La ISO 37001 est la norme internationale de référence pour les systèmes de management anti-corruption. Publiée initialement en 2016, elle a guidé des milliers d'organisations — des multinationales aux PME fournissant des administrations publiques — dans la mise en œuvre de contrôles pour prévenir, détecter et répondre à la corruption. En 2025, le comité technique ISO/TC 309 a approuvé une révision substantielle de la norme. Si votre entreprise est déjà certifiée, en cours d'implantation ou évalue simplement la certification, cet article vous fournit les informations dont vous avez besoin pour rester dans le rythme.
Pourquoi la ISO 37001 est-elle révisée maintenant
Toute norme ISO fait l'objet d'une révision périodique, généralement tous les cinq ans. Dans le cas de la ISO 37001, la révision de 2025 répond également à des changements réglementaires significatifs : l'adoption de la Directive (UE) 2024/1760 sur le devoir de vigilance des entreprises en matière de durabilité (CSDDD), qui impose des obligations directes de contrôle sur la chaîne de valeur ; le renforcement du contrôle judiciaire sur le rôle de la conformité en tant que facteur atténuant de la responsabilité pénale ; et la multiplication des dispositifs de signalement — portés par la Directive sur la protection des lanceurs d'alerte (UE) 2019/1937 — qui se recoupent avec les canaux que requiert la ISO 37001 elle-même.
L'Organisation internationale de normalisation n'a pas publié l'édition 2025 de la ISO 37001 comme une révision mineure, mais comme une deuxième édition complète qui remplace intégralement le texte de 2016. Les organisations titulaires d'un certificat en cours de validité disposeront d'une période de transition, mais il est conseillé de connaître les nouveautés le plus tôt possible afin d'éviter les surprises lors du prochain cycle d'audit de surveillance.
Principaux changements de la ISO 37001:2025 par rapport à l'édition 2016
1. Structure harmonisée (HS)
L'édition 2016 suivait l'Annexe SL, la structure de haut niveau alors en vigueur. La révision 2025 adopte la nouvelle Structure harmonisée (Harmonized Structure, HS) qu'ISO a établie pour toutes ses normes de systèmes de management à partir de 2023. Cela facilite l'intégration avec les normes ISO 9001, ISO 14001, ISO 45001 ou ISO 37301 (conformité générale) au sein d'un système de management unique. Pour les entreprises qui gèrent déjà plusieurs référentiels de façon intégrée, ce changement représente un véritable avantage : la terminologie, la séquence des clauses et les exigences communes s'alignent mieux.
2. Accent renforcé sur le devoir de vigilance à l'égard des tiers
L'un des points faibles les plus souvent signalés de l'édition 2016 était le manque de spécificité dans les contrôles portant sur les tiers (fournisseurs, agents, intermédiaires, partenaires de joint-venture). L'édition 2025 étoffe et précise les exigences de l'ancien article 8.6, en imposant :
- Une évaluation des risques de corruption différenciée par catégorie de tiers et marché géographique.
- Des procédures de due diligence proportionnées au risque identifié, pouvant inclure des visites sur site, des questionnaires, la revue de documents financiers et des vérifications d'antécédents.
- Des clauses contractuelles anti-corruption dans tous les contrats significatifs, avec droit d'audit.
- Une surveillance continue des tiers à haut risque, et non seulement au début de la relation.
3. Culture organisationnelle et leadership
La révision renforce le rôle du Comité de contrôle anti-corruption (ou fonction équivalente) et ajoute des exigences explicites sur la culture de l'organisation. Il ne suffit plus d'avoir une politique anti-corruption publiée : la norme exige des preuves que les valeurs éthiques sont intégrées dans la prise de décision, dans les processus d'évaluation de la performance et dans les mécanismes d'incitation. Cela rejoint directement la tendance réglementaire consistant à exiger la culture d'entreprise comme élément d'un programme de conformité effectif.
4. Canal de signalement aligné sur la législation européenne sur les lanceurs d'alerte
L'édition 2016 imposait des mécanismes internes de signalement sans en préciser la forme. L'édition 2025 élargit cette exigence pour que le système de signalement soit également accessible aux tiers externes (fournisseurs, clients) et satisfasse aux normes de confidentialité et de non-représailles requises par la législation européenne. Les entreprises qui ont déjà mis en place un canal de signalement pour se conformer à la Directive sur les lanceurs d'alerte peuvent tirer parti des synergies pour satisfaire simultanément aux deux exigences.
5. Risques émergents : paiements de facilitation
La norme révisée traite explicitement des paiements de facilitation (facilitation payments) — petites sommes versées à des fonctionnaires pour accélérer des démarches administratives — comme une forme de corruption qui doit être expressément interdite dans la politique de l'organisation. Elle aborde également les risques liés aux marchés à forte perception de la corruption (l'Indice de perception de la corruption de Transparency International comme référence), en imposant des contrôles supplémentaires lorsque l'organisation opère dans ces environnements.
6. Indicateurs de performance et amélioration continue
L'édition 2025 accorde une place plus importante à la mesure. Les organisations sont attendues sur la définition de KPI du système anti-corruption (nombre de signalements reçus, enquêtes ouvertes, délai de résolution, sessions de formation complétées, pourcentage de tiers évalués) et leur révision périodique lors de la revue de direction. Cela élève le niveau de ce que les auditeurs de certification considèrent comme une preuve suffisante.
Tableau comparatif : ISO 37001:2016 vs ISO 37001:2025
| Domaine | Édition 2016 | Édition 2025 |
|---|---|---|
| Structure | Annexe SL (10 clauses) | Structure harmonisée (HS) |
| Devoir de vigilance sur les tiers | Exigences génériques (art. 8.6) | Détaillé par catégorie et niveau de risque |
| Canal de signalement | Mécanisme interne obligatoire | Accès externe + alignement sur la législation lanceurs d'alerte |
| Culture organisationnelle | Mention implicite dans le leadership | Exigences explicites et mesurables |
| Paiements de facilitation | Aucune mention spécifique | Interdiction expresse dans la politique |
| KPI du système | Évaluation de la performance basique | Indicateurs définis et révisés périodiquement |
| Marchés à haut risque | Analyse du contexte général | Référence explicite aux indices de corruption |
| Intégration avec d'autres référentiels | Compatible, non optimisée | Clauses communes HS facilitant l'intégration |
Délais de transition : ce que dit l'ISO et ce que cela implique en pratique
Le Forum international d'accréditation (IAF) a fixé pour la ISO 37001:2025 une période de transition de deux ans. La date limite, confirmée par les organismes nationaux d'accréditation et les organismes de certification accrédités (Bureau Veritas, SGS, AFNOR Certification, entre autres), est le 28 février 2027. À compter du 1er septembre 2026, les nouvelles certifications devront être réalisées selon l'édition 2025.
En pratique, cela signifie que :
- Les audits de surveillance et de renouvellement réalisés à partir de la date de publication officielle devraient être planifiés en tenant compte de l'édition 2025.
- Les organisations qui démarrent un projet de certification en 2026 ou 2027 ont tout intérêt à le faire directement contre l'édition 2025, afin d'éviter de refaire une partie du travail avant l'expiration du certificat.
- Les organismes de certification cesseront d'émettre des certificats sous l'édition 2016 avant la fin de la période de transition ; la date exacte variera selon l'organisme.
Si votre entreprise a un audit de surveillance ou de renouvellement prévu dans les douze prochains mois, c'est le moment de vérifier avec votre consultant quels écarts (gap analysis) génère la nouvelle édition et s'il convient de les intégrer dans la préparation de cet audit ou de planifier une transition formelle.
Secteurs les plus concernés par la ISO 37001:2025
La norme anti-corruption a une application universelle, mais il existe des secteurs où la pression réglementaire et de marché rend la mise à jour particulièrement pertinente :
- Construction et génie civil : secteur historiquement signalé dans les indices de perception de la corruption. Les appels d'offres publics exigent de plus en plus de justifier d'un système anti-corruption certifié. Les exigences renforcées sur les tiers (sous-traitants, fournisseurs de matériaux) sont particulièrement importantes ici.
- Exportation vers les marchés émergents : les entreprises opérant sur des marchés à faibles scores CPI (Amérique latine, Afrique, une partie de l'Asie) doivent démontrer que leurs contrôles vont au-delà d'une politique sur papier.
- Fournisseurs de grandes entreprises : les multinationales dont le siège est dans l'UE, soumises à la CSDDD, transfèrent leurs obligations de vigilance à leur chaîne d'approvisionnement. Posséder la certification ISO 37001 simplifie les réponses aux questionnaires de leurs clients.
- Secteur pharmaceutique et santé : les relations avec les professionnels de santé et la réglementation sur la transparence des paiements font de ce secteur l'un des plus sensibles à la corruption. Les nouvelles exigences en matière de KPI et de culture sont directement applicables.
- Services publics concédés et utilities : contrats de longue durée avec les administrations où la continuité du contrat dépend du maintien d'un historique de conformité irréprochable.
Comment préparer la transition : étapes concrètes
Si vous êtes déjà titulaire de la ISO 37001:2016 et souhaitez aborder la transition sereinement, voici les étapes que nous recommandons depuis notre service d'implantation et de certification ISO 37001 :
- Analyse des écarts (gap analysis) : cartographier les nouvelles exigences de l'édition 2025 par rapport à votre système actuel. Tous les changements ne génèrent pas des écarts ; cela dépend de ce que vous avez déjà mis en œuvre.
- Révision de la politique anti-corruption : inclure l'interdiction expresse des paiements de facilitation et mettre à jour les références réglementaires (CSDDD le cas échéant).
- Audit interne de la cartographie des tiers : identifier quels fournisseurs, agents et partenaires figurent dans le radar à haut risque et mettre à jour les procédures de due diligence.
- Révision du canal de signalement : vérifier qu'il satisfait aux normes requises (accès, confidentialité, non-représailles) et étendre l'accès aux tiers si ce n'est pas encore le cas.
- Définition des KPI du système : si aucun indicateur formel n'existe, les définir et documenter la façon dont ils seront révisés lors de la prochaine revue de direction.
- Formation du Comité de contrôle anti-corruption : mettre à jour le contenu des formations pour refléter les nouvelles exigences de la norme et les évolutions réglementaires.
- Audit interne préalable : avant l'audit de certification de transition, réaliser au moins un audit interne complet contre l'édition 2025.
L'effort réel dépend de ce que vous avez investi dans votre système depuis la certification initiale. Une entreprise dont le système est vivant et bien documenté peut effectuer la transition avec un travail relativement limité. Une entreprise qui fonctionne depuis des années en mode « passer l'audit à tout prix » aura davantage de travail à accomplir.
ISO 37001 et son lien avec la responsabilité pénale des entreprises
Dans de nombreuses juridictions européennes, la responsabilité pénale des personnes morales est engageable pour des faits de corruption — active et passive, nationale et internationale. Les programmes de conformité incluant un système anti-corruption certifié selon la ISO 37001 constituent des éléments de preuve matériels démontrant que l'organisation a adopté des mesures « efficaces » de prévention des infractions, critère requis pour l'exonération ou l'atténuation de la responsabilité.
L'édition 2025, en renforçant les contrôles et la culture, élève le niveau du programme de conformité qu'un juge ou un procureur considérera comme « efficace ». Détenir le certificat de l'édition précédente alors qu'une version plus exigeante existe déjà pourrait ne pas constituer un argument de défense suffisant dans une procédure pénale future. Chez Summum Calidad, nous travaillons conjointement sur la mise en œuvre du système anti-corruption et nous coordonnons avec les conseils juridiques du client lorsque le projet inclut la mise à jour du modèle de gouvernance pénale de l'entreprise.
Questions fréquentes
Mon certificat ISO 37001:2016 est-il toujours valide tant qu'il n'a pas expiré ?
Oui, tant que la période de transition est en cours et que le certificat n'a pas expiré, il reste valide. Cependant, les organismes de certification feront progressivement migrer leurs audits vers l'édition 2025. Renseignez-vous auprès de votre organisme de certification pour savoir à quelle date ils prévoient d'auditer exclusivement selon la nouvelle édition, afin de planifier votre transition avec une marge suffisante.
Puis-je me certifier directement selon l'édition 2025 si je n'ai pas encore de certificat ?
Oui, et c'est ce que nous recommandons pour tout projet démarrant maintenant. Se certifier selon l'édition 2016 en 2026 ou 2027 obligerait à effectuer la transition peu de temps après, doublant l'effort. La logique est d'implanter directement le système sous l'édition 2025 dès le départ.
Combien de temps une entreprise met-elle pour passer de l'édition 2016 à l'édition 2025 ?
Cela dépend de l'état de départ du système. Une entreprise dont le système est bien implanté et sans écarts significatifs peut réaliser la transition en deux à quatre mois (mise à jour documentaire, formation, audit interne, audit de certification). S'il existe des lacunes structurelles — comme une cartographie des tiers non actualisée ou un canal de signalement ne satisfaisant pas aux exigences requises — le délai peut s'étendre à six ou neuf mois. Une analyse des écarts initiale permet d'estimer l'effort avec précision avant d'engager des ressources.
La ISO 37001:2025 oblige-t-elle à signaler la corruption aux autorités ?
La norme n'impose pas directement une obligation de signalement aux autorités ; cela est réglementé par le droit de chaque pays. Ce qu'elle exige, c'est que l'organisation dispose de procédures claires pour instruire les signalements reçus, documenter les enquêtes et prendre des actions correctives. Si une enquête interne révèle des indices d'infraction pénale, l'obligation de signalement découle du droit pénal applicable et de la réglementation sectorielle, et non de la norme ISO elle-même.