Accueil / Blog / Préparer un audit ISO 45001 : le guide PME
Guide QSE ISO 45001 Sécurité Audit Certification PME

Préparer un audit ISO 45001 : le guide PME

Par Roméo Labs | | 10 min de lecture
Préparer un audit ISO 45001 en PME : étapes, non-conformités et certification SST

En 2023, l'Assurance Maladie a recensé 1 287 décès liés au travail et 74,6 millions de journées d'arrêt indemnisées, pour près de 9,9 milliards d'euros de prestations versées. Derrière ces chiffres, une attente de plus en plus nette des donneurs d'ordre : prouver que la sécurité est pilotée, pas subie. C'est exactement ce que certifie la norme ISO 45001.

En France, le mouvement est lancé. Le nombre d'entreprises certifiées ISO 45001 a triplé en deux ans, passant de 524 fin 2019 à 1 570 fin 2021 selon l'ISO Survey relayé par AFNOR. Pour beaucoup de PME industrielles, BTP et de services, la question n'est plus « faut-il y aller » mais « comment réussir l'audit du premier coup ».

Préparer un audit ISO 45001 ne s'improvise pas la veille. Ce guide vous explique ce que l'auditeur vient vérifier, les deux étapes de l'audit de certification, les six chantiers à boucler avant le jour J, les non-conformités qui reviennent le plus souvent, et le rythme des trois années qui suivent. Objectif : arriver préparé, pas stressé.

ISO 45001 : ce que l'auditeur vient vraiment vérifier

ISO 45001 est la norme internationale de management de la santé et de la sécurité au travail (SST). Publiée en 2018, elle a remplacé l'ancien référentiel OHSAS 18001, dont la migration est close depuis 2021. C'est aujourd'hui le standard de référence reconnu partout dans le monde.

Première idée reçue à corriger : l'auditeur ne vient pas vérifier que vous n'avez aucun accident. Il vient vérifier que vous avez un système qui identifie les risques, les traite, et s'améliore dans le temps. La preuve compte plus que la déclaration. Une politique sécurité affichée mais jamais appliquée sur le terrain ne passe pas.

La norme suit la structure commune (HLS) partagée avec ISO 9001 et ISO 14001. Concrètement, sept chapitres d'exigences structurent l'audit : le contexte de l'organisation, le leadership, la planification, le support, la réalisation des activités, l'évaluation des performances et l'amélioration. Si vous êtes déjà certifié sur une autre norme ISO, l'ossature vous sera familière.

En France, le socle réglementaire existe déjà : le Document Unique d'Évaluation des Risques Professionnels (DUERP) est obligatoire pour toute entreprise dès le premier salarié. ISO 45001 ne le remplace pas, elle le met sous tension dans une logique d'amélioration continue. C'est le premier document que l'auditeur regardera. Pour situer votre maturité avant de vous lancer, notre diagnostic QSE donne un point de départ honnête.

Les deux étapes de l'audit de certification ISO 45001

L'audit de certification ISO 45001 est réalisé par un organisme certificateur accrédité (AFNOR Certification, Bureau Veritas, SOCOTEC, Dekra, TÜV...). En France, cette accréditation est délivrée par le COFRAC, ce qui garantit la valeur du certificat. L'audit se déroule toujours en deux étapes distinctes.

Étape 1 : la revue documentaire

L'auditeur vérifie que votre système documentaire existe et couvre les exigences de la norme. Il évalue votre niveau de préparation, cadre le périmètre exact de la certification et planifie l'étape 2. C'est aussi un filtre : si des manques majeurs apparaissent ici, mieux vaut décaler l'étape 2 que d'aller au mur. Considérez l'étape 1 comme un avertissement utile, pas comme une formalité.

Étape 2 : l'audit sur site

C'est l'audit qui décide. L'auditeur passe sur le terrain : réunion d'ouverture, entretiens avec les opérateurs et l'encadrement, observation des postes, échantillonnage des enregistrements. Il teste une seule chose en réalité : est-ce que le système décrit sur le papier est réellement vécu par les équipes ? La réunion de clôture présente les écarts constatés, puis un rapport formel acte la décision.

Les écarts sont classés en trois niveaux. La non-conformité majeure bloque la certification tant qu'elle n'est pas corrigée et reverifiée. La non-conformité mineure demande un plan d'action sous délai mais ne bloque pas l'obtention. La remarque ou piste de progrès n'a pas d'impact direct, mais sera regardée à la surveillance suivante. Comprendre cette hiérarchie évite de paniquer au premier écart annoncé.

Préparer un audit ISO 45001 : les six chantiers à boucler

La réussite se joue avant l'arrivée de l'auditeur. Voici les six chantiers qui font la différence entre une certification décrochée du premier coup et un audit reporté.

Chantier Preuve attendue par l'auditeur
Engagement de la direction Politique SST signée, ressources allouées, objectifs portés visiblement par la direction (pas seulement par le QSE)
Analyse des risques à jour DUERP actualisé, intégrant les risques émergents (RPS, sous-traitance, nouveaux équipements), avec dates de révision
Participation des travailleurs Comptes rendus CSE/CSSCT, preuves de consultation des équipes sur les risques et les mesures
Objectifs SST mesurables Cibles chiffrées et suivies (ex : -10 % d'accidents, 100 % des EPI contrôlés), pas des intentions floues
Audit interne Au moins un audit interne réalisé, avec écarts identifiés et traités, avant l'audit de certification
Maîtrise des sous-traitants Exigences SST dans les contrats, évaluation et suivi des prestations externes

L'audit interne mérite une mention spéciale : c'est votre répétition générale. Mené quelques semaines avant l'audit de certification, il révèle les écarts pendant qu'il est encore temps de les corriger. Une PME qui saute cette étape arrive à l'aveugle le jour J. Et la difficulté n'est presque jamais technique : c'est de rassembler des preuves dispersées entre des cahiers, des mails et des tableurs.

Vous voulez arriver à l'audit ISO 45001 avec vos preuves déjà prêtes, au lieu d'un sprint de deux semaines à reconstituer des classeurs ?

Découvrir Roméo →

Les non-conformités qui reviennent le plus souvent

Les auditeurs voient les mêmes écarts revenir d'une PME à l'autre. Les connaître à l'avance, c'est se donner une longueur d'avance. Voici les non-conformités les plus fréquentes en audit ISO 45001.

Non-conformité fréquente Comment l'éviter
DUERP figé, non actualisé Planifier une revue au moins annuelle et après chaque changement significatif, en impliquant les équipes
Engagement de direction non prouvé Tracer les décisions, les budgets sécurité et la communication de la politique à tous les niveaux
Objectifs vagues, non mesurables Définir des indicateurs chiffrés et les suivre dans le temps
Consultation des travailleurs faible Conserver les comptes rendus de réunions et les preuves de participation
Traitement des écarts en surface Traiter la cause racine (§10.2), pas seulement le symptôme documentaire
Risques émergents oubliés Intégrer RPS, télétravail, sous-traitance et nouveaux équipements à l'analyse

Le fil rouge est toujours le même : l'écart naît du décalage entre le système décrit et la réalité du terrain. Une documentation parfaite qui ne reflète pas ce qui se passe vraiment aux postes ne tient pas trois questions en entretien. La meilleure préparation consiste donc à rapprocher la preuve du terrain, là où l'action se passe. C'est précisément ce que permet la digitalisation des rapports HSE.

Le cycle de trois ans : surveillance et recertification

Décrocher le certificat n'est pas une ligne d'arrivée, c'est le début d'un rythme. La certification ISO 45001 est valable trois ans, et l'organisme revient chaque année vérifier que le système vit toujours.

  • Année 1 : audit de surveillance 1. Plus court que l'audit initial, il vérifie que le système est maintenu et que les écarts précédents ont été traités.
  • Année 2 : audit de surveillance 2. Même logique, avec une attention sur l'amélioration continue réelle et le suivi des indicateurs.
  • Année 3 : audit de recertification. Un audit approfondi, proche de l'étape 2 initiale, qui renouvelle le certificat pour un nouveau cycle de trois ans.

Cette mécanique change la façon de se préparer. La PME qui reconstitue ses preuves dans la panique à chaque visite finit par s'épuiser. Celle qui consolide ses preuves en continu, au fil de l'eau, transforme l'audit en simple export. C'est le vrai gain d'une démarche bien outillée : faire de la prévention des risques un réflexe quotidien plutôt qu'un dossier à rattraper. Pour aller plus loin sur l'organisation terrain, voyez notre dossier QSE complet.

Ce qu'il faut retenir

  • ISO 45001 certifie un système de management de la sécurité, pas une absence d'accidents : l'auditeur cherche des preuves, pas des déclarations.
  • L'audit de certification se fait en deux étapes : revue documentaire (étape 1) puis audit sur site (étape 2).
  • Six chantiers à boucler avant le jour J : engagement direction, DUERP à jour, participation des travailleurs, objectifs mesurables, audit interne, maîtrise des sous-traitants.
  • L'audit interne est votre répétition générale : ne le sautez jamais.
  • Les non-conformités viennent presque toujours du décalage entre le système décrit et la réalité du terrain.
  • La certification s'inscrit dans un cycle de 3 ans avec deux audits de surveillance puis une recertification.

La recommandation tranchée : ne préparez pas votre audit ISO 45001 comme un examen ponctuel. Mettez en place une collecte de preuves continue dès maintenant. Une PME qui consolide ses preuves au fil de l'eau passe ses audits sereinement pendant des années. Celle qui sprinte deux semaines avant chaque visite finit par perdre sa certification ou son énergie.

Questions fréquentes

Combien de temps faut-il pour préparer une première certification ISO 45001 ?

Comptez généralement 6 à 12 mois pour une PME qui part d'un DUERP existant mais sans système formalisé. Le délai dépend surtout de votre maturité de départ : si la politique sécurité, les objectifs et la consultation des équipes existent déjà, la mise en conformité est plus rapide. Le facteur limitant est rarement la technique, c'est le temps interne disponible pour porter le projet.

Quelle différence entre une non-conformité majeure et mineure ?

Une non-conformité majeure correspond à une exigence de la norme non couverte ou à une défaillance systémique : elle bloque la certification tant qu'elle n'est pas corrigée et vérifiée. Une non-conformité mineure est un écart ponctuel qui demande un plan d'action sous délai, mais n'empêche pas l'obtention du certificat. Une remarque, elle, n'a pas d'impact direct mais sera revue à l'audit suivant.

La certification ISO 45001 est-elle obligatoire ?

Non, ISO 45001 est une démarche volontaire. En revanche, le Document Unique d'Évaluation des Risques Professionnels (DUERP), lui, est une obligation légale dès le premier salarié. De plus en plus de donneurs d'ordre exigent ISO 45001 dans leurs appels d'offres : la norme devient un prérequis commercial de fait, même sans obligation réglementaire.

Combien coûte une certification ISO 45001 pour une PME ?

Le coût se décompose en deux : l'audit par l'organisme certificateur (étapes 1 et 2, puis surveillances annuelles), facturé en jours-auditeur selon la taille et la complexité de l'entreprise, et le coût interne de préparation, souvent bien plus élevé. Ce dernier est surtout du temps : l'équivalent d'un mi-temps QSE pendant plusieurs mois pour une première certification. Demandez plusieurs devis d'organismes accrédités COFRAC.

Peut-on préparer son audit ISO 45001 sans consultant externe ?

Oui, c'est possible, surtout si vous avez une fonction QSE en interne. L'audit interne obligatoire vous sert de répétition générale pour repérer les écarts. Un consultant accélère la mise en place et apporte un regard extérieur utile sur le premier cycle, mais il n'est pas indispensable. Ce qui est indispensable, c'est une collecte de preuves rigoureuse et un engagement réel de la direction.

← Retour au blog