Une entreprise aux défis de l'OEA Norme ISO 9001 et OEA : Panacée ou pis-aller ?

Section 2 : Norme ISO 9001:2015 et Droit

Examinons de plus près les exigences de la norme d'un point de vue juridique. Pour cela, je vais étudier le document NF EN ISO 9001 (parties en italique) dans sa version d'octobre 2015 (la reproduction intégrale du document est strictement interdite).

Introduction - 0.1 Généralités : « En mettant en oeuvre un système de management de la qualité fondé sur la présente Norme internationale, les avantages potentiels pour un organisme sont les suivants: a) aptitude à fournir en permanence des produits et des services conformes aux exigences du client et aux exigences légales et réglementaires applicables ».

La norme est donc on ne peut plus claire : l'entreprise doit respecter la loi.

(même article) « c) prise en compte des risques et opportunités associés au contexte et aux objectifs de l'organisme; »

A mon avis, nous pouvons considérer que l'OEA est un risque et une opportunité car cette nouvelle certification exige de l'entreprise une remise à plat de ses procédures en vue d'un avantage commercial.

(ibidem) « L'approche par les risques permet à un organisme de déterminer les facteurs susceptibles de provoquer un écart de ses processus et de son système de management de la qualité par rapport aux résultats attendus, de mettre en place une maîtrise préventive afin de limiter les effets négatifs et d'exploiter au mieux les opportunités lorsqu'elles se présentent (voir Article A.4). »

Il s'agit là d'une forte incitation à se mettre à jour et à niveau.

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 38

« 0.3.2 Cycle PDCA : Le cycle PDCA peut s'appliquer à tous les processus et au système de management de la qualité dans son ensemble. La Figure 2 illustre la façon dont les Articles 4 à 10 peuvent être regroupés par rapport au cycle PDCA. Le cycle PDCA peut être décrit succinctement comme suit: -- Planifier: établir les objectifs du système, ses processus ainsi que les ressources nécessaires pour fournir des résultats correspondant aux exigences des clients et aux politiques de l'organisme, et identifier et traiter les risques et opportunités; -- Réaliser: mettre en oeuvre ce qui a été planifié; -- Vérifier: surveiller et (le cas échéant) mesurer les processus et les produits et services obtenus par rapport aux politiques, objectifs, exigences et activités planifiées, et rendre compte des résultats; -- Agir: entreprendre les actions pour améliorer les performances, en tant que de besoin. »

Or, juridique, douanier et contractuel sont aussi des processus et doivent être reconnus comme tels.

« 0.3.3 Approche par les risques : L'approche par les risques (voir Article A.4) est essentielle à l'obtention d'un système de management de la qualité efficace. Le concept d'approche par les risques qui comprend, par exemple, la mise en oeuvre d'une action préventive pour éliminer des non-conformités potentielles, l'analyse de toute non-conformité se produisant et la mise en oeuvre des actions appropriées adaptées aux effets de la non-conformité visant à éviter sa réapparition, était implicite dans les éditions précédentes de la présente Norme internationale. »

L'entreprise doit donc disposer des contrats et des documents exigés de nos partenaires par la certification, ce qui est aussi une démarche de « compliance ».

(même article) « Pour se conformer aux exigences de la présente Norme internationale, un organisme doit planifier et mettre en oeuvre des actions face aux risques et opportunités. La prise en compte à la fois des risques et des opportunités sert de base pour améliorer l'efficacité du système de management de la qualité, obtenir de meilleurs résultats et prévenir les effets négatifs. »

Planifier et mettre en oeuvre des actions sont typiquement des concepts que l'on peut associer à la rédaction de contrats cadres adossés à des conditions générales de vente et

d'achats.

« 1 Domaine d'application - (Un) organisme: a) doit démontrer son aptitude à fournir constamment des produits et des services conformes aux exigences des clients et aux exigences légales et réglementaires applicables, et b) vise à accroître la satisfaction de ses clients par l'application efficace du système, y compris les processus pour l'amélioration du système et l'assurance de la conformité aux exigences des clients et aux exigences légales et réglementaires applicables. »

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 39

C'est ici l'explication littérale de ce qu'il faudra fournir au SRA quant à la conformité de l'entreprise avec le QAE.

« 4.2 Compréhension des besoins et des attentes des parties intéressées : En raison de leur effet, réel ou potentiel, sur l'aptitude de l'organisme à fournir en permanence des produits et services conformes aux exigences des clients et aux exigences légales et réglementaires applicables, l'organisme doit déterminer: a) les parties intéressées qui sont pertinentes dans le cadre du système de management de la qualité; b) les exigences de ces parties intéressées dans le cadre du système de management de la qualité. L'organisme doit surveiller et revoir les informations relatives à ces parties intéressées et à leurs exigences pertinentes. »

L'OEA et le CDU ont et auront des effets très concrets (en particulier, des formalités export plus longues, plus complexes et plus coûteuses pour les entreprises qui n'auront pas la certification OEA). Pour ce qui est des « parties intéressées », concept ô combien « ISO » ainsi que nous l'avons vu plus haut, il paraît évident que les douanes doivent être prises en considération, qui veulent devenir nos partenaires à travers l'OEA.

« 4.3 Détermination du domaine d'application du système de management de la qualité - L'organisme doit déterminer les limites et l'applicabilité du système de management de la qualité afin d'établir son domaine d'application. Lorsque l'organisme établit ce domaine d'application, il doit prendre en compte: a) les enjeux externes et internes auxquels il est fait référence en 4.1; b) les exigences des parties intéressées pertinentes auxquelles il est fait référence en 4.2 ».

Même remarque que précédemment.

« 4.4 Système de management de la qualité et ses processus - 4.4.1 L'organisme doit établir, mettre en oeuvre, tenir à jour et améliorer en continu un système de management de la qualité, y compris les processus nécessaires et leurs interactions, en accord avec les exigences de la présente Norme internationale. »

Il paraît évident ici qu'un processus juridique et douanier est plus que nécessaire.

(même article) « L'organisme doit déterminer les processus nécessaires au système de management de la qualité et leur application dans tout l'organisme et doit: a) déterminer les éléments d'entrée requis et les éléments de sortie attendus pour ces processus; b) déterminer la séquence et l'interaction de ces processus. »

Parmi ces documents doivent bien sûr figurer les certificats d'origine, les attestations d'assurance et de non-condamnation, le K bis et le contrat. Cela signifie aussi qu'il faut anticiper l'intervention du service douane, NDA et contrats.

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 40

(ibidem) « g) évaluer ces processus et mettre en oeuvre toutes les modifications requises pour s'assurer que ces processus produisent les résultats attendus; h) améliorer les processus et le système de management de la qualité. »

Il est donc nécessaire d'intégrer les problématiques juridiques et douanières dans l'ensemble des processus.

« 5.1.2 Orientation client - La direction doit démontrer son leadership et son engagement relatifs à l'orientation client en s'assurant que: les exigences du client ainsi que les exigences légales et réglementaires applicables sont déterminées, comprises et satisfaites en permanence. »

On ne saurait être plus clair, dans une entreprise « certifiée Norme ISO », les questions de douane et juridiques doivent être prises en compte et traitées.

« 6.1.2 L'organisme doit planifier: a) les actions à mettre en oeuvre face aux risques et opportunités ; b) comment 1) intégrer et mettre en oeuvre ces actions au sein des processus du système de management de la qualité (voir 4.4); 2) évaluer l'efficacité de ces actions. Les actions mises en oeuvre face aux risques et opportunités doivent être proportionnelles à l'impact potentiel sur la conformité des produits et des services. »

Une fois de plus, la norme exige d'intégrer les problématiques juridiques et douanières dans l'ensemble des processus.

(même article) « NOTE 1 Les options face aux risques peuvent comprendre: éviter le risque, prendre le risque afin de saisir une opportunité, éliminer la source du risque, modifier la probabilité d'apparition ou les conséquences, partager le risque ou maintenir le risque sur la base d'une décision éclairée. »

Les risques liés à la non-certification OEA ressortent clairement des dispositions du CDU : des procédures douanières à l'exportation plus complexes, plus longues et plus coûteuses, représentant donc un risque important pour une entreprise qui exporte les trois-quarts de sa production.

(ibidem) « NOTE 2 Les opportunités peuvent conduire à l'adoption de nouvelles pratiques, au lancement de nouveaux produits, à l'ouverture à de nouveaux marchés, à la conquête de nouveaux clients, à l'instauration de partenariats, à l'utilisation d'une nouvelle technologie et d'autres possibilités souhaitables et viables de répondre aux besoins de l'organisme ou de ses clients. »

Encore une fois, la norme demande d'intégrer les problématiques juridiques et douanières à l'ensemble des processus.

« 6.2 Objectifs qualité et planification des actions pour les atteindre / 6.2.1 L'organisme doit établir des objectifs qualité, aux fonctions, niveaux et processus concernés, nécessaires au système de management de la qualité. »

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 41

Il s'agit, par exemple, de mettre en place des critères ou étapes obligatoires, dont le juridique et douanier.

« 7.3 Sensibilisation / L'organisme doit s'assurer que les personnes effectuant un travail sous le contrôle de l'organisme sont sensibilisées: a) à la politique qualité; b) aux objectifs qualité pertinents; c) à l'importance de leur contribution à l'efficacité du système de management de la qualité, y compris aux effets bénéfiques d'une amélioration des performances; d) aux répercussions d'un non-respect des exigences du système de management de la qualité. »

En conséquence, l'entreprise certifiée ISO doit prévoir des actions de sensibilisation et des formations aux questions juridiques et douanières, par exemple concernant les risques et le coût de fausses déclarations en douane, fût-ce à cause d'une simple erreur ou omission.

« 8 Réalisation des activités opérationnelles / 8.1 Planification et maîtrise opérationnelles / L'organisme doit planifier, mettre en oeuvre et maîtriser les processus (voir 4.4) nécessaires pour satisfaire aux exigences relatives à la fourniture des produits et à la prestation de services, et réaliser les actions déterminées à l'Article 6, en: a) déterminant les exigences relatives aux produits et services; b) établissant des critères pour: 1) ces processus; 2) l'acceptation des produits et services; c) déterminant les ressources nécessaires pour obtenir la conformité aux exigences relatives aux produits et services. »

Ceci peut très clairement s'appliquer aussi bien à l'audit OEA qu'aux exigences douanières et juridiques.

« 8.2 Exigences relatives aux produits et services / 8.2.1 Communication avec les clients / La communication avec les clients doit inclure: a) la fourniture d'informations relatives aux produits et services; b) le traitement des consultations, des contrats ou des commandes, y compris leurs avenants; c) l'obtention d'un retour d'information des clients concernant les produits et services, y compris leurs réclamations; d) la gestion ou la maîtrise de la propriété du client; e) l'établissement des exigences spécifiques relatives aux actions d'urgence, le cas échéant. »

Outre les données du contrôle export, nous ne pouvons que constater que même la norme exige sans ambiguïté des contrats !

« 8.2.2 Détermination des exigences relatives aux produits et services / Lors de la détermination des exigences relatives aux produits et services proposés aux clients, l'organisme doit s'assurer que: a) les exigences relatives aux produits et services sont définies, y compris: 1) toutes exigences légales et réglementaires applicables. »

Ceci ressort de toute évidence de la même philosophie que l'audit OEA.

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 42

« 8.2.3 Revue des exigences relatives aux produits et services / 8.2.3.1 L'organisme doit s'assurer qu'il est apte à répondre aux exigences relatives aux produits et services qu'il propose aux clients. Avant de s'engager à fournir des produits et services au client, l'organisme doit mener une revue incluant: a) les exigences spécifiées par le client, y compris les exigences relatives à la livraison et aux activités après livraison ; b) les exigences non formulées par le client mais nécessaires pour l'usage spécifié ou, lorsqu'il est connu, pour l'usage prévu ; c) les exigences spécifiées par l'organisme ; d) les exigences légales et réglementaires applicables aux produits et services ; e) les écarts entre les exigences d'un contrat ou d'une commande et celles précédemment exprimées. L'organisme doit s'assurer que les écarts entre les exigences d'un contrat ou d'une commande et celles précédemment définies ont été résolus. »

On ne saurait être plus clair. Ces questions sont aussi celles de l'audit OEA.

« 8.3.3 Éléments d'entrée de la conception et du développement / L'organisme doit déterminer les exigences essentielles pour les types spécifiques de produits et services à concevoir et à développer. L'organisme doit prendre en compte: c) les exigences légales et réglementaires ; d) les normes ou les règles internes, «règles de l'art», que l'organisme s'est engagé à mettre en oeuvre. »

Une remarque d'évidence s'impose : « entrée » ne veut pas dire « après-coup ». Cela suppose donc une organisation efficace et proactive dont tous les acteurs sont formés ou sensibilisés aux problématiques juridiques et douanières.

« 8.3.5 Éléments de sortie de la conception et du développement / L'organisme doit s'assurer que les éléments de sortie de la conception et du développement: a) satisfont aux exigences d'entrée. »

« 8.4 Maîtrise des processus, produits et services fournis par des prestataires externes / 8.4.1 Généralités / L'organisme doit s'assurer que les processus, produits et services fournis par des prestataires externes sont conformes aux exigences. »

C'est là encore le portait-type de l'audit OEA.

« 8.4.2 Type et étendue de la maîtrise / L'organisme doit s'assurer que les processus, produits et services fournis par des prestataires externes ne compromettent pas l'aptitude de l'organisme à fournir en permanence à ses clients des produits et services conformes. »

Il faut comprendre ici que les produits et services doivent être non seulement conformes aux besoins du client mais également conformes au droit. Cela ressort également de la démarche compliance dite KYS⁴⁰.

(même article) « L'organisme doit: s'assurer que les processus fournis par des prestataires externes demeurent sous le contrôle de son système de management de la qualité. »

⁴⁰ Cf. supra page 18

Mémoire de Stage CARDON-Pfeiffer Vacuum Page 43

C'est en effet le minimum requis de toute entreprise prétendant à la certification ISO mais cela nous renvoie également aux critères de l'OEA et au QAE.

(ibidem) « b) définir la maîtrise qu'il entend exercer sur un prestataire externe et celle qu'il entend exercer sur l'élément de sortie concerné; c) prendre en compte: 1) l'impact potentiel des processus, produits et services fournis par des prestataires externes sur l'aptitude de l'organisme à satisfaire en permanence aux exigences des clients et aux exigences légales et réglementaires applicables. »

Nous devons donc exiger un contrat, des assurances et garanties adéquats, sans oublier la documentation de base (attestations d'assurance, de non-condamnation, Kbis etc.).

« 8.5.3 Propriété des clients ou des prestataires externes / L'organisme doit respecter la propriété des clients ou des prestataires externes lorsqu'elle se trouve sous son contrôle ou qu'il l'utilise. L'organisme doit identifier, vérifier, protéger et sauvegarder la propriété que les clients ou les prestataires externes ont fournie pour être utilisée ou incorporée dans les produits et services. »

D'où la nécessité de prévoir des clauses de confidentialité et de propriété intellectuelle dans les contrats.

« 8.5.5 Activités après livraison / L'organisme doit satisfaire aux exigences relatives aux activités après livraison associées aux produits et services. Lors de la détermination de l'étendue des activités après livraison requises, l'organisme doit prendre en considération: a) les exigences légales et réglementaires. »

C'est-à-dire en fonction des termes du contrat, de l'Incoterm choisi et des obligations douanière et juridiques.

Nous constatons donc que la norme ISO, loin de négliger les questions juridiques et douanières, les place au contraire au centre de ses exigences. Examinons maintenant les rapports existant entre ISO et OEA.