ISO 30302:2022

INTERNATIONAL ISO
STANDARD 30302
Second edition
2022-05
Information and documentation —
Management systems for records —
Guidelines for implementation
Information et documentation — Systèmes de gestion des documents
d'activité — Lignes directrices de mise en oeuvre
Reference number
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the organization .1
4.1 Understanding the organization and its context . 1
4.1.1 General . 1
4.1.2 Records requirements . 3
4.2 Understanding the needs and expectations of interested parties . 5
4.3 Determining the scope of the MSR . 6
4.4 Management system for records . 6
5 Leadership . 7
5.1 Leadership and commitment . 7
5.2 Policy . 8
5.3 Organizational roles, responsibilities and authorities . 9
6 Planning .10
6.1 Actions to address risks and opportunities . 10
6.2 Records objectives and planning to achieve them .12
7 Support .13
7.1 Resources . 13
7.2 Competence . 14
7.3 Awareness . 15
7.4 Communication . 16
7.5 Documented information . 17
7.5.1 General . 17
7.5.2 Creating and updating . 19
7.5.3 Control of documented information . 19
8 Operation .20
8.1 Operational planning and control . 20
8.2 Determining records to be created . 20
8.3 Designing and implementing records processes, controls and systems . 21
9 Performance evaluation .23
9.1 Monitoring, measurement, analysis and evaluation . . 23
9.2 Internal audit . 24
9.3 Management review .25
10 Improvement .26
10.1 Nonconformity and corrective actions . 26
10.2 Continual improvement . 27
Annex A (informative) Example of implementation of ISO 30301:2019, Annex A
requirements .29
Bibliography .33
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
This second edition cancels and replaces the first edition (ISO 30302:2015), which has been technically
revised.
The main changes are as follows:
— alignment with the new edition of ISO 30301 (ISO 30301:2019);
— modification of Annex A.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document has been developed to assist users to apply the management system for records
requirements of ISO 30301. ISO 30301 specifies the requirements for a management system for records
(MSR) where an organization needs to demonstrate its ability to create and control information created,
received and maintained as evidence and as an asset by an organization, in pursuit of legal obligations
or in the course of conducting business.
The purpose of this document is to provide practical guidance on how to implement a management
system for records (MSR) within an organization in accordance with ISO 30301. This document covers
what is needed to establish and maintain an MSR. This document does not modify and/or reduce the
requirements specified in ISO 30301. An activity or documenting an activity is considered mandatory
only when it is required in ISO 30301.
The implementation of an MSR is generally executed as a project. An MSR can be implemented in
organizations with existing records systems or programmes to review and improve the management
of those systems or programmes or in organizations planning to implement a systematic and verifiable
approach to records creation and control for the first time. Guidance described in this document can
be used in both situations. An MSR can be an advisable option for addressing legal or technological
uncertainty in some cases.
It is assumed that organizations that decide to implement an MSR have made a preliminary assessment of
their existing records and records systems and have identified risks to be addressed and opportunities
for major improvements. For example, the decision to implement an MSR can be taken as a risk-
reduction measure for undertaking a major information technology platform change or outsourcing
business processes identified as high risk. Alternatively, the MSR can provide a standardized
management framework for major improvements such as integrating records processes with specific
business processes or improving control and management of records of online transactions or business
use of social media.
The use of this document is necessarily flexible. It depends on the size, nature and complexity of the
organization and the level of maturity of the MSR, if one is already in place. Each organization's context
and complexity are unique and its specific contextual requirements will drive the MSR implementation.
Smaller organizations will find that the activities described in this document can be simplified. Large or
complex organizations can find that a layered management system is needed to implement and manage
the activities in this document effectively.
Guidance in this document follows the same structure as ISO 30301, describing the activities to be
undertaken to meet the requirements of ISO 30301 and how to document those activities.
Clause 4 deals with how to perform the context analysis needed to implement an MSR. From this
analysis, the scope of the MSR is defined and the relationship between implementing an MSR and other
management systems is identified.
Clause 5 explains leadership and how to gain the commitment of top management. The commitment is
expressed in a records policy and the assignment of responsibilities and authorities.
Clause 6 deals with planning the implementation of the MSR and adopting records objectives, which is
informed by high-level risk analysis, the contextual analysis (see Clause 4), and the resources available
(see Clause 7).
Clause 7 outlines the support needed for the MSR, such as resources, competence, awareness,
communication, and documented information.
Clause 8 deals with defining or reviewing and planning the operational level. It includes the analysis
to determine records to be created (see 8.2) and the design and implementation of records processes,
controls and systems. It draws on the contextual requirements and scope (see Clause 4) and is based on
the records policy (see 5.2), the risk analysis (see 6.1) and resources needed (see 7.1) to meet the records
objectives (see 6.2) in the planned implementation. Clause 8 explains how to implement requirements
in ISO 30301:2019, Annex A.
v
Clauses 9 and 10 deal with performance evaluation and improvement against planning, objectives and
requirements defined in ISO 30301.
For each of the Clauses 4 to 10 of ISO 30301:2019, this document provides the following:
a) the activities necessary to meet the requirements of ISO 30301 – activities can be done sequentially,
while some will need to be done simultaneously;
b) inputs to the activities – these are the starting points and can be outputs from previous activities;
c) outputs of the activities – these are the results or deliverables, with special mention to mandatory
documented information, on completion of the activities.
The concepts of how to design the operational records processes are based on the principles established
by ISO 15489-1. Other documents developed by ISO/TC 46/SC 11 are the principal tools for designing,
implementing, monitoring and improving records processes, controls and systems, and can be used in
conjunction with this document for implementing the detailed operational elements of the MSR.
Organizations that have already implemented ISO 15489-1 can use this document to develop an
organizational infrastructure for managing records under the systematic and verifiable approach of
the MSR.
vi
INTERNATIONAL STANDARD ISO 30302:2022(E)
Information and documentation — Management systems
for records — Guidelines for implementation
1 Scope
This document gives guidance for the implementation of an MSR in accordance with ISO 30301.
This document is intended to be used in conjunction with ISO 30301. It describes the activities to be
undertaken when designing, implementing and monitoring an MSR.
This document is intended to be used by any organization, or across organizations, implementing an
MSR. It is applicable to all types of organization (e.g. commercial enterprises, government agencies, non-
profit organizations) of all sizes. This document is intended to be used by those responsible for leading
the implementation and maintenance of the MSR. It can also help top management in making decisions
on the establishment, scope and implementation of management systems in their organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 30300, Information and documentation — Records management — Core concepts and vocabulary
ISO 30301, Information and documentation — Management systems for records — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300 and ISO 30301 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Context of the organization
4.1 Understanding the organization and its context
4.1.1 General
The context of the organization should determine and drive the implementation and improvement of
an MSR. The requirements of this clause are intended to ensure the organization has considered its
context and needs as part of the implementation of an MSR. The first part of this analysis is to determine
internal and external issues relevant to the purpose of the MSR and how they affect its ability to achieve
the intended outcome.
The contextual analysis can be used to define the scope of the MSR (see 4.3). However, if the top
management determines the scope of the MSR as the starting point, before identifying contextual
issues, then the extent of the contextual analysis is defined by the scope.
Contextual information should be from a reliable source that is accurate, up-to-date and complete.
Regular review of the sources of this information ensures the accuracy and reliability of the contextual
analysis.
Examples of important issues in identifying how the external context affects the MSR are:
a) how the complexity of the organization’s structure, business and legislative environment will affect
records policy, processes, systems and controls;
b) how a competitive market affects the need to demonstrate efficient processes.
Examples of internal issues effecting the MSR are:
1) how laws, regulations, policies, standards and codes affect the design of records processes, systems
and controls;
2) how the skills and competencies within the organization can affect the need for training or external
assistance;
3) how the organizational culture can affect compliance with the requirements of the MSR;
4) how the information technology infrastructure and information architecture can affect the
availability of records systems or records;
5) how rules already implemented can affect the design of the MSR; and
6) how contractual relationships affect records retention decisions or information access decisions.
Sources of information about the organization’s external context can include the following:
— laws, regulations, standards, codes of practice, rules of industry regulators, corporate governance
rules, and directives;
— the litigation profile of the organization and regulatory action affecting the organization;
— economic, financial or environmental analyses from government or industry analysts; and
— media reports.
Sources of information about the organization’s internal context can include the following:
— key corporate documents such as policies, strategies, business plans, annual reports;
— audit reports;
— organizational structure, definition of roles, responsibilities and delegations;
— internal standards, guidelines, codes;
— business process maps or descriptions;
— skills assessments;
— information systems inventories;
— information or data models;
— risk analyses;
— information security framework;
— contextual analyses from implementation of other management systems standards;
— project management methodologies;
— procurement and contracting models; and
— an understanding of organizational culture (which may not be documented).
Depending on the organization, the identification of internal and external issues can have been
performed for other purposes, including the implementation of other management system standards.
In such cases, a new analysis will possibly not be needed, and an adaptation will suffice.
The contextual analysis is a continual process. It informs the establishment and systematic evaluation
of the MSR (see Clause 9) and supports the cycle of continuous improvement (see Clause 10).
Output
There is no specific requirement to document the results of the analysis, but the organization can
decide to include this in a:
— list of internal and external issues affecting the MSR;
— chapter in a manual or project plan for implementing the MSR;
— chapter in a manual of an integrated management system (including more than one standard);
— formal report on the analysis of the organization’s internal and external context and how it affects
and is affected by the MSR; and
— series of documents about the context of the organization.
4.1.2 Records requirements
Based on the analysis described in 4.1.1 as the starting point, the business needs for records and the
requirements for their creation, capture and management are assessed in relation to the business
functions. ISO 30301 requires documenting both business needs and records requirements.
NOTE This MSS approach for context analysis and identification of requirements is compatible with the
analysis process (appraisal) proposed by ISO 15489-1 and ISO/TR 21946, which also includes elements of
planning (see Clause 6) and identification of the needs for records (see 8.2).
The records requirements affecting the business operation can be business, legal, regulatory or other
requirements.
Identifying business requirements should take the following into account:
a) the nature of the activities of the organization (e.g. mining, finance, public services, manufacturing,
pharmaceutical, personal services or community services);
b) the particular form or ownership of the organization (e.g. a trust, company, non-profit or
government organization);
c) the particular sector to which the organization belongs (i.e. public or private sector, non-profit);
d) the jurisdiction(s) in which the organization operates;
e) planning of future accomplishments and development of business; and
f) risk management and continuity planning.
Examples of business needs for records are as follows:
— requirements to create records to execute or complete specific processes (including web-based
transactions, as well as, but not restricted to, business transaction in emerging technologies such as
social media, mobile computing and cloud computing);
— requirements to create records for financial/operational reporting and control;
— requirements to create records for internal and external reporting;
— requirements to create records to control and monitor outsourced services or processes;
— requirements to create records for analysis and planning;
— requirements to create records to provide information about the organization’s activities to specific
stakeholders, such as shareholders or clients; and
— requirements to create records that explain the conclusions and decisions made automatically by
artificial intelligence, machine learning, big data or similar algorithms.
Business requirements should be identified from the performance of current business processes and
also from the perspective of future planning and development. Special attention is needed when the
organization is implementing:
— automated processes,
— new and emerging technologies [e.g. cloud, mobile, artificial intelligence (AI), machine learning, big
data, internet of things (IoT), blockchain and distributed ledger technologies (DLT), etc.],
— freedom of information (FOI) and government transparency programs, and
— personal identifiable information (PII) protection measures.
In these cases, requirements can change and need to be discussed with the people responsible for the
development and implementation of the proposed new processes.
Examples of the business requirements are as follows:
— requirements to control and access records required in different locations and over specified
periods of time;
— requirements as to what evidence is needed of access to, and use of records (e.g. personal data); and
— requirements to share and re-use information contained in records.
Determining all of the mandatory legal and regulatory requirements applicable to the organization
includes reviewing:
1) general statute and case law;
2) sector-related laws and regulations;
3) privacy and other records and data management legislation;
4) regulation of information security; and
5) legislation for electronic commerce.
Other requirements can come from voluntary standards, codes of best practice, conduct and ethics, and
other sources For example, the documented information requirements of other management systems
standards.
Output
Documentation of the identification of the business needs of records, and the identification of records
requirements is mandatory in order to conform with ISO 30301. Requirements can be documented all
together or in separate documents by type of requirement. Examples of the kind of documentation are
as follows:
— a list of requirements identified by type (e.g. business, legislative);
— a chapter in a manual or project plan for implementing the MSR;
— a formal report on identification of requirements for the MSR;
— a list of all applicable laws and regulations related to the creation and control of records; and
— a set of legal precedents on particular subject matters relevant to the organization.
4.2 Understanding the needs and expectations of interested parties
The results of the analysis described in 4.1 should help to determine the interested parties that are
relevant to the MSR as well as their requirements.
Examples of interested parties are as follows:
— employees;
— customers;
— investors;
— suppliers;
— regulators;
— competitors;
— trade and professional associations;
— academia and researchers;
— communities; and
— nongovernmental organizations.
Each type of interested parties can have different needs and expectations in relation with records.
ISO 30301 provides some general examples which include good governance, transparency, protection
of the legal rights and entitlements, availability of records for research, and the records documenting
significant historical and cultural events. Each organization should make its own analysis and
determine if some or all of them apply.
When addressing the needs and expectations of interested parties, the organization should take into
account:
1) how external interested parties' values or perceptions affect records retention and disposition
decisions or information access decisions;
2) how relationships with internal interested parties, values or perceptions affect the way records
are managed; and
3) how records are made available to interested parties.
Assistance in identifying needs and expectations of interested parties can be obtained from different
sources, for example:
— legal experts with knowledge of civil and common law and the interaction between them (this is
particularly important where organizations operate across multiple jurisdictions);
— employees with wide understanding of their business area;
— customer panels;
— records, information technology and systems professionals;
— auditors, risk and other compliance professionals; and
— records/archives institutions or regulatory bodies.
Output
There is no specific requirement to document the results of the determination of interested parties and
their requirements, but the organization can decide to include this in:
— a formal study identifying interested parties;
— results of an enquiry on relevant needs and expectations of these interested parties; or
— a summary of identified needs and expectations.
4.3 Determining the scope of the MSR
The scope of the MSR is a decision made by top management and clearly outlines the boundaries,
applicability, inclusions, exclusions, roles and relationships of the component parts of the MSR.
The scope can be defined as a result of the contextual analysis, taking into account identified issues
(see 4.1.1), records requirements (see 4.1.2) and needs and expectations of interested parties (see 4.2)
but can also be stated by top management from the starting point before identifying issues, records
requirements and needs and expectations of interested parties.
The scope includes the following:
a) identification of what parts or functions of the organization are included. It can be the whole
organization, an area or department, a specific function or work process or a group of them;
b) identification of relationships between organizations when MSR is established for specific functions
across organizations and the roles of each of these organizations;
c) description of how the MSR integrates with the overall management system and with other specific
management system standards implemented by the organization (e.g. ISO 9001, ISO 14001 and
ISO/IEC 27001); and
d) identification of any processes that affect the MSR that are outsourced and the controls for the
entities responsible for the outsourced process.
Output
Documentation of the scope is mandatory in order to conform with ISO 30301. This can be a single
document or be included in other MSR documents such as the records policy (see 5.2) or in manuals or
project plans to implement the MSR.
4.4 Management system for records
Implementation of an MSR includes establishing, maintaining and continually improving the system
following the requirements of ISO 30301. The overarching requirements are specified and related to
the set of processes that, together, form an effective management system for records in conformance
with ISO 30301.
The processes in ISO 30301 include:
— analysis and strategic planning (see Clauses 4 and 6);
— operational planning and record processes, controls and systems (see Clause 8); and
— performance evaluation processes externally provided processes, where applicable (see Clauses 9
and 10).
Output
There is no specific requirement to document the requirements in this clause because the requirements
for documentation of the management system are explicitly identified in the other clauses of this
document.
The main output of this clause is the management system for records fulfilling the requirements of
ISO 30301.
5 Leadership
5.1 Leadership and commitment
The leadership and commitment of top management to implementing the MSR is stated as explicitly and
at the same level of detail as for any other management systems implemented by the organization and
as for its other assets, e.g. human resources, finances and infrastructure.
Leadership and commitment of top management includes:
— ensuring that the records policy and records objectives are established and are compatible with the
strategic direction of the organization;
— ensuring the integration of the MSR requirements into the organization’s business processes;
— ensuring that the resources needed for the MSR are available;
— communicating the importance of effective records management and of conforming to the MSR
requirements;
— ensuring that the MSR achieves its intended outcome(s);
— directing and supporting persons to contribute to the effectiveness of the MSR;
— promoting continual improvement; and
— supporting other relevant management roles to demonstrate their leadership as it applies to their
areas of responsibility.
The requirement to demonstrate leadership and commitment of top management does not require a
specific activity to be performed but is essential for the success of the MSR. Leadership and commitment
is also implicit in other requirements of ISO 30301 relating to resources (see 7.1), communication
(see 7.4) and management review (see 9.3).
Output
There is no specific requirement to document the leadership and commitment of top management to the
MSR, except in the records policy (see 5.2), which can be considered as evidence of that commitment.
Commitment can also be demonstrated by actions or statements but depending on the nature and
complexity of the organization, evidence of leadership and commitment can be documented in:
— minutes of boards of directors or boards of management;
— statements in strategic and business plans;
— management resolutions and directives;
— budgets, business cases; and
— communication plans.
5.2 Policy
The strategic direction of the organization, as defined by top management, is the basis for the records
policy. The records policy is established by top management as the driver for implementing and
improving an organization's MSR and providing the benchmark for assessing the performance of the
MSR.
Directions from top management need to be stated in a formal document. The document is not normally
drafted by top management but requires top management’s formal approval, independent of the
authors. Depending on the organization, top management can be identified by different positions but
the records policy should be endorsed by the person in the position recognized as the highest.
The records policy contains the overall direction on how records creation and control meet the
organizational goals and provides the principles for action. It can be integrated into an overarching
management policy where more than one management systems standard are implemented. In this case,
the records policy does not require separate management endorsement.
Inputs to the records policy include the following:
a) analysis of the organizational context and needs and expectations of external parties (see 4.1 to
4.2);
b) organizational goals and strategies;
c) influence of, or relationship of the policy to other organizational policies;
d) scope of the MSR (see 4.3); and
e) organizational structure and delegations.
The records policy is a statement of intent and can include:
1) purpose;
2) high-level directions for the creation and control of records;
3) high-level responsibilities or commitment for the creation and control of records;
4) indication of how the policy is to be implemented; and
5) definitions.
The records policy needs to include a commitment of the top management to:
— satisfy identified requirements of the organization (legal, business and other) and those of 30301;
and
— continually improve the MSR.
The records policy should be drafted in a form that all people affected by the MSR can readily
understand. The records policy should be a unique and short document and serve as a declaration from
top management. It does not include a description of objectives, actions or records processes, controls
and systems, which should be documented in other types of documents. In the implementation of
records processes, controls and systems (see Clause 8), some operational decision documents are also
called policies in some organizations.
The policy needs to be communicated within the organization and to interested parties. To communicate
records policy, the organization can use the methods in 7.4.
Output
Documentation of the policy as a formal document is mandatory in order to conform with ISO 30301.
This formal document should be controlled and distributed throughout the organization. The records
policy is the overarching document for all other documents developed for the implementation of an
MSR.
5.3 Organizational roles, responsibilities and authorities
MSR responsibilities and authorities are defined and assigned to appropriate roles by top management.
The main responsibility and authority to be assigned to a leadership role are to:
— ensure that the implementation of the MSR conforms with the requirements of ISO 30301; and
— report on the performance of the MSR to top management.
In some large organizations, there is a specific business unit for the implementation of management
systems. In case of integrated management system implementation, a common leadership for all
management standards can possibly facilitate the implementation.
Responsibilities can be assigned to different roles in the organization. The following guidelines can be
used for the assignment of responsibilities:
— top management has the general responsibility of promoting the implementation and maintenance
of the MSR, ensuring compliance with the requirements and promoting the awareness of the
organization;
— programme managers have the responsibility for ensuring that the personnel of their units create
and manage the documents in accordance with records policy;
— records professionals have the responsibility for designing records processes and controls,
the implementation and maintenance of records systems, and the training of people on records
processes, controls and systems;
— information technology professionals have the responsibility for the implementation and
maintenance of records systems, including technological infrastructure, and all aspects related
to technological aspects, particularly when records are exclusively created and managed in an
electronic environment;
— systems administrators have the responsibility for ensuring that records systems are reliable,
secure, compliant, comprehensive and manage records in a systematic manner, including during
migration and changes; and
— all others who create and control records as part of their work have the responsibility to apply the
records policy, procedures and instructions.
As for other management systems responsibilities for performance evaluation (including auditing)
should be assigned (see Clause 9).
In a digital environment for records management the model for the roles and responsibilities should be
aligned with roles normally used for information systems such as systems owners, systems users and
systems designers. In this case, a multidisciplinary approach is needed. For example, when designing a
records system, the record professionals, IT professionals and the expected users of a records system
should co-operate.
If the organization lacks personnel dedicated to any of these roles, MSR responsibilities should be
assigned to others capable to fulfil these roles.
For the MSR, a specific operational representative is assigned for directing the activities required for
the operational implementation, reporting to top management on the effectiveness of the MSR, and
establishing liaisons with external parties.
The operational representative should have specific records competencies as defined in 7.2.
Tasks to be directed by the operational representative are based mainly on those identified in
ISO 30301:2019, Clause 8 and Annex A.
An operational representative can coordinate the activities of one or more MSR teams to implement
and maintain the MSR at the operational level and undertake performance improvements.
The operational representative should provide reports, with supporting documentation, to top
management on the implementation and effectiveness of the MSR and recommendations for process-
related improvements. Reports can be delivered at regular scheduled intervals, or stages, according to
the organization’s requirements. Reports are records and should be managed according to the records
processes and controls in ISO 30301:2019, Annex A.
Liaison with external parties on MSR matters include, but are not limited to:
a) seeking advice from legal and regulatory experts;
b) complying with the requirements or directions of audit and quality control specialists;
c) directing and negotiating with suppliers of products or services (e.g. software suppliers,
implementation consultants); and
d) acquiring additional skills and assistance from human resources or information technology
contractors.
The roles of leadership and operational representative can be performed by the same person or group
depending on the complexity and size of the organization and the scope of the MSR.
Responsibilities and authorities need to be communicated at all levels of the organization so that it is
clear who is responsible for taking the necessary action for the design, implementation and maintenance
of the MSR.
Output
There is no specific requirement to document the assignment of responsibilities and authorities
when implementing an MSR, but the organization would normally have a way to document them. The
following are examples of ways to document:
— high-level responsibilities reflected in the records policy (see 5.2);
— documentation of the appointment of the leadership and the operational representative;
— job descriptions or similar statements;
— formal delegations of responsibilities; and
— a chapter in a manual or project plan relating to responsibilities for implementing an MSR.
6 Planning
6.1 Actions to address risks and opportunities
This clause focuses on planning around the strategic risks associated with ensuring the MSR achieves
its intended outcome. Successful implementation of an MSR requires risks to be identified, analysed
and evaluated as part of planning for the MSR implementation. The analysis of the context (see 4.1)
and understanding the needs and expectations of interested parties (see 4.2) should be completed in
conjunction with a risk assessment. This is used to define the records objectives (see 6.2) and identify
what actions are needed to achieve those objectives.
Establishing an MSR assists organizations to manage the effect of uncertai
...

NORME ISO
INTERNATIONALE 30302
Deuxième édition
2022-05
Information et documentation —
Systèmes de gestion des documents
d'activité — Lignes directrices de mise
en oeuvre
Information and documentation — Management systems for records
— Guidelines for implementation
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.1.1 Généralités . 1
4.1.2 Exigences relatives aux documents d'activité . 3
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 6
4.4 Système de gestion des documents d'activité . . 7
5 Leadership . 7
5.1 Leadership et engagement . 7
5.2 Politique . 8
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 9
6 Planification.11
6.1 Actions vis-à-vis des risques et opportunités. 11
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre .13
7 Support .15
7.1 Ressources . 15
7.2 Compétences . . . 15
7.3 Sensibilisation . 17
7.4 Communication . 17
7.5 Informations documentées . 18
7.5.1 Généralités . 18
7.5.2 Création et mise à jour . 21
7.5.3 Maîtrise des informations documentées . 21
8 Exploitation .22
8.1 Planification et contrôle opérationnels . 22
8.2 Détermination des documents d'activité devant être créés .22
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires .23
9 Évaluation des performances .25
9.1 Surveillance, mesure, analyse et évaluation . 25
9.2 Audit interne . . 27
9.3 Revue de direction . 27
10 Amélioration .29
10.1 Non-conformité et actions correctives .29
10.2 Amélioration continue . 30
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A .31
Bibliographie .36
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation,
sous-comité SC 11, Archives/Gestion des documents d'activité.
Cette deuxième édition annule et remplace la première édition (ISO 30302:2015), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes :
— harmonisation par rapport à la nouvelle édition de l'ISO 30301 (ISO 30301:2019) ;
— modification de l'Annexe A.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Le présent document a été élaboré pour aider les utilisateurs à appliquer les exigences d'un système
de gestion des documents d'activité, telles que décrites dans l'ISO 30301. L'ISO 30301 spécifie les
exigences relatives à un système de gestion des documents d'activité (SGDA), lorsqu'un organisme doit
démontrer son aptitude à créer et à contrôler les informations créées, reçues et conservées comme
preuves et comme actifs par un organisme, dans le cadre de ses obligations légales ou de la conduite de
ses activités.
Le présent document a pour objet de fournir des recommandations pratiques sur la manière de mettre
en œuvre, au sein d'un organisme, un système de gestion des documents d'activité (SGDA) conforme
aux exigences de l'ISO 30301. Le présent document traite des aspects nécessaires à l'élaboration et à
la maintenance d'un SGDA. Le présent document ne modifie pas et/ou ne restreint pas les exigences
spécifiées dans l'ISO 30301. Une activité ou la documentation d'une activité n'est considérée comme
obligatoire que lorsqu'elle est requise par l'ISO 30301.
La mise en œuvre d'un SGDA est généralement réalisée sous forme de projet. Un SGDA peut être mis
en œuvre dans des organismes possédant déjà des systèmes ou des programmes documentaires pour
revoir et améliorer la gestion de ces systèmes ou de ces programmes, ou bien dans des organismes qui
entendent mettre en œuvre pour la première fois une méthode systématique et vérifiable de création et
de contrôle de documents d'activité. Les recommandations décrites dans le présent document peuvent
être utilisées dans ces deux cas. Dans certains cas, un SGDA peut être une option recommandée pour
faire face à l'incertitude juridique ou technologique.
Il est tenu pour acquis que les organismes qui décident de mettre en œuvre un SGDA ont procédé à une
évaluation préliminaire de leurs documents d'activité et de leurs systèmes documentaires existants et
qu'ils ont identifié les risques devant être traités et les opportunités d'améliorations significatives. Par
exemple, la décision de mettre en œuvre un SGDA peut constituer une mesure de réduction d'un risque
engendré par la modification significative d'une plateforme informatique ou par l'externalisation de
processus opérationnels identifiés comme présentant un risque élevé. Le SGDA peut également fournir
un cadre de gestion normalisé pour la mise en œuvre d'améliorations significatives comme l'intégration
des processus documentaires à des processus opérationnels spécifiques ou l'amélioration du contrôle
et de la gestion des documents d'activité liés aux transactions en ligne ou à l'utilisation des médias
sociaux.
L'utilisation du présent document laisse nécessairement place à une certaine souplesse. Elle est
fonction de la taille, de la nature et de la complexité de l'organisme, ainsi que du degré de maturité du
SGDA éventuellement déjà en place. Le contexte et la complexité de chaque organisme sont uniques et
les exigences contextuelles spécifiques de l'organisme conditionneront la mise en œuvre du SGDA. Les
organismes de petite taille s'apercevront que les activités décrites dans le présent document peuvent
être simplifiées. Les organismes de grande taille ou complexes peuvent être amenés à constater qu'un
système de gestion à couches multiples s'avère nécessaire pour mettre en œuvre et gérer efficacement
les activités prévues dans le présent document.
Les recommandations du présent document suivent la même structure que celle de l'ISO 30301 pour
décrire les activités à entreprendre en vue de répondre aux exigences de l'ISO 30301 et la façon de
documenter ces activités.
L'Article 4 explique comment réaliser l'analyse du contexte nécessaire à toute mise en œuvre d'un SGDA.
Cette analyse permet de définir le domaine d'application du SGDA et de déterminer les relations entre la
mise en œuvre d'un SGDA et les autres systèmes de management.
L'Article 5 explique le leadership et comment obtenir l'engagement de la direction. Cet engagement
s'exprime par une politique concernant les documents d'activité et par l'attribution de responsabilités
et d'autorités.
L'Article 6 traite de la planification de la mise en œuvre du SGDA et de l'adoption des objectifs relatifs
aux documents d'activité, qui prend en compte l'analyse du risque de niveau élevé, l'analyse contextuelle
(voir l'Article 4) et les ressources disponibles (voir l'Article 7).
v
L'Article 7 décrit le support dont doit disposer un SGDA, par exemple, les ressources, les compétences, la
sensibilisation, la communication et les informations documentées.
L'Article 8 traite de la définition ou de la revue et de la planification du niveau opérationnel. Il comprend
l'analyse pour déterminer les documents à créer (voir 8.2) et la conception et la mise en œuvre des
processus, contrôles et systèmes documentaires. Il respecte les exigences contextuelles et le domaine
d'application (voir l'Article 4) et repose sur la politique concernant les documents d'activité (voir 5.2),
l'analyse du risque (voir 6.1) et les ressources nécessaires (voir 7.1) pour répondre aux objectifs associés
aux documents d'activité (voir 6.2) dans le cadre de la mise en œuvre planifiée. L'Article 8 explique
comment mettre en œuvre les exigences de l'ISO 30301:2019, Annexe A.
Les Articles 9 et 10 traitent de l'évaluation et de l'amélioration de la performance par rapport à la
planification, aux objectifs et aux exigences définis dans l'ISO 30301.
Pour chacun des Articles 4 à 10 de l'ISO 30301:2019, le présent document décrit les éléments suivants :
a) les activités nécessaires pour répondre aux exigences de l'ISO 30301 — ces activités peuvent être
réalisées l'une après l'autre, tandis que certaines nécessiteront d'être menées simultanément ;
b) les éléments d'entrée des activités — ils constituent les points de départ et peuvent correspondre
aux éléments de sortie d'activités antérieures ;
c) les éléments de sortie des activités — il s'agit des résultats ou des livrables obtenus une fois
les activités terminées, avec une attention particulière pour les informations documentées
obligatoires.
Les éléments de conception des processus opérationnels liés aux documents d'activité reposent sur les
principes établis par l'ISO 15489-1. Les autres documents rédigés par l'ISO/TC 46/SC 11 constituent
les principaux outils de conception, de mise en œuvre, de surveillance et d'amélioration des processus,
des contrôles et des systèmes documentaires, et peuvent être utilisés conjointement avec le présent
document pour la mise en œuvre des éléments opérationnels précis du SGDA.
Les organismes ayant déjà mis en œuvre l'ISO 15489-1 peuvent utiliser le présent document pour
élaborer une infrastructure organisationnelle de gestion des documents d'activité dans le cadre de la
méthode systématique et vérifiable du SGDA.
vi
NORME INTERNATIONALE ISO 30302:2022(F)
Information et documentation — Systèmes de gestion
des documents d'activité — Lignes directrices de mise en
oeuvre
1 Domaine d'application
Le présent document fournit des recommandations pour la mise en œuvre d'un Système de Gestion des
Documents d'Activité (SGDA) conforme à l'ISO 30301. Le présent document est destiné à être utilisé
conjointement avec l'ISO 30301. Il décrit les activités à entreprendre pour concevoir, mettre en œuvre
et contrôler un SGDA.
Le présent document est destiné à être utilisé par un organisme ou plusieurs organismes mettant en
œuvre un SGDA. Il est applicable à tous les types d'organismes (par exemple, entreprises commerciales,
organismes publics, organismes à but non lucratif) de toutes tailles. Le présent document est destiné
à être utilisé par les personnes responsables de la mise en œuvre et de la maintenance des SGDA de
l'organisme. Il aide également la direction à prendre des décisions en matière d'instauration, de
définition du domaine d'application et de mise en œuvre des systèmes de gestion de l'organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
ISO 30301, Information et documentation — Systèmes de gestion des documents d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 30300 et l'ISO 30301 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia : disponible à l'adresse https:// www .electropedia .org/
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
4.1.1 Généralités
Il convient que le contexte de l'organisme détermine et conditionne la mise en œuvre et l'amélioration
d'un SGDA. Les exigences du présent article visent à vérifier que l'organisme prend en compte le
contexte et les besoins qui lui sont propres dans le cadre de la mise en œuvre d'un SGDA. La première
partie de cette analyse consiste à déterminer les enjeux internes et externes pertinents pour l'objectif
du SGDA et la manière dont ils affectent sa capacité à atteindre le résultat attendu.
L'analyse contextuelle peut être utilisée pour définir le domaine d'application du SGDA (voir 4.3).
Toutefois, si la direction détermine le champ d'application du SGDA comme point de départ, avant
d'identifier les enjeux contextuels, l'étendue de l'analyse contextuelle est alors définie par le domaine
d'application.
Il convient que les informations contextuelles proviennent d'une source fiable, qu'elles soient exactes,
à jour et exhaustives. Une revue régulière des sources de ces informations garantit l'exactitude et la
fiabilité de l'analyse contextuelle.
Voici des exemples de points importants pour identifier comment le contexte externe affecte le SGDA, à
savoir :
a) la façon dont la complexité de la structure de l'organisme, de son environnement opérationnel et
législatif peut influer sur la politique, les processus, les systèmes et les contrôles ;
b) la façon dont un marché concurrentiel influe sur la nécessité de démontrer l'efficacité de ses
processus.
Voici des exemples d'enjeux internes affectant le SGDA :
1) la façon dont les lois, les règlements, les politiques, les normes et les codes influent sur la conception
des processus, des systèmes et des contrôles documentaires ;
2) la façon dont les qualifications et les compétences au sein de l'organisme peuvent influer sur les
besoins en formation ou en assistance externe ;
3) la façon dont la culture organisationnelle peut influer sur la conformité aux exigences du SGDA ;
4) la façon dont l'infrastructure informatique et l'architecture de l'information peuvent influer sur la
disponibilité des systèmes documentaires ou des documents d'activité ;
5) la façon dont les règles déjà mises en œuvre peuvent affecter la conception du SGDA ; et
6) la façon dont les relations contractuelles influent sur les décisions de conservation des documents
d'activité ou sur les décisions d'accès à l'information.
Les sources d'information sur le contexte externe de l'organisme peuvent inclure les sources suivantes :
— les lois, les réglementations, les normes, les codes de bonnes pratiques, les règles des organismes de
régulation, les règles en matière de gouvernance d'entreprise et les directives ;
— les types de contentieux de l'organisme et les mesures réglementaires ayant une incidence sur
l'organisme ;
— les analyses économiques, financières ou environnementales des analystes gouvernementaux ou
industriels ; et
— les rapports de médias.
Les sources d'information sur le contexte interne de l'organisme peuvent inclure les sources suivantes :
— les documents clés de l'entreprise, tels que les politiques, les stratégies, les plans d'activité, les
rapports annuels ;
— les rapports d'audit ;
— la structure organisationnelle, la définition des rôles, les responsabilités et les délégations ;
— les normes, les lignes directrices, les codes internes ;
— la cartographie ou la description des processus opérationnels ;
— les évaluations des qualifications ;
— les inventaires des systèmes documentaires ;
— les modèles d'information ou de données ;
— les analyses des risques ;
— le cadre pour la sécurité des informations ;
— les analyses contextuelles provenant de la mise en œuvre d'autres normes de systèmes de
management ;
— les méthodologies de gestion de projet ;
— les modèles d'approvisionnement et de sous-traitance ; et
— une connaissance de la culture organisationnelle (qui peut ne pas être documentée).
En fonction de l'organisme, l'identification des enjeux internes et externes peut avoir été réalisée à
d'autres fins, notamment pour la mise en œuvre d'autres normes de systèmes de management. Dans ces
cas-là, une nouvelle analyse ne sera peut-être pas nécessaire et une adaptation suffira.
L'analyse contextuelle est un processus continu. Elle influence l'établissement et l'évaluation
systématique du SGDA (voir l'Article 9) et étaye le cycle d'amélioration continue (voir l'Article 10).
Éléments de sortie
Aucune exigence spécifique n'impose de documenter les résultats de l'analyse, mais l'organisme peut
décider de les inclure dans :
— une liste des enjeux internes et externes affectant le SGDA ;
— un chapitre d'un manuel ou d'un plan de projet consacré à la mise en œuvre du SGDA ;
— un chapitre d'un manuel d'un système de gestion intégré (comprenant plusieurs normes) ;
— un rapport formel sur l'analyse du contexte interne et externe de l'organisme et sur la façon dont il
influe sur le SGDA et dont il est influencé par celui-ci ; et
— un ensemble de documents sur le contexte de l'organisme.
4.1.2 Exigences relatives aux documents d'activité
À partir de l'analyse décrite en 4.1.1 comme point de départ, les besoins opérationnels relatifs aux
documents d'activité et les exigences relatives à leur création, leur capture et leur gestion sont évalués
en tenant compte des fonctions opérationnelles. L'ISO 30301 exige de documenter à la fois les besoins
opérationnels et les exigences relatives aux documents d'activité.
NOTE L'approche des NSM (normes de systèmes de management) en matière d'analyse contextuelle et
d'identification des exigences est compatible avec le processus d'analyse (évaluation) proposé par l'ISO 15489-1
et l'ISO/TR 21946, qui intègre également des éléments de planification (voir l'Article 6) et d'identification de
besoins en documents d'activité (voir 8.2).
Les exigences relatives aux documents d'activité qui influent sur les activités opérationnelles peuvent
être d'ordre commercial, juridique, réglementaire ou autre.
Il convient que l'identification des exigences opérationnelles prenne en compte les éléments suivants :
a) la nature des activités de l'organisme (par exemple, exploitation minière, finance, services collectifs,
fabrication, industrie pharmaceutique, services à la personne ou services d'intérêt général) ;
b) la forme particulière de l'organisme ou sa propriété (par exemple, société fiduciaire, entreprise ou
organisme sans but lucratif ou gouvernemental) ;
c) le secteur particulier dont relève l'organisme (c'est-à-dire secteur public ou privé, à but non
lucratif) ;
d) la ou les juridictions dans le cadre desquelles l'organisme exerce son activité ;
e) la planification des réalisations futures et du développement des activités ; et
f) la gestion des risques et la planification de la continuité.
À titre d'exemples de besoins opérationnels en matière de documents d'activité, on peut citer :
— les exigences de création de documents d'activité pour exécuter ou mener à leur terme des processus
spécifiques (y compris des transactions sur le web ainsi que, sans toutefois s'y limiter, des opérations
commerciales dans les technologies émergentes comme les médias sociaux, l'informatique mobile
et l'informatique en nuage) ;
— les exigences de création de documents d'activité relatives aux rapports et aux contrôles financiers
et opérationnels ;
— les exigences de création de documents d'activité relatives à l'établissement de rapports internes et
externes ;
— les exigences de création de documents d'activité pour contrôler et surveiller les services ou les
processus externalisés ;
— les exigences de création de documents d'activité relatives à l'analyse et à la planification ;
— les exigences de création de documents d'activité afin de fournir des informations sur les activités
de l'organisme à des parties prenantes spécifiques, comme des actionnaires ou des clients ; et
— les exigences de création de documents d'activité expliquant les conclusions et les décisions prises
automatiquement par l'intelligence artificielle, l'apprentissage automatique, les mégadonnées ou
des algorithmes similaires.
Il convient d'identifier les exigences opérationnelles à partir de la performance des processus
opérationnels en cours et également sous l'angle de la planification et du développement envisagés. Il
est nécessaire d'accorder une attention particulière aux situations dans lesquelles l'organisme met en
œuvre :
— des processus automatisés ;
— les technologies nouvelles et émergentes (par exemple, l'informatique en nuage, le mobile,
l'intelligence artificielle (IA), l'apprentissage automatique, les mégadonnées, l'internet des objets
(IdO), la blockchain et les technologies de registres distribués (DLT), etc.) ;
— la liberté d'information (FOI) et les programmes de transparence du gouvernement ; et
— les mesures de protection des informations personnelles identifiables (IPI).
Dans ce type de situations, les exigences peuvent changer et nécessiter d'être débattues avec les
personnes responsables de l'élaboration et de la mise en œuvre des nouveaux processus proposés.
À titre d'exemples d'exigences commerciales, on peut citer :
— les exigences relatives au contrôle des documents d'activité et à leur accès en différents emplacements
et sur des périodes de temps spécifiées ;
— les exigences relatives aux preuves à fournir pour accéder aux documents d'activité et les utiliser
(par exemple, données personnelles) ; et
— les exigences de partage et de réutilisation des informations contenues dans les documents d'activité.
La détermination de toutes les exigences juridiques et réglementaires obligatoires applicables à
l'organisme inclut l'examen :
1) des lois générales et de la jurisprudence ;
2) des lois et réglementations sectorielles ;
3) de la législation relative à la protection de la vie privée et à la gestion des documents d'activité et
autres données ;
4) de la réglementation concernant la sécurité de l'information ; et
5) de la législation sur le commerce électronique.
D'autres exigences peuvent provenir de normes volontaires, de codes de bonnes pratiques, de conduite
et d'éthique, ainsi que d'autres sources, telles que les exigences en matière d'informations documentées
d'autres normes de systèmes de management.
Éléments de sortie
Pour se conformer à l'ISO 30301, il est obligatoire de documenter l'identification des besoins
opérationnels des documents d'activité ainsi que l'identification des exigences relatives aux documents
d'activité. Les exigences peuvent être documentées en un seul ensemble ou dans des documents
distincts par type d'exigence. À titre d'exemples, on peut citer les types de documents suivants :
— une liste des exigences identifiées par type (par exemple opérationnelles, législatives) ;
— un chapitre d'un manuel ou d'un plan de projet consacré à la mise en œuvre du SGDA ;
— un rapport formel sur l'identification des exigences relatives au SGDA ;
— une liste de toutes les lois et règlements applicables se rapportant à la création et au contrôle des
documents d'activité ; et
— un ensemble de précédents juridiques sur des problématiques spécifiques pertinentes pour
l'organisme.
4.2 Compréhension des besoins et attentes des parties intéressées
Il convient que les résultats de l'analyse décrite en 4.1 aident à déterminer les parties intéressées qui
sont pertinentes pour le SGDA ainsi que leurs exigences.
À titre d'exemples de parties intéressées, on peut citer :
— les collaborateurs ;
— les clients ;
— les investisseurs ;
— les fournisseurs ;
— les organismes de régulation ;
— les concurrents ;
— les associations commerciales et professionnelles ;
— le monde universitaire et les chercheurs ;
— les communautés ; et
— les organisations non gouvernementales.
Chaque type de partie intéressée peut avoir des besoins et des attentes différents en matière de
documents d'activité. L'ISO 30301 fournit quelques exemples généraux, dont la bonne gouvernance, la
transparence, la protection des droits légaux, la disponibilité des documents d'activité pour la recherche
ainsi que les documents étayant des événements historiques et culturels importants. Il convient que
chaque organisme effectue sa propre analyse et détermine si certains ou tous ces éléments s'appliquent.
Au moment de répondre aux besoins et aux attentes des parties intéressées, il convient que l'organisme
prenne en compte :
1) la façon dont les valeurs ou les perceptions des parties intéressées externes influent sur les
décisions de conservation et d'élimination des documents d'activité ou sur les décisions d'accès à
l'information ;
2) la façon dont les relations avec les parties intéressées internes, les valeurs ou les perceptions
influent sur la façon dont les documents d'activité sont gérés ; et
3) la façon dont les documents d'activité sont mis à la disposition des parties intéressées.
L'assistance nécessaire pour identifier les besoins et les attentes des parties intéressées peut être
obtenue auprès de différentes sources, par exemple :
— des spécialistes des questions juridiques ayant des connaissances des législations et de la
réglementation applicable et de leurs interactions (ceci est particulièrement important lorsque les
organismes œuvrent dans de multiples juridictions) ;
— des collaborateurs ayant une compréhension étendue de leur secteur d'activité ;
— des panels de clients ;
— des professionnels de la gestion documentaire, de l'informatique et des systèmes documentaires ;
— des auditeurs, des professionnels du risque et autres professionnels de la conformité ; et
— des institutions chargées des documents d'activité/archives ou des organismes de régulation.
Éléments de sortie
Aucune exigence spécifique n'impose de documenter les résultats de la détermination des parties
intéressées et de leurs exigences, mais l'organisme peut décider de les inclure dans :
— une étude formelle d'identification des parties intéressées ;
— les résultats d'une enquête portant sur les besoins et les attentes pertinents de ces parties
intéressées ; ou
— un résumé des besoins et attentes identifiés.
4.3 Détermination du domaine d'application du SGDA
Le domaine d'application du SGDA relève d'une décision prise par la direction et expose clairement
le périmètre, l'applicabilité, les inclusions, les exclusions, les rôles et les relations entre les parties
constituantes du SGDA.
Le domaine d'application peut être déterminé à la suite de l'analyse contextuelle, en prenant en
compte les défaillances ou dysfonctionnements identifiés (voir 4.1.1), les exigences relatives aux
documents d'activité (voir 4.1.2) et les besoins et les attentes des parties intéressées (voir 4.2), mais
il peut également être formulé par la direction dès le début, avant l'identification des défaillances ou
dysfonctionnements, des exigences relatives aux documents d'activité et des besoins et attentes des
parties intéressées.
Le domaine d'application inclut les éléments suivants :
a) l'identification des parties ou des fonctions concernées de l'organisme. Ce peut être l'organisme
dans son ensemble, une zone ou un service, une fonction spécifique ou un processus de travail, ou
un ensemble de ces éléments ;
b) l'identification des relations entre les organismes lorsque le SGDA est établi pour des fonctions
spécifiques au sein des organismes et les rôles de chacun de ces organismes ;
c) la description de la façon dont le SGDA s'incorpore au système de management général et à d'autres
normes de systèmes de management spécifiques mis en œuvre par l'organisme (par exemple,
l'ISO 9001, l'ISO 14001 et l'ISO/IEC 27001) ; et
d) l'identification de tout processus externalisé influant sur le SGDA, ainsi que les contrôles des entités
responsables du processus externalisé.
Éléments de sortie
La documentation du domaine d'application est obligatoire pour se conformer à l'ISO 30301. Elle peut
revêtir la forme d'un document unique ou être intégrée aux autres documents du SGDA, comme la
politique concernant les documents d'activité (voir 5.2) ou aux manuels ou plans de projet destinés à la
mise en œuvre du SGDA.
4.4 Système de gestion des documents d'activité
La mise en œuvre d'un SGDA comprend l'établissement, le maintien et l'amélioration continue du
système selon les exigences de l'ISO 30301. Les exigences principales sont spécifiées et liées à l'ensemble
des processus qui, conjointement, forment un système de gestion efficace des documents d'activité,
conforme à l'ISO 30301.
Les processus de l'ISO 30301 comprennent :
— l'analyse et la planification stratégique (voir les Articles 4 et 6) ;
— la planification opérationnelle et les processus, contrôles et systèmes documentaires (voir
l'Article 8) ; et
— les processus d'évaluation des performances fournis en externe, le cas échéant (voir les Articles 9
et 10).
Éléments de sortie
Aucune exigence spécifique n'est requise pour documenter les exigences de cet article, car les exigences
relatives à la documentation du système de gestion sont explicitement identifiées dans les autres
articles du présent document.
Les éléments de sortie principaux de cet article sont le système de gestion des documents d'activité
répondant aux exigences de l'ISO 30301.
5 Leadership
5.1 Leadership et engagement
Le leadership et l'engagement de la direction à mettre en œuvre le SGDA est exprimé aussi clairement
et avec le même niveau de détail que pour tout autre système de management mis en œuvre par
l'organisme et que pour ses autres actifs, par exemple ses ressources humaines, ses finances et son
infrastructure.
Le leadership et l'engagement de la direction consistent à :
— s'assurer que la politique et les objectifs documentaires sont établis et compatibles avec l'orientation
stratégique de l'organisme ;
— s'assurer que les exigences liées au SGDA sont intégrées aux processus opérationnels de l'organisme ;
— s'assurer que les ressources nécessaires pour le SGDA sont disponibles ;
— communiquer sur l'importance de disposer d'un système de gestion des documents d'activité
efficace et de se conformer aux exigences du SGDA ;
— s'assurer que le SGDA atteint le ou les résultats recherchés ;
— orienter et soutenir les personnes pour qu'elles contribuent à l'efficacité du SGDA ;
— promouvoir l'amélioration continue ; et
— soutenir les autres rôles managériaux pertinents afin de démontrer leur leadership dans leurs
domaines respectifs.
L'exigence de démonstration du leadership et de l'engagement de la direction ne nécessite pas la
réalisation d'une activité spécifique. Elle est néanmoins essentielle à la réussite du SGDA. Le leadership
et l'engagement sont également implicites dans les autres exigences de l'ISO 30301 se rapportant aux
ressources (voir 7.1), à la communication (voir 7.4) et à la revue de direction (voir 9.3).
Éléments de sortie
Aucune exigence spécifique ne prévoit de documenter le leadership et l'engagement de la direction
envers le SGDA, hormis dans la politique concernant les documents d'activité (voir 5.2), qui peut être
considérée comme une preuve de cet engagement. L'engagement peut également être démontré par
des actions ou des déclarations, mais, en fonction de la nature et de la complexité de l'organisme, les
preuves de leadership et d'engagement peuvent être documentées dans :
— les comptes rendus du conseil d'administration ou du conseil de direction ;
— des déclarations figurant dans les plans stratégiques et opérationnels ;
— les décisions et les directives de la direction ;
— les budgets, dossier d'affaires ; et
— les plans de communication.
5.2 Politique
L'orientation stratégique de l'organisme, telle que définie par la direction, constitue le fondement même
de la politique concernant les documents d'activité. La politique concernant les documents d'activité est
rédigée par la direction et constitue le moteur de la mise en œuvre et de l'amélioration du SGDA d'un
organisme, fournissant le référentiel d'évaluation de sa performance.
Les orientations de la direction nécessitent d'être exposées dans un document formel. En général, ce
document n'est pas rédigé par la direction, mais il requiert son approbation formelle, quels qu'en soient
les auteurs. En fonction de l'organisme, la direction peut relever de différents postes, mais il convient
que la politique soit assumée par la personne dont le poste est reconnu comme étant le plus élevé de
l'organisme.
La politique concernant les documents d'activité contient les orientations générales sur la façon dont
la création des documents d'activité et leur contrôle répondent aux objectifs opérationnels et présente
les principes d'action. Elle peut être intégrée à une politique de management générale, dans laquelle
plusieurs normes de systèmes de management sont mises en œuvre. Dans ce cas, la politique concernant
les documents d'activité ne nécessite pas d'engagement dissocié de la direction.
Parmi les éléments d'entrée de la politique concernant les documents d'activité figurent les éléments
suivants, à savoir :
a) l'analyse du contexte organisationnel ainsi que des besoins et attentes des parties externes (voir 4.1
à 4.2) ;
b) les objectifs et les stratégies organisationnels ;
c) l'influence de la politique sur les autres politiques organisationnelles ou ses relations avec ces
autres politiques ;
d) le domaine d'application du SGDA (voir 4.3) ; et
e) la structure organisationnelle et les délégations.
La politique concernant les documents d'activité est une déclaration d'intention et peut inclure :
1) un objet ;
2) des orientations de haut niveau en matière de création et de contrôle des documents d'activité ;
3) des responsabilités ou un engagement de haut niveau en matière de création et de contrôle des
documents d'activité ;
4) des indications sur la façon dont la politique doit être mise en œuvre ; et
5) des définitions.
La politique concernant les documents d'activité doit inclure un engagement de la part de la direction
visant à :
— satisfaire aux exigences identifiées de l'organisme (légales, commerciales et autres) et à celles de la
norme 30301 ; et
— améliorer continuellement le SGDA.
Il convient que la politique concernant les documents d'activité soit rédigée sous une forme aisément
compréhensible par toutes les personnes concernées par le SGDA. Il convient que la politique concernant
les documents d'activité soit un document unique et succinct
...

ISO/TC 46/SC 11
Date : 2022-04-01
ISO/TC 46/SC 11
2022-05
Secrétariat: SA
Information et documentation — Systèmes de gestion des documents d'activité — Lignes
directrices de mise en œuvre
Information and documentation — Management systems for records — Guidelines for
implementation
ICS : 01.140.20 ; 03.100.70
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
DOCUMENT PROTÉGÉ PAR COPYRIGHT
©
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune
partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie, l’affichageou la diffusion sur l’internetl'internet
ou sur un Intranetintranet, sans autorisation écrite préalable. Les demandes d’autorisation peuventUne
autorisation peut être adresséesdemandée à l’ISOl'ISO à l’adressel'adresse ci-après ou au comité membre de
l’ISOl'ISO dans le pays du demandeur.
ISO copyright officeCopyright Office
CPCase postale 401 • Ch. de Blandonnet 8
• CH-1214 Vernier, Genève
Tél. : : + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org
E-mail : copyright@iso.org
Web : www.iso.org
: www.iso.org
Publié en Suisse.
iv
Sommaire Page
Avant-propos . 7
Introduction . 8
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 7
4.4 Système de gestion des documents d'activité . 7
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 10
6 Planification . 12
6.1 Actions vis-à-vis des risques et opportunités . 12
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre . 14
7 Support . 16
7.1 Ressources . 16
7.2 Compétences . 17
7.3 Sensibilisation . 19
7.4 Communication . 19
7.5 Informations documentées . 21
8 Exploitation . 25
8.1 Planification et contrôle opérationnels . 25
8.2 Détermination des documents d'activité devant être créés . 25
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires. 26
9 Évaluation des performances . 29
9.1 Surveillance, mesure, analyse et évaluation . 29
9.2 Audit interne . 30
9.3 Revue de direction . 31
10 Amélioration . 33
10.1 Non-conformité et actions correctives . 33
10.2 Amélioration continue . 34
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A . 36
Bibliographie . 41
Avant-propos . v
Introduction . vi
v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l'organisme . 1
4.1 Compréhension de l'organisme et de son contexte . 1
4.1.1 Généralités . 1
4.1.2 Exigences relatives aux documents d'activité . 3
4.2 Compréhension des besoins et attentes des parties intéressées . 5
4.3 Détermination du domaine d'application du SGDA . 7
4.4 Système de gestion des documents d'activité . 7
5 Leadership . 8
5.1 Leadership et engagement . 8
5.2 Politique . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 10
6 Planification . 12
6.1 Actions vis-à-vis des risques et opportunités . 12
6.2 Objectifs concernant les documents d'activité et planification des actions pour les
atteindre . 14
7 Support . 16
7.1 Ressources . 16
7.2 Compétences . 17
7.3 Sensibilisation . 19
7.4 Communication . 19
7.5 Informations documentées . 21
7.5.1 Généralités . 21
7.5.2 Création et mise à jour . 24
7.5.3 Maîtrise des informations documentées . 24
8 Exploitation . 25
8.1 Planification et contrôle opérationnels . 25
8.2 Détermination des documents d'activité devant être créés . 25
8.3 Conception et mise en œuvre des processus, des contrôles et des systèmes
documentaires . 26
9 Évaluation des performances. 29
9.1 Surveillance, mesure, analyse et évaluation. 29
9.2 Audit interne . 30
9.3 Revue de direction . 31
10 Amélioration . 33
10.1 Non-conformité et actions correctives . 33
10.2 Amélioration continue . 34
Annexe A (informative) Exemple d'application des exigences de l'ISO 30301:2019, Annexe A . 36
Bibliographie . 41

vi
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références
aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document
sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO
(voir www.iso.org/brevets www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l'Organisationl’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant : www.iso.org/iso/fr/avant-proposwww.iso.org/avant-
propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation, sous--
comité SC 11, Archives/Gestion des documents d'activité.
Cette deuxième édition annule et remplace la première édition (ISO 30302:2015), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes :
— harmonisation par rapport à la nouvelle édition de l'ISO 30301 (ISO 30301:2019) ;
— modification de l'Annexe A.
Il convient que l'utilisateurl’utilisateur adresse tout retour d'informationd’information ou toute question
concernant le présent document à l'organismel’organisme national de normalisation de son pays. Une liste
exhaustive desdits organismes se trouve à l'adresse www.iso.org/fr/members.htmll’adresse
www.iso.org/fr/members.html.
vii
Introduction
Le présent document a été élaboré pour aider les utilisateurs à appliquer les exigences d'un système de
gestion des documents d'activité, telles que décrites dans l'ISO 30301. L'ISO 30301 spécifie les exigences
relatives à un système de gestion des documents d'activité (SGDA), lorsqu'un organisme doit démontrer son
aptitude à créer et à contrôler les informations créées, reçues et conservées comme preuves et comme actifs
par un organisme, dans le cadre de ses obligations légales ou de la conduite de ses activités.
Le présent document a pour objet de fournir des recommandations pratiques sur la manière de mettre en
œuvre, au sein d'un organisme, un système de gestion des documents d'activité (SGDA) conforme aux
exigences de l'ISO 30301. Le présent document traite des aspects nécessaires à l'élaboration et à la
maintenance d'un SGDA. Le présent document ne modifie pas et/ou ne restreint pas les exigences spécifiées
dans l'ISO 30301. Une activité ou la documentation d'une activité n'est considérée comme obligatoire que
lorsqu'elle est requise par l'ISO 30301.
La mise en œuvre d'un SGDA est généralement réalisée sous forme de projet. Un SGDA peut être mis en
œuvre dans des organismes possédant déjà des systèmes ou des programmes documentaires pour revoir et
améliorer la gestion de ces systèmes ou de ces programmes, ou bien dans des organismes qui entendent
mettre en œuvre pour la première fois une méthode systématique et vérifiable de création et de contrôle de
documents d'activité. Les recommandations décrites dans le présent document peuvent être utilisées dans
ces deux cas. Dans certains cas, un SGDA peut être une option recommandée pour faire face à l'incertitude
juridique ou technologique.
Il est tenu pour acquis que les organismes qui décident de mettre en œuvre un SGDA ont procédé à une
évaluation préliminaire de leurs documents d'activité et de leurs systèmes documentaires existants et qu'ils
ont identifié les risques devant être traités et les opportunités d'améliorations significatives. Par exemple,
la décision de mettre en œuvre un SGDA peut constituer une mesure de réduction d'un risque engendré par
la modification significative d'une plateforme informatique ou par l'externalisation de processus
opérationnels identifiés comme présentant un risque élevé. Le SGDA peut également fournir un cadre de
gestion normalisé pour la mise en œuvre d'améliorations significatives comme l'intégration des processus
documentaires à des processus opérationnels spécifiques ou l'amélioration du contrôle et de la gestion des
documents d'activité liés aux transactions en ligne ou à l'utilisation des médias sociaux.
L'utilisation du présent document laisse nécessairement place à une certaine souplesse. Elle est fonction de
la taille, de la nature et de la complexité de l'organisme, ainsi que du degré de maturité du SGDA
éventuellement déjà en place. Le contexte et la complexité de chaque organisme sont uniques et les
exigences contextuelles spécifiques de l'organisme conditionneront la mise en œuvre du SGDA. Les
organismes de petite taille s'apercevront que les activités décrites dans le présent document peuvent être
simplifiées. Les organismes de grande taille ou complexes peuvent être amenés à constater qu'un système
de gestion à couches multiples s'avère nécessaire pour mettre en œuvre et gérer efficacement les activités
prévues dans le présent document.
Les recommandations du présent document suivent la même structure que celle de l'ISO 30301 pour décrire
les activités à entreprendre en vue de répondre aux exigences de l'ISO 30301 et la façon de documenter ces
activités.
L'Article 4 explique comment réaliser l'analyse du contexte nécessaire à toute mise en œuvre d'un SGDA.
Cette analyse permet de définir le domaine d'application du SGDA et de déterminer les relations entre la
mise en œuvre d'un SGDA et les autres systèmes de management.
viii
L'Article 5 explique le leadership et comment obtenir l'engagement de la direction. Cet engagement
s'exprime par une politique concernant les documents d'activité et par l'attribution de responsabilités et
d'autorités.
L'Article 6 traite de la planification de la mise en œuvre du SGDA et de l'adoption des objectifs relatifs aux
documents d'activité, qui prend en compte l'analyse du risque de niveau élevé, l'analyse contextuelle (voir
l'Article 4) et les ressources disponibles (voir l'Article 7).
L'Article 7 décrit le support dont doit disposer un SGDA, par exemple, les ressources, les compétences, la
sensibilisation, la communication et les informations documentées.
L'Article 8 traite de la définition ou de la revue et de la planification du niveau opérationnel. Il comprend
l'analyse pour déterminer les documents à créer (voir 8.2) et la conception et la mise en œuvre des
processus, contrôles et systèmes documentaires. Il respecte les exigences contextuelles et le domaine
d'application (voir l'Article 4) et repose sur la politique concernant les documents d'activité (voir 5.2),
l'analyse du risque (voir 6.1) et les ressources nécessaires (voir 7.1) pour répondre aux objectifs associés
aux documents d'activité (voir 6.2) dans le cadre de la mise en œuvre planifiée. L'Article 8 explique comment
mettre en œuvre les exigences de l'ISO 30301:2019, Annexe A.
Les Articles 9 et 10 traitent de l'évaluation et de l'amélioration de la performance par rapport à la
planification, aux objectifs et aux exigences définis dans l'ISO 30301.
Pour chacun des Articles 4 à 10 de l'ISO 30301:2019, le présent document décrit les éléments suivants :
a) les activités nécessaires pour répondre aux exigences de l'ISO 30301 — ces activités peuvent être
réalisées l'une après l'autre, tandis que certaines nécessiteront d'être menées simultanément ;
b) les éléments d'entrée des activités — ils constituent les points de départ et peuvent correspondre aux
éléments de sortie d'activités antérieures ;
c) les éléments de sortie des activités — il s'agit des résultats ou des livrables obtenus une fois les activités
terminées, avec une attention particulière pour les informations documentées obligatoires.
Les éléments de conception des processus opérationnels liés aux documents d'activité reposent sur les
principes établis par l'ISO 15489-1. Les autres documents rédigés par l'ISO/TC 46/SC 11 constituent les
principaux outils de conception, de mise en œuvre, de surveillance et d'amélioration des processus, des
contrôles et des systèmes documentaires, et peuvent être utilisés conjointement avec le présent document
pour la mise en œuvre des éléments opérationnels précis du SGDA.
Les organismes ayant déjà mis en œuvre l'ISO 15489-1 peuvent utiliser le présent document pour élaborer
une infrastructure organisationnelle de gestion des documents d'activité dans le cadre de la méthode
systématique et vérifiable du SGDA.
ix
NORME INTERNATIONALE ISO 30302:2022(F)

Information et documentation — Systèmes de gestion des
documents d'activité — Lignes directrices de mise en œuvre
1 Domaine d'application
Le présent document fournit des recommandations pour la mise en œuvre d'un Système de Gestion des
Documents d'Activité (SGDA) conforme à l'ISO 30301. Le présent document est destiné à être utilisé
conjointement avec l'ISO 30301. Il décrit les activités à entreprendre pour concevoir, mettre en œuvre et
contrôler un SGDA.
Le présent document est destiné à être utilisé par un organisme ou plusieurs organismes mettant en
œuvre un SGDA. Il est applicable à tous les types d'organismes (par exemple, entreprises commerciales,
organismes publics, organismes à but non lucratif) de toutes tailles. Le présent document est destiné à
être utilisé par les personnes responsables de la mise en œuvre et de la maintenance des SGDA de
l'organisme. Il aide également la direction à prendre des décisions en matière d'instauration, de définition
du domaine d'application et de mise en œuvre des systèmes de gestion de l'organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ilsqu’ils constituent, pour tout ou partie de
leur contenu, des exigences du présent document. Pour les références datées, seule l'éditionl’édition citée
s'appliques’applique. Pour les références non datées, la dernière édition du document de référence
s'applique (y compris les éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
ISO 30301, Information et documentation — Systèmes de gestion des documents d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 30300 et
l'ISO 30301 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l'adresse

https://www.iso.org/obphttps://www.iso.org/obp
— IEC Electropedia : disponible à l'adresse https://www.electropedia.org/
NORME INTERNATIONALE ISO 30302:2022(F)

https://www.electropedia.org/
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
4.1.1 Généralités
Il convient que le contexte de l'organisme détermine et conditionne la mise en œuvre et l'amélioration
d'un SGDA. Les exigences du présent article visent à vérifier que l'organisme prend en compte le contexte
et les besoins qui lui sont propres dans le cadre de la mise en œuvre d'un SGDA. La première partie de
cette analyse consiste à déterminer les enjeux internes et externes pertinents pour l'objectif du SGDA et
la manière dont ils affectent sa capacité à atteindre le résultat attendu.
L'analyse contextuelle peut être utilisée pour définir le domaine d'application du SGDA (voir 4.3).
Toutefois, si la direction détermine le champ d'application du SGDA comme point de départ, avant
d'identifier les enjeux contextuels, l'étendue de l'analyse contextuelle est alors définie par le domaine
d'application.
Il convient que les informations contextuelles proviennent d'une source fiable, qu'elles soient exactes, à
jour et exhaustives. Une revue régulière des sources de ces informations garantit l'exactitude et la fiabilité
de l'analyse contextuelle.
Voici des exemples de points importants pour identifier comment le contexte externe affecte le SGDA, à
savoir :
a) la façon dont la complexité de la structure de l'organisme, de son environnement opérationnel et
législatif peut influer sur la politique, les processus, les systèmes et les contrôles ;
b) la façon dont un marché concurrentiel influe sur la nécessité de démontrer l'efficacité de ses
processus.
Voici des exemples d'enjeux internes affectant le SGDA :
1) la façon dont les lois, les règlements, les politiques, les normes et les codes influent sur la conception
des processus, des systèmes et des contrôles documentaires ;
2) la façon dont les qualifications et les compétences au sein de l'organisme peuvent influer sur les
besoins en formation ou en assistance externe ;
3) la façon dont la culture organisationnelle peut influer sur la conformité aux exigences du SGDA ;
4) la façon dont l'infrastructure informatique et l'architecture de l'information peuvent influer sur la
disponibilité des systèmes documentaires ou des documents d'activité ;
5) la façon dont les règles déjà mises en œuvre peuvent affecter la conception du SGDA ; et
6) la façon dont les relations contractuelles influent sur les décisions de conservation des documents
d'activité ou sur les décisions d'accès à l'information.
Les sources d'information sur le contexte externe de l'organisme peuvent inclure les sources suivantes :
— les lois, les réglementations, les normes, les codes de bonnes pratiques, les règles des organismes de
régulation, les règles en matière de gouvernance d'entreprise et les directives ;
— les types de contentieux de l'organisme et les mesures réglementaires ayant une incidence sur
l'organisme ;
— les analyses économiques, financières ou environnementales des analystes gouvernementaux ou
industriels ; et
— les rapports de médias.
Les sources d'information sur le contexte interne de l'organisme peuvent inclure les sources suivantes :
— les documents clés de l'entreprise, tels que les politiques, les stratégies, les plans d'activité, les
rapports annuels ;
— les rapports d'audit ;
— la structure organisationnelle, la définition des rôles, les responsabilités et les délégations ;
— les normes, les lignes directrices, les codes internes ;
— la cartographie ou la description des processus opérationnels ;
— les évaluations des qualifications ;
— les inventaires des systèmes documentaires ;
— les modèles d'information ou de données ;
— les analyses des risques ;
— le cadre pour la sécurité des informations ;
— les analyses contextuelles provenant de la mise en œuvre d'autres normes de systèmes de
management ;
— les méthodologies de gestion de projet ;
— les modèles d'approvisionnement et de sous-traitance ; et
— une connaissance de la culture organisationnelle (qui peut ne pas être documentée).
En fonction de l'organisme, l'identification des enjeux internes et externes peut avoir été réalisée à
d'autres fins, notamment pour la mise en œuvre d'autres normes de systèmes de management. Dans ces
cas-là, une nouvelle analyse ne sera peut-être pas nécessaire et une adaptation suffira.
L'analyse contextuelle est un processus continu. Elle influence l'établissement et l'évaluation
systématique du SGDA (voir l'Article 9) et étaye le cycle d'amélioration continue (voir l'Article 10).
Éléments de sortie
Aucune exigence spécifique n'impose de documenter les résultats de l'analyse, mais l'organisme peut
décider de les inclure dans :
— une liste des enjeux internes et externes affectant le SGDA ;
— un chapitre d'un manuel ou d'un plan de projet consacré à la mise en œuvre du SGDA ;
— un chapitre d'un manuel d'un système de gestion intégré (comprenant plusieurs normes) ;
— un rapport formel sur l'analyse du contexte interne et externe de l'organisme et sur la façon dont il
influe sur le SGDA et dont il est influencé par celui-ci ; et
— un ensemble de documents sur le contexte de l'organisme.
4.1.2 Exigences relatives aux documents d'activité
À partir de l'analyse décrite en 4.1.1 comme point de départ, les besoins opérationnels relatifs aux
documents d'activité et les exigences relatives à leur création, leur capture et leur gestion sont évalués
en tenant compte des fonctions opérationnelles. L'ISO 30301 exige de documenter à la fois les besoins
opérationnels et les exigences relatives aux documents d'activité.
NOTE L'approche des NSM (normes de systèmes de management) en matière d'analyse contextuelle et
d'identification des exigences est compatible avec le processus d'analyse (évaluation) proposé par l'ISO 15489-1 et
l'ISO/TR 21946, qui intègre également des éléments de planification (voir l'Article 6) et d'identification de besoins
en documents d'activité (voir 8.2).
Les exigences relatives aux documents d'activité qui influent sur les activités opérationnelles peuvent
être d'ordre commercial, juridique, réglementaire ou autre.
Il convient que l'identification des exigences opérationnelles prenne en compte les éléments suivants :
a) la nature des activités de l'organisme (par exemple, exploitation minière, finance, services collectifs,
fabrication, industrie pharmaceutique, services à la personne ou services d'intérêt général) ;
b) la forme particulière de l'organisme ou sa propriété (par exemple, société fiduciaire, entreprise ou
organisme sans but lucratif ou gouvernemental) ;
c) le secteur particulier dont relève l'organisme (c'est-à-dire secteur public ou privé, à but non lucratif) ;
d) la ou les juridictions dans le cadre desquelles l'organisme exerce son activité ;
e) la planification des réalisations futures et du développement des activités ; et
f) la gestion des risques et la planification de la continuité.
À titre d'exemples de besoins opérationnels en matière de documents d'activité, on peut citer :
— les exigences de création de documents d'activité pour exécuter ou mener à leur terme des processus
spécifiques (y compris des transactions sur le web ainsi que, sans toutefois s'y limiter, des opérations
commerciales dans les technologies émergentes comme les médias sociaux, l'informatique mobile et
l'informatique en nuage) ;
— les exigences de création de documents d'activité relatives aux rapports et aux contrôles financiers
et opérationnels ;
— les exigences de création de documents d'activité relatives à l'établissement de rapports internes et
externes ;
— les exigences de création de documents d'activité pour contrôler et surveiller les services ou les
processus externalisés ;
— les exigences de création de documents d'activité relatives à l'analyse et à la planification ;
— les exigences de création de documents d'activité afin de fournir des informations sur les activités de
l'organisme à des parties prenantes spécifiques, comme des actionnaires ou des clients ; et
— les exigences de création de documents d'activité expliquant les conclusions et les décisions prises
automatiquement par l'intelligence artificielle, l'apprentissage automatique, les mégadonnées ou des
algorithmes similaires.
Il convient d'identifier les exigences opérationnelles à partir de la performance des processus
opérationnels en cours et également sous l'angle de la planification et du développement envisagés. Il est
nécessaire d'accorder une attention particulière aux situations dans lesquelles l'organisme met en
œuvre :
— des processus automatisés ;
— les technologies nouvelles et émergentes (par exemple, l'informatique en nuage, le mobile,
l'intelligence artificielle (IA), l'apprentissage automatique, les mégadonnées, l'internet des objets
(IdO), la blockchain et les technologies de registres distribués (DLT), etc.) ;
— la liberté d'information (FOI) et les programmes de transparence du gouvernement ; et
— les mesures de protection des informations personnelles identifiables (IPI).
Dans ce type de situations, les exigences peuvent changer et nécessiter d'être débattues avec les
personnes responsables de l'élaboration et de la mise en œuvre des nouveaux processus proposés.
À titre d'exemples d'exigences commerciales, on peut citer :
— les exigences relatives au contrôle des documents d'activité et à leur accès en différents
emplacements et sur des périodes de temps spécifiées ;
— les exigences relatives aux preuves à fournir pour accéder aux documents d'activité et les utiliser
(par exemple, données personnelles) ; et
— les exigences de partage et de réutilisation des informations contenues dans les documents d'activité.
La détermination de toutes les exigences juridiques et réglementaires obligatoires applicables à
l'organisme inclut l'examen :
1) des lois générales et de la jurisprudence ;
2) des lois et réglementations sectorielles ;
3) de la législation relative à la protection de la vie privée et à la gestion des documents d'activité et
autres données ;
4) de la réglementation concernant la sécurité de l'information ; et
5) de la législation sur le commerce électronique.
D'autres exigences peuvent provenir de normes volontaires, de codes de bonnes pratiques, de conduite
et d'éthique, ainsi que d'autres sources, telles que les exigences en matière d'informations documentées
d'autres normes de systèmes de management.
Éléments de sortie
Pour se conformer à l'ISO 30301, il est obligatoire de documenter l'identification des besoins
opérationnels des documents d'activité ainsi que l'identification des exigences relatives aux documents
d'activité. Les exigences peuvent être documentées en un seul ensemble ou dans des documents distincts
par type d'exigence. À titre d'exemples, on peut citer les types de documents suivants :
— une liste des exigences identifiées par type (par exemple opérationnelles, législatives) ;
— un chapitre d'un manuel ou d'un plan de projet consacré à la mise en œuvre du SGDA ;
— un rapport formel sur l'identification des exigences relatives au SGDA ;
— une liste de toutes les lois et règlements applicables se rapportant à la création et au contrôle des
documents d'activité ; et
— un ensemble de précédents juridiques sur des problématiques spécifiques pertinentes pour
l'organisme.
4.2 Compréhension des besoins et attentes des parties intéressées
Il convient que les résultats de l'analyse décrite en 4.1 aident à déterminer les parties intéressées qui sont
pertinentes pour le SGDA ainsi que leurs exigences.
À titre d'exemples de parties intéressées, on peut citer :
— les collaborateurs ;
— les clients ;
— les investisseurs ;
— les fournisseurs ;
— les organismes de régulation ;
— les concurrents ;
— les associations commerciales et professionnelles ;
— le monde universitaire et les chercheurs ;
— les communautés ; et
— les organisations non gouvernementales.
Chaque type de partie intéressée peut avoir des besoins et des attentes différents en matière de
documents d'activité. L'ISO 30301 fournit quelques exemples généraux, dont la bonne gouvernance, la
transparence, la protection des droits légaux, la disponibilité des documents d'activité pour la recherche
ainsi que les documents étayant des événements historiques et culturels importants. Il convient que
chaque organisme effectue sa propre analyse et détermine si certains ou tous ces éléments s'appliquent.
Au moment de répondre aux besoins et aux attentes des parties intéressées, il convient que l'organisme
prenne en compte :
1) la façon dont les valeurs ou les perceptions des parties intéressées externes influent sur les décisions
de conservation et d'élimination des documents d'activité ou sur les décisions d'accès à
l'information ;
2) la façon dont les relations avec les parties intéressées internes, les valeurs ou les perceptions influent
sur la façon dont les documents d'activité sont gérés ; et
3) la façon dont les documents d'activité sont mis à la disposition des parties intéressées.
L'assistance nécessaire pour identifier les besoins et les attentes des parties intéressées peut être
obtenue auprès de différentes sources, par exemple :
— des spécialistes des questions juridiques ayant des connaissances des législations et de la
réglementation applicable et de leurs interactions (ceci est particulièrement important lorsque les
organismes œuvrent dans de multiples juridictions) ;
— des collaborateurs ayant une compréhension étendue de leur secteur d'activité ;
— des panels de clients ;
— des professionnels de la gestion documentaire, de l'informatique et des systèmes documentaires ;
— des auditeurs, des professionnels du risque et autres professionnels de la conformité ; et
— des institutions chargées des documents d'activité/archives ou des organismes de régulation.
Éléments de sortie
Aucune exigence spécifique n'impose de documenter les résultats de la détermination des parties
intéressées et de leurs exigences, mais l'organisme peut décider de les inclure dans :
— une étude formelle d'identification des parties intéressées ;
— les résultats d'une enquête portant sur les besoins et les attentes pertinents de ces parties
intéressées ; ou
— un résumé des besoins et attentes identifiés.
4.3 Détermination du domaine d'application du SGDA
Le domaine d'application du SGDA relève d'une décision prise par la direction et expose clairement le
périmètre, l'applicabilité, les inclusions, les exclusions, les rôles et les relations entre les parties
constituantes du SGDA.
Le domaine d'application peut être déterminé à la suite de l'analyse contextuelle, en prenant en compte
les défaillances ou dysfonctionnements identifiés (voir 4.1.1), les exigences relatives aux documents
d'activité (voir 4.1.2) et les besoins et les attentes des parties intéressées (voir 4.2), mais il peut
également être formulé par la direction dès le début, avant l'identification des défaillances ou
dysfonctionnements, des exigences relatives aux documents d'activité et des besoins et attentes des
parties intéressées.
Le domaine d'application inclut les éléments suivants :
a) l'identification des parties ou des fonctions concernées de l'organisme. Ce peut être l'organisme dans
son ensemble, une zone ou un service, une fonction spécifique ou un processus de travail, ou un
ensemble de ces éléments ;
b) l'identification des relations entre les organismes lorsque le SGDA est établi pour des fonctions
spécifiques au sein des organismes et les rôles de chacun de ces organismes ;
c) la description de la façon dont le SGDA s'incorpore au système de management général et à d'autres
normes de systèmes de management spécifiques mis en œuvre par l'organisme (par exemple,
l'ISO 9001, l'ISO 14001 et l'ISO/IEC 27001) ; et
d) l'identification de tout processus externalisé influant sur le SGDA, ainsi que les contrôles des entités
responsables du processus externalisé.
Éléments de sortie
La documentation du domaine d'application est obligatoire pour se conformer à l'ISO 30301. Elle peut
revêtir la forme d'un document unique ou être intégrée aux autres documents du SGDA, comme la
politique concernant les documents d'activité (voir 5.2) ou aux manuels ou plans de projet destinés à la
mise en œuvre du SGDA.
4.4 Système de gestion des documents d'activité
La mise en œuvre d'un SGDA comprend l'établissement, le maintien et l'amélioration continue du système
selon les exigences de l'ISO 30301. Les exigences principales sont spécifiées et liées à l'ensemble des
processus qui, conjointement, forment un système de gestion efficace des documents d'activité, conforme
à l'ISO 30301.
Les processus de l'ISO 30301 comprennent :
— l'analyse et la planification stratégique (voir les Articles 4 et 6) ;
— la planification opérationnelle et les processus, contrôles et systèmes documentaires (voir
l'Article 8) ; et
— les processus d'évaluation des performances fournis en externe, le cas échéant (voir les Articles 9
et 10).
Éléments de sortie
Aucune exigence spécifique n'est requise pour documenter
...