ISO 37301

La norme ISO 37301^[1] système de management de la conformité (compliance management systems) est une norme de système de management adoptée en avril 2021 par l'organisation internationale de normalisation ISO.

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (avril 2021).

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

Historique modifier

La normalisation en matière de conformité n'est pas nouvelle.

Elle a commencé dès 1998 avec une norme australienne (AS 3806 – Compliance Programme).

Elle a ensuite été portée au sein de l'ISO ce qui lui a permis d'obtenir un statut de norme internationale en 2014 avec l'adoption de la norme ISO 19600. La norme ISO 37301 constitue une nouvelle étape importante, puisqu'elle propose des exigences et non plus uniquement des lignes directrices. Elle devient ainsi certifiable.

Cette norme est géré par le comité ISO/TC 309 de l'organisation ISO dédié aux normes relatives à la gouvernance à la conformité (ISO 37001 système de management anticorruption, ISO 37002 système de management des alertes, etc.).

À noter que la norme ISO 19600 a été supprimée avec la création de l'ISO 37301.

Contenu modifier

Norme de système de management modifier

Cette norme suit la structure HLS (High Level Structure) applicable aux normes de systèmes de management depuis 2015.

Le document est ainsi structuré en dix sections :

Domaines d'application ;
Références normatives ;
Termes et définitions ;
Contexte de l'organisme ;
Leadership ;
Planification ;
Support ;
Réalisation des activités opérationnelles ;
Évaluation des performances ;
Amélioration.

La traduction de « compliance » est (Mise/Maintien en) conformité. Il s'agit de l'exécution de toutes les obligations de conformité (exigences auxquelles un organisme doit obligatoirement se conformer, ainsi que celles auxquelles un organisme choisit volontairement de se conformer) dont l’organisme est tenu de respecter

Le principe général est d'identifier, sur la base d'une analyse détaillée de son contexte — reposant sur la cartographie des risques de conformité et l'analyse des attentes des parties intéressées — et de sa veille réglementaire, des objectifs adaptés. Devront ensuite être mis à disposition le support nécessaire (en termes de moyens, sensibilisation, formation, communication…), des procédures opérationnelles adaptées, une documentation appropriée du système ainsi qu'une évaluation de la performance.

Cette approche dite de système de management permet d'appréhender cette norme de façon indépendante ou intégrée avec d'autres système de management - tels que la qualité ou relevant du domaine de la conformité tels que les systèmes de management anticorruption. Une approche intégrée suppose la réalisation de revues de direction intégrées.

Particularités modifier

La norme prévoit en particulier :

la nomination d'un responsable conformité ayant un accès directe à la direction et à la gouvernance de l'organisme ;
le déploiement d'une culture conformité ;
l'implication du management (y compris du « middle management ») en matière de conformité ;
la mise à disposition d'un système d'alerte ;
la possibilité de mener des investigations.

À noter que cette norme est très peu prescriptive en termes de contenu. C'est à chaque organisme de déterminer en fonction de ses particularités (secteurs d'activités, implantations, organisations, etc.), les enjeux conformité qui lui sont propres. Ainsi la norme ne spécifie rien en matière de gestion des entités sous contrôle, de due diligence ou encore des thématiques précises à aborder.

Principaux thèmes modifier

Si la norme ne décrit pas les sujets conformité qui doivent être couverts, les thématiques les plus fréquentes sont les suivantes : lutte contre la blanchiment et le financement du terrorisme, anticorruption, antitrust ou encore sanctions internationales. Certains associent également les aspects des droits humains et de toutes spécificités propre à leurs secteurs d'activités (relations avec les healthcare professionnals, protection des consommateurs, etc.).

Différentes sources externes proposent des définitions de la compliance. À noter désormais la première publication d'un Code de la Compliance en France^[2].

Organismes de certification modifier

À ce jour^[Quand ?], deux organismes de certification en France ont été identifiés comme proposant la certification selon la norme ISO 37301 :

EuroCompliance^[3] ;
ETHIC Intelligence^[4].

Organismes certifiés modifier

Considérant la date d'adoption de la norme, la liste des organismes certifiés reste à construire. À date^[Quand ?] une seule mention a été trouvée dans les sources publiques, celle du cabinet d'ingénierie néerlandais Royal HaskoningDHV^[5].

Notes et références modifier

↑ « Site internet ISO », sur www.iso.org
↑ Ouvrage collectif - Code, Code de la Compliance, Paris, Dalloz, 2021, 2483 p.
↑ « Référence à la certification ISO 37301 »
↑ « Référence certification ISO37001 »
↑ Royal HaskoningDHV

Portail du management

[1] « Site internet ISO », sur www.iso.org

[2] Ouvrage collectif - Code, Code de la Compliance, Paris, Dalloz, 2021, 2483 p.

[3] « Référence à la certification ISO 37301 »

[4] « Référence certification ISO37001 »

[5] Royal HaskoningDHV

[1]

[2]

[3]

[4]

[5]