La nouvelle norme volontaire ISO 22000 en 12 questions-réponses

Qu’est-ce que l’ISO 22000 ?

L’ISO 22000 est la seule norme volontaire internationale sur le management de la sécurité des denrées alimentaires. Elle permet de démontrer une aptitude à identifier et à maîtriser les dangers liés à la sécurité des aliments, mais aussi à fournir en permanence des produits finis et sûrs. Décryptage.

Qui a élaboré l’ISO 22000 ?

L’ISO 22000 est une norme internationale qui émane de l’ISO, l’organisation internationale de normalisation. Elle résulte d’un travail collaboratif et collectif de toutes les parties prenantes dans le monde. 35 pays ont participé à sa dernière mise à jour, finalisée en juin 2018. La France s’est beaucoup impliquée dans l’élaboration de l’ISO 22000, via la commission de normalisation AFNOR « traçabilité et sécurité des aliments – management et hygiène » qui réunit les professionnels du sujet, soit une trentaine d’organisations : des représentants de l’État, des industriels, des consommateurs, des organismes de certification, mais aussi des universités, des écoles et des instituts. La participation est ouverte à tous. Elle est essentielle pour que l’ISO 22000 et toutes les normes internationales répondent aux attentes des professionnels en France. La normalisation des méthodes de management, de la spécification des produits ou encore des méthodes d’analyses s’est accentuée au fil des années. Près de 140 pays participent au comité technique de l’ISO sur l’agroalimentaire, avec déjà plus de 840 documents publiés et tenus à jour.

Qui peut utiliser l’ISO 22000 ?

La norme ISO 22000 peut être utilisée par l’ensemble des acteurs directs et indirects de la chaîne alimentaire, quelle que soit leur taille ou leur implantation dans le monde. Cela comprend les producteurs d’aliments pour animaux et les producteurs agricoles (production animale et/ou végétale), mais également les fabricants et transformateurs, les prestataires de services, les opérateurs et sous-traitants chargés du transport, de l’entreposage et de la distribution, les magasins de détail et de services alimentaires, ainsi que les organismes étroitement liés au secteur, tels que les fabricants d’équipements, de matériaux d’emballages, de produits de nettoyage, d’additifs et d’ingrédients. Selon l’étude annuelle de l’ISO, plus de 32 000 certificats ISO 22000 attestant d’une bonne application de la norme sont aujourd’hui affichés par des organisations dans le monde, dont près de 600 en France.

Pourquoi utiliser l’ISO 22000 ?

Mettre en place un système de management de la sécurité des denrées alimentaires conduit à déployer des moyens pour assurer la sécurité de ses produits et services. C’est un outil approuvé de prévention et d’amélioration continue. Le cycle PDCA (Pal, do, check, act : planifier, réaliser, vérifier, agir) est déployé à deux niveaux : le premier s’applique au système de management, le second aux principes HACCP. Comme toute norme de portée internationale, l’ISO 22000 facilite le dialogue et permet de gagner du temps : en l’appliquant, vous utilisez une méthode reconnue et partagée à l’échelle planétaire. L’ISO 22000 apporte de la confiance à vos fournisseurs, clients et parties intéressées de la chaîne alimentaire. Elle favorise une communication efficace avec eux, en identifiant les dangers potentiels et en définissant les mesures à mettre en œuvre pour les maîtriser lorsqu’ils surviennent. Pour autant, une certification ISO 22000 n’atteste pas de la sécurité ou de l’aptitude à l’emploi d’un produit.

IFS, BRC, ISO 22000 : quelles différences ?

La norme ISO 22000 est élaborée à l’échelle planétaire par une organisation non gouvernementale, alors que le British Retail Consortium (BRC) est d’origine anglo-saxonne, et l’International Featured Standards (IFS) Food d’origine franco-allemande. IFS et BRC sont des référentiels privés, mis au point par et pour la grande distribution. L’ISO 22000 s’applique à l’ensemble de la chaîne alimentaire, alors qu’IFS et BRC sont des référentiels déclinés par maillons de cette même chaîne. Une entreprise spécialisée en logistique (transport ou stockage par exemple) dispose d’un référentiel IFS dédié. Autre différence : l’ISO 22000 ne fixe que des obligations de résultats, alors que BRC et IFS fixent en plus des obligations de moyens. IFS et BRC peuvent donc être plus contraignants à appliquer que l’ISO 22000. Enfin, BRC et IFS intègrent des dispositions pour prévenir des malveillances (food defense) ou gérer les problématiques d’authenticité des matières premières (food fraud). Ce n’est pas le cas de l’ISO 22000. Pour autant, la version 2018 de la norme n’interdit pas d’intégrer ces dispositions dans la démarche engagée.

Quels liens entre FSSC 22000 et ISO 22000 ?

FSSC 22000, pour Food Safety System Certification 22000, est un dispositif de certification privée qui intègre l’ISO 22000, tout en reprenant d’autres exigences non couvertes par cette norme (food fraud et food defense notamment). FSSC 22000 a été reconnu par la Global Food Safety Initiative, une plateforme qui réunit depuis 2000 industriels et distributeurs agroalimentaires. Le FSSC 22000 s’applique à de nombreux secteurs de l’agroalimentaire (fabrication et transformation d’emballages, conditionnement, restauration, etc.). La fondation FSSC 22000 proposera des modalités de transition aux organismes certifiés afin qu’ils intègrent les nouveautés de la norme ISO 22000 version 2018.

Food Safety System Certification 22000

L’ISO 22000 conduit-elle à respecter la réglementation ?

Dans l’Union européenne, la réglementation relative à l’hygiène de l’alimentation humaine et animale est regroupée dans le Paquet Hygiène. Il impose à presque tous les organismes de la chaîne alimentaire d’appliquer un plan de maîtrise sanitaire (PMS). Celui-ci comprend le respect des bonnes pratiques de base, l’analyse des dangers et des points critiques pour leur maîtrise. Il demande aussi d’identifier les produits pour assurer leur traçabilité et d’élaborer des dispositions pour le retrait et le rappel de produits non-conformes. Ces exigences sont au cœur de l’ISO 22000. L’ISO 22000 amène l’entreprise à avoir une vision structurée des exigences réglementaires en matière de gestion de la sécurité des denrées alimentaires. Lors de l’analyse des dangers, l’organisme détermine la stratégie à mettre en œuvre pour assurer leur maîtrise en combinant les programmes prérequis (PRP), les PRP opérationnels (PRPO) et les points critiques pour la maîtrise (CCP). Il intègre également les 12 étapes et les 7 principes d’application du Codex alimentarius. Déployer une démarche basée sur l’ISO 22000 offre donc à l’organisme un système de management de la sécurité des denrées alimentaires plus ciblé, cohérent et intégré que ne le requiert généralement la réglementation. Pourquoi s’en priver ?

Quel rapport entre l’ISO 22000 et les autres normes de système de management ?

Certains organismes utilisant l’ISO 22000 ont déjà déployé une démarche de management de la qualité (ISO 9001) ou de management environnemental (ISO 14001). En plus d’être d’application volontaire, l’ISO 22000 a de nombreux points communs avec ces autres normes de système de management. Ce n’est pas un hasard : les personnes qui élaborent les normes volontaires sont celles qui les utilisent. Elles ont donc à cœur de se faciliter la tâche pour déployer des approches combinées, et éviter les doublons. Premier point commun : la structure de la norme. L’utilisateur de l’ISO 9001, de l’ISO 14001 ou de l’ISO 45001 (management de la santé et sécurité au travail) retrouvera la même réflexion, les mêmes grandes étapes. Analyse du contexte, des parties intéressées pertinentes, des risques et des opportunités, détermination des rôles, responsabilités et autorités : toutes ces exigences sont communes. L’ISO 22000 impose également une démarche d’amélioration continue. Ces synergies permettent, lors de la revue de direction, de partager les enjeux et de favoriser une plus grande cohérence des actions engagées, des moyens mobilisés.

L’ISO 22000 demande de définir « le contexte de l’organisme », comment faire ?

Définir le contexte revient à comprendre les défis qui sont proposés à l’entreprise, en interne et en externe : cela éclaire les choix stratégiques de l’entreprise et donc la politique à définir. Le contexte ne peut être dissocié des besoins et des attentes des parties intéressées pertinentes, ce qui est une autre exigence. Il s’agit par exemple des fournisseurs, des consommateurs, des distributeurs, des services officiels de contrôle, des médias, etc. À chaque organisme de les déterminer. Ces deux exigences auront une incidence sur la définition du système de management et de ses processus. L’entreprise devra également déterminer les risques et les opportunités qui pourraient affecter l’efficacité du système. Ces nouveaux réflexes visent à amplifier la prévention et à développer des capacités d’anticipation.

Bonnes pratiques d’hygiène, HACCP… Que demande l’ISO 22000 ?

La question des bonnes pratiques d’hygiène renvoie directement aux programmes prérequis (PRP), c’est-à-dire à l’ensemble des moyens mis à disposition et les mesures générales d’hygiène que l’entreprise met en place. Pour définir les PRP, l’ISO 22000 précise que l’entreprise pourra tenir compte de la spécification technique ISO/TS 22002 applicable. Fabrication des aliments, agriculture, restauration, aliments pour animaux, emballages pour aliments… Il existe une série de documents approuvés (y compris les codes d’usages du Codex alimentarius et les guides de bonnes pratiques d’hygiène), pour ne pas partir d’une feuille blanche sur ce point. L’ISO 22000 demande, bien entendu, de respecter les exigences du client ainsi que les exigences légales.

Concernant l’HACCP (Hazard Analysis Critical Control Point), méthode éprouvée pour maîtriser les dangers, la version 2018 de la norme ISO 22000 fournit des définitions précieuses : qu’est-ce qu’une contamination ? Que veut dire un « niveau acceptable de danger », un « danger significatif » ? Une norme volontaire a comme intérêt premier d’arrêter une terminologie commune ; de quoi parler le même langage, d’une profession à l’autre, d’un pays à l’autre. Autres exemples de définitions clarifiées : mesures de maîtrise, programme prérequis opérationnels (PRPO), point critique pour la maîtrise (CCP)… Dans l’ISO 22000:2018, les différences entre un PRPO et un CCP ont été précisées, notamment par rapport à la conduite à tenir en cas de déviation et de lancement des corrections et/ou d’actions correctives.

ISO 22000 et risques : quelles nouveautés ?

L’ISO 22000 version 2018 aborde les dangers, mais aussi les risques. La notion de danger est toujours utilisée pour la maîtrise opérationnelle de la sécurité sanitaire (le « h » du « hazard » de HACCP), mais en plus, les risques et les opportunités ont fait leur apparition. Ils concernent le niveau organisationnel de la démarche. L’organisme doit s’interroger sur les incertitudes de nature à remettre en cause l’atteinte des objectifs. Les entreprises devront prendre en compte les risques et opportunités associés aux objectifs et à leur atteinte. La finalité étant de permettre à l’entreprise d’améliorer ses performances globales, c’est-à-dire son aptitude à fournir régulièrement des produits sûrs et à disposer d’un système de management efficace.

Quelles sont les étapes-clés pour déployer l’ISO 22000 ?

Mettre en place l’ISO 22000 passe généralement par 8 étapes successives

  • Définir son contexte et ses orientations ;
  • Planifier son système de management : apporter des réponses aux questions qui, quoi, où, quand, comment ;
  • Construire une base solide grâce aux bonnes pratiques d’hygiène ;
  • Réaliser son étude HACCP ;
  • Mettre en œuvre son système de management ;
  • Prévoir et gérer des situations de crise ;
  • Vérifier l’efficacité de son système de management ;
  • Améliorer en continu son système de management.

> Acheter l’ouvrage d’Olivier Boutou « Certification ISO 22000, les 8 clés de la réussite » chez AFNOR Editions

De quelles compétences faut-il disposer pour utiliser l’ISO 22000 ?

L’animateur du système de management doit avoir des compétences sur les démarches d’amélioration continue, mais aussi disposer de compétences managériales : il doit savoir animer un travail de groupe et garantir des relations efficaces avec la direction de l’organisme. L’équipe en charge de la sécurité sanitaire doit avoir des compétences spécifiques sur le produit, le process, les équipements et les dangers, microbiologiques par exemple. Le cas échéant, la norme permet d’avoir recours à des experts extérieurs, pour pallier un déficit de compétences. Si l’entreprise privilégie l’interne, elle doit prouver que les compétences sont bien disponibles. La version 2018 de l’ISO 22000 consacre l’expertise nécessaire pour mener une démarche de sécurité des denrées alimentaires. La complexité des affaires sanitaires rendues publiques le rappelle à chaque fois : les pilotes de démarches doivent avoir des compétences reconnues. Sur ce point, la norme ISO 22000 est prescriptive.

Vous êtes un industriel, un restaurateur, un transporteur ou un professionnel de l’emballage ?