CA-18 · Compliance · general

ISO 37301

Le système de management de la conformité général et certifiable. Une seule norme qui intègre toutes les obligations légales de votre organisation — pénales, fiscales, environnementales, données et sociales — dans un cadre de gouvernance cohérent et auditable par un tiers accrédité.

NormeISO 37301:2021
Durée5-8 mois
Périmètretout secteur et toute taille

ISO 37301:2021 est la norme internationale qui établit les exigences pour implanter, maintenir et améliorer un système de management de la conformité (Compliance Management System, CMS). Publiée en avril 2021 par l'ISO, elle a remplacé le guide ISO 19600:2014, élevant la conformité d'une orientation volontaire à une norme certifiable avec des exigences auditables. Sa structure suit la High Level Structure (HLS) commune à ISO 9001, ISO 14001 et ISO 45001, ce qui facilite l'intégration dans des systèmes existants sans dupliquer la documentation.

La norme couvre tout type d'obligation de conformité : pénal et anticorruption (en lien avec UNE 19601 et ISO 37001), fiscal et tributaire, environnemental et déchets (articulable avec ISO 14001), protection des données personnelles (RGPD, en lien avec ISO 27701), droit du travail et égalité, et réglementation sectorielle spécifique. Son architecture en «système parapluie» permet à chaque vertical de compliance de disposer de ses propres contrôles documentés au sein d'une gouvernance unifiée, avec une fonction de compliance officer, un registre des obligations (compliance register), un programme d'évaluation des risques et un cycle d'audit interne périodique.

Pour une PME ou une entreprise intermédiaire espagnole, ISO 37301 apporte trois bénéfices concrets : premièrement, elle réduit l'exposition pénale de l'organe d'administration en démontrant la diligence raisonnable dans le système de contrôle ; deuxièmement, elle facilite l'accès aux appels d'offres publics et aux clients corporatifs qui exigent des preuves de conformité comme condition d'homologation fournisseur ; troisièmement, elle consolide dans un seul dossier audité toute la traçabilité réglementaire qui vit aujourd'hui dispersée entre le conseiller fiscal, l'avocat, le responsable SST et le DPO. Summum accompagne l'ensemble du processus jusqu'à la certification, qui est émise par un organisme de certification accrédité par ENAC (tel qu'AENOR, Bureau Veritas, SGS ou DNV).

Le processus ISO 37301.

Le processus · quatre étapes
01

Diagnostic et cartographie des obligations

Nous identifions l'univers réglementaire applicable à votre organisation : législation pénale, fiscale, environnementale, sociale, sectorielle et en matière de données. Nous construisons le registre de conformité avec chaque obligation classifiée par domaine, source normative, autorité de contrôle compétente et niveau de risque inhérent. Cette photographie initiale établit la ligne de base et les lacunes que le système devra combler.

02

Conception du système et structure documentaire

Nous rédigeons la politique de conformité, le manuel du CMS et les procédures de contrôle par vertical (pénal, fiscal, environnemental, données, social). Nous définissons les rôles et responsabilités — compliance officer, propriétaires de processus, organe de supervision — et nous concevons le programme de formation et de sensibilisation obligatoire selon le profil de risque de chaque poste.

03

Implantation, contrôles et canal d'alerte

Nous pilotons les contrôles dans les processus critiques et les intégrons aux systèmes de management existants (ERP, CRM, RH). Nous configurons ou révisons le canal d'alerte aligné sur la Directive (UE) 2019/1937 et la Loi 2/2023, qui impose un canal propre aux organisations de plus de 50 salariés. Nous réalisons la première évaluation des risques de conformité et le premier cycle d'audit interne.

04

Audit de certification et suivi

Nous préparons l'audit de certification avec l'organisme accrédité de votre choix (AENOR, Bureau Veritas, SGS, DNV ou autre). Nous assistons lors de la phase documentaire et de l'audit sur site, gérons les non-conformités jusqu'à leur clôture et maintenons le système par des révisions périodiques, des mises à jour réglementaires et des audits de surveillance annuels.

Ce qui est inclus

Ce qu'inclut ISO 37301.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Registre de conformité complet

    Inventaire documenté de toutes les obligations légales applicables, classifiées par domaine, source normative, sanction potentielle et responsable interne.

  • Politique et manuel du CMS

    Documentation centrale du système : politique de conformité signée par la direction, manuel de management et procédures de contrôle par vertical réglementaire.

  • Évaluation des risques de conformité

    Matrice de risques avec méthodologie quantitative (probabilité × impact), contrôles atténuants assignés et plan d'action priorisé selon l'exposition résiduelle.

  • Canal d'alerte conforme à la Loi 2/2023

    Conception ou révision du canal d'alerte interne, politique de protection du lanceur d'alerte et procédure d'enquête conformes à la Directive européenne Whistleblowing.

  • Programme de formation et de sensibilisation

    Modules de formation différenciés par profil de risque (direction, encadrement, personnel opérationnel). Inclut les preuves de participation pour le dossier de diligence raisonnable.

  • Audit interne et préparation à la certification

    Réalisation de l'audit interne du CMS, rapport de constats, plan d'action correctif et accompagnement complet jusqu'au certificat émis par un organisme accrédité ENAC.

Questions fréquentes sur ISO 37301.

Quelle est la différence entre ISO 37301 et ISO 37001 ?

ISO 37301 est le système parapluie de conformité générale : il couvre toute obligation légale (pénale, fiscale, environnementale, données, sociale). ISO 37001 est une norme spécifique anti-corruption et anti-pots-de-vin. Elles sont compatibles et complémentaires : une organisation peut certifier les deux, en utilisant 37001 comme vertical dans le cadre 37301, ou les implanter indépendamment selon son profil de risque.

Quelles entreprises sont tenues d'avoir un canal d'alerte en vertu de la Loi 2/2023 ?

La Loi 2/2023, qui transpose la Directive (UE) 2019/1937, oblige toutes les entités du secteur privé de 50 salariés ou plus à disposer d'un canal d'alerte propre, ainsi que toute entreprise opérant dans les secteurs des services financiers, de la prévention du blanchiment ou de la sécurité des produits, quelle que soit sa taille. ISO 37301 intègre naturellement cette exigence comme contrôle du CMS.

Combien de temps faut-il pour implanter ISO 37301 dans une PME ?

Dans une PME de 20 à 150 salariés sans système de compliance préalable, le processus habituel s'étend sur 5 à 8 mois : diagnostic et cartographie des obligations (mois 1-2), conception documentaire et formation (mois 2-4), implantation des contrôles et audit interne (mois 4-6) et audit de certification avec l'organisme accrédité (mois 6-8). Le délai varie selon la complexité réglementaire du secteur.

Qui émet le certificat ISO 37301 ? Est-ce Summum qui le délivre ?

Non. Summum Calidad est un cabinet de conseil, pas un organisme de certification. Le certificat est émis par un organisme de certification accrédité par ENAC (Entité nationale d'accréditation espagnole), comme AENOR, Bureau Veritas, SGS, DNV ou Lloyd's Register. Summum conçoit et implante le système et vous accompagne jusqu'à la réussite de l'audit de certification ; le certificat est signé par le tiers indépendant.

ISO 37301 peut-elle s'intégrer avec ISO 9001 ou ISO 14001 que nous détenons déjà ?

Oui, et c'est précisément l'un des avantages de la norme. ISO 37301 suit la High Level Structure (HLS) commune à ISO 9001, ISO 14001, ISO 45001 et ISO 27001. Cela signifie que la politique, le contexte organisationnel, les objectifs, le management des risques, l'audit interne et la revue de direction peuvent être unifiés dans un système de management intégré, réduisant la charge documentaire et le coût de maintenance.