Comment réaliser une évaluation des risques ISO 45001 : méthode pas à pas.

L'évaluation des risques est le cœur opérationnel de l'ISO 45001. C'est elle qui transforme une liste de dangers en un plan de prévention concret. C'est aussi l'exigence que les auditeurs examinent en premier lors d'un audit de certification — parce qu'elle conditionne la pertinence de tout le reste du système.

Danger vs risque : la distinction fondamentale

Avant d'entrer dans la méthode, il faut maîtriser cette distinction que l'ISO 45001 pose clairement.

Un danger est une source potentielle de blessure ou de pathologie. Il est objectif — il existe indépendamment des personnes exposées. Une machine en mouvement, un produit chimique corrosif, une hauteur de chute, une charge lourde : ce sont des dangers.

Un risque est la combinaison de la probabilité qu'un événement dangereux se produise et de la gravité des conséquences. Le même danger peut présenter des niveaux de risque très différents selon le contexte. Une hauteur de 3 mètres avec garde-corps conforme présente un risque faible. La même hauteur sans protection, avec un sol béton en dessous, présente un risque critique.

L'évaluation des risques consiste à passer de l'inventaire des dangers à la quantification des risques, pour prioriser les mesures de prévention.

Ce que la norme exige exactement

Le §6.1 de l'ISO 45001 décompose l'exigence en plusieurs niveaux :

§6.1.2.1 — Identification des dangers

L'organisation doit établir, mettre en œuvre et tenir à jour un processus d'identification proactive et continue des dangers. Ce processus doit couvrir les activités de routine et non-routine, les situations d'urgence, les facteurs humains (organisation du travail, charge, horaires, relations sociales), les activités des sous-traitants et intérimaires.

§6.1.2.2 — Évaluation des risques SST

L'organisation doit évaluer les risques liés aux dangers identifiés, en tenant compte de l'efficacité des mesures de maîtrise existantes.

§6.1.2.3 — Évaluation des autres risques

L'organisation doit également évaluer les autres risques liés à l'établissement, la mise en œuvre, le fonctionnement et la maintenance du SMS.

§6.1.3 — Identification des opportunités SST

À côté des risques, la norme exige d'identifier les opportunités d'amélioration de la performance SST.

La méthode en 5 étapes

Étape 1 — Préparer l'identification des dangers

L'identification des dangers ne se fait pas dans une salle de réunion avec un tableau blanc. Elle se fait sur le terrain, avec les personnes qui réalisent les activités.

Définissez le périmètre

Listez toutes les activités, tous les postes, toutes les zones de votre organisation — y compris les activités non-routinières (maintenance, nettoyage, interventions occasionnelles) et les activités des sous-traitants sur votre site. L'ISO 45001 est explicite : les activités externalisées doivent être incluses.

Constituez votre groupe de travail

L'identification des dangers doit impliquer les travailleurs concernés — c'est une exigence du §5.4, pas une recommandation. Un opérateur qui travaille quotidiennement sur une machine connaît des dangers que l'ingénieur sécurité n'a jamais observés. Associez des représentants de chaque activité ou zone.

Documentez votre méthode

L'ISO 45001 ne prescrit pas de méthode spécifique, mais elle exige que votre processus d'identification soit documenté et répétable. Définissez comment vous procédez, à quelle fréquence, et comment les résultats sont enregistrés.

Étape 2 — Identifier systématiquement les dangers

Pour chaque activité ou poste, explorez toutes les catégories de dangers :

Dangers physiques

Chutes de hauteur, chutes de plain-pied, chocs, coupures, brûlures thermiques, bruit, vibrations, rayonnements, températures extrêmes, travail en espace confiné.

Dangers mécaniques

Pièces en mouvement, projections, écrasement, entraînement, poinçonnement, contact avec des surfaces chaudes ou coupantes.

Dangers chimiques et biologiques

Inhalation de vapeurs ou poussières, contact cutané avec des produits dangereux, ingestion accidentelle, agents biologiques (secteur santé, agroalimentaire, déchets).

Dangers électriques

Électrocution, arc électrique, incendie d'origine électrique.

Dangers liés à l'organisation du travail

Surcharge de travail, travail isolé, travail de nuit, pression temporelle, travail répétitif, postures contraignantes, manutentions manuelles.

Risques psychosociaux

Stress chronique, harcèlement moral ou sexuel, violences internes ou externes, burn-out. La norme les mentionne explicitement au §6.1.2.1 — ils ne peuvent pas être ignorés.

Dangers liés aux situations d'urgence

Incendie, explosion, déversement de produit dangereux, catastrophe naturelle, intrusion.

Pour chaque danger identifié, documentez : la description du danger, l'activité ou la zone concernée, les personnes exposées (salariés, sous-traitants, visiteurs), et les situations exposantes (routine, non-routine, urgence).

Étape 3 — Évaluer les risques

Une fois les dangers identifiés, vous évaluez le risque associé à chacun. La méthode la plus courante — et la plus utilisée lors des audits — est la cotation par matrice de criticité.

La matrice de criticité P × G

Chaque risque est évalué sur deux axes :

• Probabilité (P) — de 1 (rare) à 5 (quasi-certain)
• Gravité (G) — de 1 (négligeable) à 5 (critique / décès)

La criticité est le produit P × G, sur une échelle de 1 à 25.

L'évaluation doit tenir compte des mesures existantes

C'est un point souvent mal compris. L'ISO 45001 §6.1.2.2 précise que l'évaluation doit tenir compte de l'efficacité des mesures de maîtrise existantes. Vous évaluez donc le risque résiduel — après application des mesures déjà en place — pas le risque brut théorique.

Impliquez les travailleurs dans la cotation

La cotation n'est pas un exercice de bureau. Validez chaque évaluation avec les personnes qui réalisent l'activité. Leur perception du risque est une donnée importante — même si elle ne remplace pas l'évaluation technique.

Étape 4 — Définir les mesures de maîtrise selon la hiérarchie

Pour chaque risque nécessitant une action (CRITIQUE ou ÉLEVÉ en priorité), définissez les mesures de maîtrise en appliquant la hiérarchie obligatoire du §8.1.2 :

1. Élimination — supprimer le danger à la source. C'est toujours la première question à se poser : peut-on supprimer ce danger ? Changer le procédé, supprimer une étape dangereuse, remplacer un équipement défaillant.

2. Substitution — remplacer par quelque chose de moins dangereux. Un produit chimique moins toxique, un outil moins bruyant, un procédé moins exposant.

3. Mesures de prévention collective — agir sur l'environnement pour protéger tous les travailleurs sans action de leur part. Garde-corps, aspiration à la source, isolation acoustique, capotage de machines.

4. Mesures administratives — procédures, formations, permis de travail, signalisation, rotation des postes, limitation du temps d'exposition.

5. EPI — équipements de protection individuelle en dernier recours uniquement. Les EPI ne réduisent pas le danger — ils réduisent l'exposition de la personne qui les porte. Ils doivent compléter les mesures collectives, pas les remplacer.

La hiérarchie n'est pas optionnelle. Un auditeur qui constate que votre réponse systématique aux dangers est "port de l'EPI obligatoire" sans avoir cherché à éliminer ou réduire à la source formulera une non-conformité.

Étape 5 — Documenter, mettre à jour et communiquer

L'évaluation des risques est un enregistrement obligatoire au sens du §7.5. Elle doit être :

• Documentée dans un format accessible et maîtrisé (Excel, logiciel dédié, ou tout autre support)
• Mise à jour régulièrement — au minimum une fois par an, et à chaque changement significatif (nouvel équipement, nouvelle activité, accident grave, réorganisation)
• Communiquée aux travailleurs concernés — ils doivent connaître les risques de leur poste et les mesures de maîtrise qui les protègent

Un point souvent négligé : l'évaluation des risques doit être révisée après tout accident ou incident significatif. Si un accident se produit sur un poste dont le risque était coté "faible", c'est que l'évaluation était incorrecte.

Les erreurs les plus fréquentes

Confondre DUERP et évaluation ISO 45001

Le Document Unique d'Évaluation des Risques Professionnels (DUERP) est obligatoire légalement. L'évaluation ISO 45001 va plus loin : elle couvre les risques liés au SMS lui-même, les activités non-routinières, les sous-traitants, et les facteurs psychosociaux avec une rigueur que le DUERP seul n'impose pas toujours.

Évaluer les risques bruts plutôt que résiduels

Coter un risque "critique" pour une machine correctement protégée fausse les priorités et génère une liste d'actions injustifiées. La cotation porte sur le risque résiduel après mesures existantes.

Ne pas impliquer les travailleurs

Une évaluation réalisée uniquement par le service SST sans validation terrain rate systématiquement des dangers. Et elle ne satisfait pas l'exigence de participation du §5.4.

Laisser l'évaluation figée

Une évaluation des risques non mise à jour depuis 3 ans dans une organisation qui a évolué n'est plus représentative. Elle ne protège pas les travailleurs et ne satisfait pas la norme.

Ignorer les risques psychosociaux

Les RPS sont explicitement mentionnés dans l'ISO 45001. Les ignorer constitue une lacune dans votre identification des dangers — et un auditeur expérimenté posera la question.

Ce que l'auditeur vérifiera

Lors de l'audit de certification, l'auditeur examinera votre évaluation des risques sous plusieurs angles :

• Le processus d'identification est-il documenté et systématique ?
• Les activités non-routinières et les sous-traitants sont-ils couverts ?
• Les travailleurs ont-ils participé à l'identification et à la cotation ?
• La hiérarchie des mesures de maîtrise a-t-elle été appliquée ?
• Les risques résiduels sont-ils cohérents avec les mesures en place ?
• L'évaluation a-t-elle été mise à jour récemment ?
• Les résultats ont-ils été communiqués aux personnes concernées ?

Il ira également vérifier sur le terrain que les mesures documentées sont réellement appliquées. Une mesure de maîtrise écrite mais non appliquée est une non-conformité.