Les certifications ISO font partie du quotidien. Qu’est-ce que c’est ? Sont-elles vraiment pertinentes et utiles ? Pour répondre à ces questions en toute transparence, nous sommes allés à la rencontre d’Alexandre Patti qui est Compliance Officer chez Infomaniak.
Qu’est-ce qu’une norme ISO ?
Une norme ISO permet d’uniformiser des standards. C’est un référentiel qui permet aux entreprises de s’engager dans une démarche d’amélioration continue selon un standard spécifique. Par exemple, la hauteur des quais de gare fait l’objet d’une norme ISO pour que les personnes puissent facilement accéder aux trains dans tous les pays.
Une norme est comme une loi. C’est un texte auquel une entreprise doit répondre. Quand les exigences sont légales, l’entreprise est obligée d’y répondre. Lorsqu’il s’agit d’améliorations, c’est à l’entreprise de fixer les objectifs qu’elle désire atteindre en fonction d’où elle se trouve actuellement. La norme n’est donc pas la même pour toutes les entreprises; c’est l’entreprise qui définit ses propres objectifs et actions à mettre en place dans le cadre contraignant de la norme ISO.
Plus une norme est partagée, plus elle est reconnue. ISO (International Organization for Standardization) est aujourd’hui la référence mondiale. En tant que référence, elle a davantage de force qu’une charte privée ou locale. Certains organismes, privés ou publics d’ailleurs, ne traitent pratiquement qu’avec des prestataires certifiés par ISO.
Qu’est-ce qu’une norme ISO apporte concrètement pour les clients ?
Pour le client, une certification ISO est un indicateur des efforts d’une entreprise qui souhaite s’améliorer dans un domaine donné. Par exemple, ISO 9001 constate la rigueur et l’attention constante qui sont données à la qualité au sein d’une entreprise. Le résultat concret pour le client, c’est des produits intuitifs, un service support efficace et la sérénité d’accéder à ses données en permanence et de manière sécurisée.
Chez Infomaniak, le cadre ISO nous aide à structurer et faire les choses avec toujours plus de rigueur. Nous listons les processus existants à partir desquels on met en place des indicateurs de performance. Si nous identifions des lacunes, cela peut sous-entendre que la procédure globale dans laquelle s’inscrit tel ou tel processus n’est pas assez claire ou efficace, qu’elle n’est pas suivie ou inexistante et dans ce cas il est nécessaire d’améliorer quelque chose. De cette façon, nous sommes capables d’intervenir de façon rapide et ciblée.
Pourquoi obtenir une norme ISO ?
Une société peut vouloir se certifier pour de multiples raisons : pour s’améliorer, pour créer un avantage concurrentiel ou simplement pour répondre aux exigences de certaines industries. Chez Infomaniak, cela fait partie d’une démarche d’amélioration continue pour satisfaire des clients dans les secteurs parmi les plus exigeants au monde.
Est-ce difficile d’obtenir une norme ISO ?
La démarche de certification n’est pas un processus difficile en soi. Il faut parvenir à rassembler une certaine quantité de documentation qui est déjà en place ou qu’il faut créer. Cela peut prendre 6 mois selon l’avancement de l’entreprise dans le domaine concerné par la norme à obtenir.
Qu’est-ce qui prouve qu’on respecte les exigences d’une norme ISO ?
Il faut d’abord comprendre qu’une norme ISO ne fait pas tout. Avec des déclarations d’intentions, certaines entreprises tombent dans la facilité. Les clients sont en heureusement de plus en plus aguerris (notamment grâce aux médias critiques et aux réseaux sociaux). Ils développent le réflexe d’évaluer les entreprises sur ce qu’elles font réellement, non plus seulement sur leurs déclarations.
Une norme ISO requiert des audits au minimum tous les ans
Comme tous les autres organismes certifiés ISO, Infomaniak est au minimum auditée une fois par an selon un cycle de 3 ans :
- Année 1 : c’est l’audit complet dit « de certification » qui couvre toutes les exigences de la norme. Dans le cas d’ISO 9001, il passe d’abord en revue toute la documentation de l’entreprise pour vérifier que le système de qualité correspond à la norme. Cette étape inclut aussi des entretiens sur site avec des collaborateurs.
- Années 2 et 3 : ce sont les audits de suivi. Les auditeurs reviennent au maximum 1 an après pour identifier des non-conformités ou pistes d’amélioration éventuelles. Celles-ci sont remontées à la direction de l’entreprise. Un plan d’action est développé et mis en œuvre pour y répondre.
- Attribution : les audits sont remontés au comité de décision de l’organisme certificateur qui délivre un certificat valable 3 ans réévalué par les audits continus et par un audit de renouvellement.
Quelle est l’objectivité du processus de certification ?
Infomaniak travaille avec la SGS ou l’Afnor (auparavant). Ce sont des organismes accrédités par l’ONG ISO. Ils nous accompagnent et doivent eux-mêmes répondre à un cahier des charges précis.
Les auditeurs ont un devoir d’indépendance dans le mandat confié par la SGS et :
- ce n’est pas Infomaniak qui les paie ;
- ils ne sont pas non plus employés par la SGS.
Les auditeurs sont donc strictement indépendants. C’est un aspect très important.
Les normes ISO sont-elles réservées aux grandes entreprises ?
Même une petite structure peut s’engager dans l’obtention d’une certification ISO. Ce qui compte, c’est le cadre contraignant de la norme, non la taille de l’entreprise. Cela dépend encore une fois du niveau d’avancement de l’entreprise vis-à-vis du domaine qu’elle veut certifier.
Le principal défi à relever est de parvenir à créer une documentation précise qui serve directement à l’entreprise. C’est un travail de fourmi, mais dont le processus amorce déjà les améliorations à venir.
La même norme, mais pas les mêmes actions ? Qui fixe les objectifs ?
Toutes les entreprises ne répondent pas de la même manière aux exigences de la norme. Les candidates à la certification devront toutes y répondre, mais c’est au niveau de l’application en termes d’objectifs et de plan d’action qu’elles auront leur propre voie.
Pour ISO 9001 par exemple, les exigences de la norme sont liées à l’organisation, au management, et processus de l’entreprise. L’avantage de cette norme est qu’elle n’impose pas de façon de faire, c’est-à-dire qu’il s’agit d’un cadre contraignant définissant ce qu’il faut faire, mais elle ne dit pas comment le faire. L’entreprise choisit ainsi elle-même les moyens et la façon de mettre en œuvre son propre plan d’action pour la qualité.
On doit donc distinguer la réponse aux exigences et les objectifs ainsi que les plans d’action rattachés qui sont très spécifiques à chaque entreprise. Dans tous les cas, c’est le processus dans le temps qui permet d’obtenir des améliorations concrètes et une documentation conséquente.
Les normes ISO ne sont pas la solution à tout
Une entreprise a besoin d’agilité et de souplesse pour évoluer et rester efficace. Il ne faut donc pas nécessairement chercher à formaliser toutes les procédures. C’est un compromis à trouver.
Il faut choisir les procédures qui ont le plus d’impact par rapport à son métier et se concentrer dessus. Certaines entreprises comme Infomaniak veulent améliorer des points très spécifiques (comme la qualité des traductions des interfaces). C’est là que le cadre contraignant d’une norme peut aider.