La directive Seveso III va devoir évoluer. Pas parce qu'un projet législatif est sur la table, il n'y en a pas, mais parce que trois pressions convergentes rendent le statu quo intenable : des lacunes structurelles documentées par la Commission elle-même, l'irruption des PFAS dans la gestion des risques industriels, et l'absence totale de volet cybersécurité dans un texte qui date de 2012. Pour les exploitants de sites classés seuil haut, la question n'est plus de savoir si le cadre va bouger, mais quand et dans quelle direction.
Le diagnostic de la Commission : un rapport qui ne rassure personne#
Le rapport COM(2025)508, publié le 19 septembre 2025, constitue la première évaluation approfondie de la mise en œuvre de Seveso III sur la période 2019-2022. Les chiffres d'accidents restent contenus, moins de vingt-deux par an en moyenne dans l'Union européenne, et le BARPI comptabilise environ quatre-vingt-deux accidents et deux cent sept incidents sur les sites Seveso français pour la seule année 2023. La tendance n'est pas à l'explosion. Mais le rapport pointe trois failles qui minent la crédibilité du dispositif.
Première faille : les inspections. La Commission constate que les plans d'inspection ne couvrent pas uniformément le parc des quelque onze mille sites Seveso européens. En France, les actions prioritaires de la DREAL se concentrent sur les seuils hauts, et les sept cent deux établissements seuil haut français absorbent l'essentiel des ressources. Les cinq cent quatre-vingt-dix-sept sites seuil bas restent dans l'angle mort, un sujet sur lequel j'avais déjà des inquiétudes.
Deuxième faille : vingt et un pour cent des plans d'urgence externes n'ont pas été testés depuis trois ans. Concrètement, cela signifie que dans un cinquième des cas, personne ne sait si le plan fonctionne réellement. Quand on se souvient qu'AZF, le 21 septembre 2001, a fait trente et un morts, entre deux mille cinq cents et trois mille blessés, et creusé un cratère de soixante-dix mètres sur quarante dans Toulouse, on mesure ce que cette défaillance de préparation représente comme prise de risque collective.
Troisième faille : l'accès du public à l'information sur les risques Seveso reste lacunaire. La directive exige la transparence, les États membres ne la livrent pas de manière homogène. Le transfert de la base eMARS du JRC vers l'Agence européenne pour l'environnement au 1er janvier 2026 pourrait améliorer les choses, mais c'est une réorganisation institutionnelle, pas une réponse aux failles de terrain.
PFAS et mousses anti-incendie : la grenade dégoupillée#
C'est probablement le point de pression le plus concret pour les exploitants Seveso. Le règlement (UE) 2025/1988, adopté le 2 octobre 2025, interdit les mousses anti-incendie contenant des PFAS. Les sites Seveso bénéficient d'une dérogation jusqu'au 23 octobre 2035, ce qui semble confortable. Ça ne l'est pas du tout.
L'ECHA estime que dix-huit mille tonnes de mousses à base de PFAS sont utilisées chaque année en Europe. Les installations Seveso, par définition, sont celles qui stockent les substances les plus dangereuses et qui ont le plus besoin de systèmes d'extinction performants. Le passage aux mousses sans fluor suppose de revalider l'ensemble des études de dangers, de modifier les systèmes fixes d'extinction, et de reformer les équipes d'intervention. Neuf ans, pour certains sites pétrochimiques, c'est le minimum technique.
En parallèle, la restriction universelle des PFAS au titre de REACH avance. La mise à jour du 20 août 2025 a identifié deux cent trente et un secteurs concernés, et une deuxième consultation publique s'est ouverte en mars 2026. La trajectoire est claire : les PFAS vont sortir progressivement de tous les usages industriels. Or Seveso III ne mentionne pas les PFAS. Le texte de 2012 classe les substances par catégories de danger CLP, mais les vagues de restrictions PFAS créent un angle mort réglementaire que la directive n'a pas anticipé.
J'ai échangé avec un ingénieur sécurité d'un site pétrochimique des Bouches-du-Rhône qui m'a résumé le problème en une phrase : « On nous dit de supprimer les PFAS de nos mousses, mais personne ne nous dit comment recalculer les distances d'effets dans l'étude de dangers avec les nouvelles mousses. » Sur ce point, la nuance est importante ici : la transition PFAS sur les sites Seveso n'est pas un sujet environnemental, c'est un sujet de sécurité industrielle.
Cybersécurité : le trou béant que NIS2 ne comble pas seul#
Seveso III a été adoptée le 4 juillet 2012. À l'époque, la cybersécurité des systèmes industriels n'était pas un sujet de directive environnementale. Quatorze ans plus tard, la menace sur les systèmes OT (operational technology) des sites à haut risque est documentée, et la directive n'en dit toujours rien.
La directive NIS2 (2022/2555) élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité : de cinq cents entités sous NIS1, on passe à environ quinze mille sous NIS2, réparties sur dix-huit secteurs. La transposition française, pilotée par l'ANSSI, accuse du retard et n'est attendue que vers juillet 2026. L'ANSSI a déployé le référentiel ReCyF le 17 mars 2026, et l'Ineris travaille sur l'analyse des risques cybersécurité appliqués aux systèmes OT/ICS des sites classés.
Mais NIS2 et Seveso III restent deux silos. Un exploitant Seveso seuil haut devra se conformer à NIS2 pour la partie cyber, et à Seveso III pour la partie risques industriels, sans passerelle formelle entre les deux obligations. Les scénarios d'attaque cyber sur un système de contrôle-commande d'une installation chimique ne figurent dans aucune étude de dangers Seveso. C'est là que ça se complique et que j'ai moins de certitudes sur la manière dont Bruxelles va articuler les deux cadres.
Une révision de Seveso pourrait intégrer l'obligation de prendre en compte les risques cyber dans l'évaluation des dangers, comme un facteur aggravant ou un scénario initiateur. Ce serait cohérent avec la logique de la directive, qui vise à prévenir les accidents majeurs quelle qu'en soit la cause. Mais c'est de la prospective, pas du droit positif.
Quarante ans de Seveso : une directive qui a mûri par les catastrophes#
Le cadre Seveso n'est pas né d'une réflexion théorique. Il est le produit de catastrophes successives. Seveso I, la directive 82/501/CEE du 24 juin 1982, répondait à l'accident de l'usine Icmesa à Seveso en 1976. Seveso II, la directive 96/82/CE du 9 décembre 1996, a été durcie en 2003 par la directive 2003/105/CE du 16 décembre 2003, après l'explosion d'AZF. Seveso III, la directive 2012/18/UE du 4 juillet 2012, applicable en France depuis le 31 août 2015, a aligné la classification des substances sur le règlement CLP.
Chaque itération a suivi le même schéma : accident majeur, commission d'enquête, pression politique, révision législative. La question légitime est de savoir si Bruxelles peut, pour une fois, anticiper plutôt que réagir. Le rapport COM(2025)508 fournit la matière première d'une révision préventive. Les convergences avec les dossiers PFAS et NIS2 créent une fenêtre d'opportunité réglementaire.
En France, la loi Bachelot du 30 juillet 2003 a créé les PPRT, dont trois cent quatre-vingt-six sont aujourd'hui approuvés, couvrant plus de huit cents communes et prescrivant des travaux sur environ quinze mille cinq cents logements. Plus de six cents biens sont considérés comme fortement exposés. Le dispositif français va au-delà de ce que Seveso exige, ce qui donne à Paris une certaine légitimité pour peser dans les négociations si révision il y a.
Il y a un parallèle qui me frappe entre la lenteur de la transposition NIS2 en France et la lenteur historique d'adaptation du cadre Seveso. Dans les deux cas, les textes européens posent des exigences, et les États membres prennent le temps qu'ils veulent pour les transposer. La mécanique réglementaire européenne fonctionne par accumulation de pression, pas par rupture. Ce qui signifie qu'une éventuelle Seveso IV ne tomberait probablement pas avant 2028-2030, même si les travaux préparatoires commençaient demain.
Ce que les exploitants peuvent anticiper dès maintenant#
Sans attendre un texte qui n'existe pas encore, plusieurs chantiers sont déjà identifiables. Le remplacement des mousses PFAS est un impératif réglementaire indépendant de Seveso. L'analyse des risques cyber sur les systèmes OT est une obligation NIS2 en cours de transposition. La mise à jour des plans d'urgence externes est une exigence de Seveso III que le rapport COM(2025)508 pointe comme insuffisamment respectée.
Les exploitants qui auront traité ces trois chantiers avant une éventuelle révision seront en conformité anticipée. Ceux qui attendent le texte définitif pour bouger prendront du retard, comme c'est arrivé à chaque transition entre directives. La directive IED révisée montre d'ailleurs que Bruxelles n'hésite plus à durcir les exigences sur les installations industrielles quand les évaluations le justifient.
Sources#
- Seveso report: European industrial safety improved, Commission européenne, 19 septembre 2025
- Risques technologiques : directive Seveso et loi risques, ministère de la Transition écologique
- Réglementation des mousses anti-incendie : un nouveau pas dans la lutte contre les PFAS, Aequitas
- La directive NIS 2, ANSSI
- ARIA : base de données des accidents technologiques, BARPI
- Directive 2012/18/UE (Seveso III), EUR-Lex
- Lettre ARIA n°87 : accidentologie ICPE 2024, RecyNetwork
