Il est 18h18. Lorsque la cathédrale Notre-Dame de Paris a pris feu, son système de détection de fumée très coûteux a correctement détecté un principe d’incendie. Pourtant, les pompiers n’ont été contactés qu’une demi-heure plus tard, alors que les flammes s’étaient déjà propagées le long de la charpente de bois de la cathédrale. Que s’est-il passé pendant cette demi-heure ? Le délai entre la détection des premières flammes et l’appel aux pompiers n’est pas un problème technique, si l’on considère que seul le fonctionnement matériel du système d’alarme incendie est technique : détecteur de fumée, mesure de la température, dispositifs électroniques, unité de contrôle. Le système qui était installé dans la cathédrale, qui a nécessité six ans de travail d’une équipe de plusieurs dizaines de personnes, était un système de détection de fumée à haute sensibilité (HSSD), le plus perfectionné disponible sur le marché. Il a également fonctionné parfaitement ce 15 avril, bien que les plans de sécurité aient sous-estimé la vitesse à laquelle les flammes se sont propagées. En revanche, si nous considérons plutôt comme « système » l’ensemble des processus qui, de la détection mènent à l’intervention, alors la question n’est pas seulement technique, car elle concerne les conditions d’utilisation du détecteur et la manière dont les sujets humains réagissent à la détection : la question est technique au sens large. Lorsque nous parlons de « système de lutte contre l’incendie », nous n’entendons pas un ensemble de fils et de transistors mais une grande machine constituée de procédures strictes et de marges d’action humaine, et c’est là qu’un problème essentiellement (mais pas techniquement) technique est apparu.

Lorsque nous parlons de« système de lutte contre l’incendie », nous n’entendons pas un ensemble de fils et de transistors mais une grande machine constituée de procédures strictes et de marges d’action humaine, et c’est là qu’un problème essentiellement (mais pas techniquement) technique est apparu.

Raffaele Alberto Ventura

Beaucoup de choses restent à vérifier, mais certaines sont déjà connues. L’incendie se déclare dans la charpente de la cathédrale, la « forêt » du XIIIe siècle, peut-être à cause de l’échafaudage installé quelques mois plus tôt pour effectuer les travaux de restauration, ou à cause des cloches, électrifiées. Lorsqu’à 18h18 l’agent de sécurité est alerté par le système d’alarme incendie, l’interface lui fournit une série d’informations difficiles à interpréter : la première est une description approximative, même si exacte, de la zone de l’incendie (« combles nef sacristie ») basée sur la subdivision de l’ensemble du complexe en quatre très grandes zones ; la seconde est un code alphanumérique (« ZDA-110-3-15-1 ») associé à l’un des 160 détecteurs de fumée de la cathédrale. Croyant, peut-être à tort, que les premières informations indiquaient que le problème était limité à la sacristie (la description pourrait être interprétée ingénument comme « combles de la nef de la sacristie »), la réaction du préposé est d’envoyer un garde pour vérifier dans la sacristie plutôt que dans les combles de la structure principale : ne trouvant manifestement aucun principe d’incendie à cet endroit, pendant quelques dizaines de minutes le préposé semble être convaincu qu’il ne s’agit que d’une erreur du système ; en bref, fausse alerte. Entre temps cependant, il a essayé de contacter son supérieur, sans succès ; une demi-heure plus tard seulement, il rappelle et celui-ci, comprenant peut-être l’erreur, lui ordonne rapidement d’appeler les pompiers. Mais il est trop tard : des photos du toit en feu de Notre-Dame commencent à apparaître sur Twitter. Le feu durera jusqu’à quatre heures du matin, malgré les efforts des pompiers pour l’apprivoiser.

Le site Agenda Digitale résume ainsi le paradoxe : « Des années de travail pour générer un message d’alarme incompréhensible ». En fait, non seulement les trois termes « combles », « nef » et « sacristie » appartiennent au vocabulaire spécifique de l’architecture ecclésiastique (et les agents de sécurité sont rarement des historiens de l’art), mais aussi, les deux premiers sont d’une imprécision exquise : les « combles  » peuvent indiquer n’importe quelle espace sous le toit de la cathédrale entière et Notre-Dame a jusqu’à cinq nefs, une nef principale et quatre nefs latérales. Il n’y a heureusement qu’une seule sacristie, mais comme elle est située à l’extérieur du corps central on peut se demander selon quelle logique elle a été incluse dans la même zone que les précédentes. Il est clair que ce n’était pas cette information très vague dont le préposé alors sur place avait besoin, mais le code alphanumérique du détecteur. Mais c’est là que le deuxième problème se pose. La personne chargée de surveiller le tableau d’alarme incendie et d’appeler éventuellement les pompiers, employée par une société de sécurité extérieure, travaillait à Notre-Dame depuis… trois jours.

La logique de la sous-traitance intervient souvent dans des situations d’accident, pour des raisons compréhensibles.

Raffaele Alberto Ventura

La logique de la sous-traitance intervient souvent dans des situations d’accident, pour des raisons compréhensibles. Comme indiqué dans un rapport de la Commission européenne en 2015 (« Accidents majeurs impliquant des contractants ») sur le cas spécifique de l’industrie pétrochimique, l’externalisation augmente les risques car elle limite l’accès à l’information. Dans le cas de Notre-Dame, cette logique a été poussée à l’extrême : l’organisation de la sécurité sur le site a été répartie entre trois acteurs différents : c’est peu dire que la coordination était  mauvaise .

Tout d’abord, il y avait l’opérateur chargé de la surveillance de la centrale incendie, employé par la société privée Elytis ; ensuite, il y avait un agent (bénévole) au service du diocèse, chargé d’effectuer des contrôles sur place pour le compte du diocèse ; enfin, il y avait un employé du ministère de la Culture qui, s’il est alerté par les précédents, est chargé de vérifier la validité de l’alarme. Après l’incendie, Elytis a également publié un communiqué indiquant qu’à partir de 2016, les opérateurs du panel de sécurité, qui devaient être au nombre de deux, avaient été réduits à un seul, en raison de problèmes budgétaires. Il ne fait aucun doute que la présence de deux personnes, ayant une expérience plus ou moins longue, aurait considérablement réduit le risque d’accident et était probablement prévue dans le protocole initial : pour la même raison, les avions de ligne ont toujours deux pilotes, afin que l’un veille sur l’autre. Mais même avec un seul opérateur, une combinaison considérable de facteurs est nécessaire pour qu’un tel accident se produise. Ajoutons donc un peu plus : lorsque l’incendie se déclare, la garde de huit heures de l’officier de contrôle vient de se terminer, mais personne ne vient le remplacer. La question de la rotation des équipes est également récurrente en cas d’accident, il suffit de penser à ce qui s’est passé à la centrale nucléaire V.I. Lenin de Tchernobyl dans la nuit du 26 avril 1986, peu après l’arrivée du personnel de nuit. De plus, à Notre-Dame, comme nous l’avons vu, son patron a été indisponible pendant au moins vingt minutes. Un historien de l’art aurait peut-être compris que l’information « combles nef sacristie » n’était pas suffisante à identifier une zone précise, mais il est rare que les agences de sécurité embauchent leurs employés parmi les historiens de l’art. En bref, la variable humaine sur laquelle reposait toute la procédure était un individu inexpérimenté, mal formé et probablement fatigué, confronté à une interface opaque.

En bref, la variable humaine sur laquelle reposait toute la procédure était un individu inexpérimenté, mal formé et probablement fatigué, confronté à une interface opaque.

Raffaele Alberto Ventura

Cela suffit-il pour conclure qu’il s’agissait alors d’une erreur non technique mais humaine ? C’est précisément sur ce point qu’il est important d’insister : la question des êtres humains qui vont effectivement interagir avec la technologie est une question technique. La question de la lisibilité des interfaces est une question technique. Empêcher qu’une erreur de communication ne se transforme en catastrophe est une question technique. D’autant plus que nous savons comment va le monde, dans l’Ouest capitaliste comme à Tchernobyl : le personnel n’est pas toujours aussi compétent qu’il devrait l’être, car la compétence coûte de l’argent, et encore moins lorsqu’il s’agit de s’orienter dans une cathédrale médiévale.

Pour pouvoir lire l’interface, l’opérateur devait connaître le code d’interprétation ou savoir sur quel support (un écran ? une carte ? un manuel ?) aller vérifier la séquence ZDA-110-3-15-1. Pour utiliser le vocabulaire de la théorie de l’information, on peut dire que le message de la machine à l’homme ou de la source (le système) au récepteur (l’opérateur) a été correctement délivré par le canal (l’écran du système), mais n’a pas été déchiffré. L’employé n’avait pas été suffisamment formé pour maîtriser le code, ce qui lui aurait permis d’interagir sans erreur avec la machine. Dans ces cas-là, les experts en sécurité prescrivent une augmentation du degré de redondance du message, de sorte que même si le signal est confus pour certains éléments, la possibilité que d’autres éléments atteignent leur destination reste élevée. C’est le principe selon lequel dans les communications radio, souvent perturbées, les mots sont répétés au moins deux fois. Dans le cas du système d’alarme incendie, le code ZDA-110-3-15-1 n’est absolument pas redondant : il suffit de confondre un numéro avec un autre pour se retrouver au mauvais endroit.

Aux États-Unis, le désastre de Notre-Dame n’aurait pas pu se produire, car les sites stratégiques sont équipés de systèmes de lutte contre les incendies qui contactent automatiquement les services de secours.

Raffaele Alberto Ventura

Prendre pour acquis que les choses se dérouleront sans problème dans la réalité comme dans une simulation – comme si les hommes eux-mêmes se comportaient comme des machines – est la plus grande erreur que peuvent commettre ceux qui conçoivent un système de sécurité. Selon les normes, ces systèmes doivent être « à l’épreuve de l’erreur humaine » par le morcellement des tâches pour minimiser la marge d’autonomie en dehors du flux rigide des procédures et des opérations déterminées en amont. Aux États-Unis, par exemple, le désastre de Notre-Dame n’aurait pas pu se produire, car les sites stratégiques sont équipés de systèmes de lutte contre les incendies qui contactent automatiquement les services de secours.

Pourtant cette solution technique apparemment idéale est limitée par la nécessité d’intervenir parfois en dehors de la procédure, par exemple en arrêtant la machine pour l’empêcher de commettre une erreur. La plupart des études sur la sécurité et la sociologie de l’erreur s’accordent à dire qu’une automatisation complète des processus ou des procédures n’est pas possible. Dans le deuxième volume de sa trilogie sur les décisions absurdes, le sociologue Christian Morel cite les débats qui ont eu lieu dans l’aéronautique civile sur le risque associé aux procédures trop rigides : d’une part, elles peuvent apporter une sécurité excessive dans des conditions incertaines, par exemple lorsqu’un pilote doit se poser sur une piste mouillée sans possibilité de prévoir le taux de frottement au sol, ou créer une surcharge de procédures qui limite la capacité d’adaptation du personnel navigant. Morel conclut que « l’idée abstraite que la sécurité implique le strict respect des règles se heurte de front à la nécessité concrète de les enfreindre, produit un véritable casse-tête pour toutes les considérations de sécurité. Ceux qui adhèrent au respect total des procédures soutiennent que tout devrait être réglementé et contraindre à respecter strictement les règles. Pour leur part, les sociologues de terrain soulignent que les opérateurs ne peuvent pas travailler sans enfreindre les règles. La contradiction est souvent résolue par la dissimulation des transgressions sur le terrain ».

Pour comprendre comment l’automatisation peut produire des risques il n’est pas nécessaire de plonger dans la science-fiction (voyez HAL 9000 dans 2001 : l’Odyssée de l’espace ou le réseau Skynet dans Terminator) : il suffit de penser au problème que poserait pour chaque site touristique une technologie d’incendie particulièrement sensible, qui lancerait une alerte à chaque signe de fumée. La société Elytis avait déjà dénoncé le problème lié au système de lutte contre l’incendie de la cathédrale, hautement perfectionné et sensible, qui a été activé sans raison. Le problème est avant tout économique : il est inconcevable que, pour chaque détection d’un incendie potentiel, les pompiers soient appelés automatiquement, car ils sont déjà sous pression pour un grand nombre d’urgences (dont, selon les estimations de leur fédération française, environ la moitié sont des fausses alertes à Paris). De nombreuses études et manuels sont consacrés au problème de la prévention des fausses alertes, un autre domaine d’expertise qui engendre de nouveaux coûts. L’un d’entre eux (« A guide to reducing the number of false alarms from fire-detection and fire-alarm systems ») estime le coût global à un milliard par an pour l’ensemble du Royaume-Uni.

Prendre pour acquis que les choses se dérouleront sans problème dans la réalité comme dans une simulation – comme si les hommes eux-mêmes se comportaient comme des machines – est la plus grande erreur que peuvent commettre ceux qui conçoivent un système de sécurité.

RAffaele Alberto Ventura

Il y a objectivement beaucoup de petits maillons dysfonctionnels dans la chaîne de la catastrophe de Notre-Dame : si l’inflammabilité du bois avait été correctement estimée, la procédure de sécurité aurait été meilleure ; si l’interface utilisateur du système d’alarme avait été mieux conçue, il aurait été plus facile de prendre des décisions ; si l’agent de sécurité avait été plus expérimenté, il aurait compris d’où venait l’alarme en interprétant correctement les éléments fournis par l’interface ; si son responsable avait été disponible, et probablement pas occupé à régler les problèmes des autres clients, il l’aurait aidé… Nous avons affaire à un « défaut de compétence » qui ne devient catastrophique que parce que le système suppose une compétence, c’est-à-dire qu’il suppose plus de compétence que celle qui est disponible. Au fond, tous ces dysfonctionnements peuvent être résumés en catégories plus générales : même les experts ne sont pas capables de prévoir tout ce qui pourrait mal tourner (comme la vitesse de combustion des poutres en bois du XIIIe siècle) et, de toute façon, nous ne sommes pas économiquement en mesure de garantir un degré idéal de compétence – comme un doctorat en histoire de l’architecture pour chaque agent de sécurité d’un site construit à l’époque médiévale – pour servir l’ensemble des machines et des procédures que nous sommes capables de concevoir en théorie.

Le mot du futurologue Robert Jungk revient ici à l’esprit : « Considéré d’un point de vue purement technique, l’être humain est un échec ». L’alternative est sèche : soit le système laisse moins d’autonomie à l’être humain, le transformant en pur opérateur, soit l’être humain pour être plus autonome devrait aussi être plus compétent, donc professionnalisé. Dans les deux cas, ces options ont un coût supplémentaire : d’une part le coût de toutes les interventions d’urgence inutiles (faux positifs) qu’une machine non supervisée provoque, d’autre part le coût de toute la formation du personnel nécessaire pour la rendre réellement autonome. Aucune de ces deux options – automatisation complète ou professionnalisation complète – n’est économiquement viable à grande échelle. C’est pourquoi la règle de la gestion de la sécurité consiste en une solution intermédiaire : des technologies de sécurité faillibles qui laissent la place à des êtres humains faillibles. Une solution optimale compte tenu des conditions réelles – nous ne pouvons pas dépenser des sommes astronomiques pour nous protéger contre tous les risques – mais qui produit des catastrophes occasionnelles, certainement plus que si nous disposions de systèmes de lutte contre les incendies entièrement automatisés, qui appellent les pompiers au moindre changement de température (mais génèrent ainsi de nouveaux risques ailleurs) ou d’agents de sécurité entièrement professionnalisés, à plein temps, bien rémunérés, ayant de solides études derrière eux et une formation méticuleuse sur le lieu de travail. Mais si l’on veut rêver, pourquoi ne pas imaginer aussi un copilote pour chaque agent de sécurité, comme dans les avions de ligne, voire 160 caméras haute définition et un tableau de bord de contrôle avec quelques 160 écrans ? Ce serait splendide, mais il est clair qu’il ne s’agit pas de trouver des solutions théoriquement valables, mais de trouver des solutions réalisables.

Il est clair qu’il ne s’agit pas de trouver des solutions théoriquement valables, mais de trouver des solutions réalisables.

Raffaele Alberto Ventura

L’incendie de Notre-Dame est un accident et il serait injuste d’en tirer des conclusions trop générales. Mais il reste paradoxal que, dans l’histoire millénaire de la cathédrale, les dommages les plus graves se soient produits précisément au moment où le système de sécurité considéré comme le plus avancé de l’histoire de l’humanité a été installé. Trois facteurs généraux rendent particulièrement « risquée » la situation dans laquelle se trouve Notre-Dame lorsqu’elle prend feu. La première est la présence du système de sécurité lui-même, qui tend à rendre l’être humain irresponsable, d’autant qu’il est considéré comme infaillible. La seconde est la condition de« stress » à laquelle est soumis un monument visité par dix millions de touristes par an, environ trente mille personnes par jour, avec cinq fonctions quotidiennes, entièrement éclairé, chauffé, électrifié jusqu’aux cloches, au milieu de la charpente en bois, sous-traité à différentes entreprises pour les différentes fonctions : sécurité, entretien, accueil. Cela multiplie évidemment les risques – court-circuit, surchauffe, vandalisme, négligence, terrorisme, etc. – même si, il faut le rappeler, tout cela se produit dans le cadre d’une gestion des flux certainement optimale par rapport à l’alternative (évidemment absurde) de laisser entrer dix millions de visiteurs avec une bougie à la main. Mais il y a encore un troisième facteur de risque et c’est la relative rareté des ressources face aux dépenses croissantes pour gérer le site : comme l’ont rapporté de nombreux experts et historiens de l’art avant et après l’accident, les 456 millions d’euros alloués annuellement à la restauration et à l’entretien du patrimoine historique français ne suffisent pas à sécuriser l’ensemble des monuments du territoire, pour un total de 290 000 objets et 44 000 bâtiments, selon la reconstitution du Figaro. Le recours à des agences de sécurité extérieures, capables de réduire les coûts, n’est qu’une des formes sous lesquelles se manifeste la rareté des moyens. Et chaque fois que nous déplaçons des ressources pour renforcer la sécurité d’un site, nous les soustrayons à la sécurité de tous les autres.

Ces trois facteurs de risque généraux se retrouvent partout et sont, en effet, caractéristiques de notre civilisation : entourés de machines et de procédures, nous avons tendance à nous convaincre que tout ira bien parce que tout est conçu de manière optimale, en sous-estimant à la fois l’incertitude structurelle et les transformations qui pourraient rendre nos prévisions obsolètes ; en outre, nous nous trouvons confrontés à des situations techniquement de plus en plus complexes, semblables à d’énormes cathédrales gothiques : avions avec des centaines de passagers, réseaux routiers, centrales nucléaires, économies nationales de plus en plus interdépendantes, réseaux bancaires, grands territoires traversés par des tensions et des risques sanitaires, etc. Aujourd’hui, nous sommes de moins en moins sûrs de pouvoir financer la maintenance de ces systèmes pour répondre aux exigences avec lesquelles ils ont été conçus : matériaux de qualité, temps optimal pour effectuer les opérations, personnel compétent et motivé. Une bonne règle empirique – surtout pour une société qui, aux temps du COVID-19, ne peut être sûre de pouvoir garantir à tout moment et indéfiniment les conditions dont elle bénéficiait à un stade particulier de son développement – serait de concevoir des systèmes capables de résister à tout choc économique éventuel. Les portes automatiques sont peut-être pratiques, mais une panne de courant suffit à les rendre inutiles. Et quand nous aurons câblé toutes les églises médiévales d’Europe avec des fils électriques, encore faudra-il pouvoir financer des gardes de sécurité pour surveiller les incendies.

Crédits
Cet article a été publié dans le quotidien italien Il Foglio.