ETHIC Intelligence : "La publication du standard 37301 fera rebondir le marché de la certification"

Décideurs. Comment s’est passé le début d’année pour vous ?

Scott Lane. Nous sommes restés actifs dans la formation et la certification ISO 37001. La publication du standard 37301 en avril 2021 nous a permis par ailleurs de développer une nouvelle offre de certification. De nouveaux services d’audit des tierces parties ont renforcé notre palette de solutions. Et nous proposons désormais des audits à distance réalisés avec une rigueur et une qualité identiques à celles fournies par nos services en personne. Depuis le début de cette année, nous avons été régulièrement sollicités dans le cadre de nombreux appels d’offres y compris des organismes publics français et avons signé notre premier contrat avec une société américaine.

Pauline Bailly. Malgré la crise sanitaire, nos activités se sont bien développées. Les nouveaux risques liés notamment au télétravail ont amené certaines entreprises à renforcer leurs contrôles et améliorer leur dispositif de conformité.

Quelle analyse faites-vous du marché de la certification ?

S. L. En France, il y a eu un ralentissement des activités de certification au début de la crise du Covid-19, mais la demande est grandissante depuis le dernier trimestre 2020. À l’échelle mondiale, deux cas de figure se présentent. D’un côté, les pays en voie de développement dans lesquels le marché se développe rapidement, mais avec un niveau de qualité de prestation relativement faible. Et de l’autre, les pays occidentaux dont le marché évolue lentement. Cette observation est aussi valable pour le démarrage de la nouvelle norme 37301. D’où l’intérêt pour les organismes de certification de mener une campagne d’information sur l’enjeu pour les entreprises de faire certifier leur programme de conformité.

P. B. De façon générale, le marché stagne, mais la publication du standard 37301 – qui couvre tous les aspects de la compliance – le fera probablement rebondir.

Justement, en quoi les normes 37001 et 37301 sont-elles distinctes ?

S. L. Le standard 37001 ne concerne que l’anticorruption alors que le 37301 prend en compte tous les risques de conformité d’une entreprise. Autre point de distinction : le premier cité est très prescriptif sur les détails du programme de compliance à mettre en place tandis que le second reste très générique notamment sur le chapitre 8 dédié aux contrôles opérationnels. Quant aux entreprises qui ont l’embarras du choix entre les deux offres, nous leur recommandons de se faire certifier selon les deux normes, surtout à celles exposées à un risque de corruption très élevé. En revanche, si dans sa cartographie des risques l’entreprise identifie le risque de fraude et de blanchiment, mais pas celui de la corruption, alors elle peut seulement se contenter de la certification 37301.

"Les compétences de l'auditeur jouent un rôle clé dans l'orientation du choix des organisations"

P. B. Si la valeur ajoutée de chacune des certifications dépend certainement de la nature des activités d’une entreprise et de son niveau d’exposition aux différents risques, il n’en demeure pas moins vrai que les compétences de l’auditeur qualifié, capable d’identifier des opportunités d’amélioration ou de non-conformité sur la base des bonnes pratiques, jouent un rôle clé dans l’orientation du choix des organisations.

Une nouvelle norme mondiale pour les systèmes de gestion des lancements d’alertes iso 37002 devrait être finalisée d’ici à la fin 2021. Pouvez-vous nous en dire en plus ?

S. L. Le comité technique ISO/TC 309 sur la gouvernance des organisations développe de nombreux standards dans le domaine de la gouvernance et de la compliance, en plus de l’ISO 37301 que nous avons déjà cité. La norme ISO 37002 sur les systèmes de management du lancement d’alerte en fait partie et nous avons participé à sa rédaction via le groupe de travail dédié de l’Association française de normalisation (Afnor). Ce standard est en cours de publication depuis le 22 juin et devrait effectivement être publié en juillet sous la forme de lignes directrices. Il ne deviendra sans doute certifiable qu’à l’issue d’une période de cinq ans.

D’autres standards se développent notamment dans le domaine des données personnelles…

S. L. Effectivement. On peut citer à ce titre le standard 27701 qui est une sorte d’extension de la norme 27001 et la première norme internationale qui traite du management de la protection de la vie privée. S’il est vrai que notre offre de certification ne couvre pas ce risque – car la problématique de la protection des données personnelles se trouve à la limite entre la conformité et la sécurité des informations –, il n’est pas rare cependant que nous utilisions le 37301 pour couvrir le risque "privacy" pour certaines entreprises dont ce n’est pas le risque principal.