiques et les bonnes procédures pour obtenir une sécurité à 100%.

Cette certification iso 27001 atteste que :

  • Vous savez identifier les menaces (cyber-attaques, vols ou pertes de données…).
  • Vous maîtrisez les risques concernant les informations sensibles détenues par votre société.
  • Vous avez mis en place des mesures de protection adaptées et efficaces pour garantir la confidentialité, l’intégrité et la disponibilité des données.
  • Vous faites évoluer votre SMSI pour vous adapter en permanence aux nouveaux risques.
  • Vous vous engagez à maintenir un niveau de sécurité maximal.

Des certifications en augmentation

Avec les dernières affaires de piratage informatique médiatisées (l’affaire Ariane par exemple, fichier clé du ministère de l’Europe et des Affaires étrangères), pas étonnant si de plus en plus d’entreprises souhaitent obtenir la certification ISO 27001, et ce dans le monde entier !

La progression du nombre de certifications ISO 27001 s’est accentuée récemment en France notamment avec le décret n° 218-137 du 26 février 2018 sur l’Hébergement des Données de Santé (HDS). La nouvelle loi impose aux hébergeurs de données de santé d’être certifiés ISO 27001 pour obtenir la certification HDS. Ce prérequis prouve qu’ils se conforment aux exigences de la norme sur la sécurité de l’information.

En clair : si une entreprise spécialisée dans le traitement médical veut externaliser ses données informatiques, elle doit faire appel à un infogérant certifié HDS. Cela sous-entend qu’il a préalablement obtenu la certification ISO 27001.

La norme ISO 27001 protège votre société autant qu’elle rassure vos clients ou prospects pour une collaboration en toute sérénité réciproque.

Mise en œuvre d’un Système de Management de Sécurité de l’Information (SMSI) : qui est concerné ?

Toutes les entreprises sont concernées par la certification ISO 27001 à partir du moment où elles détiennent des données, physiques ou dématérialisées !

Vous pouvez être certifié :

  • Quel que soit votre secteur d’activité.
  • Quelle que soit la taille de votre entreprise (start-up, multinationale, PME…).

Mettre en œuvre un SMSI ne se limite pas aux entreprises du domaine informatique ou aux hébergeurs de données. L’ISO 27001 concerne toutes les sociétés, les organisations et même les collectivités !

La certification est possible et pas obligatoire : être certifié n’est pas l’objectif principal.
Mais obtenir la certification est l’aboutissement de l’implémentation d’un SMSI : vous prouvez officiellement, notamment à vos clients, que vous respectez les recommandations de la norme puisqu’un organisme indépendant le certifie.

Les spécificités de la norme ISO/CEI 27001

La certification ISO/CEI 27001 fait partie de la grande famille des normes ISO 27000 sur la sécurité de l’information. Il existe une douzaine de normes visant à faciliter le management de la sécurité des données financières, des documents de propriété intellectuelle, des données du personnel…

L’ISO 27001 présente des points communs à d’autres normes de système de management. Mais quelles sont ses spécificités ?

Contrairement aux normes du management de la qualité (ISO 9001 par exemple) ou de la santé (ISO 45001 par exemple), l’ISO/CEI 27001 se différencie par :

  • Une situation opérationnelle avec des mises en application. Cette norme du management de sécurité est un cahier des charges de 10 chapitres et une annexe de 114 points de contrôle à appliquer. Et c’est bien ce qui fait la différence ! Si l’ISO/CEI 27001 exige une procédure de maîtrise des documents internes comme pour tout système de management (ISO 9001), elle implique une mise en pratique.
  • La protection des données face à des menaces externes comme des cyber-attaques. Avec cette norme, on parle de cyber-sécurité contrairement à la norme ISO 45001 qui identifie des risques en interne (sur le lieu de travail).

Les avantages de la certification ISO 27001

Mettre en place un SMSI visant à obtenir la certification ISO 27001 vous offre bien des avantages, non seulement pour le développement de votre activité, mais aussi en interne :

  • Gagner en crédibilité sur votre marché. La certification ISO 27001 est un avantage concurrentiel et améliore votre réputation. Vos clients ont confiance en vous et vous restent fidèles. Mais c’est également un argument en votre faveur auprès de vos prospects.
  • Réduire vos coûts en matière de sécurité. Cette certification vous permet d’identifier le bon SMSI à mettre en place et de supprimer toute autre mesure de sécurité inutile. Vous évitez également les pertes financières et pénalités associées aux violations des informations.
  • Faciliter les échanges à l’international avec une certification reconnue par-delà les frontières.
  • Gagner en sécurité. Vous identifiez efficacement les menaces de votre système d’information. Vous améliorez continuellement vos pratiques pour sécuriser les données. La mise en place en interne d’un système de management performant réduit les risques et mobilise votre personnel formé pour répondre aux exigences de la norme.
  • Être conforme à la réglementation en matière de gestion des risques et de la sécurité (notamment au Règlement Général sur la Protection des Données – RGPD).

Grâce à la certification ISO 27001 et aux contrôles réguliers du management de sécurité, les risques et incidents diminuent sensiblement pour votre entreprise.

Bon à savoir :

Même si le RGPD a une portée plus large, la certification ISO/CEI 27001 simplifie la procédure de mise en conformité au RGPD.

Le RGPD et l’ISO 27001 sont deux normes de conformité qui visent à réduire les risques liés à la protection des données et à renforcer la sécurité. Elles se rejoignent sur plusieurs points :
– Assurer la confidentialité, la disponibilité et l’intégrité des données.
– Analyser les risques (procédure imposée par le RGPD sous le nom « Analyse d’Impact » ou « PIA »).
– Protéger les données dès le début et par défaut.
– Gérer les partenaires externes (fournisseurs) pour assurer la sécurité des données externalisées.
– Notifier les incidents et les failles de sécurité.
– Tenir des registres pour conserver les historiques des activités de traitement.

Comment obtenir la certification ISO 27001

Obtenir la certification ISO 27001 implique que vous respectiez les exigences de la norme. Mais il n’est pas toujours évident d’y arriver seul. Vous pouvez faire appel à un cabinet de conseil expert afin de vous accompagner dans toutes les démarches.

Pour obtenir la certification ISO 27001, vous devez :

  • Réaliser une analyse de risques dans le contexte de l’entreprise.
  • Identifier les moyens à mettre en œuvre et les ressources à manager (formation du personnel).
  • Définir une politique de sécurité et choisir le périmètre du SMSI.
  • Etablir un plan de traitement des risques et de gestion des incidents.
  • Sélectionner et mettre en place les mesures de protection.
  • Surveiller les mesures mises en place et leur efficacité (audits internes).
  • Planifier les actions correctrices identifiées.
  • Effectuer une déclaration d’applicabilité. Ce document obligatoire liste les objectifs et mesures de sécurité sélectionnés et mis en œuvre, ainsi que ceux exclus et les raisons de leur exclusion.

Pour faciliter l’obtention de la certification mais aussi son renouvellement tous les 3 ans, il est fortement recommandé de former vos équipes en interne. Tournez-vous vers un organisme de formation spécialisé en certification ISO pour vous aider à atteindre votre objectif !

Voici les principales formations :

  • ISO/IEC 27001 Lead Auditor : cet examen atteste des compétences du professionnel qui se charge de l’audit sur la conformité du SMSI. Elle peut également être utile en interne pour bien comprendre à quoi s’attendre lorsque le SMSI de l’entreprise sera audité.
  • ISO/IEC 27001 Lead Implementer : cette formation enseigne à vos collaborateurs internes comment mettre en œuvre un SMSI et à bien l’implémenter en tenant compte des spécificités de l’entreprise.
  • ISO/IEC 27005 Risk Manager : avec cette formation, vos collaborateurs comprennent les concepts de management du risque. Ils apprennent à réaliser une appréciation du risque selon la norme référente ISO/IEC 27005.

Les obligations après la certification ISO 27001

Votre entreprise a obtenu la certification ISO 27001 ? C’est une bonne nouvelle et une étape de franchie ! Mais être certifié vous oblige à évaluer en continu les performances de votre entreprise en matière de sécurité de l’information.

La certification est valable 3 ans au bout desquels elle peut être renouvelée. Chaque année, un auditeur externe s’assure que votre démarche est pérenne :

  • 1re année : un audit complet
  • 2e et 3e année : un audit de suivi.

A l’issue de ce cycle, l’auditeur changera et vous aurez la possibilité de choisir un autre organisme certificateur.

Notre conseil : C’est pourquoi nous préconisons d’établir des plans d’actions sur 3 ans avec des audits planifiés à intervalles réguliers pour répondre à ce cycle.

Durant ces 3 années, il faut :

  • assurer des contrôles continus. Les performances du SMSI sont surveillées et évaluées.
  • réaliser des audits internes. Ils permettent de définir si le système de gestion de la sécurité de l’information est toujours adapté.
  • effectuer des revues de direction permanentes. Le SMSI est examiné pour s’assurer de son efficacité et définir d’un plan d’action si ce n’est pas le cas.

Obtenir la certification ISO 27001 n’est pas anodin pour votre société : cela a des répercussions positives en termes de développement de votre clientèle, de maîtrise des coûts et de gestion optimale des risques liés à la sécurité de l’information. Vous hésitiez ? Plus maintenant ! Vous savez comment procéder afin de profiter de tous les avantages de cette norme internationale.

ISO 45001 est la nouvelle norme ISO relative à la santé et à la sécurité au travail (S&ST ou SST). Elle est l’une des normes les plus attendues au plan mondial et devrait permettre d’améliorer drastiquement les niveaux de sécurité sur le lieu de travail. Un bénéfice pour les employés mais aussi les pour les employeurs ! Voici les infos importantes pour bien préparer sa certification ISO 45001:2018.

Qu’est-ce que la certification ISO 45001 ?

Une nouvelle (la première !) norme internationale sur la santé et la sécurité au travail (SST) a vu le jour en 2018 après 4 ans de réflexion d’un comité d’experts en SST réuni par l’ISO : la norme « ISO 45001:2018, Systèmes de management de la santé et de la sécurité au travail – Exigences et lignes directrices pour leur utilisation. ».
Le but ? Réduire les risques d’accidents sur le lieu de travail et augmenter la cohérence à l’international pour la sécurité des employés et visiteurs.
Le principe ? Un cadre clair et identique (même à l’international) pour les entreprises souhaitant améliorer leurs performances de SST.

La norme ISO 45001 est structurée en 10 parties :

  1. Le domaine d’application : la sécurité et la santé au travail ainsi que le bien-être et la qualité de vie au travail.
  2. Les références normatives, chapitre imposé par la structure HLS (High Level Security) des normes ISO. A noter : il n’est pas nécessaire d’être certifié d’autres normes au préalable puisque l’ISO 45001 se suffit à elle-même.
  3. Les termes et définitions pour que le vocabulaire utilisé soit clair.
  4. Le contexte de l’organisme, dont les enjeux, les exigences etc.
  5. Le leadership et la participation des travailleurs notamment grâce à la consultation des employés et à l’engagement de la direction.
  6. La planification, les actions à mettre en œuvre.
  7. Les supports en termes de ressources, compétences, informations etc.
  8. La réalisation des activités opérationnelles dont le pilotage du changement.
  9. L’évaluation des performances avec instruments de mesure adaptés pour vérifier l’efficacité des actions menées
  10. L’amélioration pour mettre en place des actions de correction et d’amélioration continue.

A noter :

Si vous êtes certifié OHSAS 18001 et ILO OSH 2001, vous avez jusqu’à mars 2021 pour migrer vers l’ISO 45001 avant que la certification précédente ne disparaisse.

Les bénéfices et points forts de la certification ISO 45001

La certification ISO 45001 aide les entreprises à prendre des mesures efficaces et internationalement validées en termes de santé et de sécurité au travail. L’entreprise bénéficiera donc d’une reconnaissance mais également de guidelines pour améliorer sa performance qualité, hygiène, sécurité et environnement (QHSE) au travail.

Les relations internes sont valorisées tout comme celles avec les prestataires et la hiérarchie ; les dangers et les risques liés à l’activité sont décelés ; le dialogue social est amélioré ; la réputation de l’entreprise mise en valeur…

Avec la certification, l’entreprise s’engage à former une approche proactive de la promotion de la santé, sensibiliser les salariés aux dangers de sécurité et de santé au travail. Indirectement, les coûts de l’entreprise peuvent diminuer grâce à la baisse du nombre d’arrêts de travail, de dégâts matériels, pannes, absences etc.
Et comme la norme implique une amélioration continue via une démarche structurée, les entreprises doivent en permanence rester à jour. Démarches, nouvelles lois, nouvelles procédures, évolutions liées à la sécurité et santé au travail… Il est crucial de faire appel à un organisme d’accompagnement.

Comme toute norme ISO, l’ISO 45001 possède une structure HLS (High Level Structure), c’est à dire qu’elle suit une « structure-cadre » qui contient un corpus commun de termes et de définitions. Cela facilite ainsi l’assimilation et la compréhension des différentes requêtes pour réussir la mise en place de la norme.

A savoir :

La norme ISO 45001 est applicable à toutes les organisations indépendamment du secteur d’activité, de la taille ou du service ou produit fourni.

3/ OHSAS 18001 et ISO 45001, quelles différences ?

La norme ISO 45001 prend en considération les opportunités en plus des risques et se concentre sur l’interaction entre un organisme et son environnement alors que l’OHSAS 18001 met en avant l’interne avec le management des dangers en termes de santé et sécurité au travail.

L’ISO 45001 prend en compte les points de vue des différentes parties intéressées et est dynamique sur l’ensemble de ses articles.

Autre point important : alors qu’OHSAS 18001 établit une procédure à suivre, ISO 45001 propose une approche processus. C’est-à-dire que dans cette perspective, chaque processus transforme les éléments d’entrée en éléments de sortie en créant de la valeur ajoutée et des nuisances potentielles. A titre d’exemple, les processus support sont notamment :

  • gérer la documentation
  • dispenser la formation
  • acquérir et maintenir les infrastructures
  • tenir à jour la veille réglementaire
  • gérer les moyens d’inspection
  • tenir la comptabilité
  • administrer le personnel
  • Etc.

Le saviez-vous ?

On recense chaque année plus de 370 millions de blessures liées au travail et 2,7 millions décès, selon l’Organisation internationale du travail (OIT). Il est donc primordial de proposer une norme pour diminuer autant que possible le nombre de personnes touchées.
La nouvelle norme ISO 45001 a été élaborée dans ce sens , et permet d’uniformiser tous les systèmes nationaux et internationaux de gestion de la santé et de la sécurité au travail.

4/ Les étapes clés vers la certification ISO 45001

Pour les organismes non certifiés

Votre organisme n’est pas certifié OHSAS 18001 ou autre accréditation sur la sécurité et la santé au travail et vous souhaitez être certifié ISO 45001 ? Voici le process à suivre :

  1. Un pré-audit facultatif pour se préparer à la démarche peut être demandé afin de faciliter la suite.
  2. Une première phase d’audit de certification (hors site ou in situ) à envoyer au minimum 3 semaines avant la date d’audit.
  3. Une seconde phase d’audit (in situ) pour comparer la théorie normative avec la réalité observée. Les écarts sont notés et doivent être utilisés pour trouver des actions correctives à mettre en place.
  4. La vérification des actions d’amélioration
  5. La délivrance du certificat fait suite à l’approbation par l’organisme certificateur, une fois toutes les non-conformités réglées. En cas de besoin, une visite complémentaire peut être planifiée avant la délivrance du certificat.
  6. Durant les 3 ans suivant la délivrance de ce certificat, des visites de surveillance sont planifiées chaque année.
  7. Quelques mois avant la fin de validité du certificat, un audit de renouvellement est planifié.

Pour les organismes déjà certifiés OHSAS 18001

Puisque la norme OHSAS 18001 comprend de nombreuses exigences incluses dans la norme ISO 45001, toutes les étapes du processus ne sont pas nécessaires. Une simple migration (ou transition) suffit. Votre organisme peut alors demander à obtenir une copie de l’ISO 45001 et identifier les lacunes dans son système de management de l’SST et élaborer un plan de mise en œuvre pour les résoudre et satisfaire les nouvelles exigences.

Il faut donc :

  1. Analyser les parties intéressées et les facteurs en mesure d’impacter l’entreprise puis étudier les risques grâce au système de management.
  2. Définir le périmètre d’application du système.
  3. Utiliser ces informations pour mettre en place un processus, évaluer les risques et définir les indicateurs.

Bon à savoir:

Votre organisme possède déjà une certification ISO 14001:2015 (management environnemental) ou ISO 9001: 2015 (systèmes de gestion de la qualité) ? La certification sera simplifiée puisque vous possédez déjà une structure cadre HLS !

Les bonnes pratiques pour une certification

Pour une migration ISO 45001 ou une nouvelle certification voici quelques conseils pratiques :

  • Entourez-vous de professionnels de la certification, vous gagnerez un temps précieux et bénéficierez de conseils avisés.
  • Impliquez les équipes encadrantes et communiquez en interne.
  • Intégrez tous les acteurs de votre activité, des intervenants extérieurs aux différentes strates de la hiérarchie.
  • Utilisez des outils de management de la qualité (AMDEC, plan de prévention, Management par les processus, Kaisen, arbre des causes, entretiens individuels…).
  • Instaurez un comité de santé-sécurité au travail.
  • Identifiez les risques pour la S&ST et prévoyez un plan d’actions.
  • Communiquez en externe pour une bonne image de votre entreprise.
Une certification ISO 45001 par l’IAF (International Accreditation Forum) permet de réduire les risques liés au lieu de travail et d’améliorer la Santé et la Sécurité en entreprise. Cela apporte également un bénéfice en termes de réputation de la marque employeur et permet de réduire les coûts ! D’ici 2021, la norme OHSAS 18001 tend à disparaître complètement au profit de l’ISO 45001. Il est temps de préparer sa migration ou sauter le pas et se lancer dans la certification ISO 45001:2018 directement.

Les normes et contrôles de qualité et de gestion évoluent régulièrement. La norme ISO 17025 a une nouvelle version, la 2017. Pour faciliter votre accréditation, rappelons en quoi consiste une accréditation et découvrez quelles sont les nouveautés de la norme iso 17025.

En tant que laboratoire d’essai et d’étalonnage, vous connaissez la nécessité de démontrer votre compétence à suivre des méthodes d’essai ou d’étalonnage et le rôle du COFRAC, Comité Français d’Accréditation, en France, seul organisme habilité à délivrer des accréditations. Pour rappel, le COFRAC évalue la compétence et l’impartialité des laboratoires et des organismes de certifications et d’inspection.

Le point sur l’accréditation

Qu’est-ce qu’une accréditation

Selon le COFRAC, « Accréditer, c’est attester les compétences d’un organisme de contrôle, quel que soit le domaine dans lequel il intervient. » En clair, c’est le contrôle des contrôles. L’accréditation est donc un outil nécessaire pour les laboratoires d’essai et d’étalonnage.

Grâce à l’accréditation, régulateurs, acheteurs et salariés ont la certitude que les produits et services mis sur le marché ont suivi de nombreuses vérifications selon des méthodes répondant aux exigences de l’accréditation.

Cette attestation délivrée par un organisme externe apporte une reconnaissance officielle des compétences du laboratoire accrédité pour ses activités.

Les avantages de l’accréditation

Faire accréditer son laboratoire permet de donner confiance à ses partenaires, clients et fournisseurs. Le bon respect de la chaîne d’approvisionnement est ainsi prouvé.

L’accréditation via la norme ISO 17025 implique des règles suivies par les laboratoires d’essais ou d’étalonnage du monde entier. Que votre laboratoire soit en France et vos clients dans un autre pays ne pose aucun problème, ils ont la certitude que vos échantillonnages, essais et étalonnages sont faits selon les règles approuvées dans leur pays également grâce à la reconnaissance multilatérale des organismes d’accréditation comme le COFRAC par ILAC (International Laboratory Accreditation Cooperation).

L’accréditation ISO 17025 prouve la compétence d’un laboratoire à produire des données et des résultats valides.

Ce qu’il faut retenir :

Avec l’accréditation ISO 17025, vous pouvez ainsi…

  • Améliorer votre réputation
  • Générer de nouvelles relations d’affaires
  • Obtenir un avantage concurrentiel
  • Augmenter l’efficacité des laboratoires
  • Accéder à plus de contrats d’essais et d’étalonnages
  • Intégrer des compétences qui améliorent les processus de travail
  • Offrir des essais et des résultats des laboratoires plus fiables et plus efficaces
  • Gagner la fiabilité du client

Zoom sur : Les différences entre certification ISO 9001 et accréditation ISO 17025

Si les deux approches (accréditation et certification) sont complémentaires, les objectifs ne sont pas les mêmes.

La norme ISO 9001 est applicable à tout type d’organisme contrairement à l’ISO 17025 qui concerne uniquement les laboratoires et dont les exigences sont plus ciblées. Cette dernière comprend une partie « exigences techniques » qui permet de faire reconnaître la validité d’analyses, d’essais ou de résultats de laboratoire.

La norme ISO 9001 n’est pas incluse dans l’ISO 17025 bien qu’une grande partie de la section management de cette dernière reprenne la norme ISO 9001.

Les nouvelles exigences de la version 2017 de la norme NF EN ISO CEI 17025

Les évaluations de transition de la norme NF EN ISO/IEC 17025 selon la version 2017 sont en cours de réalisation jusqu’en mai 2020. Les exigences générales concernant les compétences des laboratoires d’étalonnages et d’essais ont été mises à niveau en novembre 2017. Plusieurs changements et évolutions sont apparus par rapport à la version de 2005.

 

Voici un aperçu des principales nouveautés dans la version 2017 de la norme NF EN ISO / CEI 17025 :

  • La gestion de l’impartialité par une analyse de risque,
  • Des précisions concernant la confidentialité,
  • Un renforcement de l’évaluation des prestataires externes incluant les sous-traitant,
  • Un processus de traitement des réclamations plus impartial,
  • Des exigences concernant la présentation du rapport et les conditions de rendu de déclaration de conformité et d’avis/interprétation,
  • Tenir compte des risques et opportunités liés aux activités du laboratoire.

Dans l’ensemble, cette nouvelle version allège les exigences prescriptives mais renforce les exigences de performances.

Pratique :

Voici des outils qui pourraient vous aider à répondre aux exigences générales de la norme ISO 17025 :

  • une matrice d’analyse de risques à mettre à jour lors de chaque changement et/ou lors de la revue de direction (afin de garantir l’impartialité),
  • une charte déontologique signée par chaque personne partie prenante,
  • l’intégration des clauses de confidentialité dans les CGV du laboratoire, tel un engagement pris envers les clients.

3 questions à Mathilde AUGEREAU, Consultante auprès de CQS et auditrice pour l’accréditation des laboratoires d’essais.

Quels conseils donneriez-vous aux laboratoires pour préparer leur transition vers la nouvelle version de la norme NF EN ISO/CEI 17025 ?

“ Les laboratoires doivent, à minima, réaliser une formation qui présente les nouvelles exigences de la norme ISO 17025. Mais il faut inclure dans le contenu les exigences du LAB REF 02 qui précise la position du COFRAC. Des écarts en évaluation proviennent souvent de cette lacune.

Les laboratoires peuvent également faire appel à une structure de conseil afin d’identifier les nouveautés à mettre en place par un diagnostic voire un accompagnement dans cette démarche.

Enfin, certains laboratoires pourront choisir de réaliser seulement un audit de préparation.

Cela dépend du degré de maturité du système de management de la qualité du laboratoire.”

Quels sont les bénéfices apportés aux laboratoires par cette nouvelle version de norme?

“ Cette nouvelle version allège les exigences de moyens pour introduire davantage d’exigences de performances et de résultats. Cependant, les laboratoires ne vont pas supprimer de nombreuses dispositions, comme celle concernant la formation par exemple, au prétexte que ce n’est plus obligatoire. A terme, les systèmes qualité vont s’alléger pour ne retenir que des dispositions pertinentes.

Par ailleurs, le leadership représenté par la direction doit être plus impliqué dans la démarche, voire être moteur pour l’amélioration continue.

Enfin, l’approche par l’analyse de risques a le mérite de faire réfléchir le laboratoire sur son niveau de maîtrise des essais ou des analyses pratiqués.”

Quelles sont les difficultés rencontrées par les laboratoires dans la mise en place de cette nouvelle version de la norme ISO 17025 ?

“Justement, le degré d’implication de la direction est variable et parfois insuffisant.
Aujourd’hui, en général, les laboratoires ont assez bien identifié les actions à mettre en place pour se conformer aux nouvelles exigences. Mais les laboratoires qui ne fonctionnent pas sous processus rencontreront des difficultés à faire vivre l’amélioration continue. Leur système de management de la qualité risque de rester trop « vertical » et l’implication de tous les acteurs associés insuffisante alors que c’est justement la clé du fonctionnement optimal d’un système de management de la qualité !”

6 conseils pour réussir sa transition vers la norme NF EN ISO/IEC 17025

  • Suivre une formation à la nouvelle version de l’ISO 17025
  • Réaliser un diagnostic
  • Etablir un plan de transition
  • Prévoir les ressources nécessaires à la transition
  • Appliquer ce plan de transition
  • Réaliser un audit de préparation à la transition sur la norme ISO 17025:2017

Pour vous aider dans vos démarches de certification / labellisation et d’accréditation et assurer votre réussite, demandez conseil à un cabinet spécialisé.