Prevention, precaution and resilience: Are they worth the cost?
Ale, B. J., Hartford, D.N. & Slater, D. H. Prevention, precaution and resilience: Are they worth the cost?, Safety Science, Volume 140, 2021, 105271.
Our opinion
Un article long et difficile dans sa version d’origine qui fait réfléchir sur une certaine vision de la différence entre « Safety 1 » et « Safety 2 », même si certaines positions ou certains raccourcis sont sans doute excessivement simplistes, voire parfois caricaturaux en ce qui concerne les apports théoriques de la résilience, ici lue uniquement dans une vision statistique étroite.
Mais cet article mérite d’être lu, même avec un esprit critique. Il reflète les opinions d’une partie de la communauté travaillant sur la fiabilité technique.
Il s’agit aussi typiquement d’un article qui pourrait être donné à commenter et débattre en Executive Master sur la sécurité industrielle.
Notre synthèse
B. J. Ale est professeur émérite de l’université technique de Delft aux Pays-Bas en « Safety Science and Disaster Management ». Expert mondial de la quantification du risque industriel et de sa prévention, auteur de dizaines d’articles et de livres, il est entre autres à l’origine de SAFETI, le système mondial de référence pour la prévention des risques pour le transport des produits chimiques.
Il existe une volumineuse littérature ‒ avec ses tenants et opposants ‒ sur l’emploi du « coût de la vie humaine (épargnée) » comme base de calcul pour assumer ou pas un risque industriel. Du côté négatif, l’idée d’une standardisation mondiale de ce coût est plutôt considérée comme mauvaise. Ce coût statistique varie selon la société, la culture et même selon le type de risque considéré. Mais pour autant, il ne faudrait pas en rejeter l’idée trop vite : le calcul des valeurs de vies épargnées dans le risque accident renvoie à la justification de l’argent que l’on doit consentir à investir pour éviter leurs pertes.
Ce calcul global de la prévention dépasse bien sûr le simple coût des vies perdues ; il intègre d’autres coûts associés, notamment ceux sur l’environnement, l’économie et l’image de l’entreprise. Mais au final, il fait partie aujourd’hui des bonnes pratiques industrielles de la prévention des accidents. On peut simplement regretter, que provisions et calculs de risques soient rarement actualisés à la même vitesse, avec à la clé des investissements souvent en retard sur le coût réel « du prochain » accident. Et de toutes façons, on reste toujours loin dans la réalité du « sans limite dans la prévention » illustré par la fameuse citation de Trevor Kletz : « If you think safety is expensive, try an accident ».
Au-delà de l’objet technique du « prix de la vie statistique épargnée », ce calcul est aussi un concept utile pour éclairer l’apport des théories qui s’opposent sur la sécurité, notamment la différence introduite par Erik Hollnagel entre « Safety 1 » (parier sur la prévention) et « Safety 2 » (parier sur la résilience). C’est l’objet de l’article.
Le discours sur la résilience a beaucoup varié dans le temps
Depuis son introduction, le label résilience a pris de multiples significations. On lit au moins deux grandes idées dans résilience :
- La première est centrée sur la capacité à éviter la perte de contrôle en situation fortement perturbée, au-delà de ce qui a été prévu en conception. L’ingénierie de la résilience mise sur l’être humain pour intervenir avant que la situation ne devienne hors de contrôle. Les systèmes résilients doivent aussi comporter une capacité « intégrée » suffisante pour permettre cette action humaine créatrice et intelligente.
- La seconde est centrée sur la capacité à récupérer après coup. Cette seconde voie accepte ‒ a priori et sans autre considération ‒ les dommages causés par un événement indésirable. Dans sa définition la plus pure, le concept accepte même que les moyens de récupération soient trouvés après coup pour éviter les coûts extrêmes de la prévention d’événements et de catastrophes rarissimes.
Résilience, robustesse et prévention : des limites plus floues qu’on ne le croît
« Résilience » et « précaution » ne sont souvent que des reformulations du même concept.
La résilience, dans son sens très général d’être capable d’absorber la survenue d’écarts avant qu’ils n’entraînent un dommage, fournit des garanties et capacités au-delà du minimum nécessaire pour faire fonctionner un système. Dans ce cas, cette forme de résilience n’est pas vraiment différente de la « précaution ». En effet la « précaution » tente de prévenir les événements indésirables en analysant les écarts potentiels par rapport à l’intention et à la conception et cherche par conception à les éviter ou du moins à en réduire la probabilité.
Qu’est-ce qui pourrait différer entre les deux concepts ?
- Pour éviter les événements indésirables, la « précaution » favorise le fonctionnement des systèmes dans le domaine prévu, certes le plus large possible pour en garantir une performance suffisante, mais en de-exposant (en interdisant) au système d’entrer en zone inconnue de fonctionnement. On s’approche ici d’une autre idée, celle de « robustesse », qui est tout aussi classiquement associée à l’approche « Safety 1 ».
- Inversement, la « résilience » viserait une capacité de récupération après un dépassement des limites de conception, donc hors du domaine prévu.
Toutefois, les limites entre « Safety 1 » et « Safety 2 », entre précaution, robustesse et résilience, restent dans la pratique le plus souvent confuses, en tout cas artificielles.
La robustesse est de plus en plus étendue à la conception et corrections successives pendant la vie du système en lien avec le REX ; la réalité et occurrence d’une conduite qui serait exigée hors domaine, tel imaginé à la conception et dans la vie réglementaire du système (la résilience), est aussi de plus en plus réduite par l’usage croissant d’une précaution consistant à arrêter le système avant d’entrer dans cette configuration (par la détection de l’approche des conditions limites, qui fait aussi partie de « Safety 1 » et de la robustesse).
Le manque de précaution/robustesse qui justifierait la résilience est surtout lié à l’échelle avec laquelle on regarde le système de risque
Chaque système particulier fait partie d’un système plus large (on parle de systèmes de systèmes). Ce sont souvent les conséquences du problème sur ce « grand » système qui sont mal anticipées par des démarches de précaution sur le système de départ et qui sollicitent la résilience.
Par exemple, les mesures correctives après une explosion industrielle impliquent les pompiers et autres services de secours. Gérer les blessés nécessite des hôpitaux, des infirmières, une solidarité de proximité, et au-delà des compétences des établissements d'enseignement/des universités pour former à tous ces métiers ; mais on peut aussi prendre en compte les dommages économiques pour la vie de tous les riverains, le besoin d’une aide sociale et d’Etat pour compenser le chômage forcé, l’aide aux commerces fermés, les peurs et l’impact sur le prix du foncier, sans oublier l’impact médical sur les écoles et bien d’autres points encore. Évidemment, tous ces systèmes périphériques collatéraux à la sécurité sont bien moins pris en compte dans la prévention du risque d’explosion et dans les crédits de dotation.
La différence entre les deux niveaux de système pris en compte est souvent que la précaution est payée par l’entreprise ou le service qui s’expose au risque, alors que la résilience doit généralement être assumée par les autres services, les impôts et usagers hors de l’entreprise.
Le choix entre précaution et résilience soulève aussi des questions éthiques
La précaution d’un système technique industriel repose sur une analyse ; et l’analyse exige de pouvoir lui associer une solution pour qu’il y ait précaution. Mais comme la très grande majorité, sinon l’ensemble, des systèmes technologiques sont conçus et assemblés par des humains, leurs défauts restent du domaine de la connaissance humaine, même si cela peut nécessiter un gros travail complémentaire et beaucoup d’argent au concepteur pour modéliser ces défauts.
Les interactions potentielles des systèmes avec d’autres sous-systèmes (le système de systèmes) peuvent par contre être plus difficiles à identifier et analyser. Toutefois, ignorer ces interactions systémiques, se focaliser sur les défaillances du seul sous-système technologique, et décider d’attendre la bonne réaction des « autres parties du grand système » sans se préoccuper d’un même niveau d’analyse et d’investissement à leur égard est probablement peu éthique.
La question de la précaution versus de la résilience pour ces systèmes complexes et intelligents renvoie donc à une dimension éthique encore plus large : combien sommes-nous prêts à protéger des vies humaines et jusqu’où sommes-nous prêts à renoncer à l’utilisation d’une technologie qui met en danger des vies humaines d’une manière imprévue ? et quelle éthique de la réponse de la résilience qui préconiserait « qu’avec la confiance… nous pouvons toujours gérer « ça » quand « ça » arrive ?
Faut-il choisir entre précaution et résilience ? Et sur quel critère ?
Le principe de précaution, tout comme la résilience déjà vue précédemment, n’est pas défini avec précision. En sécurité, la précaution maximale est souvent interprétée comme : éviter toute activité qui peut avoir des conséquences négatives, même s’il n’existe aucune preuve scientifique que des dommages peuvent effectivement en résulter. Dans un sens plus large et plus modéré, la précaution renvoie à : toute mesure qui empêche la production d’écart par rapport aux circonstances normales, souhaitées ou prédéfinies, pouvant résulter en un événement indésirable.
Dans cette logique de prévention, les vieilles méthodes comme celle du nœud papillon (bow-tie), de l’analyse d’arbre de défaillances et des analyses quantitatives de risques rendent mal compte de la complexité multi-causale des accidents, mais peuvent encore aider à prévenir les accidents. On rejette conceptuellement les approches linéaires, et on en voit toutes les limites, mais il faut quand même admettre que pour la plupart des accidents, l’analyse publiée dans le rapport final révèle finalement une séquence d’événements étonnamment simple et linéaire.
Bref, l’approche « Safety 1 » et la précaution sont encore à la base d’une bonne ingénierie de sécurité et ce serait dur de s’en passer. Mais l’approche « Safety 2 »/résilience est maintenant souvent juxta-positionnée à la démarche de précaution, comme une « nouvelle » façon de penser, un complément nécessaire pour ce qui ne serait pas prévu par « Safety 1 ».
Mais là encore, ce qui n’est prévu pas par « Safety 1 », et qui serait donc du ressort de « Safety 2 », fait débat, entre ce qui n’est pas prévisible (et donc pas payable en prévention) et ce qui est prévisible (mais qu’on ne veut pas payer, préférant miser sur « Safety 2 » et la résilience qui sont finalement bien moins chers à provisionner… mais aussi moins éthiques comme vu précédemment).
On a vu que la limite entre robustesse et résilience est souvent pointue pour traiter les situations qui sortent exceptionnellement de l’enveloppe prévue, car on peut aussi étendre très loin la robustesse et l’analyse des situations possible mêmes exceptionnelles. Même l’ajout d'une étape de récupération après un incident peut faire partie de « Safety 1 ». On peut parler de la récupération sur le site, de récupération des riverains, des hôpitaux, de l’économie régionale. Il n’y a rien d’interdit ni de règle d’arrêt dans ce que l’on peut considérer pour la récupération, mais forcément il y a un prix à payer à l’extension de la prévention et de « Safety 1 ».
Au final, on comprend que le fait qu’une stratégie de sécurité relève de la précaution, de la robustesse (donc de « Safety 1 ») ou de la résilience (donc de « Safety 2 ») ne dépende que d’une définition purement arbitraire de ce qui constitue le système de démonstration de sécurité (qui paie, qu’est ce qui est exigé, par qui). En tant que tel, les différences entre « Safety 1 » et « Safety 2 » sont souvent plus artificielles qu’on ne le croit.
On a aussi parfois un sens plus inquiétant donné à la résilience quand des auteurs poussent le concept plus loin, et soutiennent l’idée que la résilience pourrait permettre d’économiser des mesures de précaution. Jongejan et al. (2011), par exemple, défendent l’idée que se préparer à des événements de probabilité extrêmement faible ne justifie pas l’argent investi dans l’évitement de ces occurrences marginales. Dans cette optique, la prévention est remplacée par le pari de la résilience en s’appuyant par exemple sur des plans d’intervention en cas de catastrophe. Le point faible est éthique, car il raisonne sur un coût prévu des pertes où la vie humaine n’est qu’une valeur calculée matérielle parmi d’autres, alors qu’elle ne l’est pas. Ce sont des vraies personnes qui meurent… et la vie ne peut pas être restaurée ou redémarrée. Il n’y a pas de récupération (Aven et Zio, 2020).
La valeur de la vie humaine
Bien qu’il soit souvent affirmé que la valeur de la vie humaine n’a pas de prix, on a vu de nombreuses tentatives pour donner un prix sur la valeur d’une vie (VOL) et encore plus sur la valeur d’une vie statistique (VOSL).
Dans ces calculs de risques, il existe toujours un certain nombre d’hypothèses implicites.
La première est qu’il existe un marché sur lequel des vies humaines peuvent être achetées pour un prix ; et les décideurs peuvent décider si ce prix à payer est réaliste au regard de ce que l’entreprise pense retirer du marché.
Cette hypothèse implique une autre hypothèse : est-ce que les humains dont on parle sont volontaires à l’exposition au risque, acteurs de l’entreprise, ou victimes involontaires et collatérales ?
Les auteurs poursuivent par trois exemples de calcul de vie perdues, et où le choix par l’industrie a été fait finalement en faveur d’un pari sur la résilience parce cela coûtait moins cher (en arrêt, en cout de développement, en rentabilité) plutôt qu’une prévention classique.
L’explosion d’Enschede
Le 13 mai 2000, une explosion s’est produite dans un entrepôt de feux d’artifice et un centre commercial situé, depuis 1978, au milieu d’une zone densément peuplée à Enschede, aux Pays-Bas. Vingt-deux personnes ont été tuées et il y a eu 900 blessés. Le dommage matériel a été évalué à environ 500 M€. Si l’on valorise la vie à 6 millions d’euros ‒ un chiffre moyen usuel dans les pays industrialisés ‒ et qu’on attribue la moitié de cette valeur à une vie perdue accidentellement, le coût des vies perdues dans cet accident est de 66 M€, soit seulement 13 % du coût total de l’accident. Pourtant, à l’époque les coûts de prévention de l’accident avaient été jugés trop grands. En 1998, la société a changé de mains pour 1,2 M€ sans investir réellement sur la prévention. L’opportunité du maintien de l’activité industrielle à cet endroit était déjà douteuse. L’entreprise n’avait obtenu qu’une licence temporaire, valable un an, qui a malheureusement été par la suite continuellement prolongée pendant 22 ans jusqu'à l’accident. On a donc vécu sur la seule idée de résilience.
B737 Max
L’avion de ligne Boeing 737 Max a été impliqué dans deux accidents : Vol Lion Air 610 le 29 octobre 2018 et vol Ethiopian Airlines 302 le 10 mars 2019. Dans ces deux accidents, 346 personnes ont perdu la vie.
En janvier 2020, les coûts directs et indirects des deux accidents pour Boeing étaient estimés (provisoirement) à 18 milliards US $, soit 52 US $ millions/vie perdue. Ces coûts comprenaient une compensation aux compagnies aériennes et aux familles des victimes, à l’impact économique et la couverture des frais juridiques.
Si on se place avant l’accident dans l’optique de la prévention, en prenant à nouveau le chiffre de 3 M€ pour un décès accidentel, la valeur estimée des vies perdues par deux accidents s’élevait à 1 milliard d’euros, soit 5,5 % du coût final total du préjudice réel. Mais avec cet investissement en prévention, les erreurs du B737 Max auraient pu être corrigées si l’entreprise avait suivi les principes « Safety 1 » sur les points de défaillance potentiellement catastrophiques dont ils connaissaient l’existence, mais ils ont préféré les régler en s’appuyant plutôt sur une démarche « Safety 2 » et en se reposant sur la compétence des pilotes pour résoudre les problèmes identifiés.
Deepwater Horizon
Les coûts de l’accident de Deepwater Horizon en 2010 ont été estimés à 65 USD milliards en 2018. Ceux-ci sont surtout liés aux coûts écologiques du nettoyage du golfe du Mexique. Au moins 4 USD milliards peuvent être directement attribués aux victimes, dans ce cas d’homicide involontaire coupable. C’est 6 % du coût total réel de l’accident. Dans l’accident, 11 personnes ont perdu la vie, entraînant un coût par vie de 364 USD millions. Si à nouveau des vies perdues accidentellement sont valorisées à 3 M USD, le coût des vies épargnées aurait une valeur de 33 M USD, ce qui représente 0,05 % des coûts de la catastrophe. Comme dans le cas précédent, une approche de précaution retardant les actions prévues avec un provisionnement de 33M USD sur le champ pétrolifère, pour prendre des décisions prudentes de « no go » ou de procédures amendées ‒ dans l’esprit de « Safety 1 » ‒ aurait coûté à l’entreprise bien moins que l’accident.
Conclusions
On reconnaitra que les entreprises impliquées dans presque tous les accidents précédents sont toujours en vie, parfois sous un nom différent. Par conséquent, l’observation de Gulijk (2012) est toujours d’actualité : les grandes multinationales sont capables d’absorber des quantités incroyables de dommages financiers suite à des catastrophes avant que les marchés boursiers ne réagissent et ne les condamnent. C’est en partie dû à la complexité du marché financier moderne où les risques peuvent être vendus, ou transférés facilement de l’entité opérationnelle à une autre entité. Les marchés boursiers font finalement peu de cas de la perte de vie en valorisant les entreprises.
Lorsque l’on ne compte que par « vie statistique perdue », le calcul de la vie se révèle n’être qu’une marchandise qui peut facilement en rendre acceptable le risque de perte. Les considérations éthiques ne semblent pas s’inscrire dans le cadre de la gestion des risques d’entreprise, où les catastrophes mortelles sont simplement le coût pôur faire des affaires ou comme Herbst et al. (1996) le dit : « Certains voudraient appeler le marché cynique, tandis que d’autres le qualifieraient de réaliste ».
Vivre sans risque est impossible. À cet effet, des discussions sur l’acceptabilité des technologies dangereuses se poursuivront ; tout comme la discussion sur le montant que la société est prête à dépenser pour réduire le risque associé. Et parce qu’il n'y a aucune base réelle pour toute estimation de la valeur d’une vie statistique, les valeurs employées dans les analyses coût-bénéfice ne semblent donc servir qu’à dissimuler le fait que la décision est prise pour des motifs autres que celle d’éviter la perte de vies humaines, voire même que ce dommage potentiel aux humains n’a même pas été envisagé. Le sens strict souvent donné à la résilience, comme tout miser sur un plan de rétablissement et gérer les conséquences, ne serait alors qu’une autre étape dans le cynisme à considérer l’économie comme prioritaire sur les personnes.