La certification des services de prévention et de santé au travail interentreprises (SPSTI)
Publié le Mis à jour le 15/10/2024 |
L’article 11 de la loi du 2 août 2021 (art. L. 4622-9-3 du code du travail) dispose que chaque service de prévention et de santé au travail (SPSTI) fait l’objet d’une procédure de certification, réalisée par un organisme indépendant, visant à porter une appréciation à l’aide de référentiels.
Quel objet ?
Ces référentiels concernent :
- La qualité et l’effectivité des services rendus dans le cadre de l’ensemble socle de services ;
- L’organisation et la continuité du service ainsi que la qualité des procédures suivies ;
- La gestion financière, la tarification et son évolution ;
- La conformité du traitement des données personnelles au Règlement général sur la protection des données (RGPD) ;
- La conformité des systèmes d’information et des services ou outils numériques utilisés par les professionnels de santé exerçant pour le compte des SPSTI aux référentiels d’interopérabilité et de sécurité mentionnés à l’article L. 4624-8-2.
Conformément à la loi, le Comité national de prévention et de santé au travail (CNPST du COCT) a proposé un cadre pour le référentiel et les principes guidant l’élaboration du cahier des charges de certification par délibération du 10 juin 2022. Dans ce cadre, le décret n° 2022-1031 du 20 juillet 2022 relatif aux référentiels et aux principes guidant l’élaboration du cahier des charges de certification des SPSTI précise les principes et plusieurs éléments de cadrage du cahier des charges de la certification. Il prévoit notamment que les organismes certificateurs seront accrédités par le Comité français d'accréditation (COFRAC) et fixe son entrée en vigueur à la date de publication de l’arrêté de mise en œuvre du cahier des charges et au plus tard le 1er mai 2023. A compter de son entrée en vigueur, les SPSTI disposent d’un délai de deux ans pour obtenir leur certification ; soit jusqu’au 1er mai 2025.
La certification délivrée aux SPSTI vise à s’assurer que l’ensemble des services rendus par les SPSTI et les processus y afférents soient réalisés de manière effective et homogène par ces derniers. Cette certification doit conduire chaque SPSTI à s’inscrire dans une dynamique de progrès, de qualité et de proactivité.
Quels niveaux de certification ?
Trois niveaux de certification sont définis, respectivement pour une durée de deux ans, de trois ans et de cinq ans. Les deux premiers niveaux sont non renouvelables, dans la mesure où seul le niveau trois atteste de façon pérenne de la conformité à l’ensemble des exigences du référentiel :
- Le niveau 1 « Engagement » : il correspond à une phase d’engagement des procédures par le SPSTI, par la mise en œuvre des moyens humains, organisationnels et fonctionnels que le service a déployés pour répondre aux exigences ;
- Le niveau 2 « Maîtrise » : le SPSTI doit justifier, en plus des moyens prévus au niveau 1, de la maîtrise des procédures et des outils d’évaluation, et de l’effectivité (résultats) de ses moyens par la définition d’indicateurs de suivi ;
- Le niveau 3 « Conformité » : le SPSTI, en plus de satisfaire aux exigences de qualité et d’effectivité requis, compare le résultat obtenu au résultat exigé. Il justifie de la mise en œuvre de l’ensemble des mesures prévues, visant à attester qu’il dispense à ses adhérents l’ensemble des prestations prévues par l’offre socle. Il est en mesure de démontrer un réel pilotage de sa démarche sur le long terme et d’apporter des résultats probants et d’amélioration continue.
La certification est délivrée par un organisme certificateur dans le respect des conditions et des modalités définies par l’arrêté du 27 juillet 2023 fixant le cahier des charges de certification des SPSTI, l’AFNOR SPEC 2217 et le plan de contrôle.
L’arrêté du 27 juillet articule l’ensemble du dispositif et précise, notamment, les modalités d’accréditation des organismes certificateurs ainsi que celles relatives aux transferts de certificats et aux fusions de services. Il prévoit également que les modalités de certification ou d’accréditation pourront faire l’objet de précisions dans une foire aux questions.
L’AFNOR SPEC 2217 constitue un référentiel « métier » pour les SPSTI dont l’appréciation des services rendus est principalement évaluée à l’aune des critères et des exigences retenus pour mesurer la bonne réalisation des trois missions de l’ensemble socle de services ; à savoir, la prévention des risques professionnels, le suivi individuel de l’état de santé et la prévention de la désinsertion professionnelle et maintien dans l’emploi.
Le plan de contrôle précise plus particulièrement les modalités techniques et organisationnelles relatives à la procédure de délivrance de la certification.
Déploiement du dispositif d'accréditation des organismes certificateurs de certification des SPSTI
A ce jour, deux organismes certificateurs candidats ont reçu la « recevabilité opérationnelle » du COFRAC le 3 juillet 2024, AFNOR certification et QUALIANOR, permettant à ces deux organismes de contracter avec les SPSTI, de programmer des audits et de délivrer des certifications. Ils disposent d’une année, à compter du 3 juillet 2024, pour obtenir leur accréditation.
Un troisième candidat, Qualipole, s’est manifesté. Son dossier est en cours d’instruction par le COFRAC pour l’obtention de la recevabilité opérationnelle.
Foire aux questions
Chaque service de prévention et de santé au travail interentreprises devra être certifié au plus tard le 1er mai 2025 sur la base de l’ensemble du dispositif prévu par le décret n° 2022-1031 du 20 juillet 2022, l’arrêté DGT du 27 juillet 2023, l’AFNOR SPEC 2217 et le plan de contrôle disponibles sur le site du ministère du travail.
L’article 5 de l’arrêté précité a expressément prévu que « Les modalités de certification ou d’accréditation pourront faire l’objet de précisions dans une foire aux questions disponible sur le site internet du ministère chargé du Travail ».
L’article D. 4622-47-6 du Code du travail prévoit quant à lui que « la DGT informe le CNPST des travaux relatifs à l'élaboration et à la mise en oeuvre de la certification, qui peut le cas échéant, dans le cadre de ses missions prévues aux 2°, 3° et 4° de l'article L. 4641-2-1, formuler des propositions d'évolution des principes ou des modalités de certification ».
Dans ce cadre, les propositions de réponses aux questions adressées à la DGT sont présentées au CNPST préalablement à leur publication sur le site ministère. Cette FAQ pourra être enrichie par la DGT au fur et à mesure de la mise en oeuvre du dispositif de certification selon les besoins de précisions remontées par les différents acteurs concernés (COFRAC, organismes certificateurs, services de prévention et de santé au travail interentreprises).
En application des articles L. 4622-4, L. 4622-8 et L. 4622-8-1, dans leurs rédactions issues de la loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail, les SPST autonomes et les SPST interentreprises peuvent, par convention, recourir aux compétences d’autres SPST pour assurer l’ensemble de leurs missions. Les cellules pluridisciplinaires de prévention de la désinsertion professionnelle peuvent, notamment, être mutualisées entre plusieurs services agréés dans la même région, sur autorisation de la DREETS.
A cet égard, l’AFNOR SPEC 2217 précise en point 1 relatif au domaine d’application de la certification que « les activités du SPSTI mutualisées avec d’autres SPSTI rentrent également dans le périmètre. ».
Chaque service reste responsable individuellement de son activité auprès de l’organisme certificateur instruisant sa candidature.
Les SPSTI doivent clairement faire apparaître leurs activités mutualisées (en précisant avec quels autres services) lors de leur demande de certification auprès d’un organisme certificateur. Lors d’un audit, si l’organisme certificateur constate des écarts sur ces activités mutualisées, il informe le ou les autres organismes certificateurs concernés des écarts constatés portant sur ces seules activités. Les organismes certificateurs peuvent échanger, le cas échéant, sur ces écarts. En cas d’appréciation différente persistante, le ou les SPSTI pourront effectuer des réclamations auprès de leur organisme certificateur respectif dans les cadre des dispositions prévues au point 5.5 du plan de contrôle.
Par ailleurs, le plan de contrôle prévoit, en amont de l’audit (point 3.2.1) puis après l’audit et avant la délivrance de la certification (point 3.2.3) des échanges entre le service et l’organisme certificateur sur d’éventuels écarts. A ces occasions, l’appréciation des écarts constatés par les différents organismes
certificateurs concernés sur les activités mutualisées pourraient être évoqués. Il est également prévu, en point 5.1, qu’avant de se prononcer sur la certification, l’organisme certificateur vérifie l’homogénéisation du rapport d’audit avec les rapports d’audit d’autres SPSTI.
Pour les cas où ces services candidateraient à un niveau de certification différent, l’appréciation de l’organisme certificateur sur les activités mutualisées doit être faite à l’aune du niveau le plus élevé demandé afin de prévenir d’éventuels futurs écarts.
La durée d’audit pourra effectivement être différente pour chaque SPSTI.
Sur cette question, le point 3.2.2 du plan de contrôle prévoit effectivement que « la durée des audits est fonction de l’effectif du SPSTI, du nombre de sites du SPSTI et du niveau de certification précisé notamment dans le dossier de candidature (…) dans le respect des règles et principes préétablis et reconnus par le document d’exigences IAF MD5 ». Ce dernier document, a pour objectif de donner un cadre général devant être utilisé dans les processus des organismes certificateurs pour déterminer le temps approprié d’audit des systèmes de management, en tenant compte des spécificités du client qui doit être audité.
La durée de chacun des audits de chaque service sera déterminée par l’organisme certificateur en application de l’annexe A relative aux systèmes de management de la qualité du document d’exigences IAF MD5. Ce document prévoit, sur la base d’un nombre de jours d’audit proportionnel au nombre de salariés, plusieurs facteurs d’ajustements en augmentation (sans plafond) ou en réduction (30 % maximum) du temps d’audit dûment justifié.
Au regard de l’activité de prestations de services exercée par les SPSTI, le niveau de risques constatés est généralement qualifié de « faible », parfois « moyen » selon la définition proposée par la même annexe A de l’IAF MD5.
Cette durée pourra également différer pour chaque service, en fonction de la maturité de chacun en matière de certification. Le plan de contrôle indique, à cet égard, qu’il peut être tenu compte pour la durée des audits, de certifications déjà obtenues, reconnues et toujours en cours, en prenant en compte les champs et périmètres du ou des certifications en question. Les ajustements sont effectués en application du 8.v).e) du document d’exigences IAF MD5.
L’organisme certificateur doit fournir la détermination du temps d’audit variable en fonction de la nature de celui à réaliser (ex : audit initial, de suivi, de surveillance...) et les justificatifs au client. Ceux-ci font partie intégrante du contrat et doivent être tenus à disposition du COFRAC.
Les partenaires sociaux ont expressément établi au sein du chapitre 3.2.2 du plan de contrôle que les audits se déroulent, le cas échéant, sur les véhicules médicaux dédiés aux visites, dès lors que ces derniers sont compris dans le périmètre de certification et sont au nombre minimum de cinq.
Les véhicules médicaux doivent ainsi être « déterminés » dans le dossier de candidature. L’organisme certificateur détermine le nombre de véhicules médicaux à évaluer par échantillonnage, selon des règles et principes préétablis et reconnus par le document d’exigences IAF MD1.
Il en résulte qu’en dessous de cinq véhicules médicaux, ces véhicules ne sont pas audités et n’entrent pas dans le calcul d’échantillonnage. En revanche, à partir de cinq véhicules l’échantillonnage se fait avec l’ensemble des autres sites excentrés ; chaque véhicule étant comptabilisé comme un site excentré.
Sur ce sujet, il est indiqué en point 5.5.2 de l’AFNOR SPEC 2217 que « L’évaluation par l’organisme certificateur des critères est réalisée sur la base d’un exercice du SPSTI de 12 mois consécutifs (calendaires ou non) ou à défaut pour un nouveau SPSTI créé sur la base de l’exercice réalisé ».
Effectivement, la période de référence pour un service nouvellement créé peut être inférieure à 12 mois. L’organisme de certification prendra en compte la période comprise entre les dates de la création du service et de demande de certification. Ceci est d’autant moins « problématique » que les critères fixés aux niveaux 1 et 2 correspondent respectivement à la mise en place de procédures et à la détermination d’indicateurs de suivi ; l’appréciation des résultats d’activités obtenus n’intervenant qu’au stade du niveau 3.
De fait, l’activité peut démarrer la première année, en parallèle de la démarche de certification.
Il convient également de rappeler que les hypothèses de création de nouveaux SPSTI sont extrêmement réduites, hormis les fusions.
Ce délai de six mois est prévu au point 5.1 avant dernier alinéa du plan de contrôle. Le plan de contrôle prévoit expressément que « Le SPSTI candidat ne peut présenter une nouvelle demande de certification qu’à l’issue d’une période de six mois échue, à partir de la date d’émission du courrier de notification de refus d’attribution de la certification ».
S’il est manifeste qu’une nouvelle demande de certification, au même niveau, ne peut être faite qu’après le respect d’un délai de six mois à compter de la décision de refus de certification. Le candidat pourrait également solliciter un niveau inférieur, en cas de première demande, ou supérieur ; étant entendu qu’il n’est pas possible de renouveler une certification aux niveaux 1 et 2.
Il en ressort également, qu’en cas d’attribution de la certification, une demande à un niveau supérieur ne doit pas être faite dans un délai inférieur à six mois suivant la notification de la certification afin de ne pas surcharger inutilement les organismes certificateurs au regard de l’intérêt limité pour les services d’obtenir le niveau supérieur « en urgence ». De la même manière, il n’est pas possible de candidater pour deux niveaux distincts simultanément auprès d’un ou deux organismes certificateurs.
Cette question se pose dans la mesure où certains ne disposent pas de personnel fixe et ne sont ouverts que ponctuellement, engendrant des durées d’audit pénalisantes pour le SPSTI et peu pertinentes pour l’organisme certificateur.
En premier lieu, pour rappel, s’agissant de l’organisation « classique » d’un SPSTI, il comporte :
- un site principal et des centres fixes périphériques, dans lesquels des professionnels sont affectés,
- des centres annexes (notamment en entreprises), utilisés en général à temps partiel et dans lesquels aucun personnel n’est généralement affecté à temps plein,
- des centres mobiles (camions), dans lesquels aucun personnel n’est affecté à temps plein.
En effet, afin de déterminer le temps d’audit de chacun des sites audités, relevant de l’échantillonnage effectué, il convient de se référer à l’annexe A de l’IAF MD5 (temps d’audit), pour les systèmes de management de la qualité, qui est basé sur le nombre de salarié affecté sur chacun des sites. Il convient ensuite de rappeler les dispositions prévues au point 7.3 de l’IAF MD1 (organisme multisite) indiquant que la réduction du temps d’audit par site échantillonné ne doit pas dépasser 50 %, à moins que le schéma de certification visé ne le permette pas.
Cette marge de réduction du temps d’audit issu de l’application des normes internationales précitées paraît effectivement insuffisante, chronophage et couteuse pour certains centres annexes et mobiles au sein desquels les membres des équipes pluridisciplinaires n’interviennent que très ponctuellement et selon les mêmes process que pour le siège et les centres fixes.
Après des échanges avec le COFRAC, il ressort que certains centres annexes et mobiles pourraient ainsi être assimilés à des sites temporaires « Site (physique ou virtuel) où un client travaille ou propose un service sur une période déterminée et qui n’est pas destiné à devenir un site permanent » pour lesquels l’IAF MD5 prévoit, en point 9, que des méthodes alternatives à des audits sur site peuvent être proposées ainsi qu’une « adaptation/allégement » de l’échantillonnage (représentatif et justifié). Il pourrait ainsi être envisagé d’autoriser une réduction du temps d’audit supérieur à 50 % pour certains centres dont l’effectif est inférieur à 1 ou 2, par exemple.
Afin de mener à bien leurs missions et investigations de manière satisfaisante les auditeurs des organismes certificateurs doivent pouvoir avoir accès à l’ensemble des documents et informations concernant le fonctionnement du SPSTI, en lien direct avec l’activité de certification, notamment les projets de service, les CPOM, les fiches d’entreprises, les DUERP, les espaces personnalisés des entreprises adhérentes, les comptes rendus des réunions des CSE ainsi que ceux liés aux actions en milieu de travail et aux activités de suivi individuel de l’état de santé des travailleurs…
Sur ces aspects, le plan de contrôle précise en point 3.2.2 que « Le rapport d’audit ne comporte aucune donnée personnelle et respecte les exigences du règlement général sur la protection des données (RGPD). » et en point 4 que « Ces auditeurs opèrent, conformément aux règles d’impartialité et de confidentialité fixées par l’organisme certificateur. » et doivent disposer « d’une connaissance générale de la réglementation sur la protection des données personnelles et médicales. ». Dans le cadre de leur obligation de discrétion professionnelle et de leur devoir de réserve, les auditeurs doivent veiller au strict respect du secret industriel et du secret défense.
S’agissant plus particulièrement de l’accès des auditeurs aux DMST et du respect du secret médical, leur accès aux données personnelles couvertes par le secret médical doit être strictement limité et encadré, d’autant plus pour ceux n’étant pas des professionnels de santé.
En effet, conformément au I de l’article L. 1110-4 du code de santé publique « Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins […] a droit au respect de sa vie privée et du secret des informations la concernant » et « Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes […] ». Les informations identifiantes des dossiers des salariés suivis par les SPSTI sont donc des données couvertes par le secret médical prévu à l’article L. 1110-4 du Code de la santé publique.
Dans ces conditions, il apparaît nécessaire, tant au regard du secret médical que du principe de minimisation des données, de ne strictement réserver l’accès aux DMST qu’aux professionnels de santé chargés d’assurer le suivi de l’état de santé des travailleurs, excluant de fait l’accès des auditeurs.