1 Un temps de retard qui est comblé
Depuis de nombreuses années, certains référentiels de management, et notamment ceux relatifs à l’environnement et à la santé et sécurité au travail, intègrent dans leurs exigences celles d’identifier, au préalable à toute action, les risques inhérents à ces concepts.
Par exemple, l’ancienne norme britannique OHSAS de 2007, une des ancêtres de l’ISO 45001, sur laquelle je reviendrai un peu plus loin, intitulée « Système de management de la santé et de la sécurité au travail – Exigences » expliquait son domaine d’application en ces termes : « La présente norme OHSAS est applicable à tout organisme qui souhaite : a) Établir un système de management de la SST afin d’éliminer ou réduire au minimum les risques pour son personnel et autres parties intéressées susceptibles d’être exposés à des risques pour la santé et la sécurité au travail liés à ses activités ; »
Le mot « risque » y figure en bonne place et il apparait dans le texte 48 fois. Les premières exigences (§ 4) concernent des généralités (§ 4.1), puis l’établissement d’une politique de santé et de sécurité au travail (§ 4.3) et, tout de suite après, on trouve un paragraphe § 4.3.1 intitulé : « Planification – Identification des dangers, évaluation des risques et moyens de maîtrise ». Une démarche de management de la santé et sécurité au travail démarre donc, et c’est logique, par une analyse des risques.
Le référentiel qui a remplacé ce texte ainsi qu’une autre norme ILO-OSH 2001 sur le même sujet, intitulée : « Système de gestion de la sécurité et de la santé au travail » publiée en son temps par l’OIT, est désormais la norme ISO 45001:2018 dont le titre est : « Systèmes de management de la santé et de la sécurité au travail – Exigences et lignes directrices pour leur utilisation ». La notion de risque y est bien entendu toujours présente dans une même logique d’identification et d’évaluation avant mise en œuvre d’actions de maîtrise. On y trouve également, celle, nouvelle, « d’opportunité ».
Un autre exemple de référentiel qui a intégré la notion de risques dans ses exigences est celui relatif au management environnemental, autrement dit la norme NF EN ISO 14001:2015 « Systèmes de management environnemental – Exigences et lignes directrices pour son utilisation ». Le mot « risque » s’y trouve 40 fois. Et dans cette logique déjà évoquée dans les référentiels relatifs à la santé et sécurité au travail, la mise en œuvre opérationnelle de dispositions en ce sens commence avec une identification des risques et des opportunités en matière d’environnement (§ 6 « Planification »).
En ce qui concerne le référentiel ISO 9001, cette notion est nouvelle. Dans les versions précédant la mise à jour de 2015, la notion de risque était implicite. Dans la version de 2008, le mot « risque » apparait 3 fois (dont une pour expliquer que le management des risques n’est pas pris en compte !). Cependant, il est signalé dans l’introduction avec la phrase suivante : « Il est souhaitable que l’adoption d’un système de management de la qualité relève d’une décision stratégique de l’organisme. La conception et la mise en œuvre d’un système de management de la qualité tiennent compte de l’environnement de l’organisme, des modifications de cet environnement ou des risques associés à cet environnement ».
En fait, le concept de « risques » est implicite (toujours dans cette version 2008) du fait d’un des objectifs attendus d’un système de management de la qualité tel qu’il est présenté dans le § 1.1 « Domaine d’application – Généralités ». On peut lire que : « La présente Norme internationale spécifie les exigences relatives au système de management de la qualité lorsqu’un organisme doit démontrer son aptitude à fournir régulièrement un produit conforme aux exigences des clients et aux exigences légales et réglementaires applicables »
La démonstration de cette aptitude suppose que des dispositions soient prises en ce sens (pour éviter le risque de ne pas fournir régulièrement des produits conformes) et que toutes les exigences qui suivent sont dans cette logique.
La version 2015 est plus précise et lève cette ambiguïté, car on y trouve le mot « risque » une cinquantaine de fois.