Exemple d’évaluation des risques selon l’ISO 12100
Base de connaissances Connaissances

Exemple d’évaluation des risques selon l’ISO 12100

MB
Marcin Bakota Compliance Expert
2026-04-14
11 min de lecture
CTRL+K
TL;DR
  • Selon l’ISO 12100, une évaluation des risques n’est pas un beau tableau, mais un processus documenté, traçable et techniquement défendable.
  • Excel peut servir à collecter des données, mais il ne garantit ni la logique de la norme, ni l’ordre de réduction du risque, ni la solidité du dossier.
  • La documentation doit montrer les limites de la machine, les tâches réelles, les situations dangereuses, l’estimation du risque et les mesures choisies.
  • Après chaque mesure de protection, il faut réévaluer le risque secondaire et le risque résiduel, car un protecteur ou une procédure peut créer un nouveau danger.
  • Sans piste d’audit claire sur qui a décidé quoi, quand et pourquoi, un dossier peut sembler complet sans être réellement vérifiable en audit.

Exemple d’évaluation des risques selon l’ISO 12100 : commençons par une vérité qui dérange un peu. Le pire type d’évaluation des risques n’est pas brouillon. Le pire, c’est celui qui a l’air impeccable. Une belle grille, une cotation propre, des références ISO, quelques commentaires, un PDF final, et toute l’équipe respire comme si le sujet était réglé. Sauf que l’ISO 12100 ne note pas l’esthétique d’un document. Elle demande autre chose : prouver qu’un vrai processus d’analyse et de réduction du risque a été conduit, avec une logique claire, des décisions traçables et des mesures de protection choisies dans le bon ordre.

Et c’est précisément là que beaucoup de dossiers se fissurent. Pas parce qu’il manque des cases. Parce qu’il manque la logique. Un fichier peut contenir des dangers, des scores, des normes et des conclusions, sans pour autant constituer une documentation d’évaluation des risques solide. Entre un tableau et une démarche d’ingénierie, il y a un monde.

Exemple d’évaluation des risques selon l’ISO 12100 : pourquoi Excel ne suffit pas

Posons la question franchement : peut-on faire une évaluation des risques dans Excel ? Oui, bien sûr. On peut aussi y fabriquer un document qui semble crédible pendant dix minutes. La vraie question n’est pas là. La vraie question est la suivante : Excel peut-il garantir un processus défendable techniquement, logiquement et en audit ?

Dans la pratique, Excel peut être utile. Comme bloc-notes. Comme support d’atelier. Comme outil de collecte. Comme brouillon partagé. Mais ISO 12100 ne demande pas un fichier tableur. Elle demande une documentation d’évaluation des risques. Et ce n’est pas la même chose.

Une documentation d’évaluation des risques digne de ce nom doit montrer bien plus que le résultat final. Elle doit permettre de comprendre :

  • quelles étaient les limites de la machine ;
  • à quoi elle est destinée et qui l’utilise ;
  • quelles tâches réelles ont été analysées ;
  • quelles situations dangereuses ont été identifiées ;
  • quels événements dangereux ont été retenus ;
  • comment le risque a été estimé au départ ;
  • quelle mesure de protection a été choisie ;
  • dans quel ordre les mesures de protection ont été appliquées ;
  • si un risque secondaire est apparu ;
  • comment le risque résiduel a été évalué ;
  • qui a décidé quoi, quand, et sur quelle base.

C’est là que le malentendu est total. Le problème d’Excel n’est pas qu’il serait « trop simple ». Le problème est pire : il permet trop facilement de donner l’illusion qu’une documentation existe déjà, alors qu’on a seulement un tableau bien présenté.

Or la documentation d’évaluation des risques n’est pas une collection de rubriques. C’est l’enregistrement d’un raisonnement qu’il faut pouvoir reconstruire, vérifier et défendre après coup. Si votre fichier ne permet pas ça, vous n’avez pas encore une documentation d’évaluation des risques. Vous avez des données de travail. Parfois rangées. Parfois élégantes. Parfois convaincantes en première lecture. Mais toujours des données de travail.

Et quand il s’agit de conformité CE au sens de 2006/42/CE, ce n’est pas un détail. Un beau PDF ne protège ni la machine, ni l’utilisateur, ni l’entreprise.

Le risque secondaire : là où beaucoup d’évaluations décrochent

Une mesure de protection peut-elle créer un nouveau danger ? Oui. Évidemment. Et c’est exactement pour cette raison qu’une évaluation des risques sérieuse ne s’arrête pas au moment où quelqu’un écrit : « protecteur ajouté », « interverrouillage ajouté » ou « procédure ajoutée ».

Une mesure de protection ne ferme pas automatiquement le sujet. Elle modifie l’équilibre du risque. Si vous ne regardez pas ce qu’elle change dans le système homme-machine-processus, vous ne voyez qu’une moitié de la réalité.

Exemple mécanique : le protecteur mobile interverrouillé qui complique le débourrage

Sur un poste de conditionnement, l’équipe identifie un accès possible à une zone en mouvement lors du débourrage. La réponse paraît propre : ajout d’un protecteur mobile interverrouillé. Sur le papier, c’est rassurant. L’accès pendant le fonctionnement automatique est réduit.

Mais une fois le protecteur en place, le débourrage change complètement :

  • l’opérateur doit atteindre plus loin à l’intérieur ;
  • la main travaille dans un volume plus contraint ;
  • la posture devient moins naturelle ;
  • la visibilité de la zone d’intervention se dégrade ;
  • la fréquence des gestes contournés peut augmenter.

Conclusion ? Le risque mécanique principal baisse peut-être, mais un risque secondaire apparaît sur l’accès, l’ergonomie et la maîtrise du geste. Si le dossier ne le montre pas, il raconte un monde plus sûr que le terrain réel.

Exemple automatisme : une bonne fonction de sécurité qui pousse au contournement

Autre cas très courant : ajout d’une fonction de sécurité avec interverrouillage, réarmement manuel et logique de redémarrage empêchant tout redémarrage automatique après ouverture du protecteur. Techniquement, l’idée peut être bonne. Le piège est ailleurs.

Si la nouvelle séquence :

  • allonge chaque intervention ;
  • multiplie les étapes de reprise ;
  • casse le rythme opérateur ;
  • ne correspond pas à la réalité du poste ;

alors vous créez un risque secondaire organisationnel et comportemental :

  • réarmement manuel fait machinalement ;
  • absence de vraie vérification de zone avant redémarrage ;
  • tentation de neutraliser un dispositif ;
  • pression de production qui pousse au raccourci.

La fonction de sécurité n’est pas forcément mauvaise. Ce qui est mauvais, c’est de l’implanter sans vérifier comment elle modifie le travail réel. Une logique de redémarrage pensée sans le terrain finit souvent contournée par le terrain.

Exemple électrique : améliorer localement et dégrader l’ensemble

Dans une armoire de commande, l’équipe veut réduire le risque de choc électrique pendant le diagnostic. Elle améliore la séparation des circuits, formalise la consignation, ajoute une séquence de vérification d’absence de tension et réserve l’accès aux personnes habilitées. Très bien. Mais si le diagnostic devient plus long, plus séquentiel et plus dépendant du respect exact des étapes, le risque de faute procédurale peut augmenter.

Même logique avec une liaison équipotentielle ajoutée de manière fragmentaire sur une seule partie de la machine. L’intention est bonne. Le résultat peut être mauvais si l’ensemble du système n’est pas considéré. Une correction locale mal pensée peut créer un scénario de différence de potentiel plus sévère qu’avant la « correction ».

C’est exactement ça, le risque secondaire : la mesure censée améliorer la sécurité modifie autre chose, et ce « autre chose » devient à son tour critique.

La piste d’audit n’est pas un bonus

Dans beaucoup de dossiers, on trouve le résultat final. Le niveau de risque est là. La mesure de protection aussi. Le risque résiduel aussi. Tout a l’air propre. Puis, quelques semaines plus tard, quelqu’un pose une question très simple : pourquoi cette décision a-t-elle été prise ? Et là, plus personne ne sait.

C’est précisément le rôle de la piste d’audit. Pas pour faire joli. Pas « au cas où ». Pas pour cocher une exigence informatique. Pour prouver que le raisonnement a existé.

Une bonne piste d’audit permet de savoir :

  • qui a modifié une estimation de risque ;
  • à quelle date ;
  • sur la base de quelle nouvelle information ;
  • si une réévaluation a été faite après ajout d’une mesure de protection ;
  • si un risque secondaire a été détecté ;
  • pourquoi un risque a été jugé acceptable ;
  • pourquoi une fonction de sécurité a été fixée à un niveau donné, par exemple PL d.

Trois situations classiques montrent tout de suite l’intérêt de cette piste d’audit.

Premier cas : un niveau de risque passe de moyen à faible. Dans le tableau, on ne voit que l’état final. Mais la baisse vient-elle d’une vraie réduction du risque, d’une correction de scénario, d’une précision sur la fréquence d’exposition, ou d’un simple lissage de fin de projet ? Sans piste d’audit, impossible de le distinguer.

Deuxième cas : un risque est déclaré acceptable. Très bien. Mais sur quelle base ? Exposition rare ? Gravité faible ? Personnel formé ? Conditions contrôlées ? Ou simple confort de clôture ? Là encore, sans piste d’audit, le dossier n’est pas défendable.

Troisième cas : on lit « ISO 13849, PL d » dans la documentation. Cela sonne sérieux. Mais quelle fonction de sécurité est visée exactement ? Que surveille-t-elle ? Que coupe-t-elle ? Pourquoi PL d ici et pas autre chose ? Si la logique n’est pas tracée, on ne sait plus si la décision est technique ou simplement habituelle.

Excel gère assez bien un état final. Il gère très mal l’histoire de la décision. Une cellule est écrasée, un commentaire est retouché, une valeur est corrigée, et très vite on ne distingue plus l’évolution de l’analyse d’un simple maquillage du résultat. C’est là que la documentation perd sa mémoire technique.

Exemple d’évaluation des risques selon l’ISO 12100 : cas concret sur un poste de conditionnement automatisé

Restons sur du concret. Prenons un poste de conditionnement automatisé, avec mouvements dangereux, interventions opérateur, débourrage, maintenance, accès aux énergies électrique et pneumatique, et plusieurs fonctions de sécurité dépendantes de la logique de commande.

Dans un cas réel de ce type, on ne s’est pas arrêté à trois lignes génériques du style « risque mécanique », « risque électrique », « risque de redémarrage ». L’analyse a été découpée en seize situations distinctes : treize scénarios liés aux tâches réelles et trois événements dangereux au sens de l’ISO 12100.

Parmi les situations dangereuses analysées, on retrouvait notamment :

  • les micro-interventions pendant le fonctionnement ;
  • le débourrage ;
  • le réglage d’un protecteur ;
  • les tests fonctionnels ;
  • la coupure et le rétablissement des énergies ;
  • le remplacement de pièces d’usure ;
  • le diagnostic de défaut ;
  • l’accès à l’armoire de commande ;
  • le redémarrage non intentionnel ;
  • la projection d’objet ;
  • la libération d’énergie pneumatique.

C’est seulement à ce niveau de détail que l’image réelle du risque apparaît. On n’évalue pas « la machine en général ». On évalue la relation entre une personne, une tâche, une zone, une énergie, une condition d’accès et un scénario précis.

Ce cas a montré plusieurs choses très nettes.

D’abord, le risque le plus critique ne venait pas de la simple présence d’un mouvement dangereux. Il venait du moment d’accès à cette zone pendant l’intervention. C’est une nuance essentielle. Et c’est précisément la nuance que les évaluations trop générales ratent presque toujours.

Ensuite, certaines situations pouvaient être classées en risque faible et acceptées. Mais pas par automatisme, et pas parce qu’un chiffre était bas. Elles n’étaient acceptables que parce que le dossier démontrait :

  • une exposition peu fréquente ;
  • un effet prévisible limité ;
  • des conditions d’exécution maîtrisées ;
  • une tâche clairement définie ;
  • un utilisateur identifié et formé.

En revanche, plusieurs scénarios ne tenaient pas avec un simple « protecteur + consigne ». C’était le cas, par exemple, du débourrage, des petites interventions en zone protégée, du diagnostic de défaut sur partie électrique, et du risque de redémarrage non intentionnel. Là, il a fallu décrire précisément :

  • quelle fonction de sécurité réduit le risque ;
  • quand elle bloque le mouvement ;
  • comment fonctionne la logique de redémarrage ;
  • quand un réarmement manuel est imposé ;
  • quelles conditions d’accès doivent être respectées ;
  • comment le risque résiduel est justifié.

Et surtout, le dossier a montré qui avait validé les hypothèses, qui avait demandé une réduction supplémentaire, et pourquoi certains scénarios avaient été acceptés alors que d’autres avaient été renvoyés vers une modification technique. Sans cette piste d’audit, on aurait eu un joli résultat. Pas une démonstration.

Exemple d’évaluation des risques selon l’ISO 12100 : ce qu’un bon dossier doit contenir

Un bon dossier n’est pas celui qui empile des tableaux. C’est celui qui permet à un tiers compétent de relire la logique sans devoir deviner ce qui s’est passé.

Concrètement, une documentation d’évaluation des risques robuste doit contenir au minimum :

  • la destination de la machine et ses limites ;
  • les utilisateurs visés et les tâches réellement exécutées ;
  • les zones dangereuses et les sources d’énergie concernées ;
  • la liste des situations dangereuses et des événements dangereux ;
  • l’estimation initiale du risque ;
  • la décision d’acceptation ou de réduction ;
  • les mesures de protection retenues selon la séquence exigée par l’ISO 12100 ;
  • la vérification de l’apparition éventuelle d’un risque secondaire ;
  • l’estimation du risque résiduel ;
  • la justification des fonctions de sécurité et, si nécessaire, du niveau requis comme PL d ;
  • une piste d’audit lisible.

Autrement dit : si votre document ne permet pas de comprendre le passage entre le danger initial, la décision de réduction, la mesure de protection retenue et le risque résiduel final, alors il manque l’essentiel.

La question utile aujourd’hui n’est donc pas : « Peut-on faire cela dans Excel ? » Oui, on peut. Ce n’est pas le sujet. La vraie question est : votre documentation d’évaluation des risques peut-elle être relue, vérifiée et défendue sans trou logique ?

Si la réponse est non, vous n’avez pas un dossier solide. Vous avez un tableau. Et en sécurité des machines, un tableau qui rassure sans prouver, c’est exactement le genre de faux confort qui finit mal.

Questions fréquentes

Que doit contenir une appréciation du risque selon l’ISO 12100 ?

Un bon exemple d’appréciation du risque selon l’ISO 12100 montre non seulement un tableau des phénomènes dangereux, mais aussi l’ensemble du processus décisionnel conforme à la ISO 12100.

  • les limites de la machine et les phases du cycle de vie
  • les tâches de l’opérateur, du régleur, de la maintenance et du nettoyage
  • les phénomènes dangereux, les situations dangereuses et les événements dangereux
  • l’estimation du risque, la réduction du risque et le risque résiduel
  • les mesures de protection mises en œuvre ainsi que la justification de la décision
Un fichier Excel est-il suffisant comme documentation de l’évaluation des risques ?

Excel à lui seul peut être un outil de travail, mais il ne constitue pas automatiquement une documentation d’évaluation des risques. L’exigence de la norme ISO 12100 porte sur un processus documenté qui peut être reconstitué, retracé et vérifié.

Si la feuille de calcul ne montre pas les hypothèses, les tâches analysées, l’ordre de sélection des mesures de protection, le risque secondaire et les personnes validant les décisions, elle ne reste qu’un simple ensemble de données de travail.

Quelle séquence de réduction du risque impose la norme ISO 12100 ?

ISO 12100 exige le respect de l’ordre de réduction du risque. On applique d’abord la conception intrinsèquement sûre, ensuite les mesures de protection techniques, et seulement à la fin les informations pour l’utilisation.

  • 1. Conception intrinsèquement sûre
  • 2. Mesures de protection techniques et mesures de protection complémentaires
  • 3. Informations pour l’utilisation, y compris les avertissements et les procédures

Passer directement du danger aux informations pour l’utilisation ou au seul protecteur, sans vérifier les étapes précédentes, affaiblit la logique de l’appréciation du risque.

Qu’est-ce qu’un risque secondaire après la mise en place d’une mesure de protection ?

Le risque secondaire est un risque nouveau ou modifié apparu après l’application d’une mesure de protection. Un protecteur, un interverrouillage, un réarmement manuel ou une modification de la logique de commande peuvent réduire un danger, tout en dégradant l’accès, la visibilité, l’ergonomie ou le comportement de l’opérateur.

C’est pourquoi, après chaque réduction du risque, il faut réévaluer la tâche dans les conditions réelles de travail, et non pas seulement ajouter une mesure de protection au tableau.

Peut-on indiquer le PL d sans justification dans l’évaluation des risques ?

Il ne faut pas indiquer le PL d « par habitude ». Si l’évaluation des risques indique la nécessité d’une fonction de sécurité du système de commande, le niveau requis doit être justifié et déterminé conformément à PN-EN ISO 13849-1, sur la base de la fonction, du scénario d’utilisation et des conséquences d’une défaillance.

Dans la documentation, il est utile de montrer qui a pris la décision, sur quelles hypothèses elle reposait et quel risque la fonction de sécurité concernée devait réduire.

Articles similaires

Révision de l’ISO 12100 : ce qui va changer en 2026 pour la sécurité des machines 2026-03-08 Limites de la machine : ce qui fausse l’appréciation du risque 2026-04-04 Modification substantielle : quand a-t-elle lieu ? 2026-03-24 Évaluation des risques machines : le risque dans la relation homme‑machine 2025-12-16 ISO 12100 : quand les mesures de protection génèrent de nouveaux risques 2026-02-21 Évaluation des risques machines : comment appliquer de façon maîtrisée la méthode HRN conformément à l’ISO 12100 2026-01-26

Prêt à changer ?

Créez un compte et générez une documentation conforme en 15 minutes.

Démarrer l'essai gratuit Sans carte bancaire • 14 jours gratuits