Pendant près de trente ans, la loi 31/1995 sur la prévention des risques professionnels (PRL) a constitué le pilier réglementaire de la sécurité au travail en Espagne. Solide, mais conçue dans un contexte très différent de l'actuel : sans télétravail massif, sans hyperconnectivité permanente et sans les données scientifiques sur l'impact du stress chronique sur la santé des personnes. Le 28 avril 2026, le Conseil des ministres a approuvé l'avant-projet de loi modifiant la loi 31/1995, le statut des travailleurs et le règlement sur les services de prévention. Le changement le plus significatif pour la majorité des entreprises est unique : les risques psychosociaux deviennent une obligation légale expresse, et non plus une recommandation ou une bonne pratique.
Cet article explique ce qu'impose la réforme, ce qu'est l'ISO 45003 et comment les deux cadres se complètent pour aider les organisations à gérer la santé mentale au travail de manière ordonnée et vérifiable.
Ce qui change avec la réforme de la loi PRL
La réforme ne repart pas de zéro : la Stratégie espagnole de sécurité et santé au travail 2023–2027 avait déjà identifié les risques psychosociaux comme une priorité. L'avant-projet les élève désormais au rang d'obligation légale avec ces conséquences concrètes :
- Nouvelle définition du dommage professionnel. Le texte élargit la notion de « dommages découlant du travail » pour inclure non seulement les lésions physiques ou les maladies classiques, mais aussi les atteintes cognitives, émotionnelles, comportementales et sociales. Autrement dit : le burnout, l'anxiété soutenue ou le harcèlement sont des dommages professionnels au sens légal.
- Évaluation obligatoire des risques psychosociaux. Toute entreprise devra évaluer de manière systématique les facteurs de risque psychosocial : charge de travail, clarté du rôle, autonomie, relations interpersonnelles, leadership, télétravail et conditions environnementales. L'Inspection du travail exige déjà ce point lors de ses visites en 2026.
- Règlement spécifique dans un délai d'un an. La loi prévoit que, dans un délai de douze mois à compter de son entrée en vigueur, un règlement de développement sur la protection contre les risques psychosociaux soit adopté. Ce règlement traitera, entre autres, de la prévention des comportements suicidaires et de la promotion d'environnements sains.
- Implication active de la direction. La prévention ne peut plus être entièrement déléguée au service de prévention externe. La réforme exige que la direction, les cadres intermédiaires et les responsables d'équipe participent activement à l'identification et au contrôle de ces risques.
- Perspective de genre et d'âge. L'évaluation doit intégrer une perspective de genre et tenir compte de l'âge des travailleurs comme facteur modulant le risque.
Qu'est-ce que l'ISO 45003 et pourquoi est-elle pertinente maintenant
La ISO 45003:2021 (adoptée en Espagne sous la référence UNE-ISO 45003) est la première norme internationale qui fournit des lignes directrices spécifiques pour gérer les risques psychosociaux dans le cadre d'un système de management de la santé et de la sécurité au travail. Elle est conçue pour être utilisée conjointement avec l'ISO 45001 — la norme certifiable de santé et sécurité au travail — et en constitue le guide de développement dans le domaine psychosocial.
Une nuance importante à préciser : l'ISO 45003 dans sa version actuelle n'est pas certifiable de manière autonome ; c'est un guide de bonnes pratiques. La certification est délivrée par un organisme accrédité (AENOR, Bureau Veritas, SGS, TÜV…) sous l'égide de l'ISO 45001. Ce que propose l'ISO 45003, c'est un cadre structuré, vérifiable et internationalement reconnu pour démontrer que l'organisation gère ces risques de manière systématique. À l'horizon 2027, la révision de l'ISO 45001 prévoit d'incorporer les contenus de la 45003 comme exigences normatives du système certifié lui-même.
Ce que couvre l'ISO 45003
La norme structure le management psychosocial autour de quatre blocs :
- Identification des dangers psychosociaux : conditions de travail (charge, rythme, horaires), contenu du travail (monotonie, complexité), relations de travail (leadership toxique, violence, harcèlement), et facteurs organisationnels (communication, culture, insécurité de l'emploi).
- Évaluation et priorisation des risques : méthodologies validées (CoPsoQ/ISTAS21, FPSICO de l'INSST) pour mesurer l'exposition et l'impact sur la santé.
- Contrôle et mesures préventives : intervention à la source (reconception des tâches, mesures organisationnelles) avant les mesures individuelles (formation, soutien psychologique).
- Surveillance, révision et amélioration continue : indicateurs de résultats (absentéisme, rotation, accidentologie) et de processus (participation, mise en œuvre des mesures).
Comparatif : ce qu'exige la réforme PRL et ce qu'apporte l'ISO 45003
| Aspect | Réforme loi 31/1995 (avant-projet 2026) | ISO 45003:2021 |
|---|---|---|
| Nature | Obligation légale (non-respect = sanction) | Norme volontaire (guide de bonnes pratiques) |
| Évaluation des risques psychosociaux | Obligatoire pour toutes les entreprises | Cadre méthodologique détaillé pour bien le faire |
| Santé mentale comme risque professionnel | Reconnue expressément dans le texte légal | Axe central de toute la norme |
| Perspective de genre | Exigée dans l'évaluation | Prise en compte dans l'identification des dangers |
| Télétravail et numérisation | Obligatoire d'évaluer ses risques | Inclus comme facteur de risque spécifique |
| Implication de la direction | Requise de manière active | Exigence de leadership et d'engagement |
| Règlement de développement | Prévu dans les 12 mois suivant la loi | Fournit déjà des orientations détaillées |
| Certification | Non applicable (c'est une loi) | Pas autonome ; oui dans le cadre de l'ISO 45001 |
| Révision future | Règlement spécifique ~2027 | Intégration dans l'ISO 45001:2027 comme exigence |
La conclusion pratique est claire : la réforme légale définit le « quoi » (obligations minimales), tandis que l'ISO 45003 fournit le « comment » (méthodologie, structure et preuves). Les organisations qui mettent en œuvre l'ISO 45003 ne respectent pas seulement la nouvelle loi ; elles disposent également d'un système vérifiable qui démontre leur diligence auprès de l'Inspection du travail et qui facilite la transition vers la future ISO 45001:2027.
Cas d'usage concrets par secteur
Les risques psychosociaux n'affectent pas tous les secteurs de la même manière. Selon les données de l'Institut national de sécurité et santé au travail (INSST), une proportion significative des travailleurs espagnols est exposée à des niveaux élevés de risques psychosociaux. Voici les scénarios les plus fréquents que nous rencontrons dans les projets de mise en œuvre :
Secteur sanitaire et médico-social
Charge émotionnelle extrême, exposition à des situations de douleur et de mort, horaires de 12 heures et faible autonomie dans la prise de décision. Dans les établissements de plus de 50 employés, c'est là que l'Inspection du travail concentre le plus de visites en 2026. L'évaluation avec CoPsoQ-ISTAS21 (version moyenne ou longue) est la méthode recommandée par l'INSST pour ce secteur.
Service client et centres d'appels
Travail émotionnel de surface (exprimer des émotions que l'on ne ressent pas), surveillance constante des performances, rythme de travail élevé et faible contrôle sur les tâches. Ce sont des conditions de risque psychosocial maximal. Les plans de mesures préventives comprennent généralement la rotation des tâches, des pauses réglementées et une supervision de la qualité avec une approche préventive, et non punitive.
PME industrielles avec télétravail partiel
L'hybridation a créé une nouvelle source de risque : les travailleurs de production sans accès au télétravail qui perçoivent une iniquité par rapport aux collègues de bureau qui en bénéficient. Cette perception d'injustice organisationnelle est un danger psychosocial que la nouvelle loi impose d'évaluer. L'ISO 45003 fournit des critères pour mesurer et gérer ce facteur.
Cabinets professionnels et cabinets de conseil
Forte demande cognitive, délais serrés, disponibilité étendue par courrier électronique et messagerie, et fréquents conflits de rôle (technique vs. commercial). Le droit à la déconnexion numérique — déjà réglementé par l'article 88 de la LOPDGDD — gagne en poids préventif avec la réforme PRL. La mise en œuvre de l'ISO 45003 dans ces environnements commence généralement par la politique de déconnexion et la clarification des rôles.
Étapes pour mettre en place un système psychosocial aligné sur l'ISO 45003 et la nouvelle loi PRL
Chez Summum Calidad, nous accompagnons les entreprises dans toute l'Espagne dans ce processus depuis 2007, avec près de 200 systèmes de management ISO mis en œuvre. L'itinéraire que nous suivons dans les projets de mise en œuvre de l'ISO 45003 comporte quatre phases :
- Diagnostic initial. Révision documentaire du système de prévention des risques professionnels existant, analyse de l'accidentologie (accidents, maladies professionnelles, absentéisme pour raisons psychologiques) et entretiens avec les cadres et les responsables des ressources humaines pour cartographier les facteurs de risque les plus probables.
- Évaluation des risques psychosociaux. Application de la méthodologie validée la mieux adaptée à l'organisation (CoPsoQ-ISTAS21 ou FPSICO de l'INSST). Analyse des résultats par unité de travail, poste et collectif (avec perspective de genre et d'âge). Identification des risques prioritaires.
- Plan de mesures préventives. Conception d'interventions à la source (reconception organisationnelle, amélioration du leadership, clarification des rôles, gestion de la charge de travail) et mesures de soutien individuel (accès à un psychologue, programme d'aide aux employés). Définition des responsables, des délais et des indicateurs de suivi.
- Intégration dans le système ISO 45001. Documentation du processus dans le système de management SST existant ou à mettre en place. Préparation des preuves vérifiables permettant de démontrer la conformité auprès de l'Inspection du travail et, le cas échéant, auprès de l'organisme de certification.
Si votre organisation a déjà mis en œuvre l'ISO 45001 de santé et sécurité au travail, l'ajout de la gestion psychosociale selon l'ISO 45003 est une extension naturelle du système, et non un projet parallèle. Vous réutilisez la structure d'identification des dangers, d'évaluation des risques, d'objectifs et de revue de direction.
Questions fréquentes
L'ISO 45003 est-elle obligatoire en Espagne ?
Pas directement. L'ISO 45003 est une norme internationale volontaire. Ce qui est — ou sera — obligatoire, c'est de respecter la loi 31/1995 réformée, qui exige l'évaluation et la gestion des risques psychosociaux. L'ISO 45003 est l'outil le plus reconnu et le plus structuré pour le faire correctement, mais une entreprise peut se conformer à la loi en utilisant d'autres méthodologies validées comme FPSICO ou CoPsoQ-ISTAS21 sans se certifier sous aucune norme ISO.
Mon entreprise peut-elle se certifier selon l'ISO 45003 ?
L'ISO 45003 dans sa version actuelle (2021) n'est pas une norme certifiable de manière autonome : c'est un guide de lignes directrices. La certification des systèmes de management de la santé et de la sécurité au travail s'obtient sous l'ISO 45001. Cependant, les organismes de certification tels que SGS, AENOR ou Bureau Veritas vérifient lors des audits ISO 45001 que l'organisation gère adéquatement les risques psychosociaux conformément aux critères de la 45003. Dans la révision prévue pour 2027, l'ISO 45001 intégrera ces contenus comme exigences normatives auditables.
Combien de temps faut-il pour mettre en place la gestion psychosociale ?
Cela dépend de la taille et de la complexité de l'organisation. Dans une PME de 20 à 50 employés disposant d'un service de prévention externe opérationnel, le processus complet — du diagnostic au plan de mesures avec preuves documentaires — nécessite généralement entre trois et cinq mois. Dans les organisations plus grandes, avec plusieurs établissements et des évaluations par unités fonctionnelles, le projet peut s'étendre entre six et douze mois. L'important est de ne pas attendre le règlement de développement : l'obligation d'évaluer les risques psychosociaux est déjà inscrite dans la loi.
Que se passe-t-il si l'Inspection du travail visite mon entreprise et que je n'ai pas d'évaluation psychosociale ?
L'absence d'évaluation des risques psychosociaux peut être qualifiée d'infraction grave en matière de PRL, avec des sanctions oscillant — selon l'article 40 de la LISOS (RDLeg 5/2000), dans sa rédaction en vigueur depuis octobre 2021 — entre 2 451 et 49 180 euros pour une infraction grave, ou entre 49 181 et 983 736 euros si elles sont considérées comme très graves. En 2026, l'Inspection du travail donne la priorité à ce point dans ses actions ciblant les PME. Le fait de pouvoir justifier d'avoir entamé le processus d'évaluation et de disposer d'un plan de mesures en cours constitue un facteur atténuant lors d'une inspection.