JUSTICE ET PROBABILITE
JUSTICE ET PROBABILITE
Le Colloque organisé par l'IEC en partenariat avec l'IMDR-SdF sur le thème de l'approche probabiliste des risques et de la justice s'est tenu au Palais de Justice de Lyon le 13 octobre 2005.
Il a permis à une centaine de personnes venues en particulier du monde de l'industrie de confronter leurs points de vue avec de hauts magistrats et des avocats.
Les actes de ce colloque sont bien sûr disponibles depuis le 14 octobre 2005 pour nos adhérents à jour de leur cotisation sur le site www.cindynics.org, partie adhérents.
Pour les non adhérents, et compte tenu du grand intérêt des communications enregistrées qui nous encourage à prévoir un autre colloque du même type à Paris en septembre 2006, nous commençons dans cette lettre leur publication.
NDLR
«Le risque nul n'existe pas».
Cette affirmation est citée à tout propos sur les ondes et dans la presse chaque fois que se pose un problème de sécurité.
Que voici une amélioration par rapport à l'opinion unanimement répandue il y a encore vingt ans. A cette époque certains spécialistes de la sécurité des transports ferroviaires, entre autres, avaient mis en avant le concept de «sécurité intrinsèque» permettant de «démontrer» l'absence totale de risque, ce qui était bien agréable pour les usagers ainsi assurés de faire un voyage sans aucun, rigoureusement sans aucun, accident. Ces mêmes spécialistes me menaçaient alors des foudres de leur corporation si je persistais à mettre en doute la validité de leur concept. En pratique ce «principe» imposait des procédures judicieuses de conception conduisant à une probabilité d'incident très faible (malheureusement non chiffrée), si faible même qu'assimilant «très faible» à «négligeable» et «négligeable» à «nul», on en déduisait l'impossibilité d'apparition de l'incident redouté. Par contre l'absence de chiffrage conduisait parfois à ignorer a priori des événements non négligeables en réalité.
Or ce n'est pas parce qu'un événement est hautement improbable qu'il ne se produit pas. Pour s'en convaincre il suffit de calculer la probabilité de gagner le gros lot au Loto, c'est-à-dire de prévoir six numéros gagnants sur quarante-neuf. Il y a environ une chance sur quatorze millions de gagner, événement par conséquent hautement improbable. Or presque à chaque tirage il y a un gagnant, ce qui ne signifie pas que le calcul de la probabilité soit faux, mais que le nombre de joueurs est grand ! En effet la probabilité pour qu'il y ait un gagnant au moins, si vingt millions de grilles ont été joués, est de 76 %. Elle monte même à 98,6 % pour trois tirages de vingt millions de grilles (attention, le calcul simpliste consistant à multiplier 60.000.000 par 1/14.000.000 est évidemment faux, la formule de calcul de la probabilité est dans ce cas plus complexe !).
Cet état d'esprit vis-à-vis du risque nul ou de ses formes «scientifiques», la sécurité intrinsèque ou la sécurité absolue, se retrouve dans le jugement de l'accident de la Gare de l'Est, du 6 Août 1988, dont voici un extrait des attendus (les mots en gras figurent sous cette forme dans le document en notre possession; c'est nous qui avons souligné quelques mots).
"Toutefois, les améliorations qui pourraient être apportées dans ce domaine [la formation] n'excluent pas la présence humaine indispensable dans la conduite du train et donc, la prise de conscience par le conducteur qu'il doit faire un diagnostic exact de la situation et y apporter une solution appropriée ce qui n'a pas été le cas de L*** V***; ainsi, ne peut, en matière de transport en commun, être admise, compte tenu des enjeux liés à la sauvegarde des passagers, la possibilité de l'erreur humaine alors que le conducteur a à sa disposition des éléments de sécurité nombreux et perfectionnés. L'évolution des techniques, les moyens financiers accrus, la prise de conscience d'atteindre l'objectif de sécurité absolue, ne sauraient faire oublier qu'en tout état de cause, l'homme jouera toujours un rôle indispensable en complément de la machine et qu'il doit, en conséquence, ne pas commettre de fautes de la nature de celles qui viennent d'être mises en évidence ci-dessus".
«En conséquence, le délit reproché au prévenu ayant été établi, L*** V*** sera retenu dans les liens de la prévention.»
Nous ne sommes que techniciens de la sécurité. Il n'est donc pas question pour nous de remettre en cause la chose jugée et d'émettre une opinion sur la valeur juridique de ce texte, mais nous sommes en droit de nous poser la question de sa valeur sur le plan scientifique.
Revenons à la situation actuelle.
L'opinion ayant évolué dans le sens du rationnel, il est maintenant admis que le risque nul n'existe pas, mais à l'occasion de chaque accident grave défrayant la chronique, chacun s'écrie
«Plus jamais, plus jamais une telle catastrophe ! Il faut prendre des mesures pour éviter qu'un tel événement ne se reproduise et prendre des sanctions envers les acteurs du drame.»
Cette opinion impose deux remarques.
Le «plus jamais» est impossible. C'est d'ailleurs le seul événement dont la probabilité soit effectivement nulle ! Mais devant une catastrophe nous oublions le raisonnement scientifique pour faire place au «raisonnement sentimental», ce qui est humain et bien naturel mais hélas irrationnel et en aucun cas «raisonnable».
Bien entendu il faut que la justice vérifie que les acteurs du drame n'ont pas commis de fautes, c'est-à-dire n'ont pas transgressé volontairement des règles de sécurité, auquel cas une sanction s'impose.
Mais il peut arriver que chacun ait respecté les règles en vigueur au moment de la conception du système en cause ou au moment de son utilisation et que le hasard seul ait fait survenir un événement de probabilité très faible, mais non nulle, événement intervenant de façon prépondérante dans la chaîne des événements ayant conduit à la catastrophe.
Souvent cet événement n'avait même jamais été envisagé, parce qu'inenvisageable et comment peut-on imposer aux concepteurs et utilisateurs de prévoir l'imprévisible?
Il arrive aussi que cet événement ait été effectivement envisagé et étudié, mais ait été considéré comme ayant une probabilité suffisamment faible pour ne pas avoir à être couvert. Là encore il faut que la justice vérifie que cette position était justifiée par des arguments chiffrés valables. Or si cette probabilité est très faible, elle a été jugée négligeable. Et chacun sait que la négligence tombe sous le coup du code pénal ! Hélas cette remarque ne relève pas du simple jeu de mots. «Vous avez négligé de prendre en compte l'événement catastrophique qui est survenu», dira le juge, «vous avez donc fait preuve d'une négligence coupable, d'autant plus que vous en avez examiné les possibilité d'occurrence et que vous étiez donc parfaitement au courant du danger !».
Donnons des exemples de telles situations.
Pour éviter que la seule panne d'un système ne conduise à une catastrophe, on peut en améliorer la fiabilité en lui adjoignant des systèmes redondants. Mais combien faut-il en installer et jusqu'où faut-il aller dans cette démarche ?
Par exemple les systèmes de commandes hydrauliques sont triplés sur les avions de ligne et rendus physiquement indépendants (autrement dit la panne de l'un des systèmes est sans effet sur le bon fonctionnement des autres systèmes).
Soulignons que la perte totale des systèmes hydrauliques rend le pilotage de l'avion impossible et par suite la catastrophe hautement probable.
Ce triplement des circuits conduit à une probabilité de perte totale des commandes de l'ordre de un sur un milliard par heure de vol (10-9/h), la perte d'un seul système ayant une probabilité de l'ordre de un sur mille par heure (10-3/h). Des essais en laboratoire et l'expérience en utilisation justifient cette dernière valeur. Nous reviendrons plus loin sur ce point.
Faut-il pousser plus loin le souci de sécurité et installer quatre systèmes redondants ?
Tous les techniciens interrogés répondront non à cette question pour plusieurs raisons,
- il est très difficile de disposer plus de trois vérins par gouverne sans avoir à effectuer des changements très délicats de conception,- installer un système hydraulique supplémentaire augmentera la masse à vide de l'avion et réduira d'autant sa charge marchande (à masse au décollage constante imposée par des considérations de performances minimales assurant la sécurité au décollage),
- augmenter la complexité de l'installation du système hydraulique augmente les probabilités de non indépendance des circuits redondants et ne va donc peut-être pas dans le sens de la sécurité (problème bien connu de la «défiabilisation» par un excès de souci de fiabilisation.),
- les autres systèmes vitaux de l'avion, circuits électriques, circuits d'alimentation en combustibles, structure, etc., ont des fiabilités voisines de celle du système hydraulique. Il serait illusoire d'augmenter la fiabilité du seul système hydraulique sans augmenter aussi la fiabilité des autres systèmes, sinon la fiabilité globale de l'avion n'en serait pas augmentée pour autant.
On peut admettre que le premier argument est réfutable. Les ingénieurs n'ont qu'à faire preuve d'un peu d'imagination ! Il faut toutefois là encore penser au fait qu'augmenter la complexité ne va pas toujours dans le sens de la sécurité, comme le rappelle le troisième argument.
Au deuxième argument on peut répondre que le souci de la sécurité passe avant celui de la rentabilité. Ceci est vrai dans la mesure où les «améliorations» de sécurité ne rendent pas le produit fini économiquement inexploitable ce qui risque d'arriver si l'on augmente la fiabilité de tous les systèmes pour répondre au dernier argument. Rappelons le vieil adage, « la sécurité n'a pas de prix, mais elle a un coût !».
Quelle compagnie achèterait un avion de la taille de l'AIRBUS A380, bourré de systèmes redondants, mais ne transportant qu'une vingtaine de passagers seulement !
En définitive l'ensemble des responsables de la conception des avions des générations actuelles est d'accord pour admettre que le triplement des systèmes hydraulique est la solution raisonnable.
Tout le monde admet donc qu'une probabilité de un sur un milliard par heure de vol pour la panne totale d'hydraulique est «raisonnable». Bien entendu, cela signifie que chaque concepteur doit s'assurer que les systèmes hydrauliques répondent bien aux règles de l'art et passent avec succès les épreuves sévères de qualification permettant d'affirmer que le niveau de un sur un milliard est raisonnablement assuré.
Il n'en reste pas moins qu'il reste une chance (ou plutôt une malchance) sur un milliard par heure de vol pour qu'une panne totale des circuits hydrauliques ne conduise un jour à la catastrophe.
Or ce n'est parce qu'un phénomène est hautement improbable qu'il ne se produit pas, nous l'avons déjà dit.
Considérons une flotte de 2000 avions. Si l'on admet que chaque avion effectue en moyenne 14 heures de vol par jour (chiffre certainement sous-estimé), cela représente 2000 x 14 x 365 # 10 millions d'heures par an et 100 millions d'heures en 10 ans. Ainsi la probabilité d'observer une panne totale d'hydraulique de probabilité élémentaire de 10-9/heure, sur 10 ans d'utilisation de cette flotte est-elle de l'ordre de dix pour cent !
Les valeurs que nous venons d'utiliser sont loin d'être fantaisistes. En Juillet 2005, 2500 Airbus de la seule famille A320 (A318, A319, A320 et A321) ont été mis en service et cette flotte a franchi le cap des 40 millions d'heures de vol (Air & Cosmos du 26 Août 2005).
Rassurons-nous, la probabilité de défaillance d'un système hydraulique unique est certainement surestimée, mais il est impossible de le démontrer expérimentalement.
Aussi devons-nous de nous contenter de l'estimation, actuellement démontrée, à 10-9/h pour le système triplé. Par ailleurs ce n'est pas parce qu'aucun accident de ce type n'est survenu jusqu'à aujourd'hui que la probabilité d'avoir un accident au cours de notre prochain vol en est augmentée. Nous avons, à chaque vol, plus de chance de gagner au Loto que de périr dans un accident.
Que fera alors la justice si se produit un tel événement malheureux, panne totale des systèmes hydrauliques, conduisant presque certainement à la perte de l'avion ?
Cherchera-t-elle un «coupable» ? Bien entendu il lui faudra s'assurer que toutes les règles de sécurité en matière de fabrication, maintenance, conditions d'emploi, formation du personnel ont été respectées et par le constructeur et par la compagnie utilisatrice. Si une faute a été commise dans l'un de ces domaines, il lui faudra certainement condamner le coupable. Une telle situation pourrait se rencontrer par exemple dans une compagnie dont les responsables, peu scrupuleux ou ignorants, sacrifieraient la sécurité, en minimisant les opérations de maintenance, au profit d'une rentabilité à court terme. Ce comportement anormal doit évidemment être sanctionné sévèrement.
Mais il est parfaitement possible que l'accident ne provienne que de la conjonction malheureuse de la panne «normale et prévue» de chacun des trois circuits.
Et si à l'occasion de cet accident avec pertes de vies humaines, la justice venait à mettre son nez dans les dossiers d'incidents ? Cette fois ce sont les responsables de la sécurité qui se sentent mal à l'aise. Que répondre au juge d'instruction s'étonnant que des incidents analogues se soient déjà produits et que l'on n'ait pas encore réagi ?
«Comment ? Vous avez déjà observé en service plusieurs pannes élémentaires analogues à celles ayant conduit à la catastrophe et vous n'avez pas jugé utile d'améliorer la situation !» Vous aurez beau répondre que ces pannes entraient dans le cadre de la statistique attendue, on vous reprochera de ne pas avoir pris des mesures d'amélioration.
Plutôt que de risquer une mise en examen et une condamnation ne vaudrait-il pas mieux ne jamais signaler les incidents et mettre l'accident sur le compte de la fatalité ?
Cette dernière attitude peut sembler étonnante, mais nous avons connu des responsables d'une grande industrie refuser de faire des études de sécurité de peur de voir la justice se retourner contre eux dans le cas d'un accident survenant dans des conditions estimées hautement improbables au cours de l'étude et donc écartées à juste titre.
A l'occasion d'un accident aérien, nous avons vu en effet des magistrats, d'une nation étrangère et néanmoins amie, faire le raisonnement faux mais très convaincant suivant :
«Vous me dites que cet événement est hautement improbable, soit, mais il s'est produit. Par conséquent ou bien vous avez commis une faute d'estimation ou bien vous avez négligé volontairement de traiter ce cas. Vous êtes donc coupable !».
Il est évident, pour tous les spécialistes des probabilités, que «hautement improbable» ne signifie pas impossible.
Ce n'est pas au technicien de trancher. Nous nous contenterons de poser le problème qui est loin d'être un cas d'école fabriqué pour la cause.
Insistons sur la démarche probabiliste ayant conduit à la décision de tripler les systèmes.
On reproche bien souvent à cette démarche de faire des hypothèses peu fondées sur la fiabilité de chacun des systèmes et donc de se leurrer sur la fiabilité globale du système avec ses redondances.
L'estimation initiale de la fiabilité de chaque système isolé est faite en se reposant sur des essais d'endurance et sur les résultats observés en service réel sur les systèmes analogues.
Mais il y a mieux. Le comportement des systèmes est surveillé au cours de l'exploitation réelle. Si l'on observe des taux de défaillance supérieurs à ceux prévus, il est possible d'en trouver les causes et d'y porter remède avant qu'une catastrophe ne se produise, pour ramener la fiabilité au niveau souhaité. A titre d'exemple on peut constater qu'une rupture de canalisation est due à un niveau vibratoire insoupçonné dans la zone et y installer des protections adéquates. Cette démarche est connue sous le nom de Retour d'Expérience. Elle consiste à tirer partie des incidents en service sans attendre la catastrophe pour réagir.
Que l'on ne s'y trompe pas. Une fois observée, par Retour d'Expérience, une défaillance attendue ou non prévue du système, on se retrouve devant le même problème que lors de la conception. La probabilité de l'événement observé est elle suffisamment élevée pour qu'il soit nécessaire de réagir, rentre-t-elle dans la statistique prévue, faut-il attendre d'autres événements pour agir ? C'est là qu'intervient l'analyse statistique raisonnée. Un événement de probabilité anormalement faible mais de conséquence catastrophique doit-il être néanmoins couvert ? Pour donner un exemple caricatural une météorite ayant traversé le cockpit d'un avion de ligne et tué le pilote faut-il installer un blindage adéquat sur tous les avions en service ? Une panne attendue se produisant avec la fréquence prévue doit-elle néanmoins faire l'objet d'une modification réduisant cette fréquence ?
Ce n'est pas parce que l'on a observé des événements potentiellement ou effectivement dangereux en service qu'il faut obligatoirement envisager l'application de remèdes toujours faciles à imaginer après coup.
Ainsi le Retour d'Expérience permet-il de détecter :
- des événements potentiellement dangereux non prévus lors de la conception et de probabilité suffisamment élevée pour que soient prises des mesures réduisant leur probabilité d'occurrence ou leurs conséquences,- des événements tout aussi potentiellement dangereux et identifiés mais dont la probabilité d'occurrence avait été jugée, à tort, suffisamment faible pour qu'ils ne fassent pas l'objet de mesure supplémentaire.
La tempête de la fin de l'année 1999 nous amène également à réfléchir sur l'aspect économique des mesures de sécurité. Les mises hors service d'un grand nombre de centraux téléphoniques par manque d'alimentation pouvaient être évitées par l'installation, dans chaque centre, d'un groupe électrogène et même, pour plus de sécurité, de deux groupes électrogènes. Cette solution, évidente, a été bien des fois avancée dans les médias. Il est sûr que la perte des moyens de communication peut avoir des conséquences graves et qu'il faut faire quelque chose ! Cette solution ne résout toutefois pas le problème de la destruction des lignes téléphoniques. Qu'à cela ne tienne, installons des groupes électrogènes dans tous les relais de transmission pour la téléphonie portable ! Par ailleurs équipons chaque relais d'antennes rétractables pour en éviter la destruction en cas de vents trop élevés. Bien sûr la rentrée de ces antennes et la mise en route des groupes électrogènes se fera par des automatismes (redondants), alimentés par plusieurs batteries.
C'est alors qu'il faut se poser le problème du coût de cette solution. Pour se prémunir contre un événement exceptionnel comme celui que nous avons subi, est-on prêt à payer cinq ou dix fois plus cher nos communications ?
Nous avons observé un comportement analogue des utilisateurs lors de l'incident de givrage des caténaires de la SNCF en 1997, conduisant à une immobilisation des trains sur une grande partie du réseau. Pourquoi ne pas équiper les lignes de résistances chauffantes évitant le givrage ? La solution est techniquement possible, mais qui est prêt à payer deux ou trois fois plus cher un titre de transport pour couvrir un incident, sérieux certes, mais exceptionnel ?
Parmi les événements qui risquent de réduire la sécurité, il faut citer tous ceux que l'on ne peut imaginer au moment de la conception et qui ne se révèlent qu'au cours de l'utilisation. Nous n'avons pas assez d'imagination pour «inventer» les scénarios dangereux et prendre à temps les précautions permettant de les éviter.
Les trois moteurs du DC10 sont équipés de bouchons magnétiques qui peuvent capturer, dans le circuit de graissage, des débris métalliques pouvant provenir d'une usure intempestive des roulements. L'examen périodique de ces bouchons permet ainsi de détecter à temps une anomalie et d'y porter remède.
Que voici une disposition judicieuse, utilisée sur la plupart des moteurs mais à l'origine d'un incident très grave se soldant par la panne en vol des trois moteurs (heureusement l'avion après un vol plané depuis l'altitude de croisière jusqu'à 1000 m environ réussit à se poser sans encombre sur un terrain après remise en route ultime de l'un des trois moteurs !).
Au cours de la nuit précédant ce vol critique, les trois moteurs furent révisés et, suivant la procédure, les trois bouchons furent démontés pour expertise par le service compétent et remplacés par trois bouchons neufs. Or le magasin habituel n'ayant pas les bouchons de rechange, les mécaniciens durent s'approvisionner à un magasin auxiliaire qui leur fournit les bouchons non équipés, contrairement à l'usage, des joints assurant l'étanchéité du circuit de graissage. Ce montage défectueux sans joint se traduisit par une fuite provoquant la panne des trois moteurs en croisière, une fois épuisées les réserves d'huile de graissage.
A noter qu'à la suite de l'alarme de baisse de pression d'huile sur l'un des moteurs celui-ci fut immédiatement coupé. Mais l'alarme sur les deux autres moteurs fut interprétée par l'équipage comme une panne d'alarme, jusqu'à ce que les deux moteurs se bloquent faute de graissage. C'est le moteur coupé en premier et non endommagé qui fut ainsi remis en route pour assurer l'atterrissage en fonctionnant sur la réserve d'huile épargnée par la première manoeuvre de mise à l'arrêt !
Cet accident, comme tous les accidents, était la conséquence de nombreux événements malencontreux, révision des trois moteurs en même temps (opération exceptionnelle), absence de pièces de rechange au magasin (la révision des moteurs n'avait pas eu lieu sur le terrain habituel pour des raisons d'opportunité), fourniture de bouchons sans les joints, non prise en compte de cette absence par les mécaniciens pressés par le temps (la recherche des bouchons les avait retardés et le temps leur était compté), vérification de l'étanchéité des circuits de graissage par un essai ne permettant pas de détecter ce type de fuite faible, bien que critique, etc.
Qui aurait pu envisager un tel scénario ?
Bien entendu, une fois l'incident connu, des procédures furent mises en place pour éviter son renouvellement et la sécurité en fut renforcée, en attendant l'apparition d'un autre scénario tout aussi inimaginable a priori.
C'est là que le Retour d'Expérience montre sa nécessité pour détecter les événements imprévisibles au moment de la conception et de la première mise en service.
Notre expérience des accidents aériens nous a montré que les accidents et les incidents sont de même nature, les accidents n'étant dus qu'à une succession d'incidents bien connus et qui ont «mal tourné».
Le Retour d'Expérience consiste ainsi à analyser les incidents pour en tirer profit et non à se contenter d'analyser les accidents qui sont peut-être très instructifs mais heureusement peu nombreux ce qui en rend l'étude peu fructueuse et par ailleurs trop tardive.
Dans le cas de l'incident très grave que nous venons de décrire, il faut reconnaître que les utilisateurs du DC10 n'ont pas su tirer partie des précurseurs. En effet plusieurs incidents avaient montré que des montages de bouchons sans joints s'étaient déjà produits, sans autres conséquences que l'arrêt du moteur révisé par panne de graissage, les autres moteurs, non révisés, assurant la sécurité. Mais il n'en avait pas été tenu compte pour modifier les procédures de stockage des bouchons munis de joints ainsi que les procédures de montage comportant une vérification de la présence des joints et les procédures de vérification de l'étanchéité des circuits de graissage. Les montages erronés sans joints s'étaient révélés comme trop fréquents pour que ce type d'événement puisse être considéré comme négligeable
Le scénario de l'accident lui-même était imprévisible, mais la réduction de probabilité de panne de graissage était possible.
Assurer la sécurité c'est réduire la probabilité d'apparition d'événements qui combinés à d'autres événements peuvent conduire à la catastrophe.
A l'occasion des accidents graves de ce dernier été, nous avons pu voir dans la presse certains commentateurs mettre en doute la sécurité du transport aérien en signalant des pannes et des incidents.
«Encore une panne de moteur qui a contraint l'avion à se poser en catastrophe !». C'est le commentateur qui ajoutait le terme en catastrophe, alors que les règles de conception et d'utilisation sont justement bâties pour que la panne de moteur soit sans autre conséquence qu'un retour au terrain en priorité mais en toute sécurité.
Assurer la sécurité, ce n'est pas éviter les incidents (ce qui est impossible), mais faire en sorte que ces incidents ne conduisent à la catastrophe que dans des cas de très faible probabilité.
Quittons le domaine aéronautique pour trouver quelques autres exemples de phénomènes dangereux qui ne sont apparus qu'à l'occasion d'accidents.
- Ainsi des fuites minimes de produits chimiques circulant dans les canalisations se répandent lentement sur la laine minérale des calorifuges. L'effet catalytique des fibres et la grande surface du produit ainsi répandu et exposé à l'oxygène de l'air conduit à l'apparition de corps oxydés ou peroxydés. Leur combustion spontanée se fait alors avec dégagement de chaleur pouvant conduire à des températures de l'ordre de 700 à 800 degrés. Ce phénomène dit «punking» n'a été mis en évidence que récemment à l'occasion d'un incendie grave. Il a été ignoré pendant longtemps, bien que l'on ait constaté au cours d'opération de maintenance la dégradation des certains calorifuges, sans en comprendre l'origine ni la gravité.- Il a fallu deux ans d'études pour comprendre l'origine de la réaction secondaire qui s'était produite à Seveso et avait conduit à l'émission fâcheuse d'une dioxine dans l'environnement de l'installation. Il était donc bien difficile, pour ne pas dire impossible, de prévoir ce phénomène.
- Ce n'est qu'à la suite de l'explosion d'une seconde tour de distillation de zinc (accident de Métaleurop) que l'on put mettre en évidence l'origine du phénomène, augmentation de la viscosité du zinc liquide due à la présence d'oxyde de zinc.
- Citons enfin un accident survenu par excès de précaution. Les opérateurs d'une installation anglaise de production chimique se sont trouvés dans l'incapacité de contrôler un dysfonctionnement grave parce que plusieurs centaines d'alarmes sont apparues en même temps, ce qui interdisait toute analyse logique de la situation!
Nous posons la question à nos amis juristes. Comment juger de telles situations et déterminer des culpabilités ?
Nous venons de le voir, les techniciens intéressés par la sécurité ne travaillent que sur des événements futurs et doivent s'appuyer sur le calcul des probabilités pour prévoir le comportement des systèmes dont ils ont la charge. Cette approche n'est pas un aveu d'ignorance comme certains voudraient le faire croire, mais une approche scientifique visant à guider les décisions dans le choix des solutions de sécurité.
De son côté, la Justice, s'appuyant sur le Droit, ne travaille que sur des faits passés, a posteriori déterministes, et par là même ignore, jusqu'à présent, les probabilités. Mais ce refus de considérer la méthode probabiliste comme un outil de décision justifié, est-il valable dans toutes les situations ? Peut-on même affirmer que l'on connaît parfaitement tous les faits ?
C'est-là que nous allons dégager une deuxième forme de probabilité tournée non vers l'avenir difficilement prévisible mais vers un passé imprécis.
Lors de l'analyse d'un accident, nous ne disposons que de visions partielles des faits. Nous connaissons la situation avant l'accident (et encore !) à l'instant T0. Nous connaissons la situation après l'accident à l'instant T1. L'expertise nous renseigne en général sur l'état du système après l'accident mais les preuves et les indices peuvent se diluer ou disparaître avec le temps.
Les experts doivent alors «imaginer» la succession des événements permettant de passer de l'état au temps T0 à l'état au temps T1, en s'appuyant sur la connaissance disponible et partielle de certains états intermédiaires (enregistrements, témoignages, etc.) et en faisant «coller» ces scénarios avec ces faits.
On ne peut, en général, affirmer que la suite des événements ainsi envisagée est unique et certaine. Souvent plusieurs scénarios sont possibles, les uns plus probables que les autres, sans que l'on puisse chiffrer formellement ces probabilités.
L'expert est donc amené à rendre compte de son travail sous la forme «Tout porte à croire que l'accident est dû à telle suite d'événements, mettant en cause tels et tels acteurs ou les défaillances de tels et tels systèmes, mais il n'est pas impossible que d'autres scénarios se soient déroulés impliquant tels autres acteurs ou tels autres systèmes».
Les experts sont parfois en mesure d'estimer, plus ou moins grossièrement, les probabilités de chacun des scénarios envisagés en se reposant sur l'analyse des incidents en service. Par exemple on sait que tel événement (une erreur humaine par exemple) intervenant dans l'un des scénarios, se rencontre plus fréquemment que tel autre événement (panne d'un système par exemple) intervenant dans un autre scénario. L'expert est alors amené à donner plus de poids au premier scénario qu'au second. Mais il n'est pas question de chiffrage exact des probabilités, tout au plus d'estimation.
Que doit faire la Justice dans une telle situation où plusieurs scénarios sont possibles, impliquant des responsabilités différentes ?
La solution de facilité consiste à retenir le scénario considéré comme le plus probable.
Cette démarche n'est pas loin de la notion d'intime conviction, que la justice se refuse toutefois d'évoquer dans le cas d'un procès en correctionnel.
Or ce n'est pas parce qu'un scénario est moins probable qu'un autre qu'il faut l'éliminer du possible.
Voici un exemple d'incident, qui n'a heureusement pas dégénéré en catastrophe. C'est un scénario qu'aucun expert n'aurait osé imaginer parce que vraiment trop improbable mais dont on connaît sûrement le déroulement rapporté par l'équipage indemne.
La tour demande à l'équipage d'un biréacteur de transport de passagers de hâter le décollage en raison d'une grève imminente qui va provoquer l'occupation de la piste. Les procédures sont imparfaitement appliquées pour raccourcir les délais et le train n'est pas rentré après le décollage. Des vibrations anormales pendant la prise de vitesse alertent le copilote qui annonce au commandant de bord «le train n'est pas rentré». C'est là que se situe l'événement hautement improbable. Au lieu de réduire la vitesse et rentrer le train, le commandant éteint les deux moteurs ! Il ne peut s'agir d'une erreur de manipulation, aucun pilote ne peut confondre la commande de train et les deux commandes distinctes des moteurs, placées à des endroits éloignés de la commande de train. Un tel geste ne peut s'expliquer que par un comportement mental aberrant. Le copilote réussit à rallumer un moteur qui est immédiatement coupé à nouveau par le commandant, ce qui renforce l'idée d'aberration mentale. Enfin le copilote reprend l'avion en main, rallume les deux moteurs et ramène l'avion au sol sans autres incidents.
Si l'avion avait été détruit par un atterrissage en campagne et l'équipage tué, quel aurait pu être le scénario inventé par les enquêteurs pour expliquer l'accident ? On aurait sûrement mis en cause une défaillance «exotique» du système de propulsion rejetant l'idée d'extinctions volontaires jugées comme hautement improbable. Tout porte à croire d'ailleurs que ce scénario n'aurait même pas été envisagé.
Quelle aurait pu être la conclusion d'un tribunal chargé de cette mystérieuse affaire ?
Par ailleurs, l'erreur humaine étant fréquente, il est bien tentant de retenir les scénarios impliquant l'opérateur.
«C'est encore l'opérateur qui s'est trompé. L'accident est dû à l'erreur humaine !».
L'explication par l'erreur humaine est plus attirante, parce que plus probable, que celle fournie par une panne, rare, mais possible, et l'examen des probabilités conduit à retenir ce type de scénario.
Bien que s'en défendant, le juge est ainsi amené à raisonner en terme de probabilités, «je choisis le scénario qui semble le plus probable».
Nous voici donc, au cours du dialogue entre techniciens et magistrats, en présence de deux types de probabilités :
- les probabilités d'apparition de situations à risque que l'on peut évaluer par des études exhaustives (opérations scientifiquement valables, longues et difficiles, mais indispensables à des choix techniques rationnels).
Ce sont les probabilités de prédiction du futur reposant sur des lois de comportement des systèmes en cause mises en évidence par le retour d'expérience, c'est-à-dire l'analyse du passé.
les probabilités de vraisemblance des divers scénarios possibles expliquant la suite des événements ayant conduit à une catastrophe.
La loi du 30 Juillet 2003 introduit la notion de probabilité. Nous en extrayons le passage qui nous intéresse.
Après le deuxième alinéa de l'article L.512-1 du code de l'environnement, sont insérés trois alinéas ainsi rédigés :
«Le demandeur fournit une étude de dangers qui précise les risques auxquels l'installation peut exposer, directement ou indirectement, les intérêts visés à l'article L.511-1 en cas d'accident, que la cause soit interne ou externe à l'installation.
Cette étude donne lieu à une analyse de risques qui prend en compte la probabilité d'occurrence, la cinétique et la gravité des accidents potentiels selon une méthodologie qu'elle explicite.
Elle définit et justifie les mesures propres à réduire la probabilité et les effets de ces accidents.»
Un grand pas a été franchi, la notion de probabilité est maintenant reconnue par le Droit. Mais rien n'est dit en ce qui concerne la notion, hautement délicate, de risque acceptable avant l'accident mais non accepté après l'accident.
Que vont faire dès lors les magistrats qui auront la lourde tâche de dire le Droit dans les affaires d'accidents du type de ceux que nous venons de décrire ? La loi du 30 Juillet 2003 sera-t-elle d'un grand secours ?
Le recours aux probabilités en matière juridique n'est pas un phénomène récent. Déjà, en 1837, Siméon-Denis Poisson, le créateur de la fameuse loi de probabilité qui porte son nom, a écrit un ouvrage intitulé, «Recherches sur la Probabilité des Jugements en matière criminelle et en matière civile». Par une analyse statistique rigoureuse des jugements rendus de 1825 à 1833, il met en évidence l'influence, sur la probabilité d'une condamnation, du mode de scrutin du jury ou du nombre de juges, du type de crime (vol ou assassinat) ou de l'application de la notion, nouvelle à l'époque, de circonstances atténuantes, etc.
Soulignons par ailleurs que la notion de risque acceptable est également loin d'être récente et que son introduction dans le Droit est pour le moins tardive.
Citons le rapport à l'Académie des Sciences en date du 14 Avril 1823, sur la sécurité des Pompes à feu, c'est-à-dire les Machines à vapeur, rapport signé par Laplace, Prony, Ampère, Girard et Dupin :
«Avec les précautions que nous proposons, nous ne rendrons pas les explosions impossibles parce que la chose n'est pas au pouvoir de la science ; mais nous les rendrons rares et d'un dommage limité. Nous sommes partis de ce principe que tout moyen mécanique entraîne avec lui ses dangers, et qu'il suffit que ces dangers ne dépassent pas une chance de probabilité très faible pour qu'on doive, nonobstant leur possibilité, continuer d'employer les procédés d'industrie qui les font naître.»
Revenons au vingt et unième siècle.
Les victimes d'un accident ou l'opinion publique accepteront-elles un jugement du type «Vous avez subi un préjudice résultant de l'apparition d'un événement dont la probabilité avait été jugée, à juste titre, suffisamment faible pour être négligée. Il n'y a donc pas lieu de désigner un coupable.» ?
Citons, pour illustrer cette notion difficile de risque acceptable, un extrait d'une nouvelle «Breaking Strain, expedition to Earth» d'Arthur Clarke, membre de la Royal Astronomical Society, auteur bien connu de 2001, Odyssée de l'Espace :
Le météore qui avait détruit le réservoir d'oxygène du vaisseau spatial «Star Queen» était un géant, d'au moins un centimètre de diamètre et pesant au moins dix grammes. En se référant aux tables, le temps moyen entre deux collisions avec un tel monstre, était de l'ordre de dix puissance neuf jours, soit trois millions d'années. La certitude virtuelle qu'un tel événement ne se reproduirait pas au cours de l'histoire de l'humanité ne donnait qu'une faible consolation à l'équipage.
Pour conclure, notons la différence essentielle entre les rôles du Juge et du Technicien, illustrée par cet extrait de l'ouvrage de Jean-Noël Jeanneney, «Le passé dans le prétoire» (Editions du Seuil. Avril 1998).
Juger et comprendre, deux soucis qui paraissent se compléter et qui pourtant s'opposent souvent. Entre le juge et l'historien, telle est bien la principale ligne de fracture.
Le juge est voué à la simplicité du binaire. Au pénal l'homme est jugé coupable ou innocent; et les nuances possibles des «circonstances atténuantes» ne suffisent pas à faire échapper un magistrat à cette alternative brutale. Au civil, l'une des deux parties à tort, au regard de la législation en vigueur et de l'interprétation que l'on en fait, et l'autre a raison. Dans les deux cas la question immuable, est la suivante: «Qui est dans son droit? Et qui ne l'est pas ?».
L'Histoire, pour sa part, regimbe devant ce tête-à-tête brutal entre le juste et l'injuste, entre le sûrement oui et le certainement non. L'historien se situe dans un autre ordre que le magistrat, avec le devoir premier d'éclairer les ressorts de tous les groupes et de tous les acteurs, et non pas de les classer, rétrospectivement, à sa droite ou à sa gauche. Le juge ne peut échapper à la nécessité de prendre parti. L'historien, oui, souvent.
Certes, il ne faut pas forcer le trait. Je ne dis pas qu'il soit interdit au juge de scruter l'environnement de l'acte qu'il lui revient de qualifier et éventuellement de sanctionner. Mais au bout du compte sa mission lui impose de résister à la tentation de dissoudre la responsabilité de l'accusé dans la diversité des causes, extérieures à sa volonté, qui l'auraient conduit à tel ou tel comportement. Sinon comment ferait-il tomber son glaive?
Une autre façon d'éclairer leur différence consiste à considérer leur démarche en termes de rythmes. Non seulement celui du juge est d'ordinaire plus court (quand bien même il prend son temps, bon gré mal gré, d'une façon qui pèse aux justiciables), mais il est contraint de conclure, en un instant donné. Alors la pièce est jouée, et la cause est entendue. Tandis que l'historien remet indéfiniment son ouvrage sur le métier, et que nul de ses efforts n'aboutit jamais à l'achevé. Dès lors qu'un justiciable est mort, il sort définitivement de la scène judiciaire: la Justice ferme le dossier à jamais. L'historien continue naturellement à travailler, et même il a les mains plus libres…
Considérons l'opposition qu'on peut faire entre «l'autorité de la chose jugée» et celle que l'on attribue à une oeuvre qu'une considération généralisée salue comme magistrale et même parfois «définitive». La première expression signifie qu'une affaire est close, en principe sans retour. On n'y reviendra pas. Et la Justice est déjà passée à autre chose. La seconde formule reste toujours marquée du provisoire. Il ne s'agit jamais que d'une étape.
…..
Par quoi il apparaît que l'historien peut se contenter d'une probabilité, parce qu'une remise en cause ultérieure de ses conclusions lui semble sinon agréable, au moins légitime et finalement vraisemblable. Tandis que le juge ne peut conclure que sur une intime certitude, puisque la révision de ses décisions, théoriquement possible, échappe à son horizon.
Le technicien chargé de démêler les fils d'un accident n'est-il pas l'historien de Jean-Noël Jeanneney ?
Jean-Claude WANNER
Ingénieur Général de l'Armement,
Membre de l'Académie Nationale de l'Air et de l'Espace,
Membre du Comité Scientifique de l'IEC
