ISO 22003-2:2022

NORME ISO
INTERNATIONALE 22003-2
Première édition
2022-06
Sécurité des denrées alimentaires —
Partie 2:
Exigences pour les organismes
procédant à l’évaluation et à la
certification de produits, de procédés
et de services, incluant un audit du
système de sécurité des denrées
alimentaires
Food safety —
Part 2: Requirements for bodies providing evaluation and
certification of products, processes and services, including an audit of
the food safety system
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 2
4 Exigences générales . .4
4.1 Domaine juridique et contractuel . 4
4.2 Gestion de l’impartialité . 4
4.3 Responsabilité et financement . 4
4.4 Conditions non discriminatoires . 4
4.5 Confidentialité . 4
4.6 Informations accessibles au public . 5
5 Exigences structurelles . 5
5.1 Organisation et direction . 5
5.2 Dispositif de préservation de l’impartialité . 5
6 Exigences relatives aux ressources . 5
6.1 Personnel de l’organisme de certification . 5
6.1.1 Généralités . 5
6.1.2 Gestion des compétences du personnel engagé dans le processus de
certification. 5
6.1.3 Contrat conclu avec le personnel . 5
6.2 Ressources pour l’audit . 6
6.2.1 Ressources internes . 6
6.2.2 Ressources externes (externalisation) . 6
7 Exigences relatives aux processus .6
7.1 Généralités . 6
7.2 Demande . 6
7.3 Revue de la demande . 6
7.4 Évaluation . 7
7.4.1 Activités préalables à l’audit . 7
7.4.2 Planification des audits . 10
7.4.3 Réalisation des audits .13
7.4.4 Acceptation des résultats externes . 17
7.4.5 Rapport d’audit . 17
7.4.6 Non-conformités . 18
7.4.7 Résolution des non-conformités . 18
7.5 Revue . 19
7.6 Décision de certification . 19
7.7 Documents de certification . 19
7.8 Annuaire des produits certifiés . 19
7.9 Surveillance . 19
7.10 Changements ayant des conséquences sur la certification. 19
7.11 Résiliation, réduction, suspension ou retrait de la certification . . 19
7.12 Enregistrements . 19
7.13 Plaintes et appels . 19
7.14 Audits particuliers . 20
8 Exigences du système de management .20
Annexe A (normative) Classification des catégories de la chaîne alimentaire .21
Annexe B (normative) Durée minimale d’audit .25
Annexe C (normative) Connaissances et savoir-faire requis pour déterminer la compétence .29
iii
Bibliographie .34
iv
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 34, Produits alimentaires, sous-
comité SC 17, Systèmes de management pour la sécurité des denrées alimentaires, en collaboration avec le
Comité ISO pour l’évaluation de la conformité (CASCO).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
La certification du système de sécurité des denrées alimentaires (SSDA) d’une organisation est l’un
des moyens permettant d’assurer que l’organisation a mis en œuvre un système de management de
la sécurité des denrées alimentaires conforme à sa politique et aux principes de sécurité des denrées
alimentaires internationalement reconnus.
Les exigences relatives à un SSDA peuvent provenir de différentes sources. Le présent document a été
élaboré afin de faciliter la certification des produits, des procédés ou des services de l’organisation,
ainsi que de son SSDA, y compris les éléments de son système de management.
Le présent document est destiné à être utilisé conjointement avec l’ISO/IEC 17065 par les organismes qui
procèdent à l’évaluation et à la certification des produits, des procédés ou des services, y compris à un
audit du SSDA. Il fournit des exigences générales à l’attention de ces organismes dits «de certification».
Ce libellé n’est pas destiné à faire obstacle à l’utilisation du présent document par des organismes
désignés différemment qui entreprennent des activités couvertes par le domaine d’application décrit
dans ce document.
La certification des produits, procédés ou services d’une organisation, incluant un audit du SSDA
conformément au présent document, peut impliquer un certain nombre d’activités. Le présent document
étant destiné aux programmes de certification de produits qui comprennent un élément de système de
management, ces activités impliquent un audit du SSDA de l’organisation. L’attestation de la conformité
du SSDA d’une organisation à une norme spécifique, aux exigences d’un programme de certification
ou à d’autres exigences spécifiées prend généralement la forme d’un document de certification ou d’un
certificat.
Il incombe à l’organisation cherchant à obtenir une certification de mettre au point son propre SSDA
et ses systèmes connexes conformément aux exigences du programme. Sauf spécifications contraires
dans les exigences réglementaires applicables, les exigences du client ou les exigences du programme
de certification, il appartient à l’organisation de décider de l’agencement des divers composants desdits
systèmes. Le degré d’intégration entre les divers composants des systèmes variera d’une organisation
à l’autre. Il est donc approprié pour les organismes de certification qui opèrent conformément au présent
document de prendre en compte la culture et les pratiques de leurs clients, eu égard à l’intégration
de leur SSDA dans un cadre plus large.
Le présent document a été élaboré en parallèle de l’ISO 22003-1, qui est utilisée conjointement avec
l’ISO/IEC 17021-1.
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient de/que» indique une recommandation;
— «peut/il est admis/permis» indique une permission;
— «peut/il est possible» indique une possibilité ou une capacité.
vi
NORME INTERNATIONALE ISO 22003-2:2022(F)
Sécurité des denrées alimentaires —
Partie 2:
Exigences pour les organismes procédant à l’évaluation et
à la certification de produits, de procédés et de services,
incluant un audit du système de sécurité des denrées
alimentaires
1 Domaine d’application
Le présent document vient compléter l’ISO/IEC 17065. Il spécifie les règles applicables à l’audit d’un
système de sécurité des denrées alimentaires (SSDA) et à la certification de produits, de procédés et de
services conformes aux exigences d’un programme de certification fondé sur les principes de sécurité
des denrées alimentaires internationalement reconnus (par exemple, les Principes généraux d’hygiène
[8]
alimentaire du CODEX ) et comprenant des éléments de système de management.
Le présent document ne s’applique pas aux certifications qui s’appuient exclusivement sur des essais
de produits (par exemple, effectués par un organisme appliquant l’ISO/IEC 17025) ou des inspections
(par exemple, effectuées par un organisme appliquant l’ISO/IEC 17020) et ne s’applique pas aux
programmes de sécurité des denrées alimentaires fondés sur l’ISO/IEC 17065 qui n’incluent pas à la fois
les principes de la sécurité des denrées alimentaires internationalement reconnus et des éléments de
système de management.
Il fournit également aux clients les informations nécessaires sur la manière de procéder à la certification
de leurs fournisseurs et leur donne ainsi confiance dans cette certification.
La certification des SSDA est une activité d’évaluation de la conformité par tierce partie
(tel que décrit dans l’ISO/IEC 17000:2020, 4.3) et les organismes exerçant cette activité sont des
organismes d’évaluation de la conformité par tierce partie.
NOTE Le présent document peut être utilisé comme référentiel pour l’accréditation ou l’évaluation par
des tiers des organismes de certification qui cherchent à se faire reconnaître comme étant compétents pour
certifier que les produits, les procédés et les services d’une organisation ainsi que son SSDA sont conformes
aux exigences d’un programme de certification. Il est également destiné à être utilisé comme référentiel
par des autorités réglementaires et des consortiums industriels qui procèdent à la reconnaissance directe
des organismes de certification qui certifient que le SSDA d’une organisation est conforme aux exigences
d’un programme de certification. Certaines de ses exigences peuvent aussi être utiles pour toute autre partie
susceptible d’être impliquée dans l’évaluation de la conformité de tels organismes de certification et dans
l’évaluation de la conformité de tout organisme qui réalise la certification de la conformité d’un SSDA à des
critères supplémentaires.
La certification d’un SSDA n’atteste pas la sécurité ou l’aptitude à l’emploi des produits d’une
organisation appartenant à la chaîne alimentaire. Cependant, la certification exige qu’une organisation
satisfasse à l’ensemble des exigences législatives et réglementaires en vigueur liées à la sécurité des
denrées alimentaires au travers de son SSDA.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
ISO/IEC 17065:2012, Évaluation de la conformité — Exigences pour les organismes certifiant les produits,
les procédés et les services
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 17000, l’ISO/IEC 17065
ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
système de sécurité des denrées alimentaires
SSDA
programmes prérequis (3.2), complétés par des mesures de maîtrise (3.16), suivant le cas, fondés sur les
principes de sécurité des denrées alimentaires internationalement reconnus, combinés à des éléments
de système de management (3.17) qui, lorsqu’ils sont mis en œuvre par l’organisation, permettent de
fournir des produits et des services sûrs, dans le cadre de leur utilisation prévue
Note 1 à l'article: Les programmes prérequis et les mesures de maîtrise d’un SSDA peuvent être fondés soit sur
une analyse des dangers spécifiques à l’organisation, à ses produits et à ses procédés, soit sur une analyse des
dangers générique réalisée par un organisme externe compétent (par exemple, une autorité compétente, une
université, une association professionnelle ou sectorielle, le propriétaire d’un programme de certification),
appropriée aux produits et aux procédés de l’organisation, et adaptée et personnalisée par l’organisation par
rapport à ses opérations.
3.2
programme prérequis
PRP
conditions et activités de base nécessaires au sein de l’organisation et tout au long de la chaîne
alimentaire pour préserver la sécurité des denrées alimentaires
Note 1 à l'article: Les PRP nécessaires dépendent du segment de la chaîne alimentaire dans lequel l’organisme
intervient et du type d’organisme. Parmi les exemples de termes équivalents figurent bonnes pratiques
agricoles (BPA), bonnes pratiques vétérinaires (BPV), bonnes pratiques de fabrication (BPF), bonnes pratiques
d’hygiène (BPH), bonnes pratiques de production (BPP), bonnes pratiques de distribution (BPD) et bonnes
pratiques de vente (BPV).
[SOURCE: ISO 22000:2018, 3.35]
3.3
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
[SOURCE: ISO/IEC 17021-1:2015, 3.7]
3.4
audit
processus permettant d’obtenir des informations pertinentes sur un objet de l’évaluation de la
conformité et de l’évaluer objectivement pour déterminer dans quelle mesure les exigences spécifiées
sont respectées
Note 1 à l'article: Les exigences spécifiées sont définies avant la réalisation d’un audit de manière à obtenir
des informations pertinentes.
Note 2 à l'article: Dans le contexte du présent document, le terme «audit» comprend toute activité d’évaluation
applicable (conformément à l’ISO/IEC 17065), comme l’inspection, les essais et l’audit du système de management
(conformément à l’ISO/IEC 17021-1).
[SOURCE: ISO/IEC 17000:2020, 6.4, modifié —Les Notes 2 et 3 à l’article ont été supprimées et une
nouvelle Note 2 à l’article a été ajoutée.]
3.5
durée d’audit
partie du temps d’audit (3.6) consacrée à la réalisation des activités d’audit (3.4), de la réunion
d’ouverture à la réunion de clôture incluse
[SOURCE: ISO/IEC 17021-1:2015, 3.17, modifié — Le terme «durée d’audit» remplace «durée des audits
de certification d’un système de management».]
3.6
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit (3.4) complet et efficace du SSDA de
l’organisation du client
[SOURCE: ISO/IEC 17021-1:2015, 3.16, modifié — «SSDA» remplace «système de management» dans la
définition.]
3.7
non-conformité
non-satisfaction d’une exigence
[SOURCE: ISO/IEC 17021-1:2015, 3.11]
3.8
analyse des dangers et points critiques pour leur maîtrise
étude HACCP
analyse des dangers pour une famille de produits/services/procédés présentant des dangers semblables
ainsi que des processus et une technologie analogues (par exemple production, conditionnement,
stockage ou prestation de services)
3.9
auditeur
personne qui réalise un audit (3.4)
[SOURCE: ISO/IEC 17021-1:2015, 3.6]
3.10
guide
personne nommée par le client pour assister l’équipe d’audit
[SOURCE: ISO/IEC 17021-1:2015, 3.8]
3.11
observateur
personne qui accompagne l’équipe d’audit (3.4), mais qui n’audite pas
[SOURCE: ISO/IEC 17021-1:2015, 3.9]
3.12
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
[SOURCE: ISO/IEC 17021-1:2015, 3.14, modifié — La Note 1 à l’article a été supprimée.]
3.13
site permanent
emplacement (physique ou virtuel) où une organisation cliente effectue un travail ou délivre un service
de manière permanente
[SOURCE: ISO/IEC TS 17023:2013, 3.4]
3.14
site provisoire
emplacement (physique ou virtuel) où une organisation cliente effectue un travail particulier ou délivre
un service pendant une période de temps définie, et qui n’est pas destiné à devenir un site permanent
(3.13)
[SOURCE: ISO/IEC TS 17023:2013, 3.5]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.4)
[SOURCE: ISO 19011:2018, 3.6]
3.16
mesure de maîtrise
action ou activité pouvant être utilisée pour prévenir ou éliminer un danger ou pour le réduire à un
niveau acceptable
3.17
élément de système de management
élément d’un système de management (par exemple, engagement de la direction, responsabilité de
la direction, revue de direction, informations documentées, audit interne) qui favorise la production
de denrées alimentaires sûres
4 Exigences générales
4.1 Domaine juridique et contractuel
4.1.1 L’ISO/IEC 17065:2012, 4.1, doit être respectée.
4.1.2 Les documents de certification doivent identifier en détail les catégories et sous-catégories
présentées dans le Tableau A.1 auxquelles le SSDA s’applique.
4.2 Gestion de l’impartialité
L’ISO/IEC 17065:2012, 4.2, doit être respectée.
4.3 Responsabilité et financement
L’ISO/IEC 17065:2012, 4.3, doit être respectée.
4.4 Conditions non discriminatoires
L’ISO/IEC 17065:2012, 4.4, doit être respectée.
4.5 Confidentialité
L’ISO/IEC 17065:2012, 4.5, doit être respectée.
4.6 Informations accessibles au public
L’ISO/IEC 17065:2012, 4.6, doit être respectée.
5 Exigences structurelles
5.1 Organisation et direction
L’ISO/IEC 17065:2012, 5.1, doit être respectée.
5.2 Dispositif de préservation de l’impartialité
L’ISO/IEC 17065:2012, 5.2, doit être respectée.
6 Exigences relatives aux ressources
6.1 Personnel de l’organisme de certification
6.1.1 Généralités
L’ISO/IEC 17065:2012, 6.1.1, doit être respectée.
6.1.2 Gestion des compétences du personnel engagé dans le processus de certification
6.1.2.1 L’ISO/IEC 17065:2012, 6.1.2, doit être respectée.
Outre les exigences de l’ISO/IEC 17065:2012, 6.1.2.1, la procédure doit exiger que l’organisme de
certification applique les Annexes A et C pour la détermination des compétences.
NOTE La ou les qualifications et l’expérience peuvent faire partie des critères; toutefois, la compétence
ne repose pas uniquement sur ces caractéristiques, car il est important de s’assurer qu’une personne peut
démontrer son aptitude à mettre en œuvre les connaissances spécifiques et le savoir-faire que l’on attendrait
d’une personne ayant obtenu une qualification ou possédant une certaine expérience dans le secteur.
6.1.2.2 La détermination des compétences du personnel doit inclure la capacité de l’individu
à appliquer ses connaissances, en particulier les connaissances de l’individu relatives à la sécurité
des denrées alimentaires, y compris ses connaissances des programmes prérequis (PRP) spécifiques,
des dangers liés à la sécurité des denrées alimentaires et des mesures de maîtrise concernant les
catégories qui entrent dans le périmètre d’action du personnel de l’organisme de certification.
Elles doivent être identifiées pour les catégories relevant des exigences de 6.1.2.1.
L’organisme de certification doit évaluer périodiquement les performances de chaque auditeur au cours
d’un audit sur site.
Les personnes responsables de la détermination des compétences du personnel doivent connaître les
méthodes de détermination et avoir démontré leur capacité à les appliquer, ainsi que posséder des
compétences équivalentes aux fonctions qu’elles évaluent.
6.1.3 Contrat conclu avec le personnel
L’ISO/IEC 17065:2012, 6.1.3, doit être respectée.
6.2 Ressources pour l’audit
6.2.1 Ressources internes
L’ISO/IEC 17065:2012, 6.2.1, doit être respectée.
NOTE Les exigences applicables de l’ISO/IEC 17021-1 auxquelles il est fait référence dans
l’ISO/IEC 17065:2012, 6.2.1, ont été incluses dans le présent document.
6.2.2 Ressources externes (externalisation)
L’ISO/IEC 17065:2012, 6.2.2, doit être respectée.
NOTE Les exigences applicables de l’ISO/IEC 17021-1 auxquelles il est fait référence dans
l’ISO/IEC 17065:2012, 6.2.2, ont été incluses dans le présent document.
7 Exigences relatives aux processus
7.1 Généralités
L’ISO/IEC 17065:2012, 7.1, doit être respectée.
Lorsque le propriétaire d’un programme a établi ses propres règles de détermination des catégories,
de durée d’audit et de compétence, le résultat des règles du programme doit s’appliquer à condition
que les règles du programme ne soient pas inférieures à celles exigées à l’Article 7 et dans les annexes
correspondantes comme base commune.
7.2 Demande
L’ISO/IEC 17065:2012, 7.2, doit être respectée.
L’organisme de certification doit exiger de l’organisation candidate qu’elle fournisse les informations
concernant les produits et les procédés, pertinentes pour la détermination de la durée de l’audit,
conformément aux Annexes A et B.
7.3 Revue de la demande
7.3.1 L’organisme de certification doit procéder à une revue des informations obtenues (voir 7.2)
afin de s’assurer que:
a) les informations relatives au client, ainsi qu’à ses produits/procédés/services et à son SSDA,
y compris les sites d’exploitation du client, et tout autre point ayant une incidence sur l’activité
de certification (langue, conditions de sécurité, etc.) sont suffisantes pour la conduite du processus
de certification;
b) toute différence de compréhension connue entre l’organisme de certification et le client est résolue,
y compris l’accord concernant les normes ou d’autres documents normatifs;
c) le périmètre de la certification recherchée est défini;
d) les moyens nécessaires à la réalisation des audits sont disponibles;
e) l’organisme de certification a la compétence et la capacité d’effectuer l’activité de certification.
7.3.2 L’ISO/IEC 17065:2012, 7.3.2, doit être respectée.
7.3.3 L’ISO/IEC 17065:2012, 7.3.3, doit être respectée.
7.3.4 L’ISO/IEC 17065:2012, 7.3.4, doit être respectée.
7.3.5 L’ISO/IEC 17065:2012, 7.3.5, doit être respectée.
7.3.6 L’organisme de certification doit déterminer le périmètre de certification pertinent pour
l’organisation demandeuse en utilisant l’Annexe A, à moins que le programme ne prévoie des catégories
ou sous-catégories spécifiques. L’organisme de certification doit identifier la ou les catégories ou sous-
catégories incluses dans le périmètre de la certification pour chaque site en décrivant brièvement
les principaux types de produits et procédés pour les produits et/ou services qui sont évalués
par l’organisme de certification.
7.3.7 Le périmètre défini de la certification ne doit pas:
— être trompeur;
— exclure d’activités, de procédés, de produits ou de services du périmètre de certification lorsque
ces derniers peuvent influer sur la sécurité sanitaire des produits finis telle que définie par la
responsabilité juridique des activités des organisations;
— de mentions, marques ou allégations promotionnelles n’entrant pas dans le périmètre du programme
de certification.
7.4 Évaluation
NOTE L’ISO/IEC 17065 fait référence à une «évaluation» qui s’applique aux différents types de programmes
de certification de produits, de procédés et de services comprenant des activités d’évaluation de la conformité,
telles que des contrôles, des essais, des audits, des vérifications et des validations. Dans le contexte du présent
document, l’activité d’évaluation est l’audit, par conséquent la terminologie utilisée dans le présent paragraphe
a trait uniquement à l’audit.
7.4.1 Activités préalables à l’audit
7.4.1.1 Programme d’audit
NOTE 1 Le «programme d’audit» est identifié comme étant équivalent au «plan d’évaluation» requis dans
l’ISO/IEC 17065:2012, 7.4.1.
L’organisme de certification doit prévoir un programme pour les activités d’audit, y compris les
activités réalisées à distance, afin de permettre la gestion des dispositions nécessaires. Le programme
doit énoncer des activités individuelles claires (par exemple, audit, essais et inspection), mais doit tenir
compte du fait que les activités individuelles ne sont pas toujours discernables les unes des autres
lorsqu’elles sont menées sur site.
L’organisme de certification doit disposer d’un processus pour choisir la date et la saison de l’audit
et ainsi permettre à l’équipe d’audit d’auditer l’organisation en fonctionnement sur un nombre
représentatif de produits et de procédés couverts par le domaine d’application, en utilisant les critères
du programme de certification, le cas échéant.
NOTE 2 En fonction des caractéristiques du programme de certification et des exigences relatives au SSDA,
le programme d’audit peut être soit un plan générique applicable à toutes les activités, y compris l’audit des
éléments pertinents du système de management (par exemple, le système de management de la qualité ou de la
sécurité des denrées alimentaires ou leur intégration), le cas échéant, soit un plan spécifique pour une activité
particulière, soit une combinaison des deux.
7.4.1.2 Détermination du temps d’audit
7.4.1.2.1 L’organisme de certification doit disposer de procédures documentées visant à déterminer
le temps d’audit. Pour chaque client, l’organisme de certification doit déterminer le temps nécessaire à
la planification et à la réalisation d’un audit complet et efficace du SSDA. Afin de déterminer la durée
de l’audit, l’organisme de certification doit utiliser la méthodologie décrite à l’Annexe B. Le temps
imparti déterminé par l’organisme de certification ainsi que les justifications correspondantes doivent
être enregistrés, y compris la justification de toute réduction ou de tout allongement.
7.4.1.2.2 Afin de déterminer le temps d’audit nécessaire et de le documenter, l’organisme de
certification doit déterminer:
a) le temps de préparation de l’audit;
b) la durée minimale de l’audit pour chaque site, qu’il s’agisse d’un audit sur site ou d’un audit à
distance, tel que spécifié dans les paragraphes B.2 et B.3, ainsi que dans le Tableau B.1;
c) le temps nécessaire à l’établissement des rapports et, le cas échéant, à la conduite des activités post-
audit;
d) le nombre d’auditeurs par journée d’audit en fonction des ressources de l’organisation;
e) une augmentation du temps d’audit peut être requise lorsque des réunions supplémentaires sont
nécessaires, par exemple des réunions de revue, de coordination, d’information de l’équipe d’audit;
f) dans les cas applicables et convenus, le temps nécessaire pour assurer un audit à distance efficace
ou l’utilisation des technologies de l’information et de la communication (TIC).
7.4.1.3 Échantillonnage multisite
7.4.1.3.1 Une organisation multisite est une organisation comportant une fonction centralisée
identifiée au niveau de laquelle certaines activités de SSDA sont planifiées, maîtrisées ou gérées;
ainsi qu’un réseau de sites au niveau desquels ces activités sont entièrement ou partiellement réalisées.
Des exemples d’organisations multisites possibles sont:
— les organisations opérant avec des franchises;
— une entreprise manufacturière disposant d’un ou de plusieurs sites de production et d’un réseau
de bureaux de vente;
— les organisations de services disposant de plusieurs sites offrant un service similaire;
— les organisations comportant plusieurs filiales.
Une organisation multisite possède plusieurs sites à différentes adresses, avec ou sans propriétaires
différents impliqués.
NOTE Le concept d’organisation multisite dans le contexte du présent document ne comprend pas les
exploitations agricoles (c’est-à-dire les catégories A et B de l’Annexe A) qui disposent d’un certain nombre de sites
de production (par exemple, des champs, des granges, des enclos, des pâturages) au sein de leur exploitation.
Les exploitations agricoles qui disposent d’installations de stockage ou de conditionnement en plusieurs endroits
associés à leurs sites de production ne sont généralement pas considérées comme des exploitations multisites,
sauf si ces installations sont clairement gérées indépendamment des autres fonctions (c’est-à-dire avec des
équipes distinctes, ce qui peut être le cas de certaines exploitations agricoles polyvalentes). Les organisations
multisites peuvent inclure les groupements de producteurs gérés par une fonction centralisée.
7.4.1.3.2 Lorsque l’organisme de certification doit auditer le SSDA d’une organisation multisite
(voir 7.4.1.3.1), il peut adopter une approche par échantillonnage. L’échantillonnage des organisations
multisites doit couvrir toutes les activités de l’organisation entrant dans le périmètre de la certification.
Voir 7.4.1.5 pour savoir dans quelles catégories l’échantillonnage est autorisé.
NOTE L’échantillonnage n’est pas permis dans le cadre de certains programmes de certification spécifiques.
7.4.1.3.3 Lorsque l’échantillonnage multisite est permis pour auditer le SSDA d’un client, l’organisme
de certification doit disposer d’un programme d’échantillonnage afin de s’assurer que les objectifs
de l’audit sont atteints. Les raisons du programme d’échantillonnage pour chaque client doivent être
documentées.
7.4.1.3.4 L’organisme de certification doit démontrer que l’échantillonnage des sites ne nuit pas
à l’efficacité de l’audit. Lorsqu’un échantillonnage multisite est entrepris, l’organisme de certification
doit justifier et documenter les raisons utilisées pour déterminer l’échantillonnage, sur la base des
conditions suivantes:
a) les sites opèrent sous un seul SSDA contrôlé et administré de façon centralisée;
b) les sites faisant l’objet d’un échantillonnage se ressemblent (par exemple, sous-catégorie de la
chaîne alimentaire, emplacement géographique, procédés et technologies, taille et complexité,
exigences légales et réglementaires, exigences des clients, dangers liés à la sécurité des denrées
alimentaires et mesures de maîtrise);
c) la fonction centralisée fait partie de l’organisation, elle est clairement identifiée et n’est pas sous-
traitée à une organisation externe;
d) tous les sites ont un lien juridique ou contractuel avec la fonction centralisée;
e) la fonction centralisée dispose, au sein de l’organisation, de l’autorité pour définir, établir et tenir
à jour le SSDA;
f) tous les sites sont soumis au programme d’audit interne de l’organisation et ont fait l’objet d’un
audit;
g) les constats d’audit sur un site sont considérés comme indicatifs de l’ensemble du SSDA et des
actions correctives sont mises en œuvre en conséquence;
h) la fonction centralisée est chargée de veiller à ce que les résultats de l’évaluation des performances
et les plaintes des clients provenant de tous les sites soient collectés et analysés;
i) le SSDA de l’organisation fait l’objet d’une revue de direction centralisée;
j) la fonction centralisée a le pouvoir d’initier l’amélioration continue du SSDA.
NOTE La fonction centralisée est le lieu où la maîtrise opérationnelle et l’autorité de la direction de
l’organisation sont exercées sur chaque site. Il n’est pas exigé que la fonction centralisée se situe sur un seul
site.
7.4.1.3.5 L’utilisation de l’échantillonnage multisite est autorisée pour les catégories A et B.
L’échantillonnage peut être appliqué à des organisations multisites et à des groupements de
producteurs, la taille minimale de l’échantillon étant la racine carrée du nombre total des autres sites
ou des membres du groupement, √(x), arrondi au nombre entier supérieur. L’échantillon issu de ce
calcul doit être prélevé par catégorie de risque en fonction de la complexité de la production des sites/
membres (par exemple, production végétale en plein champ, production de plantes vivaces, production
en intérieur ou production animale en plein champ, production animale en intérieur). Le propriétaire
du programme peut définir les catégories de risque et revoir la taille minimale de l’échantillon à la
hausse.
L’utilisation d’un échantillonnage multisite est permise pour les catégories F, G et uniquement pour les
installations dotées de possibilités de préparation ou de cuisson limitées (par exemple, réchauffage,
friture) de la catégorie E (voir le Tableau A.1). Pour les organisations comportant 20 sites ou moins,
tous les sites doivent être audités. Dans le cas d’organisations de plus de 20 sites, le nombre minimal
de sites à échantillonner doit être de 20 plus la racine carrée du nombre total des autres sites:
y = 20 + √(x – 20), arrondi au nombre entier supérieur.
Pour toutes les catégories où l’échantillonnage multisite est autorisé, l’organisme de certification doit
augmenter la taille de l’échantillon ou mettre fin à l’échantillonnage des sites lorsque le SSDA n’indique
pas sa capacité à atteindre les résultats escomptés.
L’utilisation d’un échantillonnage multisite n’est pas autorisée pour les autres catégories identifiées
à l’Annexe A.
7.4.1.3.6 Lorsque l’échantillonnage multisite est autorisé, l’organisme de certification doit définir
et utiliser un programme d’échantillonnage afin de garantir un audit efficace du SSDA dans lequel les
conditions suivantes s’appliquent.
a) Un audit de la fonction centralisée concernant le SSDA doit être réalisé au moins une fois par an
par l’organisme de certification avant d’effectuer la majorité des audits des sites échantillonnés.
b) Des audits doivent être réalisés au moins une fois par an par l’organisme de certification sur le
nombre de sites échantillonnés requis.
c) Les constats d’audit issus des sites échantillonnés doivent être évalués pour déterminer s’ils
indiquent une défaillance globale du SSDA et s’ils peuvent donc être applicables à certains ou à tous
les autres sites.
d) Lorsque les constats d’audit issus des sites échantillonnés sont considérés comme étant indicatifs
de l’ensemble du SSDA, des actions correctives doivent être mises en œuvre en conséquence.
7.4.1.3.7 L’échantillon doit être en partie sélectif et en partie aléatoire, et doit permettre de
sélectionner un éventail représentatif des différents sites, en garantissant que tous les processus
couverts par le périmètre de la certification seront audités.
Au moins 25 % de l’échantillon doit être sélectionné de manière aléatoire. Le reste doit être sélectionné
de manière que les différences entre les sites choisis sur la période de validité de la certification soient
aussi grandes que possible.
La sélection des sites doit tenir compte, entre autres, des aspects suivants:
a) les résultats des audits internes, des revues de direction ou des audits précédents;
b) les enregistrements
...