Accident du travail sur une ligne de production : comment maîtriser la crise et ne pas aggraver sa responsabilité après une modification de machine

Un accident sur une ligne de production cesse très vite d’être un simple événement relevant de la santé et de la sécurité au travail. En pratique, il devient aussi un test de la maturité technique du site, de la qualité de la gestion des changements et de l’exhaustivité de la documentation machine. La suite du dossier dépend rarement du seul moment où la blessure s’est produite. Bien plus souvent, ce qui est déterminant, c’est ce que l’établissement est capable de démontrer quelques heures et quelques jours plus tard : quel était l’état de la machine, qui a introduit des modifications et sur quelle base, si les traces techniques ont été préservées et si les documents décrivent réellement la configuration qui fonctionnait au moment de l’événement.

Cela a aussi une portée pratique lorsqu’une machine ou une ligne a été modifiée auparavant. Après l’accident, la question revient : s’agissait-il encore d’une réparation ou d’un ajustement d’exploitation, ou déjà d’une modification substantielle qui fait basculer l’utilisateur vers un niveau de responsabilité propre au fabricant. Dans la même logique, il faut aussi examiner les audits des exigences minimales, les déclarations UE de conformité, les notices d’instructions et l’ensemble de la documentation technique, si l’établissement a effectivement façonné la solution technique. C’est pourquoi la procédure de gestion de crise ne peut pas s’arrêter à la sécurisation du lieu de l’événement. Elle doit conduire à une réponse claire : l’organisation maîtrise-t-elle l’état technique, la documentation et les décisions qui ont conduit au fonctionnement de la machine dans cette configuration donnée.

Les premières heures après l’événement

Dans les premières heures qui suivent l’accident, l’essentiel est de bien cerner le problème. L’établissement n’est plus confronté uniquement à une panne ni seulement à une procédure post-accident. Il fait face en même temps à une crise technique, probatoire et managériale. Cette distinction permet de hiérarchiser les priorités : d’abord la sécurité des personnes et la stabilisation du lieu de l’événement, ensuite la préservation des traces techniques et des données, et seulement en dernier lieu les décisions relatives à la reprise de l’activité.

À ce stade, ce sont les réactions réflexes qui causent le plus de dommages. Quelqu’un déplace des éléments, réinitialise le système de commande, efface les alarmes, redémarre la machine « juste pour essayer » ou tente de reconstituer le déroulement de l’événement à partir des souvenirs des témoins. Or les informations les plus précieuses sont encore enregistrées dans l’automate, l’interface opérateur, les journaux d’alarmes, le système de vision, les caméras et l’historique des accès à la zone. Les constatations ultérieures peuvent encore être corrigées. En revanche, les traces techniques perdues sont généralement irrécupérables.

C’est pourquoi, dans la première phase, il faut agir non pas comme une équipe chargée de supprimer une défaillance, mais comme une équipe qui structure une investigation technique. En pratique, cela signifie répartir les rôles et mettre fin au chaos décisionnel. Une personne doit être responsable de la sécurité du lieu de l’événement et du contrôle des accès, une autre de la circulation cohérente des informations, une autre encore du contact avec le service du fournisseur, et une autre enfin de la sécurisation de la documentation ainsi que de la réalisation des copies de données issues des systèmes de commande et de supervision. À défaut, on se retrouve facilement dans une situation où le service se connecte à distance à la machine et écrase l’historique des défauts, où la maintenance rétablit l’alimentation, tandis que la direction de production pousse en parallèle à une reprise partielle de l’activité.

L’état constaté a le plus de valeur précisément avant la « remise en ordre » du poste. Il faut donc regarder la machine non seulement sous l’angle du dommage, mais aussi à travers sa configuration de sécurité réelle et son mode de fonctionnement. La position et l’état des protecteurs, le mode de marche sélectionné sur les commutateurs, d’éventuels contournements des fonctions de protection, l’état des capteurs et des actionneurs, les paramètres de réglage, l’historique des modifications du programme automate, les enregistrements dans le système de maintenance ainsi que les dernières interventions de service ont tous leur importance. Les témoignages sont utiles, mais ils restent complémentaires : après un événement, la mémoire est souvent fragmentaire et altérée par le stress. Pour vérifier si une machine est sûre, c’est justement cette configuration réelle qu’il faut pouvoir reconstituer avec précision.

D’un point de vue opérationnel, la réponse à la question de savoir jusqu’où il est possible d’intervenir sur la machine après l’événement est simple : uniquement dans la mesure nécessaire pour porter secours aux personnes, supprimer le danger immédiat et sécuriser la zone, tout en documentant chaque modification. Tout essai de redémarrage, tout démontage de protecteur, tout effacement d’alarme ou tout remplacement de composant avant la fixation de l’état constaté doit être considéré comme une décision à haut risque.

• sécuriser les personnes et isoler la zone de l’événement sans remettre la machine en service,
• figer l’état constaté : photos, position des éléments, indications des panneaux, alarmes et messages,
• réaliser des copies des données et bloquer les accès à distance et locaux susceptibles d’écraser l’historique,
• désigner un seul responsable des décisions de maintien à l’arrêt ou de reprise partielle de l’activité.

Ce n’est qu’après cette mise en ordre des faits qu’il est possible de passer aux questions de conformité et de responsabilité. On peut alors évaluer de manière fiable si la machine était utilisée conformément à sa destination, si le niveau de sécurité requis a été maintenu après les modifications, s’il existe des preuves à jour de l’analyse des risques, une documentation technique complète et des documents d’utilisation correspondant à l’état réel. C’est aussi le moment où il faut trancher si l’établissement reste uniquement utilisateur, ou si, par l’ampleur des changements, il a déjà endossé le rôle d’entité responsable de la solution technique.

Où les coûts et la responsabilité augmentent réellement

Après un accident, le poids du risque ne découle souvent plus de l’événement lui-même, mais de l’historique des décisions techniques prises en amont. En pratique, les problèmes les plus sérieux sont rarement causés par une machine utilisée dans son état d’origine. Bien plus souvent, le litige naît d’un alimentateur ajouté, d’un préhenseur remplacé, d’une logique de commande modifiée, d’un contournement de protecteur, d’une intégration avec un autre poste ou d’un changement de mode de fonctionnement introduit sous la pression de la performance. Du point de vue de la production, ces interventions peuvent paraître rationnelles. Après l’événement, toutefois, ce ne sont pas les intentions qui comptent, mais la capacité de l’organisation à démontrer la base de conception de la modification, le déroulement de l’analyse des risques dans le projet, le choix des mesures de protection et l’identité de la personne ayant autorisé la mise en service de la solution.

C’est précisément ici que se pose la question de la modification substantielle. Il ne s’agit pas de savoir qui a matériellement réparé ou transformé la machine. Ce qui importe, c’est de déterminer si l’ampleur des changements n’a pas été telle que l’établissement a cessé d’agir uniquement en tant qu’utilisateur pour assumer des obligations relevant de l’entité responsable de la solution technique. Cette frontière est la plus facile à manquer lorsque les modifications sont réparties entre la maintenance, l’automatisme, l’ingénierie procédé et la production, et que chacune d’elles, prise isolément, ressemble à un ajustement mineur. Pourtant, la nature du changement ne dépend pas de son appellation interne, mais de son effet réel sur la fonction de la machine, le mode de commande, les zones dangereuses, la séquence de fonctionnement, les conditions d’intervention humaine et les erreurs d’utilisation raisonnablement prévisibles.

Dans la pratique, ce mécanisme est souvent récurrent. Pour réduire les arrêts, on modifie localement l’ordre des mouvements d’un vérin, on ajoute un capteur de présence de pièce et on autorise le fonctionnement avec protecteur ouvert en mode réglage, parce que l’opérateur doit voir le processus. Avec le temps, la solution devient une pratique quotidienne. Lorsqu’un accident survient, personne n’est capable d’indiquer clairement qui a validé la modification, quelles hypothèses de sécurité ont été retenues, si le fonctionnement des fonctions de protection a été vérifié après modification, si le personnel a été formé et si les instructions correspondent à la situation réelle. C’est alors que le coût augmente brutalement, non seulement parce que la ligne est à l’arrêt, mais aussi parce que l’établissement perd une base cohérente de défense technique. Dans ce contexte, la sécurisation de l’automatisation des machines ne peut pas être traitée comme un simple sujet d’exploitation.

Dans ce type de dossier, ce ne sont pas les déclarations orales qui comptent, mais les traces de gestion des modifications. En leur absence, chaque réponse ultérieure devient ponctuelle et facile à contester.

• demande de modification avec description de l’objectif, du périmètre et de l’impact sur la sécurité,
• validations techniques et désignation des responsabilités pour l’autorisation de mise en service,
• résultats des essais, des réceptions et de la vérification des mesures de protection,
• mises à jour des instructions, des procédures de consignation des énergies et attestations de formation.

Le deuxième axe de risque concerne la relation entre les exigences minimales applicables aux machines en service et les obligations qui peuvent naître après une transformation, une intégration ou une remise en service dans une configuration modifiée. Le simple argument selon lequel la machine fonctionne depuis des années ne remplace pas les preuves d’audits, de revues de conformité et d’une évaluation à jour de la configuration dans laquelle elle est aujourd’hui exploitée. La déclaration UE de conformité initiale du fabricant peut conserver sa pertinence, mais elle ne répond pas automatiquement à la question de savoir si, après la transformation de la ligne ou la modification de la logique de commande, elle décrit encore l’état réel. C’est précisément pourquoi, après un accident, il faut établir avec précision s’il s’agissait d’une réparation ou d’une modification substantielle de la machine, et si l’analyse doit porter sur une machine isolée ou sur la ligne en tant qu’ensemble de machines. Lorsque la question touche à la documentation CE et à ses conséquences, la certification CE après modifications devient un point d’attention central.

Des décisions qui remettent la situation en ordre

Une fois l’événement maîtrisé, il ne faut pas commencer par se demander à quelle vitesse relancer la production. Il faut d’abord déterminer selon quelle logique les décisions suivantes seront prises. En pratique, cela signifie examiner en parallèle trois niveaux : l’état technique réel de la machine, l’exhaustivité et la cohérence des documents, ainsi que l’historique des modifications de conception, de commande et d’organisation. Seule cette approche fournit une base crédible pour une évaluation fiable des risques.

S’il manque ne serait-ce qu’un seul de ces niveaux, l’équipe ne voit qu’une partie du tableau. La défaillance elle-même n’explique pas encore si c’est la solution technique, le mode d’utilisation ou une modification antérieure dont les effets n’ont jamais été formellement évalués qui a failli. Pour la même raison, la décision d’arrêt ne doit pas toujours se limiter à un seul poste. Si des mesures de protection identiques, le même système de commande ou une modification analogue existent ailleurs sur la ligne, le périmètre de l’arrêt doit être défini plus largement avant qu’un événement secondaire ne se produise.

Au niveau managérial, il faut aussi distinguer les questions d’exploitation des questions de conformité. Il convient d’abord d’établir dans quel rôle l’organisation intervient vis-à-vis de la machine ou de l’ensemble de machines. Si elle reste utilisatrice, elle doit au minimum démontrer qu’elle dispose des documents fournis avec la machine ainsi que des preuves d’une exploitation sûre dans la configuration de travail actuelle. En revanche, si l’ampleur de la transformation, de l’intégration ou du changement de logique de fonctionnement la rapproche du rôle de fabricant de fait, le niveau de justification attendu augmente nettement. Une documentation technique plus complète devient alors nécessaire pour expliciter les solutions de sécurité retenues, le choix des mesures de protection, les résultats des essais et le fondement de l’évaluation des risques adoptée.

Une matrice simple d’évaluation des documents est utile : le document existe, il est à jour, il n’est plus cohérent avec l’état réel de la machine, ou il manque. Cette grille permet de voir rapidement si le problème est d’ordre formel ou s’il traduit une perte de maîtrise de la solution technique. En pratique, il faut répondre à quelques questions de base : existe-t-il une déclaration UE de conformité et couvre-t-elle la configuration actuelle, la notice d’utilisation a-t-elle été mise à jour après les modifications, les schémas, les listes des éléments de sécurité, les procès-verbaux d’essais, les résultats des audits de conformité des machines aux exigences minimales, les enregistrements des inspections, de la consignation des énergies et des formations sont-ils disponibles. L’absence d’un seul document n’impose pas toujours l’arrêt définitif de la machine, mais l’absence simultanée de plusieurs preuves clés signifie généralement que l’établissement n’est pas en mesure de justifier ni le mode d’exploitation, ni la décision de remise en service.

• déclaration UE de conformité et notice d’utilisation — décrivent-elles l’état actuel de la machine,
• schémas, analyse des risques, procès-verbaux de réception et d’essais — justifient-ils les mesures de protection mises en place,
• registre des modifications, résultats d’audits, enregistrements des inspections et des formations — confirment-ils une exploitation sûre après les modifications.

Une erreur fréquente consiste à confondre la suppression d’une défaillance avec l’élimination de sa cause. Le remplacement d’un rideau lumineux, d’un interverrouillage de protecteur ou d’un module de sécurité ne règle pas le problème si l’on ne sait pas pourquoi la protection a cessé de remplir sa fonction ou pourquoi l’établissement a autorisé le fonctionnement dans des conditions modifiées. La reprise d’exploitation exige donc non seulement une réparation, mais aussi la démonstration que la cause technique et organisationnelle a été supprimée et que le mode d’utilisation retenu correspond à l’état actuel de la machine, de la commande et des moyens de protection. C’est aussi le bon moment pour vérifier de manière structurée si la machine reste sûre.

Dans certains cas, il suffit de remettre l’exploitation en ordre et de vérifier les moyens de protection avant la remise en service. Dans d’autres, un examen plus large de l’ensemble de machines, un audit externe ou une analyse de conformité plus approfondie seront nécessaires, en particulier lorsque les modifications ont affecté des fonctions de sécurité, des systèmes interconnectés ou des équipements soumis à des régimes techniques distincts, comme les installations sous pression. D’un point de vue normatif, l’essentiel n’est pas ici de multiplier les fondements juridiques, mais d’être en mesure de démontrer la diligence requise dans l’évaluation de la conformité et dans l’exploitation de la machine.

Comment éviter qu’un même accident ne se reproduise

Après un accident, l’enseignement le plus précieux concerne rarement une seule erreur d’opérateur. Il révèle le plus souvent la manière dont l’organisation prend ses décisions sur les changements techniques, organisationnels et logiciels. Si l’impact d’une modification sur la sécurité n’est vérifié qu’après sa mise en œuvre, l’événement suivant ne se reproduira pas forcément sur la même machine. Il réapparaîtra ailleurs sur la ligne, avec une autre équipe et sous un autre nom de projet.

C’est pourquoi la sortie de crise ne consiste pas à ajouter une interdiction de plus dans la notice. Il s’agit de refondre les règles de décision : qui peut demander une modification, qui qualifie son impact sur les moyens de protection, qui est responsable de l’évaluation des risques et qui autorise formellement la poursuite d’utilisation de la machine. C’est l’essence même de la gestion des changements. C’est à ce niveau que se joue la capacité réelle de l’établissement à tirer les leçons de l’événement, ou au contraire à ne produire qu’une apparence de réaction.

En pratique, il faut un modèle simple, mais appliqué sans exception. Toute modification technique devrait suivre la même séquence : qualification de l’impact sur la sécurité, désignation du responsable de la décision, définition des essais et réceptions requis, mise à jour de la documentation et autorisation formelle d’utilisation. Il ne s’agit pas de créer une bureaucratie lourde, mais de conserver une trace de décision que l’on puisse reconstituer un mois plus tard comme après un accident. Si la modification concerne le système de commande, les protecteurs périmétriques, la zone dangereuse, la logique d’interaction entre machines ou la manière dont l’être humain intervient dans le processus, elle ne doit pas être traitée comme une simple réparation. Lorsque plusieurs acteurs interviennent sur le même périmètre, l’organisation de la collaboration entre l’intégrateur, le développement logiciel et la maintenance devient déterminante.

Après un événement, on voit aussi immédiatement si la sécurité des machines était, dans les audits des exigences minimales, un véritable outil de maîtrise des conditions d’utilisation, ou seulement un formulaire archivé. De bons audits permettent de répondre rapidement aux questions suivantes : quels protecteurs et dispositifs de protection devraient équiper la machine, quels écarts avaient déjà été constatés, qui les a acceptés et si les actions correctives ont bien été clôturées. Les audits médiocres se terminent par des généralités sans valeur probante. C’est pourquoi, après un accident, il vaut la peine de revenir non seulement sur le lieu de l’événement, mais aussi sur des modifications similaires dans l’établissement et de vérifier si le même mécanisme de décision n’est pas présent plus largement. Sur ce point, les audits des exigences minimales en santé et sécurité doivent réellement soutenir la maîtrise du risque.

La relation avec les fournisseurs, les intégrateurs et le service reste une autre source de difficultés. Un appui externe peut être techniquement nécessaire, mais il ne transfère pas à l’extérieur la responsabilité de ce qui fonctionne finalement dans l’établissement. Si l’organisation n’est pas capable d’établir clairement ce qui a été modifié, qui a validé le périmètre des travaux, quelles étaient les limites de responsabilité du prestataire et si la documentation a été remise dans un état exploitable, elle se retrouve après l’accident sans base propre pour décider. La question la plus difficile revient alors : l’utilisateur est-il encore seulement un utilisateur ou, par l’ampleur et la nature des modifications introduites, est-il devenu l’entité responsable de la solution technique, et doit-il donc disposer non seulement des documents d’utilisateur, mais en pratique d’une documentation plus complète correspondant aux solutions retenues. Cette difficulté s’aggrave encore lorsque les intégrations provisoires en architecture IT/OT finissent par devenir des solutions permanentes.

La conclusion est simple. Après un accident, l’avantage ne vient pas de la rapidité des déclarations, mais de la qualité des preuves et de la rigueur des décisions. C’est cela qui détermine si la crise restera limitée à un seul événement et à un seul arrêt, ou si elle se transformera en un problème durable de responsabilité, en litiges sur l’étendue des modifications et en arrêts successifs. Une organisation capable de démontrer une chaîne logique — modification, qualification, essai, mise à jour de la documentation, autorisation formelle de remise en service — dispose d’une base de défense réelle. Une organisation qui s’appuie sur la mémoire des personnes et sur l’idée qu’il ne s’agissait que d’une modification mineure revient au même type d’accident, même lorsque celui-ci ne se reproduit pas sous une forme identique.