Quelle est la difference entre IATF 16949 et ISO 9001 ?

IATF 16949:2016 ne remplace pas ISO 9001:2015, elle la complete. Le texte de l'IATF reprend par renvoi structurel la totalite des exigences ISO 9001 et y ajoute des exigences specifiques au secteur automobile, identifiees par une numerotation en miroir (clauses 4 a 10 de l'IATF reprennent celles de l'ISO 9001 et leur adjoignent des sous-clauses sectorielles). Concretement, etre certifie IATF 16949 implique de respecter integralement ISO 9001 et, en plus, les exigences automotive (CSR des constructeurs, core tools, exigences de discipline produit, gestion des fournisseurs de second rang).

Mon site doit-il etre certifie IATF 16949 ou seulement ISO 9001 ?

La regle est posee par les Rules for achieving and maintaining IATF Recognition (6th Edition, 2024). La certification IATF 16949 est ouverte aux sites qui fabriquent (manufacture) des pieces ou des materiaux destines a l'industrie automobile, et qui sont nommes sur un contrat client automotive. Les sites purement de conception ou de support, sans fabrication, ne sont pas eligibles a un certificat propre, mais peuvent etre couverts en tant que remote location associee a un site de fabrication, lorsqu'ils portent une responsabilite de conception ou de support qualite. Les sous-traitants en aval (par exemple un atelier de marquage ou de tri externalise) sont gerees sous la responsabilite du site certifie via les exigences sur les outsourced processes.

Que sont les Customer-Specific Requirements (CSR) ?

Les CSR sont les exigences supplementaires qu'un constructeur (OEM) ou son rang superieur publie en complement d'IATF 16949 et d'ISO 9001. Chaque constructeur (Ford, GM, Stellantis, Volkswagen, BMW, Mercedes-Benz, Toyota, Honda, etc.) publie son propre document CSR, qui precise ou durcit certaines exigences (PPAP run-at-rate, indicateurs de performance fournisseurs, escalation, exigences software, exigences cybersecurite). Les CSR de chaque client sont disponibles sur le portail IATF (section CSR) et sont d'application obligatoire pour les fournisseurs qui livrent ce client.

Quels sont les cinq core tools AIAG/VDA ?

APQP (Advanced Product Quality Planning), FMEA (Failure Mode and Effects Analysis), PPAP (Production Part Approval Process), MSA (Measurement Systems Analysis) et SPC (Statistical Process Control). Ces cinq methodes sont les manuels de reference de l'IATF, edites par l'AIAG aux Etats-Unis et par le VDA en Allemagne. Les deux versions cohabitent, certaines etant harmonisees (AIAG-VDA FMEA Handbook, 1re edition 2019) et d'autres restant propres a chaque association (par exemple VDA 6.3 pour l'audit process, qui n'a pas d'equivalent AIAG strict). Le client final fixe la version applicable, souvent via ses CSR.

IATF 16949 couvre-t-elle la securite fonctionnelle (ISO 26262) ?

Non. IATF 16949 est une norme de management de la qualite. Elle exige un processus formel de gestion de la securite des produits (clause 4.4.1.2) et impose une attention particuliere aux caracteristiques de securite, mais elle ne specifie pas la methode. Pour les composants electriques et electroniques susceptibles de generer un risque de blessure, la methodologie de securite fonctionnelle est traitee par ISO 26262 (cycle en V, ASIL, safety case). Les deux normes sont complementaires et appliquees ensemble par les fournisseurs E/E.

Quel est le cycle d'audit IATF 16949 ?

Le cycle est de trois ans, conformement aux Rules 6th Edition. L'audit initial se deroule en deux etapes (stage 1 documentaire, stage 2 sur site), suivies de la decision de certification. Les annees suivantes, le certificat est maintenu par un audit de surveillance annuel, puis renouvele par un audit de recertification au terme des trois ans. Toute non-conformite majeure ouverte au-dela du delai correctif entraine une suspension du certificat, et une non-fermeture conduit a un retrait.

Quelle difference entre les manuels AIAG et VDA ?

Historiquement, l'AIAG (Automotive Industry Action Group, Etats-Unis) regroupe les Big Three americains (Ford, GM, Stellantis) et publie les manuels reference du marche nord-americain. Le VDA (Verband der Automobilindustrie, Allemagne) regroupe les constructeurs allemands (Volkswagen, BMW, Mercedes-Benz, Porsche, Audi) et publie ses propres manuels (VDA 6.3, VDA 6.5, Maturity Level Assurance, etc.). Les deux references sont reconnues par IATF 16949. Le manuel AIAG-VDA FMEA, publie en 2019, est le premier produit de l'harmonisation entre les deux corpus.

Mon fournisseur de second rang doit-il etre certifie IATF 16949 ?

Pas necessairement. La clause 8.4.2.3 d'IATF 16949 exige que le fournisseur certifie developpe ses sous-traitants automotive vers un systeme qualite conforme. La cible finale visee par le texte est la certification IATF 16949, mais une trajectoire intermediaire est admise (ISO 9001 certifie par un organisme accredite, puis audit second-party par le client direct, puis certification IATF). Le client final peut fixer une exigence plus stricte via ses CSR (par exemple imposer ISO 9001 minimum des le premier niveau de sous-traitance).

IATF 16949 : management de la qualite automobile

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~13 min de lecture

Guide · IATF 16949

IATF 16949:2016 est la norme de management de la qualite qui s'applique a la chaine d'approvisionnement automobile mondiale. Elle n'existe pas comme texte autonome, mais comme une couche sectorielle batie sur ISO 9001:2015 et entretenue par l'International Automotive Task Force, consortium reunissant les principaux constructeurs et leurs associations professionnelles. Sa certification est une condition contractuelle pour la quasi-totalite des fournisseurs directs et indirects des OEM automotive, qu'il s'agisse de pieces mecaniques, de cablages, d'electronique embarquee ou de batteries. Cette page expose l'histoire de la norme, son articulation avec ISO 9001, le perimetre de certification, les exigences specifiques apportees par les Rules 6th Edition (2024), les CSR des constructeurs, les cinq core tools AIAG/VDA et le cycle d'audit applicable.

Histoire : d'ISO/TS 16949 a IATF 16949

La discipline qualite automobile s'est construite par etapes, autour de specifications nationales successives.

QS-9000, publiee en 1994 par les Big Three americains (Chrysler, Ford, General Motors), premiere harmonisation sectorielle batie sur ISO 9001:1994.
VDA 6.1, equivalent allemand, publie par le VDA pour les constructeurs allemands.
AVSQ (Italie), EAQF (France, Renault et PSA), specifications nationales europeennes.
ISO/TS 16949:1999, premiere tentative d'harmonisation internationale sous l'egide d'ISO et d'IATF, reprenant ISO 9001:1994 augmentee des exigences automotive consolidees. Revisions en 2002 (alignee sur ISO 9001:2000) et en 2009 (alignee sur ISO 9001:2008).
IATF 16949:2016, publiee le 1er octobre 2016, qui remplace ISO/TS 16949:2009. Le changement de prefixe (IATF au lieu d'ISO/TS) reflete un changement institutionnel, la norme n'est plus publiee par ISO mais directement par l'IATF, meme si elle continue de reposer structurellement sur ISO 9001:2015. La transition vers IATF 16949:2016 a ete finalisee fin 2018.

Le texte de la norme n'a pas connu de revision majeure depuis 2016. En revanche, les Rules for achieving and maintaining IATF Recognition, qui encadrent le schema de certification, ont ete reedites plusieurs fois. L'edition actuelle est la 6e edition, publiee en 2024, qui precise notamment les exigences sur les remote locations, les audits a distance et les sanctions en cas de non-conformite majeure.

L'architecture en couches : ISO 9001 puis IATF 16949 puis CSR

L'exigence qualite automobile s'empile en trois couches concentriques.

Couche	Reference	Origine	Audite par
Socle generique	ISO 9001:2015	ISO	Organisme de certification accredite
Couche automotive	IATF 16949:2016	IATF	Organisme reconnu IATF
Couche client	CSR (Customer-Specific Requirements)	OEM (Ford, GM, Stellantis, VW, BMW, Toyota, Honda, etc.)	Client direct (audit second-party)

Le certificat IATF 16949 atteste la conformite des deux premieres couches. La troisieme (les CSR) n'est pas certifiable en tant que telle par un organisme tiers, mais elle est verifiee pendant l'audit IATF, car les Rules 6th Edition imposent a l'auditeur de prendre en compte les CSR applicables aux clients du site audite. Une non-conformite a un CSR client est traitee comme une non-conformite a IATF 16949.

Cette architecture en couches explique pourquoi un fournisseur peut etre rejete par un constructeur tout en restant certifie IATF, si son non-respect porte sur une exigence CSR specifique non encore detectee par son organisme de certification.

Perimetre de certification : qui peut etre certifie

Les Rules 6th Edition definissent precisement le perimetre eligible a la certification IATF 16949. Le principe directeur est que la certification s'applique aux sites qui fabriquent des pieces ou materiaux destines a l'automobile.

Sites de fabrication

Sont eligibles a la certification les sites qui realisent au moins une operation de fabrication parmi celles enumerees dans les Rules : usinage, formage, traitement de surface, assemblage, test, mise en service, etc. Un site est evalue par chaque process de fabrication qu'il exploite. Un site qui ferait uniquement de l'assemblage final n'aurait pas a couvrir les operations d'usinage qu'il sous-traite.

Remote locations

Les remote locations sont les sites qui supportent la fabrication sans fabriquer eux-memes : centres de conception (R&D), centres de support qualite, centres logistiques, centres de service client. Une remote location ne peut pas obtenir un certificat propre, mais elle est couverte par le certificat d'un ou plusieurs sites de fabrication associes. Le scope du certificat liste alors le site principal et ses remote locations associees.

Cette regle a une consequence pratique pour les bureaux d'etudes. Un bureau d'etudes automotive porteur de la responsabilite de conception (design responsibility) sur un produit livre par un site de fabrication peut etre certifie en tant que remote location de ce site. Un bureau d'etudes qui ne fabrique pas et qui n'est pas associe a un site de fabrication n'a, en revanche, pas acces a la certification IATF, et reste cantonne a ISO 9001.

Exclusions

Les Rules 6th Edition listent les cas exclus du perimetre IATF 16949, notamment :

les fabricants de pieces aftermarket (apres-vente non-OEM) non livrees aux constructeurs ou a leur chaine,
les fabricants de pieces destinees aux poids lourds hors champ de l'IATF (le scope des poids lourds est variable selon les regions et les OEM concernes, il convient de verifier au cas par cas),
les fabricants de pieces livrees a des sous-systemes non automotive,
les distributeurs purs sans operation de transformation.

Articulation IATF 16949 et ISO 9001

Le texte IATF 16949:2016 reprend l'architecture par chapitres d'ISO 9001:2015, avec une numerotation miroir.

Chapitre	Titre ISO 9001	Ajouts IATF specifiques
4	Contexte de l'organisme	Conformite produit et processus aux exigences clients, classification des process speciaux
5	Leadership	Responsabilite produit, exigences de discipline, prevention des risques de securite
6	Planification	Risques sur la chaine, contingency plans (continuite d'activite, plans de reprise)
7	Support	Maitrise des laboratoires (internes et externes), competence des auditeurs internes, identification des caracteristiques speciales
8	Realisation	APQP, FMEA, PPAP, controle des changements, traceabilite produit, gestion des outsourced processes
9	Evaluation des performances	Audits process (par exemple VDA 6.3 ou audits process equivalents) en plus des audits systeme, indicateurs clients (OEE, ppm, livraisons)
10	Amelioration	Reaction aux non-conformites client, analyse des causes racines structuree, problem solving discipline

Cette numerotation en miroir signifie qu'IATF 16949 ne peut pas etre lue isolement, le texte officiel se compose d'une edition combinee qui presente ISO 9001 et les ajouts IATF cote a cote. La maitrise des deux est exigee.

Les cinq core tools (AIAG/VDA)

Les core tools sont les cinq methodes qualite que tout fournisseur certifie IATF doit savoir mettre en oeuvre. Elles sont decrites dans des manuels de reference edites par l'AIAG (Etats-Unis) et le VDA (Allemagne).

Core tool	Objet	Manuel AIAG	Manuel VDA
APQP (Advanced Product Quality Planning)	Cycle de planification qualite d'un nouveau produit en cinq phases, du concept au lancement serie	APQP, 2e edition (2008)	VDA Maturity Level Assurance for New Parts
FMEA (Failure Mode and Effects Analysis)	Analyse systematique des modes de defaillance (Design FMEA et Process FMEA)	AIAG-VDA FMEA Handbook, 1re edition (2019), harmonise	AIAG-VDA FMEA Handbook (commun)
PPAP (Production Part Approval Process)	Dossier de validation d'une piece avant lancement serie, avec niveaux de soumission 1 a 5	PPAP, 4e edition (2006)	VDA 2, Quality Assurance for Supplies (PPF)
MSA (Measurement Systems Analysis)	Analyse des moyens de mesure, etudes de repetabilite et reproductibilite (R&R)	MSA, 4e edition (2010)	VDA Band 5, Capability of Measurement Processes
SPC (Statistical Process Control)	Maitrise statistique des procedes, capabilites Cp/Cpk et Pp/Ppk, cartes de controle	SPC, 2e edition (2005)	VDA Band 4, Quality Assurance in the Process Landscape

Le client final choisit le referentiel applicable (AIAG ou VDA) et le precise dans ses CSR. Pour un fournisseur exposant son produit a plusieurs constructeurs, il est courant d'avoir a maitriser les deux referentiels en parallele, ce qui pese sur la formation interne.

L'harmonisation AIAG-VDA FMEA, publiee en 2019, est le premier resultat tangible d'un effort de convergence engage entre les deux associations. La methode passe d'une logique RPN (Risk Priority Number) historique vers une logique Action Priority (AP) basee sur trois facteurs (severite, occurrence, detection) sans multiplication numerique. Les fournisseurs exposes a cette transition doivent verifier dans les CSR de chaque client la version FMEA exigee, certains constructeurs ayant rendu obligatoire la nouvelle methode, d'autres conservant la methode RPN historique pour les projets en cours.

Voir aussi

Les Customer-Specific Requirements (CSR)

Les CSR sont la troisieme couche d'exigence, propre a chaque OEM. Le portail IATF maintient un repertoire des CSR publies par les constructeurs membres et par certains rangs superieurs (tier 1).

Exemples de CSR

Sans pretendre etre exhaustif, les CSR publies couvrent en general :

les indicateurs de performance fournisseur suivis par le client (taux de ppm, IPPM, OTD, score scorecard, severite des incidents qualite),
les regles de PPAP propres au client (niveau de soumission par defaut, situations declenchant un re-PPAP, exigences run-at-rate, exigences d'echantillonnage),
les regles d'escalation en cas de derive qualite (controlled shipping level 1 et 2, customer-controlled containment),
les exigences logicielles, en general par renvoi a Automotive SPICE pour les developpements electronique-software,
les exigences cybersecurite, en renvoi a ISO/SAE 21434 et aux exigences UN-R 155,
les exigences de securite fonctionnelle, en renvoi a ISO 26262 pour les composants E/E,
les exigences materiaux et substances, notamment IMDS (International Material Data System) et les regles de declaration sous REACH ou GADSL.

Ford Q1, GM BIQS, Stellantis SQE

Plusieurs constructeurs publient en plus de leurs CSR des programmes de qualification fournisseurs, qui constituent des etapes au-dela de la simple certification IATF. Ford Q1, GM BIQS, Stellantis Supplier Quality Excellence en sont des exemples. Etre certifie IATF est un prerequis a leur acces, mais ne suffit pas, ces programmes ajoutent leurs propres audits et indicateurs cibles.

Hierarchie des exigences

En cas de divergence entre IATF 16949, ISO 9001 et un CSR client, la regle est que le client final prime. Un CSR peut imposer une exigence plus stricte que la norme, jamais l'inverse. Lorsqu'un CSR introduit une exigence qui contredit IATF 16949, le fournisseur ouvre formellement une demande de waiver aupres du client, et la decision est tracee.

Articulation avec ISO 26262 et ISO/SAE 21434

IATF 16949 est une norme de management de la qualite, generique aux pieces et systemes automotive. Pour les composants electriques et electroniques (E/E), deux normes complementaires structurent en parallele les disciplines de safety et de cybersecurity.

Norme	Objet	Cible
IATF 16949:2016	Management de la qualite	Tous fournisseurs automotive
ISO 26262	Securite fonctionnelle (Functional Safety)	Systemes E/E susceptibles de generer un risque de blessure
ISO/SAE 21434	Cybersecurite automotive (Cybersecurity Engineering)	Systemes E/E exposes aux menaces cyber

Les trois normes coexistent et ne se substituent pas l'une a l'autre. Un fournisseur d'un calculateur (ECU) responsable de fonctions safety-critical doit donc :

etre certifie IATF 16949 pour son systeme qualite,
developper sous ISO 26262 pour les fonctions safety, avec un cycle en V dedie et l'attribution d'un niveau ASIL,
developper sous ISO/SAE 21434 pour la cybersecurite, et respecter les exigences reglementaires UN-R 155 sur le CSMS (Cybersecurity Management System) si le produit est destine a un vehicule homologue WP.29,
respecter les CSR du constructeur pour les trois disciplines.

Le guide ISO 26262 traite en detail la safety, et fera l'objet d'une page dediee. La cybersecurite automotive (ISO/SAE 21434 et UN-R 155) sera traitee separement.

Cycle d'audit IATF 16949

Les Rules 6th Edition fixent un cycle de trois ans, articule en trois temps.

Certification initiale

La certification initiale se deroule en deux etapes, stage 1 documentaire et stage 2 sur site.

Stage 1 : revue documentaire du systeme qualite, verification de l'eligibilite (statut de site de fabrication ou de remote location associee, scope automotive eligible), evaluation de la preparation de l'audit stage 2. Realise generalement a distance ou sur site, plusieurs semaines avant le stage 2.
Stage 2 : audit sur site de l'application reelle du systeme qualite. Couvre l'integralite des processus du site, l'application des CSR de chaque client, la mise en oeuvre des core tools et la conformite des artefacts (PPAP, FMEA, plans de surveillance, dossiers PSO). Dure plusieurs jours selon la taille du site (le temps d'audit minimum est calcule selon une formule des Rules, base sur le nombre d'employes equivalents temps plein).

A l'issue du stage 2, l'auditeur emet un rapport et le comite de decision de l'organisme de certification prononce ou non la certification. Les non-conformites majeures detectees doivent etre fermees avant emission du certificat. Les non-conformites mineures suivent un plan d'action correctif sous controle de l'organisme.

Surveillance et recertification

Apres la certification initiale, le cycle de trois ans se poursuit avec :

un audit de surveillance annuel (annee 1 et annee 2), de duree generalement plus courte que l'audit initial, couvrant un perimetre echantillonne et obligatoirement les processus critiques (4.4.1.2 securite produit, customer satisfaction, audits internes, revue de direction),
un audit de recertification au cours de l'annee 3, de duree comparable au stage 2 initial, qui couvre a nouveau l'ensemble du systeme.

Le certificat est emis pour trois ans, sous reserve du maintien continu de la conformite et de la fermeture des non-conformites dans les delais.

Sanctions

Les Rules 6th Edition prevoient un mecanisme strict de sanctions.

Major non-conformity non fermee dans les delais : suspension du certificat (en general 90 jours).
Suspension non levee : retrait du certificat.
Cas particuliers (non-coopperation, fraude documentaire, refus d'audit) : retrait immediat et signalement au portail IATF.

Un certificat suspendu ou retire est rendu visible sur la base IATF, et les clients peuvent y faire reference dans leur evaluation fournisseur.

Auditeurs IATF et organismes de certification

La certification IATF 16949 ne peut etre delivree que par un Certification Body (CB) reconnu IATF. La reconnaissance est conditionnee a une accreditation par un organisme national membre de l'IAF (par exemple ANAB aux Etats-Unis, COFRAC en France, DAkkS en Allemagne, UKAS au Royaume-Uni), et a une reconnaissance specifique par l'IATF apres audit de surveillance par l'IATF Oversight.

Les auditeurs IATF doivent eux-memes etre qualifies selon un schema dedie (3rd Party Auditor Qualification). La qualification suppose une experience industrielle automotive minimale, un examen ecrit, un temoignage d'audit (witness audit), et un maintien par audits realises chaque annee. La qualification est differenciee entre auditeur, lead auditor, et veterans (auditeur experimente avec qualifications etendues).

Cette exigence de qualification renforcee est l'une des differences notables avec les schemas ISO 9001 classiques, ou la qualification auditeur est plus generique et moins controlee centralement.

Transitions et periodes de coexistence

La transition d'une version a une autre suit un protocole publie par l'IATF.

Transition ISO/TS 16949:2009 vers IATF 16949:2016 : completee fin 2018, plus aucun certificat ISO/TS valide.
Mises a jour des Rules (5th vers 6th Edition) : ne necessitent pas de re-audit specifique, mais les nouveaux audits s'effectuent sous la nouvelle edition des Rules a compter de la date d'application annoncee par l'IATF (date precisee dans le document Rules).
Mises a jour des Sanctioned Interpretations (SI) : l'IATF publie des SI numerotees qui clarifient ou modifient l'interpretation de certaines clauses. Elles sont d'application immediate ou avec un delai court, et tenues a jour sur le portail IATF.

Il est de la responsabilite du fournisseur certifie de surveiller ces evolutions et d'adapter son systeme qualite en consequence. Une non-conformite peut etre relevee si une SI n'est pas appliquee.

Pieges classiques observes sur le terrain

Sans pretendre a l'exhaustivite, plusieurs ecueils reviennent regulierement.

Confusion ISO 9001 et IATF 16949. Etre certifie ISO 9001 ne donne pas acces au marche automotive. Les fournisseurs nouveaux entrants sous-estiment souvent l'ecart de couverture (et de cout d'audit).
Non-respect des CSR. La couche CSR n'est pas vue comme prioritaire lors de l'audit initial, alors qu'elle est un motif frequent de non-conformite et de rejet client a la mise en serie.
PPAP incomplet. Un dossier PPAP rendu en niveau 3 (par defaut), mais avec des PSW (Part Submission Warrant) signes avant fermeture des actions correctives, est un cas classique d'echec PPAP.
FMEA statique. Une FMEA traitee comme un document one-shot au lancement, non revue en boucle apres incident terrain, est non conforme a l'esprit AIAG-VDA FMEA Handbook.
MSA bacle. Une etude R&R conduite sur des operateurs non representatifs, ou sans plan d'experience adequat, biaise les capabilites SPC en aval. Erreur recurrente lors des audits.
Contingency plan formel mais pas exerce. La clause 6.1.2.3 exige un plan de continuite, et l'audit verifie que le plan est exerce periodiquement, pas seulement documente.
Remote location mal declaree. Un bureau d'etudes design-responsible non declare comme remote location associee a un site de fabrication peut compromettre la portee du certificat au moment d'un audit de surveillance.

Pour aller plus loin

Cette page est un panorama. Les pages dediees a venir traiteront en profondeur :

la mecanique APQP pas a pas et son articulation avec les jalons de programme,
l'AIAG-VDA FMEA Handbook (transition RPN vers AP, Design FMEA et Process FMEA),
le PPAP dans le detail (niveaux 1 a 5, contenu des 18 elements, mecanique du PSW),
les CSR des principaux OEM (Ford, GM, Stellantis, VW, BMW, Toyota, Honda) en synthese comparative,
l'articulation avec ISO 26262 et ISO/SAE 21434 sur les programmes E/E.

Le calendrier de certification cadre la mise en route d'un projet automotive, et le glossaire reprend les sigles cles (APQP, FMEA, PPAP, MSA, SPC, CSR, PSW, IMDS, etc.) avec leurs definitions et leurs renvois croises. Pour la composante radio-EMC d'un calculateur connecte (telematique, V2X, eCall), la conformite CE reste un volet distinct, traite dans la rubrique marquage CE.

Sources & références

IATF Global Oversight, portail officiel , International Automotive Task Force www.iatfglobaloversight.org/
Rules for achieving and maintaining IATF Recognition, 6th Edition , International Automotive Task Force www.iatfglobaloversight.org/iatf-documents/rules-for-achieving-iatf-recognition/
ISO 9001:2015, Quality management systems, Requirements , ISO www.iso.org/standard/62085.html
AIAG, Automotive Industry Action Group , AIAG www.aiag.org/
VDA, Verband der Automobilindustrie , VDA www.vda.de/en/
IATF Customer-Specific Requirements, repertoire , International Automotive Task Force www.iatfglobaloversight.org/oem-requirements/customer-specific-requirements/