Appelée à remplacer le référentiel OHSAS 18001 d’ici 2021, la norme ISO 45001 rencontre un réel succès auprès des organismes souhaitant améliorer en continu et valoriser leurs pratiques dans le domaine de la sécurité et santé au travail. Un an après sa publication, la manière de prendre en compte certaines exigences soulève des interrogations. Nos retours d’expérience et conseils.
ISO 45001 : un cadre de référence pour la santé et la sécurité au travail
La norme internationale ISO 45001 sur les systèmes de management de la sécurité et de la santé au travail (SST) est parue en mars 2018. Elle propose un cadre à tous les organismes désireux d’améliorer leurs performances dans le domaine de la SST. Structurée, comme les normes ISO 9001 et ISO 14001 autour de dix chapitres, elle permet aux entreprises de déployer de manière progressive une organisation et des pratiques visant à limiter les accidents du travail, les maladies professionnelles et à favoriser le bien-être des salariés.
Cette norme place volontairement les travailleurs au cœur du processus de prévention des risques en imposant notamment de nombreuses consultations des travailleurs et de leurs représentants, ainsi que leur participation dans la mise en œuvre, l’évaluation des performances et les actions d’amélioration du système de management de la SST.
Autre spécificité par rapport aux autres normes dans le domaine de la SST (ILO-OSH, OHSAS 18001…) : l’ISO 45001 nécessite une implication et un engagement beaucoup plus forts de la direction, avec la nécessité de définir ses enjeux internes, externes, ses risques et opportunités et de recenser les attentes des parties intéressées. La santé et la sécurité ne sont ainsi plus uniquement l’affaire des spécialistes HSE et deviennent parties intégrantes du management des activités de l’établissement.
ISO 45001, un an après sa publication, des interrogations
Depuis la publication de l’ISO 45001, il y a un peu plus d’un an, de nombreuses entreprises ont entrepris une démarche de certification. Toutefois, la prise en compte de certaines exigences soulève des interrogations. Notre état des lieux et nos conseils ci-après.
6.1 : actions à mettre en œuvre face aux risques et opportunités
Selon l’ISO 45001, « lors de la détermination des risques et opportunités qu’il est nécessaire de prendre en compte pour le système de management de la SST et ses résultats escomptés, l’organisme doit notamment prendre en compte les exigences légales et autres exigences ».
A retenir : la prise en compte des exigences légales et autres exigences peut notamment se faire en réalisant une veille sur les directives européennes et également sur les exigences applicables avec une application différée dans le temps.
6.1.2.2 : évaluation des autres risques liés au système de management de la SST
Outre l’évaluation des risques pour la SST, l’ISO 45001 implique de « déterminer et évaluer les autres risques liés à l’établissement, la mise en œuvre, le fonctionnement et la tenue à jour du système de management de la SST ».
Quels sont ces autres risques et comment répondre à cette exigence ? Est-ce lors de la revue de direction lorsque la direction procède à la revue du système de management de la SST, afin de s’assurer qu’il est toujours approprié, adéquat et efficace ? Une grille d’évaluation du système fixant des critères de cotation pourrait permettre de répondre à cette exigence et d’évaluer des risques comme par exemple un programme d’audit insuffisant, une absence de compétence en matière d’ATEX…
Comme ce point 6.1.2.2 est rédigé dans le chapitre Planification, il ne s’agit pas d’un outil permettant la réaction, l’amélioration mais bien d’un outil de prévention.
Ces autres risques peuvent-ils être liés au contexte de l’organisme, c’est-à-dire à ces enjeux, parties intéressées et domaine d’application ? Dans ce cas, n’y a-t-il pas de redondance entre les exigences 4.1 (compréhension de l’organisme et de son contexte), 4.2 (compréhension des besoins et attentes des travailleurs et autres parties intéressées), 4.3 (détermination du périmètre d’application) ? Il semblerait que cela soit le cas.
A retenir : le traitement des exigences 4.1, 4.2, 4.3 et 9.3 (revue de direction) permet de répondre à l’exigence 6.1.2.2. Les autres risques liés au système de management de la SST peuvent, par exemple, être : des ressources insuffisantes du fait de la mobilisation de celles-ci pour répondre à la mise en place d’une nouvelle ligne de production, la mise en place d’un nouvel outil de GED…
6.1.3 : processus pour déterminer les exigences légales et autres exigences
L’ISO 45001 implique que « l’organisme établisse, mette en œuvre et tienne à jour un processus pour déterminer les exigences légales et autres exigences actualisées qui sont applicables à ses dangers et à ses risques ». Cette exigence réclame la création d’un « processus », comme c’est le cas dans les autres chapitres.
Comment faut-il comprendre cette notion de processus ? Est-il nécessaire, comme cela était le cas dans l’ISO 14001 version 2004, d’établir et de tenir à jour une procédure ? Pour répondre à cette exigence, l’organisme peut établir une procédure, un processus (ensemble d’activités corrélées ou en interaction qui transforme des éléments d’entrée en éléments de sortie) ou un schéma décrivant l’activité de détermination des exigences légales et autres exigences. Il est obligatoire de conserver des informations documentées comme preuves du ou des résultats d’évaluation de la conformité.
A retenir : une réponse efficace pourrait passer par le déploiement d’une application permettant de recenser ses obligations de conformité et d’évaluer la conformité de l’organisme à celle-ci, ainsi que par la mise en place d’un plan de communication afin de répondre à l’ISO 45001 qui « demande de déterminer sur quoi il est nécessaire de communiquer ».
8.1.4.2 : maîtrise des risques liées aux intervenants extérieurs
L’ISO 45001 inclut l’obligation de prendre en compte et de maitriser les risques et les dangers pour la SST liés aux intervenants extérieurs : sous-traitants et fournisseurs. La norme stipule ainsi que « l’organisme coordonne son processus d’acquisition de biens et services avec ses intervenants extérieurs, pour identifier les dangers et pour évaluer et maîtriser les risques pour la SST dus aux activités et opérations des intervenants extérieurs ayant une incidence sur l’organisme. L’organisme doit s’assurer que les exigences de son système de management de la SST sont remplies par les intervenants extérieurs et leurs travailleurs ».
L’ISO 45001 ne contient pas de notion d’influence, contrairement à l’ISO 14001. Quels sous-traitants et fournisseurs doivent être intégrés ? Les fournisseurs de rang n, n+1, n+2, n+3… ? Selon quels critères de performance SST ? Comment vérifier que les critères sont bien remplis ?
A retenir : la détermination des fournisseurs à prendre en compte passe par la caractérisation de l’influence qu’a l’organisme sur les fournisseurs ayant une incidence sur l’organisme.