Les nouveautés de la norme ISO 9001 version 2015

C’est le premier octobre 2015 que la cinquième version de l’ISO 9001 a été publiée. Depuis la trilogie 9001-9002-9003 de 1987, les modifications ont été nombreuses. Cette version apporte de réelles avancées, aussi importantes que l’arrivée de l’approche processus en 2000. Je vous propose de les découvrir ici.

Bien entendu, la lecture de ce dossier ne remplacera jamais la lecture de la norme elle-même. Vous devez évidemment en faire l’acquisition, et en analyser toutes les exigences.

·  Un certain nombre de modifications impactent la forme de la Norme. Soit sur sa présentation, soit sur l’approche des principes de management de la qualité. Il faut toutefois ne pas se méprendre. Les modifications de fond sont nombreuses, et limiter l’évolution aux seuls aspects formels serait une erreur.

·  Les principes de base

L’ISO 9000:2005 listait 8 principes de base pour le management de la qualité, la version 2015 n’en compte plus que 7, dont les intitulés ont parfois légèrement changé, et qui sont présentés un peu différemment :

  • Orientation client – inchangé
  • Leadership – inchangé
  • Implication du personnel – inchangé
  • Approche processus, qui intègre à présent le Management par approche système – ce qui ne change rien en pratique, l’approche systémique étant quoi qu’il arrive intégrée dans l’approche processus.
  • Amélioration, qui remplace « amélioration continue »
  • Prise de décision fondée sur des preuves, qui remplace « Approche factuelle pour la prise de décision »
  • Management des relations avec les parties intéressées, qui remplace le « Relations mutuellement bénéfiques avec les fournisseurs », ce qui permet d’ouvrir les principes du management de la qualité aux attentes des salariés, de la société civile, de l’administration, des actionnaires, etc.

·  Introduction de la « Structure de haut niveau » (ou, en anglais, « High Level Structure », abrégée en HSL). C’est le nouveau modèle des normes de management (comme l’ISO 14001 ou l’ISO 45001 qui a vocation à remplacer l’OHSAS 18001), en 10 chapitres :

  1. Domaine d’application
  2. Références normatives
  3. Termes et définitions
  4. Contexte de l’organisme
  5. Leadership et engagement
  6. Planification
  7. Processus support
  8. Processus opérationnels
  9. Evaluation de la performance
  10. Amélioration

C’est une trame bien plus intelligente que la précédente. On ne commence plus par la documentation (‘était le 4 .2 de la version 2008), mais par ce qui fait le contexte de l’entreprise, c’est-à-dire ce qui va façonner le SMQ. On se rapproche ainsi de la vision traditionnelle du management de l’entreprise.

·  Disparition du responsable qualité ?
Exit le « membre de l’encadrement qui (…) doit avoir la responsabilité et l’autorité en particulier pour assurer que les processus nécessaires au SMQ sont établis, mis en œuvre et entretenus (et) rendre compte à la direction (…) ». Dans la version 2015, rien de spécifique n’est prévu, sauf que « la direction assume la responsabilité » du SMQ. Libre à elle de choisir telle organisation ou de créer telle fonction pour que le système puisse fonctionner. Mais à terme, ce sont les pilotes de processus qui devront prendre en charge ce qui revenait au RQ. Cela ne pourra qu’améliorer l’efficacité du système, mais cela ne se fera que lorsque les directions auront intégré le changement. Et d’ici là, les RQ conservent leur poste !

·  Arrivée des « informations documentées« 
Les « procédures documentées » et les « enregistrements » disparaissent, au profit de la notion « d’informations documentées ». Les procédures dites « obligatoires » (audit interne, traitement des non-conformités, actions préventives, etc.) disparaissent, les textes d’origine externe sont pris en compte (lois, normes, spécifications…), la gestion des procédures, des supports d’enregistrement et des enregistrements eux-mêmes est indifférenciée.
Mais on continuera à écrire des procédures ! Le point 7.5 « information documentées » prévoit toujours leur maîtrise, et dans la Norme, on ne compte pas moins de 10 références à des « informations documentées » qui ressemblent fort à des procédures, et notamment :

  • 4.4.2. a : « l’organisme doit, autant que nécessaire, tenir à jour les informations documentées nécessaires au fonctionnement de ses processus »;
  • 7.5.1.b : « Le SMQ de l’organisme doit inclure les informations documentées que l’organisme juge nécessaires à l’efficacité du système de management de la qualité ».

Cette dernière notion de documents « jugés nécessaires » par l’organisme devrait permettre d’alléger un peu la documentation actuelle. Par exemple, une entreprise ayant une activité de bureau d’études pourra ne pas avoir une procédure pour gérer le produit non conforme, dans la mesure où cette gestion relève du simple bon sens, que les non-conformités sont identifiées et traitées au fur et à mesure qu’elles apparaissent, et qu’il n’y a qu’une manière de les traiter : les corriger ! Pas de dérogation ni de déclassement possible, et le rebut sera toujours partiel.

·  Disparition du manuel qualité !
C’est un emblème qui disparait ! La version 2008 prévoyait que le MQ contienne le domaine d’application du SMQ, les procédures – ou la référence à celles-ci, et une description des interactions entre les processus. En pratique, on n’avait généralement que le domaine d’application et une « cartographie » des processus, renvoyant à la description des processus, eux-mêmes renvoyant plus ou moins clairement aux procédures associées.

La version 2015 demande toujours de « déterminer la séquence et l’interaction [des] processus » Et un bon endroit pour décrire ces interactions reste un document générique, qui présente l’entreprise, le contexte dans lequel elle évolue, ses clients, ses produits, son organisation, sa politique qualité reste un Manuel de Management… Et comme certains clients vont continuer à demander à consulter le Manuel Qualité, je recommande de ne pas le faire passer trop vite à la broyeuse à documents !

·  Disparition des actions préventives
C’était souvent un casse-tête pour les responsables qualité, qui avaient du mal à déterminer le moment le plus adéquat pour lancer ces actions (qui, par définition, ne sont pas absolument indispensable à une date donnée), et qui avaient également des difficultés à faire la distinction entre une action préventive « version ISO 9001 » et une décision managériale du quotidien (lorsqu’on planifie les dates de congés des salariés, est-on dans l’activité normale, ou dans l’action préventive ?). Résultat, les auditeurs peinaient souvent à trouver de véritables actions préventives.

Dans la version 2015, le chapitre 6 « planification » intègre toutes les actions préventives:

  • Celles issues du contexte
  • Celles issues des analyses de risque
  • Celles issues des besoins de modifications (évolution de la demande client, revue de direction, élément de sortie d’une veille…)

·  Plus de section spécifiquement consacrée aux achats
Les matières achetées, les équipements achetés et les services achetés sont désormais réunis sous l’étiquette de « processus, produits et services fournis par des prestataires externes ».

l’Annexe A.8 va un peu plus loin dans l’explication : « l’externalisation a toujours la caractéristique essentielle d’un service, car elle comportera au moins une activité nécessairement réalisée à l’interface entre le prestataire et l’organisme ».

La section « 7.4 achats » de la version 2008 s’intéressait spécifiquement au produit acheté.

Chapitre 4 : Contexte de l’organisme

·  « l’organisme doit déterminer les enjeux externes et internes (…) qui influent sur sa capacité à atteindre (…) les résultats attendus« . Il s’agit là (ou devrait s’agir là) du niveau zéro du management de l’entreprise, mais il était indispensable de le rappeler. On parle de management, et toute la phase de conception du système doit s’appuyer sur une analyse de l’environnement et des enjeux.

·  « (…) l’organisme doit déterminer (surveiller et revoir) les parties intéressées qui sont pertinentes (et leurs) exigences ». Ici encore, on devrait être dans le management de base, mais rappeler les évidences n’est jamais totalement inutile. Surtout si l’on insiste sur le fait que les fournisseurs sont des parties intéressées avec lesquelles il existe une communauté d’objectifs (vendre le plus possible). Ou sur le fait que les salariés sont également des acteurs qui ont des attentes vis-à-vis de leur employeur et du système mis en place. Ou encore si l’on rappelle que chaque processus possède des fournisseurs (internes ou externes), des clients (internes ou externes) et des parties intéressées.

·  Une fois définis le contexte, les enjeux, les clients et autres parties intéressées, on doit déterminer le domaine d’application du SMQ, et ceci de manière documentée – c’est là qu’on se dit que le manuel qualité peut toujours servir !


·  Pour finir, il faut décrire les processus avec un niveau de détail assez poussé :

  • éléments d’entrée
  • éléments de sortie
  • séquence et interactions
  • critères, méthodes et indicateurs
  • ressources
  • responsabilités et autorité
  • risques et opportunités.

·  Notons le point 4.4.1 g) : « l’organisme doit (…) évaluer ces processus et mettre en œuvre toutes modifications requises pour s’assurer que ces processus produisent les résultats attendus« . l’évaluation de la performance des processus, dont de la performance du système, n’était jusque-là pas exigée de manière aussi claire. c’est à mon avis une bonne chose que de le faire. Après tout, l’objectif de la mise en place d’un système de management n’est-il pas d’améliorer ses résultats ?

·  Ce chapitre 4 permet réellement de jeter les fondations d’un réel système de management. S’il ne s’inscrit pas en rupture avec la version 2008, il apporte des éléments essentiels à la compréhension de ce qu’est un SMQ.

Chapitre 5 : Leadership (ou responsabilité du management)

·  La notion de leadership reste toujours un peu mystérieuse, mais si l’on considère que le « Draft International Standard ISO 9000 » de 2015 l’avait remplacée par « Responsabilité de la Direction », avant de revenir à « leadership », on comprend un peu mieux. Il ne s’agit, si l’on en croit l’ISO 9000:2015, que d’établir « la finalité et les orientations » et de créer « les conditions dans lesquelles le personnel est impliqué pour atteindre les objectifs qualité. » Le leader, c’est donc celui décide des objectifs, puis qui créée les conditions pour que les salariés puissent les atteindre. Cela se traduit notamment par :

  • 5.1.1 a) « La direction doit démontrer son leadership et son engagement vis-à-vis du système de management de la qualité en assumant la responsabilité de l’efficacité du système de management de la qualité; »

    c’est une petite phrase, dans l’esprit de la version précédente, qui rappelle de manière plus ferme le rôle fondamental de la direction.
  • 5.1.1 d) « La direction doit démontrer son leadership et son engagement vis-à-vis du système de management de la qualité en promouvant l’utilisation de l’approche processus et de l’approche par les risques; »

    Ceci devrait favoriser le réexamen des cartographies et des fiches descriptives des processus d’une part (comme on l’a vu ci-dessus), et d’autre part la formation aux principes de l’analyse des risques (voir plus bas.)
  • « 5.1.1 h) La direction doit démontrer son leadership et son engagement vis-à-vis du système de management de la qualité en incitant, orientant et soutenant les personnes pour qu’elles contribuent à l’efficacité du système de management de la qualité; »

    Nouvelle petite phrase qui devrait ouvrir les yeux de nombreux dirigeants. On va peut-être arriver un jour à abandonner l’expression de « ressources humaines » pour adopter « capital humain ». En effet, les ressources sont destinées à être consommées pour produire de la valeur, alors que le capital a vocation à prospérer…

·  Au point 5.3, on note la disparition de l’exigence d’avoir un responsable qualité. En théorie, ce sont les pilotes de processus qui devront assumer la charge, chacun en ce qui le concerne. Mais je parie qu’on retrouvera des « RQ » dans 15 ans ! Un professionnel compétent n’est jamais totalement inutile, et une personne qui a comme objectif d’animer un système pour trouver son optimum global (alors que les pilotes de processus ont naturellement tendance à rechercher leur optimum local) peut amener beaucoup! Bien entendu, l’idéal reste que la direction assume la totalité de la démarche. Tant que les principes du management de la qualité ne seront pas enseignés dans les écoles de management, on a peu de chances d’assister à cette révolution…

Chapitre 6 : Planification

·  6.1 : Actions à mettre en œuvre face aux risques et opportunités : c’est une modification fondamentale par-rapport à la version 2008. Cela devrait inciter tous les responsables qualité actuels et tous les pilotes de processus à revoir leur approche du management. On n’écrit pas une procédure pour qu’elle soit lue, ou appliquée; pas plus qu’on ne l’écrit pour que chacun fasse la même chose. On écrit une procédure parce qu’on a identifié que c’était la réponse la mieux adaptée à la maîtrise d’un risque donné. Parce qu’il y a souvent plusieurs moyens de maîtriser le risque en question : une modification matérielle, de la formation, un changement de procédé, la sous-traitance… Il faut systématiquement se poser la question des risques qui pèsent sur le système, sur ce qui peut l’empêcher d’atteindre ses objectifs.

·  De manière symétrique, « l’organisme doit (…) déterminer les (…) opportunités qu’il est nécessaire de prendre en compte pour (…) atteindre les résultats escomptés, accroitre les effets souhaitables (…) et s’améliorer« . Là encore, ce n’est que du management basique. Encore faudra-t-il arriver à démontrer que cette analyse est faite…

·  6.2 Objectifs qualité et planification pour les atteindre : « 6.2.2 Lorsque l’organisme planifie la façon dont ses objectifs qualité seront atteints, il doit déterminer (…) b) quelles ressources seront nécessaires; c) qui sera responsable ».

Puisse cette exigence sonner définitivement le glas des objectifs sortis de nulle part, irréalistes, sans lien avec les moyens nécessaires pour les atteindre !

·  6.3 Planification des modifications : « Lorsque l’organisme détermine le besoin de modifier le système de management de la qualité, les modifications doivent être réalisées de façon planifiée (voir 4.4). l’organisme doit prendre en compte: a) l’objectif des modifications et leurs conséquences possibles; b) l’intégrité du système de management de la qualité; c) la disponibilité des ressources; d) l’attribution ou la réattribution des responsabilités et autorités« .

C’est la logique du PDCA : si on a identifié une modification à apporter, on doit planifier sa mise en œuvre. On noter toutefois que l’analyse des risques reste présente (l’analyse des « conséquences possibles » des modifications envisagées…)

Chapitre 7 : Support

·  Pas énormément de nouveautés dans ce chapitre, qui intègre à présent les sections sur la gestion documentaire et celles sur les « ressources pour la surveillance et la mesure ».

·  Un point fondamental cependant, le « 7.1.6 Connaissances organisationnelles : l’organisme doit déterminer les connaissances nécessaires à la mise en œuvre de ses processus et à l’obtention de la conformité des produits et des services. Ces connaissances doivent être tenues à jour et mises à disposition autant que nécessaire. Pour faire face à une modification des besoins et des tendances, l’organisme doit prendre en compte ses connaissances actuelles et déterminer comment il peut acquérir ou accéder à toutes connaissances supplémentaires nécessaires et aux mises à jour requises« .

Les connaissances individuelles, la compétence de chacun, ne sont plus suffisantes. On parle ici des connaissances que l’organisation, le système, doivent posséder pour affronter l’environnement.

·  Autre nouveauté, qui rapproche l’ISO 9001:2015 des attentes de la Responsabilité Sociétale des Entreprises, le 7.1.4 : »l’organisme doit déterminer, fournir et maintenir l’environnement nécessaire à la mise en œuvre de ses processus et à l’obtention de la conformité des produits et des services. NOTE Un environnement approprié peut être une combinaison d’aspects humains et physiques, tels que : sociaux (par exemple non discriminatoire, calme, non conflictuel); psychologiques (par exemple réduction du stress, prévention du «burnout», protection affective); physiques (par exemple température, chaleur, humidité, lumière, circulation d’air, hygiène, bruit). »

·  Pour le reste, le 7.3 Sensibilisation et le 7.4 Communication n’apportent pas de révélations par-rapport à la version 2008. Et le 7.5 Informations documentées, mis à part le fait que les anciens documents et les anciens enregistrements sont dorénavant considérés de la même manière, n’apporte pas non plus de réelle innovation : il y aura toujours besoin de documents écrits, ils devront toujours être gérés de manière organisée…

Chapitre 8 : Réalisation des activités opérationnelles

·  c’est – et de loin – le plus gros chapitre de la norme (environ le tiers des pages). Il subit des modifications significatives par rapport à la version 9001:2008 sur les points suivants :

  • 8.2 Exigences des produits et services. Il y est question des relations avec les clients, en particulier au travers de :
    • 8.2.1 : »La communication avec les clients doit inclure: c) l’obtention d’un retour d’information des clients concernant les produits et services, y compris leurs réclamations« ;

      Il faut comprendre que l’enregistrement des réclamations est insuffisant pour s’assurer de l’adéquation de l’offre aux attentes des clients. Ce n’est pas nouveau, mais c’est à présent très clair.
    • 8.2.2 : « Lors de la détermination des exigences relatives aux produits et services proposés aux clients, l’organisme doit s’assurer que: b) l’organisme peut répondre aux réclamations relatives aux produits et services qu’il propose« .

      Il faut donc, dès la conception du produit, anticiper les déconvenues possibles : encore une application de l’approche par les risques !
    • 8.2.3.2 : « l’organisme doit, le cas échéant, conserver des informations documentées: a) sur les résultats de la revue; b) sur toute nouvelle exigence relative aux produits et services« .

      l’expression « le cas échéant » est la bienvenue, mais il faudra déterminer dans quels cas il n’est pas nécessaire d’enregistrer les résultats de la revue de contrat. Si l’entreprise vend par correspondance, pas de souci, mais pour une entreprise de services, ce sera plus délicat à formaliser.
    • 8.2.4 : « l’organisme doit s’assurer que les informations documentées correspondantes sont amendées et que le personnel concerné est informé des exigences modifiées, lorsque les exigences relatives aux produits et services sont modifiées« .
  • 8.4 Maîtrise des processus, produits et services fournis par des prestataires externes. Sous ce titre un peu long, on va retrouver à la fois les achats de matières et de produits, les achats de service, et la sous-traitance.
    • 8.4.2 « l’organisme doit: a) s’assurer que les processus fournis par des prestataires externes demeurent sous le contrôle de son système de management de la qualité« ;

      Elle est importante, cette exigence ! Et, si elle ressemble à ce qui était écrit dans la version 2008 (« Lorsqu’un organisme décide d’externaliser un processus ayant une incidence sur la conformité du produit aux exigences, l’organisme doit en assurer la maîtrise. La maîtrise des processus externalisés doit être mentionnée dans le système de management de la qualité.« ), elle est à présent inscrite dans le chapitre consacré à la maîtrise opérationnelle, alors que la version 2008 l’avait mise au point 4.1 « Exigences générales ». Par ailleurs, tous les processus externalisés sont à présent concernés.
    • 8.4.3 « l’organisme doit communiquer aux prestataires externes les exigences concernant: a) les processus, produits et services devant être fournis; b) l’approbation: 1) des produits et services; 2) des méthodes, des processus et des équipements; 3) de la libération des produits et services; c) les compétences, y compris toute qualification requise des personnes; d) les interactions des prestataires externes avec l’organisme; « .

      c’est la suite logique de ce qui précède : si on veut maîtriser une activité externalisée, il est indispensable de communiquer de manière pertinente avec le prestataire, après avoir défini les interactions (c’est à dire les responsabilités, les outils, les circonstances des contacts.)
  • 8.6 Libération des produits et services. « l’organisme doit conserver les informations documentées concernant la libération des produits et services. Les informations documentées doivent comprendre: a) des preuves de la conformité aux critères d’acceptation; b) la traçabilité jusqu’à la (aux) personne(s) ayant autorisé la libération« .

    Pas d’exemption prévue… Tout ce qui est livré au client doit faire l’objet d’une validation, et on doit en retrouver la trace.
  • 8.7 Maîtrise des éléments de sortie non conformes. La nouveauté vient du dernier paragraphe :

    « 8.7.2 l’organisme doit conserver les informations documentées décrivant la non-conformité; décrivant les actions menées; décrivant toutes les dérogations obtenues; identifiant l’autorité ayant décidé des actions en rapport avec la non-conformité« 

    Le fait de documenter systématiquement les actions – et les responsabilités – liées à chaque non conformité permettra de mieux prendre conscience des dysfonctionnements, et facilitera la préparation de la revue de direction.

·  Les autres sections restent proches de ce que l’on trouvait dans l’ISO 9001:2008, avec notamment les activités de conception et les phases de revue, de vérification et de validation qui vont avec.

Chapitre 9 : Évaluation des performances

·  Les modifications ici sont mineures, surtout limitées au 9.1 :

9.1 Surveillance, mesure, analyse et évaluation : « l’organisme doit analyser et évaluer les données et informations appropriées issues de la surveillance et de la mesure. Les résultats de l’analyse doivent être utilisés pour évaluer :

  • la conformité des produits et services;
  • le niveau de satisfaction des clients;
  • la performance et l’efficacité du système de management de la qualité;
  • l’efficacité avec laquelle la planification a été mise en œuvre;
  • l’efficacité des actions mises en œuvre face aux risques et opportunités;
  • la performance des prestataires externes;
  • le besoin en améliorations du système de management de la qualité ».

La mesure de l’efficacité du système, de la planification, des actions de pilotage n’était pas clairement exigée dans la version 2008 de l’ISO 9001.

·  Les autres sections ne changent pas réellement : audit interne et revue de direction restent à leur place…

Chapitre 10 : Amélioration

Seule nouveauté ici, la disparition des actions préventives, qui sont intégrées dans l’activité plus générique de planification.

Impacts sur la gouvernance d’entreprise

·  Cette nouvelle version de l’ISO 9001 oriente les systèmes de management de la qualité vers l’efficacité. On doit pouvoir démontrer que le système apporte une plus-value. Cela aura pris du temps, mais les principes du livre de Philip Crosby « Quality is Free » (La qualité c’est gratuit), qui date tout de même de 1979, vont peut-être finir par être acceptés !

·  La responsabilité de la direction est affirmée. Cela devrait modifier la manière dont les audits internes sont conduits, puisqu’il va falloir demander des comptes aux pilotes et à la direction.

·  La traçabilité des opérations, des décisions fait un retour en force, ce qui va nécessiter des modifications des manières de faire pour les entreprises de service. Pour la production industrielle de série, la traçabilité est déjà une réalité quotidienne.

Partager

One Reply to “Les nouveautés de la norme ISO 9001 version 2015”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *