21 Juillet 2017
N°76 - Révision de la norme ISO22000

Quelles perspectives ?

Née en 2005 la norme ISO22000 a déjà 12 ans. En 2005 il s’agissait de proposer (enfin) un cadre homogène et certifiable à la méthode HACCP, avec en ligne de mire une réponse « ISO », donc publique et indépendante, aux référentiels privés de la grande distribution (cf. Exarisinfo n°75 sur le schéma FSSC22000).

Depuis, le contexte a évolué, de nouvelles normes sont apparues (ISO26000 – cf. ExarisInfo n°71) ou ont été revues (ISO9001 – cf. ExarisInfo n°69, ISO14001 – cf. ExarisInfo n°67), la pratique du management des risques a mûri… il était donc en effet temps pour ISO22000 d’opérer une mue. Une nouvelle version de la norme est en cours d’élaboration depuis plusieurs mois et a donné naissance à un « DIS » (Draft International Standard, un « projet de norme » en français) qui fut soumis à enquête publique jusqu’au 1^er juin 2017.

Cette enquête est désormais close et la commission en charge de cette norme analyse les commentaires recueillis pour préparer ce que sera la version 2 de la norme, avec une parution prévue pour l’été 2018.

S’il est trop tôt pour se prononcer sur un texte qui n’est pas encore publié, tout le monde a pu consulter le « DIS » soumis à enquête publique, aussi est-il permis de partager avec vous quelques lignes, à notre sens saillantes, de ce projet.

1. Elargissement de l’approche par les risques

Il n’aura échappé à aucun des utilisateurs des normes ISO l’arrivée en 2015 d’une « Structure commune » aux normes de management (cf. ExarisInfo n°69). Cette structure s’appliquera à la norme ISO22000 v2 ouvrant la porte à quelques nouveautés, en cohérence avec les autres normes de management, notamment :

• Une reconnaissance explicite de l’intérêt de l’approche processus comme principe de management organisationnel. Cette reconnaissance aurait le mérite de légitimer la nécessité de fonder le système de management de la sécurité des aliments (SMSA) sur une organisation d’entreprise claire, lisible, structurée (cf. fig.1). Cette nécessité peut sembler évidente à certains, pourtant force est de constater que nombre de problèmes rencontrés dans le management opérationnel sont liés à une question centrale : qui est responsable de quoi ? à laquelle la réponse n’est pas toujours évidente…
• L’élargissement de la notion de « risque » proposé dans ce projet, avec à la clef la distinction de risques « organisationnels » en complément de risques « opérationnels ». Nous avons déjà abordé ce sujet à de nombreuses reprises, notamment dans ExarisInfo n°73, rappelons seulement la nouvelle définition du risque introduite dans ISO9000 :2015 : « effet de l'incertitude (…) positif ou négatif, par rapport à une attente. » Ainsi la norme impliquerait-elle d’envisager les risques (et opportunités) de manière globale, à l’échelle de l’entreprise et de son organisation (risques « organisationnels ») au-delà des risques liés au dangers sanitaires, couverts par la méthode HACCP (considérés comme les risques « opérationnels »).

Ces évolutions seraient tout à fait cohérentes avec la tendance actuelle à structurer le management sur la base du triptyque Processus / parties intéressées / Maîtrise des risques (cf. ExarisInfo n°73) ; reste à voir jusqu’où ira la version définitive de la norme dans ce rapprochement avec la norme ISO9001. La tendance nous semble bien sûr intéressante sur le fond puisque elle rejoint une approche que nous préconisons depuis des années ; mais il s’agira de ne pas décourager les utilisateurs actuels de la norme ISO22000 en leur proposant une version plus conceptuelle, plus large et peut-être moins pragmatique.

2. Maîtrise du changement

En cohérence avec la structure commune des normes de management la nouvelle version d’ISO22000 contiendrait un chapitre intitulé « Planification des modifications ». Comme pour toutes les normes ce chapitre bien que court nous semble crucial : il souligne de manière très explicite la nécessité pour l’organisation d’intégrer dans son système de fonctionnement la maîtrise des changements de toute nature qui surviennent en permanence.

Des événements identifiés (parfois à tort) comme anodins (par ex. réfection d’un sol, changement de fournisseur, non renouvellement d’un contrat en apprentissage…) aux projets majeurs (réimplantation d’un atelier, extension de l’usine, passage en 3x8…) il s’agit de s’interroger avec les bonnes personnes et au bon moment quant à leurs impacts sur le système de management. Certaines entreprises ont déjà intégré cette dimension, par le biais d’un « processus » de maîtrise des changements industriels par exemple, néanmoins il est rare et difficile de la systématiser pour tous les changements qui ne manquent pas de survenir à tous les interfaces (achats, nettoyage-désinfection, maintenance, sécurité, RH….).

Par ailleurs cette exigence pourrait ouvrir la voie à une intégration plus explicite du processus de conception & développement. Le projet de norme soumis à enquête, on peut le regretter, ne lui accorde pas une place dédiée, contrairement à la norme ISO9001. Toutefois la « R&D » étant une source majeure et quasi continue de changements, en mode projet, elle entre pleinement dans le périmètre des exigences de ce chapitre… reste à identifier ce processus comme tel et à l’intégrer pleinement dans les analyses de risques.   

Couplée aux nouveautés envisagées au § 1 ci-dessus cette exigence pourrait ainsi impliquer une remise en question intéressante quant à la maîtrise effective des changements au sein de l’entreprise.

3. Maîtrise des prestations externalisées, PRP et PRPo

De même un chapitre « Maîtrise des processus, produits et services fournis par des prestataires externes » est pressenti. Implicite dans la version précédente de la norme via l’application des PRP, la maîtrise des prestations externes, incluant les achats de matières premières et ingrédients, ferait désormais l’objet d’un chapitre dédié. Cette évolution irait par ailleurs dans le sens des attentes des référentiels « GFSI » pour lesquels les achats et le référencement des fournisseurs font déjà l’objet d’exigences précises et de plus en plus détaillées.

Une évolution qui semble donc pertinente à plusieurs titres, a fortiori lorsque l’entreprise recourt à des sous-traitants à qui elle confie tout ou partie de ses activités de transformation.

Par ailleurs là où la version actuelle d’ISO22000 est souple quant au détail des PRP à mettre en œuvre le projet présenté serait plus contraignant : il exigerait que les PRP soient établis selon les spécifications techniques ISO applicables (TS22002-X) lorsqu’elles existent et qu’ils soient formellement documentés. La frontière entre une certification ISO22000 et une certification FSSC22000 s’atténuerait de fait, mettant fin à une incohérence de plus en plus évidente…

Enfin, le projet de norme propose de donner un nom aux limites de surveillance des PRPo. Elles seraient nommées « critères d’action », celui de « limite critique » restant réservé aux CCP. La surveillance étant déjà imposée pour les PRPo au même titre que pour les CCP cette clarification ne change pas grand-chose en pratique mais elle était nécessaire tant ces notions ont suscité de débat depuis 2005…

Conclusion

Sur le fond il est probable que l’on ne doive pas attendre une révolution de cette nouvelle mouture de la norme ISO22000. Ce n’est d’ailleurs pas son objet ; la maîtrise de la sécurité sanitaire, objet central de la norme, est un sujet de fond depuis des décennies et sa maîtrise n’attend pas les nouveaux concepts et définitions des normes. Du point de vue de l’optimisation du système de management en revanche cette révision peut apporter des éléments intéressants...vers un système de management davantage intégré (cf. fig.1) ? A suivre !

Si?ge social
20, boulevard Pierre Raunet
94370 Sucy-en-Brie
France

T?l. +33 (0)9 51 19 32 12
Nous contacter