Speaker #0La semaine passée, je t'ai parlé d'ISO 17024, pour changer. Mais finalement, pas tant que ça. Car dans les autres normes ISO, tu dois démontrer la compétence des personnes. Et c'est l'une des nombreuses façons de la démontrer. Car avoir un certificat, c'est encore le joker le plus rapide à utiliser pour démontrer que tu as une certaine baseline. Ah, ou pardon, compétence. Tu peux t'en sortir sans cela, évidemment. Mais alors, tu dois prouver plus de choses. Et si t'as pas préparé, tu risques de chauffer sur le grill de l'audit. Dans cet épisode, je t'explique les nouveaux changements de la norme 17024, version 2026 donc, et ce que cela apporte. Mais je ne vais pas rentrer dans les virgules, les wordings, les inversions, les nouveaux titres, les changements en numérotation, ni toutes les exigences de la norme, car on n'est déjà pas beaucoup sur Terre à comprendre ce qui se cache derrière, mais surtout, je ne pense pas que tu aies envie de monter un cab de personnes d'ici demain. T'es déçu, je sais. Bon. Je prends que les grosses différences. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. Mais sans t'endormir, je suis Fabrice De Paepe et aujourd'hui je te révèle ce qui se cache... derrière les nouveautés de la norme ISO 17024. N'oublie pas de liker, partager et discuter de cela avec ton cab qui va devoir commencer à se préparer. Ils ont le temps, 3 ans en fait, comme pour tout nouvel avènement ISO. Alors la norme ISO 17024-2026 est désormais disponible. Et ça, pour seulement 179 francs. Suisse, les francs. Soit 7 francs la page. Bien plus qu'une simple mise à jour. Elle marque une évolution vers un cadre de certification beaucoup plus structuré, transparent et fondé sur les risques. Oui, je sais, au royaume de Far Far Away Certification, tout le monde s'en fout, car tout le monde est déjà certifié de partout sur LinkedIn. Ensuite, je te parle des principaux changements par rapport à la version 2012, notamment l'introduction des exigences relatives à tout ce qui est technologie émergente, l'IA, dans les activités de certification. Je l'avais prédite sur LinkedIn, celle-là, sans avoir lu la norme. Je ne sais pas pourquoi. Il y a également le renforcement de l'impartialité et de la transparence publique. Avant, tu devais être transparent, mais c'était caché. Là, tu dois en plus l'exposer. Il y a une structuration plus claire, a priori, des processus de certification, et une intégration d'une approche fondée sur les risques dans le système de management. Ça, pour moi, ce n'est pas neuf, puisqu'on doit déjà le faire, quel que soit le champ ISO. et il y a In fine, une mise à jour concernant la confidentialité, la protection des données et la gouvernance. Ah, le petit mot que j'adore, gouvernance. Allez, tu es prêt ? C'est parti. Bon, on rentre dans le dur. Tu penses que les certifications de personnes vont changer radicalement en 2026 avec la sortie de la nouvelle norme ? Non, mais elles vont devenir encore beaucoup plus sérieuses. ISO 17024 passe de la version 2012 à 2026. Et c'est pas une révolution, c'est un réalignement. C'est que notre petit monde a évolué en 14 ans. Mais les bases restent les mêmes. On parle de compétence, d'impartialité et d'évaluation fiable. Mais là où ça devient intéressant, c'est dans les détails. L'enfer, quoi. Quoi que j'aurais pu dire l'enfer, c'est les autres, mais laissons Sartre de côté. On n'est pas à huis clos non plus, car vous êtes de plus en plus de coma-breakers à rejoindre la cause. En plus, la norme est maintenant... alignée sur CASCO. CASCO, c'est le comité ISO pour l'évaluation de la conformité. Ce comité ne crée pas les normes ISO métiers, tu sais, les 27001, 90001, 22301. Non. Celles-là sont créées par d'autres comités techniques ISO. Concrètement, CASCO travaille sur la certification, l'audit, l'inspection, les tests, les laboratoires, l'accréditation, l'impartialité. compétence des auditeurs, la validation et la vérification. Attends, ça me rappelle vaguement un truc. 1, 2, 3... Oui, il y en a bien 10. Voilà, je n'ai plus qu'à les écrire sur une énorme tablette ou un gros spéculoos. Et ça nous fait les 10 commandements. Et il y a 3 normes casco très connues. La 17021-1, pour les règles, pour les organismes de certification ISO. La 17025, les laboratoires. la 17024, tiens, tu savais que j'en avais fait un podcast ? Et la 17065 pour la certification de produit. Donc Casco répond à la question « comment être sûr que ceux qui certifient sont eux-mêmes fiables ? » Donc Casco, voilà, c'est le comité de l'ISO qui traite des questions d'évaluation de la conformité, le casque quoi. Alors dans les points d'amélioration ou d'attention que j'ai pu lire, le tout premier c'est l'illusion de stabilité. C'est-à-dire que sur le papier rien ne change, c'est la même structure de la norme, les mêmes clauses, la même logique. Mais en réalité, tout se renforce. Il y a beaucoup plus de transparence dans comment ta compétence est évaluée. Il y a plus de contrôle, et notamment dans les systèmes digitaux. Si tu as déjà passé un examen accrédité en remote proctoring, tu vois de quoi je parle. Et c'est aussi un peu grâce à Covid. Je me rappelle des examens papier ou dans des centres d'examen. Oui, je me fais vieux, je sais. Mais il y a forcément maintenant un renforcement des contrôles digitaux. Et aussi... beaucoup plus de responsabilité. Et pour le deuxième point, il y a quand même un éléphant dans la pièce qu'il est difficile de louper depuis deux ans. Tu l'as ? Bah oui, c'est l'IA. Nouvelle clause, l'intelligence artificielle entre officiellement dans la certification de personne. Si tu utilises l'IA, tu dois valider, tu dois la surveiller, tu dois prouver qu'elle est fiable. Et surtout, un humain doit rester responsable, parce que sinon tu certifies des gens avec des décisions que personne ne comprend. Bon, rien de neuf depuis l'avènement de l'IA et dans la gestion des risques, je trouve. Autour de la 27001 et de la 42001, ça vient déjà par conséquent aussi s'insérer maintenant dans l'ISO 17024. Donc celles et ceux qui connaissent déjà la 42001, vous savez. Et pour les cabs, je ne me tracasse pas trop pour eux, car en fait, la plupart proposent déjà du 42001. Rien de neuf non plus, et puis ils ont aussi 3 ans pour converger. Donc l'IA peut générer des questions, peut t'aider à surveiller des examens, faire de l'analyse comportementale, du scoring, de la détection, de la fraude et du remote proctoring, sans humain. Mais ton cab doit gouverner cela beaucoup plus proprement. Le point 3, c'est que l'impartialité devient visible. C'est un sujet important. Avant c'était implicite. Maintenant, si tu montes ton cab de personne, tu dois... publier ta déclaration d'impartialité. Tu dois montrer comment tu gères les biais, y compris ceux de l'IA, tu vois le lien ? Et c'est aussi pour cela qu'ils renforcent, et pas que, pour des conflits d'intérêts. Quoi ? Il y a des conflits d'intérêts dans le monde de la certification de personnes ? Bah oui, tu savais pas, c'est commercial. D'ailleurs, dans l'épisode précédent, je t'ai donné la carte, ou les cartes, des principaux bureaux de certification et leurs bureaux d'accréditation qui sont... eux aussi censés avoir de fortes valeurs par rapport au conflit d'intérêts. Mais hélas, j'ai pas la carte de là où les gens se rencontrent pour jouer au golf. Mais en fait c'est pareil, il n'y a rien de neuf pour moi, car ici, c'était déjà une exigence claire dans ISO 17021-1, tu sais, l'autre standard, celui qui permet la certification d'organisation. Et oui, ici maintenant, l'impertialité s'est renforcée et rendue explicite dans ISO 17024:2026. Donc, ils font évoluer la norme. La différence clé, c'est qu'en 17021-1, donc pour les organismes de certification de système, l'impartialité, c'est le pilier central depuis bien longtemps. Il y a un comité d'impartialité qui est obligatoire. Les exigences sont très structurées, la transparence est déjà forte. Donc, globalement, rien de nouveau ici. Ils ont repiqué l'idée à une autre norme. Et ISO 17024 ? donc pour la certification de personne, avant, en 2012, l'impartialité était déjà requise, mais moins visible, moins exposée. Maintenant, en 2026, tu as l'obligation explicite de rendre publique une déclaration d'impartialité, avec un focus sur la transparence, le biais et la gouvernance. La traduction simple que je vois, c'est 17021, prouve que tu es impartial. 17024, prouve le... Et montre-le publiquement. Ou sinon, vite, vite, vite, une rime rond. Ah, merci. Ou sinon, tu perds ton accréditation. Rien de compliqué, en somme. Un doc qui est déjà censé être là, mais qui maintenant sera sur ton site web. Alors, pourquoi c'est important ? Parce que le marché des certifs de personnes est beaucoup plus commercial. Et beaucoup plus sujet au conflit d'intérêts. Et peut-être plus sujet à une concurrence déloyale. Tu sais, le chauffeur de taxi et le chauffeur Uber. Et... Comme tout système de management, il y a aussi des non-conformités mineures et majeures, avec comme risque de rendre caduques des tonnes de certifications de personnes. Ton cher certificat que tu arbores fièrement sur LinkedIn, imagine un peu si tout un système venait à s'écrouler. À minuit une, tous ces gens qui deviennent... incompétents du jour au lendemain. Un peu comme le yaourt dans ton frigo, tu sais, quand la PLC est dépassée. Donc il faut éviter cela, ça fait genre. C'est aussi pour ça que ISO 17024 est renforcé à mon avis. Mais les cabs le savent, et savent qu'ils n'ont qu'à bien se tenir. Donc il y a un sérieux besoin de renforcer la confiance. Et l'IA change la donne, parce qu'il y a des nouveaux points, des biais algorithmiques, des décisions opaques. Donc l'impartialité... qui doit vraiment être mise en avant maintenant, doit être différente de l'humain, mais aussi technologique. Et donc ISO 17024 rattrape ISO 17021 sur la gouvernance, la transparence et la crédibilité. Leur point 4 que j'ai identifié, pour moi le vrai shift, c'est le risk-based. D'ailleurs ils ont mis une clause 10.6. Fini les preventive actions théoriques. Tiens, est-ce qu'elle est obligatoire cette clause ? Ben oui, clause 10. Elle fait partie des clauses 4 à 10. Tu vois, l'ISO est un monde de fainéants. On ne fait pas des big changes, on incrémente et on se base sur les acquis. Donc même si tu n'es pas expert de la 17024, tu sais que la clause 10 est obligatoire, car tu l'avais vue dans une autre norme, principalement 27001 si tu m'écoutes. Et ici, la granularité de la clause peut changer, par contre, par rapport à ta norme préférée. C'est normal. Et donc maintenant, en clause 10.6, tu identifies les risques, tu les traites, tu mesures l'efficacité. C'est du vivant, pas du papier. Tiens, ça me rappelle vaguement quelque chose. En fait, ISO 17024 ne change pas ce que tu fais. Elle change ce que tu dois prouver. En tant que cab, bien sûr. Et ça, c'est beaucoup plus exigeant. Est-ce que tu vois le lien avec la GRC ? C'est pas la norme qui évolue. C'est le niveau d'exigence. Avant, c'était « montre-moi ta procédure » . Maintenant, c'est « montre-moi que ta procédure fonctionne » . Alors, en guise de conclusion, eh bien, ISO 17024, 2026 donc, c'est pas de nouvelle norme. C'est une nouvelle attente. Moins de discours, plus de preuves. Et si tu travailles dans ce domaine, tu sais déjà ce que ça veut dire. Si tu es juste certifié, non stress. Ton CAB te préviendra en temps et en heure. Et tout devrait être transparent pour toi. Avant, on devait certifier des personnes. Maintenant, ton CAB préféré va devoir démontrer. L'intégrité numérique, la gouvernance IA, la maîtrise des examens online, la gestion des risques et l'impartialité moderne. Et qui va être le plus impacté ? Je te rassure, pas toi. Donc non stress. Prépare-toi normalement pour ta prochaine certif. Mais je trouvais intéressant que tu saches un peu ce qu'il se cache en backstage. Les plus impactés seront forcément les organismes full online, les plateformes remote exam, Et les certifs cyber-sécurité. Les systèmes IA également, pour le proctoring. Et Casco répond au monde post-Covid plus IA. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi. C'est encore le meilleur moyen de faire grandir Compliance Without Coma et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. J'ai fait simple, frenchpodcast.fr. Tu me diras de ce que tu penses de la petite redirection. Et pour prolonger la discussion, on peut se retrouver sur Instagram. TikTok, YouTube, c'est tout simplement ComplianceWithoutComa. Pour les coulisses du podcast, il y a des shorts aussi, des réels, des punchlines comme tu me connais, des guests en vidéo et je te dis déjà à vendredi prochain pour un nouvel épisode de ComplianceWithoutComa. D'ici là, prends soin de toi.
