Aller au contenu
Guide complet

ISO 45001 : réussir sa certification (ou son audit blanc) sans cabinet

Quand la direction annonce « on va viser l’ISO 45001 », deux réflexes s’installent : la panique (« c’est une usine à gaz documentaire ») et le devis (« il faut un cabinet à 15 000 € »). Les deux sont surmontables. L’ISO 45001 est une norme exigeante mais logique, et un Responsable EHS solo qui comprend sa structure peut préparer une certification — ou un audit blanc — sans déléguer l’essentiel. Ce guide explique la norme, le parcours de certification réel, et par où démarrer concrètement.

ISO 45001, en une phrase

L’ISO 45001:2018 (publiée le 12 mars 2018) est la norme internationale du système de management de la santé et de la sécurité au travail. Elle ne dit pas « voici les EPI à acheter » : elle décrit comment piloter la prévention de manière structurée, pour réduire durablement les accidents et les maladies professionnelles. Son fil rouge est le cycle PDCA (Plan – Do – Check – Act) : planifier, faire, vérifier, améliorer.

La structure : les chapitres 4 à 10

L’ISO 45001 suit la structure harmonisée commune à toutes les normes de management ISO (la fameuse « structure de haut niveau »). Les exigences se logent dans sept chapitres :

  • 4 — Contexte de l’organisme : enjeux internes et externes, parties intéressées et leurs attentes, périmètre du système. (C’est ici que l’amendement climat de 2024 vient s’ajouter — voir plus bas.)
  • 5 — Leadership et participation des travailleurs : engagement de la direction, politique SST, rôles, et une exigence renforcée et spécifique au 45001 — la consultation et la participation des travailleurs.
  • 6 — Planification : identification des dangers, évaluation des risques et opportunités, exigences légales, et objectifs SST avec leur plan pour les atteindre.
  • 7 — Support : ressources, compétences, sensibilisation, communication, informations documentées.
  • 8 — Réalisation des activités opérationnelles : maîtrise opérationnelle, gestion du changement, préparation et réponse aux situations d’urgence.
  • 9 — Évaluation des performances : surveillance et mesure, évaluation de la conformité (9.1), audit interne (9.2), revue de direction (9.3).
  • 10 — Amélioration : gestion des incidents et non-conformités, action corrective (10.2), amélioration continue.

Comprendre cette ossature, c’est déjà désamorcer la moitié de l’angoisse : la norme n’est pas un labyrinthe, c’est une boucle d’amélioration en sept temps.

Faut-il un cabinet pour se certifier ?

Distinction essentielle, et c’est là que beaucoup d’argent se dépense pour rien. Il y a deux métiers totalement séparés :

  • Le conseil (mise en place du système) : facultatif. Un cabinet peut accélérer, mais aucun texte n’oblige à y recourir. Un Responsable EHS qui maîtrise la norme et son terrain peut construire le système en interne.
  • La certification (l’audit qui délivre le certificat) : obligatoire et strictement externe. Le certificat ne peut être délivré que par un organisme de certification accrédité (en France, par le COFRAC). Cet audit-là, on ne peut pas le faire soi-même, par définition.

Autrement dit : on peut tout à fait monter le système sans cabinet et ne payer que l’organisme certificateur pour l’audit final. Le surcoût d’un cabinet de conseil est un choix de confort, pas une obligation. Pour un Responsable EHS solo qui connaît déjà ses risques, le bon investissement n’est pas un consultant qui découvre l’entreprise, mais une méthode et des outils pour structurer ce qu’il sait déjà.

Le parcours de certification

Une fois le système en place, la certification suit un parcours balisé :

  1. Audit d’étape 1 — revue documentaire. L’auditeur vérifie que le système est défini conformément à la norme et planifie l’étape 2. Cette étape peut se faire à distance.
  2. Audit d’étape 2 — audit sur site. L’auditeur évalue la mise en œuvre réelle et l’efficacité du système : la politique et les objectifs sont-ils communiqués, l’amélioration continue fonctionne-t-elle vraiment ?
  3. Décision et délivrance du certificat, valable 3 ans.
  4. Audits de surveillance annuels pendant le cycle (généralement à 12 et 24 mois) pour vérifier le maintien et la progression du système. Le temps consacré à chaque surveillance est de l’ordre du tiers de l’audit initial.
  5. Audit de renouvellement avant l’échéance des 3 ans (à planifier plusieurs mois à l’avance), qui relance un nouveau cycle.

Ce rythme — un audit chaque année, un renouvellement tous les trois ans — est la traduction concrète du PDCA : on ne « décroche » pas un certificat une fois pour toutes, on entretient un système vivant.

L’audit blanc : répéter avant le vrai

L’audit blanc est une simulation d’audit menée en amont de la certification (ou d’une surveillance), dans les conditions du réel mais sans enjeu de certificat. Son intérêt est triple : repérer les écarts pendant qu’il est encore temps de les corriger, entraîner les équipes aux entretiens d’audit, et arriver le jour J sans mauvaise surprise. Pour une PME qui se présente pour la première fois, c’est le filet de sécurité le plus rentable : un écart découvert en audit blanc se corrige tranquillement ; le même écart découvert à l’étape 2 coûte une non-conformité.

Attention à ne pas confondre trois choses qui se ressemblent :

  • L’audit interne (§ 9.2) est une exigence de la norme : le système certifié doit s’auditer lui-même, périodiquement. Ce n’est pas optionnel.
  • L’audit blanc est une préparation volontaire, souvent calquée sur un audit de certification, pour se tester avant l’examen.
  • L’audit de certification est l’audit externe officiel par l’organisme accrédité.

Un audit blanc bien mené ressemble à un audit de certification : grille d’exigences chapitre par chapitre, entretiens des fonctions clés, échantillonnage de preuves, restitution des écarts hiérarchisés.

A1:2024 : le climat, à ne pas oublier

Depuis février 2024, un amendement (A1:2024) s’applique à l’ISO 45001 comme à la plupart des normes de management. Il ajoute, dans le chapitre 4, l’obligation de déterminer si le changement climatique est un enjeu pertinent pour l’organisme. Concrètement, pour un auditeur, cela signifie qu’il peut désormais demander à la direction comment elle a pris en compte le climat dans son analyse de contexte — ne serait-ce que pour les vagues de chaleur et le travail par forte température. Ce n’est pas une révolution, mais un point que l’on ne peut plus ignorer en audit. Le sujet mérite son propre article sur l’amendement A1:2024.

Par où commencer concrètement

Pour un Responsable EHS solo qui démarre, la séquence pragmatique :

  1. Cartographier l’existant par rapport aux chapitres 4 à 10 : qu’est-ce qui est déjà en place (DUERP, registre AT, plan d’action) et qu’est-ce qui manque ?
  2. Combler les manques structurants : politique SST signée, identification des dangers à jour, objectifs SST, processus de remontée et de traitement des incidents.
  3. Faire vivre la boucle : un plan d’action piloté, une revue de direction annuelle, des audits internes.
  4. Répéter en audit blanc, corriger, puis se présenter à la certification.

Le socle de tout cela, c’est un plan d’action qui tient : l’auditeur ne juge pas vos intentions, il juge la preuve que les écarts identifiés sont traités. C’est pourquoi le point de départ le plus rentable, même quand l’objectif est l’ISO 45001, reste de structurer son plan d’action EHS — le Plan d’Action EHS Dynamique de CODEX EHS est conçu exactement pour ça. Le Pack Audit ISO 45001 (préparation d’audit blanc en 30 jours, grille d’exigences, scripts d’entretien) viendra ensuite outiller la phase de certification.

Sources et références réglementaires

  • ISO 45001:2018, « Systèmes de management de la santé et de la sécurité au travail — Exigences et lignes directrices pour leur utilisation » (publiée le 12 mars 2018) — structure des chapitres 4 à 10.
  • ISO 45001:2018/Amd 1:2024 « Climate action changes » (publiée le 23 février 2024) — ajouts aux § 4.1 et 4.2.
  • Parcours de certification (audit d’étape 1 et 2, certificat valable 3 ans, audits de surveillance) : pratiques des organismes de certification accrédités COFRAC ; IAF MD 5:2023 pour la durée des audits.

Cet article décrit le fonctionnement général de la norme et de la certification ; les modalités exactes (durée d’audit, périmètre) sont fixées par l’organisme certificateur accrédité.