Modification substantielle
Base de connaissances Connaissances

Modification substantielle : quand a-t-elle lieu ?

MB
Marcin Bakota Compliance Expert
2026-03-24
12 min de lecture
Aperçu IA

La modification substantielle ne se mesure pas aux pièces ajoutées, mais à son effet sur le risque, les mesures de protection et la responsabilité.

Modification substantielle : quand a-t-elle lieu ?

On pose souvent la mauvaise question. On demande : « Qu’est-ce qu’on a ajouté ? », « Quelle est l’ampleur de la transformation ? », « Est-ce une grosse reconstruction ? ». Ce n’est pas là que ça se joue. Pour qualifier une modification substantielle, la seule vraie question est beaucoup plus brutale : qu’est-ce que ce changement a fait au risque ?

Le Règlement (UE) 2023/1230 vise les changements apportés après la mise en service ou après la mise sur le marché, qu’ils soient physiques ou numériques. Le point décisif n’est pas le volume de travaux. Le point décisif, c’est de savoir si le changement n’avait pas été prévu par le fabricant, s’il a créé une situation dangereuse nouvelle ou augmenté un risque existant, et s’il a imposé de nouvelles mesures de protection impliquant une modification du système de commande relatif à la sécurité ou des actions liées à la résistance mécanique ou à la stabilité. C’est là, et seulement là, qu’on parle de modification substantielle.

Autrement dit : on n’évalue pas ce qu’on a boulonné sur la machine. On évalue ce qui a changé dans la relation homme-machine, dans la fonction de la machine, dans ses limites d’utilisation et dans le scénario qui peut conduire à un événement dangereux.

Modification substantielle : le vrai critère

Une modification substantielle ne commence pas quand on change « beaucoup ». Elle commence quand la structure de sécurité change. C’est plus exigeant, mais c’est aussi plus honnête.

En pratique, cela veut dire qu’il faut regarder :

  • si l’accès à la zone dangereuse a changé ;
  • si la fonction de la machine a changé ;
  • si ses limites d’utilisation ont bougé ;
  • si le déroulement d’un événement dangereux potentiel n’est plus le même ;
  • si les mesures de protection existantes sont toujours adaptées.

Beaucoup de changements paraissent anodins au premier regard : une plate-forme d’accès, un nouveau protecteur, une modification des paramètres d’entraînement, une retouche du programme, l’ajout d’un dispositif d’arrêt d’urgence. L’intention est souvent bonne : améliorer l’exploitation, l’ergonomie, la cadence, la sécurité. Mais l’intention ne protège de rien. Ce qui compte, c’est l’effet réel sur le risque.

Et c’est précisément là que beaucoup d’équipes se trompent : elles regardent la pièce ajoutée, alors qu’il faudrait regarder la rupture dans l’équilibre de sécurité initial.

Modification substantielle : l’erreur de regarder la mesure de protection

Erreur classique : décrire la mesure de protection au lieu d’analyser le changement qui l’a rendue nécessaire.

On entend souvent :

  • « On a ajouté un protecteur. »
  • « On a installé un dispositif d’arrêt d’urgence supplémentaire. »
  • « On a mis un rideau optoélectronique. »

Le raisonnement paraît logique. Il est pourtant inversé. La mesure de protection n’est généralement pas la cause. Elle est la conséquence.

Si un nouveau protecteur devient nécessaire, c’est qu’avant lui quelque chose a bougé : l’accès a changé, l’opérateur se retrouve plus près du danger, une opération de maintenance est devenue plus fréquente, la machine se comporte autrement. Le nouveau composant n’est que le symptôme visible. La vraie question, encore une fois, est simple : qu’est-ce qui a changé pour que cette protection devienne indispensable ?

Le Règlement (UE) 2023/1230 raisonne exactement ainsi. Il ne donne pas une simple liste de modifications techniques. Il regarde l’impact sur la sécurité. Si le changement crée une nouvelle situation dangereuse ou aggrave un risque existant, puis impose des mesures de protection complémentaires, vous êtes potentiellement dans le champ de la modification substantielle.

« On ajoute juste un dispositif d’arrêt d’urgence »

C’est un grand classique d’atelier. Et c’est souvent là que le piège se referme.

Le discours de départ est presque toujours rassurant : « On ajoute juste un dispositif d’arrêt d’urgence au milieu de la ligne pour sécuriser davantage. » Formulé comme ça, on ne parle que du bouton. On ne parle pas du changement réel.

La bonne question est immédiate : pourquoi ce dispositif d’arrêt d’urgence est-il devenu nécessaire ?

Très souvent, la réponse révèle le vrai sujet : un opérateur a été introduit dans la zone, un accès nouveau a été créé, une intervention manuelle a été ajoutée, une phase d’exploitation a changé. Bref, la relation homme-machine n’est plus la même. Une nouvelle situation dangereuse est apparue.

Il faut être clair : le dispositif d’arrêt d’urgence a une logique réactive. Il sert à arrêter un danger actuel ou immédiatement menaçant. Il soutient les autres mesures de protection ; il ne les remplace pas. Donc, dans bien des cas, ajouter un arrêt d’urgence ne règle pas le problème de fond.

L’appréciation du risque menée selon ISO 12100 peut montrer qu’il faut, en plus :

  • une fonction de sécurité d’arrêt à l’ouverture d’un protecteur interverrouillé ;
  • un arrêt sur franchissement d’un rideau optoélectronique ;
  • une limitation des paramètres de mouvement dans un mode donné ;
  • une autre fonction préventive portée par le système de commande relatif à la sécurité.

Le point clé, c’est celui-ci : le problème n’était pas l’absence de bouton. Le problème était le changement d’usage de la machine. Le bouton n’a fait que révéler la rupture.

Les changements physiques qui ont l’air inoffensifs

Sur le terrain, beaucoup de modifications substantielles commencent par des choix qui semblent raisonnables, parfois même « favorables à la sécurité ». C’est justement pour cela qu’ils passent sous le radar.

Un accès supplémentaire vers la zone dangereuse

Ajouter une plate-forme, une passerelle ou un marchepied paraît purement pratique. Meilleure ergonomie, accès plus simple, temps d’intervention réduit. Très bien. Mais du point de vue sécurité, cela peut tout changer.

Un accès supplémentaire peut :

  • rendre accessible une zone dangereuse qui ne l’était pas ;
  • modifier la façon dont les opérations sont réalisées ;
  • réduire la distance aux parties en mouvement ;
  • changer la visibilité du processus ;
  • multiplier les interventions dans une zone jusque-là rarement fréquentée.

Dès lors, la situation dangereuse change. Et si cette nouvelle configuration impose un protecteur interverrouillé, une détection de présence ou une fonction limitant le mouvement dans un mode particulier, on ne parle plus d’un simple confort d’exploitation. On parle d’un changement qui touche la sécurité de façon structurelle.

Le protecteur qui crée un risque nouveau

Oui, un protecteur protège. Mais mal conçu, il peut aussi déplacer le problème au lieu de le résoudre.

Sur une machine existante, un protecteur ajouté sans analyse complète peut :

  • imposer des ouvertures plus fréquentes ;
  • compliquer les gestes de production ou de nettoyage ;
  • masquer la visibilité du processus ;
  • augmenter l’exposition lors des réglages ;
  • introduire des efforts ou contraintes supplémentaires sur la structure.

Le texte européen est clair : les protecteurs ne doivent pas créer de danger additionnel. Si leur installation génère une nouvelle situation dangereuse ou impose une surveillance de position, un verrouillage, un maintien bloqué ou d’autres fonctions, on n’est plus dans le petit ajout anodin. On est possiblement dans une modification substantielle.

Changer l’entraînement ou ses paramètres

Ici, les erreurs d’appréciation sont fréquentes, parce que la machine « semble faire la même chose ». Pourtant, du point de vue sécurité, elle peut se comporter tout autrement.

Un changement de moteur, de variateur ou de paramètres d’entraînement peut modifier :

  • le couple ;
  • les rampes d’accélération ;
  • les limites de surcharge ;
  • le temps d’arrêt ;
  • les efforts transmis à la structure.

Une machine qui s’arrêtait auparavant en cas de surcharge peut, après modification, continuer à pousser. Et là, le scénario bascule : au lieu d’un arrêt, on peut avoir une déformation, une perte de stabilité, voire un problème de résistance mécanique.

Ce n’est pas un détail de réglage. C’est un changement des conditions de fonctionnement, avec des conséquences directes sur la sécurité. Il peut alors devenir nécessaire d’ajouter une fonction de sécurité limitant l’effort, de revoir la logique d’arrêt, de recalculer la structure ou de modifier une partie mécanique. C’est exactement le type de situation visé par le Règlement (UE) 2023/1230.

Le numérique pèse aussi lourd que l’acier

Beaucoup d’organisations restent focalisées sur le visible : châssis, protecteurs, accès, entraînements. Mauvais réflexe. Le Règlement (UE) 2023/1230 vise aussi les changements introduits par des moyens numériques. Et ces changements peuvent être tout aussi lourds de conséquences.

Un programme modifié, une logique revue, des paramètres ajustés, une intégration réseau, une intervention sur une fonction de sécurité : tout cela peut transformer le comportement de la machine sans qu’aucune tôle ne bouge.

Modifier la logique de redémarrage

C’est l’un des cas les plus sous-estimés. On automatise la reprise après fermeture d’un protecteur, après retour d’alimentation ou après rétablissement d’une communication. Fonctionnellement, cela paraît confortable. En sécurité, cela peut être critique.

La machine ne doit pas se remettre en marche de façon inattendue. Si l’opérateur perd la maîtrise du moment de remise en route, la situation dangereuse change, même sans aucune transformation mécanique.

Modifier les paramètres de fonctionnement

Augmenter la vitesse, le couple, l’accélération, la course ou réduire les temps de réponse : sur le papier, cela ressemble à de l’optimisation. En réalité, cela change :

  • le temps disponible pour réagir ;
  • l’efficacité des mesures de protection existantes ;
  • les conséquences possibles d’un événement dangereux.

Ce n’est pas un simple ajustement d’exploitation. C’est une modification des conditions de fonctionnement de la machine. Et cela doit être traité comme tel.

Connecter la ligne à l’ERP ou au MES

Voilà un autre angle mort majeur. « On connecte seulement la ligne à l’ERP. » « C’est juste un échange de données avec le MES. » Cette phrase rassure tout le monde. Elle peut aussi être complètement fausse du point de vue sécurité.

Dès qu’une machine est reliée à un environnement réseau, son contexte de fonctionnement change. Il y a de nouvelles sources de signaux, de nouveaux points d’accès, parfois une couche logicielle intermédiaire, parfois des possibilités de modification de paramètres ou de configuration que le fabricant n’avait pas prévues.

Si l’architecture initiale n’a pas été conçue pour cela, plusieurs questions deviennent critiques :

  • comment les données sont validées ;
  • qui a le droit de modifier quoi ;
  • comment l’intégrité du logiciel est maintenue ;
  • si des systèmes externes influencent la logique de commande ;
  • si le comportement réel de la machine reste celui pour lequel les mesures de protection ont été conçues.

Et c’est là que le danger se cache. Les fonctions de sécurité sont définies pour un comportement donné, dans des limites précises. Si ce comportement change, leur efficacité peut devenir insuffisante. La machine peut alors réagir dans un cadre que l’appréciation du risque initiale n’avait jamais couvert.

Modifier une fonction de sécurité ou le PLC

Ici, il n’y a plus de zone grise. Modifier le programme d’un PLC de sécurité, retoucher la configuration d’une fonction de sécurité, changer les conditions de réarmement, d’autorisation de mouvement ou la logique d’un protecteur interverrouillé, ce n’est pas de l’informatique « neutre ». C’est toucher au cœur de la sécurité.

Si la modification affecte l’efficacité, le comportement ou l’architecture d’une fonction de sécurité, vous entrez directement dans la zone où la qualification de modification substantielle devient très sérieuse.

Pourquoi on ne peut pas dire honnêtement : « ce n’est pas une modification substantielle »

C’est souvent le moment où l’entreprise veut une réponse rapide, rassurante, binaire. Oui ou non. Pas de zone grise. Pas de débat. Le problème, c’est que cette attente ne colle pas à la réalité technique.

La définition réglementaire ne repose pas sur une liste magique de travaux autorisés ou interdits. Elle repose sur l’effet du changement sur la sécurité :

  • nouvelle situation dangereuse ;
  • augmentation d’un risque existant ;
  • nécessité de nouvelles mesures de protection.

Or, cela ne s’évalue pas « à l’œil ». Cela exige une vraie appréciation du risque selon ISO 12100. Il faut définir les limites de la machine, identifier les situations dangereuses, analyser les événements dangereux possibles, estimer le risque et vérifier si les mesures de protection restent adaptées aux nouvelles conditions.

Sans cette démarche, personne ne peut affirmer sérieusement qu’il n’y a pas de modification substantielle. On peut avoir une intuition. On peut avoir de l’expérience. On peut même avoir l’impression que le changement est mineur. Juridiquement et techniquement, cela ne suffit pas.

Dire « oui, il y a modification substantielle » va parfois assez vite : un ingénieur expérimenté repère souvent rapidement la rupture. Dire « non » exige davantage de prudence. Beaucoup plus. Parce qu’un faux négatif ne se paie pas en théorie. Il se paie en exposition humaine, en responsabilité et, parfois, en accident.

C’est aussi pour cela qu’une liste de contrôle simple ne peut pas offrir une certitude totale. Un outil de présélection peut détecter des cas évidents. Il ne remplace pas l’analyse.

La modification substantielle n’est pas un détail technique

Dans trop d’organisations, le sujet reste traité comme un simple point d’ingénierie : on vérifie, on coche, on classe. C’est une erreur de lecture. La modification substantielle n’est pas seulement une catégorie technique. C’est une catégorie de responsabilité.

Quand le changement entre dans le champ du Règlement (UE) 2023/1230, l’entité qui l’introduit endosse, pour le périmètre modifié, le rôle du fabricant. Cela veut dire : démontrer la conformité, justifier les choix de sécurité, documenter l’analyse et être capable de prouver que la machine, dans sa configuration modifiée, reste sûre.

Ce qui compte n’est donc pas :

  • si la transformation était grande ou petite ;
  • si elle paraissait techniquement logique ;
  • si « tout le monde fait comme ça » dans le secteur.

Ce qui compte, c’est une seule chose : après le changement, avez-vous réellement reconstruit la sécurité sur une base démontrable ?

Chaque ajout d’accès, chaque modification d’entraînement, chaque changement de logique de commande, chaque connexion à l’ERP ou au MES peut modifier :

  • la façon d’utiliser la machine ;
  • les limites de la machine ;
  • la relation homme-machine ;
  • le déroulement des événements dangereux potentiels ;
  • l’efficacité des mesures de protection.

Et ce sont précisément les fondations de l’appréciation du risque.

La bonne question finale est donc très simple : êtes-vous capable de démontrer, et pas seulement de supposer, que la machine reste sûre après ce changement ?

Si oui, vous maîtrisez la situation. Si non, c’est là que commence le vrai risque. Et c’est aussi là qu’une démarche conforme à ISO 12100 devient indispensable pour prouver votre diligence raisonnable.

Questions fréquentes

Qu’est-ce qu’une modification substantielle d’une machine ?

Modification substantielle ne désigne pas toute modification technique, mais une modification apportée après la mise en service de la machine ou après sa mise sur le marché, qui n’a pas été prévue par le fabricant et qui affecte la sécurité.

En pratique, on évalue si la modification a créé une nouvelle situation dangereuse ou augmenté un risque existant et si elle a imposé l’application de mesures de protection supplémentaires, par exemple des modifications du système de commande lié à la sécurité ou des mesures assurant la résistance mécanique. Cette évaluation est menée selon la logique de ISO 12100, c’est-à-dire par une analyse des phénomènes dangereux et du risque, et non selon l’« ampleur de la transformation ».

L’ajout d’un protecteur ou d’un arrêt d’urgence signifie-t-il toujours une modification substantielle ?

Non. À eux seuls, un protecteur, un rideau immatériel ou un dispositif d'arrêt d'urgence ne permettent pas encore de conclure qu'il y a eu une modification substantielle.

C'est généralement la conséquence d'un changement antérieur. Si un nouveau moyen de protection est devenu nécessaire, il faut se demander ce qui a changé dans la fonction de la machine, l'accès à la zone dangereuse, les limites de la machine ou l'interaction homme-machine. Ce n'est qu'à l'issue de cette analyse que l'on peut déterminer s'il s'agit d'une modification substantielle.

Par quelle question commencer l’évaluation visant à déterminer s’il s’agit d’une modification substantielle ?

La meilleure question est : quel effet cette modification a-t-elle eu sur le risque ? C’est le bon point de départ, conforme à l’approche de la ISO 12100.

Il ne suffit pas de demander combien d’éléments ont été ajoutés ou si la transformation était importante. Il faut déterminer si la fonction de la machine, l’utilisation prévue, les limites de la machine, la séquence de fonctionnement, l’accès de l’opérateur aux zones dangereuses ou les scénarios possibles d’événements dangereux ont changé.

Une modification numérique peut-elle aussi être considérée comme une modification substantielle ?

Oui. Une modification substantielle peut résulter aussi bien de modifications physiques que numériques. Du point de vue de la sécurité, une modification du programme, de la logique de redémarrage, des paramètres d'entraînement ou de l'intégration avec un système de niveau supérieur peut avoir la même portée qu'une modification mécanique.

Si une telle intervention crée un nouveau danger, augmente le risque ou rend nécessaires de nouvelles mesures de protection, il faut l'évaluer exactement de la même manière qu'une modification mécanique. Le simple caractère « immatériel » du logiciel ne réduit pas son impact sur la sécurité.

Quand l’ajout d’un opérateur au processus modifie-t-il l’évaluation de la modification ?

Le moment clé apparaît lorsque l’opérateur est introduit dans une zone ou une étape du processus à laquelle il ne participait pas auparavant. La relation homme–machine change alors, ainsi que, souvent, l’accès possible à la zone dangereuse.

Si, du fait de cette modification, une nouvelle situation dangereuse apparaît et qu’il faut mettre en œuvre des mesures de protection supplémentaires, cela peut signifier une modification substantielle. C’est précisément pourquoi le simple « ajout d’un arrêt d’urgence » n’est parfois qu’une réaction à une modification plus profonde de l’organisation et du fonctionnement de la machine.

Articles similaires

Évaluation des risques machines : le risque dans la relation homme‑machine 2025-12-16 ISO 12100 : quand les mesures de protection génèrent de nouveaux risques 2026-02-21 Révision de l’ISO 12100 : ce qui va changer en 2026 pour la sécurité des machines 2026-03-08 Évaluation des risques machines : comment appliquer de façon maîtrisée la méthode HRN conformément à l’ISO 12100 2026-01-26

Prêt à changer ?

Créez un compte et générez une documentation conforme en 15 minutes.

Démarrer l'essai gratuit Sans carte bancaire • 14 jours gratuits