Soyons clairs : quand un responsable qualité d’organisme d’inspection apprend que l’ISO 17020:2026 supprime l’obligation d’audit interne annuel, sa première réaction n’est pas le soulagement. C’est l’inquiétude. Parce qu’une obligation fixe, aussi contraignante soit-elle, avait un mérite énorme : elle était simple à prouver. Un audit par an, daté, archivé, et le dossier passait l’évaluation.
Ce qu’on ne te dit pas, c’est que la norme 2026 ne te demande pas de faire moins d’audit. Elle te demande de justifier toi-même la fréquence à laquelle tu le fais. La clause 8.6 reste, l’audit interne reste exigé, mais la cadence se fonde désormais sur une analyse de risques (clause 8.4). Autrement dit, la charge de la preuve bascule sur tes épaules. Et la vraie question, celle que personne ne traite vraiment, devient : jusqu’où puis-je espacer mes audits internes sans déclencher la méfiance de mon accréditeur ?
Cet article répond à cette question par le raisonnement, pas par une recette magique. On va décortiquer ce que la norme ISO 17020 2026 supprime exactement, pourquoi « plus d’obligation annuelle » ne veut surtout pas dire « moins de contrôle », et ce qu’un programme d’audit fondé sur les risques doit démontrer pour tenir face à un évaluateur.
Sommaire
1. Ce que la 2026 supprime exactement (clause 8.6 et lien 8.4)
2. Pourquoi « plus d’obligation annuelle » n’est pas « moins de contrôle »
3. Comment justifier sa fréquence par les risques sans se faire piéger
4. Ce que l’accréditeur attendra réellement
5. Questions fréquentes
Ce que la 2026 supprime exactement
Première mise au point, parce que la rumeur déforme tout. La norme ISO 17020 2026 ne fait disparaître ni l’audit interne, ni la revue de direction. Elle supprime une seule chose : l’obligation d’une fréquence annuelle fixe. C’est le sixième point de l’avant-propos officiel des changements, qui apporte « plus de flexibilité » sur les processus, les informations documentées et les responsabilités organisationnelles.
Concrètement, deux clauses portent ce basculement. La clause 8.6 audits internes maintient l’exigence : tu dois auditer ton système de management pour vérifier qu’il est conforme à la norme et réellement appliqué. Ce qui change, c’est que la cadence n’est plus prescrite à douze mois pour tout le monde. Elle se détermine désormais par renvoi à la clause 8.4 actions face aux risques et opportunités, une sous-clause entièrement nouvelle de l’édition 2026, qui demande d’identifier et de traiter les risques pesant sur l’impartialité et sur la fiabilité des inspections.
Le lien est là, et il est structurant : ta fréquence d’audit interne devient une conséquence de ton analyse de risques, pas une règle de calendrier. Tu ne coches plus une case « audit fait cette année ». Tu démontres que le rythme que tu as choisi découle d’une évaluation des risques de ton organisme. La même logique s’applique à la revue de direction de la clause 8.7 : fréquence modulée selon le profil de risque, plus de cadence imposée à l’identique.
Cette évolution n’est pas isolée. Elle traduit le virage de fond de la 2026, qui réduit certaines exigences prescriptives au profit d’exigences de performance, sous l’effet de la pensée fondée sur le risque. Pour le détail complet du processus d’audit dans ce nouveau cadre, voir notre guide dédié : naviguer dans le processus d’audit pour la conformité à l’ISO/IEC 17020.
Pourquoi « plus d’obligation annuelle » n’est pas « moins de contrôle »
Le piège ? Croire que supprimer la fréquence fixe allège la contrainte. C’est l’inverse. Une obligation annuelle, c’est une obligation de moyen : tu fais l’audit, tu prouves que tu l’as fait, point. Une fréquence fondée sur les risques, c’est une obligation de démonstration : tu dois prouver que le rythme choisi est le bon, et le justifier face à quelqu’un dont le métier est de douter.
La réalité, c’est que la charge ne disparaît pas, elle se déplace. Avant, l’effort était dans l’exécution de l’audit. Maintenant, une part de l’effort migre vers la justification de sa cadence. Tu remplaces une tâche simple à tenir par une tâche à défendre, et défendre une fréquence réduite demande plus de travail documentaire que d’auditer une fois par an sans se poser de question.
Supprimer l’obligation annuelle ne réduit pas la surveillance attendue. Cela transfère à l’organisme la responsabilité de prouver que sa surveillance reste suffisante.
Il y a une raison de fond à cette prudence. Historiquement, dans les démarches d’accréditation, l’audit interne défaillant ou purement formel figure parmi les fragilités les plus souvent reprochées à un système de management. C’est précisément le genre de point qui, lorsqu’il s’effondre, fragilise la confiance dans toute la chaîne d’inspection. Un accréditeur qui voit une fréquence d’audit s’allonger sans justification solide ne lit pas « organisme mature ». Il lit « signal de surveillance qui se relâche ». Et c’est exactement ce qu’il a appris à surveiller.
D’où le malentendu à corriger une bonne fois : la 2026 ne t’autorise pas à auditer moins. Elle t’autorise à auditer au rythme que tu peux défendre. Nuance capitale, et c’est tout l’enjeu de la section suivante.
Comment justifier sa fréquence par les risques sans se faire piéger
Voici la chair opérationnelle que la clause 8.4 ne donne qu’en théorie. Un programme d’audit interne fondé sur les risques qui tient en évaluation doit démontrer quatre choses, dans cet ordre.
1. Une analyse de risques qui précède la fréquence. L’erreur classique consiste à fixer un intervalle d’abord, puis à bricoler une justification ensuite. Inversion fatale. La clause 8.4 attend que l’identification des risques pesant sur l’impartialité et sur la fiabilité des inspections vienne en amont, et que la fréquence en découle. Le sens de lecture compte : analyse de risques, puis programme d’audit. Jamais l’inverse.
2. Une couverture complète sur le cycle. Espacer un audit ne veut pas dire ne plus couvrir une exigence. Un programme défendable garantit que l’ensemble des chapitres de la norme et l’ensemble des activités d’inspection sont audités sur une période définie, même si tout n’est pas vu chaque année. Ce qui se module, c’est la profondeur et la cadence par domaine, pas la suppression pure et simple d’un pan du système pendant des années.
3. Des critères de déclenchement explicites. Un bon programme prévoit ce qui rouvre un audit hors calendrier : un changement majeur de périmètre, l’arrivée d’une nouvelle méthode d’inspection, une plainte, une série de non-conformités, un changement organisationnel touchant l’impartialité. Ces déclencheurs montrent que ta fréquence n’est pas figée mais réactive aux signaux de risque. C’est exactement ce qui rassure un évaluateur.
4. Une preuve que les domaines à fort enjeu restent surveillés. Plus une activité porte un risque élevé pour l’impartialité ou pour la qualité de l’inspection, moins tu peux te permettre de l’espacer. Allonger l’intervalle sur les processus les plus sensibles est le moyen le plus sûr de déclencher la méfiance. La logique est asymétrique : on espace ce qui est stable et à faible enjeu, on resserre sur ce qui bouge et compte.
Le piège à éviter, en pratique, est l’audit interne devenu purement formel. Un programme qui s’allonge mais dont les rares audits ne remontent jamais aucun constat n’est pas un signe de maturité, c’est un signal d’alerte. Mieux vaut un audit ciblé qui mord qu’un audit espacé qui se contente de cocher des cases. Pour construire ce programme pas à pas, notre méthode autonome reste valable sous la 2026 : préparer son audit interne ISO/IEC 17020.
Ce que l’accréditeur attendra réellement
Mettons fin à un fantasme : ton accréditeur ne détient pas de seuil secret du type « au-delà de tant de mois, c’est non ». Ce qu’il évalue, ce n’est pas un chiffre, c’est la cohérence de ton raisonnement et sa confirmation par les faits. Trois attentes concrètes.
D’abord, une justification écrite et traçable. L’analyse de risques qui fonde la fréquence doit exister, être datée, être reliée à ton programme d’audit. Une fréquence réduite sans document amont qui l’explique, c’est le premier écart facile à lever pour un évaluateur, et le plus difficile à contester pour toi.
Ensuite, la preuve que la réalité confirme ton analyse. Si ton analyse de risques affirme un système stable justifiant un espacement, mais que tes résultats d’inspection, tes plaintes ou tes non-conformités racontent l’inverse, l’incohérence saute aux yeux. L’accréditeur croise toujours ce que tu affirmes avec ce que tes propres enregistrements montrent. Ta justification doit survivre à ce croisement.
Enfin, la capacité à réagir. Un évaluateur veut voir que ton programme s’est ajusté quand un signal l’exigeait, ou comprendre pourquoi aucun ajustement n’a été nécessaire. Un programme par les risques qui ne bouge jamais, malgré des changements réels, démontre justement qu’il n’est pas piloté par les risques.
Réponse directe à la question de départ, donc. Jusqu’où peux-tu espacer ? Aussi loin que ton analyse de risques le justifie de façon crédible, que ta couverture reste complète sur le cycle, et que tes résultats réels ne contredisent pas ton hypothèse de stabilité. Pas un mois de plus. La 2026 ne t’offre pas une liberté, elle t’offre une responsabilité à documenter. Cette bascule s’inscrit dans le calendrier général de transition : pour la replacer dans la feuille de route COFRAC, voir notre page dédiée à la transition ISO/IEC 17020:2026 et le calendrier COFRAC.
Questions fréquentes
L’ISO 17020:2026 supprime-t-elle vraiment l’obligation d’audit interne annuel ?
Elle supprime l’obligation d’une fréquence annuelle fixe, pas l’audit interne lui-même. La clause 8.6 maintient l’exigence d’audits internes mais la fréquence devient fondée sur les risques, par renvoi à la clause 8.4 actions face aux risques et opportunités. L’organisme doit donc auditer son système de management, mais c’est lui qui justifie le rythme par une analyse documentée.
Puis-je passer mon audit interne tous les deux ou trois ans avec l’ISO 17020:2026 ?
Rien dans la norme ne fixe ni n’interdit un intervalle précis. Un espacement au-delà de douze mois est défendable s’il repose sur une analyse de risques montrant un système stable, peu de changements et peu de constats. En pratique, la plupart des organismes conservent une couverture annuelle de l’ensemble des exigences sur un cycle, en modulant la profondeur plutôt qu’en supprimant des années entières de surveillance.
Quelle est la différence entre la clause 8.4 et la clause 8.6 dans l’ISO 17020:2026 ?
La clause 8.4 actions face aux risques et opportunités est une sous-clause nouvelle qui demande d’identifier et de traiter les risques pesant sur l’impartialité et sur la fiabilité des inspections. La clause 8.6 audits internes pilote la vérification interne du système de management. La fréquence de la 8.6 se justifie désormais par l’analyse de la 8.4 : les deux sont liées, on ne peut pas défendre un programme d’audit sans analyse de risques en amont.
Que va demander mon accréditeur pour valider ma fréquence d’audit interne ?
Une justification écrite et traçable : l’analyse de risques qui fonde la fréquence, le périmètre couvert sur le cycle, les critères de déclenchement d’un audit additionnel et la preuve que les domaines à fort enjeu restent surveillés. L’accréditeur ne cherche pas un chiffre magique d’audits par an, il cherche un raisonnement cohérent que les résultats réels confirment.
La revue de direction est-elle aussi concernée par la fin de la fréquence annuelle fixe ?
Oui. La même logique de flexibilité fondée sur les risques s’applique à la revue de direction de la clause 8.7. La fréquence n’est plus prescrite à l’identique pour tous, elle se module selon le profil de risque de l’organisme. Le principe est commun : l’obligation de moyen prescriptive devient une obligation de démonstration.
Espacer mes audits internes va-t-il réduire ma charge de travail ?
Pas nécessairement. La fréquence par les risques remplace une obligation simple à tenir par une obligation à justifier. Vous gagnez peut-être des jours d’audit, mais vous devez produire et maintenir l’analyse de risques, les critères de modulation et la preuve de surveillance continue. La charge se déplace de l’exécution vers la démonstration, elle ne disparaît pas.
À partir de quand l’ISO 17020:2026 s’applique-t-elle ?
La norme a été publiée le 27 mars 2026 et remplace l’édition 2012 le même jour. Une période de transition de trois ans court jusqu’au 27 mars 2029 : au-delà, les accréditations délivrées sous l’ISO 17020:2012 ne sont plus reconnues. Selon le modèle des accréditeurs, les évaluations doivent être conduites contre la version 2026 à partir du 1er janvier 2028.
Pour aller plus loin
Construire une analyse de risques solide, un programme d’audit défendable et toute la documentation que la 2026 attend prend du temps. Le kit documentaire ISO/IEC 17020 (135 documents) fournit les modèles de programme d’audit interne, d’analyse de risques et de revue de direction directement exploitables pour justifier votre fréquence face à l’accréditeur, sans repartir d’une page blanche.
Sources : ISO/IEC 17020:2026, avant-propos et clauses 8.4 (actions face aux risques et opportunités) et 8.6 (audits internes). UKAS, bulletin de transition ISO/IEC 17020:2026 (changements clause par clause et calendrier de transition) : www.ukas.com.
