Introduction : Pourquoi faire une veille réglementaire et juridique
Le cadre juridique est en mouvement constant et chaque entreprise se doit de prendre en compte tous les changements liés à la réglementation de son activité afin de pouvoir s’y adapter le plus facilement et le plus rapidement possible. C’est la raison pour laquelle réaliser une veille réglementaire est primordial.
La veille réglementaire dans le domaine de l’environnement et la santé-sécurité au travail devient un enjeu majeur pour les entreprises et les organisations, en particulier celles qui sont certifiées ou en voie de l’être selon les référentiels ISO 14001, ISO 45001.
Triple enjeu :
juridique d’abord : nul n’est censé ignorer la loi, et toute organisation quels que soient sa taille, son activité ou son statut, se doit d’être conforme à la réglementation ;
1 – interne : le responsable HSE ne dispose pas toujours des ressources voire des compétences pour réaliser sa veille, et celle-ci peut rapidement devenir la « bête noire » qu’il faut néanmoins maîtriser ;
2 – externe : les audits internes ISO 14001 et ISO 45001 sont l’occasion
pour les auditeurs de vérifier l’aptitude de l’organisation en place à satisfaire aux exigences des référentiels en matière de veille réglementaire
et d’évaluation de conformité.
3 – externe : les audits internes ISO 14001 et OHSAS 18001 sont l’occasion pour les auditeurs de vérifier l’aptitude de l’organisation en place à satisfaire aux exigences des référentiels en matière de veille réglementaire et d’évaluation de conformité.
Pour faire face à ces enjeux, les sources d’information réglementaires ne manquent pas : sur Internet, denses et gratuites, et malgré cela, la veille et son corollaire, l’évaluation de conformité, sont perçus comme difficiles, chronophages et sources d’interrogations voire d’angoisses .. .
Qui fait la veille réglementaire ?
La veille réglementaire est généralement assurée par le département HSE de l’entreprise. La mise en œuvre de systèmes de management tels que ISO 14001, OHSAS 18001, ISO 45001 a conduit à des avancées significatives dans la veille réglementaire des entreprises.
Définition de la veille réglementaire officielle
La veille réglementaire, qui constitue l’étape préalable, est à distinguer de l’évaluation de conformité, étape finale qui intervient logiquement après la phase d’identification des exigences applicables.
Les référentiels ne donnent pas de définition normative de la veille réglementaire, toutefois ils en spécifient les exigences.
La veille réglementaire peut être définie comme le processus formalisé d’identification et de mise à jour des exigences réglementaires et légales applicables.
Les données d’entrées du processus de veille réglementaire sont :
l’ensemble des textes législatifs et réglementaires nationales, voire internationaux ;
la situation et le contexte géographique de l’organisation y compris les attentes des parties intéressées ;
a nature des activités, procédés, produits, services et matières mis en œuvre, ainsi que les caractéristiques spécifiques de l’organisation (taille, effectif, etc.).
Définition de l’évaluation de conformité
Le processus d’évaluation de conformité est celui qui suit directement le processus de veille réglementaire.
Il s’agit alors d’évaluer pour chacune des exigences applicables la conformité des installations, procédés, infrastructures de l’organisation et de statuer sur la conformité.
Exemple
Le texte relatif au règlement REACH règlement n° 1907/2006 du 18/12/2006 modifié concernant l’enregistrement, l’évaluation et l’autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH), comprend des exigences qui seront applicables à l’entreprise en fonction de son statut. Si l’entreprise est en statut «Utilisateur aval » par exemple, les exigences relatives à l’enregistrement des substances ne seront pas directement applicables.
Évaluation de conformité – Veille sécurité au travail
Il s’agit de comparer les pratiques de l’organisme par rapport aux textes réglementaires. Il est important de documenter les preuves de conformité ou de non-conformité.
- Prévoir la fréquence ou les occasions/événements de révision de l’analyse de la conformité réglementaire. L’évaluation n’est pas figée une fois pour toutes : le statut de conformité peut évoluer (du fait de la réglementation, par exemple : modification d’un texte par ajout d’exigences – ce qui justifie la veille réglementaire) ou le site peut subir des évolutions qui font modifier le statut de conformité. Choisissez une fréquence adaptée à votre charge de travail – idéalement entre un et trois ans.
- Créer des groupes de travail pour évaluer la conformité des textes collectivement avec les personnes concernées, ce qui permet de
partager l’information et de répartir les responsabilités de mise en conformité.
C’est quoi la conformité réglementaire hse?
Derrière le terme de réglementation apparait la notion de règle du jeu. La réglementation constitue l’ensemble des règles applicables à un sujet ou à un domaine particulier. D’une manière générale, en France, la réglementation se compose des lois votées par le parlement et promulguées par le Président de la République, des ordonnances, des règlements, des décrets d’application relatifs à certaines lois, et des circulaires, émises par les services des ministères et destinées à préciser ou à éclairer des points particuliers des lois ou des décrets. Ces textes peuvent être rassemblés sous forme de codes juridiques comme le code du travail par exemple pour ce qui relève des droits des salariés.
La réglementation étant constituée de textes divers, elle peut couvrir divers buts. Certains « objectifs » de la réglementation sont issus d’une volonté de protection du plus faible. On peut citer par exemple les réglementations qui visent à protéger le consommateur du marchand, l’employé de l’employeur etc.
Cette réglementation en perpétuel mouvement introduit la nécessité de veille et lorsque l’on commence à parler de veille réglementaire, il faut d’abord parler de périmètre de veille. C’est un point fondamental à ne pas négliger car c’est une des clés d’une « bonne veille ».
Pour illustrer, ce propos, nous pouvons simplement donner les divers exemples de terminologie des domaines de la maîtrise des risques qu’on entend très souvent au travers d’acronymes de responsabilités comme HSE, SSE, QSE, QHSE, etc. Derrière ces terminologies se cache finalement une notion de périmètre.
De plus, l’impact des référentiels de management ajoutent une notion d’enjeu à cette obligation. En effet, « Faire d’une contrainte un levier », c’est ce que nous proposent les référentiels de management qui par leurs exigences méthodologiques mais également de résultats invitent ou contraignent (selon que l’on se place du côté de la contrainte ou du levier) les organisations à structurer leur démarche d’identification et de prise en compte de leurs « obligations de conformité ». Ce terme est d’ailleurs particulièrement d’actualité puisqu’il est repris dans la norme ISO 14001v2015.
La veille réglementaire peut donc être définie comme le processus formalisé d’identification et de mise à jour des exigences réglementaires et légales applicables.
Cette exigence méthodologique repose sur les étapes principales suivantes :
- identification des textes applicables sur le périmètre défini au préalable,
- détermination des exigences et obligations de conformité : au-delà des textes, il s’agit là d’analyser la nature et le fond de
chacun des textes afin d’en dégager les prescriptions applicables, - évaluer et enregistrer la conformité de son activité, son exploitation au regard de ces exigences.
Le processus d’évaluation de conformité est celui qui suit directement le processus de veille réglementaire pure. Les données de sortie du processus de veille réglementaire constitueront donc les données d’entrées de l’étape d’évaluation de conformité.
Il s’agit alors d’évaluer pour chacune des exigences applicables au sein d’un texte le niveau de conformité des installations, procédés, infrastructures, projet ou même produit et d’aboutir à une action de mise en conformité si nécessaire.
En effet, un texte peut contenir une, voire des centaines d’exigences. Si le texte lui-même est applicable, il se peut (et il est probable) que toutes les exigences dudit texte ne soient pas applicables.
Exigences des référentiels ISO 14001 et 18001 :
Extrait des référentiels ISO 14001 et OHSAS 18001 traitant de la veille réglementaire :
Chapitre 6.1.3- Obligations de conformité (FOIS ISO 14001 v. 2015)
L’organisme doit :
a. identifier et avoir accès aux obligations de conformité relatives à ses aspects environnementaux ;
b. déterminer de quelle manière ces obligations de conformité s’appliquent à l’organisme.
L’organisme doit tenir à jour des informations documentées sur ses obligations de conformité.
Chapitre 4.3.2 – Exigences légales et autres exigences selon le référentiel OHSAS 18001 v. 2007
L’organisme doit établir, mettre en œuvre et tenir à jour une (des) procédure(s) pour identifier et accéder aux exigences réglementaires et légales et autres en matière de SST ( Santé et Sécurité au Travail ) applicables à sa situation.
L’organisme doit veiller à ce que ces exigences réglementaires et légales et autres exigences auxquelles l’organisme se conforme soient prises en compte dans l’établissement, la mise en œuvre et la tenue à jour de son système de management de la SST.
L’organisme doit tenir à jour ces informations.
L’organisme doit faire part des informations pertinentes sur les exigences réglementaires et légales et autres aux personnes travaillant sous son contrôle, ainsi qu’aux autres parties intéressées pertinentes.
Exigences légales relatives à l’évaluation de conformité :
(A) En cohérence avec son engagement de conformité, l’organisme doit établir, mettre en œuvre et tenir à jour une (des) procédure(s) pour évaluer périodiquement la conformité aux exigences légales applicables.
L’organisme doit évaluer sa conformité aux autres exigences auxquelles il a souscrit. L’organisme peut vouloir combiner cette évaluation avec l’évaluation de conformité réglementaire décrite en (A) ou établir une (des) procédure(s)
séparées.
Chapitre 9.1.2- Évaluation de la conformité L’organisme doit planifier et mettre en œuvre un processus pour évaluer la
conformité avec ses obligations de conformité.
L’organisme doit :
a. déterminer la fréquence à laquelle la conformité sera évaluée ;
b. évaluer la conformité et entreprendre des actions si nécessaire ;
c. maintenir la connaissance et la compréhension de son état de conformité aux obligations de conformité.
L’organisme doit conserver des informations documentées comme preuves du ou des résultats d’évaluation de la conformité
Chapitre 4.5.2 – Exigences relatives à l’évaluation de conformité selon le référentiel OHSAS 18001 v. 2007
(B) Conformément à son engagement de conformité, l’organisme doit établir, mettre en œuvre et tenir à jour une (des) procédure(s) pour évaluer de manière périodique la conformité aux exigences légales en vigueur.
L’organisme doit tenir à jour les enregistrements des résultats des évaluations périodiques.
L’organisme doit évaluer la conformité aux autres exigences auxquelles il se conforme. L’organisme peut souhaiter associer cette évaluation avec l’évaluation de conformité légale dont il est fait mention en (B) ou établir une (des) procédure(s) distinctes.
Si l’on extrait les « exigences » de ces référentiels, voici ci-dessous les exigences que doit satisfaire tout organisme visant la certification ISO 14001 et/ou ISO 45001:2018 (remplacée par OHSAS 18001 )en matière de veille réglementaire et d’évaluation de conformité :
1- établir un « processus » (selon la v. 2015) décrivant l’organisation de la veille réglementaire et des autres exigences mis en place dans l’organisme ainsi que l’évaluation de leur conformité ;
2- s’assurer de l’accès aux exigences légales applicables, de leur compréhension et de leur prise en compte dans les systèmes de management environnemental et santé-sécurité au travail ;
3- mettre en œuvre et tenir à jour ce processus :
- en identifiant et tenant à jour les exigences légales applicables et autres exigences ;
- en évaluant périodiquement la conformité aux exigences légales et aux autres exigences ;
- en tenant à jour les enregistrements des résultats des évaluations périodiques.
- L’analyse de ces exigences appelle les commentaires suivants :
Le processus de veille et d’évaluation de conformité exigé ne se limite pas aux seules exigences réglementaires et légales (obligations de conformité) applicables mais s’étend également aux « autres exigences auxquelles l’organisme a souscrit». Ce terme n’est pas repris explicitement dans la version 2015 de l’ISO 14001.
L’évaluation de conformité doit être menée à une périodicité spécifiée.C’est-à-dire qu’à l’issue d’une première évaluation, un texte et les exigences applicables qu’il contient doivent faire l’objet d’une réévaluation périodique.
Les résultats de l’ensemble des évaluations doivent être enregistrés : cela inclut les évaluations qui ont donné lieu à un résultat non conforme mais aussi conforme.
Les référentiels ISO 26000, ISO 50001, ISO 9001 reprennent tous une exigence de veille réglementaire :
- relative aux produits pour l’ISO 9001 ;
- en lien avec l’ensemble des aspects sociaux, sociétaux, environnementaux, éthiques pour l’ISO 26000 ;
- spécifique à l’énergie pour l’ISO 50001.
Qui est concerné par la veille HSE ? :
Tous concernés: nul n’est censé ignorer la loi :
Tout organisme, quels que soient sa taille, son activité et son statut, peut, il faudrait dire doit, être concerné par la veille réglementaire HSE.
Dans un contexte de pression réglementaire évoluant de manière rapide et dense, les organismes, et les entreprises en particulier, ne peuvent se permettre d’ignorer les exigences qui s’appliquent à leurs activités.
Ce serait ignorer le contexte du marché dans lequel les entreprises évoluent. Il est aujourd’hui plus que jamais indispensable d’anticiper les changements à venir afin de mieux piloter son organisation et ne pas subir l’évolution
de la réglementation.
Entreprises certifiées soumises à l’exigence normative :
Certaines organisations ont choisi de manière volontaire et/ou sous l’amicale pression de leur groupe, clients, marché, voisinage … d’être certifiées selon le référentiel ISO 14001 , OHSAS 18001, ou autre. Dans ce cadre, elles sont soumises à l’exigence normative de mettre en place un processus de veille réglementaire leur permettant, comme vu précédemment, d’identifier les exigences légales qui leur sont applicables, d’en suivre les évolutions et d’évaluer périodiquement la conformité de leurs installations et activités par rapport à ces exigences. La question de la nécessité du processus veille réglementaire ne se pose pas, et pour paraphraser un film grand public à succès : pas de veille, pas de certification !
Profils d’organisme concernés :
Nous pouvons distinguer trois catégories principales d’organisations dont les contraintes en matière de réglementation HSE vont s’exercer de manière différente : les organisations privées (entreprises, professions libérales, artisans), les collectivités (territoriales, communes), les associations.
Organisations privées et exigences normatives :
Les entreprises parmi lesquelles les très petites entreprises (TPE), les petites et moyennes entreprises (PME/PMI), et les grandes entreprises et/ou grands groupes.
TPE et PME/PMI :
D’une manière générale les TPE et PME vont s’engager dans une démarche de veille réglementaire HSE le plus fréquemment par« obligation» normative, en lien avec une démarche de certification de type ISO 14001/0HSAS 18001/ISO 45001
qui exige qu’un processus de veille réglementaire structuré soit mis en œuvre et démontré lors des audits. Disposant de pas (la TPE) ou peu (la PME) de ressources en interne, elle va généralement s’appuyer sur des ressources
externes.
Ce profil d’organisation attend du processus de veille du pragmatisme et de l’efficacité : connaître rapidement et aisément ses obligations réglementaires HSE, en interpréter les conséquences et pouvoir s’y conformer. ln fine, la veille doit répondre en tout point aux exigences normatives.
Grandes entreprises et grands groupes
Les attentes de grandes entreprises vont au-delà de leurs cadettes : elles visent le plus souvent un objectif transversal et une logique d’anticipation. En effet, les grands groupes vont tendre à mettre en place une veille réglementaire qui
leur permettra :
- d’identifier et de mettre à jour leurs exigences légales ;
- d’anticiper les exigences à venir ;
- de structurer une démarche d’aide, de mutualisation et de support aux différents sites faisant partie du groupe le cas échéant.
Il existe, en effet, une vraie demande de la part des responsables HSE de support pour remédier au manque de connaissance/compétence et de temps alloué par les sites à la réglementation HSE.
Organisations territoriales et associations :
A l’instar des grands groupes, les collectivités chercheront à simplifier un processus de veille qui peut s’avérer complexe dans ce type d’organisation où le domaine d’application et le périmètre de veille réglementaire s’appliquent
sur des activités très diverses et étendues sur l’intégralité d’un territoire.
Les associations, de type parapublic ou autres, rechercheront au même titre que les TPE un système de veille pragmatique, efficace et peu gourmand en temps et en coûts.
Structurer le processus de veille réglementaire
Étapes préliminaires :
Timing :
Quelles que soient les motivations qui engagent une organisation à mettre en place un processus de veille HSE structuré, la question du timing est primordiale.
Externaliser sa veille via un prestataire, nécessite en moyenne une durée de mise en place de sa veille réglementaire HSE d’au moins trente jours après la visite initiale de site, cela reste évidemment une moyenne, la variation de durée peut dépendre de la complexité des activités du site et de son contexte réglementaire, de la façon dont sont structurées ses données, de ses travaux antérieurs en la matière, mais aussi des dispositions d’esprit des interlocuteurs.
À titre d’exemple, une entreprise classée, au titre des installations classées, sous le régime de la déclaration pour deux ou trois rubriques, peut voir construire sa veille réglementaire environnementale en quelques semaines même si elle ne dispose pas de données initiales structurées.
Exemple :
Une entreprise de travail mécanique qui réalise également de l’assemblage dont l’effectif est de deux cents personnes. Durée de mise en place : vingt jours après la visite du site.
A contrario, pour un établissement en statut Seveso présentant des activités très diversifiées, allant du traitement de surface à la peinture, en passant par une « petite activité » d’extrusion, mettant en œuvre des liquides inflammables, des toxiques, des peroxydes. .. étendu sur plusieurs bâtiments… un cas plus complexe donc, la durée de construction de la base réglementaire HSE personnalisée pourra avoisiner les 60 à 90 jours en externalisation.
Le statut SEVESO distingue deux types d’établissements, selon la quantité totale de matières dangereuses susceptible d’être présente dans l’installation : les établissements Seveso seuil haut ; les établissements Seveso seuil bas.
Quid de la réalisation en interne ou externe ? :
Dans le cas où l’organisation, souvent une TPE et/ou PME, décide de mettre en place en interne son processus de veille personnalisée, la question des ressources internes se pose inexorablement : combien de temps faut-il allouer à cette tâche ? Cela dépend de la compétence et de l’expérience de la personne en charge de la veille.
Exemple d’un site, avec une activité relativement simple dont le responsable HSE, très « terrain » a travaillé plus de deux mois à temps complet (un été studieux … ) sur sa veille réglementaire et qui au bout de ces soixante jours, a accumulé stress et angoisse de ne pas être parvenu à s’assurer de l’exhaustivité et de la justesse de ses travaux … la quête du Graal de tout veilleur HSE !
La veille réglementaire peut donc devenir la bête noire du responsable HSE, le syndrome de la page blanche de !’écrivain!
Acteurs :
Il est fondamental d’identifier les acteurs qui auront un rôle à jouer dans le processus de veille réglementaire et d’évaluation de conformité. De cette identification dépendront l’organisation et la structure à mettre en place.
Quels sont les acteurs internes et/ou externes susceptibles d’avoir des attentes ou d’être « intéressés » par rapport à mon processus de veille réglementaire HSE ?
Parmi les acteurs internes, distinguons :
- la Direction de l’entreprise ou membres du Comité de direction intéressés par les changements réglementaires susceptibles d’impacter la stratégie de l’entreprise ;
- d’autres fonctions ou services de l’organisation : le service HSE bien entendu, mais également les services moyens généraux, maintenance, travaux neufs souvent les plus impactés par les évolutions réglementaires touchant le bâti, les infrastructures, l’entretien et la maintenance des équipements… mais aussi la direction financière, intéressée par l’impact économique de ces contraintes, la fonction ressources humaines, impliquée fortement notamment dans la mise en œuvre des nouvelles réglementations santé/sécurité au travail (pénibilité, risques psychosociaux, harcèlement, formations obligatoires, etc.), l’infirmière ou le médecin du travail, la logistique pour les questions relatives au transport, le bureau d’études/méthodes pour les critères relatifs à la conception des équipements et des procédés, le service achats pour l’application des règles d’achat et d’approvisionnement en matières premières, produits, services et équipements ;
- les instances représentatives du personnel : délégués du personnel, membre du CHSCT (comité d’hygiène, de sécurité et des conditions de travail )..
Parmi les acteurs externes, les parties susceptibles d’être intéressées ou impactées par votre veille réglementaire HSE sont :
- les institutionnels, dont les rôles varient sensiblement
- les organismes d’audit tierce-partie, les organismes de certification qui missionnent des auditeurs dont le rôle est de vérifier que les exigences des référentiels normatifs (ISO 14001, OHSAS 18001, ISO 45001) sont bien respectées et mises en œuvre et veillent à évaluer l’aptitude de l’organisation à assurer sa veille réglementaire, son évaluation de conformité et le traitement des écarts éventuels ;
- les organismes d’audit de seconde partie, qui peuvent être des clients, s’assurant de la robustesse du processus de veille réglementaire et de la conformité de leurs fournisseurs ;
- le Groupe, les actionnaires, le cas échéant : certains sites subissent une forte pression de leur Groupe en matière de respect de la réglementation et sont ainsi soumis à des exigences de reporting fortes ;
- les riverains, les collectifs constitués en association ou non, dotés d’un contre-pouvoir non négligeable, et disposant d’une information abondante sur la réglementation applicable ;
- les assureurs, dont les clauses en matière de respect de la réglementation sont un préalable à toute discussion, que ce soit en matière de prime d’assurance ou en matière de sinistralité.
Quels sont les acteurs susceptibles de me fournir des données ?
Certains des acteurs cités précédemment comme présentant des attentes par rapport à la veille réglementaire HSE d’une organisation peuvent jouer également un rôle de conseil, d’apporteur d’informations ou de données
contribuant à la bonne marche du processus de veille HSE : notamment, le CHSCT, les assureurs, les contrôleurs CARSAT, les services juridiques des Groupes ou coordinateur HSE Groupe intervenant souvent en support.
D’autres acteurs externes sont à prendre en compte :
- les fournisseurs et sociétés de services spécialisés auprès desquels la veille réglementaire peut être intégralement ou partiellement externalisée : bureaux d’études spécialisés, fournisseurs d’applications en mode Saas (Software as a service) et d’outils de veille réglementaires dotés d’équipes de consultants de terrains expérimentés et de juristes HSE spécialisés ;
- les syndicats et unions professionnelles : l’UIMM (Union des Industries et des Métiers de la Métallurgie) par exemple fournit un service gratuit de veille réglementaire HSE « sectorielle » pour ses adhérents ;
- les chambres consulaires : chambres de commerces et d’industries qui, via les clubs QSE, permettent aux entreprises d’échanger lors de réunions thématiques et qui dans beaucoup de régions maintenant diffusent une lettre mensuelle destinée à informer leurs ressortissants des principales évolutions réglementaires en matière de sécurité et d’environnement ;
- les fournisseurs d’équipements et de matériels peuvent fournir des données réglementaires relatives à la construction et à l’entretien des équipements.
Outil de veille réglementaire HSE
Nous aborderons dans l’articles suivant :
- Comment bien réaliser sa veille – outil de veille réglementaire ? : Méthode et moyens
- Utilisateurs et bénéficiaires de la veille réglementaire HSE
- Profil et compétences
Comment mettre en place une veille réglementaire ?
Pour réaliser une veille réglementaire adaptée et personnalisée, il faut connaitre son « terrain de jeu », c’est-à-dire tout ce qui va constituer son périmètre de veille. Cela passera par la connaissance d’un certains nombres de paramètres « techniques » comme, par exemple, la situation administrative de l’entreprise, l’ensemble des risques auxquels elle peut être confrontée ainsi que son niveau de maturité. Cette étape de connaissance du « terrain de jeu » est une étape préalable importante lorsqu’on se lance pour la première fois dans le processus de veille.
La méthodologie ou processus de veille réglementaire se décompose en 3 étapes majeures :
- 1ère étape : Constitution du ou des référentiels réglementaires applicables et mise en place du processus de veille. Il peut être en effet nécessaire de constituer plusieurs référentiels distincts à plusieurs sites d’une même entreprise si besoin
(complexité technique et/ou organisationnelle, différences d’activité au sein d’une même entreprise, etc.). - 2ème étape : Evaluation de la conformité et mise en place des plans d’actions pour une mise en conformité et une amélioration continue.
- 3ème étape : Suivi et pilotage des actions au travers de reportings précis et simples d’utilisation.
Pour mener à bien ces trois étapes, le recours aux outils est inéluctable…