Machines fabriquées pour usage interne (« in-house ») et obligations légales de l’établissement en 2026

Pourquoi ce sujet est important aujourd’hui

Les machines construites pour un usage interne ne relèvent plus d’une simple question de maintenance, mais constituent un véritable enjeu de risque de conception et de responsabilité pour le site. En 2026, la question ne se limite plus à savoir si l’équipement « sort de l’entreprise », mais à déterminer si sa conception, son assemblage et sa mise en service créent, pour le site, des obligations propres à un fabricant ou à une entité réalisant une modification substantielle de machines. Cela a un impact direct sur le calendrier d’investissement, le budget et la responsabilité de l’encadrement. Une mauvaise qualification du projet ne se limite généralement pas à une correction documentaire. Elle implique le plus souvent une reprise des protecteurs, une modification du système de commande, de nouveaux essais, un retard de démarrage et un désaccord sur la partie censée garantir la conformité. En pratique, ce ne sont pas les exigences elles-mêmes qui coûtent le plus cher, mais les décisions prises trop tard.

C’est pourquoi le sujet doit être tranché dès la phase des hypothèses de conception, et non à la réception. Pour l’équipe, cela suppose de répondre à une question opérationnelle essentielle : le site se contente-t-il d’assembler des équipements standard dans un procédé existant, ou crée-t-il réellement une nouvelle machine, ou encore modifie-t-il la fonction et le niveau de risque d’une machine déjà en place ? Ce critère a une portée très concrète, car il permet de clarifier les responsabilités en matière de documentation technique, d’évaluation des risques, de solutions de sécurité et de conditions d’autorisation d’utilisation. Si la décision intervient trop tard, le projet avance sur des bases erronées : la mécanique suit sa logique, l’automatisme la sienne, et la question de la conformité ne revient qu’au moment où l’équipement est déjà physiquement terminé et où chaque modification coûte plusieurs fois plus qu’au stade de la conception. Pour vérifier si une machine est sûre, il faut donc intégrer cette analyse bien en amont.

Un exemple typique rencontré sur le terrain est celui d’un poste robotisé ou d’une ligne semi-automatique assemblée à partir de composants prêts à l’emploi : robot, convoyeurs, rideaux immatériels, automate et logiciel développés en interne. En interne, cela est parfois considéré comme une simple « modernisation du procédé », puisque rien n’est vendu au client. Pourtant, du point de vue de la responsabilité, ce qui compte n’est pas le lieu d’utilisation, mais l’effet technique de l’intégration. Si l’équipe crée une nouvelle logique de fonctionnement, définit les zones dangereuses à proximité des machines, choisit les fonctions de sécurité en automatisation industrielle et fixe les conditions d’intervention de l’opérateur, elle ne réalise plus un simple montage. Une telle situation impose de piloter la conformité comme une partie intégrante du projet d’ingénierie, avec ses propres points de décision et ses propres indicateurs, tels que le nombre de non-conformités de sécurité encore ouvertes avant le démarrage, le nombre de modifications de conception après la réception interne et le temps nécessaire pour clôturer l’évaluation des risques. Dans ce contexte, l’automatisation sûre des machines devient un élément central du projet.

C’est seulement dans ce cadre qu’une référence normative prend tout son sens. En 2026, pour un site industriel, la distinction essentielle consiste à déterminer s’il s’agit d’une machine neuve, d’un ensemble de machines liées, de la transformation d’une machine existante ou simplement d’une modification d’exploitation sans incidence sur les exigences essentielles de sécurité. Le périmètre des obligations n’est pas identique dans chacune de ces situations ; il ne faut donc pas fonder la décision sur le raccourci consistant à dire : « c’est pour notre propre usage, donc les règles applicables au fabricant ne nous concernent pas ». Si le site assume le contrôle effectif du projet et de sa sécurité, il doit être en mesure de démontrer sur quelle base il a considéré la solution retenue comme admissible. C’est ce qui donne aujourd’hui tout son poids à ce sujet : il ne s’agit pas d’une formalité de fin de processus, mais du choix d’un mode de réalisation du projet qui soit réduit le risque et le coût, soit les reporte au moment où toute correction devient la plus difficile.

Où les coûts ou les risques augmentent le plus souvent

Dans les projets de machines construites pour un usage interne, le coût augmente rarement à cause d’une seule « grosse erreur ». Le plus souvent, il dérive à la suite d’une série de décisions prises trop tard ou au mauvais niveau de responsabilité. L’hypothèse la plus risquée consiste à penser que les aspects juridiques et de sécurité pourront être réglés une fois la construction terminée, lorsque la partie mécanique et la commande sont déjà, dans les faits, figées. À ce stade, toute correction des protecteurs, des systèmes de commande liés à la sécurité, des fonctions d’arrêt ou des accès de maintenance cesse d’être une modification mineure et commence à peser sur le planning, les réceptions internes et le périmètre d’intervention des fournisseurs. Pour l’usine, cela signifie non seulement un coût de réalisation plus élevé, mais aussi un risque réel d’assumer la responsabilité d’une solution difficile à justifier, tant sur le plan technique qu’organisationnel.

Le problème commence le plus souvent dès la phase de qualification du projet. L’équipe traite le projet comme une modernisation ou comme un « poste technologique », alors qu’en réalité il s’agit d’une machine neuve ou d’un ensemble de machines doté de sa propre logique de commande, de fonctions de sécurité intégrées et d’un mode d’utilisation prévisible. Si cette frontière est mal identifiée, toute la suite du processus décisionnel sera également erronée : périmètre documentaire différent, méthode d’évaluation des risques différente, exigences différentes pour les interfaces entre équipements. Le critère pratique est simple : il faut déterminer qui décide réellement de l’architecture de sécurité, du mode de commande et des conditions d’utilisation après la mise en service. Si la réponse est « l’usine », il n’a aucun sens de bâtir le planning comme si la responsabilité restait exclusivement du côté des fournisseurs des éléments constitutifs.

Un bon exemple est celui d’une ligne assemblée à partir de modules standard, de robots, de convoyeurs et d’un logiciel de supervision développé en interne. Au départ, le projet semble sûr sur le plan organisationnel, puisque la majorité des équipements provient de fournisseurs reconnus. Pourtant, le coût et le risque apparaissent au point d’intégration : les zones d’accès se chevauchent, la réinitialisation après un arrêt d’urgence ne suit pas une logique uniforme, et les modes de réglage et de maintenance ne sont traités qu’au moment de la mise en route. C’est alors qu’il devient évident que les déclarations et notices des différents composants ne résolvent pas le problème de l’ensemble fonctionnel dans sa globalité. La conséquence pour le projet est classique : reprises successives des armoires de commande, modifications logicielles, ajout de protecteurs, essais complémentaires et report de la date de mise en exploitation. Il est donc utile de mesurer non seulement le nombre de non-conformités, mais aussi le nombre d’interfaces de sécurité ouvertes entre les équipements ainsi que le nombre de modifications des fonctions de sécurité après la fin des études d’exécution. Ce sont des indicateurs qui montrent tôt si le coût commence à dériver à l’endroit le plus difficile à maîtriser.

La deuxième source de pertes réside dans une répartition des responsabilités entre services qui est commode sur le plan organisationnel, mais peu lisible juridiquement. Le concepteur prévoit une solution, l’automaticien la met en œuvre, la maintenance ajoute des exigences d’exploitation, et personne ne clôt la décision dans une seule évaluation des risques portant sur la configuration finale. En pratique, c’est précisément dans ce contexte que surviennent des écarts apparemment mineurs : les interrupteurs de protecteurs sont choisis sans lien avec le temps d’arrêt réel, les contournements de maintenance ne sont pas assortis de conditions d’utilisation clairement définies, et l’instruction interne décrit un état idéal plutôt que celui qui résulte des modifications introduites pendant la mise en route. En 2026, pour les machines réalisées en interne, une telle situation est particulièrement dangereuse, car l’usine ne peut pas se retrancher derrière l’argument selon lequel « le système a été développé par étapes ». Si elle a assumé le rôle de l’entité qui conçoit et intègre effectivement la solution, elle doit démontrer la cohérence entre les exigences essentielles, l’évaluation des risques, la documentation technique et les conditions d’utilisation. Si la qualification juridique du projet se situe à la frontière de plusieurs régimes, il faut trancher ce point avant de commander les composants critiques, et non après la mise en service. C’est précisément le critère pratique de décision : le choix fait aujourd’hui réduit-il le nombre de modifications de conception après la réception interne, ou ne fait-il que repousser le problème au moment où chaque correction coûtera déjà deux fois plus cher ?

Comment aborder le sujet en pratique

En pratique, la conception d’une machine réalisée pour un usage propre doit être pilotée comme un produit dont l’établissement assume entièrement la sécurité et la conformité, et non comme un ensemble de travaux de maintenance et d’automatisation répartis entre plusieurs services. Cela détermine la manière de prendre les décisions dès le lancement du projet. Si l’équipe considère l’opération uniquement comme une « modernisation interne », la question des limites de l’intervention, du périmètre de responsabilité et de l’ensemble des preuves justifiant les solutions retenues arrive généralement trop tard. La conséquence est prévisible : le coût réapparaît en fin de projet sous forme de reprises sur les protecteurs, de modifications du système de commande, d’une nouvelle mise en service et de corrections documentaires, tandis que la responsabilité reste du côté de l’établissement, quel que soit le nombre de sous-traitants intervenus.

C’est pourquoi la première décision de management ne devrait pas être « qu’achetons-nous ? », mais « qui valide la qualification du projet et sur quelle base ? ». Dans un projet réalisé en interne, il faut un responsable unique de la décision sur la configuration finale de la machine : une personne ou une équipe capable d’articuler la fonction technique, les conditions d’utilisation, les modalités d’intervention du service maintenance et les conséquences juridiques. Un bon critère d’évaluation est simple : peut-on, à ce jour, définir le mode de fonctionnement cible, les modes spéciaux, les limites d’accès de l’opérateur aux zones dangereuses, ainsi que les conditions d’arrêt et de redémarrage après intervention ? Si ce n’est pas le cas, le projet n’est pas prêt pour la commande d’éléments critiques ni pour figer l’architecture de commande. Dans cette situation, toute décision d’achat réduit la marge de manœuvre et augmente le risque de devoir ensuite adapter la sécurité à une solution déjà choisie, au lieu de la concevoir en parallèle de la fonction de la machine.

Un cas typique concerne un poste robotisé ou une ligne assemblée à partir de sous-ensembles provenant de sources différentes. Au stade de la conception, on prévoit un accès de maintenance simple, puis les essais montrent que le réglage impose des entrées plus fréquentes à l’intérieur, un fonctionnement à vitesse réduite ou la désactivation temporaire d’une partie des protections dans des conditions strictement définies. Si ces scénarios n’ont pas été identifiés et évalués en amont, l’équipe commence à « ajouter » des exceptions : un commutateur supplémentaire, un contournement, une procédure distincte pour le technicien. C’est à ce moment-là que le coût augmente, tout comme la responsabilité personnelle des personnes qui approuvent la solution. Non pas parce que la modification serait en elle-même inadmissible, mais parce qu’elle a été introduite en dehors d’un processus formalisé d’analyse des risques dans le projet et sans démontrer que le mode d’utilisation final satisfait toujours aux exigences de sécurité. Il est donc utile de mesurer non seulement le délai de mise en service, mais aussi le nombre de modifications affectant les fonctions de protection après la réception interne, le nombre d’écarts ouverts sans décision du responsable de projet, ainsi que le temps nécessaire pour mettre la documentation en conformité avec la machine réellement réalisée.

C’est seulement dans ce cadre que la référence normative et juridique prend tout son sens. En 2026, pour les machines réalisées en interne, l’enjeu n’est pas simplement l’expression « pour usage propre », mais le fait de savoir si l’établissement conçoit, intègre et met effectivement en exploitation une solution complète sous son propre contrôle. Si c’est le cas, il doit être en mesure de démontrer la cohérence entre les exigences essentielles, l’évaluation des risques, les solutions techniques, les instructions et les conditions d’utilisation. Si la situation réelle est plus complexe, par exemple lorsqu’elle comprend la transformation d’une machine existante, l’intégration de plusieurs ensembles ou une modification de l’usage prévu, la qualification doit être arrêtée avant le déploiement, car c’est elle qui détermine l’étendue des obligations documentaires et la manière de constituer les preuves de conformité. Du point de vue du manager, cela signifie une chose : ne pas reporter la décision sur le statut juridique du projet jusqu’à la phase de démarrage. Dans ce domaine, un retard se transforme presque toujours en coût de conception, et un coût de conception devient très vite un risque de responsabilité pour l’établissement.

Points de vigilance lors de la mise en œuvre

Pour les machines réalisées pour un usage interne, l’erreur de mise en œuvre la plus fréquente consiste à partir du principe que, puisque l’équipement reste dans l’usine, les exigences formelles pourront être « bouclées plus tard ». En pratique, c’est précisément la phase de mise en service qui révèle si le projet a été conduit comme une véritable démarche d’ingénierie avec maîtrise des modifications, ou comme une succession de décisions ponctuelles prises sous la pression de la production. Pour un site industriel en 2026, cela a des conséquences juridiques et économiques directes : toute modification de la logique de commande, des protecteurs, de l’accès de maintenance ou du mode opératoire après la réception technique peut remettre en cause la cohérence de l’évaluation des risques et de la documentation établies auparavant. Si l’équipe n’est pas en mesure d’indiquer qui a validé la modification, quel a été son impact sur la sécurité et si les instructions correspondent toujours à la situation réelle, le problème n’est pas seulement organisationnel. Il s’agit d’un risque de mise en cause de l’établissement pour la mise en exploitation d’une solution dont la sécurité n’a pas été démontrée de manière défendable.

Lors de la conception, il faut donc être attentif non seulement aux paramètres techniques, mais aussi aux limites des décisions admissibles sans nouvelle évaluation. Le critère pratique est simple : si une modification affecte une fonction de sécurité, la séquence de fonctionnement, l’accès d’une personne à la zone dangereuse, le mode de réglage, la maintenance ou l’usage prévu, elle ne doit pas être traitée comme une simple correction de démarrage. Une telle modification exige une décision du responsable du projet, une revue des risques et une vérification de l’actualité des preuves de conformité. Du point de vue du planning, cela signifie que l’architecture de sécurité doit être figée avant le démarrage de production, et non après. Si l’usine ne le fait pas, le coût revient au double : d’abord sous forme de reprise électrique ou mécanique, puis sous forme d’arrêt, de réceptions complémentaires et de conflit de responsabilité entre l’automatisme, la maintenance et le chef de projet.

Un exemple typique est celui d’un poste construit en interne à partir d’un robot, d’un convoyeur et d’un système d’alimentation, initialement prévu pour fonctionner sans intervention de l’opérateur, puis autorisé après essais à être réapprovisionné manuellement en pièce pendant le fonctionnement automatique. Du point de vue du projet, une telle décision est souvent présentée comme une légère optimisation de la performance. En réalité, elle modifie les conditions d’utilisation, les modalités d’accès à la zone de travail et les exigences applicables aux moyens de protection et à la commande. Si l’équipe traite cela comme une amélioration locale, sans revue formelle, on peut se retrouver dans une situation où la notice décrit un mode d’utilisation, l’évaluation des risques un autre, et l’exploitation réelle encore un autre. Un tel écart augmente le coût de maintien et de justification des décisions techniques, car toute panne ultérieure, tout quasi-accident ou tout contrôle sera évalué au regard de la situation réelle, et non des intentions initiales du projet.

C’est seulement dans ce contexte qu’il convient d’aborder les exigences juridiques. Pour les machines réalisées en interne, il ne suffit pas d’estimer que l’établissement n’est « que l’utilisateur » si, en réalité, il a lui-même conçu, intégré ou modifié de manière substantielle la solution avant de la mettre en exploitation. Dans une telle configuration, l’enjeu est de pouvoir démontrer que les exigences essentielles ont été traduites en solutions techniques et organisationnelles concrètes. Lorsque le statut du projet est à la limite, par exemple en cas de transformation d’une machine existante ou d’intégration de plusieurs équipements dans un nouvel ensemble fonctionnel, la décision doit être fondée sur la situation réelle, et non sur l’intitulé du projet ou la structure des achats. Pour l’équipe, le critère pratique de maturité du déploiement est le suivant : avant la mise en service, peut-on identifier sans compléments le périmètre actuel de la machine, l’évaluation des risques approuvée, la liste des modifications après essais, les conditions d’exploitation en sécurité et la personne responsable de l’acceptation des écarts ? Si ce n’est pas le cas, le déploiement reste inachevé, tant sur le plan formel qu’opérationnel, même si la machine exécute déjà son cycle de production.