ASI Industrie : Conformité machine & sécurité industrielle
Ingénierie technico-réglementaire

Règlement (UE) 2023/1230 : ce qui change concrètement pour les fabricants et exploitants

Modification substantielle, cybersécurité, intelligence artificielle embarquée, dossier technique numérique - le Règlement Machines qui entre en application le 20 janvier 2027 n'est pas une simple mise à jour de la Directive 2006/42/CE. C'est un changement de paradigme.

SK
Stanislas KOZAK
PDG · ASI Industrie · 33 ans d'expertise
11 mai 2026
10 min de lecture

En mai 2026, le compte à rebours est engagé : il reste moins de neuf mois avant que le Règlement (UE) 2023/1230 ne remplace définitivement la Directive Machines 2006/42/CE. Pourtant, dans la majorité des PMI que nous rencontrons, la lecture de ce texte n'a pas encore commencé.

Ce n'est pas un règlement anecdotique. Il redéfinit qui est fabricant, ce qu'est une modification substantielle, ce que doit contenir un dossier technique - et, pour la première fois, il intègre la cybersécurité et l'intelligence artificielle dans le champ des exigences essentielles de sécurité.

Principe fondamental

Le Règlement (UE) 2023/1230 est un règlement, pas une directive. Il est directement applicable dans tous les États membres au 20 janvier 2027, sans transposition nationale. Pas d'interprétation locale possible. Pas de délai de grâce administratif. La date est ferme.

Du règlement au terrain : cinq ruptures majeures avec la Directive 2006/42/CE

Avant de détailler les obligations, il faut identifier ce qui change vraiment. La Directive Machines 2006/42/CE avait ses faiblesses structurelles : rédigée avant l'industrie connectée, elle ne couvrait ni les logiciels, ni la cybersécurité, ni l'IA. Elle laissait une large marge d'interprétation sur la notion de « modification ». Le Règlement 2023/1230 comble ces lacunes - et renforce les obligations qui existaient déjà.

Nouveauté #1

Champ d'application étendu aux machines pilotées par IA

Art. 3§1 + Annexe I §22

Les machines dont le comportement est déterminé par un système d'IA entrent explicitement dans le champ d'application. Le dossier technique doit inclure la documentation relative aux données d'entraînement, aux paramètres du modèle et aux procédures de validation. Cette exigence s'articule avec le Règlement (UE) 2024/1689 sur l'IA (AI Act) pour les systèmes d'IA dits à haut risque.

Nouveauté #2

Cybersécurité intégrée aux exigences essentielles

Annexe III §1.1.9

Pour la première fois, le droit des machines impose des exigences de cybersécurité. Les machines dont la sécurité peut être affectée par une altération non autorisée de leur logiciel - via une mise à jour distante, un accès réseau, un protocole industriel - doivent être conçues pour résister à ces altérations. Cette exigence s'applique aux systèmes de commande embarqués et aux interfaces de communication.

Nouveauté #3

Définition légale de la modification substantielle

Art. 3§16

La notion était implicite sous la Directive 2006/42/CE et sujette à interprétations divergentes. Elle est désormais définie textuellement : une modification substantielle est toute modification - physique ou numérique, y compris via mise à jour logicielle - non prévue par le fabricant initial, qui crée un nouveau danger ou augmente un risque existant au-delà du niveau de risque acceptable initial. Les conséquences juridiques sont précisées à l'Art. 10.

Nouveauté #4

Dossier technique entièrement numérique autorisé

Annexe IV

Le dossier technique peut être constitué, conservé et transmis sous format entièrement numérique. C'est une évolution pratique significative pour les bureaux d'études - mais elle s'accompagne d'une obligation implicite de garantir l'intégrité, l'authenticité et la disponibilité du dossier pendant la durée de conservation requise (10 ans après la dernière mise sur le marché). Un format numérique mal géré peut créer une rupture de preuve.

Nouveauté #5

Applicabilité directe sans transposition

Art. 1 + considérant (3)

Contrairement à la Directive 2006/42/CE, le Règlement 2023/1230 n'exige aucune transposition nationale. Il s'applique de façon identique en France, en Allemagne, en Italie ou en Pologne. Cela supprime les marges d'interprétation nationales - un avantage pour les fabricants exportant dans plusieurs États membres, un risque pour ceux qui comptaient sur les tolérances administratives locales.

Clarification importante

Machines partiellement achevées : régime inchangé sur le fond

Art. 3§4 + Art. 22-23

Les machines partiellement achevées (quasi-machines) restent soumises à un régime distinct - déclaration d'incorporation, notice d'assemblage - sans marquage CE. Le Règlement 2023/1230 reprend cette architecture de la Directive 2006/42/CE en la précisant. La responsabilité de l'intégrateur qui constitue l'ensemble final demeure entière.

La modification substantielle : le point névralgique pour les exploitants

La définition de la modification substantielle à l'Art. 3§16 est sans doute la disposition la plus importante du Règlement 2023/1230 pour les exploitants industriels. Elle détermine si vous continuez à être simplement « exploitant » ou si vous devenez « fabricant » aux yeux du droit - avec toutes les obligations que cela implique.

⚠️
Règlement 2023/1230, Art. 10 - L'exploitant peut devenir fabricantEn cas de modification substantielle d'une machine au sens de l'Art. 3§16, l'entité qui réalise la modification est assimilée à un fabricant. Elle doit : (1) mener une nouvelle évaluation complète des risques selon ISO 12100, (2) constituer un dossier technique conforme à l'Annexe IV, (3) émettre une déclaration UE de conformité, (4) apposer le marquage CE avant toute remise en service. Ces obligations s'ajoutent aux obligations EVRP / DUERP du Code du travail qui demeurent entières.

Qualifier une modification : la question centrale

La qualification d'une modification comme « substantielle » ou non n'est pas un exercice administratif. C'est une analyse technique et juridique en trois temps :

T1

Test 1

La modification est-elle prévue par le fabricant initial ?

Si la modification est explicitement couverte par la notice d'instructions ou le dossier technique du fabricant (ex : changement d'outil dans la plage d'usage prévu, réglage dans les limites définies), elle ne constitue pas une modification substantielle. Si elle sort de ce cadre, passez au test 2.

T2

Test 2

La modification crée-t-elle un nouveau danger ou augmente-t-elle un risque existant ?

Si la modification n'affecte pas le niveau de risque initial - par exemple, un remplacement à l'identique d'un composant usé - elle n'est pas substantielle sur ce critère. Si elle crée un phénomène dangereux nouveau (accès à une zone précédemment inaccessible, augmentation d'énergie, nouveau risque électrique) ou aggrave un risque documenté, passez au test 3.

T3

Test 3

Le risque créé ou aggravé est-il au-delà du niveau de risque acceptable initial ?

C'est le critère décisif de l'Art. 3§16. Si le risque résiduel après la modification dépasse le niveau acceptable documenté dans le dossier technique initial, la modification est substantielle. Cette comparaison exige d'avoir accès au dossier technique original - ce qui illustre l'importance de la traçabilité documentaire tout au long du cycle de vie de la machine.

📋
Article connexe - Logigramme de qualification des modifications de machinesASI Industrie a publié un logigramme opérationnel permettant de qualifier toute modification de machine, avec les conséquences réglementaires associées à chaque branche. Consulter le logigramme

Tableau comparatif : Directive 2006/42/CE vs Règlement 2023/1230

CritèreDirective 2006/42/CE (jusqu'au 19/01/2027)Règlement (UE) 2023/1230 (à partir du 20/01/2027)
Nature du texteDirective - nécessite transposition nationaleRèglement - directement applicable dans tous les États membres
Machines pilotées par IANon couvert - lacune structurelleCouvert - Art. 3§1 + Annexe I §22, documentation IA requise dans le dossier technique
CybersécuritéAbsent - aucune exigence expliciteExigence essentielle - Annexe III §1.1.9 : résistance aux altérations non autorisées du logiciel
Modification substantielleNotion implicite, non définie textuellement - guide SGSC 2014, interprétations divergentesDéfinie à l'Art. 3§16 - critères précis, applicabilité directe
Dossier techniqueFormat papier ou numérique, Annexe VIIFormat entièrement numérique autorisé - Annexe IV, durée de conservation 10 ans
Machines fabriquées en interneCouvert (Art. 2) - souvent ignoré en pratiqueArt. 10 - obligation identique : dossier technique + déclaration UE + marquage CE obligatoires
Obligation de résultatExigences essentielles de sécurité + santé (Annexe I)Idem + exigences cybersécurité et IA - portée élargie
Norme harmonisée de référenceISO 12100:2010 - présomption de conformitéISO 12100 (révision en cours) - présomption de conformité maintenue ; révision 2025-2027 attendue

Cybersécurité des machines : ce que l'Annexe III §1.1.9 impose réellement

L'introduction de la cybersécurité dans les exigences essentielles de sécurité n'est pas symbolique. Elle traduit une réalité de terrain : de plus en plus de machines intègrent des systèmes de commande communicants, des automates connectés au réseau d'entreprise, des interfaces de mise à jour à distance. Ces connexions créent des vecteurs d'attaque qui n'existaient pas il y a dix ans.

Périmètre de l'exigence

L'Annexe III §1.1.9 ne s'applique pas à toutes les machines sans distinction. Elle cible les machines dont la sécurité peut être affectée par une altération non autorisée de leur logiciel. Ce critère de sélection est fonctionnel : si une modification du logiciel embarqué peut déclencher un mouvement dangereux, supprimer une barrière de sécurité logicielle ou désactiver un arrêt d'urgence, l'exigence s'applique.

Exigence - Prévention

Conception résistante aux altérations non autorisées

La machine doit être conçue pour résister aux altérations non autorisées de son logiciel susceptibles d'affecter la sécurité : contrôle d'intégrité du firmware, authentification des mises à jour, cloisonnement des fonctions de sécurité par rapport aux fonctions de process. Ce n'est pas une obligation de résultat absolue, mais une obligation de moyen : le concepteur doit démontrer avoir pris en compte ces risques dans son évaluation.

Articulation - CRA

Cyber Resilience Act : la couche complémentaire

Le Règlement (UE) 2024/2847 sur la résilience cyber (CRA), applicable à partir d'octobre 2027, impose des obligations complémentaires sur les composants logiciels considérés comme produits numériques. Pour les machines intégrant des composants logiciels critiques, les deux règlements se cumulent. L'évaluation de conformité doit couvrir les deux périmètres.

Référentiel technique

IEC 62443 : la norme de référence pour les systèmes OT

Pour les systèmes d'automatisation et de contrôle industriels (IACS), la série IEC 62443 constitue le cadre technique de référence pour atteindre les niveaux de sécurité requis (SL - Security Level). Les niveaux PLr (EN ISO 13849-1) et SIL (IEC 62061) couvrent la sécurité fonctionnelle ; l'IEC 62443 couvre la sécurité au sens cybersécurité. Les deux périmètres sont distincts et complémentaires.

Impact documentaire

Le dossier technique doit couvrir la cybersécurité

Pour les machines soumises à l'Annexe III §1.1.9, l'évaluation des risques machine (ISO 12100) doit documenter explicitement les phénomènes dangereux d'origine cybersécurité et les mesures de réduction correspondantes. Un dossier technique qui ne mentionne pas la cybersécurité pour une machine connectée est, après le 20 janvier 2027, un dossier incomplet.

L'ISO 12100 et la révision en cours : ce qu'il faut savoir

L'ISO 12100:2010 reste à ce jour la norme harmonisée centrale pour l'évaluation des risques machine - et sa présomption de conformité est maintenue sous le Règlement 2023/1230. Cependant, une révision de l'ISO 12100 est en cours de développement au sein de l'ISO/TC 199, avec un calendrier de publication attendu autour de 2026-2027.

⚠️
Point de vigilance - Révision ISO 12100La révision en cours vise à intégrer explicitement les risques liés aux systèmes d'IA, à la cybersécurité et aux machines collaboratives dans le processus d'évaluation des risques. Au moment de la publication de cet article (mai 2026), la norme révisée n'est pas encore publiée. L'ISO 12100:2010 reste donc le référentiel applicable. ASI Industrie effectue une veille active sur ce dossier et mettra à jour cet article lors de la publication de la norme révisée.

Les chiffres de l'enjeu

< 9 mois
Avant l'application du Règlement (UE) 2023/1230 - 20 janvier 2027. La fenêtre de mise en conformité proactive se referme.
10 ans
Durée de conservation obligatoire du dossier technique après la dernière mise sur le marché (Annexe IV du Règlement 2023/1230)
375 k€
Amende maximale pour la personne morale en cas d'homicide involontaire par manquement délibéré (Art. 221-6 Code pénal x 5) - conséquence d'une non-conformité

Ce que le Règlement 2023/1230 ne change pas - et pourquoi c'est important

Clarifier ce qui change ne doit pas faire oublier ce qui reste identique. Plusieurs obligations fondamentales demeurent inchangées sous le Règlement 2023/1230 :

Inchangé

L'évaluation des risques machine reste le cœur du processus

L'ISO 12100 demeure le référentiel central. Le processus itératif en deux grandes phases - appréciation du risque, réduction du risque selon les trois niveaux - n'est pas remis en cause. Les calculs de niveau de performance PLr (EN ISO 13849-1) et SIL (IEC 62061) restent exigibles pour les fonctions de sécurité intégrées aux parties de commande.

Inchangé

Les obligations EVRP / DUERP de l'exploitant demeurent

Le Règlement 2023/1230 est un texte de droit produit. Les obligations de l'employeur au titre du Code du travail - évaluation des risques professionnels (Art. L4121-1), document unique (Art. R4121-1), programme annuel de prévention - ne changent pas et coexistent avec les obligations réglementaires machine.

Inchangé

Machines fabriquées en interne : obligation identique

L'Art. 10 du Règlement 2023/1230 reprend le principe de la Directive 2006/42/CE : toute personne qui assemble ou modifie substantiellement une machine est considérée comme fabricant. Une machine fabriquée en interne (convoyeur, poste d'assemblage semi-automatisé, machine de process) exige : dossier technique, déclaration UE de conformité et marquage CE. Cette obligation existait déjà - elle est simplement plus précisément encadrée.

Inchangé

Machines en service avant 2027 : pas de remise à zéro automatique

Les machines en service avant le 20 janvier 2027 ne doivent pas être remises en conformité sous le Règlement 2023/1230 pour leur état d'origine - elles restent régies par la Directive 2006/42/CE. En revanche, toute modification substantielle après le 20 janvier 2027 les fait basculer entièrement sous le Règlement. Et les prescriptions minimales du Code du travail (décret 93-41) s'appliquent en permanence.

Comment ASI Industrie prépare les industriels au Règlement 2023/1230

La méthode MESP© - Mise en Sécurité Productive est la réponse opérationnelle d'ASI Industrie aux enjeux du Règlement 2023/1230. Elle couvre l'intégralité de la chaîne de mise en conformité, du diagnostic initial jusqu'à l'émission de la déclaration UE de conformité et à la mise à jour du DUERP exploitant.

« Anticiper le Règlement 2023/1230, c'est d'abord connaître l'état réel de son parc. Aucune stratégie de mise en conformité ne peut être bâtie sur un inventaire approximatif. »
P1

Phase 1 - Diagnostic MESP©

Cartographie réglementaire complète du parc

Audit terrain de chaque machine et de chaque ligne de production : identification des non-conformités au regard de la Directive 2006/42/CE (texte applicable), qualification des modifications existantes au regard de l'Art. 3§16 (substantielles ou non), évaluation préliminaire des risques selon ISO 12100. Livrable : rapport d'orientations à solution hiérarchisées par criticité réglementaire et opérationnelle.

P2

Phase 2 - Études et Réalisation

Évaluation complète des risques, dossier technique, intégration

Évaluation des risques machine complète selon ISO 12100 - identification des phénomènes dangereux, estimation et évaluation du risque, réduction par les trois niveaux de la hiérarchie. Calculs PLr selon EN ISO 13849-1 et SIL selon IEC 62061 pour les fonctions de sécurité. Couverture cybersécurité selon IEC 62443 si pertinent. Constitution du dossier technique, émission de la déclaration UE de conformité. ASI Industrie assume la responsabilité technique et juridique de la Phase 2.

CE

Livrable final

Cohérence documentaire garantie : dossier technique + DUERP + plan de prévention

Le dossier technique CE, la déclaration UE de conformité et la mise à jour du DUERP exploitant sont produits en cohérence. Les risques résiduels formalisés dans le dossier technique constituent la donnée d'entrée directe du document unique. L'employeur dispose d'un corpus documentaire opposable - face à l'Inspection du Travail comme face à son assureur.

🎯
Offre intégrée ASI Industrie x SCHEINER Intelligence et RésiliencePour les industriels qui doivent anticiper simultanément le Règlement (UE) 2023/1230 et le Cyber Resilience Act (CRA), ASI Industrie et son partenaire SCHEINER proposent une offre couvrant l'évaluation des risques machine (ISO 12100, EN ISO 13849-1), la cybersécurité des systèmes OT (IEC 62443) et le DUERP terrain. Un seul interlocuteur, une cohérence documentaire garantie entre les deux règlements.

FAQ - Questions fréquentes sur le Règlement (UE) 2023/1230

Quelle est la différence entre le Règlement 2023/1230 et la Directive Machines 2006/42/CE ?

Le Règlement 2023/1230 est directement applicable dans tous les États membres au 20 janvier 2027, sans transposition nationale. Sur le fond, il étend le champ d'application aux machines pilotées par IA (Art. 3§1 + Annexe I §22), introduit des exigences de cybersécurité (Annexe III §1.1.9), définit textuellement la modification substantielle (Art. 3§16), et autorise le dossier technique sous format entièrement numérique (Annexe IV). Les machines en service avant le 20 janvier 2027 restent soumises à la Directive 2006/42/CE pour leur état d'origine, sauf modification substantielle postérieure.

Qu'est-ce qu'une modification substantielle selon le Règlement 2023/1230 ?

L'Art. 3§16 la définit comme toute modification - physique ou numérique, y compris via mise à jour logicielle - non prévue par le fabricant initial, qui crée un nouveau danger ou augmente un risque existant au-delà du niveau de risque acceptable initial. En cas de modification substantielle, l'entité qui la réalise est assimilée à un fabricant (Art. 10) et doit mener une évaluation complète des risques, constituer un dossier technique, émettre une déclaration UE de conformité et apposer le marquage CE avant toute remise en service.

Le Règlement 2023/1230 s'applique-t-il aux machines déjà en service avant le 20 janvier 2027 ?

Non, pour leur état d'origine. Une machine mise en service sous la Directive 2006/42/CE reste soumise à ce texte pour sa conformité initiale. Cependant, toute modification substantielle réalisée après le 20 janvier 2027 la fait basculer intégralement sous le Règlement 2023/1230. Par ailleurs, les prescriptions minimales de sécurité du Code du travail (Art. L4321-1 et décret 93-41) s'appliquent en permanence à toutes les machines en service, indépendamment du texte de mise sur le marché.

Quelles exigences de cybersécurité le Règlement 2023/1230 impose-t-il ?

L'Annexe III §1.1.9 impose que les machines dont la sécurité peut être affectée par une altération non autorisée de leur logiciel soient conçues pour résister à ces altérations. Cette exigence cible les systèmes de commande embarqués, les interfaces de communication et les fonctions de mise à jour à distance. Elle s'articule avec le Cyber Resilience Act (CRA) pour les composants logiciels. La série IEC 62443 constitue le cadre technique de référence pour les systèmes d'automatisation industriels.

Les machines que je fabrique en interne pour mon propre usage sont-elles concernées ?

Oui. L'Art. 10 du Règlement 2023/1230 s'applique à toute personne physique ou morale qui assemble ou modifie substantiellement une machine - y compris pour usage propre. Une machine fabriquée en interne (convoyeur, poste d'assemblage semi-automatisé, machine de process) exige : dossier technique complet, évaluation de la conformité, déclaration UE de conformité et marquage CE avant toute mise en service. Cette obligation existait déjà sous la Directive 2006/42/CE - elle est simplement plus précisément encadrée.

La norme ISO 12100 va-t-elle être révisée avant l'application du Règlement 2023/1230 ?

Une révision de l'ISO 12100:2010 est en cours au sein de l'ISO/TC 199, avec un calendrier de publication attendu autour de 2026-2027. À la date de publication de cet article (mai 2026), la norme révisée n'est pas encore disponible. L'ISO 12100:2010 reste donc le référentiel applicable et sa présomption de conformité est maintenue sous le Règlement 2023/1230. ASI Industrie effectue une veille active et mettra à jour cet article lors de la publication.

Articles connexes

🔀

Logigramme opérationnel

Gestion des modifications de machines : qualifier une modification et ses conséquences réglementaires

Voir le logigramme - La chaîne de décision complète pour déterminer si votre modification est substantielle et identifier les obligations applicables.

📊

Comparatif de référence

Analyse des risques machine, évaluation des risques machine, EVRP et DUERP : le comparatif complet

Voir le comparatif - Quatre notions, deux univers juridiques, deux responsables. La confusion entre ces termes a des impacts directs en termes de responsabilité pénale.

⚙️

Performance et conformité

Lean manufacturing et conformité machine : comment sécuriser vos gains de productivité

Lire l'article - Quelles actions Lean déclenchent une obligation de remise en conformité CE ? Le guide opérationnel par ASI Industrie.

En synthèse : moins de neuf mois pour prendre de l'avance

Le Règlement (UE) 2023/1230 entre en application le 20 janvier 2027. Pour les machines neuves mises sur le marché à compter de cette date, il se substitue intégralement à la Directive 2006/42/CE. Ses apports majeurs - définition légale de la modification substantielle, exigences de cybersécurité, prise en compte de l'IA, applicabilité directe sans transposition - ne sont pas des ajustements mineurs. Ils redessinent le périmètre des obligations du fabricant et les contours de la responsabilité de l'exploitant.

Les industriels qui anticipent aujourd'hui disposent d'un avantage structurel : ils peuvent planifier les arrêts machine, co-concevoir les solutions avec leurs équipes méthodes et étaler l'investissement. Ceux qui attendent feront face à une mise en conformité réactive, sous contrainte de délai et d'urgence - soit le scénario le plus coûteux.

La méthode MESP© d'ASI Industrie est conçue pour transformer cette contrainte réglementaire en performance industrielle durable. Un diagnostic, un dossier technique complet, une déclaration UE de conformité, un DUERP à jour - et une responsabilité juridique assumée de bout en bout.

MESP©
ASI Industrie : Bureau d'études technico-juridique

Anticipez le Règlement 2023/1230 avec la méthode MESP©

Diagnostic technico-juridique de votre parc, évaluation des risques machine complète (ISO 12100, EN ISO 13849-1), dossier technique et déclaration UE de conformité - ASI Industrie assume la responsabilité de bout en bout.

Prendre contact avec ASI Industrie
Règlement 2023/1230Modification substantielleConformité machineCybersécurité machineISO 12100Dossier techniqueMESP
← Retour au blog