Dans son dernier ISO Survey, l’Organisation internationale de normalisation dresse un panorama mondial du nombre d’organisations certifiées sur la base de dix référentiels ISO courants. Comme en 2016, management de l’énergie (ISO 50001) et de la sécurité de l’information (ISO 27001) signent une belle progression. Y compris en France.
Ce n’est pas une surprise : dans le dernier ISO Survey, les normes volontaires ISO 9001 (management de la qualité) et ISO 14001 (management environnemental) sont celles dont se revendiquent le plus les entreprises détentrices d’une certification au 31 décembre 2017. Parce qu’elles font la différence auprès des clients, notamment B2B, elles comptabilisaient respectivement 1,05 million et 362 610 certificats valides dans le monde à cette date. La première baisse un peu, mais la seconde augmente dans les mêmes proportions. Mais, dans certains secteurs d’activité, cela ne suffit pas. Pour se démarquer de leurs concurrents, de plus en plus d’entreprises prolongent ces démarches par une certification ISO/IEC 27001, pour montrer que leur management de la sécurité de l’information est solide, ou ISO 50001, pour montrer qu’elles s’améliorent en continu en termes d’efficacité énergétique.
ISO/IEC 27001 : + 19 % dans le monde, + 63 % en France
Le référentiel ISO/IEC 27001 est celui qui a connu la plus belle progression en 2017, avec 39 501 organismes certifiés dans le monde au 31 décembre de cette année-là, soit 19 % de plus qu’en 2016. Le Japon et la Chine sont en pole position, tirés par leurs entreprises du numérique et du tertiaire. Mais l’Europe n’a pas à rougir : le Royaume-Uni, l’Allemagne, l’Italie, les Pays-Bas et l’Espagne se trouvent eux aussi dans le top 10. « La publication du règlement général européen sur la protection des données personnelles (RGPD) en mai 2016 n’y est pas étrangère », indique Brice Gilbert, ingénieur Confiance numérique chez AFNOR Certification, qui accorde ce type de certification, sur audit, sous la marque AFAQ. Ce texte-phare entré en vigueur le 25 mai 2018 en France cite en effet la certification comme un moyen d’aider à démontrer le respect des exigences, par exemple celle de raisonner en privacy-by-design.
Seule la France n’a pas suivi le mouvement : elle ne comptait que 342 organisations certifiées en 2017 – tout de même 133 de plus qu’en 2016. « Beaucoup d’entreprises françaises vont pourtant bien au-delà des exigences de l’ISO/IEC 27001, notamment dans les secteurs bancaires, financiers ou des télécommunications. Mais elles ne ressentent pas le besoin de communiquer dessus. Pour elles, c’est une évidence de protéger les données de ses clients », décrypte Brice Gilbert. Le nombre de certificats dans l’Hexagone pourrait néanmoins augmenter dans les prochaines années, du fait de l’externalisation croissante des services informatiques et du stockage des données. « Les entreprises qui font appel à des services cloud ne peuvent pas prendre le risque de voir leurs informations altérées ou volées, elles demandent donc un gage de confiance », commente Brice Gilbert.
La digitalisation des entreprises. C’est aussi l’une des raisons pour lesquelles « l’ISO/IEC 27001 est en train d’émerger en Tunisie, note Rhida Hajeri, directeur de la filiale tunisienne du groupe AFNOR. Dans notre pays, les sociétés informatiques et les services bancaires dématérialisés sont en plein développement. En témoigne la certification, en 2017, de la Bourse des valeurs mobilières de Tunis (BVMT) et de l’Agence nationale de certification électronique (TunTrust). »
ISO 50001 : un succès européen, 938 certifiés en France
Côté énergie, la certification ISO 50001 des systèmes de management de l’énergie (SMEn) a progressé de 10 % dans le monde entre 2016 et 2017. Cette hausse concerne surtout l’Europe, qui concentre à elle seule les trois quarts des 21 501 organismes certifiés. « La directive européenne de 2012 sur l’efficacité énergétique a contribué à ce succès, indique Catherine Moutet, responsable d’AFNOR Énergies, marque ombrelle du groupe AFNOR, qui embarque notamment la certification AFAQ ISO 50001 d’AFNOR Certification. Ce texte impose en effet un audit énergétique tous les quatre ans aux grandes entreprises, sauf si elles sont certifiées ISO 50001, justement. »
L’Allemagne se démarque tout particulièrement, avec 8 314 certificats et un pic de 700 de plus un an plus tôt. « Les SMEn y étaient déjà requis depuis 2009 pour les grosses industries qui souhaitaient obtenir le remboursement de la taxe énergies renouvelables qu’elles paient chaque année, comme tous les autres consommateurs d’électricité, explique Jan Uwe Lieback, chef de projet chez GUTcert, organisme de certification allemand appartenant au groupe AFNOR. Quand la directive de 2012 est parue, c’était donc naturel qu’elles poursuivent cette démarche plutôt que de passer par un audit énergétique. »
En France, l’engouement est plus récent. Mais le nombre de certificats a quand même bondi de 23 % entre 2016 et 2017, passant de 759 à 938 (et non 2 307 comme indiqué par erreur dans les tableaux de l’ISO Survey), dont la majeure partie suite à un audit diligenté par AFNOR Certification. « Cette certification a percé chez les gros consommateurs d’électricité, grâce à l’abattement du TURPE (tarif d’utilisation des réseaux publics d’électricité) dont ces entreprises peuvent bénéficier depuis fin 2016 si elles respectent l’ISO 50001. La hausse s’explique aussi par la mise en place, à cette période également, du programme national Pro-SMEn, qui verse une prime aux entreprises demandant la certification ISO 50001, dans le cadre des certificats d’économies d’énergie », analyse Catherine Moutet.
Nombre d’organisations détentrices d’un certificat ISO dans le monde au 31/12/2017
Source : ISO Survey 2017
Trois raisons de voir ces succès se confirmer dans l’ISO Survey 2018
- ISO 9001 et ISO 14001 : les organisations avaient jusqu’au 14 septembre 2018 pour se conformer aux dernières versions de ces normes, au risque de perdre leur certificat et donc les avantages commerciaux associés.
- ISO/IEC 27001 : Un décret daté du 26 février 2018 oblige désormais les hébergeurs de données de santé à être certifiés HDS en France, un référentiel qui s’appuie sur l’ISO/IEC 27001.
- ISO 50001 : la norme a été révisée en août 2018. Les organisations ont jusqu’à août 2021 pour se mettre en conformité avec la nouvelle version pour garder leur certification.
> Découvrir la certification ISO 27001…
> Découvrir la certification ISO 50001…
> Consulter tous les chiffres de l’ISO Survey 2017…