Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté

Transcription

1 Picard:Mise en page 1 26/03/08 10:32 Page 73 Logistique et chaîne d approvisionnement Les premières normes internationales sur le management de la sûreté CORBIS Les années 2006 et 2007 viennent de voir l apparition des premières normes de management de la sûreté. Il s agit en l occurrence de la série de normes ISO relatives à la logistique et à la chaîne d approvisionnement. Les ISO démontrent une fois de plus la volonté internationale, sous l impulsion des Japonais, Suédois et Américains notamment, de porter sur la scène mondiale des standards de management de la sûreté. De ce fait, les politiques de sécurité/sûreté risquent d être touchées à l instar de la réglementation financière sous influence des standards financiers internationaux. Ces normes sont les premières issues du vaste programme international Homeland Security Standard Program. Cet article se propose donc de les présenter ainsi que les enjeux associés. Logistics and Supply Chain: The First International Norms in the Management of Safety The years 2006 and 2007 saw the emergence of the first safety management norms: a series of ISO norms relative to logistics and the supply chain. The ISO norms demonstrate once again the international desire, most notably under the impetus of the Japanese, Swedes and Americans, to raise to the international level standards of safety management. However, the security/safety policies risk running into the financial regulation imposed by international financial standards. These standards come out of the vast international program of the Homeland Security Standards program. This article presents an analysis of what is at stake. Jean-Marc Picard Enseignant chercheur à l université de technologie de Compiègne (UTC), a été dix-huit ans dans l industrie dont dix comme directeur marketing, qualité et sécurité d un grand groupe d ingénierie. Il a été vice-président de l association nationale des auditeurs IHESI/INHES, conseiller de défense auprès du ministre de l Intérieur ; vice-président du groupe d impulsion stratégique sur la sécurité et la protection du citoyen à Afnor. Président du forum sur la sécurité à Afnor. Il est aujourd hui président de la Commission de normalisation sur la sécurité sociétale. Ancien vice-président de l Institut pour la maîtrise des risques et la sûreté de fonctionnement (IMDR SDF) il est expert auprès de nombreuses industries et institutions comme le CNES. 73

2 Picard:Mise en page 1 26/03/08 10:32 Page 74 Cahiers de la sécurité n 4 avril-juin 2008 Nous avions exposé, dans un précédent numéro des Cahiers de la sécurité, les enjeux de la normalisation de la sécurité 1. Dans ce contexte, l ISO, principale organisation internationale de normalisation, vient de produire un ensemble de normes relatives à la sûreté dans la logistique et la chaîne d approvisionnement internationale. La mise en œuvre de ces normes n est ni plus ni moins que le début d une certaine remise en cause potentielle du droit des nations et de leurs prérogatives régaliennes au profit de règles internationales, rendues indispensables pour traiter de problèmes à l échelle mondiale. Cette situation n est pas sans rappeler le monde de la finance où les normes internationales 2 ont guidé les réglementations nationales et non l inverse. Ces nouvelles normes techniques s inscrivent donc dans le cadre du vaste programme international de normalisation de la sécurité qui a vu aussi la production de normes sur la résilience et la continuité d activité. 3 L objet de ces normes La série ISO propose d emblée un ensemble de définitions dont celle de la sécurité 4 que l on traduira, pour la circonstance, par le terme français de sûreté. 5 C est en tout cas la traduction adoptée par l ISO. Elle traite donc du management de la sûreté de la chaîne d approvisionnement, c est-à-dire de la sécurisation de l ensemble des activités logistiques, depuis la production à la source jusqu à l utilisateur. Sont concernés l ensemble des acteurs (transporteurs, intermédiaires, producteurs, distributeurs, pouvoirs publics, etc.) et toutes les modalités de transports (air, fer, mer, terre). L objectif est de permettre aux entreprises d exiger de leurs partenaires (transporteurs, distributeurs, etc.) qu ils se conforment tant aux exigences gouvernementales qu aux principes et exigences énoncés notamment dans l ISO Ces normes sont essentiellement parues en 2006 et Les menaces visées Ces normes, selon l ISO, ont pour but de permettre «un meilleur suivi des flux de marchandises, lutter contre la contrebande et les menaces d actes de piraterie et d attentats terroristes et pour établir un régime sûr et sécurisé dans la chaîne d approvisionnement internationale» 6 Mais ces normes reflètent une nouvelle hiérarchie dans la prise en compte des menaces. Ainsi passe-t-on d une stratégie de protection des ressources ou des centres de production à une stratégie de protection des canaux de distribution. Le commerce prend ainsi, en quelque sorte, le pas sur la production. Dans la culture du droit des commerçants, comme est souvent qualifiée la Common Law, la sécurité du commerce est donc considérée comme une priorité. Premier type de menace, les actes de piraterie, y compris «en col blanc», présentés comme une atteinte stratégique à l économie mondiale. Second type de menace, l utilisation de l infrastructure de la Suplly Chain à des fins illicites. C est le cas du détournement de procédures aux frontières par les terroristes ou les trafiquants de drogues. L immi - gration incontrôlée ou le trafic de personnes en font notamment partie. Toutes ces agressions concourent au développement d économies parallèles 7, dont le développement de la fraude en matière de contrefaçon, troisième type de menace qui ne peut s exprimer que par une maîtrise illicite de la supply chain. Selon les protagonistes de ces nouvelles normes, les mesures engagées, tant par les gouvernements que par les industriels, sont davantage incomprises qu inefficaces. Ce constat constituerait, selon nous, une quatrième menace. Notre expérience nous a montré que l inflation de dispositions réglementaires, souvent obsolètes, conduit aussi à fragiliser les systèmes procurant une fausse sécurité et favorisant la fraude. 8 La solution normative proposée Elle s articule à ce jour autour de quatre groupes normatifs (cf. tableau 1). (1) «Homeland Security : la normalisation face au droit», 2008, Cahiers de la sécurité, n 3, janvier. (2) Précisons que l appellation familière «normes», appliquée aux standards internationaux en matière comptable, évoque des standards parfois repris sous forme de normes juridiques et non de normes techniques, telles qu elles sont définies par l OMC. (3) C est le cas de la norme ISO «Guidelines for incident preparedness ans operational continuity management». Nous reviendrons dans un prochain numéro sur ces nouveaux standards et normes techniques. (4) «resistance to intentional acts designed to cause harm or damage to or by the supply chain» selon ISO , Dans le contexte de cet article, nous considérons la sécurité comme un état ou une aptitude à la résistance, procurée par la mise en œuvre de dispositions de sûreté. (5) Le lecteur nous épargnera l interminable débat sur le distinguo entre sûreté, sécurité et le terme anglais safety qui génère à chaque fois de fatigantes discussions de terminologie. Dans le monde ISO la «security» est la traduction du français «sûreté» dans le domaine policier (et non de l ingénieur, qui renvoie à la SDF : sûreté de fonctionnement) ; voir aussi la note précédente. (6) ISO Management Systems Janvier-février (7) Certaines sources avancent des chiffres de 20 à 40 % pour la part de PIB généré par une économie illicite dans un grand nombre de pays. (8) Les systèmes lourds, normatifs ou réglementaires, sans apporter réellement une efficacité sur le plan de la sécurité, conduisent bien souvent à une implosion des systèmes de contrôle. 74

3 Picard:Mise en page 1 26/03/08 10:32 Page 75 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté Tableau 1 Les normes ISO L ISO L ISO , spécifie les exigences d un système de management et d assurance de la sûreté et de la sécurité de la chaîne d approvisionnement. Cette norme reprend la structure de la norme ISO 14001, relative aux systèmes de management environnementaux. On y retrouve une extension du concept de la roue de Deming ou «PDCA» pour Plan, Do, Check, Action qu on appelle communément la boucle de la qualité, fondée sur le principe de l amélioration continue. À l instar des ISO 9000 et 14000, le système de management part d une politique fixant Tableau 2 Les principales dispositions de l ISO des objectifs mesurables issus d une analyse et d une évaluation permanente des risques en matière de sûreté, conduisant à la mise en place d actions opérationnelles, planifiées et systématiques. Ces actions font l objet d un contrôle de premier niveau, puis de second niveau (évaluations) à travers revues et audits. Sur le plan technique, reprenant les concepts du management environnemental à travers les notions d objectifs de sûreté et de cible de sûreté, cette norme évoque peu la notion d impact de sûreté à l inverse des normes environne - mentales, qui insistent sur la notion d impact environ - nemental (9) ISO : Specification for security management systems for the supply chain (Spécifications pour les systèmes de management de la sûreté pour la chaîne d'approvisionnement). (10) Rappelons que les normes environnementales de la série ISO sont mise en œuvre dans la quasi-totalité des sites industriels, y compris les installations classées type «Seveso», qui doivent être dotées d un système de gestion de la sécurité. (11) Dans le monde normatif, le terme enregistrement signifie preuve de conformité. 75

4 Picard:Mise en page 1 26/03/08 10:32 Page 76 Cahiers de la sécurité n 4 avril-juin 2008 Tableau 3 Des aspects délicats à mettre en œuvre. Si le concept de contrôle, et spécifiquement de monitoring du process de sûreté, est largement développé, les concepts de maîtrise et surtout d assurance «sûreté» y sont peu développés. De même, les notions de non-conformité, d actions préventives et correctives sont bien moins développées que dans les normes de management du risque. 12 De nouveaux concepts S il est facile de dire ce que l on attend d un produit 13, il est bien difficile de dire ce que l on attend d un système de management de la sûreté car en plus de nous préserver (Safety), il doit parer aux menaces. Or c est une gageure que de pouvoir toutes les identifier et les quantifier. La norme développe donc d une part le concept de menace, threats, tous les chapitres y font référence, et d autre part le concept de failure ou échecs/erreurs notamment dans son Alors que les normes de management insistent sur le trio «non-conformité, action corrective et action préventive», l ISO élabore un trio complémentaire : «traitement des menaces, actions réactives et actions proactives». Une grande sensibilité au contexte social et politique Les normes anglo-saxonnes privilégient souvent, en matière de risque, l élimination des causes de risques (actions correctives et préventives) sur la suppression des effets (traitement des non-conformités). Mais en matière de sûreté, le traitement des causes potentielles (agressions en tout genre : piraterie, délinquance, terrorisme) est inaccessible le plus souvent à l organisme concerné. Il est sujet de plus à un contexte très variable d un pays à l autre, d une situation à l autre. En d autres termes, une chaîne de transport routier en Colombie n est pas sécurisée de la même manière en Suisse. La difficulté que nous venons d évoquer sur l identification des menaces posera un problème aux auditeurs dès lors que l entreprise voudra se faire certifier sur la base de cette norme. Comment obtenir un niveau de sécurité égal dans une même activité économique exercée dans des contextes juridiques, politiques et sociaux radicalement différents? La sécurité d une chaîne suppose que l ensemble des maillons soit sécurisé. C est un point fort d une autre norme : l ISO Dès lors, on peut imaginer la production de systèmes d information de gestion globale de la sécurité intermodale. 14 Si les auteurs de ces normes ont cette arrière-pensée, la sécurité peut devenir un bon prétexte à une forme de contrôle de la supply chain qui dans des marchés dérégularisés et mondiaux devient «op-ables» en quelque sorte. L ISO La seconde norme, l ISO (cf. tableau 4) est également certifiable et fournit un certain nombre de pratiques concrètes complémentairement à la mise en Tableau 4 Les principales exigences de l ISO (12) Ou management qualité de type ISO 9000 et 9001 ou de management environnemental de type ISO et (13) Ce qui permettra de le déclarer conforme ou non : non conformité (14) L armement aux USA a connu des projets qui peuvent y faire penser pour l acquisition et la fourniture d armement, ce fut le cas du projet CALS : Computer-aided Acquisition and Logistics Support (15) ISO 28001: Security management systems for the supply chain Best practices for implementing supply chain security, assessments and plans Requirements and guidance Systèmes de management de la sûreté pour la chaîne d'approvisionnement Meilleures pratiques pour la mise en application de la sûreté de la chaîne d'approvisionnement, évaluations et plans Exigences et guidage. 76

5 Picard:Mise en page 1 26/03/08 10:32 Page 77 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté Tableau 5 Les points remarquables des annexes de l ISO œuvre de l ISO Si l ISO traite du management en général, l ISO aborde des aspects très précis de la supply chain qui suscitent des réponses ciblées et concrètes, notamment pour les petites entreprises, alors que l ISO appelle la mise en œuvre d un système global de management, plus propice aux entreprises de taille conséquente. Outre les concepts de flux amont et aval, de sécurité des actifs, déjà évoqués dans l ISO 28000, les annexes de l ISO présentent principalement le développement du concept très offensif de contre-mesures et de fait constituent la vraie valeur ajoutée de cette norme pour l entreprise, (annexes qui ne sont pas en principe certifiables ), (cf. tableau 5). Autres référentiels Une troisième norme, en réalité la première chronologiquement, traite de la sécurité des installations portuaires. Il s agit de l ISO de 2004, 18 qui est plus ou moins rattachée à l ISO L ISO est la quatrième norme, dédiée à l aide à la mise en œuvre de l ISO La présentation de cette norme, quoique passionnante, n apporte cependant pas d enjeux nouveaux. L ISO et la certification en matière de sûreté Enfin, bien qu il existât une norme d audit pour l évaluation des systèmes ISO 9000 et ISO 14000, le domaine sensible de la sécurité exigeant un fort niveau de confidentialité et d indépendance des auditeurs, il convenait de disposer d une norme spécifique pour l audit de sûreté. C est l objet de l ISO Cette norme traite non seulement des audits mais aussi des exigences incombant aux organismes certificateurs. Ces derniers sont soumis à l obligation d être conformes à diverses normes dont l ISO 17021, relative à la certification de système de management (qualité, environnement, hygiène et sécurité au travail, 21 etc.). L ISO reprend en fait la norme ISO en y rajoutant des exigences. 22 Cette norme traite donc de demandes générales classiques, relatives aux organismes certificateurs (impartialité, indépendance des auditeurs, sélection des auditeurs, traitement des réclamations, etc.) et d exigences particulières en matière de sûreté. Concernant celles relatives à l évaluation et à la certification de système de management de la sûreté, la norme aborde des points sensibles dont : La confidentialité de l information, 4.6 ; le management de l impartialité, 5.2 ; la fiabilité des auditeurs et experts, 7.4 ; la confidentialité des informations, 8.5, et surtout Des sujets très sensibles Deux sujets sont particulièrement très sensibles : la sélection et le management des auditeurs y compris les enquêtes à caractère personnel ; la détention d informations extrêmement sensibles. (16) «Performance review list» (17) «Methodology for security risk assessment and development of countermeasures». (18) ISO 20858, Navires et technologie maritime Évaluation de la sécurité des installations portuaires maritimes et réalisation de plans de sécurité, publiée en juin 2004, destinée à aider à la mise en œuvre du Code international pour la sécurité des navires et des installations portuaires (Code ISPS). (19) Systèmes de management de la sûreté pour la chaîne d'approvisionnement - Lignes directrices pour la mise en application de l'iso (20) ISO 28003: Security management systems for the supply chain Requirements for bodies providing audit and certification of supply chain security management systems. (21) Ce cas est un peu particulier. Compte tenu d un encadrement réglementaire important, la certification de système de management en hygiène et sécurité au travail fait l objet de dispositions différentes d un pays à l autre. (22) Il eut été préférable de compléter, le cas échant, la ou de ne rajouter que ce qui est nécessaire, la multiplication des normes complique le système normatif comme la superposition des textes réglementaires. 77

6 Picard:Mise en page 1 26/03/08 10:32 Page 78 Cahiers de la sécurité n 4 avril-juin 2008 La sélection des auditeurs et la constitution de dossiers personnels, appuyées par des enquêtes, entretiens, constitutions de dossiers personnels très approfondis, copies et vérifications d identité peuvent conduire à des pratiques contraires au droit français, notamment sur l exercice d activités d enquêtes, voire relevant de prérogatives de police. Le niveau d enquête à caractère personnel, demandé par la norme sur les auditeurs, produira des résultats extrêmement variables d un pays à l autre. Les notions de casier judiciaire par exemple ne sont pas les mêmes partout, l accès à ces informations est de plus très dif férent d un pays à l autre. Vers la création de nouveaux réseaux privés de renseignement Toute certification repose sur des audits et inspections. L activité de certification conduit les organismes certificateurs à être dépositaires d informations extrêmement sensibles. Ils connaîtront tout ou presque des scénarios de sécurité adoptés par une grande compagnie, des mesures de sûreté, des menaces prises en compte, des contremesures, etc. La certification, en matière de sûreté, peut conduire ainsi à la création d agences de sécurité privées qui devraient être elles-mêmes «super ISO 28000». C est ce que préconise d une certaine manière l ISO Cette norme pose donc une nouvelle fois le problème de la fiabilité de ces «tiers de confiance» et il est loin d être résolu. Les acteurs Avant de passer à une revue des principaux enjeux de ces normes, il semble important de rappeler qui sont les principaux instigateurs. L ensemble de ces normes est produit à l ISO dans le cadre direct du comité technique TC8 : navires et technologie maritime, à l exception de l ISO 28001, qui dépend d un sous-comité relatif au transport intermodal à courte distance. Cette série de normes, en cours de développement, est le fruit d un travail commun à quatorze pays et à plusieurs organisations internationales, dont l Organisation maritime internationale, l Association internationale des ports, la Chambre internationale de la marine marchande, l Organisation mondiale des douanes, le Conseil maritime baltique et international (BIMCO), l Association internationale des sociétés de classification, l International Innovative Trade Network, le World shipping Council et le Strategic Council on security technology, qui a conclu un Protocole d accord avec l ISO/TC 8, ainsi que la US-Israël Science and Technology Foundation. L américain Charles Piersall, capitaine de la marine marchande, préside le TC8 jusqu en Il a reçu de nombreux prix pour son implication dans la normalisation. Nancy Williams a été le chef de projet du groupe de travail qui a produit l ISO/PAS Représentante du réseau ITN (International Innovative Trade Network), elle est viceprésidente de Cotecna, entreprise active dans un large éventail d activités dans la chaîne d approvisionnement, notamment en matière de sécurité. Cotecna est membre actif de l initiative américaine Operation Safe Commerce. Enfin, le secrétariat du TC8 tenu à la sortie des normes ISO par le Comité japonais des normes industrielles (JISC), est détenu aujourd hui par la Chine et l Allemagne. Les enjeux Le développement de système de management de la sûreté répond à une demande sociétale. Beaucoup d entreprises ont déjà développé leur propre système et l arrivée de normes sur le sujet est évidemment bienvenue. Cependant la certification de ces systèmes, outre les innombrables problèmes de droit évoqués, relance le débat sur le partage public-privé des responsabilités en matière de sécurité, surtout quand il s agit d organismes internationaux. La venue des normes de la série ISO conforte un postulat porté par les ISO et 14004, à savoir, la sécurité comme le risque environ - nemental pourraient et devraient être gérés dans le cadre d un système de management global, reprenant les principes du management de la qualité. Le modèle induit par l ISO consacre la notion de système de management de la sécurité. Mais ce modèle pose un problème déjà rencontré par la normalisation en matière d hygiène et de sécurité au travail, à savoir l incidence du contexte réglementaire sur le système de management, qui façonnera de manière très différente chaque système. En d autres termes, comment comparer un système de management et de sécurité au travail en Chine et en Suisse? La question se pose également, comme nous l avons souligné au début, pour la sécurité en logistique. Le problème de la confidentialité nationale des informations reste posé, de la même façon, celui de l audit n est pas résolu, ni à ce sujet ni en matière de responsabilité. Ainsi en droit français, un auditeur découvrant un fait pénalement répréhensible doit en avertir au moins les autorités légitimes et compétentes. Que se passera-t-il lorsqu une situation dans une entreprise est licite dans un pays et illicite dans un autre? Comment réagira l auditeur? La prise en compte des 78

7 Picard:Mise en page 1 26/03/08 10:32 Page 79 Logistique et chaîne d approvisionnement : les premières normes internationales sur le management de la sûreté exigences réglementaires induit de facto un audit juridique. Certains s y opposent, arguant qu un système de management doit prouver qu il traite les exigences juridiques en termes de moyens et non en termes de résultats. En matière de sécurité, cet argument n est pas acceptable. Il reviendrait à éliminer la base juridique de la sécurité. Le contrôle de ces organismes devra passer explicitement par les États et faire l objet de conventions internationales existant 23 déjà dans des domaines précis. En effet, aujourd hui il existe des principes de reconnaissance mutuelle des organismes de certification par le biais d accords internationaux relevant de l accréditation. Mais ces accords mettant en œuvre principalement des ONG ne sont pas des traités au sens juridique du terme. De ce fait une entreprise colombienne certifiée ISO 9001 par un certificateur suisse peut être reconnue aux États-Unis pour son système qualité. Un tel schéma est-il imaginable pour un système de management de la sécurité? La situation du certificateur lui conférera, dans certains cas, un droit de regard plus poussé qu un douanier à l exemple d un OPJ. Le statut de l information collectée, la valeur juridique des certificats sont autant de sujets forts complexes qui n ont pas été traités parfaitement à l instar de la relation entre les exigences réglementaires et normatives. Nous retrouvons ici toute la problématique des exigences opérationnelles de sécurité qui s évertuaient à conjuguer exigences réglementaires de sécurité et autres exigences normatives. 24 L autre aspect de fond est le développement de normes en matière de sécurité, qui doit être assuré par un ensemble parfaitement représentatif des autorités nationales, régionales et internationales. Or la mobilisation des autorités est longue, y compris dans notre pays. La relation réglementation/normalisation n étant pas identique dans tous les pays ; les réglementations ellesmêmes étant différentes ; le sens de la normalisation s en trouve considérablement affaiblit. Comment parler de standards quand les effets produits diffèrent d un pays à l autre? Si les normes ne peuvent pas tout résoudre, la réglementation seule ne le peut pas non plus. D une part, elle est généralement nationale, voire régionale (dans l UE, c est problématique), d autre part, les États ne sont plus libres de leur réglementation technique. En effet, suivant les accords de l OMC et autres dispositions européennes, toute réglementation technique doit s appuyer sur les normes internationales. De ce fait, l outil normatif doit être intégré par les politiques et les institutions, ce qui n est pas encore le cas. Si comme nous l avons souligné le point fort de ces normes est de consacrer le management de la sécurité suivant des principes «qualité» ou «ISO 9001», il convient de développer aussi comme les Hollandais l ont demandé récemment, des standards ou des normes adaptées aux innombrables micro-entreprises évoluant dans ce secteur. La série des normes ISO augure une prise en main de la sécurité de manière partagée comme jadis la loi du 21 janvier avait posé un certain nombre de principes sur la gestion du partage des responsabilités public privé en matière de sécurité. La venue des normes de management de sûreté est une évolution sociétale inévitable, espérons aussi que les assureurs sauront aussi s impliquer sur ce sujet et en tirer parti dans leur évaluation du risque, faute de quoi les résultats de ce travail ne seront pas à juste titre valorisés. Gageons aussi que l État s impliquera constructivement de plus en plus dans la normalisation qui doit aussi être un outil de l expression du partage maîtrisé de ses prérogatives régaliennes. (23) En matière de douane notamment. (24) Nous reviendrons sur ce concept d exigences opérationnelles de sécurité que nous avons développé dans le cadre d un groupe de travail Afnor, à l occasion de l examen de la relation réglementation/normalisation au regard du marché unique dans l Union européenne. (25) Cette loi a fait l objet de nombreux commentaires, elle a été revue plusieurs fois, notamment en 2001, 2003, 2005, 2006 et par une ordonnance de Elle reprécise le rôle et la mission de l État et des forces de police en matière de sécurité. Traitant des prérogatives régaliennes de l État, la sécurité des personnes et des biens, cette loi cadre les fonctions de police, tente de définir ce que pourrait être un «partage» de la sécurité entre État, collectivité locales et sociétés privées. Elle est à la base des contrats locaux de sécurité. Elle postule clairement que la sécurité est l affaire de tous. 79