Il y a une zone où l’opérateur peut passer la main. Il y a un élément mobile capable de happer les doigts. Il y a une tâche qui sera faite pour de vrai : débourrage, nettoyage, réglage, contrôle après arrêt.
Et ensuite, dans le tableau, on lit : risque résiduel — information dans la notice — ne pas mettre les mains.
Sur le papier, c’est propre. Le danger est nommé. Le risque est écrit. La notice d’instructions est complétée. Sauf qu’en sécurité des machines, ce type de ligne ne règle souvent rien. Il couvre le problème.
Le risque résiduel n’est pas le fourre-tout de tout ce que le projet n’a pas traité. Ce n’est pas non plus une méthode pour déplacer la responsabilité du fabricant vers l’utilisateur. C’est le risque qui reste après le vrai travail d’ingénierie : suppression du danger si possible, choix de mesures de protection, vérification de leur efficacité, puis information claire sur ce qui demeure.
La vraie question n’est donc pas : l’avertissement est-il dans la notice ? La vraie question est : qu’a fait le fabricant avant d’écrire cet avertissement ?
Le risque résiduel n’est pas une case libre dans un tableau
Dans ISO 12100, il faut s’arrêter sur un schéma précis : celui qui montre la réduction du risque du point de vue du concepteur. Pas pour faire joli en formation. Pour fixer la frontière.
D’abord, il y a le risque lié à la machine. Ensuite vient la contribution du concepteur : conception intrinsèquement sûre, mesures de protection techniques, mesures de protection complémentaires, information relative à l’utilisation. Après cela seulement apparaît le risque résiduel après les mesures appliquées par le concepteur. Puis vient la contribution de l’utilisateur : organisation du travail, procédures, surveillance, autorisations, moyens techniques complémentaires, équipements de protection individuelle, formation. À la fin, on parle du risque résiduel après toutes les mesures.
Ce découpage est très concret. Il dit une chose simple : le fabricant ne peut pas pousser dans la case « utilisateur » un danger qu’il n’a pas voulu traiter à la conception. Et l’utilisateur ne peut pas faire semblant que la notice et la formation ne comptent pas si le fabricant a correctement décrit les risques qui ne pouvaient pas être éliminés côté machine.
C’est pour cela que l’expression risque résiduel est dangereuse quand elle est utilisée trop vite. Elle sonne technique. Elle donne une impression de maîtrise. Mais elle peut devenir un alibi.
Quelqu’un voit un point de happement. Quelqu’un sait que l’opérateur va débourrer. Quelqu’un sait qu’au nettoyage, une main passera près d’un organe mobile. Et malgré tout, la conclusion tombe : « risque résiduel — ne pas mettre les mains ». Ce n’est pas encore du risque résiduel. C’est juste un problème rebaptisé.
Pour utiliser ce terme honnêtement, il faut montrer le chemin. Qu’a-t-on changé dans la conception ? La géométrie, les distances, l’énergie, la vitesse, l’accès, la méthode de réglage ? Quels protecteurs, dispositifs d’interverrouillage, dispositifs de verrouillage, modes de marche, commandes à action maintenue, dispositifs de validation ou fonctions de sécurité ont été envisagés ? Pourquoi une partie du risque doit-elle réellement être transférée dans l’information à l’utilisateur ?
ISO 12100 est claire sur la logique : les mesures prises à la conception sont préférables aux mesures laissées à l’utilisateur, car elles sont en général plus fiables. ISO/TR 14121-2 va dans le même sens : l’information pour l’utilisateur doit aider à utiliser correctement et sûrement la machine, et avertir sur les risques qui restent après la réduction par conception et par protections. Les procédures, la formation ou le LOTO ont leur place. Mais elles ne sauvent pas une conception non traitée.
Sinon, on ne parle pas de risque résiduel. On parle d’un risque laissé à l’utilisateur.
Trois situations où le risque résiduel sert d’alibi commode
1. Happement : « ne pas mettre les mains » n’est pas une mesure de protection
Cas classique. Une machine a un élément mobile. L’opérateur peut atteindre la zone pendant un débourrage, un nettoyage, une alimentation manuelle ou un réglage. L’appréciation du risque identifie un happement. Dans la colonne des mesures de protection, on lit : « avertissement dans la notice ». Puis, dans la notice : « ne pas introduire les mains dans la zone de travail de la machine ».
Ça vous parle ?
Le document semble complet. Danger : présent. Risque : présent. Avertissement : présent. Mais la sécurité machine ne consiste pas à remplir chaque case vide d’un tableau. La question est ailleurs : que s’est-il passé avant cet avertissement ?
A-t-on essayé de supprimer le point de happement par la géométrie ? A-t-on limité la force, la vitesse ou l’énergie ? A-t-on déplacé le réglage hors de la zone dangereuse ? A-t-on prévu un mode de réglage à risque réduit ? A-t-on choisi un protecteur, un interverrouillage, un dispositif de verrouillage, une commande à action maintenue ou un dispositif de validation ? A-t-on observé comment l’opérateur débourre vraiment, pas comment il devrait le faire dans une notice idéale ?
Si la réponse est : non, mais on a écrit de ne pas mettre les mains, alors on n’est pas encore dans le risque résiduel. On est dans le raccourci commode.
2. Accès, nettoyage, maintenance : « utilisez un moyen adapté » ne suffit pas
Deuxième scène. Un filtre doit être remplacé chaque semaine. Un capteur doit être nettoyé à chaque changement de format. Un point de graissage est à deux mètres du sol. Une pièce doit être retirée périodiquement de l’intérieur de la machine. Le fabricant écrit : « effectuer les opérations dans le respect des règles de sécurité, utiliser des moyens d’accès appropriés ».
D’accord. Mais lesquels ?
L’escabeau qui traîne dans l’atelier ? La plateforme apportée par la maintenance ? Le châssis de la machine ? Un profilé sur lequel tout le monde monte parce que « on a toujours fait comme ça » ? L’opérateur doit-il se tenir d’une main au protecteur, dévisser de l’autre, et surveiller l’outil avec une troisième main qu’il n’a pas ?
C’est là que la théorie rencontre le béton de l’atelier.
Si le fabricant prévoit une opération régulière d’exploitation, de réglage, de nettoyage ou de maintenance, il doit se demander : comment l’humain accède-t-il à cet endroit, où se tient-il, et comment réalise-t-il la tâche sans bricoler ?
Toute intervention en hauteur ne signifie pas automatiquement qu’il faut une grande passerelle. Mais l’inverse est faux aussi : on ne peut pas prétendre qu’un accès fréquent à un point de service est uniquement le problème de l’utilisateur. ISO 12100 indique que les opérations courantes de service, de réglage et de maintenance doivent, si possible, être réalisées depuis le niveau du sol. Si ce n’est pas possible, il faut prévoir un accès sûr : plateformes, escaliers, passages, garde-corps ou autres solutions. C’est précisément le terrain d’ISO 14122 pour les moyens d’accès permanents aux machines.
Et là, la question devient piquante : si un moyen technique permet de réaliser en sécurité une intervention fréquente, pourquoi partir tout de suite sur une solution organisationnelle ? Pourquoi la plateforme de service n’a-t-elle pas été prévue au projet ? Pourquoi la notice impose-t-elle une opération hebdomadaire dans un endroit difficile d’accès sans donner un poste de travail sûr ? Pourquoi décrire la tâche sans concevoir les conditions de son exécution ?
3. Cyber et accès distant : le pare-feu de l’utilisateur n’efface pas la conception
Troisième exemple, plus moderne, même mécanique de fond.
La machine a un accès distant. Elle embarque un automate, une HMI, un ordinateur industriel, des comptes de service, des mises à jour, des échanges de données, parfois une connexion à un système supérieur. Le fabricant dit : « l’utilisateur doit sécuriser le réseau ». Le service IT reçoit le sujet après la réception. La maintenance veut que le SAV puisse se connecter vite. La production veut que la machine tourne. Tout le monde a ses raisons.
Mais posons la question simple : une atteinte à cette couche peut-elle influencer la sécurité de la machine ?
Si l’accès distant permet de modifier des paramètres, des modes de marche, une logique de commande, une configuration HMI ou des données liées aux fonctions de sécurité, ce n’est pas seulement l’affaire du pare-feu de l’usine. Si la machine arrive avec des mots de passe par défaut, des comptes non décrits, un accès distant ouvert ou une procédure de mise à jour floue, il est difficile de dire que tout le risque cyber repose sur l’utilisateur.
L’utilisateur a évidemment des obligations. Il doit gérer son réseau, les comptes, les accès, les sauvegardes, les mises à jour, la segmentation et les procédures de modification. Mais le fabricant ne peut pas livrer une machine en mode « vous sécuriserez ça comme vous pourrez » et appeler cela du risque résiduel.
Avec le Règlement Machines (UE) 2023/1230, ce point devient encore moins contournable : si une modification du matériel, du logiciel ou des données peut conduire à une situation dangereuse, la cybersécurité rejoint directement la sécurité machine.
Même logique, toujours : d’abord la conception, ensuite les mesures techniques, enfin l’information à l’utilisateur. Pas l’inverse.
Quand un risque résiduel est-il vraiment résiduel ?
On voit le piège : tout risque qui reste sur une machine ne mérite pas automatiquement l’étiquette risque résiduel.
Il faut demander : il reste après quoi ? Après modification de la conception ? Après protecteur, interverrouillage, dispositif de verrouillage ou mode de réglage ? Après déplacement du point de graissage hors de la zone dangereuse ? Après conception d’un accès permanent à la maintenance ? Ou bien il reste parce que personne n’a voulu ouvrir le sujet et qu’il était plus simple d’ajouter un avertissement ?
Ce sont deux mondes différents.
ISO 12100 distingue le risque résiduel après les mesures prises par le concepteur et le risque résiduel après l’ensemble des mesures, y compris celles côté utilisateur. Entre les deux, l’information du fabricant doit être réellement exploitable par l’organisation de l’utilisateur.
On peut le reconnaître avec un filtre simple. Pas un algorithme magique. Un test de bon sens d’ingénieur.
| Question | Si la réponse est oui | Si la réponse est non |
|---|---|---|
| Le danger est-il décrit précisément : où, quand, qui est exposé et pendant quelle tâche ? | On peut continuer l’analyse pour vérifier s’il s’agit d’un risque résiduel. | Ce n’est pas encore une appréciation du risque, seulement une mention générale du danger. |
| Le fabricant a-t-il vérifié si le danger pouvait être supprimé par conception ? | On suit la logique d’ISO 12100. | L’avertissement dans la notice arrive trop tôt. |
| Des mesures de protection techniques ont-elles été envisagées : protecteurs, interverrouillages, dispositifs de verrouillage, modes de marche, commande à action maintenue, limitation d’énergie, de vitesse ou de force ? | On peut justifier pourquoi une partie du risque demeure. | Le risque est probablement inachevé, pas résiduel. |
| Le fabricant explique-t-il pourquoi une mesure n’a pas été retenue ? | La documentation montre une décision d’ingénierie. | Il y a un trou. Un trou ne devient pas un risque résiduel parce qu’on l’appelle ainsi. |
| L’information à l’utilisateur est-elle concrète ? | L’utilisateur sait quoi faire, quand, comment, avec quoi et dans quelles conditions. | « Rester prudent » ou « ne pas mettre les mains » ne suffit pas. |
| L’utilisateur a-t-il une influence réelle sur la mesure demandée ? | On peut être dans son domaine : formation, LOTO, surveillance, procédure, maintenance, organisation du travail. | On ne peut pas lui transférer ce qu’il ne peut pas contrôler efficacement. |
| La mesure côté utilisateur tient-elle dans la vraie vie ? | On peut parler de responsabilité partagée. | Si tout repose sur le fait de « surveiller les gens » alors qu’une mesure technique était possible, le sujet revient côté fabricant. |
| Après la mesure de protection, a-t-on vérifié qu’un nouveau risque n’a pas été créé ? | La boucle de l’appréciation du risque est fermée. | Le processus n’est pas terminé. ISO/TR 14121-2 rappelle qu’il faut vérifier la réduction réelle du risque et l’apparition éventuelle de nouveaux dangers. |
Si, à la fin de ce filtre, il ne reste qu’une phrase du type « l’opérateur doit faire attention », on est trop tôt. On n’a pas encore atteint le risque résiduel.
Il faut aussi répartir la responsabilité sans brouillard.
| Domaine | Ce que le fabricant doit traiter | Ce que l’utilisateur reprend réellement |
|---|---|---|
| Happement, écrasement, contact avec un mouvement | Conception, géométrie, limitation de l’énergie, protecteurs, interverrouillages, modes de marche, fonctions de sécurité, description claire du risque non éliminé. | Formation, surveillance, maintien des protecteurs et interverrouillages, procédures de débourrage, interdiction de contourner les mesures de protection. |
| Nettoyage, réglage, maintenance | Prise en compte de ces tâches dans l’appréciation du risque, limitation de l’accès aux zones dangereuses, modes de service, points de réglage hors zone dangereuse, accès sûr. | Organisation des interventions, qualification du personnel, LOTO, plan de maintenance, contrôle de l’état des mesures de protection. |
| Accès en hauteur, plateformes, passages | Analyse de la fréquence et du caractère prévisible de la tâche ; conception ou spécification d’un moyen d’accès permanent si nécessaire. | Maintien des accès, ordre et propreté, personnel autorisé, application des procédures et moyens indiqués par le fabricant. |
| Cyber et accès distant | Architecture sûre, limitation des accès, gestion des comptes, description des interfaces, règles de mise à jour, protection des données et logiciels importants pour la sécurité. | Segmentation réseau, gestion des comptes, procédures de modification, sauvegardes, surveillance des accès de service. |
| Information dans la notice | Avertissements concrets, description du risque, conditions d’utilisation sûre, mesures attendues côté utilisateur, interdictions et limites d’utilisation. | Mise en œuvre réelle : formations, consignes au poste, surveillance, application des règles. |
Voilà le cœur du sujet.
Le risque résiduel peut être partagé. Mais partagé ne veut pas dire flou. Partagé ne veut pas dire : le fabricant écrit, l’utilisateur assume. Partagé ne veut pas dire : le service sécurité fera une procédure, donc la conception est correcte.
Partagé veut dire quelque chose de plus exigeant : le fabricant montre ce qu’il a fait côté machine, et l’utilisateur reprend ce qui dépend réellement de l’organisation du travail, de la supervision, de la maintenance et des conditions d’exploitation.
Dans une bonne appréciation du risque, la ligne « risque résiduel » n’est pas la dernière planche de salut. C’est la fin d’un raisonnement honnête : ici il y avait un danger, voilà ce que nous avons fait en conception, voilà les mesures techniques retenues, voilà ce qui ne peut plus être supprimé raisonnablement sans créer un autre problème, et voilà les informations et exigences transmises à l’utilisateur.
Là, oui, l’expression tient debout. Sinon, c’est une couverture pour des décisions qui manquent.
Le tableau aide, mais il ne remplace pas la vraie tâche
La répartition des responsabilités ne devient solide que lorsqu’elle descend au niveau de la tâche réelle sur la machine. Il est facile d’écrire : « l’utilisateur assure l’organisation du travail », « l’utilisateur utilise un moyen d’accès approprié », « l’utilisateur sécurise le réseau ». Il est plus difficile de vérifier que la machine livrée peut être exploitée, nettoyée, maintenue et dépannée en sécurité.
Prenons une plateforme de service.
Sur le plan, tout semble bon. Structure métallique, caillebotis, garde-corps, accès. Accès prévu ? Oui. Sujet clos ? Pas forcément.
La première question est : à quel travail sert cette plateforme ?
Si un technicien monte une fois par an pour lire un indicateur, c’est une situation. Si, depuis cette même plateforme, il faut remplacer régulièrement un moteur, un réducteur, un vérin, un rouleau, une tête, un filtre ou un autre élément d’usure, ce n’est plus seulement un accès. C’est un poste de travail de maintenance.
Et une phrase générale dans la notice ne suffit plus.
Qui monte ? Une personne ou deux techniciens de maintenance ? Que portent-ils ? Une caisse à outils, une clé dynamométrique, des élingues, une pièce de rechange ? Que démontent-ils ? Un capot de 20 kg, un motoréducteur de 80 kg, un réducteur de 150 kg, un moteur de 500 kg ? Où posent-ils la pièce après dépose ? Sur la plateforme ? Sur un chariot ? Sur un appareil de levage ?
La capacité de la plateforme couvre-t-elle seulement une personne, ou aussi les outils, les pièces, les charges localisées et les efforts créés au démontage ? A-t-on prévu un portillon de manutention, un point de suspension, un palan, un chemin d’extraction et assez d’espace pour deux personnes ?
Ce sont des questions d’atelier, pas des diapositives de formation.
Si la notice dit qu’un moteur de 500 kg se remplace depuis la plateforme, la plateforme doit correspondre à ce travail réel. Pas à l’image vague d’un opérateur avec une clé. Deux personnes, outils, pièce démontée, manutention, protection contre la chute, descente sûre au sol : tout cela fait partie du sujet.
Sinon, on a l’apparence d’une solution. La plateforme existe, mais elle ne résout pas la tâche. L’accès existe, mais il ne permet pas une maintenance sûre. La notice décrit l’opération, mais le projet ne donne pas les conditions pour la réaliser.
Et la question revient : est-ce du risque résiduel ? Si le fabricant a prévu une opération de service régulière sans prévoir comment l’exécuter en sécurité, on parle plutôt d’un concept de maintenance inachevé. L’utilisateur gère l’organisation, les compétences, le LOTO, la surveillance et le maintien en état. Mais il ne devrait pas découvrir à la réception qu’il doit improviser pour changer un ensemble lourd.
Le même raisonnement vaut pour la cybersécurité.
Une machine arrive avec un compte de service. Identifiant : admin. Mot de passe : admin. L’accès distant fonctionne, parce que le service doit bien se connecter. La documentation dit que l’utilisateur doit sécuriser le réseau. Le service IT reçoit le sujet après mise en route. La maintenance ne veut pas bloquer l’accès. La production veut produire. Le fournisseur veut intervenir vite.
Question simple : la machine est-elle livrée dans une configuration sûre par défaut ?
Il ne s’agit pas de faire porter au fabricant toute la sécurité du réseau de l’usine. Ce serait hors-sol. L’utilisateur doit gérer les accès, la segmentation, les sauvegardes, les procédures de modification, les comptes, les mises à jour et la surveillance des connexions de service.
Mais le fabricant ne peut pas livrer une faiblesse évidente et dire : « c’est votre IT ». Si l’accès distant, les comptes, le logiciel, la configuration HMI ou les données peuvent influencer le comportement de la machine, cette couche appartient à l’analyse de sécurité. Comme un protecteur, un interverrouillage ou un mode de service.
admin/admin n’est pas un détail. C’est l’équivalent numérique d’une plateforme qui existe, mais qui n’a pas la capacité pour le vrai travail. Dans le dossier, quelque chose est là. Dans la réalité, l’utilisateur reçoit un problème à réparer.
Pour éviter le cache-misère, je fais toujours revenir le débat vers des preuves simples.
Une bonne information à l’utilisateur ne dit pas seulement : « sécuriser le réseau ». Elle précise quels comptes existent, quels rôles d’accès sont prévus, ce qui doit être modifié au premier démarrage, comment fonctionne le service distant, qui peut mettre à jour le logiciel, quels éléments de configuration ont une incidence sur la sécurité, comment restaurer les réglages et quelles conditions réseau le fabricant a prises comme hypothèses pour une exploitation sûre.
Là, on peut parler sérieusement de responsabilité utilisateur. L’utilisateur sait ce qu’il reprend. Le risque résiduel se situe réellement à l’interface entre la machine et l’organisation du travail.
Sans cela, on ne partage pas une responsabilité. On transfère un problème.
Conclusion : le risque résiduel ne répare pas la conception
Il ne faut pas utiliser le risque résiduel à la légère. Ce terme ne sert pas à fermer les questions inconfortables. Il sert à montrer ce qui reste après le travail du fabricant, ce qui passe réellement côté utilisateur, et quelles conditions les deux parties doivent tenir pour que la machine reste sûre en exploitation normale.
Parce qu’une machine ne s’arrête pas à la déclaration de conformité ou au marquage CE. Elle continue à vivre : changements de format, nettoyage, maintenance, pannes, mises à jour, accès de service, remplacement d’ensembles lourds.
Si la conception n’a pas prévu ces situations, la notice ne les réparera pas.
« Ne pas mettre les mains », « utiliser une plateforme adaptée » et « sécuriser le réseau » peuvent être des informations utiles. Elles peuvent faire partie du paquet final de sécurité. Mais elles ne peuvent pas faire semblant que les questions difficiles n’avaient pas à être posées avant.
Le bon réflexe reste simple : avant d’écrire risque résiduel, demandez ce qui a été réellement supprimé, réduit, protégé, verrouillé, interverrouillé, limité, organisé et expliqué. Si la réponse tient seulement dans un avertissement, ce n’est pas encore un risque résiduel. C’est un chantier qui n’est pas fini.