diff --git a/helm/cert-manager-webhook-ovh/ops/templates/rbac-webhook.yaml b/helm/cert-manager-webhook-ovh/ops/templates/rbac-webhook.yaml
index a5622ed..6253313 100644
--- a/helm/cert-manager-webhook-ovh/ops/templates/rbac-webhook.yaml
+++ b/helm/cert-manager-webhook-ovh/ops/templates/rbac-webhook.yaml
@@ -1,11 +1,11 @@
-# Role pour permettre au webhook OVH de lire les secrets OVH
+# ClusterRole pour permettre au webhook OVH de lire les secrets OVH
+# Utilisation d'un ClusterRole pour éviter tout problème de permissions
 # Le ServiceAccount du webhook doit pouvoir lire le secret ovh-credentials
 # dans le namespace cert-manager-ops
 apiVersion: rbac.authorization.k8s.io/v1
-kind: Role
+kind: ClusterRole
 metadata:
   name: cert-manager-webhook-ovh:secrets
-  namespace: cert-manager-ops
   labels:
     app: cert-manager-webhook-ovh
 rules:
@@ -13,24 +13,22 @@ rules:
       - ""
     resources:
       - secrets
-    resourceNames:
-      - ovh-credentials
+    # Pas de resourceNames avec ClusterRole, mais on limite au namespace via le ClusterRoleBinding
     verbs:
       - get
       - list
 ---
-# RoleBinding pour lier le Role au ServiceAccount du webhook
+# ClusterRoleBinding pour lier le ClusterRole au ServiceAccount du webhook
 # Le nom du ServiceAccount est défini par le chart officiel
 apiVersion: rbac.authorization.k8s.io/v1
-kind: RoleBinding
+kind: ClusterRoleBinding
 metadata:
   name: cert-manager-webhook-ovh:secrets
-  namespace: cert-manager-ops
   labels:
     app: cert-manager-webhook-ovh
 roleRef:
   apiGroup: rbac.authorization.k8s.io
-  kind: Role
+  kind: ClusterRole
   name: cert-manager-webhook-ovh:secrets
 subjects:
   # Le ServiceAccount du webhook (nom basé sur le release name du chart)