UNIVERSITE DE PARIS I - PANTHEON-SORBONNE IUFR DE PHILOSOPHIE 2009

Transcription

1 UNIVERSITE DE PARIS I - PANTHEON-SORBONNE IUFR DE PHILOSOPHIE 2009 THESE pour l obtention du grade de docteur en sociologie présentée et soutenue publiquement par Christine Fassert le 28 septembre 2009 La transparence dans les organisations à risque : Une approche ethnographique dans le contrôle de la navigation aérienne JURY DIRECTEURS DE RECHERCHE Alain Gras, Professeur à l Université Paris 1 Panthéon Sorbonne, directeur de la thèse Sophie Poirot-Delpech, Maître de conférences à l Université Paris 1 Panthéon Sorbonne, co-directeur de la thèse Benoit Journé, Professeur des universités à l université du Maine Alain Desrosières, Administrateur de l INSEE Nadine Pilon, Responsable des études prospectives, Eurocontrol.

2

3 A Emile, qui veut piloter des avions lorsqu il sera grand, et à Iris qui veut bien sûr imiter son grand frère, A Laurent, leur père, qui sait leur expliquer comment vole un avion, laissant à leur mère, qui n est que sociologue, la question du sens de tout cela

4

5 Remerciements Cette thèse n aurait jamais commencé sans Nadine Pilon, qui a accepté, au sein d Eurocontrol, de financer un sujet «sensible», et qui m a ensuite maintenu sa confiance tout au long de ces années, Mais cette thèse n aurait jamais été terminée sans Laurence Raineau et Marina Maestrutti. Elles ont eu l élégance et la bonté, deux qualités chérissables entre toutes, de toujours faire «comme si» je viendrai à bout de ce travail, entre consulting, biberons, totottes, ce qui joua pour bonne part à la réalisation de cette prophétie. Leur amitié me fut infiniment précieuse tout au long de ces années. Laurence relut de nombreuses parties de ce travail et me prodigua des encouragements et des commentaires indispensables. Autre relectrice et amie, Eve Lamendour s attela à la tâche avec enthousiasme et rigueur. Dans la rubrique amitié, je salue bien sûr mes amies des «facteurs humains», Nathalie de Beler, Caroline Chabrol, Deirdre Bonnini, et Carine Hebrau, et nos joyeux diners de filles, ainsi que Ludovic Moulin, avec lequel le «TRM» fut une belle aventure. Merci aussi à Cyril Barriquault pour nos discussions passionnantes. Esthela Gonzalez Herrera, mon amie philosophe rencontrée en DEA, rendit moins aride un long été de travail à la bibliothèque nationale, grâce à nos pauses mémorables et phénoménologiques au Starbuck du coin. Plus récemment, je remercie Nicolas Fota, m aidant à rassembler des informations sur les subtilités institutionnelles de l aéronautique, et Yves Descourvières qui me proposa son aide à un moment où une main tendue est si importante. Alain Gras, mon directeur, avec lequel je suis souvent jamais d accord, (sur les Facteurs Humains, la décroissance, ou la douceur de la vie au Moyen âge, ) et dont le caractère un peu soupe au lait me terrorisa parfois, m accorda sa confiance et sut être là aux moments clefs, impatient mais chaleureux. Sophie Poirot Delpech m encouragea au début de ce travail, fut une compagne de «terrain» formidable à Malte, pleine de sollicitude lorsque je terminai mon séjour à l hôpital. Le CETCOPRA constitua un environnement de travail fort convivial, avec une mention toute particulière pour les encouragements bienveillants de Caroline Moricot et de Valérie Souffron. J ai suivi avec passion le séminaire de Louis Quéré et d Albert Ogien, qui m a ouvert les yeux sur le domaine fascinant de la confiance, ainsi que le lumineux séminaire de Cyril Lemieux sur le secret. Les cours de Ian Hacking au Collège de France furent aussi un grand moment de plaisir d apprendre. Le Collège de France est ouvert à tous, mais est-il beaucoup d industries «à risque» qui accepteraient d ouvrir leurs portes à une recherche ethnographique sur la sécurité et la transparence? Je remercie infiniment les personnes qui furent mes contacts sur place à travers l Europe : Maurizio Scholtze, «PP», Anthony Seychell, Billy Joseffson, Jean Yves Le

6 Luduec et Jean Pierre Kerleroux, mais aussi tous les contrôleurs et autres acteurs pour leur accueil chaleureux. Côté français, je remercie également Thierry Delord, pour un entretien particulièrement captivant, Daniel Jousse, pour toutes nos discussions, ainsi qu Alain Printemps, et ses encouragements précieux lorsque j ai présenté ce travail dans des versions initiales. A l ENAC, Roland Lafon et Sophie N Guyen m ont demandé de présenter une partie de ce travail dans le cadre la formation continue des ingénieurs de la maintenance, et m ont permis de clarifier ainsi certains éléments avec un auditoire attentif et ouvert. Une pensée particulière pour Emmanuel Delbarre, que je remercie infiniment pour les heures qu il m a consacré dans le cadre de ce travail. Chef du bureau AIRPROX à l époque de l enquête, et représentant français au SISG, il est très présent dans cette thèse, à la hauteur de son enthousiasme et de sa haute idée de la sécurité aérienne. Parmi les «eurocontroliens», je remercie Tzetomir Blajev, chairman du SISG, de m avoir acceptée dans la «grande famille de la sécurité aérienne» en train de se construire. A Brétigny, je remercie tous ceux qui ont accueilli ce travail avec intérêt et sans parano sur les possibles «fuites journalistiques» : Martine Blaize, Max Bezzina, Gilles Gawinovski, Laurent Guichard et Sandrine Guibert. Jour après jour, j ai pu apprécier le personnel efficace et patient de la bibliothèque de la Maison des Sciences de l Homme. Et je dois un immense merci à Mila Ferreira de Carvalho qui veillait pendant ce temps sur mes enfants avec efficacité et tendresse, ainsi qu aux amis d Issy et à ma belle-famille, si présents pendant le «sprint final» de la rédaction. Jour après jour, j ai pu compter sur l appui sans faille et sur l aide de Laurent, que je remercie avec Amour.

7 Sommaire INTRODUCTION Introduction générale Plan de la thèse Partie I : Cadrage théorique Chapitre 1 : bref panorama de la transparence Introduction et plan Une notion «molle»? Une constellation sémantique Transparence et démocratie : un lien solide Systèmes politiques et transparence La critique de la transparence La rhétorique de la transparence Conclusion Chapitre 2 : l enjeu de la transparence dans les organisations à risque Introduction Le «secret structurel» d une organisation : l exemple de la NASA L'organisation générative de Westrum : une transparence idéale? Les Macro Systèmes Techniques : La limite de l auto transparence Perrow : l accident normal Les HRO : la transparence pour retrouver la confiance Conclusion : quels usages de la notion de transparence dans les organisations à risque? Conclusion générale... 94

8 Partie II : l enquête de terrain Chapitre 3 : introduction à l enquete de terrain et au domaine de la navigation aérienne Introduction Le contrôle de la navigation aérienne en quelques mots Le contexte politique et institutionnel Les enquêtes de terrain Chapitre 4 : LA COMPARAISON DE QUATRE CENTRES DE CONTROLE aérien EN EUROPE Les carnets : pourquoi? Les données et leur variabilité L Italie La Suède Malte La France Conclusion générale Chapitre 5 : des échanges européens : Le Safety improvement Sub Group Introduction ESARR 2 : la transparence sur les incidents Les premières réunions du «Safety Group» Les carnets ethnographiques du Safety Group Chapitre 6 : Synthèse et conclusion Happy end? «Discuter l indiscutable» Des incidents aux catégories La classification de la gravité des incidents En guise de récapitulation : qui comprend mes chiffres?

9 Partie III : Les organisations à risque entre transparence et confiance Chapitre 7 : Les indicateurs : au service de la transparence? Introduction Des indicateurs et de leur usage La critique des indicateurs Conclusion Chapitre 8 : Le rôle de la transparence dans la confiance Introduction Une relecture de la confiance à partir de la transparence Trust et confidence Quelle place pour le «cognitif»? Mériter la confiance : la trustworthiness Quel «bilan» pour la transparence dans la construction de la confiance? Conclusion générale Les partis pris de la thèse La technique au service de la transparence? Transparence et confiance Mesurer la sécurité? Bibliographie et références Bibliographie Autres références

10

11 P a g e 11 INTRODUCTION INTRODUCTION INTRODUCTION

12 12 P a g e 1. INTRODUCTION GENERALE Novembre Il est jeune, il est beau, il va sans doute être élu Président des Etats Unis Le Monde du «Qui est, au fond, Barack Obama?», se demande un journaliste qui l'a accompagné pendant dix-huit mois de sa campagne. «La personne qu'il a l'air d'être», résume l'un de ses anciens étudiants. ( ) Barack Obama veut rétablir la crédibilité de la fonction. Mettre fin à ce qu'il appelle les «mensonges mous» : «l'esquive, la manipulation». Après les présidences de Bill Clinton et George Bush, l'amérique souffre d'une crise morale. C'est aussi à cette crise-là qu'il espère s'attaquer. Corinne Lesnes La transparence est un terme utilisé de façon pléthorique dans nos démocraties contemporaines : «plus de transparence» semble être un mot d ordre qui traverse de nombreux domaines : finances, santé publique, prises de décision dans le domaine politique. Dans les industries à risque, le terme est également largement convoqué, et peu questionné, tant il paraît aller de soi A l occasion de certaines crises qui ont généré la défiance des citoyens ordinaires, l injonction de transparence est fréquente, et elle est souvent évoquée comme une solution : désormais, davantage de transparence, promet-on, ou exige-t-on. Cette exigence peut se traduire en termes juridiques. Un exemple récent nous est fourni par la loi 1 sur la transparence nucléaire qui stipule l'obligation pour tout exploitant d une installation nucléaire d établir chaque année un rapport, exposant en particulier les incidents et les accidents en matière de sûreté et de radioprotection. Ce rapport est rendu public et il est transmis à la commission locale d information et au Haut Comité pour la transparence et l information sur la sécurité nucléaire. Mais cette loi, pour vertueuse qu elle paraisse en première instance, provoque déjà quelques effets pervers sur lesquels nous reviendrons : la sécurité ne se suffit pas de bonnes intentions. Le monde de l aéronautique n échappe pas à cette demande de transparence. Dans le domaine du contrôle de la navigation aérienne, cette demande s inscrit dans un contexte de profond changement organisationnel, qui organise et rend possible la surveillance, par une autorité séparée, du fournisseur de service. La séparation des «fournisseurs de service de contrôle de la navigation aérienne» et des «autorités de contrôle et de réglementation» est 1 Article 21 de la loi relative à la transparence et à la sécurité en matière nucléaire (dite loi TSN) du 13 Juin 2006.

13 P a g e 13 désormais effective en Europe. Des règlements définissent ce qui est désormais rendu contrôlable et soumis à des audits. La sécurité, qui est, comme le rappelle Jean Claude Coulardot, 2 la raison d être d un service de contrôle de la navigation aérienne, devient aussi un objet à examiner et à contrôler. Dans ce contexte, la notion de transparence sera largement convoquée : le fonctionnement global des fournisseurs de service doit être surveillé, et dans une large mesure, rendu transparent aux autorités de surveillance, que celles-ci soient nationales ou Européenne. Eurocontrol, l organisation européenne pour la sécurité aérienne, a élaboré une série d Exigences de Sécurité Réglementaires (les ESARRs). Parmi celles-ci, l ESARR 2 établit l obligation, pour les fournisseurs de service de contrôle de la navigation aérienne, de notifier leurs incidents et d'évaluer leur gravité. Cette demande s insère dans le développement de pratiques dites de «retour d expérience» : il s agit d apprendre de ses propres incidents, mais aussi, grâce aux informations communiquées sur les incidents, d apprendre les uns des autres. Mais ce règlement présente également un autre enjeu : le suivi du nombre d incidents afin de permettre une évaluation de la sécurité. Le travail présenté ici s appuie sur une étude empirique et se veut une contribution à une approche sociologique de la transparence. Il s agit en quelque sorte de mettre à l épreuve cette «notion molle 3» (Lequesne), en examinant les significations qu elle peut prendre dans une situation concrète. Dans la situation particulière que nous avons explorée, les enjeux peuvent être problématisés en termes de transparence et on peut ainsi opérer un va-et-vient entre l univers de la notion (avec des notions qui lui sont associées, telles que : contrôle, pouvoir, défiance/confiance, etc.) et les questions qui se posent concrètement pour les acteurs des organisations à risque. En examinant comment des acteurs d un monde technique, en charge du contrôle de la navigation aérienne, convoquent le terme de transparence dans le domaine de la sécurité, en comparant les sens qui sont donnés à ce terme, en étudiant aussi le rôle des systèmes techniques dans cette «mise en transparence», nous tentons d apporter une petite pierre à l édifice d une sociologie des organisations et d une socio-anthropologie des «univers à risque». Il ne s agit donc pas de proposer ici une «sociologie de la transparence de la sécurité dans le domaine du contrôle aérien». L ambition est davantage d enrichir la notion générale de la transparence à partir d un terrain qui lui donne substance. Il s agira, notamment, de faire tenir ensemble deux questionnements : en quoi la demande et la mise en œuvre de la transparence dans les organisations à risque est l une des manifestations d un phénomène plus global que l on pourrait appeler «la demande de transparence dans nos sociétés actuelles» et en quoi la transparence dans les organisations à risque pose aussi une problématique singulière, avec des questions qui lui sont propres. 2 Bulletin sécurité. Circulation aérienne. Service du Contrôle du Trafic Aérien. DGAC. N Christian Lequesne. La transparence, vice ou vertu des démocraties, Actes du colloque organisé par le CEDORE (Nice) sur La transparence dans l'union européenne. Mythe ou principe juridique? (p. 11).

14 14 P a g e Une première partie permet d explorer l usage du terme de transparence, dont nous verrons qu il est essentiellement médiatique et politique, et qu il est rarement conceptualisé. En effet, la «transparence» est souvent réclamée de façon quasi incantatoire : dans ces cas, le contenu mais aussi les conséquences de cette transparence semblent aller de soi, elles font figure d évidence. Ces injonctions quelque peu melliflues s accordent bien à un certain flou. La transparence est alors à la fois valeur morale, et solution toute trouvée. L usage métaphorique est souvent pris à son propre piège : à force d aller de soi, la référence à la transparence est aussi faussement consensuelle car elle ne pose pas les enjeux et les difficultés qui sont pourtant constitutives de cette notion. Certes, une «critique» de la notion de transparence s est élaborée. Il s agit cependant, presque toujours, de dénoncer des modalités particulières de la transparence. D abord, la transparence comme s opposant à l intimité ou au secret personnel (par opposition au secret d état). Dans ce cas, on fustige une certaine forme d exposition de la vie privée encouragée par les média (jeux télévisés du type de la série LOFT, envahissement d une littérature dite d auto fiction ), ou encore l exposition grandissante de la vie privée des hommes politiques par exemple. Un second axe de la critique s intéresse à la transparence lorsqu elle ressort du développement du contrôle de l état sur les individus. Dans cette lecture, une large place est faite à l analyse des nouveaux outils développés sur la base de technologies de l information toujours plus puissantes. Il s agit le plus souvent d une littérature dénonciatrice, attachée à débusquer le spectre de Big Brother, mais également, dans une optique plus foucaldienne, d autres travaux sont dédiés à l analyse fine des mécanismes de pouvoir de l Etat sur les individus. Cependant, pour vivaces que soient ces réflexions critiques, elles sont cependant loin d épuiser les questions afférentes à une notion si fréquemment évoquée. Ainsi, il n existe pas à notre connaissance de travaux étudiant la portée et le sens de «la transparence» dans une situation concrète, dans laquelle se trouvent enchevêtrés des acteurs, des institutions, des objets techniques. C est pourquoi on se propose justement, dans ce travail, d opérationnaliser 4, de concrétiser cette notion. Il nous semble en effet, dans la lignée des travaux en socio anthropologie dans laquelle nous nous inscrivons, que c est à l épreuve d une situation réelle que le sens d un terme peut se clarifier, s enrichir, et peut être, poser de nouvelles questions qui n avaient pas pu être formulées dans les analyses purement discursives de la notion. Nous pensons que seul ce détour par une situation de terrain permet de clarifier la notion afin de participer en retour à une réflexion critique et théorique de la transparence. La critique classique de la transparence méconnaît en outre un autre aspect de cette notion, qui est pourtant central dans les usages politiques du terme. La demande de transparence est liée au devoir, pour l institution qui s y soumet, de rendre des comptes. Cette idée est très présente 4 Ce terme est emprunté à la psychologie expérimentale. Opérationnaliser une variable, dans un plan expérimental, c est élaborer un dispositif qui rende concret le concept que l on cherche à appréhender.

15 P a g e 15 dans l une des traductions possibles du terme de transparence, l accountability. Rendre compte est un processus central des démocraties occidentales. Dans les organisations à risque particulièrement, cette notion reste convocable et pertinente. La notion de «rendre compte» excéderait en quelque sorte le seul «contrôle» auquel il est souvent associé. Les critiques de la transparence qui réduisent la transparence à ce seul contrôle méconnaissent la dimension «éthico-civique 5» de la transparence. Dans ce cas, la transparence est un processus actif (du contrôlé vers le contrôleur) et non un processus passif. L hypothèse que nous proposons en effet, est que la transparence est la réponse partielle, et «hyper rationnalisante», ce qui en constitue une limite, donnée à une question symbolique : comment les acteurs des industries à risque peuvent-ils «répondre de», être «accountable» de leurs actes, et, parfois, des catastrophes qui surviennent. Notre étude de terrain appréhende les enjeux de la transparence à travers deux enquêtes. La première consiste en une comparaison de quatre centres de contrôle aérien en Europe quant à la visibilité donnée aux incidents, au sein et en dehors de l organisation. La seconde s est basée sur le suivi de réunions entre des acteurs d un groupe d échanges et d harmonisation de la sécurité aérienne au niveau Européen. Ces deux enquêtes permettent d explorer différentes facettes de la question de la transparence sur les risques dans le contrôle de la navigation aérienne. Aborder concrètement la notion de transparence passera également par l analyse d un système technique élaboré peu ou prou comme outil de la transparence. Cet outil, dont le nom signifie qu il est (un) système de surveillance de la sécurité de la gestion de la navigation aérienne» sera le plus souvent abrégé en ASMT, l anagramme sous lequel il est communément désigné sur la base de son nom Anglais (ATM Safety Monitoring Tool). L objectif affiché par l organisation qui l a développé était clairement d assurer plus de transparence sur les incidents survenant dans les centres de contrôle. Il s agissait de rendre visibles des incidents qui pouvaient rester cachés, ou non révélés. Il est clair que l analyse de cet outil ne pouvait avoir de pertinence que réinséré dans le contexte global dans lequel il apparaît : le développement d une autorité de surveillance et d une commission d examen des performances du contrôle de la navigation aérienne au niveau européen. L usage d indicateurs se développe dans de nombreux domaines : ils sont souvent conçus comme des façons d outiller la transparence réclamée sur des activités à contrôler. A partir de débats sur la conception d un indicateur de sécurité, un examen critique de la conception et de l usage des indicateurs sera proposé. Il s agit enfin de participer à l élucidation des rapports entre transparence et confiance. Le sens commun fait un lien entre ces deux notions. Instaurer ou restaurer la confiance semble bien souvent, être l une des visées plus ou moins explicites de la transparence. Ainsi, un des principaux théoriciens des «High Reliability organisations», 5 Sylvie Trosa et Bernard Perret, «Vers une nouvelle gouvernance publique? La nouvelle loi budgétaire, la culture administrative et les pratiques décisionnelles», Esprit, n 312, février 2005.

16 16 P a g e La Porte, propose la notion de légitimité soutenable : pour maintenir sa légitimité sur la durée, pour être «digne de confiance», une organisation hautement fiable 6 doit, notamment, instaurer une forme de transparence envers le public, les autorités qui la contrôlent, et les parties adverses le cas échéant. Le présent travail se situe dans une continuation critique des travaux de La Porte : quel rôle exact la transparence joue-t-elle dans la construction de la confiance? Quelles sont les limites d une théorie de la confiance qui se réfère aux aspects essentiellement cognitifs, rationnels, de la confiance? Explorer les différentes théorisations de la notion de confiance nous permettra de défendre une vision dans laquelle «le geste de confiance repose sur des opérations cognitives ( ) mais il n est pas lui-même de nature cognitive» 7» (Quéré). 6 Une organisation hautement fiable est une organisation fiable en dépit de ses activités potentiellement risquées, selon le courant des HRO, («High Reliability Organisations»), développé par l école de Berkeley aux Etats Unis. Une présentation complète de ce courant est proposée dans le chapitre 2 de la première partie. 7 Louis Quéré, La structure cognitive et normative de la confiance, in La confiance, Réseaux, Vol. 19, N 108, (p.135).

17 P a g e PLAN DE LA THESE Ce travail est présenté en trois grandes parties, plus la présente introduction générale et une conclusion générale. La première Partie constitue le cadrage théorique de ce travail. Un premier chapitre présente un «bref panorama de la transparence». Il s agit de montrer comment la notion est évoquée par différents points de vue (notamment : politique, juridique) en se restreignant cependant aux aspects les plus utiles pour la problématique étudiée. Un second chapitre explore plus précisément la façon dont la question de la transparence est abordée dans les industries à risque, à travers l analyse de travaux théoriques dans le domaine. La seconde Partie présente l enquête de terrain. Un premier chapitre (chapitre trois de la thèse) présente le contexte et donne quelques clefs sur le domaine de l étude empirique, indispensables pour la lecture des chapitres suivants. Le chapitre 4 propose une étude ethnographique comparative dans quatre centres de contrôle de trafic aérien en Europe. Le chapitre 5 relate une étude complémentaire concernant le suivi d un groupe d échanges sur la sécurité au niveau européen, (Le Safety Improvement Sub Group). Un dernier chapitre (chapitre 6) propose une synthèse des réflexions que l on peut tirer de cette enquête. La troisième partie ouvre, à partir des problématiques identifiées, une réflexion théorique sur deux questions centrales afférentes à la transparence dans les organisations à risque. Le chapitre 7 étudie les questions liées aux indicateurs. Le chapitre 8 aborde de façon centrale une question qui aura «gravité» tout au long de ce travail : le lien entre les notions de transparence et de confiance.

18 18 P a g e

19 P a g e 19 PARTIE I CADRAGE THEORIQUE

20 20 P a g e

21 P a g e 21 PARTIE I : CADRAGE THEORIQUE CHAPITRE 1 : BREF PANORAMA DE LA TRANSPARENCE

22 22 P a g e 1. INTRODUCTION ET PLAN La revue théorique qui est proposée dans cette première partie ne prétend pas proposer un tableau exhaustif des significations et des usages du terme de transparence. Il s agit encore moins d écrire une histoire du concept en repérant sur un temps long les termes qui lui sont apparentés : par exemple, pour évoquer les mécanismes de contre-pouvoir nécessaires au fonctionnement d une démocratie, Benjamin Constant utilise le terme de publicité. L objet de cette thèse, en effet, n est pas d élaborer une «théorie» générale du concept de transparence. Le tableau dressé dans cette première partie cherche bien plus modestement à replacer la transparence dans un contexte plus général. Il s attache à rappeler quelques unes des questions théorisées par les politologues, les sociologues, les juristes. Cette tentative de mise en perspective générale a pour seul objectif de mieux circonscrire l usage de ce terme dans les industries à risque, domaine dans lequel le terme est largement convoqué, et peu questionné. Il s agira en effet dans la seconde partie de cette thèse d examiner en quoi la notion de transparence, lorsqu elle est utilisée dans les industries à risque, s inscrit dans cet univers de sens multiples déjà identifiés, mais aussi en quoi elle va développer son originalité et ses questions propres. Explorer les usages de la notion de transparence permet d'en dégager les principales significations ; nous avons ainsi tenté de structurer les différents sens tels qu ils apparaissent dans les discours et les écrits.). Comme toute classification, celle-ci a son arbitraire et ses limites. Nous avons ainsi renoncé à opposer un usage profane du terme (dans la presse, par exemple) à un usage savant, académique : impossible de déceler des différences notables Au delà de la classification, ce qui frappe est plutôt l absence de définition explicite tant la «transparence» semble frappée du sceau de l évidence, d une forme de quasi naturalité. Ce chapitre entend donc participer à la déconstruction de la notion de transparence, tant il semble que l invocation pléthorique du terme et ses nombreuses connotations obscurcissent désormais la perception des enjeux qui sont, dans la plupart des cas, loin d être anodins dès lors que la transparence est invoquée.

23 P a g e UNE NOTION «MOLLE 8»? LA VOGUE DE LA TRANSPARENCE Commençons par le plus familier et le plus immédiat : la vogue de la notion de transparence, l emploi pléthorique du terme depuis presque deux décennies. Il est rare que plusieurs jours ne se passent sans qu un journal ne présente au moins un titre comportant le terme «transparence», ou qu un chroniqueur à la radio ne l évoque. Que survienne une «crise», un événement dramatique, et l occurrence du terme explose. Cette impression sans doute largement partagée par la plupart des lecteurs de journaux, des auditeurs, et des téléspectateurs, peut être corroborée par des travaux de recherche. Ainsi, Grossman, Lucques et Muniesa 9 ont analysé les occurrences du terme de transparence dans un corpus de littérature en sciences sociales. Ils notent une forte augmentation du thème dans les années 90, ce qui confirme leur intuition initiale, à savoir que l explosion de la notion de transparence est un phénomène «récent et substantiel». Ils détaillent la courbe d'usage du terme : une forte augmentation depuis le début des années 90, une apogée dans le milieu des années 90, puis une légère descente à un niveau plus bas, tout en restant plus haut que dans les années précédentes. La transparence ne se limite cependant pas aux discours, aux injonctions. Elle envahit le champ juridique, institutionnel, avec des «lois sur la transparence» et des références nombreuses dans des textes (Traité de Maastricht par exemple). Elle devient également une valeur en soi, un critère d évaluation majeur pour juger une politique publique, une nouvelle institution. Ce caractère polymorphe de la notion sera abordé comme une dimension constitutive de la transparence, la «vogue» du terme faisant en quelque sorte partie de la labilité de sa définition, que nous allons aborder maintenant. QUELLES DEFINITIONS? Le Robert propose en première définition : «la qualité de ce qui laisse paraître la réalité toute entière, de ce qui exprime la vérité sans l altérer». Il note ensuite la «transparence d un texte, dont le sens est littéral, non ambigu», et enfin : «le caractère de ce qui est visible par tous, public (en matière économique)». Cette définition permet d identifier quelques caractéristiques du mot, et une première ambiguïté : la transparence est à la fois «ce qui laisse 8 Christian Lequesne. «La transparence, vice ou vertu des démocraties», in Joël Rideau (dir.), La transparence dans l'union européenne, Mythe ou principe juridique?, Paris, Librairie Générale de Droit et de Jurisprudence, Emiliano Grossman, Emilio Luque, Fabian Muniesa, Economies through transparency, Papiers de recherche du CSI, n 3, 2006.

24 24 P a g e voir à travers (autre chose)» et «ce qui est transparent (la chose elle-même)», c est-à-dire intelligible. Dans le domaine de l architecture, Rowe et Slutzki 10 distinguent la transparence littérale (on peut voir à travers l outil) et la transparence phénoménale (ou abstraite) qui réorganise la représentation afin que les traits de l acteur ou de l objet soient aisément transportés et traités. La transparence phénoménale est donc une transparence voulue, en quelque sorte «construite», par opposition à une transparence littérale qui «laisserait voir». Cette distinction recoupe partiellement, en l enrichissant, la distinction établie dans Le Robert. Nous reviendrons en temps utile sur les sens identifiés ici. Il est cependant, en premier lieu, déterminant de noter que ce mot n est presque jamais défini par ceux qui l utilisent. Cette «injonction de transparence» à tout va provoque, on le verra plus loin, une forme certaine d agacement et le développement d une critique qui s émeut d un usage idéologique de la transparence 11 (Libaert). Pour Lequesne, au contraire, elle est une de ces «notions molles 12» (comme subsidiarité ou évaluation par exemple), dont la polysémie permet à chaque citoyen d'y trouver des connotations positives ; cette plasticité permet justement une application au cas par cas, une marge de liberté dont nos démocraties sont friandes. Une autre caractéristique majeure pour la compréhension du terme de «transparence» est bien sûr sa richesse connotative. Ces connotations (de pureté, de moralité, de vertu, d immédiateté, d intelligibilité) sont toutes essentielles et seront abordées au fil de la réflexion proposée ici. Nous utiliserons parfois l expression «transparence dans son sens littéral» lorsque nous voudrons insister sur le sens plus simple de «mise en visibilité». L ANGLE DE LA TRADUCTION Etant donné que ce travail s inscrit dans une perspective comparatiste, avec une étude de terrain menée dans plusieurs pays d Europe, il est intéressant d examiner comment peut se traduire le terme de «transparence», et s il dépasse les frontières de l hexagone. La traduction offre de surcroît ceci de passionnant qu elle rend manifestes les connotations d un mot, soit que celui ci soit difficile à traduire dans une autre langue, soit qu il ne corresponde que partiellement à d autres mots lorsqu il est utilisé comme traduction d une notion venant d une langue étrangère. La notion de transparence est traduite en anglais par «transparency». Transparency.org est d ailleurs, on y reviendra, le nom d une organisation non gouvernementale toute entière 10 Cité dans : Emiliano Grossman, Emilio Luque, Fabian Muniesa, Economies through transparency, Papiers de recherche du CSI, n 3, Thierry Libaert. La transparence en trompe l œil. Ed. Charles Leopold Meyer Christian Lequesne. La transparence, vice ou vertu des démocraties, Actes du colloque organisé par le CEDORE (Nice) sur La transparence dans l'union européenne. Mythe ou principe juridique? (p. 11).

25 P a g e 25 dévouée au combat contre la corruption. Mais un autre mot de la langue anglaise est parfois traduit aussi par «transparence», il s agit de l accountability, pour lequel il n existe pas de traduction littérale en Français. La Suisse et le Canada parlent de redevabilité, on le traduit aussi parfois par «responsabilité». L accountability est littéralement : «le fait de rendre des comptes». L OCDE le définit comme l «obligation de rendre compte de façon claire et impartiale sur les résultats et la performance, au regard du mandat et/ou des objectifs fixés». Le «Vocabulaire Européen des philosophes» donne des précisions importantes : account peut être employé au sens de «compter» (de l argent) mais aussi de «rendre compte» et de «rendre des comptes». Le day of account désigne d ailleurs le jugement dernier. Lorsque Locke utilise le mot «account», Coste le traduit par «responsable» alors que Balibar le traduit par «comptable» de ses actions 13. Plusieurs choses sont ici à noter : les recoupements sémantiques entre transparence, responsabilité, «accountability» et la difficulté de traduire des termes qui, sous des dehors techniques, ont des dimensions symboliques très fortes. Le «account» de «accountability» ne renvoie pas seulement à la fourniture de comptes financiers, comme on le comprend parfois, puisque «account» est chargé du sens que lui confère sa signification religieuse : rendre compte de tous ses actes dans le jugement dernier, à Dieu, dans la religion protestante. Ainsi, Trosa et Perret qui analysent la notion d accountability qui est liée selon eux à la mise en place de la Loi Organique sur les Lois de Finance (LOFT 14 ) résument bien ce qu ils nomment les significations «ethico-civiques» du terme, et précisent : «c est tout autant une disposition, un devoir accepté et assumé qu une obligation légale 15». Dans le chapitre suivant, consacré à la notion de transparence dans les organisations dites «à risque», nous verrons comment La Porte fait de l accountability et d une certaine transparence, des conditions de la trustworthiness d une organisation qui présente des risques pour la population. La trustworthiness est littéralement : le caractère de ce qui est digne de confiance, de ce qui mérite la confiance. La transparence est donc aussi vertu, une connotation essentielle dont on examinera plus loin quelques conséquences aussi bien pour l utilisation du terme en général, que lorsqu on aborde des questions pourtant a priori aussi techniques que des données liées à la sécurité dans le monde aéronautique. 13 Balibar dans la traduction proposée dans «identité et différence». in B. Cassin, Le Vocabulaire européen des philosophes. 14 Instaurée en Août 2001, la LOFT instaure un changement profond dans les relations entre le politique et l administratif. Il s agit de s engager dans la voie de la gestion par programme, proposée par le New Public Management. Les auteurs expliquent : «au lieu d être agrégées et votées par ministères et par nature économique et juridique, les dépenses seront désormais regroupées en missions, programmes, et actions, assortis d objectifs et d indicateurs de performance». Trosa Sylvie et Perret Bernard. Vers une nouvelle gouvernance publique? la nouvelle loi budgétaire, la culture administrative et les pratiques décisionnelles. ESPRIT. N 312, février (p. 66). 15 Ibid. (p 83).

26 26 P a g e 3. UNE CONSTELLATION SEMANTIQUE QUEL EST LE CONTRAIRE DE LA TRANSPARENCE? Si l on se propose, pour aller plus loin, d explorer un peu la constellation sémantique 16 au cœur de laquelle on trouve le terme de transparence, une première étape peut consister à examiner ses contraires. La transparence s oppose ainsi à l opacité, mais également au secret. Ces deux notions partagent un certain nombre d images : images du mensonge, de la dissimulation, de la malhonnêteté, parfois de la honte. Si nous prenons un exemple très moderne et proche de l objet de cette thèse, Robert Bell 17, qui analyse une série de grands projets industriels ayant tourné en immenses gâchis, fait du secret l un des «sept péchés capitaux» qui caractérisent les histoires de ces ratages. La complexité engendre une difficulté à maîtriser des problèmes, qui se lient aussi à des manœuvres de dissimulation volontaire, et parfois à des actes malhonnêtes qui viennent noircir encore des situations qui deviennent opaques et non contrôlables. Mais si l opacité a presque toujours une connotation largement négative, le secret est quant à lui plus ambigu. Il est lié, comme l opacité, à la dissimulation, au mensonge. Mais il est aussi, comme le dit Jean-Denis Bredin : «la face noble de l opacité 18». A un niveau psychologique, le secret est indissociable du Sujet : pas d intériorité sans la possibilité de secret. Mais l homme public en est parfois privé. Certains secrets sont également institutionnalisés et ancrés dans la vie publique : secrets de l instruction, du délibéré dans le domaine juridique, mais aussi secret industriel, secret médical Le secret est donc dans certains cas non pas toléré mais recherché et protégé au nom de justifications qui en dessinent, bien évidemment un contour mouvant. Ainsi, le secret médical est levé en cas de sévices sur mineurs. En France, le secret défense s est vu un peu entamé ces dernières années, et bien sûr le secret administratif s est trouvé fort attaqué au nom de l intérêt des citoyens. Certains juristes avaient stigmatisé selon l expression de Carcassonne 19, le «secret maladif» de l Etat Français. En ne se limitant pas au secret institutionnalisé, Simmel entreprend dans Secret et sociétés secrètes une analyse du sens que prend le secret dans toute relation entre les humains. Il souligne d abord son caractère constant : La large négativité éthique du secret ne doit pas nous induire en erreur sur ce point : car c est une forme sociologique universelle, qui recouvre de façon tout à fait neutre la valeur de ses contenus 20. Simmel voit dans le secret un sorte d universel anthropologique : dans toute société, dit-il, il y a du visible et du caché. Il formule 16 Cette expression de Gilles Deleuze nous a été suggérée par Sophie Poirot-Delpech. 17 Robert Bell. Les sept péchés capitaux de la haute technologie.seuil Jean-Denis Bredin. Secret, Transparence et démocratie. Transparence et secret. POUVOIRS, N 97, Seuil. (p.5) 19 Guy Carcassonne. Le trouble de la transparence. Transparence et secret. POUVOIRS, N 97, Seuil. (p.18) 20 Georg Simmel. Secret et Sociétés secrètes. Circé (p.41)

27 P a g e 27 en outre l'hypothèse d'un quantum de secret dans toutes les sociétés, qui ne ferait que se déplacer sur des contenus différents mais qui resterait constant. La coexistence des hommes, dans des circonstances par ailleurs égales, aurait besoin d une certaine part de secret, celui-ci changeant seulement d objet, abandonnant ceci pour s emparer de cela, et dans cet échange son quantum resterait inchangé 21. Le secret serait donc un besoin, il serait lien, l objet du secret n étant peut être que secondaire. Explorer ce qui s oppose à la notion de transparence, tenter d identifier les contraires de la transparence permet d en souligner une caractéristique essentielle. En effet, en s opposant donc à la fois au secret et à l opacité, la notion de transparence révèle une de ses premières ambiguïtés. Elle se fait, dans ses grandes lignes, vertu en s opposant à la dissimulation et au mensonge, et danger en s opposant à l intimité et à l intériorité. Nous verrons que l injonction de transparence et, comme en miroir, sa condamnation souffrent presque toujours d une occultation de l une de ces deux dimensions présentes dans la notion de transparence. Cette tension se retrouvera bien sûr lorsque sera abordé le cas concret de la transparence dans les organisations à risque, et la transparence réclamée par les autorités de réglementation et de surveillance au nom de la sécurité. RETROUVER LA «TRANSPARENCE PERDUE» Dans «La transparence et l obstacle», Starobinski montre comment toute l œuvre de Rousseau est traversée par le thème de la «transparence perdue». Le temps de l histoire est celui d un obscurcissement progressif, il est perte progressive de la transparence originelle. La transparence originelle est à la fois transparence des premiers âges de l humanité et transparence innocente de l enfance. Là où ont triomphé, dans la société comme dans le cœur de l homme le mensonge et le règne de l apparence, il faut donc retrouver la transparence originelle du cœur pur de l enfant, de la communication des âmes. Starobinski analyse la restauration de cette transparence comme un projet unificateur qui traverse toute l œuvre de Rousseau, dans la réforme morale personnelle, dans l éducation avec l Emile, et enfin, dans la formation politique avec le contrat social. Mais cette transparence perdue est essentiellement travail intérieur. «La transparence ancienne résultait de la présence naïve des hommes sous le regard des dieux, la nouvelle transparence est un rapport intérieur au moi, une relation de soi à soi. Elle se réalise dans la limpidité du regard sur soi-même, qui permet à Jean Jacques de se peindre tel qu il est 22». On peut lire dans cette entreprise Rousseauiste de réalisation personnelle et sociale de la transparence quelques-uns des thèmes qui seront abordés dans ce chapitre. En premier lieu, la correspondance entre ce qu on appellerait, dans une formulation plus moderne, la 21 Ibid. (p.47) 22 Jean Starobinski. Jean Jacques Rousseau : La transparence et l obstacle. Gallimard (p.32)

28 28 P a g e transparence communicationnelle, l exposition de soi et la transparence du corps social. Ensuite le lien à la vérité : la transparence est vérité de soi, vérité des rapports entre les hommes, avènement d une communication parfaite, sans mensonge. Et enfin le lien à la vertu : la transparence permet aux âmes de se retrouver, d en finir avec la dissimulation et les apparences d une vie sociale et de ses hypocrisies que Jean-Jacques abhorre. LA TRANSPARENCE COMME AVENEMENT LES IDEAUX DE LA MODERNITE Cependant, dans les discours actuels sur la transparence, cette référence Rousseauiste à un passé perdu, à une transparence originelle qu il conviendrait de retrouver est absente. Ce qui est au contraire très prégnant dans certaines manifestations du terme, c est plutôt un discours de rupture avec un passé d opacité, et l appel à la transparence comme progrès. De façon plus générale, la notion de transparence est liée à la modernité, si l on résume la modernité au triomphe de la raison et de la vérité sur les obscurantismes et les superstitions du passé, et à l émancipation de l Homme sur les croyances qui le soumettaient. La transparence renvoie dans ce cas à la raison, à l intelligibilité, au fantasme d une société «transparence à elle même». Dans La société Transparente 23, le philosophe italien Vattimo analyse : «Les idéaux sociaux de la modernité peuvent être décrits comme guidés par l'utopie d'une Auto transparence absolue 24». Cet idéal, constate Vattimo, est d'ailleurs très présent dans les pensées d'auteurs tels qu'habermas ou d'apel car, dans les théories communicationnelles, c'est bien une «transparence complète de la communication» qui est visée. Giddens tempère cette vision d une société qui se voudrait transparente à elle-même. Certes, les processus de réflexivité sont au cœur de la modernité. Notre monde, explique Giddens, est structuré par l application réflexive de ce savoir qui modifie toutes nos actions. Mais, dans le même temps, dans la modernité «radicalisée», le statut du savoir a changé, il n est plus stable : «Aucune connaissance dans le contexte de la modernité n est connaissance au sens ancien du terme dans lequel le fait de «savoir» doit être certain 25». Ce qui implique que : «nous vivons dans un monde entièrement structuré par l application réflexive du savoir, mais où en même temps, nous ne pouvons jamais être sûrs que tel ou tel élément de savoir ne sera pas remis en cause 26». Nous allons voir dans le paragraphe suivant comment la transparence est notamment liée à la notion de vérité, avec l idée d un «réel» qu il suffirait de dévoiler. Ce 23 Gianni Vattimo, The Transparent Society. The John Hopkins University Press. Baltimore Ibid.(P 30). 25 Giddens Anthony, Les conséquences de la modernité, Paris, Théorie sociale contemporaine, L Harmattan, (p 46) 26 Ibid. (p. 46).

29 P a g e 29 discours lie la transparence à une «épistémologie réaliste 27», alors même que les fondements de ce réalisme sont bien sûr discutables. Cette question sera réexaminée dans le cas concret du discours sur la transparence «des incidents» et de «la sécurité» dans les organisations à risque, et on pourra ainsi réfléchir aux sens et à la limite de l injonction de transparence. INTERNET ET LA TRANSPARENCE C est bien un discours d avènement de la transparence qui sous-tend les idéaux de la modernité mais aussi le «culte d internet 28», tel que décrit par Philippe Breton, qui analyse comment cet idéal d'auto-transparence est développé et porté par la rhétorique qui entoure Internet. Il analyse d'abord le glissement qui s'opère entre information et vérité : l'information devient «le but ultime à atteindre». La transparence devient la traduction immédiate de ce culte de l'information 29. Dans les discours des grands enthousiastes d'internet stigmatisés par Breton, «la société mondiale de l'information peut se définir comme un monde ainsi transparent à lui-même qui ferait enfin reculer la violence et constituerait l'idéal ultime de la civilisation 30». En outre, pour Breton, si le culte de la transparence s'enracine dans le culte de l'information, il s'autonomise de plus en plus. Il devient fin et non moyen, pour reprendre les termes de notre introduction. La transparence tend alors dangereusement à s'ériger comme valeur en soi. Selon Breton, c'est exactement ce culte de la transparence qui se matérialise dans l expérience de la maison de verre, une expérience menée dans l'ohio. Dans cette expérience, cinq amis montrent leur vie privée au monde des internautes, grâce à des webcams qui les filment en permanence et diffusent ces images sur le réseau. Breton note que la question de la finalité d un tel projet n est même pas questionnée, tant il est évident qu il ne s agit de rien d autre que de la mise en œuvre, concrète, de l idéal de transparence, dès lors érigée en élément de foi 31. Il semblerait que l information montrée n ait aucun sens, ce qui importerait c est le processus de montrer la transparence mise en œuvre. On rejoint ainsi l idée d une notion de transparence qui glisserait vers une fin, qui deviendrait valeur en tant que telle. Cette caractéristique se retrouvera dans d autres manifestations de la transparence et sera plus longuement discutée dans la suite de ce chapitre. 27 Je remercie M. John Law de m avoir indiqué cette formule lors d une discussion informelle très enrichissante. 28 Philippe Breton., Le culte de l'internet : une menace pour le lien social? La Découverte Dans ses recherches précédentes, Breton avait analysé en quoi le paradigme informationnel est caractéristique de la modernité, et comment ce paradigme avait remplacé d autres pôles de la Parole tels que l argumentatif et le sensible. 30 Ibid. (p.48) 31 Ibid. (p. 57).

30 30 P a g e L ARCHITECTURE L architecture contemporaine, ou plus exactement le discours sur l architecture, reflète quelques-unes de ces visions de la modernité. La transparence comme expression d une société parfaite se manifeste aussi dans l architecture. L architecte Bruno Taut réalise en 1914 un pavillon de verre dans le cadre de l exposition du Deutscher werkbund de Cologne. Il rêve de cathédrales de verre accrochées aux montagnes, d une religion socialiste et d un temple de cristal. Paul Sheebart, dans un livre dédié à Bruno Taut imagine une société future «où tout serait construit en verre, les maisons comme les bateaux, afin de promouvoir un mode de vie débarrassé de tous les oripeaux inutiles de la société bourgeoise 32». L EXPLOSION DE L AUDIT Comme dernier exemple de l envahissement de la notion de transparence dans notre société moderne, nous pouvons évoquer rapidement ce que Michael Power a stigmatisé sous le nom de «société de l audit 33» dans son ouvrage éponyme. L idée de contrôles toujours plus détaillés, d audits, le développement d indicateurs chiffrés font désormais partie du paysage administratif et politique de nos sociétés «avancées». Nous ne détaillerons pas ici ces processus, largement analysés dans une partie conclusive qui traite de l usage des indicateurs (Partie III). Rappelons simplement pour l heure que «la transparence» va être là aussi convoquée comme finalité suprême (assurer la transparence sur ) et devenir une valeur au nom de laquelle sont mises en place des procédures et des pratiques de contrôles dont on commence à entrevoir des effets parfois peu souhaitables. LA TRANSPARENCE ET LA CONFIANCE La dernière «planète» de notre constellation n est pas la moindre. On peut aisément soutenir en effet que toute théorie de la confiance accorde, plus ou moins explicitement, un rôle à la connaissance, au savoir. Les théories dites cognitives accordent un rôle primordial à ce savoir, tandis que les théories dites morales lui accordent un rôle bien plus limité, et surtout différent. (Ogien et Quéré 34 ). En ce sens, toute théorie de la confiance contient d une façon ou d une autre une théorie du rôle de la «transparence» dans la mesure où la transparence est, condition d une forme de connaissance. Nous tenterons ainsi, dans cette thèse, de renverser l angle d analyse des théories de la confiance en les examinant du point de vue du statut 32 Paul Sheebart. L architecture de verre. Cité dans : Antoine Picon, «Maisons de verre» in Dictionnaire des utopies, Larousse, (p.136) 33 Michael Power. La société de l audit. La Découverte Albert Ogien et Louis Quéré. Les moments de la confiance. Economica

31 P a g e 31 qu elles donnent à la connaissance, étant entendu qu à leur tour, les réflexions sur la transparence «gravitent» autour des concepts d information et de savoir 35. Un chapitre entier (Partie 3) est dévolu à l examen des rapports complexes qui existent entre transparence et confiance. Seront abordés ici les principaux éléments qui montrent en quoi la notion de confiance fait partie de la constellation sémantique de la transparence, et en quoi une tentative de définition de la transparence ne peut faire l économie de réfléchir aux liens existant entre les deux notions. Le lien entre transparence et confiance semble aller de soi, mais une première difficulté et non des moindres, tient à ce que l on peut défendre aussi bien une «superposition» entre les deux notions (sans transparence pas de confiance possible : la transparence permet la confiance), qu une opposition (soit on a confiance, soit on réclame de la transparence : la transparence élimine, ou plus exactement, permet de faire l économie d un sentiment de confiance). Dans le premier cas, de nombreuses questions subsistent : la transparence est-elle une précondition de la confiance? Est-elle une condition nécessaire et suffisante? Une condition sine qua non, mais assortie d autres conditions complémentaires? La confiance estelle automatiquement accordée si l on sait tout de quelque chose ou de quelqu un? Le second cas, qui oppose les deux notions, conçoit la demande de transparence comme le symptôme d une crise de confiance, ou bien déplore le remplacement d un lien social basé sur la confiance par un lien fondé sur la transparence. Simmel résout très élégamment les équations qui cherchent à caractériser le lien entre transparence et confiance. «Dans la mesure où elle (la confiance) est une hypothèse sur une conduite future, assez sûre pour qu on fonde sur elle l action pratique, la confiance est aussi un état intermédiaire entre le savoir et le non savoir. Celui qui sait tout n a pas besoin de faire confiance, celui qui ne sait rien ne peut raisonnablement même pas faire confiance 36». Si l on se risque à une lecture de Simmel qui s inscrive dans le cadre contemporain d un questionnement sur la transparence, il est possible d'ouvrir plusieurs réflexions. La confiance est donc un état intermédiaire quant au savoir. Elle n est pas absence de transparence, ou plus exactement, dit Simmel, ce ne serait pas raisonnable de faire confiance si on ne sait rien. 35 Nous ne présentons pas maintenant la distinction que l on peut faire entre information et savoir dans une réflexion sur la transparence pour garder le fil de notre raisonnement. Cette opposition sera abordée plus tard. 36 Une note importante et souvent oubliée lorsque l on cite Simmel complexifie un peu cette vision de la confiance en y adjoignant le rôle de la foi : un «autre type de confiance, dit Simmel, car il est au delà du savoir et du non savoir». Il ajoute aussi : «ces formes sociales de la confiance, si exactes ou intellectuellement fondées qu elles puissent sembler, comportent toujours un peu de cette «foi» sentimentale voire mystique de l homme en l homme». Il nous semble que ceci invite à ne pas tirer trop vite Simmel du côté des aspects purement cognitifs de la confiance. Georg Simmel. Secret et Sociétés secrètes. Circé (p.22)

32 32 P a g e Même si, pourrait-on ajouter, cette absence de savoir n empêche pas stricto sensu la confiance. Elle n est pas non plus liée à une «transparence totale» (tout savoir) puisque dans ce cas on n a plus besoin de la notion de confiance. Simmel n hésite pas à souligner la difficulté à définir la «quantité de savoir» nécessaire ainsi que le type de savoir nécessaire pour faire confiance. D un côté : «L objectivation de la culture a établi des distinctions très nettes entre les différents quanta de savoir et de non savoir nécessaires à la confiance 37». Il n est pas nécessaire de tout connaître de l autre (par exemple dans le domaine des affaires, entre chercheurs, ), car, dans nos sociétés modernes : «Les traditions et les institutions, le pouvoir de l opinion publique et les positions tellement circonscrites qu elles préjugent inéluctablement de l individu sont devenues si solides et si fiables que l on a besoin de connaître sur l autre que certaines données extérieures pour avoir la confiance requise par l action en commun 38». On pourrait dire, que l individu est suffisamment «surdéterminé» pour que son comportement ne soit plus source de (mauvaise) surprise, et qu il suffit de connaître le statut social d une personne pour savoir à qui l on a affaire et faire raisonnablement confiance. Mais Simmel s empresse d ajouter que, dès que les «enjeux» sont plus importants (il s agit bien sûr de notre formulation, moderne, du problème ), cette connaissance limitée n est plus suffisante. Par exemple, explique-t-il, si l on veut faire d un marchand un associé, et pas seulement commercer avec lui, on voudra en savoir bien davantage sur lui. On aura besoin d éléments sur son «individualité personnelle» pour «connaître à fond sa personnalité». En résumé, Simmel souligne aussi dans ce passage que le type et la quantité de connaissance nécessaire pour établir la confiance dépendent largement de ce qu on appellerait en termes actuels les enjeux de la relation avec la personne à laquelle on doit pouvoir faire confiance. Plus ceux-ci sont importants, moins ce qui est simplement déterminé socialement sera suffisant, plus on aura besoin d informations plus détaillées et personnelles. Il conclut «Aujourd hui, le secret de la personne est plus limité sociologiquement ; comme l intérêt commun est largement soutenu par les traits de caractère personnels, elle ne peut plus se permettre de se replier aussi fortement sur elle-même 39». La pensée de Simmel n est pas dialectique, elle ne propose pas de synthèse, mais plutôt, par petites touches successives, tempère et nuance ce qui vient d être dit. Après avoir défendu qu une connaissance personnelle, intime de l autre nous était nécessaire dès lors que les relations que nous avions avec cette personne comportait des enjeux importants, l auteur insiste longuement sur une forme de «discrétion» que nous devons cependant garder à l égard de l intimité d autrui. Nous sommes donc tiraillés entre la quête d une «quantité d informations» suffisante avant d accorder notre confiance et le respect de la vie privée d autrui. Il conclut ainsi : «Dans quelle mesure la discrétion doit aussi s abstenir de toucher 37 P 22. Georg Simmel. Secret et Sociétés secrètes. Circé (p.22) 38 Ibid. (p.23) 39 Ibid. (p.24)

33 P a g e 33 intellectuellement à «tout ce qui est à lui», dans quelle mesure l intérêt des relations, l interdépendance entre les membres du même groupe limitent cette obligation de discrétion voilà une question à laquelle ne peut répondre ni le seul tact moral, ni la seule vision globale des relations objectives et de leurs exigences, puisqu au contraire ils doivent absolument s allier. La finesse et la complexité de cette question la renvoient à une décision individuelle dont aucune norme générale ne peut préjuger 40 (..).». Les réflexions de Simmel méritent d être analysées car elles montrent la difficulté de «penser» et surtout de trancher de façon générale cette question du rôle du savoir dans la confiance. Simmel renvoie, en quelque sorte, la question de la «transparence» nécessaire pour la confiance à une décision morale et à une approche «casuistique» plus que normative. En résumant, il souligne à la fois le rôle de la culture, de la tradition, des institutions pour définir ce «quantum» de savoir, et la limite de tout ceci dès lors que la confiance comporte un enjeu plus important. Nous sommes alors en droit de savoir davantage tout en nous limitant dans cette recherche par une nécessaire discrétion à l égard d autrui. «Tout savoir» nous mettrait, de toute façon, en dehors de la sphère des relations qui impliquent la confiance. La «juste quantité» de transparence, si l on se risque à une formulation actualisée de Simmel est donc ici une combinaison de «tact moral» et de «vision globale des relations objectives». Comme nous l avons déjà souligné au début, Simmel aborde essentiellement la question de la confiance interpersonnelle. Que les mécanismes qui régissent la confiance institutionnelle soient ou non analogues à ceux qui sous-tendent la confiance entre personnes est une question à part entière que l on n a pas l ambition d aborder ici. En restant dans le cadre fixé, c est-à-dire pour l heure, en se limitant à examiner comment la confiance fait partie de la constellation sémantique de la transparence, on peut noter que Simmel présuppose implicitement une certaine confiance dans les institutions, puisque, comme cité plus haut, «les traditions et les institutions» sont «si solides et si fiables» qu elles «garantissent» une forme de comportement des personnes avec lesquelles nous traitons dans la vie professionnelle. La confiance interpersonnelle et la confiance institutionnelle ne sont pas par conséquent deux champs disjoints : lorsque j entre en contact avec «un chercheur» pour reprendre un exemple de Simmel, ce que je sais des institutions, de la tradition de la recherche dessine pour partie la confiance que je peux accorder, a priori à «ce» chercheur particulier. Simmel dit cependant peu de choses sur l élaboration de la confiance dans les institutions. Cette confiance dans les institutions est traditionnellement abordée essentiellement dans le champ des sciences politiques, qui ont une longue tradition d analyse du rapport entre citoyens et démocratie. La convocation de la notion de la «transparence» du pouvoir comme élément central d une démocratie constitue une partie entière de ce chapitre, abordée maintenant. 40 Ibid. (p.29)

34 34 P a g e 4. TRANSPARENCE ET DEMOCRATIE : UN LIEN SOLIDE UN CONTRE-POUVOIR La convocation de la notion de «transparence» du pouvoir comme élément central de la démocratie constitue un des grands thèmes de la science politique. Le caractère intrinsèquement opaque du pouvoir est constamment rappelé : «une constitution doit être courte et obscure» (les actes du roi sont «aussi inintelligibles une fois exécutés qu impénétrables avant l action» (Racine). Et, point de politique sans un ensemble de mythes, de symboles, sans une part d irrationnel, sans opacité donc Mais point de démocratie sans transparence : la transparence apparaît en première analyse comme la condition d un contrepouvoir exercé par le peuple envers ceux qui le gouvernent. Historiquement, on peut rapprocher la transparence de la notion de publicité. Ainsi, pour Benjamin Constant, la publicité est une modalité de résistance à l arbitraire du pouvoir. Antoine Garapon 41 souligne cependant une nuance, sur laquelle nous reviendrons dans la partie consacrée à la critique de la notion. «Ce mot, qui était de celui de nos devanciers du XIX e, me paraît meilleur que celui de transparence, car il ne connote pas, comme lui, l immédiateté, la visibilité de toute chose, à tout instant, par tout le monde mais introduit l idée d un minimum de distance, de coupure». La transparence se comprend donc, en première analyse, comme une condition d un contrepouvoir exercé par le peuple et une «réponse» au secret du pouvoir lui même. En France, la Constitution du 4 octobre 1958 se réfère ainsi explicitement à ce contrôle exercé : l article 2 de la constitution suppose un contrôle permanent de l exercice du pouvoir. Parce qu ils exercent un pouvoir au nom et à la place du public, les hommes politiques, tels des «mandataires» «doivent des comptes à leurs mandants» d une manière ou d une autre 42. Elle est également centrale dans l acte final du traité de Maastricht, qui stipule : «La conférence estime que la transparence du processus décisionnel renforce le caractère démocratique des institutions, ainsi que la confiance du public envers l administration 43». La déclaration n 23 dans l acte final du traité de Nice reconnaît quant à elle : «la nécessité d améliorer et d assurer en permanence la légitimité démocratique et la transparence de l union et de ses institutions, afin de les rapprocher des citoyens des Etats Membres». Enfin, la «Glasnost» de Gorbatchev promet une ère nouvelle. 41 Cité par : Jean-Michel Belorgey. Le service public entre transparence et secret. Secret et Démocratie. Colloque Droit et Démocratie. La documentation Française (p.13) 42 Denis de La Burgade. La vie privée des hommes publics. Thèse de Droit. Paris 1 Sorbonne Déclaration n 17. Acte final du Traité de Maastricht.

35 P a g e 35 Belorgey 44 énonce quelques uns des inconvénients à laisser les pouvoirs s entourer de trop de secret : renforcement de leurs prérogatives, celles du gouvernement et de l administration face aux citoyens, impossibilité du contrôle par l opinion, encouragement de formes dévoyées d information, de la publicité mensongère à la propagande, maximisation des inégalités en matière d accès aux informations permettant de s adjuger des biens collectifs (emplois, commandes, ), tentations d arbitraire, de concussion, de corruption, accaparement de toutes les formes de richesses et d influences. Rosenvallon rappelle que l on trouve les premières traces de cette surveillance du pouvoir dans la Grèce antique, dans laquelle, le citoyen n était pas simplement l électeur mais aussi un juge, un contrôleur. Cependant, précise-t-il, notre époque connaît sans doute une radicalisation de cette demande de «transparence/contrôle» du pouvoir. Ce politiste a proposé, dans l analyse de ce qu il appelle la «contre démocratie 45», d explorer le «continent de l ensemble des activités par lesquels les citoyens regardent les pouvoirs, les mettent à l épreuve 46». Il parle d un «âge de la défiance», là où d autres auteurs ne feront pas un lien univoque entre la demande de transparence et la défiance. Avant d aborder cette question qui articule les notions de confiance/défiance avec la demande de transparence du pouvoir, nous proposons un rapide tour d horizon de ces lois et nouvelles institutions liées peu ou prou à la notion de transparence. Cette présentation succincte permet d aborder l angle juridique de la transparence, mais aussi, à travers la diversité des lois et organismes, la pluralité des manifestations de la transparence dans le monde actuel. LES LOIS ET LES INSTITUTIONS DE LA TRANSPARENCE LES LOIS Dans le domaine juridique, la transparence s ancre dans des lois qui vont déterminer le caractère de ce qui est ou, le plus souvent, devient visible, ainsi que les conditions et les personnes qui pourront accéder à l'information. L administration française avait été stigmatisée pour son opacité : à la fin des années soixante-dix une série de textes législatifs spécifiques et autonomes consacrent peu ou prou l existence d un droit à l information. Il faut noter que ce n'est qu'a posteriori, que les politologues ont conféré à ces différentes lois le statut de lois sur la transparence. Ce sont les lois fondatrices du 6 janvier 1978 relatives à l informatique, aux fichiers et aux libertés, du 17 juillet 1978 améliorant les relations entre l administration et les administrés et relatives 44 Jean-Michel Belorgey. «L état entre transparence et secret. Transparence et secret». POUVOIRS, N 97, SEUIL. 45 Pierre Rosanvallon. La contre-démocratie. La politique à l âge de la défiance. Seuil Les Matins de France culture. 25 septembre 2006.

36 36 P a g e notamment à l accès aux documents administratifs, du 3 janvier 1979 sur les archives et du 11 juillet 1979 sur la motivation des actes administratifs. Ces lois signent le recul de certains secrets. Ce peut être à l occasion d affaires particulières que certains secrets vont être mis en question. Ainsi, lors du procès de Maurice Papon, les autorités politiques ont accepté de dévoiler certaines archives. Dans d autres pays, par exemple aux Etats-Unis, ce sont les juges qui sont autorisés à examiner les documents afin de décider du bien-fondé de leur caractère secret. Si les lois et les institutions liées à la transparence explosent, la notion de secret n a pas perdu de sa légitimité. Le magistrat est tenu au secret du délibéré, le secret de l instruction protège l ensemble des éléments d un dossier en cours d instruction. Le secret ne disparaît pas : il se recompose, se soumet à certaines exceptions. Par exemple, le secret médical a des exceptions telles que les sévices sur mineurs, les maladies hautement contagieuses), le secret bancaire connaît de pareilles exceptions lors de constats de fonds terroristes ou mafieux, le secret défense peut aussi être levé sur proposition de la Commission consultative du secret de la défense nationale. La limite entre les domaines public et privé est également amenée à se modifier. La caractérisation de ce qui est secret et de ce qui est public peut dans le même temps se complexifier. Ainsi, le patrimoine des hommes politiques, longtemps considéré de l ordre du privé, est devenu peu à peu davantage public. Dans le cas de la transparence financière de la vie politique, une commission opère un contrôle du patrimoine des hommes politiques les plus influents afin d'éviter l'enrichissement personnel dans l'exercice du pouvoir. Ce contrôle reste a priori secret, en revanche en cas de variation anormale du patrimoine, la commission saisit le parquet qui fait une enquête pénale. Il s'agit donc d'un cas de transparence sans publicisation, dans laquelle Denis de la Burgade distingue une transparence interne (vers la commission) et une transparence externe 47 (vers le citoyen). Cette solution d une voie tierce entre secret et publicisation n est pas sans inconvénients. «Jusqu à présent, analyse-t-il, le dispositif législatif et réglementaire qui s efforce de résoudre la contradiction importante entre la volonté de permettre au citoyen de s assurer que ses représentants n abusent pas de leurs fonctions pour accroître leur fortune personnelle et la nécessité d assurer le respect de la vie privée des personnes soumises à l obligation de déclaration patrimoniale, privilégie la transparence interne aux détriments de la transparence externe faisant parfois naître dans l opinion publique un sentiment de dépossession 48». Cet exemple montre bien qu au-delà d une stricte question d accès à 47 Denis de La Burgade, La vie privée des hommes politiques, Thèse de doctorat en Droit. Paris I Panthéon Sorbonne (p.291) 48 Ibid. (p.300)

37 P a g e 37 l information, ce sont des enjeux symboliques qui sont aussi ici à l œuvre, car l opinion publique s inquiète autant sinon plus de son droit de savoir que de l information elle-même. LES INSTITUTIONS Plusieurs types d institutions relèvent peu ou prou d une volonté de transparence. Quelques exemples permettent de mesurer leur développement rapide qui témoigne d un phénomène substantiel et qui montre la pluralité des références à la transparence. LES AUTORITES ADMINISTRATIVES INDEPENDANTES En France, la notion d autorité administrative indépendante (AAI) est apparue dans les années A l heure actuelle, la quasi totalité des pays occidentaux s'est dotée de ce type d institutions. La définition d une AAI est assez floue. Selon le conseil d Etat, les autorités administratives indépendantes sont des «organismes administratifs qui agissent au nom de l'état et disposent d'un réel pouvoir, sans pour autant relever de l'autorité du gouvernement 49». Louis Schweitzer, président de la HALDE, associe deux principes à la notion de Haute autorité : «protéger du politique par l indépendance, donner une compétence par la spécialisation 50». Il note également la «prolifération» de ces organismes : on dénombrait trente-huit AAI en 2006, dont dix-neuf ont été créées depuis Le pouvoir réglementaire qui peut être attribué à certaines AAI pourrait venir concurrencer celui du Premier ministre, il doit, par conséquent, être selon le Conseil constitutionnel limité à un domaine précis. Les modalités de leur saisine sont variables : elles peuvent être saisies directement par un particulier (CNIL), par des parlementaires (Médiateur de la République) ou après une procédure juridictionnelle préalable (CADA). Les autorités exercent donc une forme de contrôle. On peut donner quelques exemples, afin d illustrer la variété des domaines d intervention de ces autorités : le CSA (Conseil supérieur de l audiovisuel), le CCNE (Comité consultatif national d'éthique), la HALDE (Haute autorité de lutte contre les discriminations et pour l égalité), l AMF (Autorité des Marchés Financiers, le CPCD (Conseil de prévention et de lutte contre le dopage). Certaines contiennent, dans leur visée ou même dans leur nom, une référence explicite à la transparence : la CNIL (Commission Nationale de l Informatique et des libertés), la CADA (Commission d'accès aux documents administratifs), la Commission pour la transparence financière de la vie politique, la CCSDN (Commission consultative du secret de la défense nationale). L une d entre-elles conjugue les références à la transparence et aux «organisations à risque» : l Autorité de sûreté nucléaire (ASN). 49 cité dans : Louis Schweitzer. «Qu est-ce qu une «haute autorité indépendante»? De l Autorité. Colloque annuel du collège de France. Sous la direction de Antoine Compagnon. Ed Odile Jacob Louis Schweitzer. «Qu est-ce qu une «haute autorité indépendante»? De l Autorité. Colloque annuel du collège de France. Sous la direction de Antoine Compagnon. Ed Odile Jacob

38 38 P a g e QUELQUES AUTRES EXEMPLES D autres institutions ont un statut d agences, et sont également liées à la notion de risque. Les exemples les plus connus sont : l Institut de veille sanitaire (IVS), l Agence française de sécurité sanitaire des aliments (AFSSA), l Agence française de sécurité sanitaire des produits de santé (AFSSAPS). Du côté des Organisations Non Gouvernementales, on citera bien sûr «Transparency International». Fondée en 1993, elle comprend 80 sections nationales, et se présente comme «The global coalition against corruption 51» et énonce ainsi ses objectifs : «Transparency International est la principale organisation de la société civile qui se consacre à la lutte contre la corruption. T.I. sensibilise l opinion publique aux effets dévastateurs de la corruption et travaille de concert avec les gouvernements, le secteur privé et la société civile afin de développer et mettre en œuvre des mesures visant à l enrayer 52». «Transparency International» publie notamment des «indices» qui ont pour objectif d évaluer la corruption dans chaque pays. La corruption étant par nature un phénomène caché, ces indices sont des indices de perception : l'indice de Perception de la Corruption (IPC) centré sur les perceptions des milieux d'affaires, le Baromètre mondial de la corruption (BMC) qui exprime le vécu des populations face aux phénomènes de corruption, et enfin l'indice de Corruption des Pays Exportateurs (ICPE) qui exprime «la propension des entreprises des principaux pays exportateurs à verser des pots-de-vin à l'étranger». Ces indices sont assez souvent repris par la presse, ainsi que les résultats d études plus spécifiques. Ainsi en 2008, T.I. a publié un «Bride payers index», ainsi qu un «Revenue Transparency on oil and gas companies». UN EXEMPLE D ARTICULATION ENTRE LOI ET INSTITUTION : LE SECRET DE LA DEFENSE NATIONALE L exemple de cette dernière permet de comprendre un peu mieux les mécanismes qui articulent demande de transparence, lois et création d institutions. Le secret de la Défense nationale, avait été qualifié d angle mort de la transparence par le rapport du conseil d'etat en Le doute entoure aujourd'hui l'utilisation du secret de la défense, qui est parfois perçue comme abusive soulignait le texte. La loi du 8 Juillet 1998 portant création d'une commission consultative du secret de la défense nationale, instaure une commission indépendante, chargée de décider si un juge a le droit ou non de prendre connaissance d un document classifié. Il s agit donc d examiner si le secret est opposé à bon escient. Depuis cette création, le gouvernement semble s'être donné pour ligne de conduite de suivre le sens de l'avis émis : il est vrai que la simple publication d'avis lui confère une autorité forte. 51 Site : international.org. 52 Site : www Transparency.org. Section Française.

39 P a g e 39 L exemple du secret défense est intéressant en ce qu il montre bien les questions qui peuvent se poser dès lors que l on aborde un cas précis. Cela permet de remettre en question une vision idéologique de la transparence conçue comme vertu simple et opérante. La transparence montre les limites de la raison et du toujours «juste» équilibre souvent invoqué. Ainsi, Jacques Robert, membre du Conseil constitutionnel affirmait : (il faut) «assurer la protection efficace de nos secrets dans le respect des principes démocratiques de l Etat de droit et des libertés publiques. Entre un laxisme inconséquent et une protection outrancière il existe un juste milieu 53». Hélas, cette vison irénique se heurte dans certains cas aussi à des questions de légitimité (qui a le droit de voir quoi, au nom de quels principes?) L Etat invoque justement la «Raison d Etat», le citoyen peut invoquer le droit à l information. Un exemple récent concerne le secret défense opposé par un des prévenus 54 lors du procès de «l Angolagate», qui tourna court de ce fait. CONCLUSION : DU POUVOIR A L AUTORITE? La création d une Autorité Indépendante, comme la commission consultative du secret de la défense nationale, ajoute, une légitimité de plus, qui serait en quelque sorte «au-dessus», et pourrait ainsi trancher. La référence à l autorité dépasse celle de pouvoir, et contient celle de légitimité. L indépendance est une caractéristique importante qui se réfère à l absence d intérêt. La notion d Autorité Indépendante se veut en quelque sorte «transcendante» des légitimités étatique et individuelle, elle ne se veut justement pas simple pouvoir, et prétend en outre à une forme d autorité morale en plus de ses compétences et de son indépendance. Notons ici d ailleurs, que la notion de légitimité est rarement abordée lorsque la notion de transparence est évoquée. Elle est pourtant centrale, dans la mesure où la transparence introduit de facto un déséquilibre entre «celui qui voit» et «celui qui est vu» et ce quelque soit l objet précis rendu visible. Le droit de voir (de surveiller, de contrôler, ) se réclame toujours d une forme de légitimité qui est rendue plus ou moins explicite. Dans le domaine des risques, nous verrons que la question de la légitimité des autorités de réglementation et de contrôle (les regulation authorities au sens anglo-saxon) est sous-jacente dans les tensions qui peuvent survenir lorsqu elles demandent «une certaine transparence» aux fournisseurs de service de contrôle aérien. On verra alors comment ces autorités qui ne peuvent se réclamer d aucune transcendance, autre que celle d être les représentants de la société civile, peinent aussi parfois à asseoir leur légitimité sur une fondation rationnelle (valeur ajoutée de la surveillance pour la sécurité, efficacité ) et sont ainsi, peut être, dans l état de pré-légitimité décrit par Ferrero Jacques Robert, membre du Conseil constitutionnel. Le secret défense. Secret et Démocratie. Colloque Droit et Démocratie. La documentation Française (p.30) 54 «Procès de l Angolagate. Justice en échec». Pascale Robert Diard. Le Monde du 8 Mars Giulhemo Ferrero, Pouvoir. Les génies invisibles de la cité, Paris, Plon, 1945

40 40 P a g e DES DIFFERENCES SELON LES PAYS : L EXEMPLE DU FOIA (FREEDOM OF INFORMATION ACT) Lassalle considère la transparence comme une des valeurs centrales avancées par la démocratie américaine, et montre comment cet objectif est atteint par des moyens importants d investigation et une multiplication de procédures : ce fact finding trouve son corollaire dans l exposure, (la publicité) qui fait l objet du Freedom Of Information Act. (FOIA). La transparence y est conçue comme la recherche obstinée de la réalité des faits que les intérêts collectifs ou individuels tendent constamment à voiler 56. Le Freedom of Information Act a été promulgué en 1966 et amendé en 1974 pour tenter de répondre aux nombreuses critiques soulevées par l'engagement américain au Vietnam. Le président Johnson, le jour de sa promulgation, soulignait le lien entre cette loi et les principes fondamentaux de la démocratie américaine, et ajoutait une démocratie ne peut correctement fonctionner que lorsque le peuple dispose de toutes les informations compatibles avec la sécurité de l Etat. Il faut noter comme on l a déjà souligné ailleurs que la transparence trouve toujours sa limite. S'agissant du FOIA, Lassalle considère que la transparence sert de contrepouvoir, et montre que son champ d application est particulièrement étendu. Il comprend cependant des exemptions «classiques» : sécurité nationale, secret défense, secrets de fabrication, protection de la vie privée, secret médical 57, etc. Aux Etats-Unis, c est le juge qui se prononce, en définitive, sur le caractère communicable ou non, d une information. Des législations d'inspiration comparable à celle du FOIA existent aussi dans les pays d'europe du Nord. La Suède, notamment, est un pays perçu comme un modèle en matière de transparence administrative. Ainsi, la Suède, résolument pionnière puisque les lois sur la transparence administrative datent de 1766, met à disposition de tous ses citoyens «la correspondance échangée entre tout ministre et les services qui sont sous sa direction 58». Mais qu en est-il des pratiques liées à ces possibilités, pour le citoyen, d accéder à ces informations? Lequesne rappelle «La légitimité du principe de transparence ne saurait toutefois découler uniquement de la possibilité formelle. Elle ne peut être liée qu à une utilisation effective 59». Mais qui est l utilisateur de ces informations? Lequesne évoque à cet égard les résultats d une enquête réalisée en Suède au début des années Celle-ci a montré que les demandes de consultation émanant des citoyens sont en fait rares. Les utilisateurs les plus nombreux du droit d'accès sont les journalistes suivis de près par les entreprises commerciales. La transparence, conclue-t-il, semble être un mode de contrôle démocratique médiatisé, indirect, ce qui est caractéristique des démocraties contemporaines. 56 Lassalle. La Démocratie américaine. Colin, Article FOIA Y-H Bonello; Le secret, PUF, Que sais-je? cité par : Thierry Libaert. Op. cit. 59 Christian Lequesne. La transparence, vice ou vertu des démocraties, Actes du colloque organisé par le CEDORE (Nice) sur La transparence dans l'union européenne. Mythe ou principe juridique? (p.16)

41 P a g e 41 On oppose assez classiquement les pays du Nord de l'europe et leur transparence et les pays du Sud et leurs secrets ou leur opacité Le lien avec la religion est souvent évoqué : culture méridionale catholique contre protestantisme pour les pays anglo-saxons. La France est souvent épinglée pour l étendue des pouvoirs de secrets 60 (secret d Etat en matière de politique étrangère et de défense, et secret administratif, sans parler du secret des archives publiques 61 ) Michel Crozier a fait d une certaine opacité une caractéristique du fonctionnement étatique français. On a vu cependant que des évolutions significatives sont apparues ces deux dernières décennies, avec, notamment des lois sur la transparence, et la création de nouvelles institutions qui consacrent de nouveaux contre-pouvoirs et de nouveaux droits à l information pour les citoyens. Les différences institutionnelles et politiques entre pays du Nord et pays du Sud tendant à se réduire peu à peu sous la pression des pays du Nord qui imposent de facto une norme de transparence : on parle ainsi tantôt d influence anglo-saxonne, d influence scandinave, d influence Nord américaine pour souligner, et, pour certains, déplorer parfois le déploiement de la transparence. Mais cette norme qui se traduit notamment en lois est-elle reflétée au niveau du corps social? De nombreux commentateurs analysent la transparence comme un phénomène de fond, une logique sous-jacente, dans la majorité des cas pour la stigmatiser, comme on le verra un peu plus loin dans la troisième partie, qui analyse la critique de la transparence. LE ROLE DE LA CULTURE Il serait sans doute hâtif de considérer comme complète et inéluctable cette conversion à la transparence. Comment articuler ces processus macro-sociaux et institutionnels avec des manifestations plus locales, délimitées et concrètes de la transparence? Un exemple dans les relations de travail peut permettre de montrer quelques enjeux de la question, et surtout d approfondir ce que nous avons déjà appelé plus haut les enjeux symboliques de la transparence. Dans l analyse stratégique des organisations de Crozier et Friedberg, la marge d incertitude manipulée par les acteurs dans un «système d action concret» est une marge d opacité. Un sujet rendu totalement «transparent» n a plus de marge de manœuvre, et ne peut plus fonctionner. Il faut analyser non seulement les différences «quantitatives» de marges d opacité, mais surtout le sens donné à celles-ci. A cet égard, les réflexions de d Iribarne, par exemple, qui s est intéressé aux cultures nationales, sont éclairantes. Il explique 60 Ainsi, Saul compare les répertoires culturels de la France et des Etats-Unis, en s'appuyant sur les travaux de Ezrahi. Alors que la tradition française implique que les décisions de l Etat soient prises derrière des portes closes, les citoyens américains sont plus habitués à avoir accès au processus de prise de décision du gouvernement. Saul fait l'hypothèse que cette opacité des processus de décision a joué un rôle important dans l'ampleur du drame du sang contaminé en France. The Transparency of Blood, The construction of risk and safety during and after the AIDS blood scandal in France and the US, Jessie E. Saul. Workshop on Social Construction of Risk and Safety, Villa Fridhem, Kolmården, Sweden, March 15-17, La loi du 3 Janvier 1979 interdit d accéder aux archives politiques tant que les protagonistes sont encore vivants.

42 42 P a g e qu une certaine forme de transparence sur des activités, une forme de contrôle par la hiérarchie n ont pas le même sens pour un Néerlandais et pour un Français. Ainsi, dans l usine hollandaise étudiée par l auteur, les actions d un ouvrier sont largement contrôlées par un contremaître. Ses activités sont scrutées, il rend des comptes détaillés de ce qu il fait à son supérieur, doit justifier ses actions, etc. Mais là où le sociologue (français) voit une contradiction (entre ces contrôles et le sentiment de liberté que la personne observée déclare éprouver), l ouvrier néerlandais ne voit qu une liste de processus et de pratiques qu il n associe pas à une restriction de sa liberté ou à un contrôle désobligeant. En revanche, explique ailleurs l auteur, une certaine forme de «transparence» liée à une relation où l on se doit d accepter cette mise en visibilité et cette contrôlabilité des actions, est plutôt étrangère à l esprit français. Ecoutons-le : «Le modèle français de la vie en société ne pousse pas au recueil de données factuelles traduisant la qualité des résultats obtenus par chacun. Il n incite guère en effet à juger chacun sur la base de pareilles données. Et il s oppose même à ce que les supérieurs demandent des comptes trop serrés. Il ne paraît pas vraiment illégitime que les subordonnés se protègent contre toute «ingérence» de la hiérarchie en entourant leur activité d une certaine opacité 62». Cet exemple a le mérite d attirer l attention sur deux questions d importance : l envahissement de la notion de transparence dans le champ institutionnel ne se traduit peutêtre pas en «pratiques de la transparence», les guillemets de cette expression n étant pas ici de pure forme, puisque la question de ce que signifie «être transparent» sera bien sûr largement débattue et pour partie déconstruite. La transparence se développe avant tout comme rhétorique dont une analyse est proposée plus loin. Deuxièmement, ce qui peut être «conceptualisé» par un français sous la forme d un contrôle, ne l est pas obligatoirement pour un néerlandais : il faut donc se garder de naturaliser le lien entre des pratiques et leur sens pour les acteurs, sens qui restera toujours à interroger dans leur contexte précis. Enfin, il paraît plus ou moins justifiable, et même légitime, selon les cultures, de garder une forme d opacité sur son travail, et cette dimension devra être réexaminée lorsqu il s agira d analyser des pratiques concrètes de visibilité ou d opacité dans des situations liées aux incidents qui constituent notre terrain d étude. 5. SYSTEMES POLITIQUES ET TRANSPARENCE TRANSPARENCE ET TOTALITARISME «Où le secret commence, commence le pouvoir réel», résume Hannah Arendt dans son analyse du système totalitaire 63. Ce dernier peut se définir, notamment, par l absence totale 62 Philippe d Iribarne. La logique de l honneur. Seuil (p.104) 63 Hannah Arendt. Le système totalitaire. Seuil, 1972.

43 P a g e 43 de transparence du pouvoir vis-à-vis des gouvernés combinée à la recherche de la plus grande transparence possible des individus qu il gouverne. Jacques Ribs donne à titre d exemple extrême le Royaume des Incas dont le souverain exigeait que les maisons n aient ni portes ni fenêtres afin que les inspecteurs de l Inca puissent en permanence scruter de qui se passait et surtout se disait dans l intimité de la demeure 64. «1984» d Orwell offre la description terrifiante d une société totalitaire avec ses grandes caractéristiques, notamment celle d une surveillance généralisée, et d une transparence des individus à un pouvoir omnipotent. La figure emblématique de Big Brother personnifie cette surveillance : «Toujours ces yeux qui vous observaient et cette voix qui vous enveloppait. Dans le sommeil ou la veille, au travail ou à table, au-dedans ou au-dehors, au bain ou au lit, pas d évasion. Rien ne vous appartenait sauf les quelques centimètres cubes de l intérieur de votre crâne». Le personnage principal, Winston pense pendant un temps pouvoir se cacher avec Julia, la femme qu il aime. Mais, dans une scène particulièrement poignante, il découvre que dans cette chambre également, ils sont visibles : «Nous sommes des morts», dit-il «Nous sommes des morts» lui répondit Julia en écho, obéissante. «Vous êtes des morts» dit une voix de fer derrière eux. Ils sursautèrent violemment en se séparant. Les entrailles de Winston se glacèrent. Les yeux de Julia s agrandirent démesurément. Son visage était devenu d un blanc laiteux. La touche de rouge qui était encore sur ses joues ressortait durement, comme séparée de la peau. «Vous êtes des morts» répéta la voix de fer. «Il était derrière le tableau» souffla Julia. «Il était derrière le tableau», dit la voix. «Restez exactement où vous êtes. Ne bougez pas jusqu à ce qu on vous l ordonne». 65 L enjeu ici de cette transparence totale se situe cependant au-delà de la banale surveillance. Comme le souligne Jacques Dewitte : «Et si, dans l univers régi par Big Brother tout doit être 64 Jacques Ribs. Avant propos. Secret et Démocratie. Colloque Droit et Démocratie. La documentation Française (p.5) 65 Georges Orwell Signet Classics (p.182) «We are the dead, he said. We are the dead echoed Julia dutifully. You are the dead said an iron voice behind them. They sprang apart. Winston s entrails seemed to have turned into ice. He could see the white all around the irises of Julia s eyes. Her face had turned a milky yellow. The smear of rouge that was still on each cheekbone stood out sharply, almost as though unconnected with the skin beneath. You are the dead, repeated the iron voice. It was behind the picture breathed Julia. It was behind the picture said the voice. Remain exactly where you are. Make no movement until you are ordered. Notre traduction.

44 44 P a g e visible, si, par l omniprésence des téléviseurs-caméras, rien ne peut se dérober à la transparence, cela relève moins d une simple surveillance que de la volonté d empêcher la constitution d une identité, si fragile soit-elle, au profit d un espace absolument visible et étale 66». TRANSPARENCE ET DEMOCRATIE En miroir d un Big Brother et de sa surveillance généralisée dans le totalitarisme, le pouvoir dans une démocratie est transparent aux citoyens. La référence à la transparence est poussée à son comble avec la métaphore de la maison de verre : «La vraie démocratie c est nécessairement une maison de verre. Elle ne peut s accommoder de l ombre ou de la pénombre. Elle ne peut fonctionner à huis clos. Entre «professionnels» de la politique. Loin de ces gêneurs que seraient les lecteurs et les électeurs 67». On pourrait ainsi, résumer un peu schématiquement, du point de vue de la métaphore de la transparence, l opposition entre pouvoir totalitaire : opacité du pouvoir/transparence de la vie privée des citoyens envers ce même pouvoir, et démocratie idéale : transparence du pouvoir/opacité de la vie privée. L idéal serait alors, selon Belorgey, d «assurer plus de transparence à ce qui est longtemps resté secret : les actes des pouvoirs, et plus de secret à ce que les pouvoirs ont durablement souhaité et souvent réussi à scruter : la vie privée 68». Il reprend sous la forme d un idéal ce que Simmel avait énoncé comme processus, à quelques détails près, celui-ci constatait en effet : il semble que plus la civilisation se spécialise, plus les affaires de la collectivité deviennent publiques, et plus celles des individus deviennent secrètes 69». Cependant, si l idéal d un pouvoir démocratique sujet aux contre-pouvoirs ne connaît guère d opposants, la réalisation de cet idéal ne va pas sans questionnement. Face aux manifestations et aux injonctions de transparence toujours plus pressantes, s est développée une critique de la notion de transparence qui s inquiète avant tout de ses excès, et dont nous présentons maintenant quelques aspects. 66 Jacques Dewitte. Le pouvoir de la langue et la liberté de l esprit. Essai sur la résistance au langage totalitaire. ESSAI Michalon (p.52) 67 Roger-Gérard Schwartzenberg. Cité par : Denis de La Burgade. La vie privée des hommes publics. Thèse de Droit. Paris 1 Sorbonne Jean Michel Belorgey, L état entre transparence et secret. Transparence et secret. POUVOIRS, N 97, Seuil. (p.26) 69 Simmel, Secret et société secrète. Circé. Poche (Première édition : 1908).

45 P a g e LA CRITIQUE DE LA TRANSPARENCE L AGE DE LA DEFIANCE Une première critique relève strictement de la science politique en ce qu elle stigmatise, dans la demande de transparence, l expression d une défiance généralisée envers le pouvoir. Pour Rosenvallon, si elles sont une caractéristique normale des conditions d exercice d une démocratie réelle (voir dans ce chapitre : «Un contre-pouvoir»), les manifestations de la défiance, prennent cependant une force et une ampleur nouvelles à l heure actuelle, et sont le signe d une érosion de la confiance des gouvernés envers leurs gouvernants. Il expose ainsi son entreprise : «Je dirais que ce passage de la bonne défiance du citoyen on va dire républicaine à la défiance pathologique, populiste, c est une des questions clés de nos sociétés contemporaines 70». Il se propose d appréhender les diverses manifestations de cette défiance (pratiques, mises à l épreuve, contre-pouvoirs sociaux informels, mais également d institutions ) «dans un cadre global qui en resitue de façon articulée et cohérente les caractéristiques les plus profondes en un mot de les comprendre comme faisant politiquement système 71». L avènement d une «société de défiance», est décrit à travers trois facteurs qui sont d'ordre scientifique, économique et sociologique. La part scientifique a été largement analysée par Ulrich Beck, qui a montré comment la science est devenue à la fois source d inquiétude et moyen de calmer ces inquiétudes, puisque nous dépendons encore de l expertise scientifique pour être informés, alertés ou rassurés sur un risque. Dans le domaine de l économie, la confiance régresse également, le monde est moins prévisible, plus complexe, et la défiance se combine à un sentiment d impuissance. Enfin, au niveau sociologique, Rosenvallon souscrit à l idée d une entrée dans une «société de défiance généralisée 72» pour qualifier le monde contemporain. Rosenvallon identifie trois modalités de la défiance : les pouvoirs de surveillance, les formes d empêchement et les mises à l épreuve d un jugement. Les pouvoirs de surveillance relèvent de la surveillance du pouvoir par la société. L auteur les analyse comme le phénomène inverse de la «société de surveillance» telle qu elle a été analysée par Foucault dans les années 1970, avec le contrôle permanent et invisible symbolisé par le panoptique de Bentham. «La contre démocratie mobilise en effet, mais au profit de la société, des mécanismes de contrôle 70 Les matins de France Culture, 25 septembre Pierre Rosanvallon. La contre-démocratie. La politique à l âge de la défiance. Seuil (p.13) 72 Enquête Euro RSCG. La société de défiance généralisée : enquête sur les nouveaux rapports de force et les enjeux relationnels dans la société Française. Juillet cité dans Rosenvallon, Ibid.

46 46 P a g e analogues à ceux décrits par Foucault 73». Au sein de ces pouvoirs de surveillance, Rosenvallon distingue de nouveau trois modalités : la vigilance, la dénonciation et la notation. Sans entrer dans le détail de ces modalités, il importe plutôt de comprendre que l auteur stigmatise comme une dissolution du politique, qui est «d abord provoquée par l écart que creusent les contre-pouvoirs entre la société civique-civile et la sphère politique. Ces derniers ont en effet pour caractéristique fonctionnelle de se distancier des institutions, de les repousser : la preuve de leur efficacité réside dans l affaiblissement des gouvernants qu ils provoquent 74». Il s agit même de «l organisation de la défiance 75» qui mine le présupposé d une confiance qui avait été accordée lors des élections». Le contrôle du pouvoir, lorsqu il se multiplie, n aboutit pas à une meilleure «transparence» puisque, détaille-t-il : «le développement des formes de surveillance et ou d empêchement obéit à une loi de dissémination et de diffusion qui entraîne en retour une appréhension de plus en plus segmentée du champ de la politique. Il a un effet de déconstruction et d opacification. Ce qui est gagné en contrôle multiplié est perdu en visibilité et en lisibilité de l ensemble 76». C est pourquoi, pour Rosenvallon, il ne s agit pas tant de banalement regretter la dépolitisation des citoyens que de s inquiéter de cette «contre démocratie» : «Dans ce nouvel âge problématique de la démocratie les citoyens ne songent plus à conquérir le pouvoir pour l exercer. Leur but implicite est plutôt de le corseter et de l amoindrir, tout en déplorant les conséquences finales de ces pratiques qu ils chérissent quotidiennement. L idéal ne réside plus tant dans l appropriation du pouvoir que dans la constitution de ce dernier en un objet dont la transparence est supposée permettre un parfait contrôle 77». La surveillance du pouvoir, ou plus exactement la radicalisation de cette surveillance et son développement outrancier, sont d abord le signe d un échec du politique, au sens de la production d un monde commun. La transparence, dans ce contexte, est remplacement (et non, idéalement, un des moyens) de ce que l on échoue à réaliser. «Une véritable idéologie de la transparence s est ainsi peu à peu érigée en lieu et place de l idéal démocratique de production d un monde commun. La transparence est devenue la vertu qui s est substituée à la vérité 78 ou à l idée d intérêt général dans un monde marqué par l incertitude. Avec elle sont supposées se dissoudre sur un mode platement métaphorique, les tensions et les difficultés du 73 Le paradoxe de l outil ASMT est que cet outil, sous la forme d un surveillant des incidents provoqués par les contrôleurs aériens, est en même temps un outil de la défiance pouvant être mis au service d une institution de la défiance de type «regulation authority». 74 Pierre Rosanvallon. La contre-démocratie. La politique à l âge de la défiance. Seuil (p.257) 75 Ibid. (p.35) 76 Ibid. (p. 36) 77 Ibid. (p.262) 78 Cette idée est plutôt rare, car la transparence est très souvent associée au contraire à la «vérité». La vérité est une des connotations de la notion de transparence. Voir par exemple Thierry Libaert. La transparence en trompe l œil. Ed. Charles Leopold Meyer Voir dans cette thèse, les discussions des «vrais chiffres» de la sécurité, partie 2.

47 P a g e 47 monde. Faute de savoir ce que le pouvoir doit positivement faire, on ne se soucie plus que de ce qu il devrait être. ( ) La nouvelle utopie de la transparence devient de la sorte le moteur même du désenchantement qu elle entendait conjurer 79.». EXPRESSION OU SENTIMENT DE MEFIANCE? Cette dénonciation d une demande de transparence qui serait le signe de la radicalisation d une défiance à l origine constitutive des mécanismes démocratiques a le mérite d interroger la signification de la demande de transparence, et les dérives d une injonction qui en font une fin en soi. Cette critique sera reprise par d autres politistes comme on le verra plus loin. La signification de la demande de transparence comme expression d une défiance généralisée exige cependant un approfondissement, dans la mesure où, comme nous l avons vu avec Simmel plus haut, les liens entre transparence et confiance sont complexes. Il est dommage, d ailleurs, que Rosenvallon ne donne pas d exemples concrets de cette défiance envers le pouvoir, ce qui aurait permis de mieux expliquer le «glissement» qu il constate d une «bonne» défiance à une défiance qu il qualifie de pathologique. Or, les théories de la confiance les plus récentes complexifient encore le lien entre transparence et confiance. Ainsi, dans son analyse du «Républicanisme», Pettit fait la différence entre un sentiment de méfiance et une expression de méfiance. Selon lui, l expression de méfiance reste nécessaire dans une démocratie, même si elle ne correspond pas à un sentiment de méfiance; il explique : «Etre vigilant dans ce sens n implique pas que l on éprouve un sentiment de méfiance à l égard des autorités, ou du moins, cela n est pas nécessaire, cela revient simplement à maintenir vis-à-vis d elles un niveau d attentes extrêmement exigeant : c est exiger, par exemple, qu elles se conforment à certaines procédures, qu elles acceptent la mise en cause de leurs actes au parlement ou dans la presse, qu elles permettent l accès aux informations sur tel ou tel aspect important de la vie privée des gouvernants, et ainsi de suite 80». Des procédures existantes, qui instituent une forme de contrôle, de transparence envers un pouvoir républicain, ne témoigneraient donc pas, pour Pettit, d'un sentiment de méfiance. Les citoyens, continue-t-il, peuvent tout à la fois entretenir vis-à-vis de leurs gouvernants des sentiments de confiance, c est-à-dire croire en leur vertu, tout en maintenant institutionnellement l expression d une défiance, qui a pour but, notamment, de parer à la corruptibilité humaine et à l arbitraire des autorités. Dans la conception du républicanisme de Pettit, il n y a donc pas de contradiction entre la vigilance «institutionnalisée» des citoyens et un sentiment global de confiance. 79 Ibid. (p.263) 80 Philippe Pettit. Républicanisme. Une théorie de la liberté et du gouvernement. Essais. Gallimard (p.354)

48 48 P a g e L INSTITUTIONNALISATION DE LA DEFIANCE En élaborant une théorie sociologique de la confiance 81, Sztompka va encore plus loin en exprimant ce qu il nomme les paradoxes de la démocratie. Il considère que la défiance institutionnalisée permet la confiance spontanée. La défiance reste en quelque sorte virtuelle, elle ne se concrétise pas par des actions. Sztompka présente sans doute une vue plus optimiste, dans laquelle l organisation de la défiance permet des actions potentielles, qui, en réalité, ne se réalisent que rarement. Il propose le concept d institutionnalisation de la défiance et le formule ainsi : «L emphase sur l accountability et le préengagement signifie que la confiance dans un régime démocratique est due précisément à l institutionnalisation de la défiance dans l architecture de la démocratie 82». Il énonce ainsi ce qu il nomme le premier paradoxe de la démocratie : «plus il y a de défiance institutionnalisée, plus il y aura de confiance spontanée» 83. Il est cependant important que ces différents moyens de contrôles, qui sont autant de contrepouvoirs (l auteur donne l exemple des media, des actions en justice, de l ombudsman, ) ne soient pas amenés à une «hyperactivité» qui serait le signe que la confiance est en fait très souvent trahie. Sztompka énonce ainsi ce qu il nomme le second paradoxe : «La disponibilité potentielle extensive des contrôles et des vérifications démocratiques doit correspondre avec leur actualisation très limitée. La défiance institutionnelle doit rester dans l ombre, comme un cadre protecteur à distance pour des actions confiantes spontanées 84». Poursuivant l exploration des paradoxes qui sous-tendent les relations entre la confiance et la démocratie, Sztompka montre que les régimes autocratiques tentent au contraire d institutionnaliser la confiance. Le gouvernement exige formellement des citoyens la confiance et sanctionne son absence. Il n accorde pas sa confiance aux citoyens et met en place un système élaboré de surveillance et de contrôle. Le paradoxe de l autocratie est alors le suivant : «La confiance institutionnalisée provoque la défiance "envahissante 85». Si on tente une reformulation dans les termes et les concepts du travail présent, on pourrait avancer que la transparence (au sens littéral de visibilité, surveillance) fonctionne ici comme une potentialité qui suffit à permettre la confiance. La transparence est possible, mais non ou peu réalisée. Cependant, Szompka parle d une confiance «spontanée» alors qu elle nous paraît au contraire très construite. On verra, dans le chapitre suivant, comment La Porte, en 81 Piotr Sztompka. Trust, a sociological theory. Cambridge university press, «The emphasis on accountability and pre-commitment means that trust in a democratic regime is due precisely to the institutionalization of distrust in the architecture of the democracy». Ibid. (p.140) 83 «In brief : the more there is institutionalized distrust, the more there will be spontaneous trust». Ibid. (P. 140). 84 «The extensive potential availability of democratic checks and controls must be matched by their very limited actualisation. Institutionalized distrust must remain in the shadows, as a distant protective framework for spontaneous trustful actions». Ibid. (p.146) 85 This is the paradox of autocracy : institutionalized trust produces pervasive distrust». Ibid. (p.150)

49 P a g e 49 sociologie des organisations, parle effectivement de mécanismes, qui nous semblent apparentés aux principes décrits par Sztompka, mis en place pour «mériter la confiance». C est bien parce qu il y a institutionnalisation de certains mécanismes qu il y a possibilité de confiance, qui, dès lors, apparaît spontanée. Comme conclusion provisoire, force est de constater que s il est tentant de faire de la transparence le «signe» d autre chose, il est moins facile de s accorder sur ce à quoi renvoie la demande de transparence. Les liens entre transparence, confiance, défiance, expression de défiance restent à explorer dans un cas concret où ils pourront apporter une contribution à l étude de leur intrication. LA CRITIQUE POLEMISTE UNE CRITIQUE GLOBALE Un dernier type de critique reste à aborder. Elle est qualifiée ici de polémiste dans le sens où elle s élève contre l abus des injonctions à la transparence qui font de celle-ci une vertu, une «pure positivité» (Chevallier 86 ). Elle déborde largement, contrairement aux auteurs que nous venons de voir, le champ politique de la transparence, pour s attacher à la pluralité des manifestations et injonctions de transparence. Quelques caractéristiques de cette critique peuvent être soulignées : la transparence est vue comme un phénomène global, multiforme, mais cependant sous-tendu par une profonde logique sous-jacente à ses différentes manifestations. Au-delà de leurs sensibilités différentes, ces critiques nous paraissent pouvoir être regroupées en ce qu elles reconnaissent une forme de légitimité à la notion de transparence dans sa dimension de contre-pouvoir, mais qu elles en stigmatisent avant tout les excès à notre époque. Deux exemples emblématiques sont ici présentés. LA TRANSPARENCE : UNE VERTU? Ainsi, pour Jean-Denis Bredin, il ne s agit pas de stigmatiser l idée de transparence, ou encore moins de regretter un temps révolu où les secrets étaient mieux protégés : «Le combat contemporain, conduit au nom de la transparence, trouve sans aucun doute des justifications démocratiques. Il a éclairé la vie publique et politique. Il a percé les mystères de la corruption ( ). Il a fait des citoyens mieux informés, plus instruits, plus matures, plus méfiants 86 Jacques Chevallier. Le mythe de la transparence. Problèmes politiques et sociaux, n 679. (p.4). Cité par : Christian Lequesne. «La transparence, vice ou vertu des démocraties», in Joël Rideau (dir.), La transparence dans l'union européenne, Mythe ou principe juridique?, Paris, Librairie Générale de Droit et de Jurisprudence, 1998.

50 50 P a g e peut-être, mais qui peuvent, s ils le veulent, mieux tenir leur fonction citoyenne 87» On retrouve le point commun de cette critique de la transparence qui s inquiète avant tout des dérives, des exagérations, du «trop» de transparence. Cette critique est assez classique. La particularité de Bredin est d étudier le lien entre secret, transparence, et démocratie. Il le rappelle en préambule, le secret est un mot ambigu, aussi bien expression de l intimité, de la discrétion, que de l opacité et de la dissimulation. La transparence, continue-t-il, est peut-être aussi équivoque : «Elle semble se confondre avec la vérité, la clarté, la limpidité, la pureté même». Mais ne serait-elle pas aussi : «impudeur, indiscrétion, irrespect des autres 88?». L auteur cependant, s intéresse surtout au lien fait entre transparence et vérité, «dont elle serait un synonyme à la mode 89». Or, défend-il, les grandes influences qui se sont exercées sur nous ont toutes exalté la vérité. «La tradition juive, la pensée grecque, le discours romain se sont nourris d elle. Le dieu des chrétiens a enseigné, incarné, la vérité. ( ) Que fut la civilisation des Lumières, dont le nom-même appelle à la transparence, sinon le refus des préjugés, des superstitions, des mensonges? Que fut l esprit révolutionnaire, ce qu il voulut ou prétendit être, sinon une impitoyable revendication de vérité? 90». Ce règne de la vérité a aussi imprégné le droit français, civil et pénal. Mais souligne l auteur, des exceptions ont toujours permis de protéger de nombreux «secrets» : secret d état, secret défense, secret de l instruction, etc. Ces secrets reculent peu à peu, alors que des lois dites de transparence prennent une place grandissante: «La vérité se déploie ainsi à travers les lois, et s il se peut à travers les mœurs, comme le fondement d une «vraie» démocratie 91». Parmi les causes de cette montée de la transparence, l auteur relève le rôle croissant de l image, encore tenue pour une forme de révélation de la vérité, même si, concède-t-il, nous apprenons peu à peu à nous méfier d elle, à en décoder les habiletés ou les mensonges. Bredin considère cependant qu elle reste encore le «messager naturel» de la vérité pour la plupart d entre nous. Le rôle des technologies de l information est évidemment également pointé : «La transparence parfaite ne risque-t-elle pas d être l inévitable conquête des nouvelles technologies 92?». 87 Jean-Denis Bredin. Secret, Transparence et démocratie. Transparence et secret. POUVOIRS, N 97, Seuil. (p.12) 88 p 5. Ibid.. 89 P 6. Ibid. 90 Ibid. (p.6) 91 Ibid. (p.9) 92 Ibid. (p.11)

51 P a g e 51 Cependant, la montée de la transparence a peut être des racines plus profondes : «La transparence ne deviendrait-elle pas la vertu suprême, sinon l unique vertu d une société qui n en porterait plus d autres? Le déclin des religions, des passions nationales, des idéologies, et des vertus qu elles prétendaient porter, n aurait-il pas finalement servi la vérité devenue comme la bouée de sauvetage d une morale dans de vieilles démocraties trop secouées par l histoire? 93». Là aussi, la transparence serait avant tout un «signe». La transparence viendrait prendre la place laissée vacante par d autres vertus oubliées. Elle serait un «ultime refuge» pour une démocratie qui aurait perdu ses rêves. D autres soucis, d autres valeurs auraient disparu au profit de la transparence, érigée désormais en valeur suprême. Au risque de tenir pour désuet le respect de l individu, de ses secrets, de ses mystères. La transparence, conclut Bredin n est pas encore despotique, mais elle pourrait le devenir sans la vigilance démocratique. Il faudrait «se méfier d elle, comme de la tyrannie de toutes ces vertus que prétendirent porter, pour mieux accomplir leurs missions terribles, les religions, les nations et les doctrines 94». UNE «FRENESIE DE TRANSPARENCE»? Un degré de plus est franchi, dans une veine polémiste, avec un cri d alarme lancé par le constitutionnaliste Guy Carcassonne. Dans un article intitulé «le trouble de la transparence 95», il dénonce une «frénésie de transparence», et même une «transparence névrotique 96» : «Le voile était pudique, il est devenu indécent. Où rien ne devait troubler le regard, rien ne doit plus l entraver. La transparence l exige. La transparence est irrésistible. Il suffit qu elle veuille pour que l on doive. Hommes ou procédures, c est tout un, il leur faut céder. Qui se veut respectable se doit d être transparent. ( ) La discrétion est suspecte, la pudeur maladive, l opacité illégitime, le secret monstrueux. Vivement que disparaissent les rideaux aux fenêtres 97». C est une critique qui met en relation le voyeurisme, l exhibitionnisme ambiant dans la vie privée et les injonctions de transparence dans la vie publique. Les institutions sont désormais jugées avant tout à l aune de leur transparence, au détriment d autres critères. En cela, l auteur rejoint Rosenvallon et sa critique, déjà exposée : «Faute de savoir ce que le pouvoir 93 Ibid. (p.11) 94 Ibid. (p.14) 95 Guy Carcassonne. Le trouble de la transparence. Transparence et secret. POUVOIRS, N 97, Seuil 96 Ibid. (p.20) 97 Ibid. (p.17)

52 52 P a g e doit positivement faire, on ne se soucie plus que de ce qu il devrait être». Comme chez Bredin, la critique se défend bien d être une apologie du secret et de l opacité. «Disons-le fermement et une fois pour toutes : l Etat, en France, a toujours eu le secret maladif 98» assène l auteur en préambule de son réquisitoire. L opacité était devenue une «habitude», la presse et la magistrature jouant le jeu. Ce n était peut être pas si mal : «L on se satisfaisait de découvrir le dessous des cartes tel que le canard enchaîné était supposé le révéler chaque semaine et on s en tenait là 99». Mais, continue Carcassonne, la situation s est maintenant renversée : «l absence de transparence est en elle- même un chef d accusation grave 100». Or, la transparence est avant tout un moyen, et non une fin. Un moyen lié au contrôle (juridictionnel, politique ou médiatique) qui peut ainsi s effectuer sur des éléments indiscutables, précis, grâce à la transparence justement. C est pourquoi, en conclusion : «C est ce qui lui donne sa légitimité, mais devrait logiquement aussi lui donner sa limite : lorsqu il n y a pas lieu, ou pas encore, à un contrôle l on n a que faire de la transparence 101». La transparence n est pas toujours souhaitable, le mensonge est parfois «fructueux» : l auteur cite deux exemples : la paix en Nouvelle Calédonie et les accords d Oslo qui ont d abord été négociés dans le secret. Le secret a donc une fonction, une utilité et même une légitimité dans les affaires humaines : l auteur rejoint ici Simmel et sa «défense» du secret, à cela près que ce dernier n opposait pas celui-ci à une quelconque demande de transparence, qui n était pas dans l air du temps à cette époque. Le paradoxe soulevé par Carcassonne est celui d une exigence démocratique réalisant le rêve du totalitarisme : le contrôle total. «C est même ce qui le distingue de la banale dictature, qui ne cherche à détecter que ses ennemis, réels ou supposés. Le totalitarisme a besoin de tout savoir pour tout contrôler 102». CONCLUSION Ces critiques présentent une unité certaine. D abord, elles analysent la transparence comme un phénomène global de nos sociétés modernes. Les différentes manifestations de la transparence sont comprises comme sous-tendues par un courant profond, une sorte d «essence» de la transparence qui serait à l œuvre, et qui expliquerait des manifestations 98 Ibid. (p.18) 99 Ibid. (p.18) 100 Ibid. (p.19) 101 Ibid. (p.19) 102 Ibid. (p.22)

53 P a g e 53 aussi diverses qu une impudeur grandissante dans les émissions de télé-réalité, la traque de la vie privée des hommes publics, le développement de techniques de surveillance et de contrôle ainsi que de possibilités de fichage, l existence désormais institutionnalisée d organismes comme «transparency.org» qui dénonce la corruption et l opacité de certains pays, les lois sur la transparence qui confèrent un meilleur droit d accès à l information pour le citoyen, etc. Cependant ce type de critique se garde bien de prôner l opacité : elle concède bien volontiers que certaines lois sur la transparence ont leur légitimité, qu une démocratie ne saurait s accommoder d un pouvoir totalement opaque, et que les mécanismes de contre-pouvoirs qui sont sous-tendus par une forme de transparence sont par conséquent indispensables. C est pourquoi cette critique apparaît comme «tiraillée» entre une dénonciation d un phénomène de fond qui gouverne désormais la vie de nos démocraties, et la reconnaissance d une certaine légitimité à la demande de contrôle des citoyens. Le discours volontiers polémique, qui ferraille vigoureusement contre le culte de la transparence, en appelle à la mesure, au juste milieu, à la raison. Il faudrait combattre non la transparence qui reste tout de même aussi une vertu, mais son excès : le «culte», la «frénésie», la «névrose» de transparence pour reprendre quelques expressions utilisées par les auteurs cités plus haut). Nous allons maintenant explorer une autre voie critique de la transparence. Il s agit d examiner diverses manifestations de la rhétorique de la notion de transparence, et son usage souvent idéologique. Certes, les auteurs que nous venons d aborder ont eux aussi dénoncé à leur façon la part rhétorique de la transparence, dans la mesure où ils s inquiètent de la prolifération d un discours d «injonction de transparence» qui traverse tous les domaines de notre vie. Mais le ton volontiers polémiste ne s embarrasse pas des distinctions qui pourtant peuvent être opérées entre les différents sens de la transparence, selon les contextes dans lesquels elle est utilisée. Or, on peut juger navrante une certaine littérature d exposition de soi, ainsi que certaines émissions de télé-réalité étalant l intimité des personnes dans un sordide déballage de sentiments, et on peut juger légitime que la lumière soit faite sur les indemnités colossales perçues par un dirigeant d entreprise quittant sans vergogne son poste en laissant derrière lui une entreprise exsangue. Dans les deux cas, il s agit bien de transparence. C est pourquoi, lorsqu une certaine critique, après avoir stigmatisé le culte de la transparence, en appelle à une dose «raisonnable», on reste un peu sur sa faim. Les auteurs se sont attachés à identifier une sorte d essence de la transparence qui soustendrait de sa logique profonde toutes les manifestations de la transparence. Nous défendrions qu il existe plutôt entre ces manifestations de la transparence un «air de famille», au sens que Wittgenstein donne à cette expression, car, à l issue de ce tour d horizon, la recherche d un concept de la transparence, dont les différentes manifestations ne seraient que des instances d une «essence» commune, ne nous paraît pas très éclairante. De plus, dans la perspective de ce travail, qui est bien d étudier la notion de transparence dans les domaines à risques, il est important d aborder la transparence de façon suffisamment

54 54 P a g e analytique, en identifiant notamment les significations qui se rattachent à ce terme lorsqu il est évoqué dans ce contexte. 7. LA RHETORIQUE DE LA TRANSPARENCE INVOQUER LA TRANSPARENCE : UNE TENTATIVE DE CLASSIFICATION Devenue une véritable scie du discours contemporain, la transparence n échappe pas à un usage idéologique, qui s appuie sur une rhétorique bien huilée : elle produit alors, dans la grande majorité des cas, un discours facile, consensuel qui fait de la transparence une de ces notions molles 103 pour reprendre le mot de Lequesne, suffisamment floues et positives pour échapper la plupart du temps à un usage nuancé et critique. Nous avons déjà évoqué la critique du culte de la transparence, pour reprendre le mot de Jean-Denis Bredin. C est une critique qui s inquiète du développement de l injonction de transparence et qui en appelle à un peu plus de mesure : il faut se garder, dans un excès inverse, d ériger l opacité en vertu. La critique que l on se propose de présenter maintenant est une critique de la rhétorique de la transparence, au sens où l on s intéresse à la façon dont le terme est évoqué, plutôt qu à la demande de transparence elle même ou à ses manifestations. Cependant il nous paraît important de nuancer le propos, et de distinguer ces usages en fonction des stratégies qui sont utilisées par les acteurs qui utilisent la notion de transparence dans leurs discours. A partir d extraits de journaux, on se propose de distinguer trois catégories, qui seront illustrées chacune par un article de presse. C est ainsi que seront analysées la transparence-vertu, la transparence-stratégie et la transparence-orchestrée. LA TRANSPARENCE-VERTU Octobre En pleine crise financière, Le Monde de l économie consacre un dossier intitulé : Dix propositions pour rendre l économie plus transparente 104. Dans les semaines qui ont précédé, depuis le début de la crise, l appel à la transparence comme remède, ou la dénonciation du manque de transparence comme origine de tous les maux ont été constants dans les médias et semblent dépasser les clivages intellectuels et politiques. 103 Christian Lequesne. «La transparence, vice ou vertu des démocraties», in Joël Rideau (dir.), La transparence dans l'union européenne, Mythe ou principe juridique?, Paris, (p.11) 104 Le Monde du 27 Octobre 2008.

55 P a g e 55 Dix propositions pour rendre l économie plus transparente Encadrer la titrisation Taxer les marchés de gré à gré Améliorer la législation sur l attribution des crédits Réglementer les fonds spéculatifs et le capital investissement Conforter le contrôle interne Limiter les bonus et les golden rémunérations Revoir les normes comptables Etendre la lutte contre l inflation à l immobilier et à la bourse Interdire la spéculation aux banques de dépôt Renforcer le Fonds Monétaire International Limiter la volatilité des monnaies Augmenter le pouvoir des autorités de régulation Relancer la coopération contre les places off shore Encadrer les agences de notation Si l on y regarde de plus près, toutes ces mesures ne concernent pas, loin s en faut, la transparence dans son sens littéral. Certaines ont effectivement un lien direct avec une augmentation de la visibilité d informations financières ou économiques, d autres portent sur des modifications institutionnelles, d autres enfin relèvent plutôt de la moralisation de l économie. Y compris dans le premier cas, la transparence littérale n est pas ce qui est visé in fine : il ne s agit pas de rendre des informations plus visibles (sens strict de la transparence), il s agit de les rendre plus visibles pour les contrôler davantage. La transparence n est, dans la majeure partie des exemples, qu un outil, un préalable, alors qu elle est implicitement présentée dans le titre comme un objectif. Le contrôle, qui est quant à lui une des finalités véritables, ne va pas sans le renforcement de certaines institutions (FMI, autorités de régulation) et l augmentation ou la révision de règles (normes comptables, nouvelles taxations). Il s agit enfin de modifier des pratiques condamnables (limiter les bonus et les golden rémunérations, relancer la coopération contre les places off shore, ). Dans cet exemple, le terme de transparence est surtout utilisé pour ses connotations que nous avons déjà soulignées et qui en font une vertu. Par un subtil glissement de sens, être transparent équivaut à être vertueux. Ou encore, de la transparence découlerait automatiquement la vertu : «the more we are watched, the better we behave» disait déjà Bentham. Il s agit dans ces mesures, lorsque l on y regarde bien, avant tout de moraliser l économie, d empêcher la prise de risques trop importants, de renforcer le contrôle pour éviter des spéculations éhontées. Certes, la transparence est un des outils, une des façons d y

56 56 P a g e parvenir, pour certains de ces aspects. Ainsi, pour contrôler, encore faut-il savoir un tant soit peu ce qui se passe. Savoir qui implique, on reviendra plus loin sur cet aspect capital, que l information soit visible mais aussi qu elle soit compréhensible 105. Pourtant, la transparence est exprimée ici comme une fin en soi, un objectif en tant que tel, et, ce, sans doute, parce que pour tout lecteur, le terme de transparence n est quasiment plus compris seulement dans son sens littéral, et qu il est désormais chargé de toutes ces connotations vertueuses. LA TRANSPARENCE-STRATEGIE En juin 1999, Anne Lauvergeon est nommée à la tête de la COGEMA (organisme en charge, notamment du traitement des déchets nucléaires, devenue, depuis lors, AREVA). Elle s entretient avec un journaliste du Monde et exprime sa volonté de transparence, après plusieurs années durant lesquelles justement l entreprise a souvent été épinglée pour son opacité. Voici un extrait de cet entretien 106 : Rompant avec la culture du secret, COGEMA décide de jouer la transparence. Pourquoi vous focaliser sur la Hague qui n'est qu'une de vos activités? Tant de choses ont été racontées qu'il nous faut être transparents et montrer que nous n'avons rien à cacher. Nous sommes tous des petits Saint-Thomas, la meilleure solution est donc de se rendre compte soi-même de ce qui se passe. L'usine va être équipée de caméras qui filmeront en permanence des points stratégiques et les images seront retransmises sur un site Web. Dès le 2 novembre, les internautes pourront voir ce qui se passe vingt-quatre heures sur vingt-quatre, suivre le déchargement des combustibles, l'activité à la gare de Valognes, ou encore observer les piscines d'entreposage de combustibles usés. Les films seront accompagnés de descriptions factuelles permettant de comprendre ce qui se passe. Chacun pourra aussi poser ses questions, par l'intermédiaire d'un numéro vert. Nous lançons simultanément une campagne de publicité. Cette observation permanente ne s'apparente-t-elle pas à l'œil de Big Brother qui espionne partout? Ce n'est pas le cas. Toute cette installation a été conçue en concertation avec le personnel. La CNIL (Commission nationale informatique et liberté) a rendu un avis favorable. Les syndicats souhaitent le compléter d'un aval juridique dont il sera tenu compte pour garantir le droit de chacun. Nous avons fait en sorte que les caméras soient suffisamment en hauteur pour que les salariés ne puissent pas être 105 Les idées exposées dans Malcolm Gladwell,. "The ENRON enigma. Open Secrets". The New Yorker. 8 janvier 2007, sont analysées dans la partie III. Gladwell s inscrit également dans la lignée de Denis de Rougemont «informer n est pas savoir». (in : L imaginaire des techniques de pointe, sous la direction d'alain Gras et de Sophie Poirot Delpech). 106 Le Monde du compléter.

57 P a g e 57 reconnus. C'est important. Dans les salles de contrôle, à leur demande, l'idée est de ne pas filmer en continu mais par période de deux heures. Un voyant rouge s'allumera alors. Pensez-vous convertir les gens aux vertus du nucléaire? Ce n'est pas l'esprit de ma démarche. L'essentiel est de retrouver un dialogue apaisé avec tous les gens qui se posent des questions. Nous vivons dans une société anxiogène. L'alimentation, le nucléaire font partie de ces angoisses. Il faut accepter ces inquiétudes et ne pas les récuser. Ce second extrait de presse relève de ce qu on se propose d appeler la transparence-stratégie. Il s agit d une stratégie de communication, qui se revendique d ailleurs partiellement comme telle : c est une réponse explicite, organisée, à un public «anxieux» ou «opposé». Certes, c est bien le journaliste qui a choisi ce titre évoquant le passage d une culture du secret à la clarté. Mais il est cohérent avec les termes employés par Anne Lauvergeon qui évoque explicitement la nécessité pour l organisme qu elle dirige d être transparent. Il n est d ailleurs pas anodin, que, dans un contexte hautement scientifique et rationnel, la présidente de la COGEMA et le journaliste utilisent un vocabulaire lié à la religion, à la croyance. Pour justifier la solution qu elle propose, Anne Lauvergeon déclare : «Nous sommes tous des petits Saint Thomas». Il s agit de «donner de la visibilité» à tous ceux qui, comme Saint Thomas, ne croient que ce qu ils voient. Le journaliste se demande s il s agit de convertir les gens aux vertus du nucléaire Ceci peut sans doute s expliquer par le fait que, derrière un discours qui fait appel à la raison, se dessinent surtout des enjeux symboliques. Il s agit en effet de (re)gagner ici la confiance du public, alors que ce mot n est pas explicitement prononcé au cours de l entretien. Nous avons vu plus haut, avec Simmel, que «la culture» permettait de définir ce qu il était nécessaire de savoir pour faire confiance. La technique permet ici une autre réponse (dont on entrevoit les limites) : elle donne ici «tout» à voir, à l aide de caméras installées «partout» sur le site et dans les lieux stratégiques. De façon assez frappante, la transparence n est plus une métaphore, elle est prise «à la lettre». Ce «tout» est-il une réponse pertinente à une critique déjà ancienne d Ellul qui stigmatisait en son temps une certaine forme de communication? Ecoutons-le : «L usine ouverte» incite forcément à la confiance et à l admiration. Et le public sera forcément favorable à cette usine parce qu il la connaît, parce qu il a aussi, dans son milieu, cette supériorité sur les autres de la connaître. Or, ceci est fallacieux : le visiteur ne connaît rien. Il ne voit que ce qu on veut bien lui faire voir, il voit le bel aspect. On ne lui fera visiter ni l atelier où règne en permanence une température d étuve, ni la rampe non protégée où ont lieu des accidents mortels, ni les trajets défectueux

58 58 P a g e des feeders, etc. Car rien n est plus facile que de camoufler les vices de l usine aux yeux des non techniciens 107». Nous reviendrons plus loin sur la dimension proprement technique de la transparence et sur son étude dans un cas concret. En effet, avec la technique (ici des caméras, ailleurs, dans notre cas étudié dans le contrôle aérien, un système enregistrant des pertes de séparation entre avions), la transparence passe de la métaphore à une traduction concrète, dans laquelle des informations sont vraiment rendues visibles. Mais l outil technique reste chargé des dimensions symboliques qui sont celles de la transparence lorsqu elle est prise dans un sens métaphorique : sincérité, vertu, vérité. Cette stratégie de la transparence s appuie de façon particulièrement explicite et revendiquée sur l utilisation de la technique, censée ici «tout» montrer. Les personnes n ont plus besoin de faire confiance, si l on reprend les termes de Simmel : «celui qui sait tout n a plus besoin de faire confiance». Le statut de la confiance est cependant assez complexe ici : le terme n est pas évoqué, il est en filigrane, en creux, comme si la confiance était un enjeu d importance, mais qu il ne fallait pas évoquer explicitement, sous peine de provoquer, justement, son inverse : sentiment de méfiance envers une forme de manipulation inhérente à une action de communication. LA TRANSPARENCE-ORCHESTREE Une dernière catégorie regroupe sans doute l usage le plus abouti et le plus pervers de la rhétorique de la transparence. Il s agit en effet de «mettre en scène», de «jouer la transparence», sans obligatoirement employer le mot lui-même dans un discours, mais en souhaitant à coup sûr être, justement, qualifié de «transparent». La notion de rhétorique s applique habituellement aux discours, il peut paraître abusif de parler ici de rhétorique pour caractériser un ensemble d actions. Le terme nous semble cependant justifié dans la mesure où il s agit de se conformer à une image, de manier des actions plutôt que des mots, dans le but de produire un effet précis. Il s agit ici d orchestrer des actions que l on souhaite voir qualifiées de «comportement transparent». En voici un exemple particulièrement significatif. En Mai 2008, la Chine est confrontée à un séisme qui fait plus de morts. Contrairement aux habitudes du pays, ce désastre sera largement couvert par les médias. Un article du Monde 108 titre : Chine. Le pouvoir affiche sa compassion pour les sinistrés du Sichuan et vante l efficacité des secours «Transparence» inédite en Chine après le séisme. 107 Jacques Ellul. De la Signification des relations publiques dans la société technicienne. L année sociologique (p.115) 108 Bruno Philip (avec Sylvie Kauffmann à Shanghaï). Le Monde. 18 mai 2008.

59 P a g e 59 Il est très rare de voir le mot de transparence écrit avec des guillemets. Le Monde explique la large couverture médiatique du séisme, dans un article que nous citons in extenso (nous avons souligné les points discutés ci après) : «Transparence» inédite en Chine Confrontée à l'une des plus dramatiques catastrophes naturelles de son histoire, la République populaire de Chine a choisi de gérer la crise de façon inédite. Les médias ont couvert l'événement comme jamais aucun appareil de propagande du régime ne l'avait fait auparavant. Les chaînes de télévision ont multiplié les directs, assurant une large couverture des zones sinistrées, alternant entretiens avec les survivants, débats avec des sismologues, reportages avec l'armée dans des zones reculées. Le bilan des victimes, qui dépassera sans doute les morts, a été actualisé en permanence, une première dans un pays dont le régime cultive d'ordinaire avec obsession le culte du secret de l'information. Réalisant qu'à l'heure d'internet et des téléphones mobiles il était désormais bien difficile de dissimuler de tels événements, le gouvernement a préféré jouer la carte de ce que l'on pourrait appeler, dans le contexte chinois, la transparence. Un concept d'ouverture qu'il faut tout de même relativiser. Le responsable de la propagande, Li Changchun, membre du cénacle restreint du comité permanent du bureau politique du Parti communiste, a prévenu, cette semaine, les médias que leur couverture «doit garantir l'unité, encourager la stabilité et donner la priorité à une propagande positive»... Chez les intellectuels et les «décideurs» chinois, dont certains critiques du gouvernement, on se félicite de ce choix. Lors de la Conférence internationale des femmes, organisée à Shanghaï, de nombreux chefs d'entreprise ont ainsi loué la rapidité et l'efficacité de la gestion du désastre. Yu Yu, PDG de dangdang.com, premier distributeur chinois de livres sur Internet, se souvient qu' «en février, pendant la vague de froid [dont les conséquences ont été très mal gérées par les autorités], les gens ont largement exprimé leurs frustrations et leur colère sur Internet. Trois mois après, confronté au séisme dans le Sichuan, le pouvoir réagit immédiatement, fournit régulièrement des bilans des victimes mis à jour, canton par canton, région par région... En près de cinquante ans de Chine populaire, on n'a jamais vu ça. Nous sommes tous stupéfaits par la rapidité et l'étendue de ce changement.» Les intellectuels libéraux s'engouffrent également dans la brèche. Des réactions publiées dans le quotidien cantonais Nanfangdushibao, des sociologues, des philosophes, des professeurs tressent des couronnes au régime, ne serait-ce que pour mieux le pousser à continuer dans la direction de l'ouverture... Beaucoup font également le parallèle avec la gestion du tremblement de terre de Tangshan, en 1976, qui a fait officiellement morts, mais dont le bilan fut annoncé trois ans plus tard. «Trente-deux ans [après ce séisme], nous voyons quelque chose de nouveau se passer en Chine : le public est désormais informé», remarque le sociologue Zheng Yefu. Le journaliste Qiu Liben prédit que si «

60 60 P a g e la Chine embrasse la liberté de l'information, elle sera respectée par le reste du monde.» L'allusion à la réprobation internationale contre Pékin durant la crise tibétaine est claire. L'expert en économie Wu Xianghong en profite pour mettre en garde le régime : «Quand une société fait face à un désastre, tout le monde doit rester uni et ne pas critiquer le gouvernement. En revanche, en temps normal, le gouvernement doit garantir à ses citoyens la liberté d'expression, s'il veut mériter la confiance et le soutien de son peuple...» «GRAND-PÈRE WEN EST LÀ» Derrière leurs louanges à l'égard des autorités, on sent que ces intellectuels s'efforcent de faire valoir que la transparence encore relative devrait être le début de la disparition totale de l'opacité. A ce propos, une nouvelle réglementation donnant l'ordre aux autorités locales de publier toute information liée, notamment, aux catastrophes naturelles, avait été promulguée le 24 avril Elle est entrée, opportunément, en vigueur le 1er mai 2008! Politiquement, le pouvoir s'est attaché à donner un écho maximum aux efforts déployés par le gouvernement pour sauver les vies. Il s'est employé à dramatiser les images illustrant la compassion des dirigeants pour les victimes et les sinistrés. Peu après le séisme, le premier ministre Wen Jiabao est arrivé sur les lieux de la catastrophe. On a vu sur les écrans de télévision cet homme de 65 ans ne pas ménager sa peine, parcourant les villes détruites, tenant des bébés dans ses bras, consolant des enfants en leur disant de ne pas s'inquiéter car «grand-père Wen est là», disant adieu à des blessés emmenés par hélicoptère, main levée et mine tragique de circonstance. En fin de semaine, le président de la république Hu Jintao, certes dépourvu du charisme de son chef de gouvernement, est venu appuyer l'action de celui-ci en faisant un bref passage au Sichuan. Médiatiquement, l' opération Wen Jiabao a été couronnée de succès. Les observateurs remarquent que le premier ministre est désormais la personnalité politique la plus populaire en Chine, figure compassionnelle illustrant la bienveillance du pouvoir pour son peuple. Sur l'équivalent chinois de «YouTube», «tudou.com», une vidéo intitulée «premier ministre Wen, vous avez ému la Chine et le monde» fait fureur. Sur le site de la télévision centrale, le forum «Wen, nous t'aimons» attire de nombreux internautes. La «transparence» à la chinoise vis-à-vis des médias étrangers reste, quant à elle, plus contrastée. Si la plupart des journalistes accrédités à Pékin ont pu travailler cette semaine dans des conditions satisfaisantes, les vieux réflexes de méfiance à l'égard de la presse étrangère n'ont pas disparu. Après les premiers jours d'ouverture, les correspondants de presse sont désormais régulièrement bloqués par la police et empêchés de se rendre sur les principaux lieux du séisme, signe, peut-être, d'une reprise en main.

61 P a g e 61 Jean-Denis Bredin soulignait le rôle de l image dans l avènement du culte de la transparence : elle reste, pour la plupart d entre nous, rappelons-le : «le messager naturel de la vérité 109». Ici, le régime chinois, conscient de la difficulté à cacher une catastrophe de cette ampleur «à l heure des téléphones portables et d internet», choisit habilement de montrer l information, mais, dans la mesure du possible, d une façon qui valorise le rôle des autorités locales et du gouvernement 110. L usage peut être qualifié de rhétorique car il s agit bien de dire au monde : «regardez, nous sommes désormais transparents». Il s agit d agir en conformité avec ce qui devient un modèle dominant aux yeux des démocraties, mais il ne s agit qu apparemment d une renonciation à l opacité. Ce qui est montré, loin d être signe d ouverture, témoigne avant tout d une meilleure maîtrise des codes de la bonne conduite à afficher aux yeux de la scène internationale. Cette transparence organisée est donc aussi une forme, bien subtile, de propagande. Ce à quoi un journaliste du Monde peut répondre par la subtilité d une «transparence» écrite entre guillemets. Reste à mesurer l effet vertueux de la transparence : jusqu à quel point peut-on jouer dans une crise comme celle-ci la bonne gestion, la «compassion», sans fournir un minimum d efforts réels (par exemple, sans organiser un tant soit peu les secours, et ceci de façon plus efficace que dans des catastrophes antérieures)? Est-ce entièrement fabricable à l heure de certaines technologies dont l article souligne qu elles avaient, tout de même, permis un minimum de visibilité pour des drames antérieurs? TRANSPARENCE ET LISIBILITE Le lecteur un tant soit peu attentif pourrait conclure à ce stade que la différence est bien ténue entre la transparence-stratégie et la transparence-orchestrée. Dans les deux cas, en effet, se présente l idée de donner à voir, de bâtir une communication basée sur la fourniture d éléments visibles. Dans les deux cas, le «label» de transparence est visé, puisque celle-ci est devenue vertu. Proposons cependant d identifier une nuance entre ces deux situations. La métaphore du dévoilement caractériserait le cas de la COGEMA, puisqu il s agit d ajouter à une situation existante (une usine qui retraite des déchets nucléaires), des cameras qui rendent cette activité visible de tous. En revanche, dans le cas de la catastrophe en Chine, la «situation» montrée (l organisation des secours, la compassion des dirigeants) semble bâtie de façon ad hoc «pour» être ensuite rendue visible aux yeux du monde. C est du moins ce que suppute le journaliste qui parle de cette «transparence» entre guillemets. Un paradoxe qui est d importance, et sur lequel nous reviendrons car il est particulièrement pertinent pour les organisations à risque, concerne la lisibilité de l information ainsi délivrée. 109 Jean-Denis Bredin. Op. cit. (p.10) 110 Bien sûr, toute communication médiatique est mise en scène. L information est «fabriquée» pour reprendre le titre d un ouvrage de Miguel Benassayag et Florence Aubenas. Ce qui ne veut pas dire que la plupart des journalistes n aient pas, aussi, un souci de vérité. Souci qui semble ici secondaire.

62 62 P a g e Dans le premier cas, l information est seulement dévoilée, le processus de traitement des déchets nucléaires était le même avant et après l installation des caméras, si on prend, bien sûr, comme hypothèse de travail que Anne Lauvergeon était quelque peu sincère dans cette opération de communication 111. Or, l information filmée est fort peu lisible pour le néophyte : même assortie d explications émanant des personnes compétentes à la COGEMA, ce qui est fourni, un ensemble d images vidéo de différents points de l usine, reste dénué de sens pour le citoyen-récepteur auquel il est censé s adresser car ce dernier reste le plus souvent incompétent. Dans le second cas, l information est au contraire parfaitement lisible et même univoque. Le sens des images fournies est parfaitement clair, et tout spectateur le comprendra parfaitement : les dirigeants chinois sont transparents quant à cette catastrophe, ils sont de plus efficaces dans les secours et compatissent aux souffrances des victimes. Mais ce sens est bien sûr le sens qui est voulu par les autorités qui communiquent de cette façon. Une information fabriquée est aussi plus compréhensible. On obtient donc, un peu schématiquement, le paradoxe d une transparence vertueuse (sincère), qui se révèle souvent incompréhensible donc inopérante, tandis qu un processus de transparence davantage construit (et parfois intentionnellement manipulateur) va être, quant à lui, bien plus lisible. Il y a donc bien une tension entre la visée morale de la transparence (au sens de : rendre des comptes) et une dimension épistémique (au sens de fournir un savoir qui ait un sens pour le récepteur). Nous reviendrons dans la suite sur ce paradoxe et sur les limites d un modèle de la transparence qui fait de celle-ci le dévoilement d une situation préexistante. L étude de terrain permettra, entre autres objectifs, d appuyer et de développer ce questionnement. 111 Il s agit d une hypothèse de travail qui pourra au minimum agacer les anti-nucléaires qui liront cette thèse, qui verront ici une forme d angélisme de la part de l auteur. Ce qui est en jeu ici cependant n est pas tant le degré de transparence, ou les processus précis de visibilité, que la confiance que l on accorde ou non a priori à la COGEMA, (ici, à sa dirigeante).

63 P a g e CONCLUSION Ce panorama succinct de la notion de transparence laisse bien sûr des pans entiers inexplorés : comme nous l avions souligné en préambule, il s agit bien de replacer la question de la transparence dans les organisations à risque dans une perspective plus large, et non pas d explorer toute la richesse de cette notion, entreprise qui constituerait l objet d une thèse à elle-seule. Toutefois, cette première partie a permis d explorer la notion sous différents angles d attaque, ce qui nous permettra dans un second temps de nous pencher sur la spécificité des «organisations à risque» armée de quelques questions organisatrices. Résumons maintenant les principaux résultats de cette revue. La première remarque porte banalement sur le caractère multiple et pléthorique de l usage de la notion de transparence. A noter cependant que le caractère pléthorique est constitutif de la notion même. C est bien parce que la transparence est une notion floue qu elle va être convoquée tous azimuts, parfois s épuiser dans une rhétorique un peu superficielle, et ainsi faire l objet d un usage idéologique. Dans de nombreux cas, la transparence sera utilisée avant tout pour ses connotations «vertueuses». Ainsi, dans la catégorie que nous avons appelé dans une tentative sommaire de classification la «transparence vertu», la transparence au sens littéral (la mise en visibilité d informations) est finalement assez peu centrale, tandis que la référence morale est prépondérante. Cette connotation morale incite au glissement de la notion : de moyen elle devient une fin en soi, une valeur. Muniesa 112 et al. se demandaient à cet égard si la transparence n était pas devenue une «grandeur» (au sens défini par Boltanski et Thévenot). Un juriste peut défendre au contraire (Carcassonne 113 ), que la transparence n est qu un instrument : «C est ce qui lui donne sa légitimité, mais devrait logiquement aussi lui donner sa limite : lorsqu il n y a pas lieu, ou pas encore, à un contrôle l on n a que faire de la transparence». Cependant, la notion de contrôle est sans doute un peu limitée pour rendre compte du rôle de la transparence. Celle-ci est en effet aussi associée à la confiance, notion éminemment plus floue, mais aussi plus fondamentale (institution invisible selon la belle définition de Kenneth Arrow 114 ) que celle de contrôle. C est bien ce lien avec la confiance, qui est plus lisible dans le terme voisin d accountability, qui incite à ne pas réduire non plus la transparence à une dimension strictement instrumentale. Lorsque la transparence est citée, la question de la confiance se lit en effet souvent «en creux». Le lien est toujours évoqué de façon implicite, comme s il allait de soi, alors que les relations qui lient ces deux notions sont très complexes. Nous avons vu, avec Simmel, le rôle 112 Grossman Emiliano, Luque Emilio, Muniesa Fabian, Economies through transparency, Papiers de recherche du CSI, n 3, Op. cit. 114 Kenneth J. Arrow. The limits of organization, New York, Norton, Cité par Pierre Rosenvallon, op. cit.

64 64 P a g e d une forme de transparence (littérale) dans l élaboration de la confiance : «celui qui ne sait rien ne peut pas raisonnablement faire confiance». Mais cette confiance est elle-même susceptible de se décliner dans différents cas de figure qui, à chaque fois, reposent la question du juste «quantum de savoir» nécessaire. Puisqu il semble in fine que la transparence soit, surtout dans le cas des organisations à risque, un des moyens d établir la confiance, il est crucial d aborder la pertinence et peut être les limites de cette question dans notre seconde partie. Ce qui nous amènera, à un moment, à analyser quelques théories de la confiance du point de vue de la place qu elles accordent, plus ou moins explicitement, au savoir, à une forme de «transparence». L usage pléthorique, idéologique de la transparence peut agacer. Cependant, il apparaît que la diversité des manifestations de la notion rend difficile l exercice d une critique générale, sauf à se résoudre à terminer une brillante démolition du culte de la transparence (en fait, essentiellement de ses aspects les plus idéologiques) par un appel à la mesure, et au raisonnable qui semble un peu court. (cf : la critique polémiste). De même, Rosenvallon, en s attachant à condamner une défiance qui se radicaliserait et deviendrait pathologique, populiste, et finalement «contre démocratique», s attaque à la notion de transparence, qui n est, selon lui qu un des signes de l échec du politique. Mais faute de montrer plus positivement ce que serait à ses yeux la «bonne» défiance, il manque alors de nous montrer ce que pourrait être la «bonne» demande de transparence. C est pourquoi, les hypothèses de Stompka (institutionnaliser la défiance pour permettre la confiance) ou même l idée audacieuse de Pettit (le sentiment de méfiance et l expression de la méfiance sont peut être deux aspects distincts) sont utiles pour penser le rôle des institutions qui se veulent garantes d une forme de transparence. A cet égard, nous pourrons examiner en quoi les autorités réglementaires et de contrôle (les regulation authorities) dans les organisations à risque sont ou non des «institutions de la défiance» au sens où l entend Sztompka, et dans quelle mesure ceci correspond ou non à un sentiment de méfiance dans la population. L examen d une certaine critique de la transparence nous avait amenée à conclure que la transparence bénéficierait davantage d une approche casuistique que d une critique globale, qui tombe dans le piège qu elle entend dénoncer : un certain flou, la véhémence de la critique répondant en quelque sorte aux imprécations vertueuses. A cet égard, nous souscrivons davantage à la conclusion de Libaert qui souligne : «La transparence en tant que telle s inscrit comme condition nécessaire de la démocratie, mais sa récupération idéologique est discutable» 115». En cherchant à identifier différentes catégories dans ce qu on a appelé la «rhétorique de la transparence», nous avons surtout voulu montrer l importance des connotations du terme qui, parfois débordent très largement le sens littéral de «mise en visibilité» (la transparence-vertu). D autres occurrences exigent que l on fasse des hypothèses sur les intentions, les visées des acteurs impliqués (la transparence-stratégie et la transparence 115 Thierry Libaert. La transparence en trompe l œil. Ed. Charles Leopold Meyer (p.47)

65 P a g e 65 orchestrée). Ce sont ces nuances qui permettent de comprendre ce qui est en jeu. Nuances qui portent notamment sur la nature de l information qui est donnée, sur les intentions de ceux qui «organisent» la transparence, et enfin sur les récepteurs de l information. La typologie proposée a pour ambition d introduire et d illustrer ces nuances. Mais réfléchir à la transparence dans certains domaines implique peut-être plus radicalement de remettre en question ce que Gladwell 116 appelle le «paradigme de la fourniture d informations» (disclosure paradigm) dans le domaine financier. Nous verrons alors comment les questions de la médiation et de l interprétation complexifient grandement la question et permettent d élaborer une critique plus précise de la transparence. Ce sont les exemples concrets et techniques du domaine exploré dans la prochaine partie qui nous permettront d illustrer ce propos. Ils permettront de soulever ce que nous avons appelé la question épistémique. La transparence est souvent, implicitement, conçue comme le dévoilement d une information préexistante. L apport spécifique de ce travail est de montrer les difficultés inhérentes de la transparence dans les domaines à risque, parce que l objet «sécurité» n est pas un «donné» préalable à sa mesure, qu il est construit et enfin, qu il est sujet à controverses. Caractéristiques qui tracent les limites de la banale injonction de transparence brandie à la fois comme exigence peu discutable et solution miracle. Avant de conclure ce bref panorama, il reste peut-être à identifier quelques questions qui sont «traversantes» dans les manifestations de la notion de transparence mais qui sont, à notre connaissance peu ou pas traitées. D abord, la question de la légitimité dans la forme de contrôle liée à la transparence. Celle-ci introduit en effet une dissymétrie entre «celui qui voit» et «celui qui est vu». Lorsque la transparence est institutionnalisée (par exemple, dans les Autorités Indépendantes, les Autorités de surveillance que l on a rapidement évoquées, mais aussi, de façon très centrale dans ce travail, par les regulation authorities qui surveillent et réglementent les pratiques des fournisseurs de contrôle de la navigation aérienne) la question de la légitimité se pose pour régler les rapports entre «régulés» et «régulateurs». Comme le formule Michel de Certeau : «Toutes les relations dissymétriques supposent en effet une requête en légitimité de la part des dominants et une réponse à cette requête de la part de ceux qui doivent y consentir 117». Notre étude de terrain, qui examine la mise en place d une autorité réglementaire Européenne dans le monde du contrôle de la navigation aérienne, permet d aborder les questions qui lient légitimité et demande de transparence, et ce, du point de vue des différents acteurs. Ensuite la question de la transparence est souvent traitée de façon remarquablement abstraite et peu «sociale», comme si il n existait, au mieux, que des entités telles que gouvernement et citoyens, institutions et «corps social». Il nous semble au contraire qu une véritable problématisation de cette notion gagne à sortir des généralités. D où cette ambition 116 Malcolm Gladwell. The ENRON enigma : open secrets. The New Yorker. 8 janvier Michel de Certeau,

66 66 P a g e d examiner comment s incarne cette fameuse transparence dans ces mondes modernes que sont les organisations à risque, avec des professionnels qui sont confrontés chaque jour à cette question, de façon très concrète. Non pas pour réaliser simplement une ethnographie des rapports sociaux dans ce monde à travers le prisme de la transparence, mais bien plutôt afin de ré-interroger la notion même de transparence. Ce sera l objet de la seconde partie de ce travail. Mais auparavant, le dernier chapitre de cette première partie se propose d examiner les principaux apports théoriques d une sociologie des organisations à risque qui aborde cette question de façon bien spécifique.

67 P a g e 67 PARTIE I : CADRAGE THEORIQUE CHAPITRE 2 : L ENJEU DE LA TRANSPARENCE DANS LES ORGANISATIONS A RISQUE

68 68 P a g e 1. INTRODUCTION Ce chapitre se propose de conduire une revue de la façon dont la question de la transparence est posée dans le domaine des organisations à risque. Cette revue permettra d affiner les questions qui avaient été identifiées dans le chapitre précédent, qui traitait de la transparence de façon plus générale. Elle doit également permettre de préciser, le cas échéant, les spécificités attachées à la notion de transparence lorsque celle-ci est évoquée dans l univers de ces organisations particulières, groupées sous le terme d «organisations à risque». C est pourquoi ce chapitre mobilisera principalement des réflexions issues d une sociologie des organisations qui a développé un corpus théorique qui lui est propre. Au sein de cette partie de la sociologie en effet, des travaux se sont attachés à explorer les organisations «à risque» comme un objet à part entière. Notons en préambule que l on ne s attachera pas à ce stade à discuter l émergence de la notion de risque, d une «société du risque» par exemple, pour reprendre une expression fameuse d Ulrich Beck 118. Nous faisons le choix d utiliser ici une définition partagée par le sens commun : l aéronautique et le nucléaire par exemple sont considérés comme des activités générant des risques, elles sont donc des organisations «à risque», et par un courant en sociologie qui les étudie. Cela ne signifie pas, bien entendu, que le risque ne soit pas une notion à problématiser au-delà du sens commun : cela signifie simplement que ces réflexions et ces débats ont finalement peu d impact sur la délimitation de la catégorie : «organisations à risque», telle qu elle a été élaborée par ceux qui proposent de l étudier. On peut d ailleurs noter que les champs de recherche entre la sociologie des risques (telle qu étudiée par Perretti Vatel, Callon et Lacousmes, ou Daniel Boy par exemple) et la sociologie des organisations à risque (le courant dit des High Reliability Organizations), et Vaughan aux Etats-Unis, et, en France, Benoît Journé, Mathilde Bourrier, ou des travaux connexes en ergonomie comme ceux, par exemple, de René Amalberti) s ignorent à peu près totalement et qu il semble que les concepts élaborés par l un et l autre de ces courants ne se recoupent quasiment pas. Au-delà du strict contour de la sociologie des «organisations à risque», on examinera également les éléments théoriques offerts par l analyse des macro-systèmes techniques puisque la question de la transparence est relativement centrale dans cette manière de penser une industrie comme l aéronautique qui constitue notre terrain de recherche. Enfin, une place sera réservée au courant dit des «HRO» dont l un des principaux théoriciens offre une réflexion stimulante en articulant des questions qui sont au cœur de notre réflexion, en particulier les questions de transparence, de légitimité et de contrôle. 118 Ulrich Beck, La société du risque, ALTO, Aubier, 2001.

69 P a g e LE «SECRET STRUCTUREL» D UNE ORGANISATION : L EXEMPLE DE LA NASA Pour dérouler le fil de nos questions, il est commode d évoquer d abord des travaux qui font un lien entre secret et risque, ou qui attribuent à la transparence un caractère normatif de «bonne conduite» et d efficacité dans la gestion des risques. Ces idées peuvent paraître maintenant un peu convenues : elles ont cependant inauguré en leur temps une réflexion qui était loin d être frappée du sceau de l évidence. De plus, elles s ancrent sur des travaux empiriques qui permettent de donner un contenu à cette transparence, de décortiquer les mécanismes de prise de conscience des risques, et de ce fait de dépasser le caractère vague et un peu incantatoire usuellement attaché à l injonction de transparence. En 1996, Diane Vaughan, une anthropologue américaine, publie «The challenger Launch decision 119», une analyse très fouillée de la catastrophe de la navette Challenger. On se souvient que cette navette, avait explosé en vol quelques minutes après son décollage, entraînant la mort de tout l équipage. La cause technique avait été rapidement identifiée : la rupture d un joint d étanchéité du lanceur. Ce lancement avait été d autant plus médiatisé que la navette emportait en plus de l équipage standard, une enseignante. La mission avait été baptisée «Teacher in space», un professeur dans l espace, ce qui accrut encore l émotion du public. Vaughan qualifie elle-même son entreprise de «révisionniste 120» dans la mesure où son argumentation vise à remettre en question les analyses effectuées jusque-là, la catastrophe s est produite en Ces analyses concluaient, pour l essentiel, à la culpabilité de dirigeants sourds aux alarmes lancées par certains ingénieurs avant le lancement de la navette. Vaughan se propose de remettre dans son contexte la décision de lancement de la navette, et s est attachée à enquêter sur le fonctionnement de la NASA. Sur la base de cette analyse, elle élabore le concept de «secret structurel». Ce secret ne correspond pas à la dissimulation volontaire d informations par les acteurs : nous ne sommes pas ici dans une classique dénonciation de l opacité d organisations dont des dirigeants cyniques travaillent à dissimuler des informations qu ils souhaitent garder secrètes. Cette situation correspondrait en effet aux «organisations pathologiques» dont nous verrons juste après, avec la classification de Westrum, la description d un idéal-type. Le secret structurel de Vaughan découlerait largement quant à lui de l organisation bureaucratique décrite par Weber 121. Elle décrit une organisation très formalisée, dans laquelle les tâches confiées aux personnes sont très procéduralisées et en tire les conséquences : «La structure organisationnelle - la division du 119 Diane Vaughan, The Challenger Launch decision, The University of Chicago Press, Diane Vaughan, Technologies à hauts risques, organisations et culture : le cas de Challenger, Séminaire du Programme Risques Collectifs et Situations de Crise, 11 octobre 1999, Paris. (p.18). 121 Max Weber, Economie et société. Les catégories de la sociologie, AGORA, PLON, 1971.

70 70 P a g e travail, la hiérarchie, la complexité, la dispersion géographique des unités limite la capacité des individus à un endroit de l organisation de bien comprendre ce que font leurs collègues à l autre bout». Ainsi, la spécialisation, l expertise toujours plus poussée des différents membres de l organisation ont rendu de plus en plus difficile le partage réel des informations. Plus précisément, ce secret structurel a entraîné un affaiblissement des signaux qui auraient pu constituer une alerte, et une dilution de la perception des risques. Il a travaillé à ce que Vaughan appelle la normalisation de la déviance c est-à-dire un «progressif et systématique dépassement des bornes de l'acceptable par le groupe 122. Le caractère progressif explique que la sonnette d'alarme ne soit pas tirée, parce qu'il n'y a pas de prise de conscience explicite, que le jugement sur ce qui était considéré comme inacceptable s est modifié, et que l on admet ce qui n était pas acceptable initialement. D'autre part, le caractère systématique de la déviance renforce l'oubli de la norme qui avait été retenue pour différencier l'acceptable de l'inacceptable. Au moment de la décision de lancement de la navette, Vaughan défend que ce qui apparaîtra a posteriori comme un risque (la température exceptionnellement basse le jour de lancement constituait un risque de rupture des joints) restait un risque acceptable pour les décideurs, au regard de la compréhension collective qu ils avaient développé peu à peu quant au comportement de ces joints en situation non nominale. Quant aux régulateurs, internes et externes, ils n ont pas pu jouer leur rôle : ils ont regardé le fonctionnement de la NASA, explique Vaughan, avec les mêmes «lunettes» que celle-ci, c est-à-dire sans le recul critique qui aurait pu permettre d identifier des risques non identifiés par l organisation elle-même. Cet échec, toujours selon l auteur, résulte des relations entre la NASA et le régulateur. Celles-ci ont inhibé la capacité de ces derniers à construire une représentation du risque qui soit fondamentalement différente de celle de la NASA. La notion de secret structurel développée par Vaughan est intéressante dans notre exploration des questions liées à la transparence à plus d un titre. Elle montre d abord comment un risque devient «collectivement» acceptable et complexifie de ce fait la catégorisation entre risques et non risques. Bien qu elle ne fasse pas explicitement référence aux travaux de Mary Douglas, elle donne à voir, à travers ses analyses «comment pense une institution 123», c est-à-dire comment se développent des compréhensions communes, qui deviennent aussi des pratiques communément admises. En ce sens, elle nous montre une opacité structurelle, qui n est pas volontaire, qui ne procède pas d une volonté délibérée et condamnable de cacher des informations, de dissimuler des risques. Or, la question de la transparence est souvent formulée comme une question morale liée à une certaine bonne volonté : les organisations choisiraient d être opaques au lieu d être transparentes. La notion d «opacité structurelle» permet de ne pas éluder la dimension proprement épistémique de la transparence : les risques 122 Diane Vaughan, Technologies à hauts risques, organisations et culture : le cas de Challenge, Séminaire du Programme Risques Collectifs et Situations de Crise, 11 octobre 1999, Paris. 123 Mary Douglas, Comment pensent les institutions, La Découverte, MAUSS, 1999.

71 P a g e 71 ne seraient pas toujours des données sans ambiguïté, que l on choisirait ou non de révéler, même s il existe indubitablement des cas où des risques bien identifiés peuvent être volontairement dissimulés par une organisation pour de multiples raisons. En ce qui concerne l accident de la navette Challenger, Vaughan conclut que ce ne fut pas du tout le cas. Cependant sa vison très Durkheimienne, qui s intéresse plus aux collectifs qu aux acteurs, ne rend pas compte de la position d un ingénieur qui s efforça, hélas sans résultat, d attirer l attention sur le risque de rupture du joint par basse température. Si la plupart des analyses précédant celle proposée par Vaughan avaient fait l économie d une analyse du contexte organisationnel dans lequel la décision avait été prise, et de la perspective historique qu elle donne, et si, en insistant sur le combat de cet ingénieur contre les décideurs, elles avaient peut-être caricaturé la décision de lancer Challenger comme la victoire d une logique financière et médiatique contre une logique scientifique, Vaughan, pour sa part, ne dit rien sur ce qui fait qu un acteur (pourtant soumis a priori aux mêmes déterminismes que ses collègues) soutienne une vue dissidente jusqu à la dernière minute. Dans notre étude de terrain, nous discuterons de l intérêt et des limites de la notion de pensée institutionnelle pour rendre compte de la façon dont une organisation perçoit ou non les risques L'ORGANISATION GENERATIVE DE WESTRUM : UNE TRANSPARENCE IDEALE? Dans une même lignée de sociologues des organisations ayant une démarche inductive, et tirant de leur travail de terrain des concepts qu ils se proposent d utiliser ensuite comme une grille de lecture, Ron Westrum 125, utilise des caractéristiques formelles et des pratiques pour décrire des idéaux types d'organisations. Le tableau suivant permet ainsi de distinguer trois types d'organisations : pathologique, bureaucratique et générative A noter que Perrow, tout en se disant impressionné par le travail effectué par Vaughan, considère également que l explication en termes de «routinisation de la déviance» est insuffisante. Il défend : «on leur a dit d enlever leur casquette d ingénieur et de mettre leur casquette de managers, et de prendre une décision de management et non d ingénierie. Pour moi, c est un cas de pur pouvoir, ce n est pas de la routinisation de la déviance. Des personnes ont pris la décision : on va y aller, on va prendre le risque. Et ils l ont fait. J ai un désaccord de base avec Diane à ce sujet». Notre traduction. Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow, Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.36). «They were told to take off their engineering hats and put their managerial hats and make a managerial and not an engineering decision. To me it is a case of sheer power. It is not the routinisation of deviance. Some people make the decision: we are going to go, we are going to take the risk. And they did. So I have a basic disagreement with Diane about that». 125 Ron Westrum, Technologies & society: The shaping of people and things, Belmont, CA: Wadsworth Publishing Company, 1991.

72 72 P a g e Pathologique Bureaucratique Générative Les informations sont cachées Les informations peuvent être ignorées Les informations sont activement recherchées Les messagers (messengers) sont «éliminés» Les messagers sont tolérés Les messagers sont formés Les responsabilités sont esquivées Les responsabilités sont compartimentées Les responsabilités sont partagées Les fautes sont cachées L organisation est juste et compatissante Les fautes déclenchent une enquête Les idées nouvelles sont tuées dans l œuf Les nouvelles idées créent des problèmes Les nouvelles idées sont bienvenues Source : Ron Westrum : trois types d organisations Cette typologie nous intéresse car elle utilise de façon explicite et opératoire la notion de transparence pour caractériser ces organisations. Celles-ci gèrent de façon différente les informations critiques 126. Les organisations pathologiques sont particulièrement opaques, les informations sont simplement cachées. Les organisations bureaucratiques gèrent les informations, mais pas de façon très utile et opératoire, et enfin les organisations génératives cherchent activement les informations, elles sont en quelque sorte les organisations idéales qui réalisent une forme de réflexivité de la connaissance de l'organisation par elle-même. L'organisation générative, en effet, est une organisation apprenante, qui décode les signaux au sens de Diane Vaughan et agit en conséquence. L'organisation générative n'est pas seulement transparente : l'information circule, mais surtout elle fait sens. Toutes ces questions seront réélaborées à la lumière de notre travail de terrain. Pour l heure, nous retenons de Westrum une parenté avec Vaughan : la métaphore de la transparence fonctionne bien pour caractériser la connaissance qu une organisation a de ses risques. Dans la classification de Westrum, la NASA pourrait sans doute être considérée comme une organisation bureaucratique avec les nuances qui sont toujours à apporter lorsque l on procède à une catégorisation. 126 Comme pour Diane Vaughan, cette lecture de Ron Westrum est restreinte à l'angle de la transparence.

73 P a g e 73 Il est toujours facile de critiquer une typologie : par construction, elle simplifie, déforme, perd les nuances et la richesse de ce que nous pouvons appréhender sur le terrain. On peut aussi s amuser (Sophie Poirot Delpech, communication personnelle) du chiffre magique : trois, presque toujours attaché aux typologies Ce travail a cependant le mérite de faire écho aux réflexions que les acteurs peuvent avoir sur l organisation à laquelle ils appartiennent. Il «parle 127» à des professionnels auquel il est présenté dans le monde de l aéronautique : «on est là!» disent-ils en pointant la colonne «organisations bureaucratiques» dans le tableau, «et peut être là», ajoutent-ils souvent, en s esclaffant, le doigt sur la ligne qui sépare les colonnes : «organisations bureaucratiques» et «pathologiques» Cependant, au regard des questionnements que l on peut élaborer sur la notion de transparence dans les organisations à risque, il comporte deux impensés de taille. Le premier a été formulé par Alain Gras lorsqu il souligne que l organisation générative et sa transparence se heurteraient toujours à la dimension politique de l organisation. 128 L organisation générative apparaît comme le monde idéal dans lequel aucun conflit d intérêt ne vient perturber l identification et le traitement des informations critiques. Elle apparaît comme une entité unifiée et personnifiée et non pas découpée en sous-ensembles, avec des groupes d acteurs ayant des points de vue et des objectifs souvent divergents. Cette unification empêche de poser les questions dont on a vu dans la première partie qu elles étaient centrales pour la notion de transparence : il s agit des questions autour du contrôle et du pouvoir notamment. Le second aspect absent de la classification proposée par Westrum est épistémique : les «informations critiques» dont il est question dans l organisation générative sont considérées comme un donné, elles préexistent à leur identification et à leur traitement, elles ne font pas question. Là où Vaughan montrait les aléas, les tâtonnements et les erreurs dans la construction même des risques, Westrum fait des «informations critiques» (dont les risques sont partie prenante) un objet qui paraît a priori simple, sans histoire, et pour lequel se posent alors uniquement des questions de visibilité et de traitement. 127 Ces anecdotes sont tirées de notre travail de consultant dans des organisations à risque et des présentations de cette recherche. 128 Alain Gras, Anthropologie et sécurité, Actes du Séminaire du Programme Risques Collectifs et Situations de Crise, CNRS, Paris, 1999.

74 74 P a g e 4. LES MACRO SYSTEMES TECHNIQUES : LA LIMITE DE L AUTO TRANSPARENCE GRANDS SYSTEMES TECHNIQUES ET MACRO SYSTEMES TECHNIQUES Les travaux autour des Macro Systèmes Techniques (MST) constituent un deuxième axe d analyse des organisations à risque. Le concept de Macro Système Technique élaboré par Alain Gras est différent du «Large Technical System» proposé par Hughes. Ce dernier, en effet, n est qu un élément du MST, organisation «caractérisée par une centralisation de l information en des points ou centres de contrôle, lieux à partir desquels sont régulés les flux matériels. Ces flux matériels circulent dans des réseaux qui ont des nœuds, des tensions sur les lignes, des densités différentes selon les moments et les territoires et, bien sûr, des interfaces nombreux 129». Ainsi, une organisation à risque comme un centre de contrôle de trafic aérien serait plutôt un grand système technique (Large Technical System) qui s insèrerait dans le MST aéronautique (qui, quant à lui, comprendrait les autres centres de contrôle, les compagnies aériennes, les organismes de maintenance, etc. ). LE LARGE TECHNICAL SYSTEM : UNE ORGANISATION A RISQUE? Le risque n est pas constitutif de la notion de Macro Système Technique, il en serait plutôt une caractéristique secondaire. La notion de MST met plutôt en avant l importance du réseau, qui est toujours aussi réseau de pouvoir. La radicale nouveauté du MST pour ce qui concerne les aspects de contrôle et d information, c est «leur insertion dans un nouveau mode de gestion des flux où le contrôle est centralisé, c est-à-dire délocalisé du point de vue de l unité de flux 130. Cependant, beaucoup de Grands Systèmes Techniques, insérés dans un MST peuvent être considérés comme appartenant à la catégorie d organisations à risque. Si ces grands systèmes ne se définissent pas dans la théorisation des MST par rapport aux risques qu ils génèrent, la question est cependant abordée assez succinctement par Alain Gras, qui se positionne notamment par rapport à deux grands courants qui ont longtemps structuré le débat autour de ces organisations à risque : le courant de «l accident normal» de Perrow et celui des organisations à haute fiabilité de l école de Berkeley. Alain Gras introduit le rôle central d un «sujet-actant», (jusqu alors peu présent dans ses théorisations des Macro Systèmes Techniques), qui intérioriserait les contraintes du système dans lequel il opère (par exemple, les contraintes d un système «tightly coupled» tel que défini par Perrow. Ce sujet-actant 129 Alain Gras, Approche phénoménologique et anthropologique des grands systèmes techniques, in Organiser la fiabilité, sous la direction de Mathilde Bourrier, L Harmattan, Paris, (p.144). 130 Ibid. (p.152).

75 P a g e 75 développe en outre «une culture, une mémoire collective, un imaginaire des incidents 131», éléments qui sont au cœur des stratégies choisies par ces acteurs, et d une forme d éveil maintenu sur les risques. Cette vision, dans laquelle l organisation est capable de développer in fine une compréhension et une gestion des risques incite Alain Gras à pencher davantage en faveur du groupe des HRO (High Reliability Organizations ou organisations à haute fiabilité) qui opposent à l accident normal de Perrow une vision plus optimiste de ces grands systèmes. LA NOTION DE TRANSPARENCE DANS LE MST La question de la transparence quant à elle, est d une certaine manière beaucoup plus centrale dans la théorisation des MST. Mais il s agit exclusivement de ce qu on pourrait appeler l auto transparence. Les notions clefs d information et de contrôle centralisé liées à la théorisation rendent compte d un MST «présent à lui-même». La surveillance panoptique est d ailleurs pour Alain Gras une condition de la sécurité 132 dans le MST aéronautique. En revanche, la transparence envers un tiers (public ou autorité de contrôle par exemple) n est pas abordée. La question de l environnement n est abordée peut-être que pendant la genèse du MST : avec le concept de Momentum, le MST modifie en effet l environnement à son profit pour devenir partie prenante de la civilisation dans laquelle il prend place. La théorie n aborde pas cette relation plus particulière de la co-existence avec une autorité de contrôle externe (par exemple : les JAA pour l aviation civile, l Autorité de Sûreté Nucléaire pour l énergie nucléaire), sauf au moment de la mise en place d un nouvel élément. Ainsi, la réglementation aux Etats- Unis a empêché le développement du Concorde ailleurs qu à partir du sol Français. A moins, ce qui paraitrait plus défendable, que ces autorités ne soient finalement intégrées à la notion même de MST, qui intégrerait aussi bien le système industriel mais aussi des organisations qui sont liées étroitement à son existence. Mais les problèmes inhérents à cette relation «régulé/régulateur» dans la dynamique du MST ne sont pas abordés. Cette interrogation reste entière. Par ailleurs, si l on s attarde sur cette notion d auto-transparence, de nombreuses questions subsistent également : le MST est à la fois «présent à lui-même» car reposant sur un contrôle centralisé des flux, des entités particulières, mais aussi «toujours branché sur un imaginaire qui le dépasse». Cet imaginaire par essence peu accessible à la rationalisation, à la prise de conscience, est en quelque sorte la part d ombre, d opacité du MST. Il fonde la limite de cette auto-transparence. Si l on en revient maintenant à l identification des risques, on peut se poser la question de la portée mais surtout des limites de la possibilité pour le «sujet-actant» évoqué par Alain Gras, de se représenter les risques, en intégrant les contraintes du système technique dans lequel il 131 Alain Gras, Anthropologie du risque. Actes du séminaire du programme Risques collectifs et situations de crise, CNRS (p. 286). 132 Alain Gras, Fragilité de la Puissance, Fayard, (p.94).

76 76 P a g e opère. Revenons brièvement sur cet aspect évoqué plus haut, et examinons comment s articulent les mécanismes mis en œuvre par le sujet actant dans le Macro Système et cette auto-transparence du système, limitée cependant dans sa composante imaginaire. L idée d une «conscience de la situation» élargie est défendue par l auteur : elle va bien sûr bien audelà de la «situational awareness» définie de façon restreinte par les anglo-saxons. Elle va également au-delà d une conscience plus fine et plus finalisée définie par l ergonomie de langue française 133. Cette conscience intègre pour Alain Gras une représentation élargie, audelà de la situation restreinte de travail, de l insertion du MST dans son environnement, et des contraintes qui pèsent sur l activité. Cette représentation d un sujet, élaborée aussi collectivement comprend aussi bien des connaissances sur les contraintes de l activité au sens de Perrow (interactions étroites, complexité) qu une conscience fine des risques qui lui permet de prendre des décisions informées. La théorie dit cependant peu de choses sur le rôle de l organisation dans cette extraordinaire mécanique. Or, force est de constater que ces représentations et prises de consciences sont médiatisées par des actions volontaristes proprement organisationnelles : retour d expérience, procédures, formation, etc.. Elles ne sont pas uniquement le produit spontané des interactions entre les sujets du MST. Cette théorisation ne dit rien non plus des ratés possibles : or, certaines décisions des professionnels peuvent s analyser comme des appréciations biaisées et insuffisantes des contraintes du système, de sa complexité, qui peuvent, dans certains cas, mener à l accident. Et elle ne dit pas en quoi, justement, la limite de cette «auto transparence» du système à luimême (puisque le MST est «branché sur un imaginaire qui le dépasse) se retrouve chez le sujet actant. Nous reviendrons plus tard sur la question de l imaginaire et sur la limite qu il trace à ce projet d auto-transparence, à ce projet de transparence en général. Pour l heure, il nous suffit de conclure que la question de la transparence dans les MST est essentiellement abordée du côté de la transparence du système à lui-même. Les questions autour de la relation avec une entité de «contrôle» de type de la «regulation authority» ne sont pas abordées, ne serait-ce que parce que le statut de ces autorités n est pas clarifié dans la théorisation des MST. Enfin, le rôle central du sujet actant est souligné par Alain Gras qui rejoint en cela le relatif optimisme du courant des organisations «à haute fiabilité» face à l inéluctabilité de l accident défendue par Perrow. Ce courant va être maintenant présenté afin d examiner en quoi il contribue à clarifier la question de la transparence dans les organisations à risque. 133 Sophie Dusire, Conscience de la situation chez les pilotes et les contrôleurs, Thèse de Psychologie, CNAM, 1998.

77 P a g e PERROW : L ACCIDENT NORMAL L ACCIDENT NORMAL EN QUELQUES MOTS La théorie de «l accident normal» de Charles Perrow fait partie des théories majeures en sociologie des organisations à risque, de par ses qualités intrinsèques mais aussi parce qu elle a suscité de nombreux débats. Qu il s agisse de s y opposer (le courant des HRO) ou de soutenir (Scott Sagan par exemple) les axes fondamentaux de l accident normal, force est de constater que cette théorie, par ses prises de position tranchées, a le mérite de susciter de nombreuses réflexions dans le monde des organisations à risque. Cependant, cette partie n a pas pour objectif de présenter la théorie de l accident «normal» de Perrow en tant que telle, avec toutes les finesses qu elle contient et toutes les controverses qu elle peut susciter, elle ne soulignera que les aspects nécessaires à l identification de ce qui nous intéresse ici, c est-àdire la façon dont elle traite la question de la transparence. L idée maîtresse de Perrow paraît simple au premier abord : il définit deux grands critères d analyse des systèmes : la complexité (systèmes linéaires versus systèmes complexes) et le «couplage» (couplage étroit versus couplage lâche). Ce dernier correspond schématiquement au degré d interaction et de souplesse, aux marges de manœuvre possibles pour opérer le processus en question. Certaines organisations sont à la fois «complexes» et «étroitement couplées» : dans ce cas, l accident est normal, c est-à-dire inéluctable. Après avoir défini deux axes : linéaire/complexe et couplage étroit/couplage lâche («loose»/«tight» coupling), Perrow place différentes activités sur le graphe ainsi obtenu. Une centrale nucléaire se trouve au «pire» endroit du graphe : elle est à la fois «complexe» et «tight coupled» : l accident est donc «normal» étant donné ces caractéristiques. Il existe une troisième variable, non visible sur le graphique, qui est le «potentiel catastrophique». «C est ma troisième variable : en plus de la complexité et du couplage, je m inquiète du potentiel catastrophique». ( ) Mais la plupart des systèmes risqués que les hommes ont inventé sur terre ont un haut degré de complexité interactive et de couplage 134». Le concept d accident normal est cependant plus complexe qu il n y paraît à première vue. Ainsi, ni la catastrophe de Bhopal (Inde, 1984), ni Tchernobyl, (Ukraine, 1986) ni celle de 134 «That is my third variable: in addition to complexity and coupling, I am worried about catastrophic potential. ( ). But most of the risky systems men have put on earth are complexly interactive and tightly coupled». Notre traduction. Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow, Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.21)

78 78 P a g e Challenger (USA, 1986) que nous évoquons dans ce chapitre, ne sont, selon Perrow, des accidents normaux, car, défend-il, loin de découler des caractéristiques intrinsèques des systèmes, ils sont le fait de négligences, de pratiques délétères, ou de stratégies managériales condamnables (Bhopal), et ils étaient par conséquent évitables. Seul TMI (USA, 1979) fut, toujours selon l analyse de Perrow, un accident normal, qui ne se transforma cependant pas en catastrophe. Alors que l accident normal n est pas évitable dès lors qu un système présente les caractéristiques énoncées par l auteur, et ce quelques soient les solutions organisationnelles (formation, procédures, ) mises en place. C est pourquoi on oppose traditionnellement Perrow au courant dit des «HRO», étudiées plus loin, puisque ce dernier insiste au contraire sur des caractéristiques permettant d atteindre une «haute fiabilité» en dépit des risques intrinsèques générés par l organisation en question. COMPLEXITE, COUPLAGE ETROIT ET OPACITE Une lecture de la théorie de l accident normal en termes de transparence est un exercice qui exige que l on «tire» un peu l analyse de Perrow : le terme lui-même n est jamais explicitement évoqué. On peut cependant raisonnablement considérer que la notion de complexité qu il identifie comme une caractéristique majeure, implique bien que le système devienne largement opaque aux humains qui en sont partie prenante. Cette notion de complexité a été approfondie par Perrow alors qu il travaillait sur l accident de la centrale nucléaire de Three Mile Island : «J ai découvert grâce au témoignage des opérateurs que les interactions qui faisaient clignoter leur écran de contrôle et la sonnerie de centaines d alarmes étaient souvent mystérieuses, que rien dans leur entraînement ne correspondait à ces évènements, et que, bien qu ils aient fait ce que leur manuel prescrivait, cela ne fit souvent qu empirer les choses. Ce que j ai découvert en étudiant d autres accidents de centrales nucléaires, était qu une grande proportion d accidents était causée par l interaction non anticipée de relativement petites pannes, interactions qu aucun designer n avait anticipé, et que ces pannes en interaction pouvaient mettre en échec le système de sécurité de la centrale 135». 135 «I discovered from the testimony of the operators that the interactions that were lighting up their control board and sounding hundreds of alarms were often mysterious, that nothing in their training corresponded with these events, and, though they did what the manual prescribed, it sometimes made things worse. What I discovered as I researched other nuclear plants accidents, was that a large proportion of these accidents were caused by the unanticipated interaction of comparatively small failures, interactions that no designer had anticipated, and that these interacting failures could defeat the safety system of the plant». Notre traduction. Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow. Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.15)

79 P a g e 79 Cette complexité inhérente aux grands systèmes est assez classiquement évoquée (dans ce chapitre, par Vaughan, et Alain Gras), mais il revient à Perrow d avoir décortiqué analytiquement les éléments constitutifs de cette complexité. Le critère de «couplage étroit» participe également à la difficulté d obtenir une forme d auto-transparence qui soit opérante pour assurer la sécurité. En effet, défend Perrow, seule une autorité centralisée, en haut de la hiérarchie de l organisation, peut être en mesure de comprendre l ensemble des interactions et des interdépendances entre les sous systèmes, d avoir la représentation complète (the «whole picture»). Cependant, certaines interactions sont très dépendantes d une situation particulière, et génèrent des «conditions uniques dont ne peuvent être conscients et ne sont capables de traiter que ceux qui sont proches des opérations : les gens au bas de la pyramide 136». Cette contradiction paraît insoluble à Perrow. L analyse de l auteur semble donc conclure à une double opacité : la complexité implique la difficulté de «saisir» le fonctionnement d un système dans son ensemble, et le «couplage étroit» génère des situations qui ne sont compréhensibles que par des personnes qui ne sont pas en pouvoir de décider lorsque cela serait nécessaire : «On ne peut pas avoir des organisations qui soient à la fois décentralisées et centralisées 137» insiste Perrow, alors que les théoriciens du HRO en font justement une des caractéristiques clefs des organisations à haute fiabilité 138. L OPACITE SUR LES RISQUES En ce qui concerne la transparence sur les risques, Perrow est plutôt pessimiste : les organisations japonaises lui semblent sans doute transparentes, mais l Etat peu enclin à réagir. Les centrales américaines ne le sont pas : «l industrie nucléaire est une entreprise privée aux Etats-Unis, et ils ne partagent pas cette information-là. Ils la gardent secrète. Et même, ils ne racontent rien de plus qu ils ne doivent à la commission régulatrice Nucléaire 139». Pour le reste, il avance que certaines industries sont plus transparentes» que d autres parce qu elles sont plus proches des élites. Il compare ainsi le transport aérien, selon lui plus transparent (grâce à la boîte noire qui permet d enregistrer des données en cas d accident) et le transport maritime, qui est quant à lui dépourvu de ces moyens d enquête en cas de 136 «unique conditions that only those close to operations can be aware of and can cope with: people at the bottom of the pyramide». Notre traduction. Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow. Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.21) 137 Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow. Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.22). 138 Dans le domaine de la marine nationale, Saglio montre un cas intéressant de fonctionnement différent en situation nominale et en situation de crise. Jean Saglio, Souplesse du quotidien et rigidité dans la crise : l organisation du travail sur un bateau de guerre, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, Paris, «Nuclear industry in the United States is a private entreprise and they do not share that information. They keep it secret, they do not even tell the Nuclear Regulatory Commission any more than they have to». Notre traduction. Op. Cit. (p.66)

80 80 P a g e naufrage. Il défend «Je sais que cela peut paraître idiot, mais ce qui fait la différence, c est que les élites volent en avion et ne vont pas sur des épaves rouillées. Elles ne vont pas voguer sur des pétroliers rouillés, et elles ne vivent pas à côté d usines chimiques, mais en revanche, elles prennent l avion. Si les élites sont en contact avec le système, il y aura un effort pour le rendre plus sûr 140». On peut identifier dans ces réflexions de Perrow un aspect qui n avait pas été soulevé jusqu alors : la connaissance des risques est aussi affaire de volonté politique, et une «organisation à risque» ne peut s étudier sans le contexte dans lequel elle s inscrit. La transparence est donc pour Perrow à la fois un problème épistémique (comment constituer un savoir sur les risques, lorsque la complexité de la technique et de l organisation sociale génèrent structurellement de l opacité) et un problème politique : sans volonté de transparence liée à la proximité des élites, peu de moyens seront vraiment mis en place pour comprendre les accidents. LA QUESTION DU CONTROLE DES PERSONNES DANS LES INDUSTRIES A RISQUE Ce dernier paragraphe aborde les questions de la surveillance des professionnels dans une perspective plus politique. Dans «Les limites de la sécurité», Scott Sagan a comparé deux courants qui s'opposent quant à l'analyse des organisations à hauts risques. Sagan oppose la description des HRO qu il décrit comme des systèmes clos, largement sinon totalement soustraits aux influences extérieures, à la vision de ces mêmes organisations par Perrow, systèmes ouverts, au cœur d un environnement essentiellement imprévisible et complexe, qui sont autant de périls potentiels pour la fiabilité. On peut lire en filigrane, que les chercheurs des HRO ne se centrent pas sur la question du contrôle des individus, alors que cette question est centrale pour Charles Perrow. Pour ce dernier, en effet, les porte-avions militaires aux Etats-Unis par exemple, n obtiennent des résultats satisfaisants en termes de fiabilité qu au prix d un contrôle des individus incompatible avec la démocratie. Ce contrôle, ajoute-t-il, n est pas possible dans d autres industries non militaires. Dans un tableau où il compare les deux courants, Sagan exprime la controverse sous cette forme. Pour les HRO : «une culture de sécurité améliorera la sécurité en encourageant des 140 «I know it sounds silly but it makes a difference that elites fly on airplanes but they do not ship on rusty bottoms. They do not go to sea on rusty oil tankers or they do not live next to chemical plants, but they do fly. If elites are in contact with the system, there is going to be an effort to make it safer». Notre traduction. Charles Perrow, Organisations à hauts risques et normal accidents. Point de vue de Charles Perrow. Séminaire du programme Risque collectifs et situations de crise en collaboration avec le Centre de Sociologie des Organisations, CNRS, Juin (p.66)

81 P a g e 81 réponses uniformes et appropriées de la part des opérateurs 141». Pour la théorie de l'accident normal : «un modèle militaire de discipline intense, de socialisation, et d'isolement est incompatible avec des valeurs démocratiques 142». Radicalisant sa compréhension de l organisation HRO fermée, Sagan se réfère également au concept d institution totale élaboré par Goffman. Il insiste sur le caractère normalisant des organisations décrites par les théoriciens des HRO : c est un contrôle de tous les instants, qui modèle les conduites des individus, de façon essentiellement insidieuse, et d autant plus efficace. On peut noter toutefois que Sagan donne pour seul exemple lorsqu il mentionne cette parenté avec l institution totale, le domaine des porte-avions militaires (isolement, socialisation intense, culture militaire, etc.). Les caractéristiques de l institution totale ne sont pas pertinentes lorsqu il s agit d autres organisations pourtant également estampillées HRO par nos théoriciens : les centrales nucléaires, le contrôle de trafic aérien, dont les membres ne sont ni isolés, ni militarisés Cependant, Perrow et Sagan soulèvent une vraie question, si on l exprime en des termes moins radicaux : les organisations à risque impliquent peu ou prou une forme de contrôle des professionnels, mais quelle est la limite de ce contrôle 143? S'il subsiste toujours pour un professionnel une marge d'opacité 144 comme l'appelle Friedberg, on manque peut-être de réflexion sur le sens que le professionnel donne à ce dosage entre transparence et opacité. On manque aussi de réflexion sur ce qui pourrait fonder les bases d'un consensus entre les professionnels directement impliqués dans la prise de risque, leur hiérarchie, les autorités réglementaires et le public. Pour amorcer très succinctement ce débat, il semble clair que la transparence (du moins, un certain degré de transparence) de l'individu au travail n'est acceptée que si elle réalise un équilibre entre l'intérêt apporté par la modalité de surveillance et la perte d'intimité qui en résulte. La jurisprudence en matière de droit à l intimité des salariés ne dit pas autre chose lorsqu elle recommande la proportionnalité 145 de la surveillance aux objectifs de cette 141 «A culture of reliability will enhance safety by encouraging uniform and appropriate responses by field operators». Scott Sagan, The limits of Safety, Princeton University Press, «A military model of intense discipline, socialization, and isolation is incompatible with democratic values». Op. Cit. 143 Il existe sans doute aussi une variabilité très large de l'acception d'un contrôle. Par exemple, aux Etats-Unis, «Chez Dupont de Nemours, quelqu'un qui a été impliqué dans un événement accidentel dans son milieu personnel aura à s'en expliquer à sa hiérarchie au motif que je partage mais j'y apporte des nuances - que la sécurité est un état d'esprit permanent». Yvan Verot, Maîtrise du risque dans l'industrie chimique et pétrochimique, in Retour d'expérience, apprentissages et vigilances organisationnels. Approches croisées. Séminaire CNRS, Paris, Mars Ehrard Friedberg, Le pouvoir et la règle, Seuil, L'article L du code du travail explique que (le règlement intérieur d'une entreprise) «ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché».

82 82 P a g e surveillance pour le bon fonctionnement du travail ; elle ne peut s'exercer, en outre, à l'insu des salariés 146. En outre, un professionnel peut accorder un sens à cette transparence qui est tout autre chose qu'une simple acceptation résignée. Un trader que nous avions interrogé (Fassert, 2001) évoquait la transparence comme un juste prix à payer en échange des risques qui sont pris, et celle-ci constituait à ses yeux une forme de garde-fou. La transparence (le contrôle) était ici acceptable par le professionnel à l aune des enjeux qui sont soulevés, enjeux dont il était parfaitement conscient. D'ailleurs, dans son discours, notre trader replaçait sa transparence dans le cadre d'une transparence plus globale qui se développait pour toute l'organisation, dans un processus qu'il n'était pas le seul à subir, et qu'il concevait dans une perspective de progrès général sur la transparence financière 147. En conclusion, la transparence qu'un professionnel accepte sur son travail dépend aussi du sens qui est donné à cette transparence dans le collectif auquel il appartient. En miroir, l'opacité du professionnel a aussi un sens. Erhard Friedberg défend la nécessité de laisser au professionnel une marge d opacité, mais il ne donne pas de sens à cette opacité 148. Ceci étant dit, cette zone d'opacité n'est pas sans soulever aussi des questions quant à son impact sur le fonctionnement d'une organisation à risque, et, in fine, sur la sécurité du système. Un exemple récent nous est fourni par Mathilde Bourrier 149 qui analyse la transgression des règles par les professionnels de la maintenance dans les centrales nucléaires. Si certaines de ces transgressions s enracinent dans l incomplétude structurelle des procédures, obligeant les personnes à improviser là où la règle n existe pas ou ne convient pas, d autres transgressions sont plutôt liées à un fonctionnement de l organisation qui ne sait pas penser la conception, l évolution des procédures, leur mise à jour, et condamne de ce fait les opérateurs à une autonomie opaque. Or, cette opacité entraîne des différences de plus en plus importantes entre ce qui est censé être fait et ce qui est réellement pratiqué, et ceci, explique l auteur, au détriment de la sécurité. 146 Jugement du Tribunal de Grande Instance de Paris du 7 novembre «Les contrôles et les surveillances ne doivent être considérées comme entièrement justifiés que s'ils sont connus du personnel et non pas s'ils sont mis en œuvre à son insu». 147 C était avant la «crise» Christine Fassert, La transparence en questions. Le cas du contrôle de trafic aérien, Mémoire de DEA, Paris I Sorbonne. 148 Ehrard Friedberg, Le pouvoir et la règle. Seuil En effet, la notion d'acteur stratégique implique, entre autres, la notion d'un comportement utilitariste de l'acteur, mais sans «analyse a priori des valeurs qui prévalent ou devraient prévaloir : le sens du comportement utilitariste est progressivement enrichi par l'analyse». Donc le sens dépend de chaque cas particulier. 149 Mathilde Bourrier, Le Nucléaire à l'épreuve de l'organisation, PUF, 1999.

83 6. LES HRO : LA TRANSPARENCE POUR RETROUVER LA CONFIANCE P a g e 83 DE L ORGANISATION «A RISQUE» A L ORGANISATION «A HAUTE FIABILITE» Le dernier courant examiné dans cette rapide revue des travaux qui s intéressent aux organisations «à risque» est le courant dit des «organisations à haute fiabilité», traduit de l américain «High Reliability Organizations». Pour ce courant, issu de l université de Berkeley en Californie, certaines organisations à risque deviennent des organisations "à haute fiabilité" : «Elles fonctionnent de manière sûre et fiable dans des contextes techniques éprouvants 150». Les théoriciens des «HRO» (nous les désignerons ainsi, comme ils se désignent eux-mêmes, dans la suite du texte) considèrent que ces organisations présentent un ensemble de caractéristiques organisationnelles originales et qu elles méritent par ailleurs un arsenal théorique particulier. Les premières études ont concerné les porte-avions nucléaires, puis ont continué avec des centres de contrôle aérien, des centres de gestion d un réseau électrique, et, enfin plusieurs centrales nucléaires. Au-delà des différences entre ces différentes organisations, les théoriciens des «HRO» ont été frappés par des similitudes, qu ils ont dégagées grâce à des études ethnographiques fouillées. Parmi ces caractéristiques, Rochlin mentionne : «un usage flexible de la délégation d autorité, une structure d organisation spécifique en situation de stress (particulièrement en situation de crise ou d urgence) ; une reconnaissance active des compétences et du dévouement des opérateurs, à tous les niveaux de l organisation, l existence d un système récompensant les opérateurs pour la découverte d erreurs, et valorisant le partage d informations à leur sujet (d autant plus que c est l opérateur qui rapporte ses propres erreurs), enfin des attitudes tantôt favorables, tantôt défavorables au changement organisationnel et technique, suivant que les effets à court et long terme sur la fiabilité de l organisation et ses performances auront été analysés et jugés positifs ou négatifs 151». Benoit Journé 152 soulève une question d importance : les organisations ainsi regroupées forment-elles véritablement un groupe aussi homogène que les théoriciens des HRO le soutiennent? Il y aurait peut-être plus de différences que ceux-ci ne le concèderaient, notamment, précise l auteur, entre les centrales nucléaires et les porte-avions, qui ont constitué pour les HRO le terrain d étude initial. Cette remarque est importante pour la suite. En effet, nous utiliserons largement une partie des travaux de La Porte, un des principaux théoriciens des HRO, car ils abordent précisément les dimensions de confiance et de 150 Gene I. Rochlin, Les organisations à haute fiabilité : bilan et perspectives de recherche, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, Ibid. (p.47) 152 Benoit Journé, La prise de décision dans les organisations à haute fiabilité : entre risque d accident et risque bureaucratique, Cahiers de l artémis. Organisations et stratégies industrielles, N 3. (p )

84 84 P a g e transparence. Ces travaux sont enracinés dans le cas particulier de la gestion des déchets nucléaires, mais développent des concepts visant à rendre compte plus généralement des rapports entre une organisation à risque et son public. TRUSTWORTHINESS : DES ORGANISATIONS «DIGNES DE CONFIANCE». Au sein du groupe des HRO, La Porte présente l originalité de s intéresser plus particulièrement à la notion de confiance, et aux relations entre les HRO et leur environnement, au-delà des aspects plus classiques de fiabilité organisationnelle traités par ce courant de recherche. Dans deux articles (La Porte et Metlay 153, et La Porte 154,), il explore différentes facettes de la confiance et élabore le concept de «Institutionnal Trustworthiness». La traduction dans l article en français propose pour ce terme l expression «confiance institutionnelle». L expression d origine apporte une nuance supplémentaire, peut-être impossible à traduire élégamment ; c est bien le fait d être digne de confiance, de mériter la confiance dont il est question ici, pour une institution, et pas seulement d inspirer de la confiance, comme la traduction proposée (confiance institutionnelle) pourrait le faire accroire. Ceci est important, car dans les deux articles, La Porte semble implicitement indiquer qu il s intéresse à des organisations pour lesquelles une crise de confiance de la part du public n est pas fondée. Pour le dire en d autres termes, son hypothèse de départ n est pas celle d une quelconque manipulation de l opinion publique : il s agit pour ces organisations de conquérir ou de reconquérir une confiance en crise, alors même qu elles ne «déméritent» pas quant à la sécurité. La trustworthiness est, pour La Porte, une combinaison de trust et de confidence. La langue française ne propose pas une telle nuance. Voici celle mentionnée par l auteur 155. «Trust» suppose que votre interlocuteur prenne en compte vos intérêts, y compris dans les situations où vous n êtes pas en mesure d identifier, d évaluer ou d empêcher une initiative qui vous serait éventuellement préjudiciable» «Confidence» renvoie à une situation où l organisation considérée est capable de se mettre à votre place et d agir en conséquence et se donne beaucoup de mal pour respecter ses engagements». Trustworthiness est une combinaison de trust et de confidence». Il faut d abord noter que cette distinction ne recouvre pas la distinction habituelle entre trust et confidence, telle qu elle a été introduite par Luhmann 156, et ensuite reprise par plusieurs 153 L article initial se base sur une étude menée dans le domaine de la gestion des déchets nucléaires au sein du DoE (Département de l Energie) américain. Todd R. La Porte and Daniel S. Metlay, Hazards and Institutional Trustworthiness: Facing a Deficit of Trust, in Public Administration Review. July/August vol 56. N Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, Ibid. (p.81).

85 P a g e 85 théorisations de la confiance. «Trust» est traduit usuellement par confiance décidée en Français. On serait dans une situation de «confidence», traduite par confiance assurée, lorsque l on n a pas d alternatives, de choix véritable, et de «trust» (confiance décidée), lorsqu on peut choisir une action en préférence à une autre. Pour Luhmann, la notion de «trust» est une solution aux problèmes spécifiques posés par le risque 157. La distinction proposée par La Porte ne prend pas le point de vue de celui qui fait confiance, mais le point de vue de l organisation. La distinction paraît toutefois ambiguë : On peut penser que dans la «confidence», au sens de La Porte, l organisation qui prend en compte vos intérêts se met d une certaine façon «à votre place». Et il n y a pas de raison de croire que dans «trust» l organisation ne doive pas aussi «se donner du mal» pour respecter ses engagements. Il y aurait dans la confiance au sens de «trust» une dimension supplémentaire : il s agit de «s en remettre» à une organisation, de faire une sorte de confiance aveugle puisque ce sont des situations qui restent totalement opaques du point de vue de celui qui donne sa confiance (ou du point de vue du public dans le cas précis étudié ici). Ce serait, peutêtre la distinction majeure que l on pourrait identifier entre les deux sens de la confiance proposés par La Porte ici. Ainsi, la trust serait ici assez emblématique de nombreuses organisations «à risque» envers lesquelles nous sommes finalement tenus à une forme de confiance obligée faute d avoir les compétences et les moyens de comprendre les risques et de les éviter. Or, il existe dans la notion de trust usuellement retenue par les théoriciens de la confiance une dimension de «décision» qui semble ici être prise à contre pied. Cependant, lorsque La Porte approfondit la «trustworthiness», il s attache surtout à son sens littéral de «être digne de confiance» ou «mériter la confiance». PERDRE LA CONFIANCE La Porte introduit une idée supplémentaire quand il parle de la perte de confiance : «Ainsi, quand nous disons qu une organisation a perdu la «trust» et la «confidence» du public, nous voulons dire que beaucoup de membres et de groupes des parties prenantes croient que l organisation (et ses contractants) n a pas l intention de prendre leurs intérêts en compte et n en auraient pas les compétences et la capacité quant bien même elle essaierait de le faire 158». 156 Niklas Luhmann, La confiance, un mécanisme de réduction de la complexité sociale, Economica, Ces aspects seront détaillés dans le chapitre qui traite de la notion de confiance. 158 «So when we say that an organization has lost public trust and confidence, we mean that many members of the public and stakeholder groups believe that the organization (and its contractors) neither intends to take their interests into account nor would it have the competence/capability to act effectively even if it tried to do so». Notre traduction. Todd R. La Porte and Daniel S. Metlay, Hazards and Institutional Trustworthiness: Facing a Deficit of Trust, in Public Administration Review. July/August Vol. 56. N 4.

86 86 P a g e Il apporte ici une idée supplémentaire : la compétence de l organisation. Nous proposerons de reformuler ainsi cette idée, en espérant ne pas trahir les idées de l auteur : dans la perte de confiance de la part du public, se mêlent à la fois une dimension morale (l organisation n a pas la volonté de prendre en compte les intérêts 159 du public, elle ne se soucie pas de son bienêtre, ou même simplement de sa vie), et une dimension cognitive (de l ordre des compétences, du savoir) : l organisation possède les connaissances et les savoir-faire indispensables pour assurer son fonctionnement de façon sûre. Si ces deux ingrédients peuvent sans doute se combiner à des degrés divers, La Porte ne propose pas d explorer ce qui pourrait être identifié comme des modalités de perte de confiance sensiblement différentes. Ainsi une partie du public peut s opposer au nucléaire en étant persuadée que les technocrates qui sont à la tête de ce complexe industriel ne se soucient pas du public, et encore moins des générations futures chargées de gérer les déchets radioactifs. Mais une autre partie du public - tout en étant persuadée que ces dits technocrates sont globalement de bonne volonté, et se soucient de la population - peut s inquiéter de la capacité des humains à opérer de façon sûre des systèmes aussi complexes 160. Dans les deux cas, les personnes peuvent déclarer «ne pas avoir confiance dans le nucléaire», et cela renvoie pourtant, nous semble-t-il, à des sentiments finalement très différents 161. Ces réflexions sur la confiance seront poursuivies dans un chapitre ultérieur. QUEL ROLE POUR LA TRANSPARENCE? Pour l instant, afin de garder le fil de notre exploration sur la façon dont la notion de transparence est traitée dans les organisations à risque, contentons-nous de noter que La Porte identifie la perte de confiance à une perte du fait d être «digne de confiance» pour une organisation, et qu il considère la trustworthiness comme une combinaison de deux dimensions, que nous pouvons résumer en : «volonté» et «compétence». Dans son raisonnement, La Porte définit d abord des propriétés favorables 162 «trustworthiness». à la 159 La Porte parle de l intérêt du public, mais s agissant des activités des organisations qu il décrit, il ne saurait s agir d une définition restreinte de l intérêt. L intérêt est ici à prendre dans un sens large : bien être de la population, santé, et même, survie. 160 C est notamment la position de Charles Perrow, pour lequel l accident normal ne résulte pas d actions immorales ou de négligences coupables de la part des personnes qui opèrent ces systèmes à risque. 161 Du point de vue des victimes, il nous semble également qu il existe une différence de taille lorsqu on est face à une catastrophe qui est la conséquence de négligences manifestes (i.e : l organisation n a volontairement pas pris les intérêts du public en considération) et celle qui est la conséquence d erreurs non intentionnelles, parce que liées à un déficit de compétences de l organisation. 162 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.81). A noter que La Porte parle ici de façon abstraite de relation entre les «parties». Il mentionne juste après cette liste : «pour que ces conditions abstraites deviennent réalité et que la population accorde sa confiance à une HRO, il faut d abord que des relations avec des acteurs extérieurs à

87 P a g e 87 «Les parties en présence se respectent et s estiment réciproquement, elles se connaissent et considèrent avoir atteint un niveau avancé de compréhension mutuelle et d intégrité, - les parties disposent des compétences nécessaires pour comprendre les problèmes que rencontrent les unes et les autres, ainsi que la teneur des solutions proposées, - les parties contribuent de manière égale à la définition des termes de leur relation, - les parties puisent dans une histoire positive commune, faite entre autres d accords respectés en dépit des pressions ; les parties prennent au sérieux les conséquences que peuvent avoir leurs initiatives sur la durabilité de leurs relations - les parties sont capables de définir rapidement et sans ambiguïté l ensemble des conséquences que leurs relations peuvent avoir les unes pour les autres». A partir de ceci, La Porte distingue les organisations qui ont déjà un capital de confiance et les organisations qui ont un passif de méfiance. Il définit, pour ces deux cas des relations externes et un fonctionnement interne de l organisation. Pour une HRO qui bénéficie déjà d'un capital de confiance, La Porte recommande pour les relations avec l extérieur : «l'implication continue des parties intéressées dans des groupes à vocation consultative. Cette implication se caractérise par des contacts fréquents avec l organisation, un esprit de franchise et un engagement à répondre rapidement aux doléances des membres du groupe» ( ) et «l application effective des accords passés». En ce qui concerne le fonctionnement interne, il faut, dit-il, «un niveau élevé de compétences professionnelles et managériales», et «une disposition à respecter des plannings techniques réalistes 163». Ceci paraît simple, mais comme le note Paul Slovic, cité par l auteur, la confiance est fragile et ses mécanismes peuvent se décrire comme soumis à un principe d'asymétrie: "Dans l'arène où se gagne la confiance le jeu est d'avance difficile, car le terrain n'est pas plane et penche vers la méfiance". l organisation soient établies et qu une combinaison de facteurs organisationnels internes viennent les renforcer». Pourtant, il nous semble que les relations détaillées ci dessous s apparentent justement bien davantage aux relations qui pourrait exister entre une HRO et un «acteur extérieur» comme une autorité de régulation par exemple, qu entre une HRO et sa population. Cette description semble en tout cas négliger qu il y a toujours médiation entre une HRO et la population, et l on voit mal de ce fait comment ces relations entre «parties» ici décrites peuvent réellement s appliquer à une institution et son environnement. Cette réserve n est pas que de pure forme, car dans son exposé, La Porte semble laisser de côté le fait pourtant essentiel que la relation entre une HRO et la population n est pas une relation directe, et que la population dépend largement des media et d institutions diverses (dont les autorités de surveillance) pour se construire une représentation de la «trustworthiness» d une organisation. Nous reviendrons ultérieurement sur ce point. 163 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.83)

88 88 P a g e Une organisation en situation de méfiance devra développer, selon La Porte, pour ses relations externes, les quatre axes suivants : «- engagement de l organisation dans un processus d ouverture respectueux en direction des représentants de l état concerné, des communautés locales, et, plus largement, de la population, pour les informer et les consulter sur ses activités techniques et sa gestion interne, - présence fréquente de responsables hauts placés sur les sites importants de l organisation, qui se rendent ainsi visibles et accessibles, - existence d une agence locale bien identifiée et présence in situ de dispositifs, contribuant par des mécanismes appropriés au paiement des taxes locales et au développement local, - négociation et octroi de ressources aux communautés concernées leur permettant de prendre en charge des coûts imprévus 164. Ces axes paraissent très classiques, en tout cas à un lecteur français : n est-on pas en face de stratégies plutôt banales en termes de communication institutionnelle? N a-t-on pas l impression de voir décrit ici peu ou prou le fonctionnement d une CLI (Commission Locale d Information) telles qu elles existent depuis longtemps aux abords des sites nucléaires? Nous avons cependant cité ce texte parce qu il se réfère, entre autres choses, à des processus de «mise en visibilité» institutionnalisés, et que ces processus sont effectivement typiquement évoqués lorsque l on parle de «transparence» dans les organisations. Cependant, c est lorsqu il réfléchit sur les conséquences de cette mise en visibilité organisée sur le fonctionnement interne d une HRO que La Porte apporte les éléments les plus intéressants. Aborder le fonctionnement interne de l organisation lui permet de dépasser la question de la confiance comme une relativement simple affaire de communication. Le fonctionnement d une HRO, explique-t-il en substance, doit être exposé, et ce de façon à être plus rassurant pour la population au fur et à mesure qu il est davantage connu et exposé. «En d autres termes, il n est possible de renouer avec la confiance que si les parties concernées sont rassurées au fur et à mesure qu elles comprennent mieux l organisation considérée 165». 164 Op. Cit. (p.87) 165 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.86)

89 P a g e 89 Ces qualités supplémentaires comprennent, par exemple : «La mise en œuvre des options techniques dont les conséquences puissent être exposées avec le plus de clarté possible à la population dans son ensemble, L identification de procédures d auto évaluation qui permettent de devancer les problèmes avant qu ils ne soient découverts par des acteurs extérieurs, La mise en œuvre de solides procédures internes de revue critique de ses activités qui impliquent les parties concernées, La claire désignation des responsables institutionnelles chargés de protéger les efforts de l organisation en faveur de la confiance». La Porte souligne lui-même en quoi ces caractéristiques de la HRO peuvent s analyser comme des mécanismes assurant une meilleure visibilité. «Ces demandes rendent effectivement le fonctionnement de l'organisation plus transparent (souligné par nous) aux parties intéressées, souvent inquiètes, parfois hostiles". Mais surtout, il insiste largement sur le fait que ces mécanismes présentent de nouvelles contraintes, qui viennent s additionner aux exigences intrinsèques liées au caractère «risqué» de l activité. Ainsi, La Porte insiste : «Les organisations peuvent être forcées de faire de nouveaux investissements exigeants en termes de temps quand les actions doivent être transparentes 166». Il insiste sur le fait que lorsque la situation de méfiance est déjà installée, il ne suffit pas d appliquer quelques nouvelles «recettes» de comportement. «Les défauts de confiance peuvent provenir d un seul composant. Il faut en revanche que tous les éléments de la confiance sans exception soient réunis pour que celle-ci soit pleine et entière 167». La Porte reste toutefois prudent sur ces axes qui permettent de retrouver la confiance pour une organisation, et souligne qu il subsiste de nombreuses questions, car il existe différentes situations de types de perte de confiance. On manque par exemple, selon lui, d indicateurs capables d identifier suffisamment tôt les tendances à la perte de confiance, et de comparaisons entre l institutionnalisation des actions de maintien de la confiance et l institutionnalisation des mesures correctives, développées pour la regagner. LA TRANSPARENCE ET SES EFFETS Si La Porte mentionne clairement le rôle d une forme de transparence dans les mécanismes de construction de la confiance, il n insiste pas sur quelques effets de cette mise en visibilité que nous souhaitons maintenant discuter plus longuement. D abord, La Porte insiste sur les coûts 166 «Organisations may be forced to make new and heavy investments in time and other resources when actions have to be transparent». Notre traduction. Souligné par nous. Todd R. La Porte and Daniel S. Metlay, Hazards and Institutional Trustworthiness: Facing a Deficit of Trust, in Public Administration Review. July/August vol 56. N 4. (p.345) 167 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.88)

90 90 P a g e que nous pourrions qualifier de «psychologiques» : les qualités pour se montrer «transparent» viennent se surajouter pour les acteurs, aux exigences inhérentes à l activité de la HRO, elles peuvent être ressenties comme une ingérence : «Demander de tels engagements à une organisation en plus des exigences techniques et administratives que lui impose sa dynamique propre de HRO, passe souvent pour de l ingérence et semble faciliter de potentielles malveillances 168». Et plus loin : «Les conditions associées à la reconquête de la confiance consomment également beaucoup de temps, et nécessitent la mise en place de processus qui peuvent gêner les équipes de direction, ou être ressenties comme une menace 169». Ensuite, comme on l a déjà évoqué, ces mécanismes qui permettent de rendre l organisation plus transparente, plus contrôlable ont un impact que la structure de l organisation, elles impliquent des transformations, «des investissements lourds et coûteux» nous dit La Porte. Notre lecture à travers le prisme de la transparence nous invite à tirer toutes les conséquences de cette analyse : il ne s agit pas de rendre visible, au sens de dévoiler, mais de réorganiser la structure et le fonctionnement de l organisation pour rendre celle-ci plus «transparente». Bien qu il n insiste pas sur cet aspect, on peut souligner que l organisation HRO paraît aux yeux de l auteur intrinsèquement opaque, et qu elle ne devient transparente que dans un processus qui est coûteux pour les acteurs (forme d ingérence) et pour sa structure et son fonctionnement. Enfin, dernier point important, La Porte semble insister essentiellement sur la transparence du fonctionnement l organisation vis-à-vis de l extérieur. Il n aborde pas ce que nous appelons l auto transparence, alors que cette dimension et de façon générale la métaphore de la visibilité des risques est très centrale chez les autres auteurs (comme elle l est également chez les tenants du groupe HRO). QUELQUES QUESTIONS OUVERTES L approche de La Porte a le mérite de poser le rôle d une forme de transparence pour l établissement ou la reconstruction de la confiance, mais cette prise de position ouvre beaucoup de nouvelles questions, comme il le reconnaît d ailleurs en conclusion de son exposé. C est donc dans une perspective de continuation critique que nous proposons ces quelques réflexions. D abord, la dichotomie entre «organisations auxquelles on fait confiance» et «organisations dont on se méfie» est sans doute un peu abrupte. En tout cas elle soulève beaucoup de questions : mesure de la confiance, homogénéité du public quant aux sentiments de confiance/défiance, Il existe sans doute des cas qui sont entre les deux, des situations de 168 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.87) 169 Todd R. La Porte, Fiabilité et légitimité soutenable, in Organiser la fiabilité, sous la direction de Mathilde Bourrier. L Harmattan, (p.99)

91 P a g e 91 «crises» transitoires (post accidentelles par exemple) qui ne sont pas réductibles à une telle dichotomie, etc. Il faut aussi rappeler les idées stimulantes de Stompka 170 (2006) et de Pettit 171 (1999) abordée dans le chapitre précédent, autour de l institutionnalisation de la défiance, de la différence entre expression et sentiment de méfiance. Ensuite, et de façon plus fondamentale, il nous semble que l articulation avec la notion de confiance mérite un approfondissement qui permet, dans un second temps, d identifier quelques conséquences quant au rôle de la transparence. Comme nous l avons évoqué plus haut, La Porte fait de la trustworthiness, un mélange de «trust» et de confidence», et il donne de la «perte de confiance», une définition dans laquelle la population ne croit pas que l organisation prenne en compte les intérêts du public, et que, quand bien même cette organisation le souhaiterait, elle n en aurait pas les compétences. Ces deux dimensions, que nous avions rebaptisées : volonté et compétence sont mélangées dans la notion proposée par La Porte. Il ne s intéresse pas aux cas pour lesquels la perte de confiance concerne presque uniquement une seule de ces deux dimensions. Or, comme nous l avons introduit plus haut avec notre exemple des opposants au nucléaire, certaines personnes peuvent penser que les membres d une organisation sont indifférents aux intérêts de la population, alors qu ils auraient les compétences nécessaires pour mener à bien leur mission, mais d autres peuvent penser que ces acteurs sont «de bonne volonté» mais n ont pas les compétences, parce que la complexité de ces systèmes qui semblent souvent s autonomiser dépasse l entendement humain. Les deux types de «non confiance» nous semblent différents dans le premier et le second cas. Mais surtout, en continuant notre raisonnement dans une lecture en termes de transparence, reconquérir la confiance n implique pas les mêmes enjeux dans l un et l autre de ces cas. Or, il nous semble qu implicitement, La Porte, lorsqu il donne des recommandations aux HRO en situation de méfiance, traite bien davantage de la perte de confiance dans sa dimension cognitive (démontrer des compétences) que dans sa dimension morale (démontrer, pour une organisation, qu elle a le souci de l intérêt d autrui). A quoi sert-il, en effet, d être toujours plus transparent si la population est de toute façon persuadée que les acteurs de cette HRO se moquent bien des intérêts du public? Ce sont bien des dimensions de compétences, de savoir dont on fournit la preuve dans cette mise en visibilité toujours plus grande et plus sophistiquée, mais quid de la dimension morale? Il semble donc que La Porte, bien qu il donne initialement à la trustworthiness une double dimension, ne traite dans un second temps, lorsqu il analyse la perte de confiance et les mécanismes possibles de sa reconquête, que la dimension la plus cognitive de celle-ci. 170 Piotr Sztompka, Trust, a sociological theory, Cambridge university press, Philippe Pettit, Républicanisme. Une théorie de la liberté et du gouvernement, Essais, Gallimard, 1999.

92 92 P a g e 7. CONCLUSION : QUELS USAGES DE LA NOTION DE TRANSPARENCE DANS LES ORGANISATIONS A RISQUE? UNE CONSTANTE : LA METAPHORE DE LA VISIBILITE DES RISQUES Que peut-on conclure de ce rapide tour d horizon de la sociologie des organisations à risque quant à la question de la transparence? A l exception notable de La Porte, qui soulève la question de l accountability, et qui fait d une forme de transparence une condition de la confiance, l examen des différents travaux de sociologie organisationnelle montre que la question de la transparence dans les organisations à risque n est pas formulée comme telle, du moins pas de façon explicite. Cependant, les questions autour du risque sont très largement formulées comme des questions de visibilité et de connaissance. La métaphore visuelle, par exemple l opacité des risques chez Vaughan, est très présente. L organisation doit identifier les risques pour les maîtriser, ou, du moins, pour y faire face. Le risque est un danger qui a été rationalisé, il n est pas nécessairement quantifié, mais il est rendu plus compréhensible, intelligible, il est alors, éventuellement, plus maîtrisable. Au delà de la stricte question des risques, le projet d une organisation rendue plus transparente se construit face à l opacité résultant de la complexité. Il s agit d abord d une organisation (et de ses risques) rendue plus transparente «à elle-même». Ceci est loin d être une vue purement théorique. Par exemple, le responsable de la sécurité des vols à Air France explique, alors qu il fait le bilan de plusieurs années de Retour d Expérience : «Quand on dit «pas d évènements», mieux vaut dire «pas d évènements rapportés». Il y a là une sacrée différence! Faible visibilité des évènements signifie existence d un risque élevé. Une faible visibilité veut dire que, dans un domaine de risques donné, l entreprise est aveugle. Et il n y a pas pire danger que d être aveugle dans un domaine de risques 172!». La question d une transparence envers un tiers (autorité de régulation, instance de contrôle, usagers, ) arrive ensuite, et pas systématiquement, sauf dans les travaux déjà évoqués de La Porte. Cette «auto transparence» renvoie bien sûr, au projet de la modernité évoqué par Vattimo 173 par exemple. Chacun des courants qui ont été présentés dans ce chapitre propose un angle d analyse particulier, que nous allons maintenant repasser en revue pour les articuler aux résultats de la première partie de cette thèse. Ainsi, Vaughan considère l opacité structurelle comme une résultante de mécanismes internes à l organisation, qui vont peu à peu obscurcir le sens de certaines informations, provoquer une distorsion de l appréhension d un risque pourtant très factuel et concret : la rupture possible 172 Bertrand de Courville, Maîtrise des risques à Air France. Système de retours d expérience, Séminaire : Retours d Expérience, apprentissages et vigilances organisationnels, Approches croisées. Actes de la première séance, 5 Mars 1998, CNRS, Paris. (p.171) 173 Gianni Vattimo, The Transparent Society, Baltimore, The John Hopkins University Press, 1992.

93 P a g e 93 d un joint s il est soumis à une température trop basse. Vaughan replace cette opacification dans le contexte plus large d une opacité structurelle de toute l organisation de la NASA. L originalité de cette approche est de montrer des mécanismes d opacité involontaire. Dans notre première partie, la rapide revue théorique de la notion de transparence avait montré la connotation vertueuse de la transparence répondant en miroir à l immoralité d institutions fonctionnant dans le mensonge et la dissimulation. Etre transparent était alors compris comme une affaire de (bonne) volonté. Mais, insiste Vaughan, point de volonté de cacher des risques au sein de la NASA, point d immoralisme de la part des dirigeants, mais bien plutôt la lente dérive d une bureaucratie toujours plus complexe et opaque à ses propres yeux. Par conséquent, si l'autorité régulatrice censée contrôler la NASA, en apportant notamment ce regard extérieur, échoue également à identifier le problème qui mènera à la catastrophe lors du lancement de Challenger, ce n est pas parce que la NASA ne s est pas prêtée de bonne foi à la surveillance et au contrôle, mais parce que le régulateur n a pas été capable de «voir» autrement qu avec les mêmes biais que celle-ci. Pour Perrow, la transparence est un problème également épistémique : que pouvons nous savoir, comprendre d organisations à risque toujours plus complexes? Elle est également un problème moral (que veut-on bien montrer?) et politique : suivant qu il y ait ou non proximité des élites, l effort pour appréhender les risques sera plus ou moins patent. La complexité est, avec le «couplage», un des deux axes de description des organisations. Non seulement la complexité rend difficile qu une organisation soit «transparente à elle-même», dans son fonctionnement nominal, mais, de plus, elle génère des situations qui deviennent brutalement inintelligibles : c est le cas de TMI selon l auteur. Perrow défend également que certaines situations ne sont compréhensibles qu aux personnes qui ne sont pas autorisées à décider. En ce sens, l apport de la théorie de l accident normal est aussi de dépasser une approche qui «personnifie» l organisation pour montrer des rapports de pouvoir, qui participent fortement, au delà de la stricte compréhension ou non compréhension des risques, à son diagnostic pessimiste de normalité de l accident dans certaines configurations. UN DESACCORD SUR LE ROLE EFFECTIF DES REGULATION AUTHORITIES Perrow n est pas non plus convaincu du rôle que pourraient jouer les autorités régulatrices, il ne donne pas d exemples positifs dans lesquels la surveillance ainsi exercée ait un effet notable. A propos de l industrie nucléaire, il ne croie pas beaucoup aux efforts appelés par La Porte, d une organisation qui se donnerait volontairement des moyens d être plus transparente au contrôle externe. Bien au contraire, conclut-il un peu lapidairement, «ils

94 94 P a g e (l industrie nucléaire) gardent (l information) secrète, ils ne disent pas à la commission de régulation nucléaire plus que ce qu ils doivent 174». Le courant des HRO présente aussi le souci d une approche, qui, au-delà de la classique importance de la visibilité des risques, s attache à explorer les dimensions morale et politique de la transparence. Il s agit, on l a compris, d une vision foncièrement plus optimiste que celle de Perrow. Et ceci, à un double titre. Du point de vue épistémique d abord, car l identification des risques ne paraît pas un problème insurmontable aux tenants des HRO, grâce, notamment à des solutions organisationnelles dont ils identifient l originalité. Ainsi, par exemple, les personnels participent intensivement et tout au long de leur carrière à des activités de formation, les processus de Retour d Expérience permettent la compréhension des erreurs, etc. Du point de vue moral et politique ensuite car avec les notions de «sustainable legitimacy» de «trustworthyness», d «accountability», La Porte dessine le portrait, idéal il est vrai, d organisations qui reconnaissent avoir des comptes à rendre aux citoyens, qui se rendent volontairement contrôlables et transparentes à des autorités externes, afin de mériter la confiance. Nous avons cependant identifié de nombreuses questions qui restent ouvertes, en ce sens que La Porte se réfère implicitement à une vision de la confiance, qui mérite un examen plus approfondi. Le bref panorama proposé en introduction de ce travail a en effet tenté de montrer la complexité des relations qui unissent la confiance et une forme de visibilité. C est pourquoi nous nous proposons d explorer dans notre étude de terrain cette vision instrumentale de la transparence par rapport à la confiance, dans une continuité critique des travaux de La Porte. 8. CONCLUSION GENERALE L examen de la notion de transparence dans les organisations à risque résulte d abord en un déplacement de la question posée dans le chapitre précédent, qui avait présenté un panorama général de la notion de transparence. Dans le panorama général, l objet de la transparence ne fait quasiment jamais question. Le paradigme général est presque toujours celui d une information qui existe en tant que telle, et qui est ensuite, volontairement montrée (transparence) ou dissimulée (opacité). Dans le domaine juridique par exemple, les lois sur la transparence se consacrent à rendre visibles, accessibles, des informations jusque-là dissimulées. C est en cela que nous avions parlé de la métaphore du dévoilement : la transparence permet de rendre visible à un tiers ce qui ne l était pas, mais l objet de la transparence reste identique, il est relativement simple, et seule sa visibilité se modifie. 174 Mathilde Bourrier propose une analyse plus nuancée des rapports entre industrie nucléaire et regulation authority, avec des différences selon les centrales. Mathilde Bourrier, Le Nucléaire à l épreuve de l organisation, PUF, 1999.

95 P a g e 95 Lorsque nous examinons la transparence dans les organisations à risque, nous constatons que la question centrale est plutôt celle de l identification des risques, de leur intelligibilité. C est donc l objet de la transparence qui fait question, avant que ne soient posées les modalités de révélation ou de dissimulation à un public, ou à un tiers. Vaughan parle du «secret structurel», concept qui rend compte du rôle joué par l organisation dans le développement d une forme d aveuglement, totalement involontaire, sur les risques. Perrow insiste sur des dimensions de complexité qui rendent le fonctionnement des systèmes peu intelligibles. Il y ajoute certes une dimension de dissimulation volontaire, mais le cœur de son propos est d abord le constat d une forme d impuissance à identifier et gérer véritablement les risques de certains types d organisations. C est pourquoi la transparence dans les organisations à risque 175 présente sans doute l originalité d être un problème épistémique avant d avoir (ensuite, dans un second temps) une dimension instrumentale de construction de la confiance. Cette question, celle de la visibilité envers un tiers, n est d ailleurs qu assez peu posée, et la question des rapports «régulés-régulateurs» ou celle des rapports avec un public externe n est pas non plus prégnante, loin de là. La Porte en fait quant à lui une question centrale : la transparence serait une des dimensions permettant la confiance, ou du moins le fait de «mériter la confiance». La question de la confiance qui avait été identifiée, en creux, dans la plupart des discours sur la transparence est ici très explicitement posée, puisque La Porte fait de la transparence une des conditions de la confiance. Cependant, si on examine plus précisément les modalités décrites par La Porte, on note que ces mécanismes de mise en visibilité des informations pour le public ne se restreignent pas à une forme de «dévoilement». En effet, ce qui est rendu visible est essentiellement le fonctionnement des organisations à risque, plus que les risques eux-mêmes. Cette visibilité impose au contraire une forme supplémentaire de contrainte : «Les organisations peuvent être forcées de faire de nouveaux investissements nouveaux et exigeants en termes de temps quand les actions doivent être transparentes 176» explique-t-il par exemple. D une certaine façon, La Porte semble estimer que l intelligibilité des actions d une organisation ne va pas de soi : la transparence doit dans ce cas précis (jouer un rôle dans l obtention de la confiance) s organiser. Elle implique alors des contraintes qui viennent se surajouter aux contraintes propres de nature opérationnelle. Il s agit donc d un déplacement (vers les actions) et d une complexification de l objet de la transparence. 175 Cette dimension d une transparence qui se différencierait du dévoilement est-elle propre aux organisations à risque? Certes non. Dès lors que l objet sur lequel porte la demande de transparence est complexe, sujet à interprétation, ou qu il est défini de façon abstraite, la métaphore du dévoilement ne fonctionne plus, et la question de la transparence se transforme substantiellement. Même dans un domaine qui paraît a priori très tangible, concret (la finance), Gladwell montre la difficulté de s en tenir à ce qu il appelle le «disclosure paradigm». Nous revenons plus loin sur ce point. Gladwell Malcolm, «The ENRON enigma. Open Secrets», The New Yorker, 8 janvier «Organisations may be forced to make new and heavy investments in time and other resources when actions have to be transparent». Notre traduction. Souligné par nous. Todd R. La Porte and Daniel S. Metlay, Hazards and Institutional Trustworthiness: Facing a Deficit of Trust, in Public Administration Review. July/August vol 56. N 4. (p.345)

96 96 P a g e Si on examine de plus ce qui traverse à la fois le panorama général de la notion de transparence et la façon dont est traitée la question dans les organisations à risque (ce chapitre), on identifie cependant aussi des aspects communs. D abord, les travaux de La Porte que nous venons d évoquer soulèvent des questions déjà examinées : les catégories de «transparence-stratégie» et de «transparence orchestrée» avaient permis d identifier quelques nuances concernant la transparence dans sa dimension communicationnelle. Certes, La Porte donne une dimension supplémentaire, car il parle de «mériter la confiance» et de «légitimité soutenable» : il semble de toute évidence ne pas restreindre les stratégies qu il propose à de simples manœuvres de communication et de manipulation. Il ne s agit pas seulement, pour les organisations qu il décrit, d inspirer la confiance mais d en être digne, de la mériter, ce qui n est pas la même chose. C est pourquoi La Porte articule finalement une vision assez classique d organisations devant être transparentes pour inspirer la confiance, et une vison plus morale, dans laquelle l organisation, loin d être seulement transparence, prend en compte les intérêts d autrui, intérêts qui sont à la mesure de notre vulnérabilité vis-à-vis de ces organisations. Il est temps maintenant d aller voir de plus près ces organisations, et de passer au volant ethnographique de ce travail.

97 P a g e 97 PARTIE II L ENQUETE DE TERRAIN

98 98 P a g e

99 P a g e 99 PARTIE II : L ENQUETE DE TERRAIN CHAPITRE 3 : INTRODUCTION A L ENQUETE DE TERRAIN ET AU DOMAINE DE LA NAVIGATION AERIENNE

100 100 P a g e 1. INTRODUCTION Après avoir dressé un rapide panorama de la notion de transparence, et examiné des travaux de sociologie des organisations à risque à travers le prisme de cette notion, nous abordons maintenant le terrain de cette étude. Il s agit en effet d examiner concrètement une situation à travers le prisme de la demande de transparence et d en construire les problématiques sous un angle sociologique. Cette étude empirique a été réalisée dans le domaine du contrôle de la navigation aérienne. Elle s intéresse à l identification des incidents et aux enjeux que soulève leur visibilité, mais aussi de façon plus globale à la façon dont sont appréhendés les problèmes de «sécurité aérienne». L étude de la mise en place d un règlement de sécurité d Eurocontrol (l Organisation européenne pour la sécurité de la navigation aérienne) permet d aborder l impact d une obligation réglementaire de communication de données sur les incidents, et d appréhender concrètement ce que peut signifier pour ces différents acteurs l obligation d être davantage «transparents». Ce chapitre d introduction comprend en premier lieu les éléments clefs permettant de comprendre le domaine opérationnel du contrôle de la navigation aérienne ; il est suivi d une synthèse rapide du contexte institutionnel, puis d une présentation méthodologique. Les deux études empiriques et la méthode ethnographique sont alors présentées. 2. LE CONTROLE DE LA NAVIGATION AERIENNE EN QUELQUES MOTS LES HOMMES ET LES SYSTEMES Cette introduction au domaine de notre enquête donnera des rudiments d informations sur le contrôle aérien, strictement limités à ce qui est nécessaire pour comprendre la suite de ce travail. Nous avons tenté de le rendre le moins rébarbatif possible : plutôt familier que technique, plutôt compréhensible qu absolument exhaustif. Les mots en caractères gras qui reviendront très souvent dans la suite de ce travail sont les éléments déterminants de ce domaine d activité. Chaque jour, des avions décollent et atterrissent, survolent de longues distances, non pas tels des oiseaux, mais en suivant des routes aériennes car ils sont guidés par des systèmes de radionavigation au sol, ou des systèmes satellites. Si des processus dits stratégiques permettent de limiter a priori l'encombrement du ciel en imposant par exemple aux avions de ne pas décoller tous à la même heure, et de ne pas se retrouver tous à survoler le même endroit au même moment, un processus tactique reste nécessaire pour assurer l'ordonnancement sûr, et efficace des avions. Ce sont les contrôleurs de la Navigation Aérienne qui assurent ce travail, à l'aide d'un système technique complexe qui associe le suivi radar de chaque avion et des informations dites «plan

101 P a g e 101 de vol» qui décrivent la trajectoire prévue de l'avion. L espace aérien d un pays est découpé en plusieurs centres de contrôle, chaque centre de contrôle est lui-même découpé en secteurs. Les règles de sécurité internationale imposent des séparations minimum entre les avions. Ces normes dépendent essentiellement de la qualité des infrastructures radar existant dans chaque pays : en Europe, ces normes sont généralement de 5 miles nautiques de séparation horizontale et 1000 pieds de séparation verticale pour les zones dites de contrôle en-route (c'est-à-dire, hors des phases d'atterrissage et de décollage). La mise en œuvre et le suivi constant de la séparation réglementaire est assurée par un travail complexe d'analyse des situations et d'anticipation des trajectoires des avions. La photographie ci dessous 177 montre plusieurs positions de travail de contrôle. Dans la plupart des pays, un binôme de deux contrôleurs assure la surveillance d'une portion de l'espace aérien (un secteur de contrôle) pour ce qui est du contrôle en-route. Le premier donne des instructions aux pilotes grâce à une liaison radio ; ces instructions les guident régulièrement depuis la mise en route sur l aéroport de départ jusqu au parking final sur l aéroport de destination. Le contrôleur dit «radar» donne aussi le cas échéant des instructions (des clairances) aux pilotes telles que : prendre un cap, ralentir pour éviter un rattrapage, etc. lorsque la norme de séparation menace de ne plus être assurée. Ce second contrôleur prend en charge les coordinations : il s'assure des conditions d'entrée et de sortie du secteur de chacun des avions, et se coordonne avec les militaires qui sont aussi des usagers 177 Copyright Eurocontrol.

102 102 P a g e de l'espace aérien. Il existe également un contrôle d'approche (zone intermédiaire entre le contrôle en-route et la tour) et un contrôle de tour (décollage/atterrissage des avions, gestion des pistes, etc.). Pour le contrôle en-route, la plupart des systèmes de contrôle aérien des pays européens fournissent aux contrôleurs une alarme appelée filet de sauvegarde en France ou STCA (Short Term Conflict Alert) dans les autres pays : ce système informatique calcule les trajectoires des avions, analyse les futures séparations, et si la norme de séparation risque d'être enfreinte, fait clignoter les étiquettes 178 des deux avions sur l'image radar du contrôleur. A noter qu'il ne s'agit pas d'un outil de détection, puisque la détection de conflits potentiels fait partie du travail du contrôleur, mais bien d'un système d'alerte destiné à signaler en dernier recours au contrôleur ce qui est souvent le résultat d'un raté, d une erreur (oubli d'un avion, mauvaise évaluation de la situation, pilote ne s'étant pas conformé aux instructions, etc.). C'est un outil pour le contrôleur, qui permet à celui-ci de prendre une décision pour corriger la situation (il donne par exemple un cap à l un des deux avions, il arrête la montée d un avion à un niveau intermédiaire), ce qui permet de rétablir la norme de séparation. Il est important de préciser dans le contexte de cette étude, qu en termes de visibilité, ce type d évènement n est a priori connu que par le binôme de contrôleurs (et, éventuellement des collègues de la salle de contrôle). Il s agit en effet d un évènement le plus souvent très court, et dont les pilotes ne sont pas toujours conscients. Cependant, caractéristique importante dans le cadre de la problématique posée dans cette thèse, les échanges entre pilotes et contrôleurs à la fréquence, les images radar sont continûment enregistrées et archivées. Ces informations pourront être revisualisées en cas d accident, ou en cas d incidents lors des enquêtes. Sinon, après un certain temps qui peut varier selon les centres, ces informations sont effacées. Un autre système extrêmement important pour la sécurité est le TCAS (Traffic Alert and Collision Avoidance System - en français, «système d'alerte de trafic et d'évitement de collision»). Il s agit d une implémentation du concept ACAS (Airborne Collision Avoidance System), qui a été introduit pour réduire le risque de collisions en vol entre aéronefs. Il s agit d un système embarqué exploitant les données des transpondeurs des aéronefs pour extrapoler les trajectoires et déclencher une alerte s il évalue qu une collision va se produire avant un délai donné (les seuils d alerte varient selon les conditions, environ 30 secondes). En Europe, il est obligatoire pour les avions de plus de kg ainsi que pour ceux qui sont autorisés à transporter plus de 19 passagers Etiquette = ensemble d informations affichées sur l écran radar pour chaque avion, notamment : le nom du vol, sa vitesse-sol, sa tendance (montée, descente, stable). 179 Source :

103 P a g e 103 UN OBJET D ETUDE Le travail complexe des contrôleurs a intéressé la recherche en psychologie, et ce depuis les années soixante et particulièrement les chercheurs en psychologie cognitive. Les notions de conscience de la situation (une représentation dynamique, orientée par l action, construite par les contrôleurs pour se représenter la La photographie ci-dessus montre une «image radar» sur laquelle on peut voir les routes aériennes, et les plots des avions avec les «étiquettes» qui donnent les informations sur chaque vol. situation de trafic à partir des éléments fournis par le système), les questions liées à la décision, presque toujours prise sous contrainte temporelle forte, mais aussi les aspects plus collectifs (comme la transmission des informations lors des relèves, c est-à-dire du changement de binôme sur la position de contrôle) ne sont que quelques exemples parmi les plus prégnants. Depuis de nombreuses années, on s efforce, avec un succès plutôt mitigé, à concevoir des outils d aide pour le contrôleur (aide à la détection, à la résolution de conflit). D autres études ont davantage étudié certaines caractéristiques sociales du contrôle aérien. Par exemple la notion de clan 180, à laquelle les contrôleurs se réfèrent souvent spontanément pour désigner leur équipe (les contrôleurs ont souvent un fort sentiment d appartenance à leur équipe, on parle effectivement de «culture d équipe», comme nous le verrons plus loin dans l étude en France). Ou bien encore, par la même équipe du CETCOPRA, le statut La photographie ci-dessus montre trois plots radar avec leurs étiquettes : nom de l avion sur la première ligne (trigramme suivi d un numéro), puis niveau de vol, tendance (monte, descend, stable), vitesse sol, balise de sortie du secteur particulier du chef d équipe en France «pacificateur et dénué de pouvoir réel» sur son équipe, en référence au chef Indien décrit par Clastres dans «La société contre l état 181». 180 Alain Gras, Caroline Moricot, Sophie Poirot Delpech, Victor Scardigli. Face à l automate : le pilote, le contrôleur, et l ingénieur. Publications de la Sorbonne Pierre Clastres. La société contre l état, Paris, éditions de Minuit, Cité par : Gras et al. Ibid.

104 104 P a g e LES ACCIDENTS POSSIBLES Terminons cette présentation en détaillant la nature des accidents qui seront ensuite évoqués au fil des pages des enquêtes empiriques. Un accident peut se décrire (de façon simplifiée 182 ) comme un évènement qui entraîne un décès (ou un blessé grave) ou un dégât structurel de l aéronef. Un incident est défini quant à lui de façon très large comme un «événement, autre qu'un accident, lié à l'utilisation d'un aéronef, qui compromet ou pourrait compromettre la sécurité de l'exploitation 183». Les principaux types d accident pouvant impliquer à des degrés divers le contrôle aérien sont les suivants : Le CFIT (Control Flight Into Terrain) : collision d un avion avec le sol au cours de laquelle l équipage maîtrisait l avion sans avoir conscience du risque de collision : c est le cas de l erreur de navigation qui amène à percuter le relief ou l eau sans perte de contrôle de l appareil. Ce type d accident constitue la première cause d accident dans le monde 184. La collision en vol : événement au cours duquel un aéronef en vol entre en contact direct avec un autre aéronef ou un objet volant 185. D autres accidents ont lieu lors des décollages et atterrissages. Les incursions de piste (Runway Incursion) concernent: «Toute présence non autorisée sur la piste d'un aéronef, d'un véhicule, d'une personne ou d'un objet (avec ou sans manœuvre d évitement)». Concrètement, ces accidents ont souvent lieu entre un avion sur la piste de décollage et un autre avion venant d une bretelle d accès et pénétrant sur cette piste. Terminons par les accidents les plus récents en Europe, ayant impliqué le contrôle aérien. L accident à Paris CDG, en Collision au décollage entre un MD 83 de la compagnie Air Liberté et un Short 330 d une compagnie de fret. Il s agit également d une «incursion de piste» : Le MD 83 est autorisé à décoller en piste 27. Le Short 330 est ensuite autorisé à s'aligner et à attendre «numéro 2». Le contrôleur croit que les deux avions sont au seuil de piste, alors que le Short a été autorisé à emprunter une bretelle intermédiaire. Le Short s'engage sur la piste au moment où le MD 83 approche de sa vitesse de rotation. L'extrémité 182 Voir l annexe 13 de l OACI pour une description complète des notions d accident et d incident. 183 Annexe 13 de l OACI. 184 Bulletin sécurité Circulation aérienne. Dossier : Evolution sur la notification des incidents. Service du Contrôle du Trafic Aérien. N Définition HEIDI, dans ESARR2. Exigence Eurocontrol ESARR 2. Notification et analyse des évènements liés à la sécurité dans le domaine de l ATM» , Statut : Version autorisée, Classe : Diffusion générale. 186 Source : www. Bea. (Bureau Enquête Accidents). «Accident survenu le 25 mai 2000 à Paris Charles de Gaulle (95) aux avions immatriculés F-GHED exploité par Air Liberté et G-SSWN exploité par Streamline Aviation».

105 P a g e 105 de l'aile gauche du MD 83 traverse le poste de pilotage du Shorts 330 et touche les deux pilotes. Le commandant de bord est tué sur le coup. Un élément est intéressant à noter dans le contexte de cette étude. Le rapport du BEA (Bureau Enquête Accident) mentionne plusieurs airprox qui ont eu lieu dans les années précédentes dans des conditions similaires avant cet accident et note : «Ainsi, il s avère que la culture du retour d'expérience est encore jeune dans le monde du contrôle, et non encore complètement intégrée par tous comme un des éléments d amélioration de la sécurité 187». L accident de Milan Lineate, en Accident survenu à l aéroport de Milan-Linate en Octobre 2001, entre un avion de la SAS et un Cessna. Il fit 118 victimes, il s agit du plus grave accident jamais survenu en Italie. Cet accident appartient à la catégorie des «collisions au sol», et plus précisément des «incursions de piste» : le MD 87 de la compagnie SAS, en phase de décollage, est entré en collision avec le Cessna engagé sur la piste par erreur. L accident d Uberlingen, 1 er Juillet Collision en vol entre deux avions : (Tupolev TU- 154M des Bashkirian Airlines et un avion cargo, un Boeing du service de transport express DHL en Europe). Cet accident s'est produit à proximité d Überlingen, dans l espace aérien du sud de l'allemagne, qui est sous le contrôle de skyguide, le fournisseur de contrôle aérien suisse. Il s agit de la première collision en vol survenue entre deux avions de ligne depuis plus de 25 ans. La précédente, au-dessus de la ville de Zagreb, a eu lieu en1976. La cause immédiate de l accident d Uberlingen : une instruction du contrôleur à l équipage du Tupolev contradictoire avec l avis de résolution (la «solution») du système TCAS embarqué (Trafic Avoidance Collision System). L accident a fait 71 victimes. Un père de famille russe ayant perdu sa femme et ses enfants dans l accident tua le 24 février 2004 le contrôleur en service au moment de l accident. Cet épisode provoqua une vive émotion dans le monde du contrôle aérien. 187 Source : www. Bea. (Bureau Enquête Accidents). «Accident survenu le 25 mai 2000à Paris Charles de Gaulle (95) aux avions immatriculés F-GHED exploité par Air Liberté et G-SSWN exploité par Streamline Aviation». 188 Source :

106 106 P a g e 3. LE CONTEXTE POLITIQUE ET INSTITUTIONNEL LE «CIEL UNIQUE EUROPEEN» Le projet de création d un ciel unique européen à l initiative de l Union Européenne, est un élément clef de cette étude. «Le ciel unique européen est un ensemble de mesures qui visent à répondre aux besoins futurs en termes de capacité et de sécurité aérienne. Les mesures concernent à la fois le secteur civil et militaire et portent sur la réglementation, l'économie, la sécurité, l'environnement, la technologie et les institutions. Il s'agit de mettre fin à une organisation de la gestion du trafic aérien qui n'a pas évolué depuis les années 60 et qui est en grande partie source de la congestion actuelle du trafic aérien» 189. Le ciel unique européen est un paquet législatif : un règlement cadre 190 et trois règlements techniques relatifs à la fourniture de services de navigation aérienne, à l'organisation et à l'utilisation de l'espace aérien, ainsi qu'à l'interopérabilité du réseau européen de gestion du transport aérien. Ces règlements ont été adoptés en Ils visent, en particulier, à améliorer et à renforcer la sécurité, ainsi qu'à restructurer l'espace aérien en fonction du trafic et non des frontières nationales. Au sujet de ce dernier point, le ciel unique «définit une organisation claire ainsi que des blocs d'espace aérien transfrontaliers. Avec ces blocs, la structure du trafic n'est plus définie en fonction des frontières, mais en fonction de la réalité des besoins». L espace aérien devrait à terme être structuré en «Functionnal Airspace Blocks» (blocs d espace aérien fonctionnels) qui seront différents des espaces nationaux. Enfin, le projet SESAR (Single European Sky ATM Research) constitue quant à lui le volet technique de la réalisation du ciel unique européen 191. L idée d un espace unique n est pas nouvelle. Comme l explique Victor Aguado, Directeur général d Eurocontrol : «L idée d un Ciel unique pour l Europe n est pas récente. En effet, la création d Eurocontrol en 1960 répondait expressément à l objectif des six États fondateurs 189 Site. de la législation. 190 Règlement (CE) n 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen («règlement-cadre») - Déclaration des États membres sur les questions militaires liées au ciel unique européen. 191 Règlement (CE) n 219/2007 du Conseil, du 27 février 2007, relatif à la constitution d'une entreprise commune pour la réalisation du système européen de nouvelle génération pour la gestion du trafic aérien (SESAR) [Journal officiel L 64 du ].

107 P a g e 107 d instaurer un espace aérien supérieur unique. Cet objectif n a été que partiellement atteint à l époque, mais l idée est restée tenace 192». L acte définitif stipule en outre que les États membres désigneront ou établiront un ou plusieurs organismes faisant fonction d'autorité de surveillance nationale chargée d'assumer les tâches qui lui sont assignées au titre du présent règlement. Les autorités de surveillance nationales sont indépendantes des prestataires de services de navigation aérienne». 193 La directive 2003/ du Parlement européen et du Conseil du 13 juin 2003 concernant les comptes rendus d'événements dans l'aviation civile porte sur l obligation de mettre en place des «systèmes de notification». L article 1 stipule «La présente directive a pour objectif l'amélioration de la sécurité aérienne en garantissant que les informations pertinentes en matière de sécurité sont communiquées, collectées, stockées, protégées et diffusées. L'objectif exclusif des comptes rendus d'événements est la prévention des accidents et incidents et non la détermination de fautes ou de responsabilités. 195». Il est précisé en préambule qu «Il convient que chaque État membre établisse un système de comptes rendus obligatoires. 196». Il s agit de permettre la dissémination des informations relatives à la sécurité au sein de la Commission Européenne. Il prévoit l échange de données au niveau européen grâce aux bases de données. «Les informations relatives à la sécurité devraient être diffusées auprès des entités chargées de réglementer la sécurité de l'aviation civile ou d'enquêter sur les accidents et les incidents au sein de la Communauté et, le cas échéant, auprès des personnes qui peuvent en tirer les enseignements et prendre ou engager les mesures nécessaires pour améliorer la sécurité. 197» Il prévoit en outre une certaine protection de la personne ayant notifié un incident quant à de possibles poursuites judiciaires mais «conformément aux procédures définies par leur législation et leurs pratiques nationales 198». 192 Site. Réglementation du transport aérien en Europe : nécessité d une gestion unifiée de l espace aérien. 193 Site : Directive 2003/42/CE du Parlement Européen et du Conseil du 13 juin 2003 concernant les comptes rendus d'événements dans l'aviation civile. 195 Ibid. (Article 1) 196 Ibid. (Préambule, Alinea 6) 197 Ibid. (Préambule, Alinea 10) 198 Ibid. (Article 8, Alinea 4)

108 108 P a g e LE ROLE D EUROCONTROL L agence Eurocontrol joue un rôle important dans ce contexte. Elle a en effet été mandatée pour l établissement d un cadre réglementaire en matière de sécurité (les ESARRs). Elle est également chargée du suivi de leur mise en œuvre dans les différents Etats membres. L'organisation européenne pour la sécurité de la navigation aérienne, Eurocontrol, a été créée en 1960 par une convention internationale. Cette convention a été révisée en 1992, ce qui a notamment permis l adhésion de l Union Européenne à Eurocontrol en La convention révisée a également permis l établissement de la SRU (Safety Regulation Unit) et de la SRC (Safety Regulation commission). Eurocontrol joue de facto le rôle du régulateur Européen, en attendant la mise en place complète de l EASA (Agence Européenne pour la Sécurité Aérienne). Les autres organismes qui seront évoqués au fil de ces pages, sont notamment : l OACI (l'organisation de l'aviation Civile Internationale) ou I.C.A.O (International Civil Aviation Organisation), fondée par les accords de Chicago en 1944, ainsi que l ECAC (Conférence Européenne des Aviations Civiles). L ESARR2 : «NOTIFICATION ET ANALYSE DES EVENEMENTS LIES A LA SECURITE DANS LE DOMAINE DE L ATM199» ESARR2 est l une des cinq exigences réglementaires de sécurité Eurocontrol. Préparée par la commission de réglementation de la sécurité (la Safety Regulation Commission, ou SRC, que nous désignerons sous ce terme dans la suite du texte), elle «porte sur la mise en œuvre, par les États, d'un système de notification et d'analyse des événements liés à la sécurité de la gestion de la circulation aérienne (ATM)». Ce règlement précise : «Il appartient à chaque État de déterminer les modalités propres à assurer au mieux, à l'échelon national, la mise en œuvre de la présente Exigence réglementaire de sécurité 200». Le champ d application est celui des Etats membres d Eurocontrol, mais les Etats de la CEAC sont invités à le mettre en œuvre également. 199 ATM pour «Air Trafic Management». Il comprend le contrôle de trafic de la navigation aérienne, souvent raccourci en «contrôle aérien» (en anglais : ATC pour Air Traffic Control), mais également l ATFM (Air Traffic Management Flow : le contrôle plus global des flux en amont), et l ASM (AirSpace Management : la gestion de l espace aérien : routes, sectorisation, ). Dans les faits, on parlera ici d incidents liés au contrôle de trafic aérien. 200 Exigence Eurocontrol ESARR 2. Notification et analyse des évènements liés à la sécurité dans le domaine de l ATM» , Statut : Version autorisée, Classe : Diffusion générale.

109 P a g e 109 La justification du règlement est présentée comme suit : «L'instauration d un niveau homogène et élevé de sécurité aéronautique ainsi que la gestion de la sécurité dans le domaine de l'atm au sein de la zone CEAC appellent, en priorité, la mise en œuvre, dans de bonnes conditions d'efficacité, de systèmes harmonisés de notification et d'analyse des événements. Ces systèmes apporteront une visibilité plus systématique sur les événements liés à la sécurité et à leurs causes, et permettront de déterminer non seulement les mesures correctives appropriées, mais aussi les domaines où la sécurité des vols pourrait être améliorée grâce à des modifications du système ATM. Il ressort de l'analyse des performances de sécurité à l'échelon européen (cf. Rapport Eurocontrol sur les performances de l'atm en 1998) qu'il existe des différences significatives, au sein de la zone CEAC, dans la portée, la profondeur, la cohérence et la disponibilité des données de sécurité ATM201". Des mesures de réglementation de la sécurité s'imposent donc si l'on veut obtenir davantage de cohérence et de rigueur dans la notification et l'analyse des événements liés à la sécurité au sein du système ATM. Ces mesures, qui doivent s'inscrire dans un cadre non punitif, pourront contribuer utilement à la prévention des accidents et des incidents graves202». L ESARR2 relève des pratiques dites de Retour d Expérience (REX) ; celui-ci peut se définir 203 de façon très large, comme une démarche visant à : détecter et analyser les anomalies, les écarts et tout événement, qu il soit négatif ou positif ; en rechercher les causes et les enchaînements ; en retirer divers enseignements ; définir et suivre les actions de correction, d amélioration ; assurer l information pertinente des parties intéressées. Il existe en fait de multiples définitions du Retour d Expérience. Par exemple, l étude des écarts, des incidents, est bien plus courante que celle des «écarts positifs» mentionnés dans cette définition. Les auteurs précisent en outre les éléments suivants. 201 Rappelons en effet que l Annexe 13 de l OACI rend obligatoire la notification de tout accident et incident grave. Le paragraphe 3.1 précise : «L enquête sur un accident ou un incident a pour seul objectif la prévention de futurs accidents ou incidents. Cette activité ne vise nullement à la détermination des fautes ou des responsabilités». Annexe 13 à la convention relative à l aviation civile internationale. Enquête sur les accidents et les incidents d avion. Normes et pratiques recommandées internationales. 9 ème édition, Juillet OACI. 202 ESARR2, extrait, Ibid. 203 Irène Gaillard. Retour d expérience, analyse bibliographique des facteurs socio culturels de réussite Les cahiers de la sécurité industrielle. FonCSI

110 110 P a g e «Il ressort que le dispositif de REX laisse une véritable autonomie conceptuelle, méthodologique, et organisationnelle à ceux qui l initient tout en portant des objectifs forts pour l entreprise. Les résultats en termes de connaissances et d actions sont profondément liés à la façon dont les concepts de risque et de danger sont interprétés dans chaque lieu où le REX est mis en œuvre (ateliers, entreprises, groupes, institutions, réseaux...). Ces différences induisent des méthodes de collecte de données, d analyse et des choix d action très distincts 204». Il faut enfin noter que les démarches de REX sont classiques dans les organisations «à risque», mais encore très lacunaires justement 205 dans le domaine du contrôle de trafic aérien, par comparaison, par exemple, aux compagnies aériennes ou au domaine nucléaire. Dans cette thèse nous insisterons donc particulièrement sur la dimension du REX qui est liée à la visibilité des incidents : c est en quelque sorte la première étape de ce que l on appelle aussi l apprentissage organisationnel. Cependant le règlement ESARR2 ne peut pas se lire uniquement comme une «obligation règlementaire» de mettre en œuvre un REX. D ailleurs, le terme n est pas explicitement utilisé. Il insiste bien sur la visibilité des événements/incidents, à l extérieur des organisations opérationnelles dans lesquels ils se sont produits, et sur l harmonisation (la mise en cohérence, à partir de situations contrastées) des modalités de recueil et d analyse. C est en cela qu il organise une modalité très claire de demande de transparence, dans un cadre Européen qui exige une mise en commun de l information sur la sécurité aérienne. LA SURVEILLANCE AUTOMATIQUE : UN OUTIL DE LA TRANSPARENCE? Il faut décrire pour compléter ce tableau l outil ASMT (ATM Safety Monitoring Tool) qui sera souvent évoqué. Le centre expérimental d Eurocontrol a développé un outil de surveillance automatique de la sécurité (ASMT). C'est également un outil d'aide au dépouillement et à l'analyse des incidents grâce à des fonctions de rejeu de la situation radar (cf. ce qui a été dit sur l enregistrement continu de l activité des contrôleurs plus haut). Cet outil peut permettre plusieurs types de détection : dans un premier temps, il permet l'enregistrement des pertes de séparation, dans le cas où la norme de séparation du centre a été enfreinte par deux avions, cette valeur est paramétrable localement. Les autres fonctions prévues sont : la détection des level bust (c'est-à-dire toute déviation de plus de 300 pieds d'une clairance ATC), la pénétration de zones prédéfinies (par exemple de zones militaires), l'enregistrement automatique de reports des ACAS par liaison numérique, l'enregistrement automatique en dessous d'un niveau de vol minimum (type MSAW). 204 Ibid. (p.5) 205 Du moins au moment de la mise en place d ESARR2 décrite dans ce travail, c'est-à-dire les années

111 P a g e 111 L historique de ce nouvel outil mérite d être rappelé ici. Se présentant souvent comme un pionnier dans le domaine de la sécurité, le NATS (fournisseur de services de contrôle aérien anglais) a développé le SMF (Safety Monitoring Function) voici plusieurs années. La petite histoire veut que ce soit le directeur (eurocontrolien) d un programme d harmonisation de l ATM lui-même, qui, après démonstration du fonctionnement de cet outil, aurait demandé le développement de ce concept au centre expérimental d Eurocontrol. Dès le début, les problèmes liés à l'acceptabilité d'un tel outil par les contrôleurs furent évoqués, il fut décidé de développer une première version de ce système sur site pilote dans le centre de Maastricht. Cet outil était de toute évidence conçu comme un outil permettant la «transparence» sur les incidents. Son nom même : une surveillance automatique de la sécurité fut longuement débattu. Un travail précédent 206, avait permis d'identifier quelques caractéristiques particulièrement prégnantes de l'asmt : - L'ASMT est un outil lié à la transparence : il met à jour des événements (pertes de séparation) qui, sans ASMT, peuvent rester connus des seuls contrôleurs impliqués, en ce sens il constitue la perte d'une forme d'intimité professionnelle (la possibilité de ne pas révéler ses erreurs ou ratés ayant occasionné une perte de séparation) ; - Dans un contexte de mise en place d'une autorité de régulation, cette transparence ne concerne pas seulement les contrôleurs vis-à-vis du management, mais aussi le management vis-à-vis de l'autorité de réglementation, les services de contrôle aériens vis-à-vis des compagnies aériennes clientes, etc. L ASMT a suscité d emblée des réticences voire une très grande défiance de la part des contrôleurs : qualifié par certains de «snitching tool», il évoquait aussi rien de moins que «Big Brother». Des contrôleurs slovaques rappelèrent que dans un pays sortant du communisme, l installation d un tel système était tout simplement insupportable. Il apparu qu il était important de définir strictement le rôle exact et les procédures associées à cet outil : qui voit quoi? qui a accès à quoi? que fait-on de l'information? etc. Eurocontrol affirma d emblée qu il souhaitait prôner, avec la mise en place de l outil ASMT, une culture non punitive 207 et insister sur l'utilisation de la connaissance des incidents dans une 206 C. Fassert. La transparence en questions, mémoire de DEA Philosophie, mention socio-anthropologie. Paris I Panthéon Sorbonne Le terme «non punitif» (environnement non punitif, culture non punitive) et celui, synonyme, de non blame culture, ont été depuis lors largement remplacés par celui de Just culture. James Reason donne une bonne synthèse du passage d un terme à l autre : «Le terme de no blame culture s est développé dans les années 90 et dure encore aujourd hui. Comparé aux cultures largement punitives qu il s efforçait de remplacer, il constituait clairement un pas dans la bonne direction. Il reconnait qu une large proportion d actes non «safe» sont des «erreurs honnêtes» (les sortes de ratés, lapsus, erreurs non intentionnelles que même les personnes les meilleures peuvent faire) et qui ne méritaient pas vraiment d être blâmées ; la punition de ces personnes ne permet en outre ni de remédier à ces erreurs, ni à les prévenir». Le concept de non punitif comporte selon Reason deux faiblesses : il ignore les attitudes volontairement dangereuses, et il ne fait pas la distinction entre les actes unsafe coupables et non coupables. C est pourquoi, continue-t-il : «A mon avis, une culture de sécurité dépend d abord de la

112 112 P a g e perspective d'analyse et de Retour d'expérience, afin d'améliorer la sécurité globale. L installation sur site pilote à Maastricht ne se fit cependant pas sans problèmes. Au moment où nous avons terminé le travail de terrain de cette thèse (2005), le système n était toujours pas déployé et un groupe de travail s efforçait de définir des procédures acceptables par tous. Ce système reste toutefois considéré par certains comme une des solutions les plus efficaces d obtenir une meilleure transparence sur les incidents, comme nous le verrons plus loin en évoquant les rapports de la PRC (revue d examen des performances) d Eurocontrol. Il faut enfin noter qu il n est pas fait mention de l ASMT dans l ESARR2. 4. LES ENQUETES DE TERRAIN LA METHODE Cette étude se situe dans la tradition de la socio-anthropologie, et en particulier dans la lignée des nombreux travaux effectués au CETCOPRA dans le domaine de l aéronautique 208. Elle s inscrit donc dans la lignée d une sociologie Weberienne. Si on examine les courants plus récents, ce travail se rapproche également du courant de l actionnisme, car il se concentre sur les «liens multiples que le sens et les valeurs entretiennent avec l action humaine» comme l exprime Pharo 209. Il s agit aussi d affirmer une certaine posture du sociologue qui prend au sérieux les raisons invoquées par les personnes. Dans son séminaire 210, Cyril Lemieux avait évoqué une «éthique de la modestie et de l anti-surplomb» nécessaire à tout chercheur se réclamant d une sociologie soucieuse de rompre avec une vision du sociologue attaché à mettre à jour les déterminismes qui pèsent sur les acteurs à leur insu. Les deux enquêtes relèvent des travaux ethnographiques classiques : immersion dans le terrain, entretiens qualitatifs approfondis. Il nous a semblé que cette méthode permettait d apporter une contribution déterminante, à travers des entretiens permettant d obtenir les points de vue de différents acteurs (ceux qui sont «sommés d être transparents», ceux qui «réclament la transparence», selon une catégorisation simplifiée). Les modalités plus particulières de la méthode sont exposées en introduction de chacune des études. négociation quant à la limite qui doit être établie entre un comportement inacceptable et des actes unsafe que l on ne peut blâmer. Il y aura toujours une zone grise entre ces deux entre ces deux extrêmes et le problème doit être résolu au cas par cas». A Road Map to a just culture. Enhancing the safety environment. GAIN. September Foreword by : James Reason. 208 Ceux-ci comprennent notamment : «Face à l automate : le pilote, le contrôleur», Alain Gras et Sophie Poirot Delpech (dir.), ainsi que plusieurs thèses de sociologie : Biographie du CAUTRA, Sophie Poirot Delpech ; Des avions et des hommes, Caroline Moricot ; Le lien social à l'épreuve de la réalité virtuelle. Une approche socioanthropologique de la simulation, Gérard Dubey. 209 Patrick Pharo, Morale et sociologie. Gallimard Cyril Lemieux. Séminaire EHESS

113 P a g e 113 LES DEUX ENQUETES L approche terrain comprend deux parties : Une première enquête consiste en l étude comparative de centres de contrôle de trafic aérien, situés dans quatre pays d Europe. Le choix de réaliser une étude comparative dans plusieurs pays repose sur la volonté de multiplier les points de vue sur la question de la visibilité des incidents exigée par la réglementation. Il est d emblée apparu que la mise en place d ESARR2 allait se confronter à des pratiques très variables d un pays à un autre, quant à la façon dont les incidents étaient notifiés et analysés. Plus précisément, la comparaison permet justement de faire ressortir la singularité de chaque situation, de chaque centre de contrôle qui s inscrit dans une histoire et un contexte précis. Les données sur les incidents sont pour de multiples raisons, des données sensibles. Il s agissait donc de mieux comprendre la signification de la transparence pour les différents acteurs, en étudiant très concrètement comment les incidents sont révélés ou cachés, et ce, au-delà d une simple opposition entre transparence et opacité. Une seconde enquête s intéresse au suivi d un groupe, le Safety Improvment Sub Group (le SISG dans la suite du texte). Le travail de terrain de cette thèse devait initialement se limiter à cette comparaison de quatre centres de contrôle aérien. L opportunité de suivre les réunions d un groupe de travail mis en place par Eurocontrol autour des questions de sécurité aérienne s est présentée et s est révélée être une occasion unique de voir fonctionner ce groupe mis en place par Eurocontrol. Il s agit d un groupe d échanges sur les problèmes de sécurité avec le mandat principal d aider à la mise en place de l ESARR2. Les membres de ce groupe sont, en général, les safety managers nationaux de chaque pays représenté. Ils seront notamment amenés à fournir des chiffres sur la sécurité (nombre d incidents) ainsi qu à se mettre d accord sur une méthode quantifiée d évaluation de la gravité des incidents. Or, l injonction de transparence se traduit de plus en plus dans notre monde moderne par la demande d indicateurs chiffrés, de données que l on voudrait «objectives». C est pourquoi le suivi de ces réunions nous a paru offrir une opportunité rare d analyser de l intérieur, au plus près des débats, les aspects très particuliers et souvent polémiques de cette forme de transparence.

114 114 P a g e

115 P a g e 115 PARTIE II : L ENQUETE DE TERRAIN CHAPITRE 4 : LA COMPARAISON DE QUATRE CENTRES DE CONTROLE AERIEN EN EUROPE

116 116 P a g e 1. LES CARNETS : POURQUOI? Lorsqu il présente le résultat de son terrain, le sociologue a plusieurs choix, dont celui de s effacer totalement et de présenter les données recueillies comme indépendantes de sa présence. Une approche ethnographique cependant, peut difficilement considérer la présence de l ethnologue comme neutre et, jeu de mot un peu facile mais si tentant, transparente Dans la présentation du matériau ethnographique qui suit, j ai fait le choix de ne pas tenter d effacer les traces de tout ce qui entoure l enquête proprement dite. Cette étude a été financée par le centre expérimental d Eurocontrol, organisation qui édicte les règlements de sécurité. Je me présente comme faisant une thèse sur la notion de transparence dans les organisations à risque. Si le récit est bien sûr création (les notes brutes ont été rédigées, les entretiens retranscrits, certains éléments extraits pour être cités ), il reste en même temps un résultat dont je ne cache pas la «cuisine 211» (Lamendour). Dans ce qui suit, les visites de chaque pays seront donc relatées ci après comme autant d extraits de mes «carnets» : rédigés bien sûr à la première personne et ne niant pas les aspects les plus subjectifs de ces enquêtes, qui sont d abord, visée scientifique ou non dans l analyse qui en est ensuite proposée, des rencontres. 2. LES DONNEES ET LEUR VARIABILITE Nous n avons pas tenté d «homogénéiser» les données que nous obtenions. Bien sûr, nous sommes partie d un cadre méthodologique. Celui-ci comprenait notamment une liste de représentants des différents métiers et rôles dans l organisation à rencontrer pour chaque pays, et la demande de suivre, immergée dans une équipe de contrôleurs, une vacation de travail entière, se déroulant classiquement sur une semaine. Ce cadre général s est cependant adapté aux aventures et aux surprises, bonnes ou mauvaises, de chaque voyage. Ainsi, par exemple, en France, les Brestois qui me reçoivent ont pris soin de «caler» ma visite avec leur CLS (Commission Locale de Sécurité), alors que nulle part ailleurs on ne me fera un tel «cadeau» 212. J obtiens ainsi pour la France un matériau plus riche que dans les autres pays puisque j ai ainsi un accès direct et passionnant à l analyse des incidents et aux controverses qu elle suscite, notamment en termes de transparence : que laisse-t-on voir à l extérieur du centre de contrôle aérien? Si je demande toujours à rencontrer, si possible, un ensemble 211 «Dans la lignée des chercheurs en sciences sociales et particulièrement en gestion revendiquant une place importante au terrain, nous avons choisi de ne pas exiler dans les annexes la cuisine de la recherche». Eve Lamendour, Management et représentation. Enquête sur les représentations du management dans le cinéma français, Thèse de sciences de gestion, université de Nantes, IAE, (p 25). 212 Il est vrai que la CLS (Commission Locale de Sécurité) est une spécificité Française. Mais l équivalent dans les autres pays (le processus d analyse de l incident lui-même, les controverses qu il peut susciter, ses enjeux) ne m est jamais dévoilé avec autant de précision que dans ce cas-là.

117 P a g e 117 défini d acteurs, représentants des différents rôles (managers opérationnels, safety managers, analystes d incidents, etc.) je n obtiens dans certains endroits que partiellement satisfaction, ne serait-ce que pour des raisons de disponibilité des personnes. Enfin, les contrôleurs sont bien sûr rencontrés sur la base du volontariat, et ils seront plus ou moins nombreux à se présenter pour un entretien. Les données sont par conséquent quantitativement fluctuantes d un pays à un autre. La méthode est classiquement basée sur des entretiens semi-dirigés. Il s agit cependant davantage d aborder un certain nombre de points que de suivre une trame pré-établie. En effet, si je me présente (ou suis introduite) comme préparant une thèse sur la transparence dans les organisations à risque, j aborde ensuite les questions de façon plus ou moins directe selon les endroits. Il s agit a minima de comprendre si les incidents sont en général notifiés ou non, pour quelle(s) raison(s), et la façon dont les contrôleurs perçoivent le Retour d Expérience. Mais il s agit tout autant d appréhender comment les différents acteurs appréhendent la notion même de transparence, les connotations de ce terme, les attitudes auxquelles il renvoie. Il s agissait enfin de replacer ce questionnement sur la transparence dans le contexte plus global de chaque endroit. C est pourquoi une large place a été gardée pour des conversations à bâtons rompus sur des sujets apparemment éloignés du sujet de cette thèse (le nouveau système, les relations avec les centres voisins, le futur «ciel unique», ), conversations qui permettent de saisir l atmosphère particulière d un lieu, éléments qui permettront d enrichir et de nuancer ce qui est dit par ailleurs au sujet des incidents. Pour cela, il faut lire une situation en combinant ce qu on observe et ce à quoi on assiste par chance, ce dont les personnes parlent spontanément, au-delà de strictes questions sur un sujet précis lors des entretiens. A cet égard, le déséquilibre est très flagrant entre les données recueillies en France, et les données recueillies dans les autres pays ; pour ces derniers, le type d informations recueilli est en effet sensiblement le même, à quelques détails près. De nombreux facteurs peuvent expliquer l abondance des informations recueillies pour la France : un nombre plus important de personnes chargées de la sécurité, l existence d une Commission Locale de Sécurité, dont les débats seront ici largement rapportés et commentés, et bien sûr une plus grande facilité à entrer en contact avec les différents acteurs, que je peux revoir à plusieurs reprises. Enfin, si les questions sont bien sûr, au départ, les mêmes quels que soient les pays, les visites permettent d explorer plus ou moins les différents aspects prévus. Il s agit, cependant de dégager, au-delà de chaque particularité, des questions communes quant au thème de la transparence, mais en le replaçant dans le contexte général qui seul donne un sens à ce qui est montré/caché.

118 118 P a g e Le tableau suivant récapitule quelques éléments sur les différentes visites de terrain. Durée Visites Entretiens une semaine : une vacation dans une équipe + éventuellement entretiens avec équipe suivante + entretiens avec diverses personnes de l encadrement. Padoue, Italie Malmö, Suède La Valette, Malte Brest, France 11 contrôleurs, 2 superviseurs, 2 managers instruction et sécurité, Safety manager, chef de centre. 1 régulateur. 10 contrôleurs, 2 superviseurs, 1 analyste d incident, responsable safety du centre. Responsable opérationnel du centre. 1 régulateur. 8 contrôleurs, 2 superviseurs, le safety manager, 3 managers opérationnels, 1 chef instruction, 1 régulateur. 10 contrôleurs, chef de la QS (équivalent du safety manager), 1 analyste d incidents. Chef sub-instruction, chef SMQS local, Chef de centre. services centraux : chef du bureau airprox, chef SMQS national 3. L ITALIE L ORGANISATION ET LE CONTEXTE Les contrôleurs Italiens ont été des militaires jusqu en La séparation entre le régulateur (ENAC : Ente Nazionale per l Aviazione Civile) et le prestataire de services de contrôle de la navigation aérienne (ENAV : Ente Nazionale di Assistenza al Volo) est effective depuis Depuis 2001, l ENAV est une «corporate company». Un troisième organisme, l ANSV (l Agenzia Nazionale Sicurezza Volo) est indépendant, différent de l autorité de régulation, et agit au nom du gouvernement Italien. L ENAV a introduit début 2004 un système de notification volontaire et confidentiel des évènements. Selon le rapport rédigé par un responsable Français : «Le responsable Italien de la sécurité aérienne à l ENAV affirme que le peu de retour obtenu jusqu à présent lui laisse penser qu un réel processus de notification prendra certainement beaucoup de temps». Ce sont donc essentiellement les airprox (définis précédemment?) qui sont analysés ainsi que la notification d incidents par les pilotes. En 2003 ont été notifiés environ 500 événements relatifs à l ATM dont 112 airprox. Les airprox, ainsi que les incidents jugés les plus intéressants, sont analysés localement puis à nouveau analysés par le «Quality and Safety Department» de l ENAV. Il est prévu que l ENAV notifie tout incident à l Agenzia Nazionale Sicurezza Volo- ANSV). Celui-ci peut déclencher une enquête pour tout incident qu il estime grave.

119 P a g e 119 Les carnets du centre de Padoue PREMIERS CONTACTS Ma visite au centre de Padoue commence sous d excellents auspices. Le premier contact par courriel, avec «PP» est très chaleureux. Il semble très content de ma visite, «Maurizio», le représentant Italien au SISG 213, lui a parlé de moi. Ma recherche l intéresse. Il s occupe de tout, y compris de réserver l hôtel pour moi, et conclut en me conseillant surtout de ne pas oublier mon maillot de bain, car le centre est en fait situé à «Abano therme», ville thermale comme son nom l indique, à quelques kilomètres de Padoue, et l on peut se baigner dans des sources d eau chaude et bienfaisante. Le premier jour de la visite, il passe me chercher à l hôtel le matin et nous arrivons ensemble au centre de contrôle aérien. Plusieurs interviews sont déjà planifiées avec différents responsables, comme je l ai demandé, et je peux aussi rencontrer les contrôleurs de l équipe X que je suivrai à ma demande pendant une vacation entière, nuit comprise. «PP» croise justement un contrôleur d un certain âge, un superviseur, à l entrée de la salle. Il fait les présentations (en Anglais, langue dans laquelle mon interlocuteur est très à l aise, et avec laquelle nous avons communiqué jusque-là). Mais le superviseur rencontré n a pas l air enthousiaste à l idée d un entretien avec «this person from Eurocontrol», pas plus qu il ne semble attiré par l idée d envoyer des contrôleurs subir le même traitement dans la salle prévue à cet effet. Il grommelle à son interlocuteur, sans me regarder, que ce sera difficile pour lui d y consacrer du temps, et que ce le sera encore plus pour les contrôleurs. Je m adresse alors directement à lui, dans un italien rudimentaire : certes la recherche est financée par Eurocontrol, mais je ne fais pas partie de cette organisation. «Sono una studentessa, della Sorbonne, a Pariggi (à ces mots, son visage s éclaire un peu) «Possiamo fare le interviste in Italiano, lo parlo pocissimo, ma lo capisco sufficamente». Visiblement radouci à ces mots, il me pose une ou deux questions sur ma recherche. Mon Italien approximatif l amuse, mais il est maintenant tout à fait prêt à coopérer. Bien sûr, il m accordera une «intervista» et m enverra des contrôleurs, dans une salle séparée, pour que je puisse mener mes entretiens dans de bonnes conditions. Me voilà devenue en quelques minutes, non plus l envoyée peut être espionne d une institution réglementaire européenne mais «La Dotoressa Fassert, della Sorbonne», une personne qu il convient d accueillir comme il se doit pour le bien des Humanités. 213 Le SISG est le «Safety Improvment Sub Group» mis en place par Eurocontrol, et dont les travaux sont relatés dans le chapitre suivant.

120 120 P a g e LE CENTRE DE PADOUE Nous commençons, à ma demande par une visite de la salle de contrôle et une présentation générale des activités opérationnelles. Le centre de Padoue est relativement petit : il comprend 170 contrôleurs et 5 superviseurs, il gère six secteurs en-route et un de type TMA (pour les départs et arrivées de Venise, Vérone et Trévise). Le trafic militaire est très important et génère une grande partie des difficultés à contrôler dans ce centre. La RVSM (Reduced Vertical Separation Minimum), c est-à-dire la réduction des séparations verticales entre avions de 2000 à 1000 pieds, qui permet un gain de capacité, a été mise en place récemment, sans poser de problème particulier, d après les contrôleurs. UN SYSTEME «BELLO» ET «MODERNO» PP n est pas peu fier de me montrer les toutes nouvelles positions de travail des contrôleurs que l industriel Alenia a installé peu de temps auparavant. De grands écrans couleur ont remplacé les obsolètes «visus à balayage cavalier». On m explique que les strips papier 214 ont été supprimés, les informations «plan de vol» sont désormais présentées sur écran. Des fonctions nouvelles ont également été développées, comme la «coordination automatique» (qui permet le passage automatique des informations plan de vol de l avion d un secteur à un autre, ce qui réduit considérablement la charge de travail des contrôleurs). Les contrôleurs avec lesquels je bavarde en passant d une position de travail à une autre ne sont pas moins enthousiastes. L avis est unanime : sécurité améliorée, gain de confort, c est un progrès indiscutable On me fait quelques démonstrations des dialogues, souris et tactile, qui ont remplacé l écriture des données sur les strips papier. On vante la facilité d utilisation, la rapidité des dialogues. Il s agit pourtant de solutions très classiques en ergonomie des interfaces homme machine, qui n ont pas, a priori, la rapidité de l écriture manuelle permise par les strips papier qu ils ont remplacé. Je demande si la disparition du strip papier n a pas posé de problèmes : il semblerait que non, le système est mieux, insiste-t-on. Et la formation a été conséquente. Combien de temps? «Quinze jours!». Je ris intérieurement, tant le chiffre me paraît, au contraire, modeste à l aune des études effectuées dans le domaine Certes, reconnaît-on, les jeunes se sont adaptés plus vite que les vieux, car ils sont familiers de l ordinateur, mais tout le monde, finalement, s est vite habitué au nouveau système, et se trouve fort satisfait. Je continue à poser les mêmes questions à chaque nouveau contrôleur que je rencontre. Vais-je trouver tout de même, un avis plus critique? Me faisant un peu l avocat du diable, j explique alors qu en France, les contrôleurs marquent une réelle réticence quant à la suppression des strips papier, soutenus par quelques ergonomes qui s inquiètent de 214 Ce sont des bandes de papier imprimées au fur et à mesure que la position de travail du contrôleur. Il les dispose devant lui sur un tableau. Les strips indiquent essentiellement le «plan de vol» de l avion : départ, arrivée, balises survolées.

121 P a g e 121 ce «saut technologique». On m écoute poliment, mais on ne fait pas écho à mes interrogations. Mes doutes semblent les surprendre : le vieux système a été remplacé par un système neuf : qu importe la disparition des strips papier? Un de mes interlocuteurs caresse le gris métallisé de la nouvelle position de travail et me demande : «ma, è bello, no?». Un peu décontenancée par l argument esthétique, je demande : «si, è bello è Allessi che l a fatto?». Mon interlocuteur marque un temps de surprise et sourit : «no, è Alenia!». Mais ma confusion entre le designer Italien et l industriel l amuse. D ailleurs, il assène, ruinant définitivement toute tentative de critique : «E bello, e più moderno!». Cette phrase raisonnera longtemps à mes oreilles, après que j ai quitté la salle de contrôle. Certes, le changement des positions de travail a aussi apporté un gain opérationnel considérable, avec l arrivée des coordinations automatiques, et cela peut expliquer en partie l engouement global des contrôleurs envers les nouvelles positions de travail. Mais je repense aux arguties développées depuis presque deux décennies quant au remplacement des strips papiers. Les contrôleurs Français ont souvent montré une hostilité farouche envers un tel changement. Ils ont été soutenus par une partie de l aviation civile Française (des ingénieurs du centre d études et de recherches) et aussi par de doctes études en ergonomie expliquant longuement à quel point les strips étaient irremplaçables. On vit même une chercheure, qui avait, il est vrai, une solution alternative à «vendre», affirmer, arguments «scientifiques» à l appui, qu il était impossible de contrôler avec le «stripping électronique». Alors que celui-ci était déjà utilisé sans problème notable depuis un certain temps dans plusieurs centres, notamment à Maastricht où le trafic aérien est l un des plus denses d Europe. Finalement, le seul point noir à l égard du nouveau système concernerait plutôt les procédures qui y ont été associées, mais ce point en dit long sur certaines relations entre la salle et la plupart des responsables. Je remarque que les strips papier sont en fait toujours imprimés, mais qu ils ne sont pas utilisés et s entassent dans des boîtes. La règle prévoit en effet que les contrôleurs continuent d utiliser aussi les strips papier, au moins de les classer devant eux, à défaut de les renseigner (c est-à-dire d écrire les informations qui ont changé sur le vol : route directe, niveau intermédiaire, etc.). En fait, les contrôleurs ont très vite abandonné les strips papier, confiants dans l affichage des informations de vol sur écran qui leur est désormais proposé. Il était d ailleurs trop compliqué de gérer cette double information. Un jeune contrôleur se montre très critique. Les responsables, m explique-t-il, ont refusé d entériner cet usage en écrivant une nouvelle procédure. «En cas d accident, ils pourront toujours dire qu on ne suivait pas la procédure» commente-t-il. Cette anecdote illustre bien une certaine forme de défiance des contrôleurs envers «la struturra», car c est ainsi qu ils désignent leur encadrement. On verra plus loin que cette défiance est d ailleurs une caractéristique assez générale des relations entre les personnes de la salle et celles de l encadrement à quelques exceptions près, qui sont au contraire très appréciées (dont mon intermédiaire sur place, fort heureusement).

122 122 P a g e UNE VIERGE NOUS PROTEGE Je demande à PP si les contrôleurs ont un système d alerte de conflit à court terme 215 (STCA pour Short Term Conflict Alert). Il me montre en souriant un point vers la porte d entrée de la salle «oui, il est là notre STCA». Un peu surprise, je ne vois qu une porte banale Il me montre alors du doigt, une petite statue, une vierge noire accrochée au-dessus de la porte de la salle. Il m explique que cette petite statue a été offerte par le centre de Slovénie (un des centres adjacents) lors de leur visite au centre de Padoue. «Et ça marche, poursuit en riant mon interlocuteur, puisqu on n a jamais eu de collision en vol». Il ajoute : «Tout de même, les contrôleurs ont hâte que le système STCA soit installé». Cette anecdote, que j ai trouvée si charmante, montre bien la difficulté que l on peut avoir à rendre compte de la place du religieux dans nos sociétés modernes et par ailleurs «désenchantées», et, ici, plus précisément, de la place des éléments ne relevant pas de la rationalité dans l appréhension de la sécurité. Mon interlocuteur s empresse d ajouter que le système STCA est bien attendu avec impatience par les contrôleurs. Je l imagine bien penser à ce moment : «Il ne faudrait quand même pas que cette étudiante aille écrire dans sa thèse que les contrôleurs Italiens préfèrent une Vierge Marie au système STCA pour éviter les risques de collision en vol». Et tout porte à penser, qu effectivement, les contrôleurs Italiens, souhaitent l installation du précieux système d alerte qui est un dernier rempart contre l accident 216, et qu en cela, ils reconnaissent et apprécient la place des systèmes techniques dans leur métier. Il ne s agit bien sûr pas de conclure que les contrôleurs Italiens font confiance à une statue de la vierge pour empêcher les catastrophes aériennes. Et nous venons de voir dans le paragraphe précédent, l enthousiasme qu ils témoignent à leur nouveau système bello e moderno. Nul passéisme et nulle technophobie donc chez ces contrôleurs Italiens. Cependant, il faut également rendre compte de la présence d une statue religieuse (qu on ne verra pas dans les autres centres visités, ai-je besoin de le préciser, et dont la présence dans un centre Français, par exemple, serait tout bonnement inimaginable). Rendre compte également de la boutade de mon interlocuteur qui fait un lien entre la Vierge Marie et le Short Term Conflict Alert : celle-ci n est donc pas un pur objet de décoration dénué de symbolique. Elle est un cadeau fait par d autres contrôleurs, slovènes, à leurs collègues italiens, et ce cadeau a été apprécié puisque installé dans la salle de contrôle, et non dans le bureau du chef de centre, par exemple. Il faut donc penser ensemble, ce qui n est sans doute pas un paradoxe pour la 215 Système qui alerte le contrôleur que les avions vont passer en dessous des normes de séparation : le contrôleur doit agir pour rétablir la séparation (donner un cap à un des avions, le ralentir, etc.). 216 Rappelons que nous sommes deux ans après la catastrophe d Überlingen, collision en vol ayant provoqué la mort de 71 passagers. Le contrôleur du centre Suisse était privé de STCA pour des raisons de maintenance au moment de la collision. Il donnera une clairance contraire à la résolution du TCAS qui annulera ce dernier rempart contre l accident. Un architecte russe dont la femme et les enfants ont péri dans la catastrophe cherchera ensuite à obtenir des explications de la part du fournisseur de services de contrôle suisse, sans être entendu. Il retrouvera et ira poignarder chez lui le contrôleur «responsable», provocant une vive émotion dans le monde du contrôle aérien.

123 P a g e 123 culture italienne que la présence de la Vierge Marie dans une salle de contrôle ait un sens pour les contrôleurs, sans que ce sens soit précis et lié de façon univoque à la sécurité et que l ingéniosité des ingénieurs soit mise à contribution pour mettre au point des systèmes d alertes qui sont appréciés. L ANALYSE DES INCIDENTS L ARRIVEE DE METHODES «OBJECTIVES» Les incidents analysés sont principalement des airprox. En dehors de ceux-ci, très peu d incidents sont spontanément notifiés par les contrôleurs à leur hiérarchie. L évaluation de la gravité se fait par une «feuille d évaluation». L utilisation de cette «feuille d évaluation» est récente, elle a été introduite par l intermédiaire du SISG (groupe d échanges sur la sécurité aérienne dont les travaux sont relatés dans le chapitre suivant). C est la première version, c est-à-dire la version proposée par le NATS, qui est donc utilisée par les italiens au moment de ces entretiens. Auparavant, l évaluation de la gravité était basée sur le jugement de l enquêteur et de son supérieur (le capo della siccurezza). Ce dernier est très satisfait d utiliser la feuille d évaluation de la gravité, car, dit-il : «Le classement est moins subjectif». En 2002, sur les 57 incidents analysés, aucun n a été classé en «très significatif». «C est bien, me confie mon interlocuteur, mais c est assez normal, grâce au TCAS, nous n avons plus d événements très significatifs». Si l on sait, par ailleurs, que la feuille d évaluation anglaise propose une grille qui ne donne pas de points supplémentaires lorsque le TCAS a déclenché, ce n est guère étonnant D autant plus que les enquêteurs italiens jugeaient jusqu alors (c est-à-dire avant l utilisation de cette grille), comme les Français d ailleurs, qu un déclenchement du TCAS incitait dans la majorité des cas, à placer l incident dans la catégorie «très grave». Un responsable de la sécurité rencontré l année passée au centre de Rome 217 m avait expliqué que l adoption de cette feuille d évaluation du NATS n avait pas été sans peine : il avait fallu convaincre les enquêteurs de se plier une nouvelle appréciation de la gravité des incidents, qui allait, sur ce point, à l encontre de leur jugement habituel. «On a du changer leur esprit (mind). Ce n est pas parce que le TCAS a été déclenché que c est un très gros airprox!»). On voit ici comment un artefact (une feuille d évaluation) non seulement change pour une organisation l appréciation des risques, mais aussi provoque, a posteriori, un biais de compréhension assez frappant dans l interprétation de statistiques. Le TCAS se voit en effet attribuer la cause de l élimination des incidents très graves, alors que c est bien sûr l appréciation du déclenchement du TCAS qui a changé. Nous verrons ailleurs que des contresens aussi flagrants dans la lecture des statistiques ne sont pas si rares, et que c est bien 217 Christine. Fassert. La transparence en questions. Le cas du contrôle aérien. Mémoire de DEA de sociologie. Paris 1 Sorbonne.

124 124 P a g e un mécanisme d oubli qui est souvent à l œuvre, plus que de manipulation volontaire des chiffres (voir à cet égard l exemple relaté dans le carnet consacré à la France). Le capo della siccurezza insistera beaucoup sur l aspect laborieux du travail : la retranscription intégrale des dialogues entre pilotes et contrôleurs au moment de l incident, la mauvaise qualité des cassettes que l on utilise plusieurs fois Dans ce contexte, il regrette que certains incidents qui n ont pas fait l objet d une déclaration airprox par les pilotes, soient notifiés par les contrôleurs (réclamation à propos d un pilote, problème technique 218 ) ce qui entraîne un surcroît de travail. «Je suis obligé de faire l enquête même si en fait il n y a rien». APRES UN INCIDENT : LA SUSPENSION DE LA LICENCE Le contrôleur qui a vécu un incident est suspendu de ses fonctions pendant une période allant de quelques jours (une vacation) à plusieurs semaines, suivant la gravité de l incident. Cette pratique est assez répandue dans le monde du contrôle aérien, par exemple, avec cependant des variantes importantes selon les pays. La raison avancée pour cette pratique est de permettre au contrôleur d évacuer le stress ressenti, de se reposer avant de reprendre le travail. Au fil des interviews avec les responsables, le discours sera le même : bien fondé de cette pratique (contrôler en état de stress intense est impossible, il vaut mieux pour la personne prendre un temps de repos) et adhésion, par les contrôleurs, à cette règle établie pour leur bien. Mes questions plus directes seront traitées avec la même patience, alors même que je ne cache pas quelques doutes quant à une situation qui m est décrite comme si harmonieuse : j ai commencé, entre temps, à rencontrer quelques contrôleurs et leurs discours à ce sujet sont diamétralement opposés. Non, me répond-on, le contrôleur ne vit pas cela comme une injustice, oui, le contrôleur sait que c est pour son bien. Seuls mon interlocuteur sur place et un responsable de l encadrement intermédiaire reconnaîtront qu effectivement, les contrôleurs sont majoritairement en désaccord sur ce point avec leur hiérarchie et vivent souvent très mal cette suspension de leurs fonctions après un incident. Et, en effet, les contrôleurs, qui se succéderont nombreux (une douzaine) pour les entretiens dans la petite salle de réunion mise à ma disposition pour que je puisse faire les entretiens confortablement, auront un discours très critique vis-à-vis de cette suspension. Dans leur grande majorité, les contrôleurs sont très loin de ressentir la suspension de la licence comme une mesure positive. Ils sont, bien au contraire, extrêmement opposés à ce qu ils considèrent plutôt comme une punition. Au fil des entretiens, les mêmes mots reviendront et traduisent un fort sentiment d injustice. Le contrôleur est un «bouc émissaire», l enquêteur est un «inquisitor» me dit-on à deux reprises, pas peu fiers de ce jeu de mots. 218 Il ne s agira bien sûr presque jamais, dans ce contexte, de la notification d incidents pour lesquels ils ont commis une erreur eux-mêmes.

125 P a g e 125 C est pourquoi, les quelques contrôleurs qui connaissent le domaine réglementaire européen, et par exemple l ESARR2, se réjouissent : «les ESARRs c est bien parce que par exemple Eurocontrol insiste bien sur le côté non punitif de l analyse d incident alors que chez nous c est l inquisition. Ca va les obliger à changer». C est essentiellement le caractère arbitraire de la durée de la suspension qui est critiqué. La décision est prise par le chef de centre, qui défend le bien fondé de cette mesure : «C est nécessaire pour la sécurité, et c est bien pour le contrôleur. Ils savent que c est pour leur bien et il n y a pas de problème 219». D ailleurs, certains contrôleurs ne critiquent pas la raison avancée (que le contrôleur puisse être dans un état de stress qui l empêche de continuer son travail dans de bonnes conditions), mais plutôt l application de la règle telle qu elle est pratiquée, sans nuances et sans adaptation à la singularité de chaque cas. Ecoutons un contrôleur (20 ans d expérience) 220 : «Non, c est une punition, chaque contrôleur est différent alors quand quelque chose se passe, c est important d avoir quelqu un qui connaît la personne, qui investigue la situation, décide : voulez-vous continuer à travailler? Parce que parfois il y a des gens qui veulent continuer à travailler pendant que l adrénaline est là, d autres sont impressionnés, pas en bonne condition pour continuer à travailler, donc je pense que ce qu il faudrait, c est d embaucher quelqu un pour faire ce boulot. Tel que c est fait maintenant, c est seulement une punition, rien d autre.. Ce contrôleur pose ainsi qu un avis extérieur (embaucher quelqu un) permettrait de redonner son sens à la pratique de suspension, en éliminant le caractère arbitraire de la suspension. Cet appel à une «expertise» (par exemple de type psychologique) témoigne d un besoin de se protéger, justement, du caractère vécu comme arbitraire de la décision du chef de centre. Ce sujet est majoritairement abordé. On insiste aussi beaucoup sur le «sérieux» du contrôle aérien rendu ici. Ainsi, par exemple, un jeune contrôleur, qui compare avec un autre centre où il a travaillé, apprécie l ambiance de Padoue : «Ici, les gens font attention, la sécurité, je ne dis 219 «E necessario per la sicurezza, e va bene per il controllore. Lo sanno che è per il loro bene e non ci sono problemi» 220 No, it is punishment, every controller is different so when something happens it is important to have something who know the person, who the experience who investigate the situation and then talking to the person, decides, do you want to continue to work? Because sometimes some people want to work immediately you know the adrenaline is working, other are impressed and so they are not in a good condition to work again, so I think what we have to do is to employ somebody in doing this job. Now it is simply a punishment, nothing else.

126 126 P a g e pas qu elle est parfaite, ce serait idiot, ça ne veut rien dire une sécurité parfaite, mais on fait tout ce qu on peut, vraiment tout 221». UNE CERTAINE DEFIANCE D autres entretiens avec les personnes de la «struturra» seront assez troublants : un entretien, commencé avec un superviseur, va s interrompre par l arrivée impromptue de son adjoint et d un troisième acolyte qui ne daigne pas se présenter et s installe en regardant le magnétophone d un œil noir. J aborde les questions de transparence sur les incidents, de suspension de la licence. On me répond brièvement que les incidents sont bien sûr notifiés, puisque c est la règle, que les contrôleurs ne considèrent pas la suspension de la licence comme une punition mais une aide indispensable. Cela dit, ils s empressent de sortir une immense feuille de papier (le planning des différentes équipes) pour m expliquer l organisation du travail avec force détails (je n ai pas posé la question). Le chef d équipe quitte brusquement la pièce et me laisse désemparée avec deux acolytes qui n ont visiblement d autre ambition que de remplir «formellement» l entretien prévu. Mes tentatives de revenir sur d autres aspects se soldent pas un échec. On m oppose, à chaque fois, que le but de cet entretien est de me présenter le planning de travail, et on me présente, imperturbablement, d immenses tableaux d horaires que l on me commente point par point, jour par jour Je mets fin aussi vite que possible à l entretien, et remercie sans doute un peu sèchement. LE ROLE DE L ENCADREMENT INTERMEDIAIRE J aurais beaucoup plus de chance avec un ami de mon contact sur place, faisant partie du management intermédiaire. Celui-ci reconnaît sans détour les rapports tendus entre «la struttura» et «la salla». La suspension de la licence est effectivement ressentie comme une punition par la plupart des contrôleurs, et non comme une mesure destinée à les aider après le choc d un incident. Un mot revient très souvent dans ses analyses : fiducce (la confiance). Elle est, souligne-t-il, une composante essentielle des relations, or elle n est pas suffisante entre les deux groupes qui s opposent. «La transparence? d accord, mais il faut de la confiance». Sans cette confiance, qu il considère comme un préalable, il ne voit pas comment la situation pourrait évoluer, et, notamment, la notification volontaire se développer. Il ne pense pas que ce soit impossible : «la confiance c est le plus important. Si on crée un climat de confiance, tout est possible, mais il faut du temps aussi, la confiance, ca prend du temps, personne ne peut obliger un autre à faire confiance, et pour les contrôleurs, c est pareil 222». Il se considère lui- même comme un maillon qui essaie, vaille que vaille, de maintenir un lien 221 «Qui la gente fa attenzione, non dico che la sicurezza sia perfetta, sarebbe stupido, una sicurezza perfetta non vuol dire nulla, ma facciamo tutto il possibile, veramente il massimo...» 222 «la fiducia è la cosa più importante. Se si crea un clima di fiducia, si può fare tutto, ma ci vuole anche del tempo, la fiducia ha bisogno di tempo, e nessuno può obbligare qualcuno ad avere fiducia, per i controllori vale la stessa cosa»

127 P a g e 127 entre managers et contrôleurs, plaidant parfois la cause de ces derniers en cas d incident. Ce rôle est attesté par les entretiens que j ai par ailleurs avec les contrôleurs, qui l apprécient. Il se considère lui-même, me dit-il en riant comme le «psy» du centre, car les contrôleurs viennent volontiers lui parler. La porte de son bureau a d ailleurs été «décorée» par des plaques humoristiques faisant état des nombreux services dispensés ici «Assistenzia», «Psychologico», «Aiuto», LA SURVEILLANCE AUTOMATIQUE DES INCIDENTS L existence d un système ASMT (ATM Safety Monitoring Tool) semble ignorée de la plupart de mes interlocuteurs. Certains seulement (des personnes du management) savent que cet outil a commencé à être utilisé au centre de Rome, dans le cadre de simulations et non en trafic réel. Pour les autres, l outil est sujet à de nombreuses interrogations. La première est liée à la mise en place du Short Term Conflict Alert : ils attendent cet outil avec impatience : n est-il pas plus urgent d installer d abord celui-ci? Pour l ASMT, de nombreux doutes sont émis : obligation réglementaire? Assortie de quelles procédures? La question essentielle est bien sûr celle de la visibilité des informations : qui voit en premier l enfreinte de séparation? Qui décide que la norme n a pas été respectée? Dans le contexte qui a été évoqué, cet outil suscite une réticence largement partagée. SYNTHESE LA SECURITE MALGRE TOUT La gestion de la sécurité étant ce qu elle est, que peut-on dire de plus de la sécurité au centre de Padoue? Il serait bien sûr présomptueux de prétendre faire une quelconque évaluation sur la base d une immersion d une semaine, et ce n est bien sûr pas l objet de cette thèse. Cependant, il nous semble un peu facile d évacuer purement et simplement le problème : les éléments rapportés ici induisent qu on le veuille ou non une vision et un jugement chez le lecteur, surtout si celui-ci a quelques lumières sur le domaine. Le portrait dessiné jusqu ici n a pas les vertus quelques peu idéales du modèle suédois que nous verrons ensuite. Mais il serait réducteur de limiter le centre de Padoue à ce qui vient d en être dit : la sécurité ne saurait se réduire à la gestion de cette sécurité. Que peut-on dire de plus? Rien de plus, mais rien de moins qu une anecdote. Lors de la vacation que j ai passée avec l équipe qui m accueillait, je suis restée, comme dans les autres pays, une partie de la nuit dans la salle de contrôle. L ambiance, calme (mais non pas endormie : quelques avions sont à contrôler) y est toujours particulière, et les contrôleurs vous sont souvent reconnaissants de pousser jusqu au bout l immersion dans leur travail, y compris dans ses aspects les plus fatigants. Cette nuit-là était très calme, avec une position ou deux «ouvertes», ce qui veut dire que l espace aérien surveillé, habituellement divisé en «secteurs», est contrôlé sur une seule position de travail, puisque le nombre d avions est très réduit. Je bavarde dans la salle de

128 128 P a g e contrôle avec un contrôleur qui n est pas en poste lorsqu il est interrompu : il est appelé à la rescousse par un autre contrôleur travaillant sur la position voisine. Il s agit d un problème de téléphone, qui ne fonctionne pas avec le centre suivant. Or, il faut signaler au centre suivant un problème (de rattrapage entre deux avions si je comprends bien, les avions ayant déjà été «transférés» au secteur suivant, ce qui signifie qu ils sont en contact radio avec le centre suivant, qui est un aérodrome 223 ). Le problème est pris en mains par mon interlocuteur, avec sang froid. Il faut chercher un autre numéro : un numéro dans un classeur trouvé dans le classeur du chef de salle se révèle inopérant, mais il réussira à prévenir le chef de tour, qui va joindre finalement les contrôleurs à la position qui reçoit entre temps les avions. Tout sera visiblement réglé à temps. Il ne s agit pas d un incident grave, et il a été de plus traité avec efficacité. Lorsque je demande, une fois le calme revenu, à mon interlocuteur s il va notifier cet incident, il manque de s étrangler. Il fait le geste enfantin de doigts rassemblés sous un coup de règle : voilà ce qui risque de se passer pour lui. Je proteste que l incident ne manque pas d intérêt, et qu il a été bien traité de surcroît (il s agissait d un cas où il fallait trouver une solution, sans pouvoir recourir à une procédure, inexistante pour ce type d évènements). Ce dernier point semble n avoir aucune espèce d importante. L incident ne fera a priori pas l objet d un dépôt d airprox par les pilotes, il peut rester inconnu. D ailleurs, mon interlocuteur s inquiète : je ne vais pas parler de cet incident à ses chefs, au moins? Je le rassure aussitôt sur ce point. Les contrôleurs du centre de Padoue ne me paraîtront jamais négligents quant à la sécurité. Cet épisode indiquerait plutôt ce qu une certaine littérature friande de ce terme appellerait une bonne «safety culture 224». (C est un terme largement employé dans les écrits d Eurocontrol par exemple). D ailleurs, les contrôleurs se montreront souvent assez critiques envers leurs collègues de Milan Lineate, qui a connu un accident très grave 225, et dont l enquête révèlera de graves négligences à tous les niveaux, contrôleurs inclus. L «opacité» relative du centre de Padoue quant à ses incidents n est pas synonyme de piètres pratiques qu il faudrait dissimuler. Elle n est que le résultat logique d une réponse des contrôleurs à ce 223 Ici, le rattrapage d un avion par le suivant impliquait une perte de séparation à court terme si aucune mesure n était prise. La règle veut bien sûr que l on ne «transfère» pas des avions déjà potentiellement en conflit à un centre suivant. 224 La «safety culture» est une notion largement utilisée dans le monde des organisations à risque. Rappelons simplement ici qu elle est apparue pour la première fois à propos de la catastrophe de Tchernobyl. Une «poor safety culture» a été considérée comme un facteur ayant contribué à l accident dans le rapport de l AIEA (International Atomic Energy Agency). L INSAG-4 la définit ainsi : «La culture de sûreté est l'ensemble des caractéristiques et des attitudes qui, dans les organismes et chez les individus, font que les questions relatives à la sûreté des centrales nucléaires bénéficient, en priorité, de l'attention qu'elles méritent en raison de leur importance». Rapport du groupe consultatif international pour la sûreté nucléaire. Collection Sécurité. N 75- INSAG-4 AIEA, Vienne, Cette notion sera ensuite utilisée dans le monde de l aéronautique, puis du contrôle aérien, et elle connait à l heure actuelle de nombreuses définitions, et quelques controverses passionnées 225 Cet accident (incursion de piste) eut lieu en 2001 à l aéroport de Milan Lineate. Il s agit du plus grave accident aérien jamais survenu en Italie. (118 victimes).

129 P a g e 129 qu ils vivent comme profondément injuste : la suspension de la licence en cas d incident. Ce point est suffisamment important pour que l on s y arrête maintenant davantage. LA SUSPENSION DE LA LICENCE : AUTORITE OU POUVOIR? Pour les contrôleurs, la suspension de la licence est vécue sur le mode de la soumission à un arbitraire, l arbitraire d une personne, le chef du centre. Il en découle un sentiment d injustice très fort, qui structure beaucoup les rapports entre les contrôleurs et leur hiérarchie. Cette suspension est pourtant faite au nom d un principe supérieur visant à protéger le contrôleur, mais cette justification, loin de conférer une légitimité à cette mesure, semble exacerber encore davantage le sentiment d iniquité. Pour comprendre cet apparent paradoxe, les analyses proposées par Quéré et Ogien quant à la confiance dans les institutions sont très utiles 226. Cette confiance, expliquent-ils, ne serait possible que par «la référence à un tiers neutre, objectif et transcendant» dont elles reconnaissent l autorité. Lorsque les institutions se mettent à fonctionner en s appropriant les critères du juste et de l injuste, cette confiance n est plus possible. Cette référence à ce tiers au rôle symbolique dont on reconnaît l autorité peut n être invoquée que de façon artificielle. Claude Lefort analyse dans ces termes un passage de l archipel du goulag de Soljenitsyne. Ce dernier rapporte un dialogue entre un commissaire de la Kolyma et un inculpé, qu il tente de convaincre du bien fondé de sa détention. Il emploie le «nous», un nous, dit Lefort, qui figure l indistinction des places entre les deux protagonistes, commissaire et inculpé : «Revenons en effet à notre commissaire de la Kolyma. Il ne parle pas de sa place. Certes, il invoque en apparence une puissance transcendante. «Nous devons faire, dit-il, ce que le Parti exige de nous». Mais il s agit justement d une puissance qui ne fait que désigner le grand nous dont le petit nous des policiers, des geôliers, des juges, n est qu un représentant 227». Ici, le commissaire n évoque qu en apparence une puissance transcendante qui jouerait ce rôle. Le Tiers neutre est remplacé ici par le collectif du parti. Dans le cas des contrôleurs, la référence à une forme de transcendance (le bien-être du contrôleur, et la sécurité aérienne) n est vécue que comme simulacre. Les décisions du chef de centre (suspension et durée de la suspension) sont vécues comme arbitraires, car elles ne se référent qu en apparence à un principe tiers qui obligerait les deux parties (chef et contrôleurs). Lorsque je l interroge, le chef de centre affirme agir en son nom propre pour décider du temps de la suspension, et il se montre évasif lorsque je lui demande de m expliquer sur quels critères il prend ses décisions. Les contrôleurs, quant à eux, ne reconnaissent pas au chef de centre, une légitimité suffisante 226 Séminaire de Louis Quéré et Albert Ogien sur la confiance. EHESS. Février Claude Lefort. Un Homme en trop. Essai sur l'archipel du goulag de Soljénitsyne, Paris, Le Seuil, 1975.

130 130 P a g e pour prendre cette décision. Ceci invite à une lecture des relations entre contrôleurs et le chef de centre en termes de pouvoir plus que d autorité. Kojève, notamment, considère que la reconnaissance de l autorité est constitutive de la notion même d autorité : «ou bien il n y a pas d autorité, du tout, ou bien elle est «reconnue» par le seul fait de son existence. L autorité et la «reconnaissance» de l autorité ne font qu un 228». Il est important que la plupart des contrôleurs ne revendiquent pas obligatoirement la disparition pure et simple de la suspension de licence, mais qu ils récusent plutôt ce qui est vécu sur le mode de la soumission à un arbitraire. C est pourquoi, si elle paraît surprenante à première vue, la suggestion de l un des contrôleurs (en faire une décision confiée à une personne externe à l organisation de l aviation civile) se comprend parce qu elle permet de sortir de la relation duelle pouvoir-soumission entre le chef et les contrôleurs. Elle introduit l autorité de l expertise, qui, aussi discutable soit-elle, se réfère à une forme de légitimité «scientifique»,et permet ici de sortir de ce qui est vécu comme de l ordre de l arbitraire pur et simple. LE STATUT DE L INCIDENT : L OPACITE COMME DEFENSE Dans le contexte qui vient d être exposé, le statut de l incident est plutôt celui d un «objet» avant tout source de problèmes. D abord, pour les contrôleurs puisque l incident est extrêmement individualisé et peut mener à la suspension de la licence du contrôleur impliqué. Cette suspension étant vécue, par la majorité des contrôleurs, comme une punition, ceux-ci seront enclins à cacher autant que possible les incidents dans lesquels ils sont impliqués. L incident est un événement individuel malheureux et les justifications avancées par le management pour la suspension de la licence ne paraissent pas sincères aux contrôleurs. Dans ce contexte, l «opacité» est la conséquence d une situation dans laquelle les contrôleurs ne peuvent trouver de sens à notifier leurs incidents. Mais l incident n est pas non plus bienvenu pour la hiérarchie, pour laquelle il génère un travail laborieux et peu gratifiant. Il peut arriver que les contrôleurs notifient un incident, dans les cas où le pilote a commis une erreur : «je dois faire l enquête, même s il n y a rien» regrette le chef de centre. L intérêt d apprendre quelque chose de l incident, de révéler un problème ou d enrichir la vision de la sécurité n est jamais évoqué par les managers du centre. L insistance sur l aspect réglementaire est très importante. Le caractère laborieux et finalement assez dénué de sens est donc très présent. 228 Alexandre Kojève. La notion de l autorité. Cité par : Myriam Revault d Allonnes. Le pouvoir des commencements. Essai sur l autorité. SEUIL (p.68)

131 P a g e LA SUEDE L ORGANISATION ET LE CONTEXTE La séparation entre le fournisseur de services de contrôle aérien (LFV, (Luftfartsverket) et la «regulation authority» (DGCA Sweden) est effective depuis Le département «safety» (ASD) rapporte directement au ministère pour les «safety issues». Les carnets du centre de Malmö LE CENTRE DE MALMÖ Le centre de Malmö comprend environ 220 contrôleurs répartis en 16 équipes. Les équipes ne sont pas stables : contrairement à beaucoup de centres (c est le cas en France notamment) dans lesquels les contrôleurs travaillent pendant de nombreuses années (pendant toute leur carrière pour certains) dans la même équipe, les contrôleurs ici peuvent être amenés à travailler dans différentes équipes selon les besoins opérationnels. Certains contrôleurs se disent très satisfaits de cette solution ; ils considèrent que la stabilité des équipes peut entraîner des dérives : une certaine façon de travailler en étant moins respectueux des procédures devient la norme dans une équipe, et ceci d autant plus que ses membres resteront les mêmes pendant des années 229. Certains évoquent ainsi le cas Danois (le centre de Copenhague, limitrophe) dont ils n apprécient pas la façon de travailler de certaines équipes. Les contrôleurs suédois insistent cependant sur les liens sociaux très forts entre contrôleurs dans le centre et sur les rapports très bons qui sont entretenus entre la «salle de contrôle» et les managers. L ANALYSE DES INCIDENTS LES INCIDENTS ANALYSES Les airprox ne constituent qu une partie des événements analysés. La notification volontaire d incidents par les contrôleurs est très développée. Les contrôleurs sont invités à notifier tout événement qui leur paraît intéressant à analyser. Les incidents sont classés en DA (si on considère qu il y a eu une perturbation du système et un problème de sécurité) et en DI (problème moindre, ne mettant pas en cause la sécurité). Une nouvelle catégorie venait d être instituée depuis quelques mois à la date de ma visite, un peu en marge de l incident 229 Nous verrons plus loin le cas au centre de Brest d une équipe de «vieux» contrôleurs considérée comme emblématique de ces équipes stables qui développent leurs propres façons de faire. On parle d ailleurs couramment de «culture d équipe» en France.

132 132 P a g e proprement dit, et dénommé : l événement dont on peut apprendre quelque chose (ETYCLF : Event That You Can Learn From). Il s agit d un groupe d échanges entre contrôleurs, animés par un consultant externe en Facteurs Humains. Une des idées de départ de cette initiative repose sur l existence d échanges spontanés entre contrôleurs, d anecdotes sur des «histoires qui sont arrivées» pendant leur travail, sans que celles-ci soient de l ordre de l incident proprement dit. Ces événements valent la peine d être racontés, mais ne nécessitent pas d enquête formelle. Le consultant (médecin et psychologue) est avant tout un animateur de ces petites réunions et il propose un angle d analyse de type «facteurs humains» qui fournit des outils conceptuels pour rendre compte de ce qui s est passé. La Suède est le seul pays de notre étude comparative à avoir «institutionnalisé» ce qui par définition restait de l ordre d un échange informel. Ceci ne s est pas fait sans tiraillements : les quartiers généraux du contrôle aérien Suédois ont d abord vu avec un peu de méfiance la mise en place de ce qui apparaissait comme une entorse au Tout Transparent peu à peu acquis, avec la remontée des incidents vers la base de données centralisée. Cependant, le principe d un apprentissage local dans le centre de Malmö est désormais acquis et semble répondre au souci d'un apprentissage géré par les contrôleurs. En effet, le consultant qui a proposé la mise en place d un tel système, souligne que la différence entre un événement lors duquel la séparation est enfreinte, et un événement lors duquel elle ne l est pas, tient souvent tout simplement au facteur chance 230. La classification dichotomique incident/non incident à partir de l enfreinte d une norme, renvoie à une compréhension trop simple de la sécurité : sécurité assurée tant que les avions sont séparés de la norme en vigueur, et sécurité soudain mise en danger dès lors que la barrière de la norme est franchie. La notion de «ETYCLF» renvoie pour sa part au jugement du contrôleur quant à une situation vécue comme risquée, même si la norme a été respectée, et même s il n y a pas eu de véritable incident. Pour le dire dans nos termes, au-delà d une normativité fixée par l institution, une place est faite à l expérience subjective, singulière du contrôleur. Ou, pour être plus précis, une place est faite, au-delà de la catégorie instituée d incidents, pour un jugement qui donne à un événement un statut d événement intéressant, dont on peut apprendre, ce qui rend l opposition incident/non incident finalement caduque du strict point de vue du retour d expérience. UNE «CULTURE DE LA TRANSPARENCE» Les notifications sont faites par les contrôleurs pour la plupart sous forme de courriel (80 % des notifications sont effectuées de façon électronique). Les formulaires électroniques sont faciles et rapides à remplir, leurs caractéristiques doivent inciter les contrôleurs (qui sont «paresseux» en ce qui concerne les tâches administratives, m explique-t-on) à notifier un 230 Sven Ternov. Operator-centered local error management in air traffic control. Safety Science P

133 P a g e 133 événement, même s il a un doute sur l intérêt que présente l événement en question. Le service reçoit jusqu à 2000 notifications par an. Des contrôleurs assistants appelés «gatekeepers» effectuent un premier tri, entrent les informations dans une base de données, et transmettent le rapport à un analyste d incidents si elles considèrent qu il est utile de mener une enquête. Mes entretiens avec les contrôleurs seront souvent assez courts : non par mauvaise volonté de ceux-ci, mais plus simplement parce que, me répète-t-on à l envie, la transparence n est pas un problème. Ce n est qu en Suède que l on m affirmera avec une tranquille assurance : «nous sommes transparents», et ceci quelque soient les acteurs rencontrés : contrôleurs, personnes de l encadrement, safety managers, La transparence est presque toujours associée à la «culture de la transparence» suédoise. Elle est source d une certaine fierté, et elle est évoquée comme un bien que l on possède, presque une ressource naturelle. «Ici, on a une culture de la transparence». «Nous sommes un pays transparent, c est notre culture». Cette affirmation est souvent complétée par l affirmation d une différence «On est tout à fait différents des autres pays» me répètent plusieurs contrôleurs. Certains savent que l opacité quant aux incidents liés au contrôle aérien a été stigmatisée dans un rapport d Eurocontrol 231, mais que les suédois sont considérés, quant à eux comme les bons élèves sur ce sujet. «Ici, il y a une atmosphère ouverte». La transparence est donc à la fois ce qui nous définit et nous distingue aussi du voisin : On est tout à fait différents des autres pays, y compris le Danemark qui est tout près d ici 232 m explique un contrôleur.». (A Malmö, le Danemark est à quelques kilomètres, de l autre côté du pont). Le Danemark vient seulement de modifier la loi, particulièrement punitive, qui permettait aux autorités du contrôle aérien de donner des amendes aux contrôleurs responsables d incidents 233. UNE «CULTURE» DE LA NOTIFICATION D INCIDENTS Juste après la référence à la culture nationale, vient la référence à la culture organisationnelle. Et même, très précisément à une «bonne culture de la notification (des incidents)» : «a good reporting culture». Cette fois-ci, la culture n est plus un donné, comme pour la culture nationale, elle est inculquée. Le truc c est que tout le monde est éduqué ici, on leur donne une culture de la notification 234 m explique un instructeur. Les contrôleurs sont formés à l académie, qui sélectionne et forme les contrôleurs avant qu ils ne soient envoyés dans les différents centres de contrôle pour compléter leur formation «sur le tas» (on-the-job 231 Martine Blaize. Aircraft Accidents/incidents and ATM contribution. Eurocontrol. Safety regulation commission. 232 We are quite different from other countries, including Denmark which is quite close 233 Christine Fassert. La transparence en questions. Mémoire de Diplôme d Etudes Approfondies en Philosophie, mention sociologie. Paris, Paris 1 Sorbonne. 234 The thing is that everybody is educated here, we are given the culture of reporting

134 134 P a g e training). Les contrôleurs souligneront tous, dans les entretiens «on a été éduqués comme ça», «Tout le monde est éduqué ici, on nous donne une culture de la notification». Lors de la formation, on leur a enseigné l importance du «Retour d Expérience», grâce auquel une organisation apprend de ses incidents ; or la première étape du REX est la connaissance de ces incidents. Ils ont également étudié des exemples d incidents qui font partie intégrante de leur formation, de leur appréhension des risques. Cette culture, mélange de connaissances, de pratiques, de valeurs, inculquée dès le début de leur formation à «l académie», se poursuit ensuite dans le centre opérationnel : il est important de notifier ses incidents. Cette notification largement acquise se complète d une pratique bien ancrée de la réflexion sur la sécurité, dans des processus de formation continue. Il existe par exemple un groupe de six contrôleurs qui sont opérationnels à plein temps, mais qui disposent d une journée tous les deux mois pour exposer sur un thème de sécurité choisi. La culture nationale et la culture de l organisation semblent ici remarquablement congruentes : les personnes ne font pourtant jamais de lien explicite et les évoquent comme deux facteurs, sans mettre de hiérarchie de l un par rapport à l autre. Il semble y avoir, d une part, la fameuse «transparence» de la Suède et d autre part la «culture de la notification» propre au contrôle aérien. Nous reviendrons plus tard sur ces deux types de cultures. Face à une telle normativité des comportements, on peut se demander ce qui fait quand même question, ou problème, ce qui n est pas déjà résolu par l institution. Certains jeunes contrôleurs évoquent la difficulté de trancher entre la déclaration d un «DA» (incident qui fait l objet d une notification formalisée) et celle d une «ETYCLF», traité localement de façon plus légère, sans enquête. Dans ce cas, le contrôleur s en remet facilement au jugement de ses supérieurs. Ainsi, un contrôleur explique : «Quelquefois, quelque chose se passe qui est juste à la limite. On a le DA et aussi le «truc apprentissage». Parfois c est assez difficile de décider si c est un DA ou un ETYCLF. Je pense que c est à mon superviseur ou à «A» (la chef des opérations) parce qu ils sont mes managers, c est leur décision, si je ne peux pas faire la différence, je peux demander 235». Le supérieur est donc une personne légitime pour trancher le type de notification à faire, son expérience permet de prendre la bonne décision. Cette confiance envers les supérieurs est elle aussi emblématique des rapports à Malmö. En effet, si on retrouve dans plusieurs pays une opposition entre «la salle» (des contrôleurs) et les autres (ceux qui sont hors de la salle, dans les bureaux, managers ou administratifs), ce n est pas le cas de Malmö, en tout cas avec des nuances d importance. Si la référence à une identité «contrôleurs» reste forte, si, comme ailleurs, les contrôleurs forment souvent des groupes soudés dans leur travail mais aussi hors du travail, les contrôleurs à Malmö soulignent à maintes reprises leur confiance envers la hiérarchie, une forme de proximité qui va, comme 235 We have the DA and also the learning thing, sometimes it is quite difficult to decide is it a DA or a EYCLF, I think it is up to the supervisor or to A, the CCO, because they are my managers, it is their decisions to know what it is, if I can t make the difference, I can ask. «The thing is that everybody is educated here, we are given the culture of reporting, sometimes, something happens it is on the border line»

135 P a g e 135 dans cet exemple jusqu à l idée de se remettre au jugement de son superviseur ou de la responsable opérationnelle pour décider de la conduite à tenir en cas d incident. Un responsable me résumera ainsi la situation : pour eux, la partie «collecte» d incidents (la transparence au sens littéral sur les incidents) n est plus un problème. Elle est considérée comme un acquis solide, sur lequel il n est plus nécessaire d insister : les incidents sont, dans leur immense majorité, connus, révélés. Leurs efforts portent maintenant davantage sur l étape suivante : l analyse des incidents, et ses corollaires : la classification de sévérité, la prise de mesures correctives, l identification des «failles» organisationnelles. LE «NON PUNITIF» AU CŒUR DES PREOCCUPATIONS Quatre analystes d incidents locaux (à Malmö, Göteborg et Stockholm) et trois analystes des quartiers généraux réalisent les enquêtes. L enquête et l analyse d un incident dans un centre opérationnel est toujours effectuée par un analyste d un autre centre que celui où l incident a eu lieu «afin d éviter toute discussion» me dit le safety manager. Les analystes sont formés aux Facteurs Humains ils participent par exemple, au moment des entretiens, à la mise au point d une méthode développée par Eurocontrol, la méthode HERA (Human ERror Analysis). Il n y a pas, cependant, de classification de sévérité. Mais afin de se mettre en conformité avec ESARR 2, ils projettent de réfléchir à l adoption d une méthode de classification de sévérité. Un binôme formé d une personne des «Head Quarters» et d un analyste d incident se rendent sur place, et mènent l enquête (réécoute des enregistrements de la fréquence, interviews des contrôleurs impliqués). Ce binôme rencontre d abord les responsables locaux, afin de discuter des «sentiments» des contrôleurs («comment se sentent-ils après l incident?»). Le contrôleur interviewé a le droit d avoir à ses côtés une personne «pour le soutenir». Il s agit souvent d un responsable local, de sa hiérarchie directe. Les entretiens pour les enquêtes peuvent durer de deux à trois heures. «Ils peuvent dire les choses sans qu elles soient écrites s ils pensent que c est trop personnel» me précise un analyste d incidents. Ces entretiens donnent des informations essentielles pour la compréhension véritable de l incident, et le témoignage du ou des contrôleurs impliqués est par conséquent considéré comme une étape très importante, et très valorisé : «Les entretiens permettent d avoir des éléments qui ne seraient pas révélés sans la participation des contrôleurs». Une première version de l incident comporte l analyse, les conclusions et recommandations. Elle est transmise au contrôleur impliqué et à son manager pour commentaires. En cas de désaccord, ces derniers peuvent s exprimer, mais cela concerne, me rapporte mon interlocuteur, moins de 1% des cas. Le rapport est ensuite distribué à l académie (l école qui forme les contrôleurs) et à tous les managers du centre où s est déroulé l incident. Ceux-ci doivent exposer les incidents jugés «intéressants» à leur équipe. Il peut être également envoyé à la compagnie aérienne impliquée, si celle-ci est jugée apte à en tirer profit ou à

136 136 P a g e donner son point du vue («Scandinavian Airlines, ou Air France, par exemple, mais pas la Chine, on ne recevrait pas de réponse» me précise un analyste). Le Macro Système Technique qui se dessine ici est à la fois celui d une «auto transparence» dans laquelle collaborent sol et bord, et celui qui comporte des zones d opacité totale, contre lesquelles le plus «transparent» des fournisseurs de service de contrôle aérien ne peut rien. Sur les 1500 à 2000 notifications annuelles, il sera mené de 20 à 30 investigations «nationales» (c est-à-dire, impliquant une personne des quartiers généraux, plus un analyste local). Le choix n est pas fait selon le critère «airprox» ou non, mais selon un jugement plus global sur l événement, considéré «intéressant» à analyser au niveau national. «On peut avoir un airprox et décider cependant de ne pas faire l enquête, si l erreur est très facile à identifier, et si l enquête n ajoutera rien, peut-être, on dira, OK, une enquête locale est faite, et ça suffit, ils nous fournissent le rapport et si on se dit : OK, ils ont fait une bonne analyse, on peut décider de ne pas s occuper de cas. D un autre côté si on a un incident avec aucune perte de séparation, mais avec un potentiel de danger de la situation, on fait l enquête. On prend des situations qui ne sont pas des airprox, on en laisse qui sont des airprox 25 sur 30 peut-être sont des airprox 236». L APPROCHE «FACTEURS HUMAINS» Les Suédois font visiblement un effort important pour identifier les aspects organisationnels, au-delà des aspects plus individuels (communément analysés comme erreurs, violation des normes). Il s agit donc, dans la lignée des propositions maintenant classiques de Reason 237 d identifier, au-delà des causes immédiates et individuelles de l incident, des causes dites «latentes», qui ne sont pas immédiatement identifiables, mais qui sont les causes sous jacentes des erreurs individuelles. Ces «erreurs latentes organisationnelles» (latent organizational failures) ne sont d ailleurs pas imputables à des acteurs particuliers, elles sont plutôt des conditions organisationnelles qui favorisent des types d erreurs particuliers. L identification de ces causes permet, selon Reason, de ne plus attribuer seulement aux «acteurs de première ligne», directement en charge du process (ici, les contrôleurs aériens), la cause première des erreurs commises, et de chercher des causes plus profondes, afin de faire porter les mesures correctives à ce niveau. Les réflexions de Reason ont été largement reprises et diffusées par Eurocontrol, notamment lors de formations de «Team Ressource Management». Elles sont cependant très inégalement diffusées et ne sont véritablement 236 We can have an airprox and we can still decide not to make an investigation. If the error is very easy to identify, and the investigation will make no difference, maybe we say ok, a local investigation is done and that is enough, and they provide us with the report, and if we say : ok, they made a good analysis, we might decide not to take this case. On the other hand, if we have an incident with no loss of separation, but we have a potential of danger of the situation, we do the investigation. We take situations which are not airproxes, and we leave some which are airproxes 25 out of 30 may be airproxes. 237 James Reason, L erreur humaine, PUF, Paris, 1993.

137 P a g e 137 «intégrées» à l analyse des incidents que dans un nombre limité de pays. Dans le cas Suédois, le focus sur l identification des erreurs latentes est une caractéristique significative de l analyse. Cependant, les aspects plus spécifiquement individuels ne sont pas laissés de côté. Il s agit alors de comprendre les erreurs du contrôleur (parfois du pilote) ayant mené à l incident. Les apports de la psychologie cognitive sont alors utilisés pour appréhender les mécanismes mentaux souvent complexes mis en jeu lors du travail de ces professionnels, et expliquer les «ratages» possibles : confusion, oubli, incompréhension Les réflexions sur le lien à «défaire» entre erreur et faute traversent toute la communauté du contrôle aérien, elles sont au cœur des discours. «Ne plus considérer l erreur comme un tabou» est devenu l un des leitmotivs des actions de communication d Eurocontrol. A Malmö, Les contrôleurs apprennent, m expliquent-ils, «à ne pas avoir honte de leurs incidents». La «culture non punitive» à promouvoir est devenue un autre fer de lance d Eurocontrol, avec quelques tâtonnements il est vrai sur le contour exact de cette notion 238. La notification des incidents, la fameuse «transparence» sur les incidents est à ce prix. Dès lors, ne pas stigmatiser les erreurs du contrôleur devient un impératif qui se reflète dans les rapports d incidents eux-mêmes. Pour les suédois, cette attention extrême à cette culture non punitive prend une tournure radicale. Deux étudiants que j ai l occasion de rencontrer lors de cette visite 239 me racontent leur étonnement en ayant comparé la teneur des rapports d incidents au Danemark et en Suède. Dans les analyses suédoises, ils ont noté des formulations qui témoignent d un souci extrême de «mettre les formes» dans la description de l incident, lorsqu il s agit de décrire les actions du contrôleur : «Par exemple, ils ne diraient pas : «elle s est trompée», mais «elle avait une image mentale fausse», même pas le mot «fausse» peut-être, ou bien : «l image n existait pas dans sa tête» plutôt que : «il avait oublié 240». La transparence du contrôleur est ainsi sans doute obtenue et symboliquement remerciée par l assurance d un regard extrêmement bienveillant. La focalisation sur les erreurs organisationnelles et la volonté de ne pas faire du contrôleur un «responsable» véritable de l incident sont les deux grands piliers sur lesquels s élabore l analyse des incidents. L auto transparence sur les risques, dont nous avons montré qu elle semblait être un des idéaux promus par les recherches en sociologie des organisations à risque dans la première partie semble ici en quelque sorte réalisée. Mais elle se réalise dans un 238 Voir à cet égard les remarques de Reason sur les notions de «non punitive culture» et «just culture» dans le chapitre Marlene Madsen Dyrløv & Ryan Jensen Thomas: Fejl, ansvar og moral: Behandling af menneskelige fejl og udvikling af en professionsetik inden for flyveledelse og andre sikkerhedskritiske områder. Technical Report R-1260, Risø National Laboratory, 4000 Roskilde Denmark (présenté oralement en anglais par les auteurs). 240 The Swedish would say, not she made an error but she has the wrong mental picture, even not the word wrong, or : the picture did not exist in his mind instead of he forgot.

138 138 P a g e monde idéal où la «transparence» est une valeur phare de toute la société. Il faut noter à cet égard une différence de taille entre le discours des Britanniques (sur lequel nous reviendrons dans l analyse du Safety Improvment Sub Group, dans le chapitre suivant) et celui des Suédois. Nos amis Britanniques se montreront très fiers de leur transparence, de leur «safety management system», mais ils feront de cet état le couronnement d une «évolution naturelle» qui les a amenés, après bien des vicissitudes, à une situation dont ils peuvent être fiers. Mon interlocuteur du NATS se défendra ainsi : «les gens (du SISG) croient que nous voulons imposer nos idées, mais nous voulons juste leur éviter faire les mêmes erreurs que nous». Il ne tient qu au reste des pays d Eurocontrol de faire les mêmes progrès pour atteindre enfin (plus directement, grâce à l expérience anglaise) le même niveau de développement. Les Suédois au contraire insistent sur le caractère éminemment local de leur réussite : ils sont transparents parce que la Suède a une culture de la transparence. La dimension «évolutionniste»» (il existerait des stades successifs d amélioration que connaitrait une organisation dans sa gestion de la sécurité) est donc bien moins présente, bien que la transparence s enseigne dès le début de la formation aux jeunes contrôleurs. Ces deux visions renvoient finalement à deux paradigmes de sens commun qui s opposent : celui de l histoire qui fait d un certain état atteint le résultat d une évolution combinée à un progrès et celui de la culture qui enracine les pratiques dans un contexte par nature immuable, associée à une éducation qui vient parachever cette inculcation de la transparence comme valeur et comme pratique. LA SURVEILLANCE AUTOMATIQUE DES INCIDENTS Lors des discussions qui ont accompagné le développement de l outil de détection automatique ASMT (ATM Safety Monitoring Tool), mes interlocuteurs considéraient comme allant de soi que cet outil serait très bien accueilli dès lors qu un certain degré de transparence sur les incidents serait déjà obtenu. Dans ce cas, l outil ne ferait qu automatiser ce qui était déjà réalisé volontairement par les contrôleurs et il compléterait la notification volontaire par la détection de certains événements moins appréhendables par le contrôleur (comme les levels busts). Ainsi, un rapport d enquête de la Performance Review Unit d Eurocontrol 241, après avoir établi l opacité de beaucoup de pays quant aux incidents, évoque la solution d un 241 Radu Ciopenoa. Legal Constraints to Non-punitive ATM Safety Occurrence Reporting in Europe Outcome of a Survey conducted by the Performance Review Unit in December Fidèle à sa volonté de confidentialité, Eurocontrol ne mentionne pas les pays dans ce rapport. Il n est pas évident à cette lecture que le «successful implementation» du reporting automatique ne concerne que deux pays européens, (France et Angleterre) et avec des modalités d application très différentes qui nuancent sensiblement ce qui peut en être dit ici. It must be said that automatic reporting was one of the most controversial subjects arising out of the survey. Several respondents raised concerns that automatic reporting would not be as good as voluntary reporting. This was almost always found in places where there is a poor reporting culture, and the reluctance towards automatic systems was mainly based on the fear related to the use of such data. However, where the systems have been successfully implemented, they are regarded as very beneficial by both ATCOs and management. Moreover, in organisations where there is no such system but a solid reporting culture exists, the potential implementation of such a system is not feared.

139 P a g e 139 système comme l ASMT ; on parle alors de «automatic reporting» par opposition au «volontary reporting». «Il doit être souligné que le reporting automatique était l un des sujets les plus controversés de cette enquête. Plusieurs parmi ceux qui ont répondu ont soulevé le point que le «reporting automatique» ne serait pas aussi bon que le «reporting volontaire». Cela a été presque toujours le cas dans les pays où la culture de la notification n est pas bonne et la réticence envers les systèmes automatiques était principalement basée sur la crainte de l utilisation de telles données. Cependant, là où les systèmes ont été implémentés avec succès, ils sont considérés comme très bénéfiques par le management et les contrôleurs. De plus, dans les organisations où il n y a pas un tel système mais une culture de la notification solide, l implémentation d un tel système ne fait l objet d aucune crainte». (souligné par nous). Cependant, lorsque j évoque la possibilité de la surveillance automatique des incidents à Malmö, les contrôleurs ne montrent qu un intérêt mitigé : ils ne comprennent pas quel serait l apport d un tel outil. L outil serait-il seulement redondant, en ne faisant que «doubler» dans la plupart des cas, la notification volontaire? La réponse est bien plus complexe. La réaction de la chef opérationnelle sera la plus vive lorsque j évoque l ASMT : C'est l'opposé absolu de ce que nous sommes, je ne vois rien de bien avec cet outil, je ne crois pas que le système bénéficie de cela, cela voudrait dire que le management ne me fait pas confiance en tant que contrôleur 242. Cette personne du management se met d emblée dans la position du contrôleur pour donner un sens à cet outil. Et elle ne s intéresse pas tant aux bénéfices supposés d un tel système pour la gestion de la sécurité qu à la symbolique à laquelle il renvoie, c est-à-dire ici le signe d un manque (d une perte) de confiance de la hiérarchie envers les contrôleurs. L outil incarne même «l opposé absolu de ce que nous sommes», et dans ces mots très forts, on peut lire à quel point l ASMT est appréhendé en premier lieu dans ses dimensions symboliques et non instrumentales (ses fonctionnalités de «rejeu», la possibilité d appréhender des types d incidents non perçus par le contrôleur). L outil opère donc autre chose que la simple automatisation d une transparence qui serait d abord volontaire. En cela, il dit aussi ce qu est la transparence pour ces professionnels, en montrant ce à quoi elle ne saurait être réduite. 242 This is the absolute opposite of what we are. I don t see anything good with this, I don t think the system benefits of it It would mean that the management does not trust me as a controller.

140 140 P a g e SYNTHESE DEUX TYPES DE CULTURE : CULTURA ET PADEIA Sophie Poirot Delpech 243 a proposé une distinction entre la culture (cultura, d origine latine) et la padeia (d origine grecque) qui trouve ici un écho très clair. Cette distinction permet de sortir du débat dans lequel il est facile de s enliser lorsqu on oppose les définitions de la culture, et surtout lorsqu on cherche à sortir des discours fleuves sur la safety culture et ses critiques. Sophie Poirot Delpech rappelle les deux origines de la notion : la cultura (ce qu on trouve en naissant) s oppose à la padeia (la culture qui est inculquée à chaque personne tout au long de l éducation). Elle montre tout l intérêt de distinguer ces deux types de culture lorsqu on s intéresse à la question de la sécurité. La particularité concerne ici la congruence entre les deux cultures, qui sont toutes deux évoquées comme facteurs explicatifs. La cultura de la transparence est un donné, une caractéristique de la culture Suédoise; la padeia (culture de la notification) est inculquée, elle fait partie de l éducation du contrôleur, d abord dans sa formation professionnelle, puis dans le centre où il travaille. Mais ces deux cultures sont en telle harmonie, elles sont si conformes qu elles sont à peine différenciables : la padeia n est ici que la prolongation, la particularisation de la cultura, son application au domaine professionnel. Cette référence à l éducation n est d ailleurs pas dénuée de la tranquille assurance d être tout simplement plus «avancés» que la plupart des autres pays en matière de safety management et de transparence. Certains contrôleurs disent simplement «on est éduqués ici» pour expliquer leur bonne volonté à notifier les incidents, sans même ajouter dans un premier temps de quelle éducation il s agit. Etre éduqué «à la notification», à la «transparence» revient à être «éduqué» tout court : éducation dont ne bénéficient pas les contrôleurs dans tous les autres pays, peut être un peu moins «civilisés» que ne l est la Suède. Point d arrogance pourtant (ce serait si peu conforme à l esprit de protestantisme ), plutôt l idée implicite que la transparence ne tient pas du miracle, du hasard, ou seulement de la bonne volonté individuelle. C est l éducation qui forme le contrôleur : elle explique l importance du Retour d Expérience, son bien fondé. Elle dédramatise l incident, en fait un matériau, sur lequel on va pouvoir tout simplement travailler, pour mieux comprendre. Et enfin, elle fait de l incident un événement normal dont il n y a pas lieu d avoir honte, et pour lequel l idée d une punition est en toute logique totalement exclue. 243 Sophie Poirot Delpech. Les deux cultures de l aéronautique. Actes du Congrès organisé par l ATRS. Rio de Janeiro. Juillet 2005.

141 P a g e 141 LA CONFIANCE ENVERS LE MANAGEMENT La confiance envers le management est une autre caractéristique majeure du contrôle suédois. Comme pour les autres caractéristiques, c est toujours bien sûr la démarche comparative qui permet d appréhender cette spécificité. On verra, dans les autres visites, qu il existe souvent une opposition entre «la salle» et «les managers», opposition qui se teinte dans certains cas d une certaine hostilité des contrôleurs envers «ceux qui ne sont pas contrôleurs». Le manager, en Suède est une figure bienveillante, et même protectrice. Non seulement l erreur n est pas taboue (elle fait partie du cours normal des choses), mais en cas d incident une des premières étapes est de discuter de l état psychologique du contrôleur. Il est souvent accompagné pendant l entretien d enquête d une personne «pour le soutenir» : cette personne m indique-t-on, est souvent une personne de sa hiérarchie. Enfin, en cas de doute sur la nature de l incident (DA ou ETYCLF), le jeune contrôleur peut décider de s en remettre au jugement de son supérieur direct, voire de la directrice des opérations : il reconnaît visiblement à ceux-ci une expertise sur la gravité de l incident et l enseignement local ou plus global que l on peut en tirer. Mais aussi «il s en remet à», dans un sens sans doute un tant soit peu affectif. LE STATUT DE L INCIDENT : UN MATERIAU ET UNE OPPORTUNITE D APPRENTISSAGE Quel est le statut de l incident dans un tel contexte? Il est d abord, pour le contrôleur une expérience au minimum désagréable, peut-être douloureuse, et celui-ci, loin d être stigmatisé, sera au contraire aidé. Le contrôleur semble être, in fine, la victime plutôt que le responsable de «son» incident. Mais cet aspect est toutefois loin d être central dans les différents entretiens de cette enquête. Le contrôleur doit certes être soutenu si nécessaire à la suite d un incident, mais l incident reste le cœur d un processus qui, au final, ne fait pas de celui-ci un élément aussi négatif qu on pourrait l imaginer. L incident, en effet, est d abord un matériau à traiter, dont on peut tirer des enseignements. Le strict contour de ce qu est un incident ne paraît pas être une question cruciale pour les personnes de Malmö. De même, le flou de la définition d ESARR2 ne sera jamais évoqué comme un problème. En fait, les pratiques de retour d expérience sont solidement ancrées dans l organisation Suédoise, le jugement du contrôleur est requis pour décider du statut à donner à l incident, et on a vu que des jeunes contrôleurs pouvaient s en remettre à leur hiérarchie pour décider de ce qu il convenait de faire, en termes de notification. De façon un peu paradoxale, la question de la visibilité des incidents envers l «extérieur» que cet extérieur soit le régulateur, Eurocontrol et sa demande de Annual Safety Report, ou encore le public ne se pose pas. Le nombre d incidents par exemple n est quasiment pas évoqué, comme s il n avait aucune importance. Chaque incident est d abord un matériau à usage

142 142 P a g e interne qui permet de travailler sur la sécurité. L incident n a pas le caractère un peu «tragique» qu il a dans d autres organisations. Réfléchir au statut de l incident invite là aussi à se servir de l approche comparative pour mieux saisir les particularités de chaque pays. En France par exemple, on le verra plus loin, on assiste à une forme de ritualisation lors de l analyse de l incident, avec la commission Locale de Sécurité, où une salle entière regarde la revisualisation de l écran radar et écoute les dialogues échangés à ce moment-là entre pilotes et contrôleurs. Le cas suédois frappe plutôt par le relatif «détachement» que les acteurs montrent vis-à-vis de l incident. Celui-ci perd le caractère parfois dramatique qu il peut avoir dans beaucoup d autres endroits, pour de multiples raisons. Il est un matériau à traiter, son intérêt est toujours inféodé au retour d expérience qu il peut permettre. Ce qui ne signifie pas non plus qu il est anodin, que l inquiétude quant aux questions de sécurité serait plus faible chez les suédois. Identifier les incidents, les analyser, en tirer des enseignements sont les éléments clefs d une mécanique sophistiquée portée par tous les acteurs, tous «éduqués» au Retour d Expérience comme pilier de la sécurité. De même, l airprox n a pas de statut particulier à la différence de la plupart des autres organisations. Ce ne sont pas obligatoirement les airprox qui font l objet d une enquête au niveau national, mais les incidents où ce complément d enquête peut apporter quelque chose de nouveau. Les incidents, tous les incidents, y compris les airprox, sont donc des matériaux pour le Retour d Expérience qu ils nourrissent, et c est bien ce caractère «rationnel» qui est mis en avant. Le mot d ordre est le suivant : ce n est pas obligatoirement l événement le plus grave qui nous apprend le plus, certains airprox sérieux ne méritent pas que l on s astreigne à une enquête nationale si les causes sont faciles à identifier. Le statut de l incident est donc toujours inféodé à son intérêt pour le Retour d Expérience. Ce qui est loin d être évident, on le verra, dans d autres pays, où l airprox a un statut particulier et où les incidents sont parfois plutôt des «problèmes» (parce qu il faut les traiter, qu ils génèrent un travail d enquête) que des opportunités d apprentissage. 5. MALTE L ORGANISATION ET LE CONTEXTE Les contrôleurs Maltais ont été militaires jusqu en A la suite d une grève des contrôleurs, leur statut a été modifié ATS (Malta Air Traffic Services ) existe comme telle depuis 2001 (c està-dire comme société à capitaux publics). Le régulateur est le Department of Civil Aviation (DCA). Un bureau Enquête incidents a été crée depuis Il est directement rattaché au ministère. Les incidents graves sont traités par le régulateur, (environ 170 par an, essentiellement des airprox). Les incidents très graves directement par le bureau enquête accidents. Mais ce

143 P a g e 143 dernier peut décider d enquêter sur n importe quel incident. Cependant, ils n ont pas les compétences (de contrôle aérien) nécessaires en interne et ils peuvent être amenés à nommer des personnes du fournisseur de service (MATS) pour réaliser ces enquêtes. Les carnets du centre de La Valette LE CENTRE DE LA VALETTE Le centre de contrôle de Malte est un relativement petit centre. Au même endroit, se trouvent regroupés la salle de contrôle en-route avec une approche et une vigie (tour de contrôle) au-dessus. Et aussi, caractéristique unique en regard des autres centres étudiés, les bureaux du «fournisseur de services de contrôle aérien» (MATS) et les bureaux du régulateur sont également sur le même site. Les deux zones Est et Ouest sont presque toujours regroupées. Les zones militaires sont très rarement activées. Quatre pays limitrophes reçoivent ou envoient du trafic : l Italie, la Tunisie, la Grèce et la Libye. Ce dernier pays sera très vite présenté comme un problème récurrent, peut être le «problème safety numéro 1» du centre. Les relations avec les contrôleurs libyens semblent être source de difficultés quotidiennes. Le problème est technique (le téléphone mobile devant parfois remplacer les lignes téléphoniques) mais il est surtout humain. Les contrôleurs maltais se plaignent surtout de l attitude peu sûre des contrôleurs Libyens. Ceux-ci, par exemple, ne respectent pas les «lettres d accord» (procédures qui définissent l endroit et le niveau de transfert d un avion entre deux centres). Sur un point particulier, ils génèrent ainsi des situations de «face à face» (situations extrêmement dangereuses) entre un avion qui décolle de Tripoli et un avion qui arrive de l Italie. Les libyens donnent également directement un RFL (Requested Flight Level, le niveau demandé par la compagnie comme niveau de croisière) aux avions au départ de Tripoli au lieu de donner à ceux-ci un niveau intermédiaire comme cela est prévu par les procédures. Les contrôleurs Maltais doivent donc surveiller le mode C (altitude) de ces avions sur leur écran. Ces exemples illustrent donc une situation difficile pour les contrôleurs Maltais, qui reviendront très souvent sur ce problème qu ils considèrent comme «le» problème sécurité de leur centre. Une réunion provoquée à haut niveau (à l initiative du régulateur et du directeur de l aviation civile Maltais) avec des homologues Libyens n a pas été très fructueuse. En revanche, les relations sont bonnes avec les autres pays. Elles sont particulièrement cordiales avec les siciliens, avec lesquels ils communiquent en Italien (langue couramment

144 144 P a g e parlée à Malte), et non en anglais, comme le voudrait la règle 244. La frontière avec la Sicile est très proche. Les contrôleurs siciliens envoient (c est-à -dire effectuent le transfert à la fréquence) leurs avions à Malte avant le point prévu par la lettre d accord car cela permet aux contrôleurs maltais de «manœuvrer» les avions si nécessaire. C est un arrangement officieux de contrôleurs à contrôleurs. Je demande «oui, mais en cas d airprox dans cette zone?», on me répond en riant : «ça, c est une bonne question!». Mais visiblement, la bonne entente avec ces contrôleurs Italiens incite à la confiance et permet de raisonner en termes opérationnels sans se préoccuper trop des conséquences épineuses éventuelles en cas d incident 245. UN SYSTEME RECENT : DES «GUINEA PIGS» Le système (les positions de travail des contrôleurs) est récent (2000). C est un produit de l industriel Alenia, qui a installé le système à Malte avant de l installer dans les centres italiens 246. Les contrôleurs Maltais considèrent qu ils ont un peu fait les frais de cette installation, avec un système comportant de nombreux bugs informatiques et nécessitant, au cours des premiers essais opérationnels, de très nombreuses modifications et mises au point. Ils commentent : «On a été les «guinea pigs» (les cobayes!) sans mettre d amertume, semble-t-il, dans cette réflexion, sans doute parce que le système est, au final, satisfaisant. Comme en Italie, l option choisie est de type «stripping électronique» : les informations «plan de vol» sont accessibles à la demande sur l écran du radariste et des «strips électroniques» à peu près similaires aux anciens strips papier sont affichés sur l écran du contrôleur planning. Quelques contrôleurs notent encore des informations sur un petit morceau de papier qu ils gardent sous leurs yeux, tandis que d autres utilisent uniquement les dialogues avec le «stripping électronique». Les contrôleurs disposent d un système d alerte «STCA» (Short Term Conflict Alert) dans la zone en route et d un MSAW 247 (Minimum Safe Altitude Warning). Les vols VFR sont toujours visualisés. L ORGANISATION DU TRAVAIL La conception des procédures est réalisée par les contrôleurs eux-mêmes, par l intermédiaire de leur organisation professionnelle (MATCA). C est une situation assez récente (différente de l époque où les contrôleurs étaient des militaires) qui semble être l objet d une grande satisfaction. Un superviseur insiste beaucoup sur l importance de cette conception par les opérationnels qui les utilisent quotidiennement : «On n a pas beaucoup d incidents ici, c est 244 La règle de l OACI définit en fait une phraséologie, basée sur l anglais, pour toutes les communications standard, et l anglais comme langue d échanges, lorsque la situation exige de sortir de la phraséologie standard. 245 En effet, les avions seraient en ce cas dans l espace Italien, mais sous contrôle Maltais. 246 Avec succès (voir la partie concernant le centre de Padoue). 247 Système d alerte anti collision avec le sol, utilisé en cas de relief à l abord des aéroports.

145 P a g e 145 parce que le trafic est relativement faible, parce que la formation est très bonne, je pense que la formation ici est excellente, parce que les procédures sont bien conçues, parce que la plupart des procédures viennent des contrôleurs eux-mêmes 248». Le travail est structuré en 5 équipes de 10 contrôleurs. Il s agit d un environnement masculin : 3 femmes seulement sur les 50 contrôleurs que comprend le centre. Une partie des contrôleurs possède les trois qualifications : en-route, approche et tour. Il s avère que cette triple qualification devient de plus en plus difficile à maintenir avec la complexification du trafic. La qualification multiple apporte une certaine flexibilité dans l organisation du travail ; elle permet aussi de mieux comprendre le travail de «l autre», mais selon certains c est au détriment de la «sharpness» (le fait d être affûté, pointu) sur la position. L ANALYSE DES INCIDENTS UNE SITUATION NOUVELLE Ce sont essentiellement les airprox qui sont analysés. L année passée, trois airprox ont été déposés, L enquête a été réalisée par le régulateur pour deux d entre eux, et par le bureau enquête accidents pour le troisième. En dehors de ces trois airprox, le safety manager considère qu il n y a pas beaucoup d incidents : leur principal problème concerne les relations avec la Lybie. La mise en place du «Safety Management System» exigée par l ESARR 3 et la notification des incidents (ESARR 2) sont récentes. Pour le safety manager interrogé, il s agit d une situation nouvelle, avec de nombreuses difficultés à résoudre. «C est une situation toute nouvelle, explique le safety manager, l an dernier, nous avons mis en place le système. Il y a deux mois, nous avons fait notre première enquête». Le centre de contrôle aérien doit fournir toutes les preuves (enregistrements, retranscriptions et le rapport fait par le contrôleur), mais il ne sera pas impliqué dans l enquête. Les rapports sont entrés dans la base de données «TOKAY» depuis l an Le safety manager est aussi le responsable opérationnel de l aérodrome, et ce par manque de ressources humaines suffisantes. Il explique : «Nous ne sommes pas une unité suffisante pour avoir un safety manager séparé. Une clause dans ESARR3 dit que pour les petites unités, le safety manager peut être un opérationnel, mais ils n expliquent pas ce qu est une «petite» unité. Lorsque j ai demandé, ils m ont dit : vous êtes réduits en nombre, mais vous fournissez différents types de service 249, alors vous ne pouvez pas être considérés comme une petite unité. 248 There are not many incidents here in Malta, it is because of the relatively low traffic, it is because of the very high training, I think training in Malta is excellent, I think because of procedures are well designed, because most of the procedures come from the controllers. 249 Parce que La Valette est à la fois un aéroport, une zone d approche et un centre de contrôle en-route.

146 146 P a g e C est pourquoi il est demandé que nous ayons un safety manager indépendant. Pour le moment on n a pas réussi avec notre assemblée de managers. C est aussi une dépense. Le régulateur n appuie pas notre requête. ( ) c est un conflit d intérêt, je dois m auditer moi-même, et je suis responsable de l écriture des procédures. ( ) Avec le ciel unique européen, personne ne sait ce qui va se passer, et ils ne veulent pas mettre plus de gens 250!». Sur le nombre d incidents (en dehors du faible nombre d airprox), les discours seront assez cohérents entre les «contrôleurs» et le «management». Certains contrôleurs insisteront d emblée sur le fait que tous les incidents ne sont pas connus, notifiés, parce que le système n y invite pas vraiment. Un superviseur particulièrement virulent déclare : «je dirais aussi (hésitation) que les chiffres pourraient être déguisés. Le nombre publié pourrait être inférieur au nombre interne, parce que certains d entre eux (les incidents) ne sont pas notifiés. Disons : nous avons 6 incidents par an, un tous les deux mois, OK, c est supportable, on peut vivre avec ça, mais peut être, en vérité, il y a 12 incidents par an. Donc tu dois prendre une décision entre le perçu et le réel 251». On ne retrouve pas, comme dans le cas Suédois, cette idée que l on est «éduqué» à notifier, que la formation du contrôleur lui permet d appréhender pleinement le rôle de l analyse d incident et du retour d expérience dans la gestion de la sécurité. Tous ces aspects sont embryonnaires et ils se heurtent, on le verra, à une certaine absence de moyens. Avec, on le verra, un certain ressentiment de la part des managers vis-à-vis d une organisation comme Eurocontrol qui impose des règlements difficiles à mettre en place pour une petite ANSP comme Malte. Cependant ils évoqueront aussi un nombre d incidents structurellement faible. Les raisons évoquées tiennent aux caractéristiques du trafic : ce n est pas une zone de haute densité, («il y a beaucoup de place pour manœuvrer les avions» expliquent les contrôleurs en montrant la zone qu ils contrôlent), et il s agit en outre essentiellement d un trafic de survol. D autres raisons sont plus proprement organisationnelles. Ainsi, les contrôleurs insisteront sur un point fort du centre de Malte : les procédures sont élaborées par les contrôleurs eux-mêmes, à travers leur organisation professionnelle. Elles sont donc parfaitement adaptées, et peu 250 A clause in ESARR 3 says that for small units the safety manage can be part of the ops, it is not explained what is a small unit. When I asked, they say the number you have makes you small but you provide different types of services, so you cannot be considered as a small unit. That is why it is requested that we have an independent Saf manager. At the moment we are not successful with our board of managers. It is an expense as well. The reg does not support our request. Is it difficult for you? Yes there is a conflict of interest; I am supposed to audit myself, as I am responsible for drafting procedures. The saf has to be independent from the line management. With the single European sky, nobody knows what will happen, so they do not want to put more people!! 251 «I would also say (hesitation) that numbers could be disguised. The published number of incidents could be less than the internal number, because some of them are not reported. Let s say : we have 6 incidents per year, one every two months, ok, that s bearable, we can live with that, but perhaps actually, in fact there are 12 incidents in one year. So you have to make a decision between the perceived and the actual».

147 P a g e 147 sujettes à ne pas être respectées 252. Ceci constitue sans nul doute un point essentiel. Deuxièmement la formation est qualifiée d «excellente» par les contrôleurs comme par les managers. Elle est basée très largement sur les méthodes de formation du NATS au Royaume - Uni, (Malte a été une colonie Anglaise, et a obtenu son indépendance en 1964) ; les contrôleurs seront assez unanimes à souligner l influence Britannique sur de nombreux points et leur bonne «culture de sécurité». LE DEROULEMENT DES ENQUETES Le centre de contrôle aérien peut faire sa propre enquête, mais l investigation officielle sera réalisée par le régulateur, ou, en cas d incident très sérieux, par le bureau enquête incidents, créé depuis deux ans. Ce bureau est indépendant du fournisseur de service bien sûr, mais également du régulateur, il est rattaché directement au ministère. La loi stipule que le bureau peut investiguer n importe quel incident. Les incidents moins graves sont en théorie investigués par le régulateur. En pratique m explique le safety manager : «ils n ont pas de spécialiste en ATM (contrôle aérien), des personnes du fournisseur de services sont nommées par le bureau pour réaliser le travail». L an passé, un airprox a été investigué par le bureau des accidents, les deux autres par le régulateur. Le premier incident était très sérieux. Le safety manager explique : «Le TCAS a déclenché. Le problème était que le transpondeur n a pas marché pour un avion. On ne l a jamais vu sur le radar. Il n y a pas eu de manœuvre (d évitement). Ils sont passés à 400 pieds l un de l autre. L avion VFR était en contact avec le contrôleur d approche. On a aussi changé les procédures radar. Cet avion était très lent, et à une certaine vitesse, le radar se dit : «ce n est pas un avion». Alors on a changé les paramètres (du radar 253 ).» Un autre airprox était très similaire. «On ne fait pas d analyse Facteur Humain parce qu on n est pas formés pour ça. On a envoyé des gens en formation à la formation à «HERA/JANUS». Ce sera un des AMC (Acceptable Means of Compliance = moyens de mise en conformité), on doit former quelqu un. Mais le problème, ce sont les ressources humaines. Enlever quelqu un de la salle de contrôle, c est un problème». Pour le régulateur, le «facteur humain» est analysé, mais dans une définition très restreinte. Il est en effet assimilé à une vision très individualisée, psychologique de l incident. Ecoutons un des représentants du régulateur : 252 Dans le domaine nucléaire, Bourrier souligne l impact positif de la conception des procédures par les opérateurs eux-mêmes, et récuse le fatalisme souvent observé quand à la «violation des procédures» décriée. Le nucléaire à l épreuve de l organisation. PUF The problem was that the transponder was not working on the AC, we never saw it on the radar. No maneuver involved. Only 400 feet between them. The VFR aircraft was in contact with the approach controller. We also change the radar procedures. It was very slow, and at a certain speed, the radar says it is not an aircraft, so we changed the parameters.

148 148 P a g e «Si un incident mérite une investigation formelle, nous faisons une investigation formelle. Je suis nommé, ainsi qu un autre personne de l ATC, du fournisseur, nous regardons le mécanisme de l incident, la vidéo du radar, on écoute les cassettes, on interviewe les pilotes si nécessaire, on regarde parfois les aspects humains, on regarde si c est un facteur humain, une personne qui a des problèmes, à la maison par exemple, dans certains cas on se réfère... on l envoie chez le psychologue. Parce qu on comprend que les gens aient des problèmes, c est une chose assez récente. Est ce bien accepté? C est neuf, ça a été fait par le passé, mais de façon moins formelle, il y a 4 ans on a envoyé quelqu un pour une assistance psychiatrique 254.» Cette vision d un incident qui surviendrait parce que le contrôleur serait à ce moment là «fragile» est bien sûr très discutable. La très grande majorité des incidents surviennent avec des contrôleurs qui ne connaissent pas de problèmes particuliers. La notion de Facteurs Humains est donc comprise ici dans une acception extrêmement réductrice, de type «problèmes psychologiques du contrôleur», loin, par exemple, du sens large qu elle prend dans le contexte Suédois, avec l intégration des Facteurs organisationnels. APPLIQUER ET INTERPRETER LA REGLE : UNE SOURCE DE DIFFICULTES Le safety manager se plaint que la définition de ESARR quant à ce qu est un incident sérieux ne soit pas suffisamment complète : Nous étions militaires jusqu en Les procédures étaient faites par le département de l aviation civile, à cette époque, les investigations étaient considérées comme des affaires internes. Puis un accord a été rédigé sur ce qui devait être investigué. On a eu un nouvel ensemble de procédures et plus d investigation interne. Quand le bureau des investigations d incidents a été mis en place, la nouvelle loi a été promulguée sur la mise en place du bureau et ensuite la façon d opérer. On s est rendu compte qu on n était pas en ligne avec les ESARRs. Le problème est que ESARR 2 et ESARR 4 n ont pas les mêmes définitions. Je préfère l ESARR 4, plus complète. Avec l ESARR 4, on a les définitions de ce qu est un incident sérieux. Ils donnent des exemples. ESARR2 dit «incidents ou accidents, ou 254 If one is worthy for a formal investigation, we do a formal investigation, normally I am appointed and one other gentleman from ATC, the ANSP, we look into the mecanism of it, the radar video playback, listen to the tapes, we interview pilots if necessary, we look at the human aspects also some time, we look if it is a human factor, a person having some problems at home for example, in some cases we refer, we send him to a psychologist. Because we understand that people have problems. It is only a recent thing. Q is it well accepted? R : it is new, it has been done in the past, but less formal. 4 years ago, we send a gentlemant for psychatrist assistance.

149 P a g e 149 évènements spécifiques ATM, c est à vous de décider 255». ESARR4 est beaucoup mieux défini et beaucoup plus facile pour nous 256». Du côté du régulateur, on se plaint également de la classification de sévérité proposée par ESARR2. A ma question : «Quelle classification de sévérité utilisez-vous? Celle de l ICAO ou celle de l ESARR2?», une des personnes de la «regulation authority» me répond «Théoriquement, on utilise la procédure ESARR». «Et en pratique? (rires), «En pratique, on utilise notre cerveau» 257. Il continue : «On doit utiliser les ESARR, c est une loi maintenant. Personnellement, je ne suis pas d accord avec tout ce qu il y a dans les ESARRs. La classification est trop elle essaie de mettre beaucoup d événements, mais elle n est pas assez exhaustive, et d un autre côté, elle ne classe pas les événements de la façon dont moi, je les classerais. Par exemple : les incursions de piste. Si j ai un chien sur le runway, c est un cas. Si j ai un homme, c est autre chose. Si j ai une voiture, c est encore une autre chose. Quand vous voulez classifier les choses, vous voulez regarder tout ce qui est possible, et c est très difficile. ESARR essaie de faire cela, mais malheureusement, il n y parvient pas. Par exemple, si je reviens à mes incursions de piste. Si c est un chien, ok, c est un chien. Un homme? Ah, mais pourquoi cet homme est-il ici? Qui lui a donné l autorisation? Comment est-il arrivé sur l aéroport? Les conséquences peuvent être plus importantes, et il faut enquêter pourquoi ils étaient là ; s il y a un sabotage. Et ce n est pas dans ESARR. Tactiquement, nous utilisons notre cerveau, et jusqu à maintenant, rien n a pu m empêcher d utiliser mon cerveau 258». La marge d interprétation inhérente à la règle est donc à la fois source de difficulté et élément indispensable pour «utiliser son cerveau» et ne 255 Le safety manager exagère ici un peu : ESARR 2 fait bien la différence entre accidents et incidents, puisqu il se réfère, pour l accident, à la définition de l OACI (voir annexe). Mais il est vrai, cependant, que la définition de l incident, malgré les exemples donnés, ne se veut pas totalement compréhensive et laisse une latitude significative aux ANSPs. 256 We were military until The proc were done by the civil aviation department, at this time the investigation were considered to be an internal matter. Then an agreement was drawn up on what to be investigated. We had a new set of procedures and no more internal investigaiton. When the bureau of inc inv was set up, a new law came into force on first to set up the bureau, and then on how to operate ; when we review it we found we were not in line with the ESARRs. With the definitions, ESARR 2. The problem is that ESARR 2 and ESARR 4 do not have the same definitions. I prefer ESARR 4, much more comprehensive. With ESARR 4 you have definitions on what is a serious incident. They give examples of incidents. ESARR 2 says : incidents or accidents, or ATM specific events, and it is up to you to decide. ESARR 4 is much more defined and it is much more easy for us. 257 Q : which kind of classif do you use, the ICAO one? or the ESARR? R : theoretically, we use the ESARR procedure. Q : and practically? (rires) R : and practically we use our head. 258 We are committed to use the ESARR, it is by law now. Personally I don t agree with everything that is in the ESARR. I think the ESARR classification is too, it tries to put in a lot of events but it is not exhaustive enough, and in the other hand, it does not classify events in the way I would classify them myself. For example, runway incursions. I can classify them differently : if I have a dog on the runway, it is something, if I have a man it is something else, if I have a car, it is is still another thing, when you are going to classify things, if you want to put a list and you want to do everything possible, and it is very difficult, ESARR tries to do that but unfortunately it does not do that. I come back to RI, if a have a dog on the runway, I say : ok it is a dog, but if it is a man on the runway, ah ah, why is this man there, how did he come to the airport? does he have a permit? who gives him the permit, same for the car : consequences could be larger, we have to investigate why they were there, if there is sabotage. This is not ESARR, that is why I say: tactically we use our head, and till today, nothing has stopped me to use my head. (une personne de l autorité de surveillance).

150 150 P a g e pas sacrifier la singularité de l évènement. Nous reviendrons sur ce dernier point dans le chapitre suivant, consacré aux discussions entre les safety managers européens. Mais la principale plainte du régulateur concerne le manque de ressources humaines. «Je pense que ce n est pas très correct de la part d Eurocontrol de venir vers les Etats et de dire : vous devez appliquer les ESARRs. Si je veux que quelqu un vienne dans ma section ça me prendra un an de trouver quelqu un. Parce qu on est des employés du gouvernement et que notre salaire n est pas très bon 259». La séparation entre le prestataire fournisseur de service désormais privatisé et la «regulation» étatique a entrainé de nouvelles possibilités pour le prestataire privatisé, source de difficultés pour le «régulateur» étatique. DU COTE DES CONTROLEURS : LE «TROU NOIR» DE L ENQUETE Lors des entretiens, les contrôleurs sont assez unanimes pour reconnaître que la notification volontaire d incidents est rare, si ce n est inexistante. Le sentiment le plus prégnant n est pas tant le sentiment d injustice, comme dans le cas italien avec le caractère arbitraire de la suspension de la licence, que le sentiment de dépossession lors d un incident. Ils regrettent notamment ne pas pouvoir réécouter les bandes enregistrant les dialogues qu ils ont eu avec les pilotes et ne pas revoir l image radar. Ils n ont pas le sentiment d être correctement informés ni des contacts pris, le cas échéant, avec la ou les compagnies aériennes impliquées, ni, dans la plupart des cas, du résultat de l enquête. «Mais quand il y a enquête, c est vraiment le trou noir. Et les gens feront tout pour éviter l investigation. Donc en tant que contrôleur, si je suis conscient d un incident, si c est possible pour moi de ne pas notifier un incident, si je pense que personne ne remarquera, je ne notifierai pas cet incident 260». «Et si vous êtes deux?» «Si mon collègue est digne de confiance, si j ai confiance, je lui dirais que je ne vais pas notifier l incident. Et il se pourrait qu il dise d accord 261.». Le témoignage du contrôleur impliqué dans l incident est sollicité, mais celui-ci reste souvent préoccupé de l usage qui pourra être fait de son témoignage. Là encore, une certaine défiance est de mise : «Ensuite ils vont demander, par exemple, d écrire quelque chose, on a ce formulaire, quand vous mettez par écrit ces choses ou quand vous les dites à cette machine (il 259 So I think it was not very correct from Eurocontrol to come to the states, and to say «you must apply ESARRs», if I want a person to get to my section, it will take me one year to get someone. Because we are government employees, and the pay is not very good. 260 But when there is a investigation, it is very much a black hole, and people will go to great length to avoid an investigation. So as a controller, if I am aware of an incident, if it is possible for me not to report an incident if I think nobody will notice, I will not report the incident. 261 But when there is a investigation, it is very much a black hole, and people will go to great length to avoid an investigation. So as a controller, if I am aware of an incident, if it is possible for me not to report an incident if I think nobody will notice, I will not report the incident. Q but you are two? If my colleague is trustworthy, if I am confident I will say I am not going to report. And it could be that he will say ok.

151 P a g e 151 désigne le magnétophone), les mots ne sont plus des mots, les mots sont des preuves 262». Un autre contrôleur utilise une formule assez frappante : «si je notifie un incident, il est très probable que je serai investigué 263». C est le contrôleur qui semble être l objet de l enquête, plutôt que l incident. Le même contrôleur dénonce une partialité dans le traitement des incidents : lorsque l erreur ou la faute a été faite par le pilote, on ne mène pas d investigation, alors que s il s avère que le contrôleur est responsable, une enquête sera réalisée. Il donne un exemple : «L année dernière, j ai notifié un incident fait par un pilote. J avais deux avions sur une piste de décollage, un très petit et un gros. Du à un problème, cet avion était là, sur un taxiway, et j ai dit à l autre de ne pas aller sur la piste de décollage, c est interdit à Malte d avoir deux avions sur la piste en même temps. Cet avion, je lui ai dit vous restez ici avant de vous aligner. Et je l ai vu s aligner et j ai dit c est potentiellement dangereux. Alors, je me suis dit OK, vous vous êtes alignés sans autorisation, alors arrêtez-vous ici. Cet avion a commencé à bouger (sans clairance) et honnêtement j étais avec un stagiaire qui a dit : aaah il bouge!. Et j ai dit que je lui avais dit trois fois de ne pas bouger, et j ai dit «abandonnez le décollage» et il s est arrêté. Et je lui ai dit : ce que vous avez fait est très très dangereux. Il m a répondu : on est trois dans le cockpit, et vous nous avez donné une clairance de décollage. Je lui ai dit que je n avais jamais dit de s aligner. Donc je tremblais. Je suis venu ici. Et le manager a dit : ok, tu fais un rapport. Et je sais qu ils ont pris les cassettes, qu ils les ont écoutées, et les cassettes montrent probablement j en suis sûr, que je n avais jamais donné de clairance de décollage, et aucune investigation n a jamais été faite 264». 262 And then they ask you for example, and the moment people ask you to something written, we have this formular, when you put things down on writing or say things to this machine (he shows the tape recorder), words are not words anymore, words are evidence. 263 If I report an incident, most probably I will be investigated 264 Last year, I reported an incident from a pilot. I had 2 aircraft on a runway, a very small and a big. Due to a mix up.. this AC was here, on a taxiway, and I said to this one (il fait signes) do not go on the runway, it is forbidden in malta to have two AC on a runway. This AC I told him you stay there before to line up. And I saw him lining up and I said «this is potentially dangerous». So I said: ok you have lined up without authorisation so «strop there», this aircraft started moving (without clearance) and honestly.. I was with a trainee who said «aaargh, he is moving,» and I said I told him 3 times not to move, and I said «abandon take off» and he stopped. And I said: what you did was very very dangerous. And he answered: there are 3 of us in the cockpit, and you gave us a take off clearance., I told him I even never told you to line up. So I was shaking, I came here, (com : bureau de «god») and I said look I have to report, because what he did was very unprofessionnal and even more so he said I had authorised the take off. And the manager said: ok you make a report. And I know they took the tapes, I know they listen to the tapes, and the tapes most probably show, I am sure of it, that I had never give a take off claearance, and no investigation was never made

152 152 P a g e Sur les raisons de cette réticence à enquêter sur des incidents impliquant des pilotes, le contrôleur donne deux raisons : «J en ai une : le département qui mène les enquêtes a très peu de ressources humaines, c est mon opinion, la seconde raison est que Je pense qu ils sont réticents à appeler eh bien, par exemple, à appeler Lufthansa. Lufthansa arrive avec son département juridique, ses chefs pilotes, et ici dans notre tout petit Malte ils ont à faire avec le grand Lufthansa. ( ) C est plus acceptable pour eux d enquêter auprès des contrôleurs 265». Interrogé à propos de ce qui pourrait permettre un changement dans ce domaine, un contrôleur répond «Rien n est davantage gage de succès (successful) que l histoire». Il poursuit : «S il y a une histoire d investigations à succès alors les gens répondront à cela. Mais jusqu à présent, l histoire nous dit, qu il n y a pas eu une seule histoire à succès sur l investigation d incident. Et c est une erreur, les gens ne sont pas invités à être appréciatifs ou à avoir confiance 266». Un superviseur, qui a fait partie du management, du côté administratif, puis est revenu dans le domaine opérationnel en devenant superviseur, insiste sur le sentiment d être «scruté» : «Il y a le management dans les mains de Dieu, et les contrôleurs, les communs des mortels. Quand j étais dans le management, j étais du côté des Dieux, les communs des mortels tout ce qu ils font est sujet à observation. Ils sont au bout du microscope 267». Il relate un incident qu il a vécu voici quelques années lorsque le contrôle aérien était encore militaire, et pour lequel il avait été condamné à la suspension de sa licence. Il a fait appel à un «ombudsman 268» et il a pu obtenir gain de cause. Mais il a été particulièrement affecté par le fait de ne pouvoir avoir accès à l enquête elle-même. C est pourquoi il considère qu ESARR 2 contient une avancée importante à cet égard puisqu elle stipule clairement que les «parties intéressées» doivent avoir accès au résultat de l enquête. Du côté du management, le discours est totalement inversé. Un des responsables regrette pour sa part que les contrôleurs ne reconnaissent pas leurs erreurs, ne souhaitent pas changer : «Le contrôleur devrait dire OK, j ai fait une faute, je dois changer mes habitudes, il doit être volontaire pour changer ses mauvaises habitudes, il doit être volontaire pour mettre 265 «I have one: the dept which made the investigation is very short staffed. It is my opinion; the second reason is I think there are reluctant to call well for example, to call Lufthansa. Lufthansa comes with his legal departement, chief pilots... and in tiny Malta, they have to take on with High luftansa ( ) and it is more acceptable to investigate controllers, than». 266 If there is a history of successful investigations, then people will respond to it. But till now, the history tells us that there is not one successful story on incident investigation. And that is failure, so people are not invited to be appreciative or to have confidence». 267 There is management in the hands of god, and controlers, common mortals. When I was management I was on the side of gods, common mortals anything they do is subject of scrutiny. They are at the end of the microscope. 268 «Un ombudsman est une personne indépendante et objective qui enquête sur les plaintes des gens contre les organismes gouvernementaux et autres organisations, tant du secteur public que privé. Après un examen approfondi et impartial, il détermine si la plainte est fondée et formule des recommandations à l'intention de l'organisation afin de régler le problème».forum canadien des ombudsman. Source : Wikipédia.

153 P a g e 153 de côté sa fierté, c est mon intention, ils doivent être volontaires pour admettre que la notification est pour leur intérêt 269». Du côté du régulateur, celui-ci rappelle que la loi lui permet de «punir les gens», en cas de négligence : «Je pourrais punir les gens, je pourrais les amener au tribunal, c est très facile, la loi le rend possible, si nous sentons que c est un cas de négligence criminelle 270». Il précise cependant que les incidents sont tous liés à des erreurs, ou à des éléments non liés au contrôleur (par exemple, à des erreurs du pilote), et qu il n a jamais eu à enquêter sur un cas de «négligence intentionnelle». Dans ce cas, il pense que les contrôleurs ne défendraient pas nécessairement un collègue qui aurait commis une grave négligence. «Je pense qu ils ont la tête sur les épaules, et si je me mets à leur place, si j ai un contrôleur dans mon équipe qui fait le malin, je ne suis pas sûr qu ils essaieraient nécessairement de le défendre 271». LA SURVEILLANCE AUTOMATIQUE DES INCIDENTS C est un sujet qui est appréhendé comme un élément supplémentaire s inscrivant dans les changements qui s annoncent. Le safety manager s inquiétera des procédures associées à l outil et de son caractère réglementaire ou non. L ASMT suscite là avant tout des questions (qui restent largement ouvertes au moment de cette enquête) : type de mesures effectuées, visibilité, etc. Les contrôleurs posent surtout la question de la part prise par Eurocontrol dans la définition de l utilisation de ce système, et notamment de son articulation avec la «non punitive culture» qui commence à être diffusée. La crainte principale concernerait surtout la mise en place d un système sans que soient clairement précisés le «mode d emploi» et les objectifs en termes de safety management. SYNTHESE UNE PERIODE DE TRANSITION Toute situation décrite par une enquête sociologique est artificiellement figée par son regard dans une sorte de «présent éternel» qui est à la fois juste et faux. Juste, au moins dans la mesure où il s agit bien d un instantané qui tente de recréer l ensemble des données et des impressions d une visite, faux puisque toute situation est par nature éphémère, mouvante et la description déjà obsolète lorsque l on quitte le lieu de nos pérégrinations. Mais ce dernier écueil est encore plus troublant lorsque l on a conscience d être dans une période de 269 The controller should say : OK, I made a mistake, I have to change my habits, he must be willing to change bad habits, to change bad habits, he must be willing to put aside his proudness, this is my intention. They must be willing to admit that report is for their interest. 270 «I could punish people, I could lead them to court, it is very easy, the law makes it possible, if we fell there was criminal negligence». 271 I think they have a good head on their shoulders themselves, if I put myself in their shoes and and I know if I have a controller in my staff that try to be funny, I would not presume they would try to defend him necessarily

154 154 P a g e transition comme c était le cas pour Malte. Les contrôleurs ne sont plus militaires depuis seulement depuis quelques années. Arrivent les ESARRs vécues comme un ensemble de contraintes, lourdes à assumer pour un petit centre, me répète-t-on maintes fois. Tout cela fait beaucoup de changements en peu de temps. La transparence prônée vient après des années durant lesquelles les incidents n étaient pas bienvenus. Le safety manager me prévient d entrée : le SMS a été mis en place l an dernier, ils viennent de réaliser leur première enquête Ils seront «bientôt formés» aux Facteurs Humains, mais pas encore. En attendant, les contrôleurs restent méfiants : ils attendent de voir. Les prémisses du changement sont là, la période semble avant tout celle d un certain flottement. Il ne semble pas y avoir de problème structurel qui empêche que les contrôleurs ne se décident à notifier volontairement leurs incidents : le contrôleur le plus virulent à cet égard ne demande rien de plus que quelques cas d investigations «successful», qui montreraient aux contrôleurs que l analyse permet un Retour d expérience très utile pour tous. On peut imaginer que les managers de Malte aient été dans cette période un peu tiraillés entre la volonté d obtenir plus de visibilité sur les incidents grâce à la notification volontaire, et la peur d obtenir «trop» d incidents sur lesquels il soit nécessaire d enquêter, comme le stipule la réglementation ESARR2. «TINY MALTA» On me le répètera à plusieurs reprises, en identifiant d ailleurs le centre de contrôle à l île : ici, à Malte, on est «tiny» : petit, étroit. Les règlements d Eurocontrol, se plaint-on, sont plutôt faits pour de grandes organisations. D ailleurs, avant ma visite, aucun représentant maltais n avait jamais été envoyé dans les réunions comme le SISG où s élaborent ces règlements 272, ce qui exacerbe encore le sentiment d avoir à appliquer des règlements pour lesquels ils n ont pas été consultés. Les «grandes» ANSPs, elles, sont toutes représentées, et les débats opposent souvent les deux plus importantes, le Royaume-Uni et la France, comme on le verra dans le chapitre suivant, consacré à une enquête sur un groupe de travail présidé par Eurocontrol, le SISG. Malte est aussi «tiny» face aux grandes compagnies aériennes : en cas d incident, m affirme un superviseur, l enquête ne cherchera pas à identifier les erreurs éventuellement commises par les pilotes. «Tiny» Malte ne se sent pas de taille à demander des comptes à une grande et prestigieuse compagnie aérienne. Cette caractéristique semble si centrale, que l exemple de Malte complexifie encore la question de la culture. Malte se situe indéniablement en Europe du Sud, c est cependant un pays qui a longtemps été sous domination britannique. Cet héritage sera souvent évoqué par les personnes. La 272 Le chapitre suivant décrit une partie des travaux du SISG (Safety Improvement Sub Group).

155 P a g e 155 formation des contrôleurs, par exemple, est très influencée par les pratiques du fournisseur de service lui-même britannique. Ce lien avec les pratiques du fournisseur me sera souvent présenté comme un point positif : le NATS britannique a la réputation d avoir un système de gestion de la sécurité bien développé et outillé. Cependant, un des éléments les plus structurants est indubitablement le fait d être un «petit» centre de contrôle, un petit fournisseur de service. D abord, il est difficile en-dessous d une certaine taille de parler de confidentialité des incidents par exemple. Difficile de faire le poids face à une grosse compagnie aérienne, selon le superviseur interrogé ci-dessus. Et enfin et surtout, difficile de se conformer à certaines exigences réglementaires qui demandent des ressources humaines. C est pourquoi la perception d Eurocontrol par les managers est assez ambivalente. La légitimité d Eurocontrol n est pas questionnée : face à une institution européenne, les Maltais sont peu enclins à ne pas se soumettre, du mieux possible. Cependant, ils n hésiteront pas à critiquer l absence de prise en compte de la taille des ANSPs (fournisseurs de services) dans l application des règlements, les mêmes pour tous ou presque que l on soit une grande ou une petite organisation. Cette réserve effectuée, ils semblent mettre une bonne volonté certaine à se plier aux nouvelles exigences. EUROCONTROL : AU SECOURS DES CONTROLEURS Les contrôleurs, quant à eux, attendent beaucoup d Eurocontrol en termes de «non punitive culture». Certes, en rendant obligatoire la notification des incidents, les enquêtes, la communication de chiffres, le règlement ESARR2 réclame une «transparence» qui est peu compatible avec le manque de «culture de notification des incidents» par les contrôleurs pour reprendre l expression suédoise. En effet, si l atmosphère à Malte ne peut pas être qualifiée de clairement «punitive», elle ne permet pas non plus que les contrôleurs s inscrivent dans une démarche volontariste de notification des incidents. Demandeuse d une «transparence» qui peut être vécue comme une contrainte, Eurocontrol est aussi l institution qui promeut la fameuse «non punitive culture». Cette notion est parfois appréhendée de façon un peu floue par les contrôleurs, mais l idée générale selon laquelle les contrôleurs ne doivent pas être punis pour des erreurs non intentionnelles est bien comprise par la majorité d entre eux. Eurocontrol est donc perçue aussi comme l institution qui protège le contrôleur lorsque la situation nationale n est pas très confortable pour celui-ci, et les attentes sur ce sujet quant à la réglementation sont très fortes. LE STATUT DE L INCIDENT : UN «PROBLEME» DANS LE CONTEXTE ACTUEL Les Maltais souligneront à plusieurs reprises leurs compétences limitées en «safety management». Loin d être, comme en Suède par exemple, un événement qui s insère dans un ensemble structuré de modèles et de pratiques autour du REX, nourri de compétences en

156 156 P a g e «Facteurs Humains» notamment, l incident fait irruption ici comme «problème à traiter». Cette contrainte se heurte, on l a vu, aux ressources humaines nécessaires, trop rares dans ce «petit centre». En termes de compétences, les avis sont mitigés. Le safety manager du centre préfère ESARR 4 à ESARR 2 : ESARR 4 est plus précis, plus directif dans la définition de ce qu il faut faire. ESARR 2 laisse une certaine latitude, jugée plutôt encombrante. Des indications plus détaillées seraient sans doute vécues comme une aide plus que comme une contrainte. Du côté du régulateur, on exprime un avis plus critique et on se sent plus à même de ne pas être d accord, dans certains cas, avec ce qui est proposé dans le règlement. Pas question «de ne plus utiliser son cerveau». L appréhension du risque est affaire de jugement sur des éléments précis du contexte, dans l exemple donné par la personne interviewée quant aux incursions de piste, et l expertise consiste justement à partir de ces éléments pour affecter l incident à la «bonne» catégorie. Les visions sont donc loin d être unifiées entre fournisseur et régulateur. Ceci est sans doute lié à la période de transition que vit le centre à ce moment-là, une transition où les choses ne sont pas établies, où chacun cherche un peu ses marques, se construit une compétence, affine son expertise, mais sans qu un cadre global soit porté par l organisation. Mais on retrouve une parenté avec le cas italien : ici aussi, l incident a un statut de «problème» car il génère du travail, et ce dans un contexte où les personnes disponibles pour mener les enquêtes sont en nombre insuffisant. On peut aisément imaginer, dans ce contexte, le paradoxe dans lequel se trouvent ces organisations, sommées de se montrer plus transparentes, alors même que cette transparence a un coût réel en termes de charge de travail, et que les moyens humains manquent à l appel. 6. LA FRANCE L ORGANISATION ET LE CONTEXTE La séparation fonctionnelle entre le régulateur et le fournisseur de service a été effective en Le fournisseur de service reste en France dans la fonction publique, et dépendait au moment de l enquête du ministère des transports 273. La DSNA (Direction des Services de la Navigation Aérienne) est séparée de l autorité de surveillance (DSAC ou Direction de la Sécurité de l Aviation Civile). La mise en place d une politique de gestion de la sécurité intégrant l analyse des incidents et le Retour d Expérience est donc assez récente (1999). Elle transpose en droit français une 273 Aujourd hui il dépend du MEEDAT (Ministère de l Ecologie, Energie, Developpement Durable et Aménagement du Territoire)

157 P a g e 157 directive européenne 274, mais elle anticipe aussi les dispositions prévues dans l ESSAR 2 concernant la notification et l analyse de tels évènements. Les incidents analysés comprennent bien sûr les airprox, mais aussi les incidents notifiés à l aide des FNE (Fiche de Notification d Evènements) par les contrôleurs, de façon volontaire. Il existe en outre un système, ORPHEO, qui permet l enregistrement automatique des pertes de séparation. Ses fonctionnalités sont similaires à l ASMT européen que nous étudions par ailleurs. Une base de données, le système INCA, permet de saisir tous les évènements au niveau local et permet leur visibilité au niveau national. Une pré-analyse sélectionne les évènements jugés significatifs qui feront l objet d une analyse : parmi ceux-ci, les airprox sont automatiquement analysés. D autres événements feront l objet d un traitement purement statistique. Au niveau de chaque centre, la Commission Locale de Sécurité (CLS) examine les dossiers présentés par la cellule Qualité de Service (QS), en charge de la sécurité. Le dossier d analyse est présenté au SCTA (Service de Contrôle de Traffic Aérien, sorte de service central coordonnant les actions des centres opérationnels 275 ). Au sein de ce dernier, un bureau (le BNA, Bureau National airprox) prépare les dossiers destinés à être présentés à la Commission nationale (CNSCA). Ces dossiers concernent l ensemble des airprox auxquels viennent s ajouter d autres types d incidents jugés intéressants soit par l organisme local, soit par le BNA. Les carnets du centre de Brest PREMIERS CONTACTS C est le chef du bureau airprox, représentant au SISG qui se charge de trouver un terrain pour m accueillir. Il me propose le CRNA/O (Centre de Contrôle en-route de l Ouest) situé près de Brest, et l affaire est rapidement réglée : le chef de centre me donne son accord. Mon interlocuteur sur place sera le chef de la QS (Entité chargée de la Qualité de Service et de la Sécurité). Une sorte de «safety manager» local, si on tente un lien avec les autres organisations visitées. Il m a organisé plusieurs entretiens (chefs de «sub», chef de centre luimême) ainsi qu une immersion en équipe. Je commence la journée par le briefing d équipe, ce qui permet à JY, le chef du sub-contrôle, de me présenter et de commenter ma visite avec humour : n est-il pas flatteur que des gens de la Sorbonne se déplacent jusqu à Brest pour venir s entretenir avec des contrôleurs? 274 Directive européenne 94/56 relative aux enquêtes techniques sur les accidents et incidents d'aviation (loi du 29 mars 1999) 275 Nous décrivons bien sûr l organigramme tel qu il était en place au moment de cette étude. La séparation effective du fournisseur de service et de l autorité de surveillance a modifié certains aspects de l organisation.

158 158 P a g e Les entretiens auront lieu de façon très informelle, dans la salle opérationnelle, à côté des positions de contrôle, à l occasion des pauses des contrôleurs, ou bien dans la salle de repos. LE CENTRE DE BREST Il comprend 180 contrôleurs, répartis en 12 équipes. Les grands écrans couleurs ont remplacé les «visus à balayage cavalier», mais les contrôleurs utilisent les strips papier. Les contrôleurs disposent d un filet de sauvegarde, équivalent au STCA (Short Term Conflict Alert), c est-à-dire d un outil d alerte en cas de rapprochement des avions. UNE TRANSPARENCE «EN PROGRES» Les discours autour du REX et de la coopération des contrôleurs sont globalement positifs, et font surtout état d une dynamique de «progrès». Les contrôleurs sont presque tous unanimes pour souligner le développement de la notification spontanée. «Les FNE (Fiche de Notification d Incidents) sont plus systématiques depuis quelques années, on note un changement» résume mon interlocuteur. Mon questionnement sur la transparence spontanée inhérente aux notifications d incidents reçoit des réponses globalement homogènes chez les différents contrôleurs : «oui, on fait les FNE, ça permet d améliorer le système». «Maintenant, on fait des FNE», «en général, on rapporte nos incidents». Cette transparence est toujours replacée dans son contexte historique : avant, on ne notifiait pas si facilement ses incidents. La volonté de coopérer en notifiant les incidents, souvent une perte de séparation entre avions puisque nous sommes dans un centre de contrôle en-route, varie selon les centres. Elle est, d après le responsable sécurité de Brest, dans une phase croissante. Les formations (telles que la sensibilisation à la sécurité, dite TRM), les présentations sur l utilité du REX, ont permis, selon cette personne d atteindre un taux de «coopération» correct. Elément très important, parmi les centres de contrôle étudiés ici, le centre de Brest (comme tous les centres en France) est le seul de notre comparaison à disposer d un outil de détection automatique des pertes de séparation entre avions (de type ASMT). Les contrôleurs ne peuvent donc pas «cacher» complètement les incidents de ce type. Selon le responsable QS rencontré, environ huit personnes sur dix notifieront un incident détecté par ORPHEO, ce qui constitue un progrès notable par rapport à un passé encore proche, où les contrôleurs étaient peu enthousiastes à l idée de s expliquer sur leurs incidents. Il existe une forme d homogénéisation des pratiques : «tout le monde va dans le même sens». A l exception de l équipe «une», que l on me décrit comme une équipe de «vieux contrôleurs», rétifs aux changements en général et qui ne s intéressent pas beaucoup aux nouveautés réglementaires et aux nouvelles formations proposées qui accompagnent la mise en place d une vision plus formalisée et explicite de la sécurité. Les pratiques, m explique un

159 P a g e 159 jeune contrôleur, sont finalement assez homogènes entre les équipes. Par exemple, en ce qui concerne le «dégroupement 276» les équipes sont désormais d accord pour dégrouper lorsque le trafic augmente, à l exception, justement de cette «une», rétive aux arguments avancés, et qui continue vaille que vaille à contrôler «comme avant». Cette équipe semble d ailleurs jouer un rôle de «repoussoir» vis-à-vis des autres équipes. Elle ne fait pas non plus l objet d une acrimonie particulière, mais plutôt de moqueries sans grande méchanceté et de l indulgence que l on témoigne envers ce qui de toute façon est voué à disparaître. Car le développement du retour d Expérience, du TRM (Team Ressource Management) est avant tout vécu comme une évolution normale du système et certains changements de comportement comme souhaitables. Le déploiement réglementaire semble en effet reposer sur une forme de désirabilité de la règle 277, pour reprendre l analyse de Sophie Poirot Delpech dans un domaine connexe. Certes, une certaine méfiance s exprime sans détour envers ce qui pourrait résulter d une trop grande main mise d Eurocontrol sur l aviation civile Française. Le «single Sky» (ciel unique Européen), la libéralisation du transport aérien, la privatisation possible des fournisseurs de service de contrôle, sont autant d éléments de contexte regardés à cette époque avec la plus grande suspicion par la majorité des contrôleurs Français. C est pourquoi une réglementation comme l ESARR2 est d abord regardée comme un des nombreux signes annonciateurs d une progressive «mise au pas» de l aviation civile Française devant rentrer à terme dans ce monde de libéralisation tant honni. On s inquiète aussi d une bureaucratisation excessive, image presque toujours attachée à l évocation d Eurocontrol. Mais, dans le même temps cette réglementation s inscrit dans le contexte «intellectuel» du développement de réflexions sur la sécurité qui trouvent chez les contrôleurs un écho favorable parce que très concrètement ancré dans leurs préoccupations quotidiennes. Les formations aux «facteurs humains», celle au TRM par exemple, ont balisé la voie vers une approche plus explicite de la sécurité, et fait naître l envie de faire aussi du risque un sujet de réflexion et de partage. Ces réflexions trouvent un écho car elles répondent à des questions que se posent les contrôleurs dans leur grande majorité quant à la façon dont ils construisent la sécurité ou mettent parfois, celle-ci en péril. Le réglementaire est aussi commenté en fonction d apports précis. Par exemple : «il y a des trucs bien, par exemple, ESARR 3 donne l obligation de faire des simulations pour les situations inhabituelles, dites aussi situations dégradées (l avion qui appelle avec une dépressurisation, un aéroport qui ferme etc.) et ça on ne le faisait pas avant». La CLS (Commission Locale de Sécurité) est en général bien perçue. Là aussi, l aspect intellectuel est mis en avant : on y apprend des choses. Un contrôleur m explique que la CLS est «presque obligatoire» pour les élèves qui sont en instruction dans son équipe. Il existe 276 C est-à-dire le fait de séparer une portion d espace contrôlé en deux portions, d ouvrir une position afin de diviser par deux le nombre d avions contrôlé par chacune des positions, pratique encouragée pour des raisons de sécurité : la charge de travail par contrôleur est alors moindre. 277 Sophie Poirot-Delpech et Mathilde Decousu. L ULM comme mouvement. Rapport final pour la DCS

160 160 P a g e quelques critiques («les gens des bureaux ne comprennent pas notre travail») mais elles sont très minoritaires. Les avis vont plutôt souligner que «c est mieux qu avant». La personnalité du chef de la QS semble à cet égard déterminante. «Avant la QS était très mal perçue car le chef était un PC pas qualifié à Brest 278. Le dialogue ne passait pas. Il interprétait et donnait des jugements sur notre travail. Avec Lulu, ça se passe bien. C était un bon contrôleur, il est plus reconnu de la salle». Le développement du réglementaire est donc diversement commenté, mais sans animosité particulière. On se plaint avant tout du manque d informations quant aux nouvelles réglementations à venir, leur origine, leur objectif, les modalités d application. La responsable SMQS du centre se montre confiante sur les processus de gestion de la sécurité qui ont été mis en place. Elle m explique : «Nous ne considérons pas que le nombre d incidents soit un indicateur très intéressant. On préfère mesurer le nombre de rapports d incidents traités après trois mois. Ce qui nous donne une idée de la dynamique de notre safety management». La question la plus importante lui paraît être, non pas la collecte des incidents, mais les mesures (les «remedial actions» à prendre à la suite de l analyse) qui n ont pas de caractère d évidence. Nous en verrons un exemple plus loin, avec un incident étudié en CLS. L ANALYSE DES INCIDENTS LA COMMISSION LOCALE DE SECURITE : UNE ANALYSE COLLEGIALE L originalité de l analyse des incidents à Brest repose sur ce moment collectif d examen des incidents permis par la Commission Locale de Sécurité, la «CLS». Celle-ci, nous l avons vu, examine les dossiers présentés par la cellule «QS», dossiers qui concernent majoritairement des airprox, mais aussi des incidents jugés graves. La Commission Locale de Sécurité se réunit tous les deux mois et j ai la chance de pouvoir y assister ce matin 279. Elle va se dérouler dans l amphithéâtre principal du centre, un lieu vaste et plutôt formel. Sur l estrade, seuls deux responsables font face au public : le chef du service exploitation et le responsable QS. Dans la salle un des analystes d incidents (un PC détaché), la responsable SMQS, des responsables opérationnels (le chef de la sub-instruction, de la subcontrôle, sub-technique, des contrôleurs aussi, dont le responsable QS regrette le petit nombre aujourd hui. Ce sont des contrôleurs qui ont été impliqués dans les incidents qui vont être présentés aujourd hui, ou bien dont l équipe a été impliquée, et qui représentent leurs 278 La qualification d un contrôleur est en effet liée à un domaine géographique précis, celui de leur centre en général. A Brest, les contrôleurs sont qualifiés pour tous les secteurs de contrôle ; dans des centres plus grands, pour une partie seulement de celui-ci. 279 Il ne me sera en revanche pas possible d assister à une «CNSCA» (commission nationale) en dépit des interventions répétées en faveur de cette demande de la part de mon contact français.

161 P a g e 161 collègues, et enfin des contrôleurs qui viennent simplement car ils sont intéressés par les analyses d incidents présentées. Le chef de service me présente à l auditoire, en précisant que je mène une recherche sur la notion de transparence. Pour chaque CLS, un dossier complet de tous les incidents analysés est préparé. L incident est classé «HN», c est-à-dire «Hors Normes» ou «HNRN», c est-à-dire «Hors Normes Réduites Nationales». On indique, le jour, l heure de l incident, le secteur, la charge horaire, les zones militaires activées, et deux rubriques «armement» et «situation d instruction». Ces deux dernières ne peuvent être renseignées que si les contrôleurs impliqués dans l incident ont accepté de faire un rapport (une fiche dite FNE, fiche de notification d événement). Sinon, il est mentionné «pas de retour équipe» : formule qui révèle la réticence à assigner l incident à des personnes. On indique également les vols en conflit, et la séparation minimale entre les deux aéronefs. Enfin, une retranscription de la fréquence est effectuée, avec le cas échéant, une indication sur le déclenchement du filet de sauvegarde. Des données concernant la configuration de conflit sont également fournies (tableaux, graphes). Le Chef du service exploitation précise en introduction «j ai demandé à la QS d éliminer les noms des contrôleurs impliqués dans les incidents». Un contrôleur derrière moi réagit aussitôt : «Pourquoi? C est un manque de transparence justement». Il se tourne vers moi, cherchant sans doute un soutien. Heureusement, un autre renchérit aussitôt : «Je ne peux plus savoir si mon équipe est concernée». Un des responsables lui répond : «Si, l équipe concernée est toujours informée de l occurrence d un incident et de son passage en CLS». La discussion se poursuit : pour ou contre la garantie de confidentialité. Le responsable rappelle qu il est demandé, réglementairement (par l ESARR2), de garantir la confidentialité des personnes impliquées, ce qui n était pas le cas jusqu à présent. «Mais on a toujours fait comme ça» se plaint un le même contrôleur. Ma voisine (la chef SMQS) me glisse : «ah ça, c est l argument qui tue!». La discussion s apaise cependant rapidement, car les partisans de la «transparence» sont tout de même minoritaires dans la salle. Et, surtout, la question de la confidentialité ne semble pas passionner les participants. Le même responsable rappelle que désormais le logiciel qui permet de revisualiser les incidents (image radar et fréquence) transforme également les voix afin d empêcher que les contrôleurs ne soient identifiés lors de la revisualisation d un incident en CLS. «On ne changera que les voix des contrôleurs qui ont accepté de répondre 280» conclue en riant le responsable QS. La séance commence : il est prévu de présenter une dizaine d incidents survenus dans les deux derniers mois. L ANALYSE EN COMMISSION LOCALE DE SECURITE Les présentations des incidents vont toutes se dérouler selon le même rituel : revisualisation de l incident, explications par le responsable de la cellule Qualité Sécurité, demandes 280 A la demande de remplir une fiche pour donner leur version des faits.

162 162 P a g e d explications par les contrôleurs impliqués s ils sont présents, et enfin, recherche d un accord pour trouver une «cause» de l incident à consigner dans le rapport final qui sera ensuite transmis au service central de l aviation civile en charge de produire le rapport annuel national. Le logiciel utilisé permet de visualiser une séquence de plusieurs minutes avant et un peu après l incident. Il s agira essentiellement, dans un centre en route, de pertes de séparation entre deux avions. L image radar est projetée sur le grand écran, et on entend la «fréquence», c est-à-dire la voix des pilotes et des contrôleurs. On assiste donc au rapprochement de deux avions, au déclenchement dans la plupart des cas de l alerte (filet de sauvegarde), à une clairance d évitement donnée par le contrôleur. Il règne un grand silence dans la salle, et, particulièrement au moment du rapprochement des avions. L émotion est palpable alors que, sur le grand écran, on voit les deux plots radar figurant les avions progresser l un vers l autre. Souvent, est toute aussi palpable l émotion dans la voix du contrôleur lorsqu il donne une clairance d évitement, dans la voix du pilote lorsqu il collationne 281, dans les échanges qui éventuellement se poursuivent (selon les cas : demandes d explications du pilote, réponse du contrôleur, explications spontanément données par le contrôleur, ). «VIOLER LES NORMES» : POURQUOI? Un premier incident est ainsi projeté. Deux avions sont en configuration de rapprochement, ils longent en outre une zone militaire 282. Le contrôleur va donner un cap à l un des avions, à trois reprises. Il doit à la fois résoudre le conflit et éviter la pénétration dans la zone militaire. Le filet de sauvegarde se déclenche. Peu après, le contrôleur demande à l un des pilotes si son TCAS s est déclenché. Réponse négative du pilote. Lorsque la visualisation de l incident s arrête, le responsable QS prend la parole pour donner quelques explications supplémentaires. Il regrette l absence de «retour équipe», une formule 283 qui signifie que les contrôleurs impliqués dans l incident n ont pas souhaité remplir une fiche de notification d incident. La perte de séparation a été détectée par le système de détection automatique de perte de séparation (ORPHEO). Les contrôleurs, qui auraient pu, en parallèle, notifier l incident en remplissant une fiche et en contactant le chef QS ne l ont pas fait. Ils ne sont, «bien sûr», pas non plus présents à cette commission. Le chef QS ajoute : «Le fonctionnement montre que le conflit est détecté». Le dialogue s enchaîne avec la salle. 281 Procédure qui prévoit que les pilotes répètent ce que les contrôleurs disent et réciproquement, afin de vérifier que l instruction a été comprise. 282 Zone qu ils ne peuvent pénétrer lorsque celle ci est active (période d entraînement des militaires).

163 P a g e «Qu est ce qui te fait penser que le conflit a été détecté?» demande le chef de la subinstruction. - «Il y a 3 séries de caps» Le premier n est pas convaincu. - «Il a de la chance de ne pas avoir eu de RA TCAS 284!» dit un contrôleur dans la salle. - «C est l angle» répond un autre, et une discussion très technique s ensuit sur les modalités de déclenchement du TCAS, qui, pour une perte de séparation donnée, déclenche ou pas en fonction de la position respective des avions. Le chef QS ne tarde pas à ramener un peu d ordre dans la discussion, passionnée, mais sans doute un peu trop digressive à son goût. - «Je vous propose de mettre comme cause Violation de la norme» dit-il. Le responsable de la sub-instruction demande «On ne sait pas, puisqu il n y a pas eu de retour équipe, mais ils avaient peut être l autorisation de pénétrer dans la zone militaire 285». Un contrôleur dans la salle : «Oui, mais la norme?» Le chef de la sub-contrôle défend «Il y a une certaine conception de la qualité de service ils donnent des petits caps pour passer près de la zone, sans la pénétrer». Un contrôleur a une autre explication : «Ce sont des gens qui ont commencé un croisement 286 et que ne veulent pas se déjuger en donnant un cap plus fort» Interprétation qui est discutée par un autre : «C est géré de façon optimiste, c est tout!» Le responsable de la sub-instruction : «Oui, mais alors pourquoi demande-t-il s il y a un TCAS?» Le responsable sub-contrôle renchérit «A la fin, on sent dans sa voix qu il est soulagé» (Note : de la réponse négative du pilote). Le premier demande «C est un PC 287?» Le responsable QS : «Oui (il hésite) je pense que je peux le dire : c est un PC». 284 Un avis de résolution du système embarqué TCAS (Traffic Avoidance collision System) 285 Par une demande à la fréquence, effectuée avant le début de l enregistrement proposé. 286 Ici, une résolution de conflit. 287 Premier Contrôleur dans la dénomination française, c est-à-dire contrôleur qualifié, pouvant prendre en charge sous sa responsabilité un secteur de contrôle, avec un autre PC.

164 164 P a g e Un chef de sub : «Bon alors, le TCAS, c est seulement pour savoir s il le voie (note : l autre avion) c est pas de l inquiétude». Le responsable instruction déplore : «Bon alors, sans retour équipe on ne peut pas savoir». Deux contrôleurs continuent à critiquer la stratégie du contrôleur : les petits caps successifs, qui ne permettent pas d éviter franchement la perte de séparation. Le responsable de la QS souhaite arrêter les discussions et conclure : trop d éléments sont incertains puisque les contrôleurs n ont pas fait de rapport, et les seuls éléments disponibles pour l analyse ne permettent pas de trancher sur le sens des clairances données. «Malgré le filet (note : de sauvegarde), explique-t-il, on ne prend pas de mesures conservatoires donc je parle de violation de la norme, je veux une cause, donc je mets violation de la norme». Mais quelles sont les actions de diminution de risque possibles? C est en effet la rubrique suivante que le chef QS doit remplir dans ce rapport d incident. «Il faut un briefing sur la norme» lance une personne dans la salle. Le responsable de la sub-instruction s agace un peu : «On a fait un truc sur le respect de la norme suite au passage de FP 288 la formation a déjà été faite» Le responsable de la sub- contrôle : «Il faut refaire! Marteler!». Le responsable de la sub- instruction : «et il faut insister sur le retour des équipes dans la mise en place des SMS». Un contrôleur dans la salle : «donc, il faut s interroger sur la norme, il ne faut pas viser 5» (note : Mile Nautiques). - «Non, 5, c est le minimum, pas ce que tu vises!» réplique le premier. - «Oui, mais bon on le vise parfois». La responsable du SMQS intervient : «Dans le SMS, on parle d efficacité des actions correctrices, ici on a un exemple que ce n est pas efficace!». Le responsable de la sub-instruction : «5 NM, ça veut dire qu ils sont entre 4 et 6, la formation continue est très critiquée, mais on l a faite déjà». Le responsable de la sub-contrôle : «Qu est-ce qu on peut faire de plus? Le problème, c est que le contrôleur interprète, plus on donne d infos, plus il interprète! Le filet de sauvegarde est un outil : en savoir plus, pourquoi?» 288 La personne spécialiste, au niveau national, de ces questions.

165 P a g e 165 «Il faut réexpliquer pourquoi la norme», dit un analyste d incident. Un contrôleur rétorque : «Mais il sait tout ça! Il s en affranchit, c est tout!». Désaccord d un autre : «il faut lire les 60 pages (note : sur la norme radar), si la norme est à 5 NM, c est pas pour rien!». Le débat s engage : la norme peut s expliquer rationnellement. Des documents expliquent longuement les raisons de la norme de séparation. Pourquoi le contrôleur ne la respecte-t-il pas? Parce qu il n est pas suffisamment informé des raisons qui justifient cette norme? Ou bien connaît-il ces raisons et s en affranchit-il malgré tout? Les avis sont partagés, et passionnés. Un contrôleur remarque : «Regardez les strips, il n y a rien d écrit!» Un autre souhaite savoir quelle sera la cause retenue : «Bon alors qu est-ce que tu écris?», demande-t-il au responsable QS. - «Violation de la norme» répond celui-ci, et «Dommage que pas de retour équipe». Le responsable de la sub-instruction intervient : «Il faut aussi dire absence de réaction au FDS». Ce premier incident est clos. LES INCIDENTS EN SITUATION D INSTRUCTION L incident suivant est considéré comme grave : le système d anti-collision embarqué des avions (le TCAS) s est déclenché, et a donné un avis de résolution permettant d éviter la collision (un RA, pour «resolution Advisory»). Lors de l entretien que j ai eu avec lui avant cette Commission Locale de Sécurité, le responsable de la QS avait évoqué l incident exposé maintenant. Il s agit d un incident en situation d instruction : le poste est armé, dans ce cas, par deux PC (Premiers Contrôleurs, c est-à-dire qualifiés), plus le contrôleur en situation d apprentissage, qui contrôle sous la supervision du PC instructeur et du PC organique (qui prend en charge les coordinations). Le contrôleur en formation (que l on appelle, dans le jargon un «module» suivi d un numéro permettant de savoir son degré dans la progression de la formation, décomposée en différents modules d apprentissage) a par conséquent été mis dans la situation de générer un incident grave. Le PC (Premier Contrôleur ou contrôleur qualifié) qui encadrait l élève au moment de l incident est venu faire une fiche de notification d événement et il est venu aussi raconter l incident au chef de la QS, qui m a confié : «Il a eu peur, et il a été très affecté, de voir qu il avait mis le module dans une telle situation il en était malade, tiens, moi tu vois, rien que de t en parler, j en ai la voix qui tremble encore». Pour cet incident, l élève à la fréquence au moment de l incident et le PC qui était l instructeur sur la position sont présents dans la salle. On visionne le film sur le grand écran. Deux pistes se

166 166 P a g e rapprochent : le filet de sauvegarde clignote. De longues secondes Une clairance d évitement du contrôleur, et presque aussitôt un avis de résolution TCAS annoncé par le pilote. Après la visualisation de l incident, le débat s engage. Le responsable QS résume l incident : «Le conflit n est pas détecté, l instructeur n est pas là». Un contrôleur remarque : «Le délai entre le déclenchement de l alerte filet de sauvegarde et un message d évitement est quand même de 16 secondes!». Le responsable de la QS lui rétorque: «Sur l écran, ça paraît long, mais dans la réalité, c est différent». Le chef de service exploitation intervient : «Les modules n étudient pas la réaction au filet de sauvegarde en simulation, il faudrait qu ils aient été confrontés à un déclenchement en simulation, et non pour la première fois en réel». Le jeune élève, resté jusque là silencieux, au fond de l amphithéâtre intervient alors «Ça vous paraît long, mais j ai le nez sur le tableau de strips». Un contrôleur dans la salle renchérit : «Ça arrive, il faudrait autre chose, un son lorsque le filet de sauvegarde déclenche». Le responsable QS : «Ah non, ça a déjà été proposé mais ça sonnerait tout le temps avec toutes les fausses alarmes!». La discussion tourne autour de la nécessité ou non d une alarme sonore : visiblement ce n est pas la première fois que cette solution est évoquée pour permettre d alerter un contrôleur «le nez sur les strips», mais elle ne remporte pas tous les suffrages. Le responsable QS reprend : «Je veux souligner le professionnalisme du traitement de l incident : le contrôleur s inquiète de l état de la cabine 289, il demande au pilote après la manœuvre : SRB , advise if you have any trouble with the cabin». Mais d autres personnes dans la salle préfèrent repartir sur des aspects plus techniques. Ainsi, un responsable dans la salle évoque une future version du «mode C» (l altitude de l avion) 291 : le service de recherche de l aviation civile travaille en ce moment sur un mode C «calculé». 289 La manœuvre d évitement ayant été assez «raide» (avis de résolution TCAS de descendre avec un taux important), il se peut que les passagers aient été un peu secoués, et des cafés renversés, par exemple 290 Les trigrammes d origine ont été supprimés et d autres inventés. Ici : SRB pour Sorbonne bien sûr. 291 L information donnée au contrôleur est donc «obsolète». Ce qui est devenu plus perceptible avec le TCAS qui, en tant que système embarqué est capable de fournir une information plus «temps réel».

167 P a g e 167 On évoque aussi les routes : «Les routes me surprennent, les arrivées et les départs ne sont pas assez ségréguées, il faudrait voir avec Madrid si on pourrait changer ça!» propose un responsable. Le responsable de la QS abonde dans ce sens : «C est vrai qu on a déjà eu des incidents sur ce point». On discute un peu de l opportunité ou non de changer les routes pour mieux séparer les trafics. C est une action très lourde qui implique que l on entre en contact avec le centre Espagnol, que l on redessine les «routes aériennes», Le contrôleur qui était instructeur sur la position au moment de l incident intervient alors pour donner quelques explications. Il est effectivement au téléphone et ne surveille pas l élève. «Je discute avec le madrilène pour une coordination, ça tourne un peu au palabre 292». De plus, quand le SRB appelle, on n a pas encore le strip de l Air Azur. Un contrôleur demande : «Mais, enfin, et le deuxième PC, où est-il?» - «Aux toilettes» répond l instructeur. Le même contrôleur : «Alors, il faut corriger le rapport parce que c était marqué 2 PC + un élève, là je me demandais ce que faisait l autre». «Oui, c est vrai, donc je mets armement non conforme en situation d instruction» conclut le responsable QS. L incident suivant est également une situation d instruction. Le contrôleur instructeur a quitté la position en laissant une stratégie de résolution de conflit et d écoulement du trafic à l élève : (tu fais descendre celui là, tu coordonnes celui-ci à tel niveau, ). L élève a eu des difficultés à mettre en place correctement cet ensemble et s embrouille quelque peu. S ensuit une perte de séparation entre deux avions. Le filet de sauvegarde se déclenche. Le PC revient entre temps, reprend la fréquence. Le responsable QS précise : «Je parle sous contrôle des contrôleurs concernés». En fait, l élève est là, mais les deux PC qui l encadraient au moment de l incident ne sont pas venus. Au moment de l incident, le «module» est seul sur la position. Renseignements pris : l un est parti chercher la feuille de prévision 293, l autre est au téléphone, (il n est pas sur la position). 292 Sortir des procédures (ici des lettres d accord signées entre deux centres, qui stipulent le niveau auquel les avions sont «livrés», c'est-à-dire transférés au centre suivant) est souvent indispensable pour assurer la fluidité du trafic. Mais la coordination devient alors négociation entre deux personnes (avec, dans certains cas, exposé des raisons qui font que l on demande un autre niveau que celui qui est prévu, exposé parfois en réponse des contraintes qui font que l on ne peut pas accepter le niveau demandé, recherche parfois de compromis, etc.). Un des revers de cette souplesse et de cette convivialité dans les rapports est le caractère parfois «bavard» des échanges qui s ensuivent, avec le risque de rater d autres aspects de la situation, comme ici la surveillance d un élève. 293 La feuille qui donne les prévisions de trafic, et qui est détenue par le chef de salle, qui occupe un poste au centre de la salle de contrôle.

168 168 P a g e Un responsable s agace : «On ne doit pas quitter la position pour aller chercher les feuilles. On écrit qu il faut téléphoner?». D autres s insurgent : «Ah non! C est déjà un vrai standard le téléphone du chef de salle» Suit une discussion animée sur les circonstances : une «directe» qui complique la gestion du trafic, un manque d informations sur la revisualisation 294 car le premier appel d un des avions n a pas été enregistré. On évoque également le problème de «coupure» du dégroupement des secteurs (la façon dont deux secteurs sont séparés en cas de fort trafic). Un contrôleur suggère : «Il faudrait peut-être changer la coupure pour le dégroupement?» Un responsable le met en garde : «Attention, quand on touche à un dossier espace, il faut une analyse sécurité. Ca peut toucher à d autres choses» Le responsable de l instruction remarque : «La réaction à la fréquence de la part de l instructeur n est pas très adroite : excusez-nous, mais c est un instruit Est-ce qu il faut vraiment dire ça à un pilote? Ce n est pas une raison pour lui, il a droit à une qualité de service, instruction ou pas!». Un contrôleur répond : «Mais ce n est pas pour se dédouaner qu il dit ça c est pour éviter l airprox 295!» Un autre responsable : «Peut-être, mais je suis d accord avec JP, c est vrai, les pilotes se forment sur simulateur, ils ne savent pas que nous on se forme sur le tas quand on dit ça à la fréquence, ça leur fait peut être un drôle d effet on donne une image pas très». «C est vrai», grommelle un contrôleur derrière moi, «de quoi on a l air, dans cette histoire!». Plusieurs contrôleurs dans la salle commentent : «C est sûr que ça fait pas sérieux, tu parles d une excuse!». Les voix sont unanimes dans la salle pour regretter l image donnée aux pilotes par le biais de cette explication maladroite du PC. Pendant un court instant, Responsables et Contrôleurs, les gens «des bureaux» et ceux de la salle se posent bien en un seul groupe, la communauté des personnes d un centre de contrôle aérien, dont l objectif est bien d assurer une qualité de service aux avions, quelle que soit l organisation mise en place à ce moment sur la position de contrôle. Un autre élément du compte rendu effectué par le PC en charge de l élève au moment de l incident est ensuite critiqué. Celui-ci quitte la position en donnant une stratégie de contrôle 294 Choisir le «début» de la revisualisation de l incident est parfois épineux. Dans certains cas, les prémisses de l incident ont lieu très en amont de la perte de séparation proprement dite. 295 Dans ce contexte : pour éviter que le pilote ne dépose un airprox («plainte» de la compagnie aérienne au service de contrôle aérien, basée sur le jugement du pilote, qui considère que la sécurité a été mise en cause).

169 P a g e 169 très générale. Le stagiaire échoue à mettre en place correctement cette stratégie, dans un contexte particulièrement difficile. On me prend à partie : je fais remarquer qu il manque effectivement le point de vue de l élève. Je m étonne que la fiche de notification des incidents soit toujours remplie uniquement par le Premier Contrôleur. «C est comme ça dans les compagnies aériennes, seul le Chef de Bord peut remplir un ASR 296, pas le copilote» se défend un responsable. On revient sur les réactions au filet de sauvegarde, comme pour l incident précédent. Pourquoi ne sont-elles pas étudiées à l instruction sur simulateur? «Non, on n en fait pas réplique le chef de la sub-instruction, puisque l idée est de ne pas se mettre dans cette situation». Il faut maintenant se mettre d accord, après tous ces débats, sur une «cause» qui sera consignée dans le rapport final. «Je vais mettre que le PC instructeur est parti» propose le responsable QS. Le chef de la sub-instruction rappelle «c est même : aucun PC sur la position». «Ah, non», proteste un PC dans la salle, «tu ne vas pas écrire ça quand même!». Une petite discussion s ensuit : peut-on vraiment mentionner un tel fait dans le rapport? On trouve des arguments contre : «c est quand même récupéré par le PC à la fréquence non?» (Il est revenu sur la position entre temps). Le chef instruction (visiblement agacé) : «Oui, mais la CAUSE, c est quand même que les deux PC sont partis et l élève laissé tout seul, non?». Le même contrôleur proteste : il est impensable d écrire que les deux PC sont partis dans un rapport. «Tu ne peux quand même pas écrire ça!» proteste-t-il. Il est soutenu par quelques autres. Le problème de la fameuse cause à mentionner reste entier. Le contrôleur qui s était opposé à une mention explicite d une absence des deux PC propose alors : «Décision inappropriée du module» Le responsable de la QS s insurge à son tour : «Ah non, on ne va pas charger le module la cause, c est que les PC ne sont pas là!» «Oui, mais c est pas la cause primaire!» se défendent les autres. Le chef de la sub-contrôle intervient : «Bon, alors on met armement non conforme». Cette proposition est retenue. 296 Air Safety Report : une notification d un problème lié à la sécurité rencontré par le pilote. (Ce n est pas obligatoirement un airprox).

170 170 P a g e UNE THEATRALISATION DES QUESTIONS VIVES D autres incidents seront ainsi présentés, analysés et débattus pour conclure à une sacro sainte «cause» à consigner. Assister à une Commission Locale de Sécurité a été une grande chance et une marque de confiance aussi, si l on considère combien de questions sensibles y sont débattues. La CLS semble bien être un lieu de théâtralisation des «grandes» questions que se pose tout organisme de contrôle sur la sécurité, et de manière plus générale sur son identité : questions autour de la norme, du fondement rationnel de celle-ci, de son enfreinte, questions sur la notion de causalité, et la difficulté à l appréhender, débats parfois tendus sur ce qu on peut montrer ou non, dire ou pas à l extérieur (qu il s agisse des pilotes, ou du service central), sur l «image» que l on donne, et, en cela, bien sûr, lien très direct avec la notion de transparence. TROUVER LA CAUSE En dépit des débats parfois laborieux et des digressions inévitables, le responsable QS qui est aussi l animateur de la réunion garde à l esprit que la conclusion de l analyse des incidents ainsi réalisée doit aboutir à trouver l accord sur une ou des causes. Ces causes sont des catégories prédéfinies dont la liste, fermée, est proposée par le service en charge de l élaboration du bulletin sécurité, au niveau national, et qui publie, chaque année un bilan de la sécurité du système de contrôle français. Celui-ci consiste principalement en une analyse des incidents survenus dans les différents centres opérationnels. La notion de causalité est un problème classique en philosophie. Aristote distinguait quatre types de causes 297 : la cause matérielle (ce dont une chose est faîte, par exemple l airin est la cause de la statue), la cause formelle (l essence de la chose), la cause motrice ou efficiente (ce à partir de quoi il y a changement ou repos), enfin la cause finale (la fin, ou le «ce en vue de quoi»). Aristote introduit une hiérarchie de «dignité» entre ces causes : les causes formelle et finale sont «au-dessus» des causes motrice et matérielle. Il s agit bien de rechercher une sorte de «pourquoi ultime». A travers les discussions vives autour de la cause d un incident, on retrouve ce souci de trouver la «vraie» cause. Les protagonistes quant à eux utilisent l expression «cause primaire». La notion de cause reste cependant très questionnable lorsqu il s agit d analyser un incident 298, car elle se réfère tantôt à la cause «originelle» (et on remonte alors à des facteurs si généraux qu ils sont de peu d intérêt) soit à la cause la plus proche de l incident. Elle soulève en outre des questions d attribution implicite de la responsabilité. 297 Pierre Pellegrin, entrée «Aristote», in Zarader Jean-Pierre (dir.), Le vocabulaire des philosophes., Paris, Editions Ellipses, On parle par exemple désormais couramment de causes «organisationnelles» venant compléter l analyse en termes d actions directement imputables aux professionnels qui sont «en première ligne». Voir à ce sujet : James Reason. L erreur humaine. PUF. Paris

171 P a g e 171 CAUSE ET RESPONSABILITE Un des participants se récrie lors d un débat dans cette CLS «mais ce n est pas la cause primaire!». Il veut dire dans ce cas particulier : certes, les deux contrôleurs PC ont quitté la position en laissant l élève seul, mais d autres éléments ont survenu entre temps, il existe donc une cause plus «proche» de l incident proprement dit. L élève a commis une erreur qui est en lien direct avec l incident (une cause plus efficiente dans le vocabulaire Aristotélicien). C est pourquoi le contrôleur qui intervient dans la salle propose «action inappropriée du module». Ce qui impute, implicitement, la responsabilité de l incident à l élève, et soulève les protestations du responsable QS : «ah non, on ne va pas charger le module!». Pour ce responsable, il est essentiel de souligner le caractère inadmissible de la situation (un élève laissé seul, et qui sort visiblement affecté de cet incident), et de décharger celui-ci de la responsabilité dans l incident. L attribution de causalité est mêlée du souci de ne pas rendre responsable d une situation une personne qui ne l est pas 299. Cet exemple montre à quel point il est illusoire de penser parvenir dans certains cas à une causalité «purifiée», qui ferait abstraction des aspects de responsabilité des acteurs. Le souci moral, pour le responsable QS, d éviter une attribution de l incident à l élève est d autant plus vif qu il juge sévèrement un des PC censés encadrer l élève. Celui-ci, dans sa fiche de notification, a décrit la situation de façon à se dédouaner «je lui avais dit de ( ), il ne l a pas fait». Après la CLS, le responsable QS déplorera l attitude pour le moins désinvolte de ce PC qui n a pas fait preuve de sollicitude à l égard de l élève après l incident, et n est pas venu participer à l analyse en Commission. Il soulignera le contraste avec l attitude de l autre PC (le premier incident évoqué, également une situation d élève laissé seul sur la position), qui était très affecté («il en était malade»), et s inquiétait d un retard possible dans la progression de l élève suite au traumatisme induit par cet incident 300. Ce PC est, en outre, venu débattre de l incident à la CLS. L ACCORD SUR LES CAUSES : UNE NEGOCIATION. Se mettre d accord sur une cause comprend, on vient de le voir, qu une forme de responsabilité soit imputée (souvent implicitement) à une ou des personnes, même s il n y a pas de conséquences juridiques. A travers les causes écrites de l analyse, on donne également une image à l extérieur : il s agit parfois de censurer ce qui est vu comme portant atteinte à l image du centre, des contrôleurs. «Tu ne peux pas écrire ça» protestent des contrôleurs lorsque le responsable de la sub-contrôle propose de consigner ce qui est avéré dans le second 299 Rappelons que cette analyse n a aucun caractère juridique et que l attribution reste implicite, n a aucune conséquence judiciaire pour les contrôleurs impliqués dans le système français. 300 De façon générale, l élève connaît rarement des pertes de séparation graves pendant son entrainement, il semble que «le premier incident grave» survienne plus souvent pendant les premières années qui suivent la qualification.

172 172 P a g e incident impliquant une situation d instruction : «aucun PC sur la position». Les dialogues souvent vifs et savoureux auxquels j ai eu la chance d assister témoignent bien, on en a la preuve dans l extrait du carnet rapporté ici, de la grande franchise avec laquelle les circonstances de l incident sont débattues, de la liberté de ton des intervenants, loin de toute langue de bois, et ce, qu il s agisse des contrôleurs ou des personnes de la hiérarchie du centre. Des contrôleurs qualifiés quittent leur poste de travail pour aller aux toilettes, laissent un élève seul dans une situation complexe, s affranchissent de la norme tout en reconnaissant la légitimité de celle-ci, donnent de petits caps à un avion malgré le déclenchement du filet de sauvegarde pour ne pas perdre la face devant un pilote (car donner un cap important révèle à celui-ci qu il y avait un risque de conflit), «manipulent» un pilote en lui disant que le contrôleur ayant généré l incident est un élève (c est du moins une explication avancée par un contrôleur : le PC instructeur tente ainsi d amadouer le commandant de bord afin d éviter le dépôt de l airprox ). Tous ces évènements, et leur interprétation et tentatives d explications lorsque la fiche de notification n a pas été remplie, sont données en toute «transparence», et sans le souci de faire bonne figure de préserver l image d un contrôleur qui serait plus en ligne avec les standards de sécurité conventionnels. Mais dire n est pas écrire. Lorsqu il s agit de consigner une «cause» qui sera la conclusion de l analyse de l incident transmis ensuite à un service central chargé d établir le bilan national de la sécurité, la prudence est de mise. La consignation de cause arrête les débats, comme un exercice obligatoire et parfois quasiment décorrélé de ce qui vient d être dit. Le responsable de la QS, chargé d animer la réunion, doit sans cesse rappeler cet objectif pour mettre un terme à des discussions passionnées qui risqueraient de durer indéfiniment. Il est souvent obligé d arrêter les débats qui s enlisent par un rappel ferme : «Bon, il me faut une cause!». Comment ne pas être frappé par la richesse des situations que nous venons d évoquer, cet inventaire à la Prévert si riche et si humain des affects et des passions évoquées en un laps de temps si court : un instructeur «malade» de l incident vécu par son élève, un autre indifférent, un jeune «module» encore sous le choc, un contrôleur orgueilleux qui «ne veut pas se déjuger», une communauté entière du contrôle aérien, contrôleurs et hiérarchie pour une fois réunis, inquiets de «perdre la face» devant les pilotes, en avouant à ceux-ci qu ils sont contrôlés par un jeune en instruction laissé seul. La palette des mécanismes cognitifs qui génèrent des actions inappropriés est toute aussi riche : avion oublié, «nez sur les strips», excès d optimisme dans l évaluation d un risque Tout ceci contraste fortement avec la sécheresse un peu bureaucratique, désincarnée, des causes finalement consignées : non respect de la norme, armement non conforme. Lors d un entretien que j aurai par ailleurs avec le chef du «bureau airprox», (le responsable du service central en charge d élaborer le bilan sécurité sur la base de ces analyses transmises par les centres), celui-ci aura beau jeu de s agacer des causes ainsi proposées, et de tempêter : «Moi, j appelle ça des causes conséquences! La norme n est pas respectée. Que me mettent-

173 P a g e 173 ils comme cause à la fin? Non respect de la norme, très malin on boucle! Toute une analyse pour en arriver là, ils me désespèrent!» LE TACT : UNE DIMENSION IMPORTANTE DE L ANALYSE D INCIDENTS Le responsable de la cellule QS qui coordonne les analyses des incidents joue de toute évidence un rôle central : apprécié par les contrôleurs, son attitude a visiblement encouragé la notification volontaire des incidents par ceux-ci. Les analyses d incidents sont également globalement appréciées par le «Bureau National airprox» auquel elles parviennent ensuite. Mais ce responsable ne cache pas les difficultés de son poste, et m avoue qu il était impressionné lors des premières CLS : se retrouver, seul, sur une estrade, face à un amphithéâtre peuplé de personnes de l encadrement mais aussi de contrôleurs n était pas un exercice facile. Il a demandé que le chef de la sub-contrôle soit à ses côtés pour faire face à l auditoire. Le duo fonctionne bien et les CLS, si elles restent des moments toujours délicats, sont aussi rentrées dans un mode de fonctionnement bien rodé. En entretien, il insiste notamment sur la notion de tact, nécessaire selon lui aussi bien lorsqu un contrôleur vient lui parler d un incident, que lorsqu il dirige les débats lors des Commissions Locales de Sécurité. Le contrôleur qui vient parler d un incident a besoin d une oreille attentive, il peut être choqué par ce qu il a vécu. Certains incidents sont l objet de discussions et de désaccords lorsqu ils impliquent les actions d autres contrôleurs, dans le même centre, ou dans un autre, ou encore les actions des pilotes. Il faut à la fois comprendre l incident, encourager que des informations les plus précises possibles soient collectées, sans juger trop vite dans certains cas une situation où les responsabilités paraissent claires. Lors de la CLS proprement dite, nous avons vu que l attribution de cause était un exercice souvent difficile, car elle implique souvent implicitement l imputation d une responsabilité (au sens moral et non pénal) de l incident à l un ou l autre des contrôleurs. Michel de Certeau définit le tact comme un art de faire : «Le tact est l art d instaurer et de maintenir un équilibre entre une multitude d éléments, qui met en jeu la compréhension informulée et l imagination : il n est pas seulement le sens des bienséances et des convenances. Il est le sens de ce qui convient de faire, y compris normativement 301». Cette définition montre bien tous les enjeux de l analyse des incidents, qui dépassent de loin l application d une «méthodologie» précise faisant l économie d une réflexion sur les qualités qui sont nécessaires. Ce sont ces dimensions très subtiles qui permettent l une des étapes primordiales de la transparence sur la sécurité. Elles sont difficiles à formuler, et encore plus à spécifier, à formaliser, à mesurer. Il est également difficile si ce n est impossible d en rendre compte, de s en expliquer dans les processus classiques de safety regulation, qui mettent très rarement en jeu des approches quasiethnographiques. 301 Albert Ogien et Louis Quéré. Vocabulaire de la sociologie de l action. Ellipses (p.84)

174 174 P a g e LA SURVEILLANCE AUTOMATIQUE DES INCIDENTS LE SYSTEME ORPHEO Quel sens prend l outil ASMT dans ce contexte? Dans le contexte français, il est bien sûr nécessaire de reformuler la question de façon un peu différente. La France dispose bien d un outil de détection automatique d incidents (ORPHEO) dans chaque centre en route opérationnel. Contrairement aux autres centres, avec lesquels cette question de détection automatique avait été évoquée comme un possible et peut-être un «futur réglementaire» à explorer, elle est en France une réalité depuis longtemps ancrée dans les pratiques. Le trait sans doute particulièrement marquant lorsqu on aborde cet outil est à quel point il est littéralement oublié par les contrôleurs, pour la très grande majorité d entre eux. Lorsque je pose des questions sur la transparence, la notification volontaire des incidents, très rares sont ceux qui évoquent ORPHEO et sa détection automatique des pertes de séparation. Comme si ORPHEO n était pas de l ordre de la «transparence» au sens où ils l entendent. La transparence est liée à un acte volontaire. Nous verrons dans le paragraphe suivant que cette vision d une transparence qui n est pas liée à la surveillance automatique est partagée par d autres acteurs, comme par le chef SMQS, ce qui nous permettra de développer un peu plus cette idée. Comme nous l avons souligné dans l introduction consacrée à l analyse des incidents, la décision de notifier ou non l événement est entièrement laissée à la discrétion du contrôleur, qui peut choisir d ignorer complètement la survenue de l incident, et de ne pas collaborer à l analyse de l incident : ce qui était consigné comme «absence de retour équipe» dans la partie consacrée à la CLS. Cette pratique s explique aisément dans le contexte français qui accorde un pouvoir certain 302 aux contrôleurs. Elle donne de ce fait une teinture tout à fait particulière à l outil. Pourtant, Sophie Poirot-Delpech 303 avait montré les réticences envers l outil au moment de sa mise en place initiale. (Outil nommé dans cette première version : PATATRAC - Procédé Automatique de Traitement, Analyse et TRi des Alertes «filet de sauvegarde» du CAUTRA ). Dans sa «Biographie du CAUTRA» (le système d informations du contrôle de trafic aérien français), Sophie Poirot-Delpech explique que les objectifs des concepteurs de l outil étaient bien de «surveiller les points chauds» du trafic, d «élaborer des comptages statistiques». Mais l administration y voit cependant un moyen de surveillance des équipes et des contrôleurs. Ce qui éveillera la suspicion des contrôleurs, et leur crainte de voir l objet détourné de son mandat initial pour devenir un outil d évaluation des équipes et des contrôleurs. Les concepteurs se sont défendus de cette dérive possible : 302 Le terme d autogestion, par exemple, est souvent utilisé pour caractériser la latitude dont les contrôleurs disposent dans de nombreux domaines (horaires, congés, etc.). 303 Sophie Poirot-Delpech. Biographie du CAUTRA. Thèse de sociologie. Universite Paris 1 Sorbonne

175 P a g e 175 «( ) on voyait plutôt PATATRAC comme un moyen de ( ) surveiller que les gens ne se reposent pas trop sur le FDS et qui allait permettre de regarder statistiquement si ça devient rouge dans un coin de l espace, ou bien c est qu il y a un problème dans les routes et les densités de trafic, ou bien c est qu il se passe quelque chose d anormal et il faut s enquérir de ce qui se passe. Plutôt un détecteur de situations anormales que de dire «Monsieur, à telle heure, pourquoi êtes vous passés à deux NM 304?». Cette perspective historique permise par la comparaison entre la situation de mise en place du système, et la situation actuelle permet de souligner qu en effet, actuellement, si les fonctionnalités d ORPHEO (le successeur de PATATRAC) permettent bien d enregistrer automatiquement la perte de séparation 305 et de révéler ainsi des évènements que le contrôleur ne souhaite pas notifier, les caractéristiques très précises de son utilisation n en font pas le «big brother» redouté par certains contrôleurs confrontés à ASMT. En cela, l outil est resté fidèle aux visées initiales de ses concepteurs. Il est également «oublié» ce qui n est pas anodin. Point sur lequel nous allons revenir. «LA TRANSPARENCE, C EST UNE CHOSE, LA DETECTION AUTOMATIQUE, UNE AUTRE» Un autre moment fort de mon enquête sur le cas français sera ma rencontre avec le «directeur SMQS» (Système de Management de la Qualité et de la Sécurité) national, en région parisienne cette fois. Mon interlocuteur est un jeune «IAC 306» énergique et enthousiaste à l idée de s entretenir avec moi de la transparence. Il me consacrera un long entretien dans lequel il abordera ouvertement ses doutes et ses questionnements, puisqu il est arrivé pour mettre en place une structure et des procédures, loin d un discours formaté. Son passé de Normalien, m explique-t-il le rend sensible aux questionnements comme celui que je propose dans ma thèse. Il va défendre le système de détection automatique des pertes de séparation. Cet extrait d interview soulève plusieurs questions d importance, et mérite d être cité in extenso : «Même comme cela, on sait qu on ne sait pas tout et puis je ne sais pas s il faut insister la dessus, mais la transparence, c est une chose, mais l'apport aussi de tout ce qui est détection automatique, il ne faut pas se cacher le fait qu il y ait filet de sauvegarde et qu on puisse savoir systématiquement qu il y a eut rapprochement anormal, qu il faudra bien décortiquer l'incident, cela aide enfin cela évite de se poser la question 304 Interview d Alain Printemps, Sophie Poirot-Delpech Biographie du CAUTRA. Thèse de doctorat de sociologie, Université Paris I. (p.231) 305 ORPHEO et ASMT n enregistrent pas techniquement exactement la même chose. 306 Ingénieur de l Aviation Civile, le plus haut degré dans la hiérarchie des ingénieurs, souvent polytechnicien ou normalien d origine.

176 176 P a g e est-ce qu on doit le mettre ou pas, cela devient plus automatique. Le côté automatique a ceci de bien qu il n'est pas arbitraire, il n y en a pas a un (incident) qu on se retrouve à devoir examiner et pas l'autre, c est automatique, donc c est juste finalement, c est aussi une aide. Donc il faut les deux, les deux sont très utiles, un ordinateur tout seul cela ne marcherait pas du tout, il faut l'aspect humain, c est vital, il faut que ce soient des gens proches et tout, mais si on avait que si on attendait que le pilote se plaigne pour analyser les évènements, vous parlez d'airprox, cela serait très partiel». Une première remarque concerne l opposition faite ici entre la transparence, qui est une chose, mais qui ne doit pas faire oublier «l apport de tout ce qui est détection automatique». Pour notre interlocuteur, avec lequel je n avais pas défini exactement ce que j entendais par ce terme, la transparence semble bien être l attitude selon laquelle les contrôleurs déclarent, notifient volontairement leurs incidents. Elle n est pas le résultat, la finalité (la connaissance des incidents survenus) mais plutôt la vertu (ou la valeur) qui fait qu un contrôleur décidera de faire connaître son incident. C est pourquoi le système technique qui permet aussi de détecter les incidents est un complément, mais il est aussi d une autre nature. Cette «transparence comme vertu» opposée à la «transparence comme finalité» est une des dimensions identifiées dans la première partie de ce travail. La transparence s oppose ici aussi à la surveillance, puisqu elle est action volontaire : c est l acteur (ici le contrôleur aérien) qui choisit d être transparent. La surveillance par un système est d un autre ordre. «C est automatique, donc c est juste» Un deuxième aspect de cet extrait concerne le lien fait entre «automatique» et «non arbitraire» : «Le côté automatique a ceci de bien qu il n'est pas arbitraire» déclare ce responsable. Si on met à part la notification volontaire, en effet, les autres moyens de prendre connaissance d un incident sont la détection automatique et le dépôt d airprox par le pilote. Ce dernier est soumis, d une certaine façon, à l arbitraire du pilote : pour un même événement, certains pilotes 307 déposeront un airprox, d autres non. Cet arbitraire dépend en fait du jugement du commandant de bord quant à la situation, lui même lié à des affects : peur, agacement, et même colère vis-à-vis d une situation particulière s il considère que le contrôleur n a pas agit comme il se doit. Le système automatique, lui, se contente d enregistrer un «incident» sur la seule base de critères quantifiables, immuables. C est pourquoi, conclut notre interlocuteur, cette détection automatique est «juste, finalement». On retrouvera plus tard cette tension entre un risque «mathématique» basé sur de seuls 307 La politique de la plupart grandes compagnies aériennes est d encourager leurs pilotes à déposer un airprox, non pas tant pour l aspect de «plainte» qu il comporte, que pour permettre au processus de Retour d Expérience d être ainsi alimenté. Le dépôt d airprox permet qu une enquête soit menée, même si celle-ci aboutit à un «non lieu» (concluant que, contrairement au sentiment du pilote, la sécurité n a pas été atteinte dans cet événement).

177 P a g e 177 critères de distance entre aéronefs, et un risque lié au jugement d humains dans les débats liés à la détection des incidents par l ASMT. Pour ce qui relève de la classification de l incident dans une catégorie de gravité, la question est, là encore, loin d être tranchée, et mon interlocuteur ne cache pas que les choses sont loin d être arrêtées : «qu'est ce qu on classifie, la vraie gravite, ou la gravité qu il y aurait pu y avoir si ou la gravite qui nous est propre en excluant celle des autres, il y a des tas de variantes. On est dans la ligne d Eurocontrol, mais peut être en essayant d'être plus progressifs, quand la première étape aura bien été comprise par tout le monde, on passera à l'étape 2, puis 3. On va tâcher de bien expliquer à tout le monde,». LE MANAGEMENT DE LA SECURITE : «NE PAS FAIRE SEMBLANT» Spécificité française, il existe deux structures chargées de sécurité : les «Qualité de Service» (entité responsables de la Qualité de Service incluant la sécurité) et les SMQS (Système de Management de la Qualité de Service). Des QS et des SMQS ont été mises en place dans chaque centre de contrôle opérationnel 308. A ma question sur l origine de cette double structure et sur leurs rôles respectifs, le chef SMQS ne cache pas sa perplexité : «C est vrai que c est délicat, cela fait deux ans qu on bosse là-dessus et on a toujours des doutes. En gros c est l eau et les tuyaux, la QS est intégrée au plus proche des contrôleurs, des superviseurs, ils suivent au jour le jour les évènements sécurité, c est l eau, la fourniture du service et la qualité, le SMQS ce sont les tuyaux, la gestion de la sécurité, ses points forts sont les revues de sécurité, le pilotage, le manuel qui décrit, mettre en place les audits internes, c est concevoir les procédures d évaluation, l atténuation des risques, c est mettre en place les procédures de gestion documentaire, c est bâtir le SMS, puis le faire vivre, s'assurer que les mesures sont en place, avec efficacité, se cordonner. ( )» Retenir une structure et un mode de fonctionnement implique souvent de se définir, par comparaison et opposition à d autres cas, ici, les Anglais. Ecoutons son analyse : ESARR 3 appelle cela "Safety manager" moi je n aime pas ce terme, je dirais plutôt Safety System manager, ce ne sont pas des gens responsables de la sécurité, les responsables, c est le chef et la ligne opérationnelle, les Anglais mettent tout ce qui est QS dans le safety management. Je pense pour ma part, que c est assez précieux que les QS vivent au plus près de l opérationnel, que l on ne les extrait pas pour les faire dépendre d autre chose, on pourrait les rendre plus indépendants mais ils seraient tellement 308 C est-à-dire, plus précisément, un chef de programme SMQS par CRNA, un par DAC, 3 à ADP, 2 outre-mer.

178 178 P a g e indépendants qu ils ne verraient plus rien. Ou ce qu on veut bien leur laisser voir, je ne pense pas que ce soit une bonne chose. Il me semble, je suis même persuadé, que ces gens la doivent être au plus près de la vie de tous les jours, immergés dans les services, dans le quotidien. Je ne dis pas que les SMQS ne font pas partie du quotidien mais ils sont plus dans aspect organisationnel, il faut qu ils travaillent avec les QS évidemment mais il me semble que cela fonctionne mieux comme cela, on verra bien. Pour les Anglais, eux le SMS c est à la fois l eau et la qualité de l eau On reviendra abondamment dans le chapitre suivant sur l opposition fraternelle aux Anglais, l autre fournisseur de services auquel on se réfère volontiers, le plus souvent pour ne pas faire comme eux tout en reconnaissant qu ils font des choses très bien. L accent est donc mis sur une «QS» proche de l opérationnel : «les analystes sont des contrôleurs détachés souvent et cela je pense que c est important, ils doivent aller voir de près ce qui passe et c est précieux». Le SMQS définit le cadre dans lequel les activités formalisées de gestion de la sécurité sont réalisées. Cependant, tout en portant ce projet de mise en place d une gestion de la sécurité, notre interlocuteur est très conscient des dérives possibles d un tel système : «L objectif n est pas de bâtir un système parfaitement bien huilé avec beaux documents, de beaux Compte Rendus, et tellement parfait qu il est déconnecté de la réalité, il faut quelque chose de pragmatique, qui marche». Garder l objectif (la sécurité) à l esprit et ne pas se noyer dans un excès de formalisme : voilà un leitmotiv qui revient ici : «C est là peut être que les systèmes qualité sont un peu formalistes en disant, je veux des indicateurs, des machins, parfois il n'y en a pas de satisfaisants, on peut toujours baratiner, mettre des pseudo indicateurs, faire semblant de Nous, on s'attache plus à faire qu'à faire semblant de faire enfin on espère, peut être que parfois on passe à côté. Bref l'objectif, ce n est pas d'avoir un tableau». Devant les exigences contrôlables, il est en effet très facile de «faire semblant», de mettre des «pseudo indicateurs», parce qu on ne sait pas mesurer ce qu on cherche à appréhender. Une fois de plus, la demande de transparence présente bien le risque de provoquer le simulacre. La bureaucratisation apparaît ici comme une tendance qui serait constitutive de la formalisation des systèmes de gestion de la sécurité. Elle serait alors d autant plus insidieuse et difficile à combattre. Le discours reste cependant confiant à ce sujet. Quel est en effet le moteur et quelles sont alors les ressources pour résister, malgré tout à cette tendance bureaucratique qui noie le sens de la finalité des actions humaines dans le déferlement de notes et de règlements? On observera, pour chaque pays, des modalités particulières et des degrés divers dans ce que nous proposons d appeler la résistance à la bureaucratisation.

179 P a g e 179 En France, notre interlocuteur souligne les dérives possibles des SMS. Mais une fois encore, ce sont bien les individus particuliers, qui, au delà des déterminismes organisationnels, donnent une «teinture» particulière à chaque situation : «Il y a des ayatollahs de ISO 9001, qui vont chipoter sur des formules» mais il y a aussi «des gens qui ne sont pas contents du système tel qu il est, qui ont une fibre pour», «et puis il y a aussi des gens plus opérationnels». Finalement cette diversité réintroduit peut être la dose de «désordre» minimum nécessaire, justement parce que tout ne peut être maîtrisé «Il y a des profils différents, moi je fais avec cette diversité, c'est un plus, vous savez ce que c est dans l administration, (il rit), on n a pas défini un profil précis pour la personne, on prend ce qui se présente». Cette confiance dans l indétermination est peut être une des caractéristiques les plus prégnantes du système français. Les aménagements locaux, le singulier, les marges de manœuvre, la variabilité ne sont pas les ennemis d un système formaliste mais finalement les garants que cela puisse «marcher». A travers cette confiance dans l indéterminé, se révèle peut être une confiance diffuse dans l institution Aviation civile (sa solidité, sa résilience diraiton dans un vocabulaire actualisé, cette capacité à surmonter les changements, les contraintes nouvelles de la réglementation) et, de façon liée, une confiance dans les acteurs qui sont là, dans leur diversité, dotés d une forme de liberté qui leur permet de donner du sens à ce qu ils font. SYNTHESE LE STATUT DE L INCIDENT : AU CŒUR D UN RITUEL Que peut-on dire de l incident dans ce contexte? D abord, si on le compare à nos autres centres «latins», qu il est loin d être aussi tabou et malvenu qu ailleurs. Etant données les caractéristiques de la qualification en France, le contrôleur n a pas à redouter de suspension de licence par exemple, puisque les contrôleurs Français n utilisent pas la notion de licence, mais de qualification. Un incident, même grave, et y compris s il apparaît qu il a été généré par une forme de négligence, ou par un non respect des procédures par les contrôleurs, n aura que très rarement d impact pour le ou les contrôleurs responsables. Celui ci peut se dispenser de collaborer à l enquête s il en décide ainsi, comme nous l avons vu dans un des exemples étudiés en CLS. La mention «absence de retour équipe» semble éliminer l idée même d une responsabilisation individuelle du ou des contrôleurs impliqués dans l incident. L incident n est pas non plus un problème quant au travail d enquête qu il exige : les moyens humains (personnes affectées à temps plein dans le service en charge des analyses) et techniques (outil de revisualisation des images radar) sont suffisamment confortables pour que le travail puisse être fait dans de bonnes conditions, en tout cas sans générer de plainte particulière de la part des analystes ou de l encadrement, comme, par exemple, à Padoue ou à La Valette.

180 180 P a g e La particularité de l incident dans le cas français, est d être présenté et discuté en «Commission Locale de Sécurité». Il devient alors le support de joutes oratoires plus ou moins vives, dont l objectif ultime est de trouver une «cause» qui sera consignée dans le rapport transmis aux services centraux. La «cause» apporte en réalité fort peu de lumière sur l incident : quelque soit la singularité et la richesse de l événement, celui ci doit trouver sa place dans une catégorie qui n apportera finalement pas d avancée significative en termes de compréhension de ce qui s est passé. La notion de «cause» dans l analyse d incident est d ailleurs assez réductrice, puisqu un ensemble de facteurs contribuent à la survenue de l incident. Le terme de «rituel» est proposé ici parce qu il nous semble que l enjeu de se qui se passe lors d une CLS dépasse de loin l objectif rationnel et la dimension délibérative de la recherche d un consensus sur une cause de l incident. Le fait de revisualiser l incident en affichant sur grand écran l image radar, d écouter les dialogues entre pilotes et contrôleurs donne en effet une dimension tout à fait particulière à cet exercice. C est pourquoi nous avons parlé plus haut de la dimension «tragique» de l incident, événement qui est plus qu un simple «matériau» dont on peut apprendre quelque chose ici, contrairement, nous semble-t-il au cas Suédois, où les personnes insistent davantage sur la source de compréhension des risques que constituent les incidents. Comme nous l avons déjà souligné, les moyens techniques permettent au contrôleur de revisualiser «son» incident assez rapidement après qu il se soit produit, en allant tout simplement en faire la demande au service en charge de la collecte et de l analyse des incidents. C est une pratique assez répandue : il arrive assez souvent que le contrôleur ait quelques doutes sur ce qui s est passé : qu a-t-il dit exactement, quand? Comment les faits se sont-ils enchaînés? S est-il trompé, et pourquoi? Et qu ont dit et fait les pilotes? Cette clarification permet de «lever le doute» en attendant le passage en CLS. On peut d ailleurs, à cet égard, comprendre la frustration de certains contrôleurs, dans les endroits où il n est pas possible pour un contrôleur impliqué dans un incident de revoir son incident, et on peut comprendre le sentiment de «dépossession» exprimé par le contrôleur Maltais auquel on ne donne pas de nouvelles sur son incident, et qui parle de façon si imagée du «trou noir» de l enquête. Revoir l incident lors d une commission ouverte à tout le centre instaure de facto une forme de transparence : ce qui a été enregistré de l incident par les systèmes est présenté, et chacun dans le centre de contrôle, est invité à venir assister à cette présentation et aux débats qui s en suivront. Lorsque l incident est sérieux, la revisualisation est empreinte d une certaine gravité : la salle entière regarde les deux plots radar des avions se rapprocher d une façon inexorable, le clignotement du système d alerte, puis la clairance d évitement. Le risque prend une dimension tangible, il est, en quelque sorte, montré, il est revécu, publiquement, et collectivement. En parlant d un incident grave, les contrôleurs utilisent souvent l expression «se faire peur». Il s agit d une certaine façon, lors de cette revisualisation, d avoir peur

181 P a g e 181 ensemble. Ce rituel participe à une forme d éveil sur les risques, de prise de conscience toujours à renouveler. Ce groupe partage une forme de secret : ce qui est débattu ne sera pas écrit et transmis en tant que tel : on se mettra d accord sur la «cause» consignée 309. On pense ici, bien sûr, au secret évoqué par Simmel comme ciment d un groupe. Le groupe des contrôleurs et des divers responsables présents dépasse ici, le clivage traditionnellement souligné entre «la salle» et l extérieur. Nous avons vu qu il pouvait exister un «nous» du centre, face aux pilotes (vis-à-vis desquels il est ennuyeux de «perdre la face»), mais également vis-à-vis des services centraux, qui font pourtant également partie de l Aviation Civile. Cette transparence ne se réalise donc qu au sein d une communauté bien précise : celle des personnes qui assistent à la Commission Locale de Sécurité, qui est, virtuellement, celle du centre de contrôle. Elle reste de plus strictement orale 310. La consignation d une cause fait l objet de débats non seulement parce que l accord est difficile à trouver, mais surtout car certaines choses peuvent être dites, mais pas écrites. Dans l exemple que nous avons étudié : «armement non conforme» permet d éviter la formulation choisie par le chef QS («aucun Premier Contrôleur sur la position»). C est une catégorie générale, qui renvoie d ailleurs à des problèmes organisationnels très différents. Un armement conforme nécessite au moins deux contrôleurs qualifiés. Dans certains centres, l habitude a pu être prise de travailler seul, en cas de trafic faible, et parfois, aussi, de trafic plus important. Une organisation largement autogérée permet aux contrôleurs français de travailler un nombre d heures inférieurs au nombre d heures officiel. Il peut arriver que le nombre de contrôleurs présents soit insuffisant pour «armer» les positions selon les règles. Le cas étudié est encore différent : les contrôleurs qualifiés sont dans le centre, mais tous deux ont quitté la position Cette attitude est trop manifestement négligente pour être consignée : «Tu ne peux pas écrire ça!» s alarment deux contrôleurs. La notion d «armement non conforme» est cependant la cause consignée car elle permet un compromis. Elle n est pas fausse, (il ne s agit pas de mensonge, sauf à considérer que l euphémisme soit un mensonge) mais elle ne pointe pas non plus sur une 309 Bien sûr, nous mesurons le paradoxe qui consiste à écrire dans ce texte ce qui justement semble ne pas devoir être écrit dans la culture du contrôle aérien Français Il serait injuste que la «transparence» dont a fait preuve le centre de Brest en ouvrant sa CLS à une personne extérieure donne une image finalement déformée, si on ne retient que ces exemples en oubliant que des évènements peut être assez similaires se déroulent dans d autres centres, en France et en Europe. 310 Il semble en effet que des demandes orales d explications de la part du service central (bureau national) puissent obtenir dans la plupart des cas des réponses «transparentes» comme l illustre cet exemple. C est le responsable du bureau national qui parle ici : «Dans les incidents récents on a par exemple appris, quand je dis on c'est la DNA, parce on a rappelé la QS. Le dossier n'était pas très clair, on leur a dit : pourquoi le contrôleur était-il encore là? il mentionne la fatigue, il attendait la relève, qui ne vient pas, et ils nous ont expliqué, et cela c'est une défaillance organisationnelle, c'est qu'ils ne pouvaient pas être relevés car ceux qui devaient relever attendaient eux mêmes une relève de gens qui n'étaient pas arrivés le système prévoyait une relève par des gens déjà en poste personne ne se relevait, c'est un cas extrême, mais d'après ce qu'ils m'ont dit, c'est très fréquent, parfois les contrôleurs ne sont pas arrivés, et cela ce n'est pas écrit dans les analyses, ils n'osent pas écrire des choses comme cela». (souligné par nous).

182 182 P a g e négligence dont on ne saurait répondre, et enfin, elle ne sacrifie pas davantage un «innocent» (le jeune contrôleur non qualifié), en donnant comme cause de l incident une action directe de celui ci. La question de la transparence se trouve significativement complexifiée dans cet exemple. Il ne s agit pas tant de cacher au sens strict ce qui n est pas dans la norme, que de se référer à une normativité interne, non explicite. Cette normativité ne nie pas qu il y ait des négligences mais trace une limite entre ce qui est avouable et ce qui ne l est pas dans un rapport écrit. Il ne s agit pas de cacher ses incidents, ou de cacher certains problèmes organisationnels, (il s agirait ici de cacher, classiquement, ce qui est «anormal»), mais de cacher ce que personne ne s accorde à juger défendable. C est pourquoi ces débats sont au cœur d une notion sur laquelle nous reviendrons longuement dans le chapitre consacré à la confiance : l accountability. Ce mot peut être traduit par «rendre compte» : la CLS semble aussi être un moment où un collectif se pose la question : de quoi pouvons-nous, ou non, «répondre», où se pose notamment la limite du dépassement des normes ou du non respect des procédures. Les discussions qui s ensuivent doivent permettre de trouver, collégialement, une cause. Nous avons vu que celle ci n est parfois qu une catégorisation assez artificielle : une sorte de plus petit dénominateur commun de la négociation. Que les contrôleurs impliqués dans cet incident soient présents et donnent des explications supplémentaires, ou qu ils soient absents et que chacun s exerce à formuler des hypothèses et à les défendre, la teneur des discussions reste remarquablement ouverte, sans tabous, et exempte de toute langue de bois. Nous avons déjà évoqué, à l aide de ce qui avait été consigné dans les carnets de cette visite, des débats parfois virulents, dans lesquels les protagonistes ne sacrifient pas leurs convictions à l obtention d un consensus rapide. Le résultat en termes de «cause» finalement consignée apparaît bien moins intéressant que le processus de discussion qui permet de poser et de reposer des questions en partie insolubles : pourquoi le contrôleur s affranchit-il de la norme? Que connaît-il des fondements rationnels de celle-ci? Comment les pilotes nous jugent-ils lorsqu une erreur a été commise? Comment la recherche du service (une route directe) peutelle tourner à une situation plus difficile à contrôler? Il existe indubitablement une forme d «apprentissage» de tous liée au seul fait de débattre de ces questions. «Apprentissage» est ici à prendre dans un sens très large : l analyse des incidents telle qu elle se pratique lors de ces débats ne permet pas seulement d identifier des risques, d apprendre par exemple, des erreurs des autres, ou de comprendre la genèse d une erreur dans son contexte, elle permet aussi d affiner toujours davantage cette «conscience des risques», cette conscience élargie de la situation dont Alain Gras a formulé le caractère central. Et cette conscience est encouragée y compris en la vivant dans sa dimension sensible, émotionnelle, lorsque l on voie sur l image projetée en CLS deux avions se rapprocher, semble-t-il, inexorablement.

183 P a g e CONCLUSION GENERALE QUELQUES LIMITES DE L ENQUETE Ces enquêtes de terrain qui viennent d être présentées ont assurément leurs limites : en restant plus longtemps sur place, en systématisant ainsi davantage le type d acteurs rencontrés, en gagnant peut être la confiance des analystes d incidents dans tous les cas, il aurait été sans doute possible d obtenir des données plus approfondies, plus complètes. Mais eu égard à la question qui guidait cette recherche, il semble que les entretiens et les observations ont largement permis d identifier, dans chaque cas, ce qui faisait la singularité de la situation, ce qui se passait «autour» de la notification des incidents, de leur analyse, du Retour d Expérience. L ambition n était pas d élaborer un tableau complet de type «étude en Facteurs Humains» permettant de caractériser clairement la situation des pratiques de Retour d Expérience dans chacun des centres de contrôle étudiés. Elle était plus limitée, puisque nous avons laissé de côté par exemple les questions liées à l apprentissage organisationnel, la façon dont une organisation identifie ses risques, sur la base du travail de l analyse des incidents. C est pourtant une question très présente dans une tradition de travaux qui se situent aux confins de la sociologie des organisations et de la fiabilité humaine par exemple. Mais il aurait alors fallu développer et expliciter un modèle normatif de sécurité pour donner une structure à cette évaluation, et ce n est pas ici le propos. LA QUESTION DU SENS Notre ambition était également plus grande : il s agissait bien d explorer la question de la transparence dans les organisations «à risque» sous un premier angle, celui du traitement des incidents dans différents centres de contrôle aérien. Il s agissait bien d interroger la notion même de transparence, et non pas de qualifier le «degré» de transparence des institutions. Sur ce dernier point en effet, les résultats ne sont pas surprenants : les pays du Nord sont bien davantage transparents que les pays du Sud, et la France se situe quelque part au milieu Ce travail se situe plutôt dans la lignée de Allen Batteau 311, qui défend une anthropologie dans laquelle les différences culturelles ne sont pas tant interrogées en termes de «plus ou moins» que de sens. Cette approche s oppose notamment à celle d Hofstede 312, qui s est efforcé de qualifier des différences sur quelques axes, dont celui de la distance hiérarchique (la distance perçue d une personne envers son supérieur). Hofstede identifie ainsi des sociétés plus ou moins égalitaires, dans lesquelles les distances hiérarchiques sont ressenties comme plus ou moins importantes. Pour Batteau, en revanche, il ne s agit pas tant, et pas seulement de se 311 Allen Batteau, Anthropological approaches to culture, aviation, and flight safety. Human Factors and aerospace Safety 2(2) p Ashgate pubishing (p 151). 312 Geert Hofstede, Culture's Consequences, Comparing Values, Behaviors, Institutions, and Organizations Across Nations. Thousand Oaks CA: Sage Publications, 2001.

184 184 P a g e demander si les Chinois ont entre eux une distance hiérarchique plus grande que, par exemple, les Américains, il s agit bien davantage d interroger le sens de cette distance, la signification accordée à la domination, qui n est pas la même pour un asiatique et un occidental. Par comparaison, il s agissait donc, dans notre enquête, d identifier le sens que prenait la transparence sur les incidents pour les différents acteurs, plus que d évaluer des degrés plus ou moins importants de transparence. L APPORT SPECIFIQUE DU TERRAIN D ENQUETE Nous avions, dans la conclusion de notre panorama de la notion de transparence, défendu l intérêt d examiner des modalités concrètes, «incarnées» de la transparence afin de proposer une approche socio-anthropologique qui permette de compléter les approches plus politiques et juridiques classiquement présentées. Il nous semble que le terrain d enquête a permis de soulever quelques points nouveaux. L UNITE DE SENS La transparence sur les incidents n est pas une question qui serait isolée du reste de l univers de la sécurité dans un centre de contrôle aérien, ou plus globalement chez le fournisseur de services de contrôle aérien. Bien au contraire, elle s ancre dans une «unité de sens» (d Iribarne). Ainsi, l incident chez les Suédois s inscrit dans une culture de la transparence qui valorise la notification des incidents, et au sein duquel il reste avant tout un matériau permettant l apprentissage organisationnel. Cette transparence vécue comme vertu, et comme valeur se veut tout à la fois cultura et padeia pour reprendre la distinction opérée par Poirot-Delpech ; en effet, la transparence est à la fois valeur nationale, et «pratique» enseignée aux jeunes contrôleurs dès le début de leur formation. Chez les Italiens, l incident est au cœur de relations tendues entre le management et les contrôleurs, et il représente peut être le symbole de l arbitraire d un pouvoir auquel ils ne reconnaissent pas de légitimité, l arbitraire de la durée de la suspension, et le reliquat d une situation militaire pourtant révolue. L opacité des contrôleurs est alors une conséquence de pratiques vécues comme essentiellement punitives, bien plus que comme la dissimulation de pratiques dont ils auraient à rougir. A Malte, on insistera surtout sur la difficulté, pour une «petite» organisation, de mettre en place des pratiques de Retour d expérience, dont l analyse des incidents fait partie qui ont de toute évidence été pensées pour des entités bien plus importantes. L incident fait «problème» en ce qu il exige du travail pour lequel les ressources humaines sont absentes. De plus, le «trou noir» évoqué par l un d entre eux pour dire le sentiment de dépossession lorsqu un incident est investigué sans qu il y ait retour vers le contrôleur responsable dit bien le malaise face à l absence de véritable délibération sur ce qui s est passé. Enfin, chez les Français, à Brest, on voit que l incident est au cœur d un rituel où contrôleurs et personnes de l encadrement débattent sans langue de bois, «théâtralisent» de nombreuses questions, mais

185 P a g e 185 que cette transparence reste avant tout orale, et que l on négocie ferme sur ce qui peut être finalement consigné dans une trace écrite. UNE VERTU? La transparence garde-t-elle cette connotation vertueuse dont nous avions souligné la prégnance dans la revue théorique initiale? Il apparaît qu elle est d abord comprise comme vertu dans le sens où elle est liée au libre arbitre d un acteur qui «décide» d être transparent. Avec la notification volontaire des contrôleurs sur des incidents qui pourraient ne rester connus que d eux seuls, nous sommes typiquement dans un tel cas. Sans surprise, la valeur transparence est brandie par les Suédois comme élément fondamental de leur culture. Mais il a été plus surprenant d entendre un responsable Français dire : «la transparence, c est une chose, mais l'apport aussi de tout ce qui est détection automatique, il ne faut pas se cacher le fait qu il y ait filet de sauvegarde et qu on puisse savoir systématiquement qu il y a eut rapprochement anormal, qu il faudra bien décortiquer l'incident, cela aide». La transparence n est donc pas conçue ici comme une visibilité des incidents, que l on pourrait obtenir, soit par des notifications volontaires, soit par les outils automatiques. La transparence est bien conçue comme une action volontaire (et donc, parfois, absente, puisque liée au libre arbitre d un sujet), qui est aussi complétée par l outil de détection automatique. La transparence n est donc pas conçue dans ce cas comme un état, mais plutôt comme une attitude : c est pourquoi la surveillance automatique par un système renvoie à autre chose (certes utile selon notre interlocuteur). La transparence n est pas la surveillance. EN CONCLUSION La comparaison de quatre centres de contrôle de trafic aérien a tenté de donner une photographie du contour singulier de chaque communauté : ces instantanés ne doivent surtout pas être considérés comme des situations figées, et liées à des cultures essentialisées, définissant une fois pour toutes des degrés de transparence précis. Il existe une dynamique de la transparence, avec l influence de facteurs allant des évènements les plus «micro» (un nouveau analyste d incident plus apprécié) aux plus «macro» (le changement de la loi au Danemark étant emblématique de ce type d influence). Une dernière conclusion à tirer de ce périple est qu un certain type de transparence «extrême 313» ne peut sans doute s observer qu au sein de groupes restreints, qui partagent un certain nombre de connaissances, de normes, et de représentations cognitives communes. Selon le type d organisation considéré, la communauté en question peut se restreindre à l équipe de contrôleurs, à la salle, ou s étendre un peu davantage. Par définition cette communauté ne peut sans doute s étendre à l espace public tout entier, comme une certaine 313 Nous évitons le terme de «transparence totale» qui est souvent de pure rhétorique.

186 186 P a g e rhétorique de la transparence aimerait à le croire, que dans des conditions rarissimes 314. Même en Suède, fleuron de la transparence, certains événements sont étudiés de façon très locale, comme nous l avons vu avec la notion du ETYCLF (Event That You Can Learn From), ils permettent une autre modalité du Retour d Expérience, à la fois réflexif et médiatisé par un animateur qui apporte un recul et des outils intellectuels : le sens de l événement est ainsi dégagé par cette confrontation collective. Mais il est vrai que cette transparence locale et restreinte s inscrit dans des modalités plus générales de visibilité importante des incidents, garantie par un contexte politique et culturel singulier. Dans d autres endroits, cette transparence peut se restreindre à la salle de contrôle et à quelques personnes de confiance dans le management intermédiaire (à Padoue). En France, la situation est très contrastée, avec un système automatique de recueil des incidents, et une participation désormais majoritaire des contrôleurs à une notification complémentaire pour comprendre ce qui s est passé. La Commission Locale de Sécurité est un exemple original à bien des égards, d une transparence orale très grande, combinée à une recherche de «cause» parfois un peu artificielle. La trace écrite de l incident est sans doute moins intéressante, mais elle sera tout de même transmise au niveau national, offrant tout de même des possibilités d analyse des risques dignes d intérêt. Eurocontrol, nous l avons vu, en fait le fer de lance de sa bataille contre l opacité sur les incidents. Mais si la garantie de non-punition reste effectivement une condition de base, il paraît très réducteur de ramener le problème de la transparence sur les incidents à la mise en place d une «non punitive» ou d une «just» culture. Dans chaque cas, le degré de notification volontaire est le résultat d éléments très mêlés qui ne peuvent être réduits à une atmosphère non punitive, ou bien à l absence de poursuites du contrôleur en cas d incident. Certains aspects (la confiance par exemple) ne peuvent se décréter, ou se mettre en place à coups de règles et de procédures. Des conditions favorables peuvent certes être crées. Cependant, l incident ne peut se réduire à un simple ensemble d «informations» comme le présente une certaine rhétorique de la gestion de la sécurité. Il peut avoir une charge émotionnelle pour le ou les contrôleurs impliqués. Il est dans certains cas un drôle d objet pour le contrôleur, à la fois souvenir d une grande peur mais également source de satisfactions intellectuelles lorsqu il est analysé, décortiqué. Rares sont les contrôleurs qui ne se passionneront pas pour un cas qui révèle tout à la fois le fonctionnement cognitif et les «ratés» de cerveaux entraînés, les passions humaines, les failles de l organisation, la culture d un centre, et même la particularité d une institution comme l aviation civile. L incident est parfois un miroir tendu aux acteurs du contrôle aérien : qu avons nous fait? Pouvons-nous «rendre compte» de cela? 314 On peut cependant imaginer qu à l occasion d une crise, par exemple d une catastrophe, des demandes notamment sous la pression d associations de victimes, amènent à une mise à plat complète de ces aspects.

187 P a g e 187 Nous allons maintenant remonter d un cran, la «chaîne» de la visibilité des incidents du contrôle aérien en examinant comme des responsables nationaux (des «safety managers») débattent de la sécurité à un échelon européen.

188 188 P a g e

189 P a g e 189 PARTIE II : L ENQUETE DE TERRAIN CHAPITRE 5 : DES ECHANGES EUROPEENS : LE SAFETY IMPROVEMENT SUB GROUP

190 190 P a g e 1. INTRODUCTION LES REUNIONS DU SISG : UNE OPPORTUNITE A SAISIR «L usage des nombres dans la gestion du monde social est souvent à l origine de tensions et de contestations dont la source réside précisément dans le caractère social et conventionnel, et non pas simplement métrologique, des nombres utilisés. D un point de vue d historien soucieux de construire une «histoire concrète de l abstraction» selon la belle formule de Jean Claude Perrot (1992), le moment intéressant est celui où ces méthodes sont conçues, mises en formes, outillées, discutées, critiquées, et enfin, parfois, mais non toujours, adoptées de façon routinisée par les acteurs sociaux». Desrosières 315 Lorsque nous avons commencé à organiser les visites dans les différents centres de contrôle aérien, Eurocontrol avait déjà mis en place depuis un an environ un groupe réunissant des représentants «sécurité» issus de ses états membres. Ce groupe avait commencé à se réunir sous l égide de la division SQS d Eurocontrol, avec le mandat de mettre en place des échanges sur la sécurité aérienne. Le SISG (Safety Improvment Sub Group, littéralement donc : groupe d amélioration de la sécurité) constituait par conséquent un observatoire sans précédent de premiers échanges entre représentants qui n avaient jusqu alors peu ou pas eu l occasion de communiquer sur les problèmes de sécurité qu ils rencontraient. Le représentant français, impliqué depuis le début dans ce groupe avait à plusieurs reprises, évoqué les travaux du SISG lors de nos entretiens. Devant mon intérêt envers ce qui constituait de toute évidence une formidable occasion de comprendre les enjeux de la mise en place d ESARR2 et les problèmes qui se dessinaient, il obtint ma participation, en tant qu observateur, à ces réunions. LE SISG (SAFETY IMPROVMENT SUB GROUP) Le Safety Improvment Sub Group (le SISG dans la suite du texte), avait pour but général l amélioration de la sécurité comme son nom l indique. Plus concrètement, il avait été mis en place par la SRU d Eurocontrol avec le mandat principal d aider à la mise en place de l ESARR2, le règlement stipulant les procédures de notification et de traitement des incidents. Ce groupe succédait au SMTF (Safety Monitoring Task Force), mis en place quelques années auparavant, de façon assez peu formelle, pour favoriser les échanges entre pays sur la sécurité, groupe qui était cependant restreint à la France, le Royaume-Uni et la Suède. 315 Alain Desrosieres. Pour une sociologie historique de la quantification. L argument statistique. 1. ParisTech. Les Presses des Mines (p.181)

191 P a g e 191 Avec la mise en place de l ESARR 2, ce groupe de travail va se transformer en SISG et être rejoint par de nouveaux pays. Ce groupe de travail va être le lieu majeur de discussion de la mise en place concrète de cette exigence réglementaire. Nous parlerons souvent de «pays» alors qu au sens strict il s agit bien de «fournisseurs de services de contrôle de la navigation aérienne» et de leur autorité réglementaire. Au Royaume-Uni le fournisseur est privatisé et séparé de son «autorité» (Civil Aviation Authority) depuis longtemps. Dans la plupart des autres cas, la séparation est récente (quelques années au plus), et l entité qui fournit le service de contrôle a des capitaux étatiques. Il n est pas anodin, symboliquement, que les «safety managers» se présentent comme des représentants nationaux, et soient presque toujours désignés de même par le chairman pendant les réunions. ETRE «TRANSPARENT» : QUELS ENJEUX? QUELS PROBLEMES? Malgré ces limites méthodologiques indiscutables, il nous a semblé que ce terrain permettait d explorer un pan de la transparence dans les organisations à risque rarement disponible à l analyse. La possibilité ainsi offerte de suivre les réunions et les travaux de ce groupe, constituait en effet une occasion unique d observer le travail de construction de compréhension de la sécurité, de débats, d échanges, de disputes aussi autour de cette notion. Il s agissait d une des premières occasions d échanges à un niveau européen, au sujet de pratiques nationales jusqu alors cloisonnées, et peu questionnées. Cela permettait en outre de remonter la chaîne de la visibilité des informations liées aux incidents : après les centres de contrôle, nous pouvions observer des «safety managers» nationaux travailler avec la SRC d Eurocontrol à la constitution de données à la destination finale de la PRC (commisison d examen des performances). Ces observations permettaient d analyser un cas concret de mise en visibilité d informations sensibles, et mettait en scène notre réflexion sur «la transparence dans les organisations à risque». Ainsi, des questions d ordre très générales trouvent ici un écho : que signifie «être transparent»? Quels sont les enjeux, pour une organisation, de la «publicisation» d informations sensibles comme les incidents? Quel statut et quel sens surtout donne-t-on aux chiffres communiqués? Quel rôle joue la confiance dans les stratégies des acteurs? De plus, les discussions sur ce qui pouvait constituer ou non un indicateur de sécurité, et sur la façon dont on pouvait se mettre d accord sur une méthode quantifiée d évaluation de la sécurité offraient une opportunité sans doute rare d analyser les aspects «sociaux et conventionnels» d accord sur les nombres, selon la formule de Desrosières citée en exergue de ce chapitre. Il nous a semblé que l observation sur un temps relativement long (une huitaine de réunions sur trois ans) permettait de montrer aussi des changements, dont certains ont été véritablement significatifs, ce qui donne un autre éclairage, plus dynamique sur la question que nous tentons d explorer ici.

192 192 P a g e 2. ESARR 2 : LA TRANSPARENCE SUR LES INCIDENTS ESARR2 : UNE EXIGENCE REGLEMENTAIRE DE SECURITE Rappelons pour faciliter la lecture de ce chapitre quelques éléments déjà évoqués dans le chapitre introductif à propos de l ESARR2. Cette règlementation s inscrit dans un ensemble réglementaire relatif à la sécurité élaboré par la SRC (safety Regulation Commission), la Commission de réglementation de la sécurité d Eurocontrol. Elle a pour objectif d avoir une visibilité plus systématique en Europe des évènements liés à la sécurité et à leurs causes. Le texte rend obligatoire la mise en œuvre, par les états, d un système de notification et d analyse des évènements liés à la sécurité dans le domaine de l ATM. La réglementation précise en outre qu Eurocontrol compte mettre au point «un ensemble harmonisé de définitions des événements ATM», il s agit de l activité HEIDI (Harmonisation of European Incident Définitions Initiative for ATM). Il est précisé «La qualité et la cohérence de la mise en œuvre de la présente Exigence de sécurité sont considérées comme hautement tributaires de la mise au point définitive de la taxonomie et des définitions HEIDI et de leur mise en œuvre». Enfin, «L'Agence Eurocontrol compte élaborer des Éléments indicatifs visant à l'harmonisation, entre les prestataires de services ATM de la zone Eurocontrol, des procédures et critères de notification et d'analyse des événements, et comportant une classification en fonction de leur degré de gravité 316». Le bulletin de la sécurité aérienne français précise : «(le règlement) établit la liste minimale des évènements qui doivent être notifiés et analysés par les états. Il définit les statistiques annuelles ventilées par type d évènement, causes, règles de vol, classes d espace, que les états doivent compiler et transmettre à Eurocontrol. Il ne demande pas la communication des données élémentaires sur chaque évènement. Ces résultats agglomérés au niveau Européen servent de base au rapport de la SRC à la PRC 317». La Performance Review Commission est le destinataire final de ce bilan de sécurité annuel, préparé par la Safety Regulation Commission. On reviendra plus tard sur quelques questions liées à ce destinataire final, dont la mission de préparer des bilans publics d évaluation des performances des différents fournisseurs de service de contrôle aérien. ESARR 2 vient donc prolonger et renforcer un règlement OACI (l annexe 13) qui est, on l a vu, loin d être respecté par tous les pays. Une définition aussi ouverte laisse cependant la place à des interprétations sensiblement différentes selon les fournisseurs de service et régulateurs. 316 Exigence Eurocontrol ESARR 2. Notification et analyse des évènements liés à la sécurité dans le domaine de l ATM» , Statut : Version autorisée, Classe : Diffusion générale. (p. 11) 317 Bulletin sécurité Circulation aérienne. Dossier : Evolution sur la notification des incidents. Service du Contrôle du Trafic Aérien. N

193 P a g e 193 Si, pour une partie des fournisseurs de service de contrôle aérien et leurs autorités réglementaires, il s agit «seulement» de communiquer à une autorité européenne des informations déjà collectées au niveau national, pour d autres il s agit véritablement de mettre en place des pratiques de retour d expérience inexistantes ou peu développées. EVALUER LA GRAVITE DE L INCIDENT : LA PROPOSITION ESARR 2 ESARR 2 propose quelques aménagements de la classification OACI. La gravité globale est «le système de classification des évènements selon la gravité de leurs incidences sur la sécurité des vols et celle des occupants de l aéronef». Elle se classe en A, B, C, D, E. (contre 4 classes pour l OACI). L ACCUSATION D OPACITE DE LA PART D EUROCONTROL Au moment de la mise en place du SISG, Eurocontrol a commencé par mener une enquête permettant de dresser un panorama des pratiques de Retour d expérience chez les différents fournisseurs de service de contrôle aérien. Il s agissait en premier lieu de vérifier la conformité des états à l annexe 13 de l OACI. Les conclusions du rapport sont sans détour, et agacent certains états, comme le résume pour nous la responsable de cette étude 318 : L'Annexe 13 de l'oaci oblige les états à rapporter les incidents sérieux. On l'a écrit et les gens sont choqués : la plupart des états ne respectent pas cette règle 319. Les organisations notifient un nombre d incidents très variable, et certaines n en déclarent même aucun. Au sein de la SRU d Eurocontrol, l absence totale ou quasi totale d incidents dans certains pays n est pas le signe d une sécurité «parfaite» mais bien plutôt d une opacité certaine. Il s agit cependant d une lecture avertie, au sein d une institution qui, par exemple, peut disposer de chiffres dans l aviation, du côté des compagnies aériennes par exemple. La compréhension qui ressort de cette lecture, est que les compagnies qui déclarent un nombre élevé d incidents sont les «grandes» compagnies ayant une politique de gestion de la sécurité développée, une réputation de sérieux. Cette lecture avertie n est cependant pas encore partagée par tous, loin s en faut. On reviendra plus tard sur les débuts du SISG et les premières communications des chiffres rendues obligatoires par l ESARR Martine Blaize. Safety regulation commission SRC Doc 2. Aircraft Accidents/incidents and ATM contribution. 319 Les états ne sont cependant pas mentionnés.

194 194 P a g e 3. LES PREMIERES REUNIONS DU «SAFETY GROUP» DES DIFFERENCES IMPORTANTES LES MODALITES DE LA COMMUNICATION Les premières réunions permettent de faire le point, de débuter les échanges, dans une période qui est d abord celle d une observation réciproque teintée d un peu de méfiance. Nous n avons pas assisté à ces premières réunions, et le résumé qui est tenté maintenant est essentiellement basé sur des entretiens avec le représentant français, et sur la base d une note interne de l aviation civile française transmise par un autre représentant, initialement impliqué. Il faut noter également qu au moment de la mise en place des réunions SISG, ESARR2 est au tout début de son application, la plupart des pays (des fournisseurs de service) sont en train de traduire le règlement dans leur droit national pour le rendre effectif. Il est prévu qu en marge de la communication par l AST à la SRU des incidents, le SISG soit le lieu de communication régulière des problèmes liés à la sécurité, présentés par chaque représentant au groupe des autres safety managers. Comme son nom l indique, il s agit bien au final d améliorer la sécurité de tous grâce à ces échanges. Cette présentation comprend entre autres, la communication de chiffres (nombre d incidents, évaluation de leur gravité). Chaque safety manager représentant un pays (un fournisseur de service de contrôle de la navigation aérienne) est donc censé transmettre ses chiffres nationaux, préalablement consolidés sur la base des données transmises par chaque centre de contrôle. Les premiers constats montrent des différences importantes, tant au niveau du nombre d incidents (que certains refusent tout simplement de communiquer) qu au niveau de l évaluation de la gravité de ces incidents. Un autre souci concerne l utilisation du système de base de données proposé par Eurocontrol (TOKAY). Cet outil permet de générer automatiquement l AST (le bilan de sécurité annuel) exigé par ESARR 2. Mais certains pays disposent déjà d un système de base de données incidents. C est le cas de la France (système INCA) et du Royaume-Uni (système ATSIS). Entre les bases de données «nationales» et TOKAY, la terminologie diffère notablement. Un travail de traduction est nécessaire pour fournir l AST à partir des données nationales déjà élaborées. Cette traduction génère en outre un travail spécifique pour le moins laborieux (trois semaines de travail au total pour la France par exemple), mais elle est surtout une source de problèmes épineux pour opérer la traduction d une catégorisation à une autre.

195 P a g e 195 UN NOMBRE D INCIDENTS TRES VARIABLE Dans le chapitre précédent, les pratiques de notification et d analyse des incidents de quatre centres de contrôle aérien ont été comparées. On a pu ainsi examiner des différences importantes qui expliquent pourquoi in fine, des chiffres très différents pourront dans un second temps être transmis au niveau national pour chacun des pays considérés. La France, la Suède et l Italie ont envoyé un représentant, mais pas Malte, qui rejoindra d ailleurs le SISG après ma visite à La Valette. Ce qui peut s observer au niveau du SISG est d abord le reflet de ce qu on a pu analyser dans les quatre centres de contrôle visités. Les débuts du SISG voient par conséquent ces différences au niveau national s afficher clairement. Si on considère maintenant la douzaine de pays participant au SISG, il est clair que les spécificités des caractéristiques analysées dans l étude détaillée de chaque centre vont altérer la pertinence du résultat global. Certains pays n analysent que les airproxs : ce sont les incidents qui ont fait l objet d une réclamation de la part d une compagnie aérienne et ce sont bien sûr les incidents les plus visibles, dans la mesure où ils sont révélés «à l extérieur» de l organisation de contrôle aérien. La compagnie aérienne déclare souvent son airprox directement au service en charge de la sécurité. Par conséquent, la prise de connaissance de ces incidents ne dépend pas d une notification volontaire par les contrôleurs impliqués dans l incident. Dans la comparaison des quatre centres de contrôle présentés dans le chapitre précédent, nous avons vu que Padoue et Malte focalisaient l essentiel de leurs analyses sur les airproxs. D autres pays peuvent davantage compter sur la notification volontaire de leurs contrôleurs, avec l exemple particulièrement «idéal» de la Suède, où la transparence sur les incidents semble ancrée dans une «culture de la transparence» (pour reprendre une expression utilisée par les contrôleurs eux-mêmes) très développée. La France constituait encore un autre cas de figure, avec l existence conjointe d un système de détection automatique des pertes de séparations, qui ne permet donc pas de «dissimuler» la perte de séparation, mais liée à un pouvoir discrétionnaire du contrôleur, qui peut choisir de participer ou non à l enquête en cas d incident avéré. Seuls la France et le Royaume-Uni disposent d un outil de détection automatique des incidents 320. La notification des incidents par les contrôleurs reste par conséquent une source d'informations primordiale, comme le chapitre précédent l a montré. Les aspects légaux, c est-à-dire les peines encourues par les contrôleurs en cas d incident vont également avoir un impact sur la notification volontaire des incidents qui ne peuvent pas être connus du système de gestion de la sécurité par un autre moyen. Une étude commanditée par 320 Pour rappel : OPERA pour la France, et SMF pour les anglais. L ASMT, est à cette époque en test pilote dans le centre de Maastricht.

196 196 P a g e la PRC d Eurocontrol 321 a dressé la cartographie des «legal impediments» (littéralement : des «freins liés aux aspects légaux») dans l ensemble des états membres. On peut aisément imaginer que dans les pays où une mise en examen est possible pour un ou des contrôleurs impliqués dans un incident, ces derniers seront peu enclins à notifier d eux mêmes un incident à leur hiérarchie si celui-ci peut rester connu d eux seuls. L exemple Danois 322 (Fassert, 2001) est à cet égard très probant, et il a démontré l impact d un changement de loi sur les pratiques de notification des incidents par les contrôleurs, qui sont passées de quasi nulles à un chiffre «honorable». Il reste cependant à étudier l impact précis des lois, ce qui est assez complexe. Il ne suffit pas, en effet, de prendre en compte l existence ou pas d une loi pouvant permettre la mise en examen d un contrôleur impliqué dans un incident. Il faut examiner l application effective ou non de la loi par les services de contrôle de la navigation aérienne, une loi pouvant paraître sévère sur le papier, mais n avoir jamais avoir été effectivement appliquée. Tous ces éléments sont donc à prendre en compte et dessinent à chaque fois un impact particulier du légal sur les pratiques des contrôleurs. La responsable de l organisation professionnelle des contrôleurs au Danemark, nous expliquait ainsi, à propos de l absence de notifications au Danemark, avant le changement de la loi, particulièrement punitive : Il y avait aussi d autres raisons de ne pas reporter 323. L une était la crainte d avoir une amende, l autre était de perdre la face», parce que la culture précédente impliquait : on ne fait pas d erreurs. Une autre explication est que le reporting n était pas utilisé du tout de façon proactive. Je pense 321 Legal Constraints to Non-punitive ATM Safety Occurrence Reporting in Europe Outcome of a Survey conducted by the Performance Review Unit in Eurocontrol. December Hélas, au nom de la confidentialité ( ), ce rapport ne décrit pas le contenu de la loi pour chaque pays. Il donne des pourcentages de pays avec telle ou telle type de loi permettant la poursuite des contrôleurs ou des pilotes en cas d incidents, et désidentifie les réponses au questionnaire. 322 Jusqu au 1er juillet 2001, la loi Danoise (Danish Aviation Law) permettait de soumettre à l amende un contrôleur ayant eu un incident. La perte de la licence, et dans des cas extrêmes, la prison étaient également prévues, quoique non utilisées. Le DATCA (organisation professionnelle Danoise du contrôle Aérien) a initié le changement de loi. Leur argumentaire s est principalement construit sur la nécessité de connaître les incidents pour faire du retour d expérience. En effet, très peu d incidents étaient reportés, la notification d incidents étant réservé aux cas pour lesquels l autre côté (les pilotes pour les contrôleurs et vice versa) pouvait être rendue responsable. Pendant longtemps, l administration s est félicitée de ce qui apparaissait comme une bonne sécurité, attestée par le très petit nombre officiel d incidents. Le changement de loi initié par l organisation professionnelle des contrôleurs aériens Danois a été organisé en impliquant les différents media dans un débat public, (dont des émissions de télévision, de nombreux articles dans la presse) qui mobilisa les citoyens Danois sur des réflexions de fond sur la justice et la sécurité des grands systèmes. 323 But there were also other reasons for not reporting. One is the fear to be fined, another is the loss of face, because the old culture was that we don't make mistakes and yet another explanation is that reporting were not used in any proactive way at all. I think that we could have lived with the fine (or worse) if only the reports were also used for something else, so as to prevent the same thing from happening again. But the reports were only used to place blame. And another factor was definitely a very long and slow investigation process. We have several examples of cases, which have taken 2 years to investigate - only to find out that the controller was to blame and had to be fined. No other recommendations came out. This has also been a reason for not reporting. It is a very demanding task and very destructive to any human being to live in uncertainty for so long.

197 P a g e 197 que nous aurions pu vivre avec les amendes (ou même pire) si seulement les rapports avaient été utilisés pour quelque chose d autre tel qu empêcher que la même chose ne se reproduise. Mais les rapports étaient utilisés seulement pour attribuer la faute à quelqu un. Et un autre facteur était un processus d investigation très long et très coûteux. On a eu plusieurs exemples de cas, qui ont pris deux ans à investiguer : seulement pour conclure que le contrôleur était à blâmer et devait être mis à l amende. Aucune autre recommandation. Ceci aussi fut une raison de ne pas reporter. C est une épreuve très longue et très exigeante, pour n importe quel être humain, que de vivre dans l incertitude pendant si longtemps. DES DIFFERENCES DANS L EVALUATION DE GRAVITE. LES CATEGORIES DE GRAVITE PROPOSEES PAR L ESARR 2 La réglementation ESARR 2 stipule les types d incidents à reporter, mais propose une classification en fonction de la gravité. Cette classification comprend cinq catégories, qui reprennent les quatre catégories de l OACI, avec une correspondance A : A, B : B, D : D. Elle modifie la définition du C qui devient événement à risque : ce sont par exemple des incidents qui n impliquent souvent qu un seul avion, et pour lesquels, il n y a pas eu de risque dans ce cas précis, mais cela aurait pu être le cas dans d autres conditions 324. Par exemple, une incursion de piste alors que la piste est libre peut être considérée comme un incident car il aurait pu y avoir un autre avion. Ou bien, un franchissement de niveau par un avion (level bust), sans conséquence si le niveau est libre, aurait pu constituer un incident si le niveau avait été à ce moment-là occupé par un autre avion. La classification ajoute aussi la catégorie E : «sans conséquence pour la sécurité». Ces deux catégories supplémentaires vont poser des problèmes d interprétation, et générer beaucoup de questions. Une première réaction des Etats membres consiste en un sentiment de surprise envers ce changement effectué par rapport à la classification de l OACI, utilisée depuis longtemps par tous les pays. La différence entre C et E est au début source de difficultés pour la plupart d entre eux. En outre, la méthode qui permet de classer un incident dans une catégorie ou une autre ne fait pas partie de la réglementation. Les fournisseurs de service et leurs autorités réglementaires nationales ne sont pas tenus d utiliser une méthode particulière. Les évaluations sont d ailleurs, on l a vu, peu outillées en général, et souvent basées sur un jugement d expert. 324 Ceci reprend les aspects dits «contrefactuels» sur lesquels nous reviendrons.

198 198 P a g e DES DIFFERENCES DANS L EVALUATION DE LA GRAVITE DES INCIDENTS Un autre aspect de la gestion de la sécurité concerne l évaluation de la gravité de chaque incident. Les chiffres sont souvent communiqués lors des premières réunions avec parcimonie. Deux «grands» fournisseurs de service de contrôle, le Royaume-Uni et la France font sans conteste partie des pays «transparents» qui communiquent leurs chiffres (nombre d incidents, classés par types de risque, mesures, etc.). Ces chiffres sont d ailleurs assez similaires, et élevés, puisque ce sont les seules organisations dotées d un outil de détection automatique des pertes de séparation. Cependant, Anglais et Français diffèrent sur un aspect non négligeable. Lors d une des premières réunions du SISG, le représentant français s adresse à son homologue anglais : «Comment se fait-il que sur, mettons, 100 incidents, vous en ayez 20 pour lesquels vous considérez que le risque est grave (Classé A), alors que nous ce serait plutôt 80?». L hypothèse d incidents français systématiquement graves, et d incidents anglais tout aussi systématiquement anodins paraît d emblée peu probable, en tout cas moins plausible que des façons d évaluer la gravité différentes dans chaque cas. Les discussions informelles, les premiers échanges du SMTF ont préparé le terrain, et il serait naïf d en rester là. C est en tout cas l avis des organisateurs du SISG, qui proposent d étudier plus avant la question. Il s agit de toute façon de replacer cette différence Anglo-Française dans le contexte plus global d un accord à trouver dans l évaluation de la gravité par les différents participants. Les organisateurs proposent une première grille qui permettrait d homogénéiser les évaluations. Cette grille est, semble-t-il, assez largement basée sur la grille utilisée par les anglais (le NATS). Une petite expérimentation est tentée : évaluer un corpus d incidents, avec ou sans la grille, examiner les différences entre les pays. Un atelier est organisé afin de tester ces grilles. Dans une note de synthèse (interne à la Direction de la Navigation Aérienne 325 ), la représentante française note : «Ces exercices confirment que (les Anglais) ont vraiment un mode de classification différent des autres pays (et classent en C des évènements que tous les autres classent en B ou même en A)». QUELQUES ELEMENTS D EXPLICATION Comme nous l avons déjà souligné, nous n avons pas participé aux premiers temps du SISG, et disposons de peu de données. Il semble cependant que les organisateurs du SISG aient décidé après quelques réunions de travailler à une méthode harmonisée d évaluation de la gravité. L analyse des différences expliquant pourquoi un même incident pouvait être classé comme plus ou moins grave selon les safety managers n a pas été poussée plus avant, pas au-delà des discussions informelles de l atelier, dont il n a pas été produit de compte-rendu. Pour 325 Communication personnelle.

199 P a g e 199 Eurocontrol, en effet, l urgence n était pas tant de comprendre les différences que d aller ensemble vers une harmonisation des méthodes, qui rendra ainsi les données un peu plus comparables. Un autre discours qui apparaît rapidement est celui de l objectivité : cette objectivité de l évaluation, qui doit permettre d évaluer la «vraie» gravité de l incident devient une référence centrale dans les discussions. On peut cependant rappeler ici brièvement quelques éléments qui expliquent ces différences, et qui avaient été identifiés dans un travail précédent (Fassert, 2001), car dans la suite de ce chapitre, on reviendra sur les enjeux liés à l harmonisation des méthodes pour la transparence de données liées à la sécurité que sont bien sûr les incidents. D abord, comme on vient de le souligner, l évaluation du risque est plus ou moins explicite et plus ou moins formalisée selon les organisations. Dans certains cas, l évaluation est individuelle, laissée à la discrétion de l analyste d incident, ou du responsable de la sécurité local. Dans d autres cas, elle est plus collégiale, et l évaluation est le fruit de discussions. Elle peut s aider de critères préétablis qui permettent de juger différents paramètres (par exemple, la distance minimale entre les 2 avions). Enfin, cette évaluation peut être formalisée dans une grille comprenant un ensemble de points à couvrir, faisant chacun l objet d une «note» permettant de calculer automatiquement le score global et classer l incident dans une catégorie de gravité. Ce dernier cas ne concerne que les Anglais. Une deuxième différence montre que le statut donné à un système embarqué d alarme et de résolution des conflits (le TCAS) n est pas le même selon les organisations. Ainsi, dans sa feuille d évaluation, le NATS considère que le déclenchement du TCAS écarte tout risque (lorsque, bien sûr, il s est déclenché et que l avis de résolution a été suivi par le pilote). Pour d autres organisations, (c est le cas de la France, de l Italie par exemple) le déclenchement de cette alarme mène de façon quasi automatique, à classer l incident comme très grave, dans la catégorie «risque maximum». Pour les Français, en effet, un avis de résolution TCAS (TCAS RA) implique non seulement une faible séparation entre aéronefs mais surtout une faillite du contrôle, chargé de séparer les avions. Les Anglais argueront que si le TCAS s est déclenché (et que le pilote a suivi son avis de résolution), la sécurité a été assurée, car le TCAS ayant pour mission d éviter les cas de risque de collision non résolus par le contrôle. Ces explications dessinent ainsi une place accordée au système technique TCAS très différente : soit ultime secours en cas de faillite, soit partenaire somme toute «ordinaire» d un ensemble socio-technique qui assure la sécurité. Ainsi, une certaine symétrie entre système et humain se donnerait à voir dans la vision des britanniques, tandis que d autres approches excluraient le TCAS d une obtention «normale» de la sécurité. Son statut de «dernier recours» serait alors souligné, et son déclenchement considéré à lui seul comme le signe d une sécurité gravement atteinte. De chaque côté, l institution s est stabilisée autour d une vision naturalisée de la place du TCAS dans un système qui renvoie à chaque fois à une représentation différente de la sécurité.

200 200 P a g e Enfin, l évaluation peut se restreindre aux faits observés dans l incident, ou bien s ouvrir à d autres scénarios. Ainsi, l étude réalisée par Barriquault 326 montre l utilisation de raisonnements «contre factuels» chez les analystes d incidents français qu il étudie. Le «contre factuel» est la prise en compte d éléments qui ne se sont pas produits dans cet incident particulier, mais qui, s ils avaient été présents, auraient pu mener à l accident. Il montre l utilisation de raisonnements de type «si (autres conditions) alors (catastrophe)». Ce qui rejoint d'ailleurs ce que Weber considère comme la véritable analyse causale historique, qui ne saurait faire, selon lui, l'économie de ce détour vers ce qui, justement, n'est pas arrivé. Comme le synthétise Aron dans son commentaire sur Weber : "La construction de l irréel est un moyen nécessaire pour comprendre comment les choses se sont réellement déroulées 327 ". Barriquault dans une étude très fine du travail des analystes d incidents dans des centres français montre d'ailleurs que, dans certains cas, ce type de raisonnement incite à classer un incident dans une catégorie de risque plus élevée que ce que donnerait la simple prise en compte du déroulement réel des faits. Cependant, (et c est ici que l on voit l importance de l analyse des objets techniques dans la construction de la sécurité, y compris leur rôle dans la production d une forme d opacité), la base de données qui permet d'enregistrer les incidents ne permet pas de rendre compte de toute la richesse de ce type de raisonnement. Dans notre propre recherche, on verra qu à l inverse, les Anglais défendent explicitement une approche qualifiée par eux-mêmes de pragmatique. Les explications accompagnant la feuille d évaluation stipulent clairement qu il s agit de «prendre en compte les faits, mais non ce qui aurait pu se passer», et entend défendre par là une évaluation du risque plus précise, centrée sur cet incident-là. On peut faire l hypothèse que cette mention de l'importance de s'en tenir aux faits est le signe que ce point a été un objet de débats, entre les «contre-factuels» et les «strictement factuels» avant que l'on ne tranche pour cette deuxième approche. Le principal diagnostic d Eurocontrol est celui de très grandes différences entre les pays quant à la transparence dont ils font preuve sur les incidents. Les chiffres sont différents, et la définition d un incident varie également. L atelier qui a permis d expérimenter concrètement l évaluation de la gravité a montré que les safety managers des différents pays (considérés comme des experts de leur domaine) ne sont pas en accord sur leur appréhension des risques : un même incident n est pas classé avec le même niveau de gravité par les différents représentants. Le maître mot d Eurocontrol sera donc «harmonisation», et nous allons maintenant suivre pas à pas quelques étapes de cette recherche d un consensus autour de ces questions : qu est-ce qu un incident? Comment évalue-t-on sa gravité? 326 Cyril Barriquault. «Représentation d'incidents dans le retour d'expérience de la navigation aérienne. Thèse de doctorat de Psychologie. Paris Raymond Aron. Les étapes de la pensée sociologique. Tel, Gallimard (p.515)

201 P a g e 201 UNE PREMIERE PROPOSITION D HARMONISATION DES METHODES D EVALUATION DE LA GRAVITE DES INCIDENTS Eurocontrol va par conséquent se lancer dans une entreprise d harmonisation des méthodes d évaluation de la gravité. L idée surgit assez rapidement de proposer une méthode restreinte à la partie «contribution ATM», c'est-à-dire la contribution spécifique du contrôle du trafic aérien dans l incident. Cette méthode est explicitement basée sur celle du NATS Anglais, et la justification avancée est simple : les Anglais sont les seuls à avoir développé une méthode formalisée et quantitative, qu ils utilisent opérationnellement. Les autres pays se basent, au pire, sur le seul jugement d un analyste ou d un chef de centre, au mieux sur l examen systématique de critères, faisant en même temps une large place au jugement expert de l analyste d incident (c est le cas de la France par exemple). La méthode du NATS est quand à elle particulièrement formalisée. Elle a de plus été éprouvée opérationnellement par les analystes d incidents Anglais, qui l utilisent depuis plusieurs années, et elle constitue de ce fait une excellente base. La feuille d évaluation présentée par Eurocontrol apparaît effectivement rapidement comme une quasi-copie conforme de la méthode anglaise. Cette feuille d évaluation est constituée de dix questions concernant les circonstances et la nature de l incident et de sa résolution. Pour chaque réponse, des points sont attribués. En faisant la somme de ces points, on obtient un «score» qui correspond à une catégorisation de l incident en «très significatif», «significatif», «non significatif». Il n y a cependant pas de traduction directe de cette classification en classification OACI. Les réactions sont très diverses. La méthode elle-même est finalement peu discutée en première analyse, car les discussions portent d abord sur l idée de prendre pour base de l harmonisation la méthode d un des participants. Dans les couloirs, certains participants se plaignent de l hégémonie anglaise. Mais il est aussi difficile d attaquer les Anglais, deux participants charmants qui défendent, bien sûr, le pragmatisme de leur approche : ils ont proposé à Eurocontrol leur méthode, qui n est peut-être pas parfaite, mais qui existe et est couramment utilisée. Qui peut proposer une alternative? Personne à ce jour. Le chairman d Eurocontrol passe beaucoup de temps pendant la réunion à justifier le fait de reprendre la méthode du NATS. Elle existe, elle fonctionne bien : pourquoi réinventer autre chose? En séance, l opposition est assez molle. Les «petits» fournisseurs de contrôle aérien semblent en général prêts à adopter cette méthode. Ils n ont pas développé de pratiques bien formalisées en interne, et la plupart n ont de toute façon que très peu d incidents. Voici une méthode toute prête qu ils pourront sans doute bientôt remporter dans leurs services, dûment estampillée comme «moyen acceptable de mise en conformité» pour évaluer les incidents, et par conséquent, moyen assuré d être en règle avec ESARR 2 : que demander de plus?

202 202 P a g e Le représentant français est sans doute le plus réticent. Il souhaite visiblement bien appréhender tous les mécanismes de «scoring» des différentes questions, avant de se prononcer. Il veut comprendre, tester, s assurer que la méthode mesure le «vrai» risque. Il rappelle que des travaux sont en cours, dans les différents services français, pour réfléchir à l élaboration d une méthode : il doit prendre ces points de vue en compte. Il ne souhaite visiblement pas s engager trop vite, quoique sans marquer non plus d opposition frontale envers ce qui est proposé. Le représentant Italien également rappelle que les analystes ont leurs «habitudes». Il est proposé en conclusion que chaque fournisseur de contrôle s essaie à l adoption de la méthode dans ses différents centres, et revienne avec ses remarques. On devrait ensuite pouvoir décider dans la ou les séances suivantes des aménagements nécessaires pour faire de cette méthode un outil de référence d évaluation pour les analystes, et obtenir ainsi une évaluation enfin «objective» de la gravité des incidents. Les réunions se décomposeront en «ateliers» où s élaborent et se discutent les méthodes, et en «réunions SISG» proprement dites, plus formelles. 4. LES CARNETS ETHNOGRAPHIQUES DU SAFETY GROUP EN PREAMBULE : LES LIMITES DE L ENQUETE Il faut noter un point méthodologique important : je n ai pas assisté dès le début à ces réunions, et de plus, il ne s agissait pas à l origine d un «terrain» à part entière. La participation à ces réunions m est longtemps apparue comme une simple occasion de glaner quelques idées complémentaires pour le travail de terrain prévu (la comparaison entre les quatre centres de contrôle), puisqu elles concernaient des questions afférentes à la mise en place d ESARR2. Ce n est que tardivement qu il me sembla dommage de ne pas utiliser les données recueillies certes avec moins de systématicité et de détails que dans les centres visités et de leur donner le statut d un matériau ethnographique au même titre que les visites prévues. Il existe de ce fait des lacunes dans les données ainsi collectées, lacunes qui n ont pu être corrigées ensuite que partiellement. Et ceci d autant plus, qu au nom de la confidentialité qui restera un leitmotiv tout au long des réunions, les comptes-rendus des réunions du SISG réalisés par le chairman d Eurocontrol, resteront très succincts. Notamment, les données communiquées sont «désidentifiées», et les noms des pays remplacés par de simples numéros : «ANSP (Air Navigation Service Provider) 1, «ANSP 2», etc. LE CONTEXTE Au moment où je sollicite, appuyée par le représentant français, ma participation aux réunions du SISG et aux «ateliers» organisés en parallèle, l harmonisation préconisée par Eurocontrol a déjà bien commencé. Plus d un an s est écoulé depuis la proposition d Eurocontrol d adopter

203 P a g e 203 une méthode sur la base de celle utilisée par le NATS. Les réactions, me rapportent mon interlocuteur français, sont très diverses. Certains représentants semblent venir avant tout en observateurs, et se gardent bien de véritablement communiquer des informations (chiffres ou autres) sur leur sécurité. Ils ont peu réagi à la proposition d harmonisation. Le représentant français quant à lui a entrepris de réfléchir avec les cellules «Qualité de Service et Sécurité» de chaque centre, qui travaillent à une harmonisation nationale déjà difficile. Il fait le lien entre la demande d harmonisation européenne et les dissensions internes : une position pour le moins délicate. Nous avons choisi de raconter les différentes réunions au fil du temps : les problèmes traités alternent, entre discussion sur les chiffres (le nombre d incidents) et les problèmes de sécurité, et élaboration d une méthode commune d évaluation de la gravité des incidents. Ce n est que dans la synthèse que des éléments d analyse séparés seront proposés. Les réunions et les ateliers ont été renumérotés : l atelier 1 est le premier atelier auquel je peux assister, et non le premier organisé. ATELIER 1 : LA NOUVELLE METHODE DES ANGLAIS Le premier atelier auquel je participe accueille une surprise de taille. Le NATS Anglais arrive en effet en séance en proposant une nouvelle grille d évaluation récemment mise au point dans leurs services. Les participants sont surpris : une partie d entre eux a commencé à mettre en place la méthode d Eurocontrol, proposée un an auparavant, sur la base de la première méthode Anglaise. Les enjeux sont désormais différents. Eurocontrol considère que cet atelier va permettre de valider une des deux grilles proposée par le NATS, la première ou la nouvelle, et de terminer ainsi sans doute les débats. Il est clair que les personnes du NATS sont satisfaites de la nouvelle méthode qu ils viennent de développer, et espèrent convaincre leurs homologues européens de ses qualités. Cette nouvelle méthode pourrait constituer une nouvelle base de travail pour une méthode commune, voire être adoptée telle quelle, ce qui permettrait de bénéficier de l expérience accumulée en la matière par les Anglais. LA NOUVELLE GRILLE DU NATS Une des diapositives de présentation stipule : «le NATS considère que la nouvelle grille d évaluation est conforme aux grands principes d ESARR2 328». La première différence essentielle entre la première grille et cette nouvelle grille est la disparition de la première question «le système et les procédures sont-elles en cause?». Huit points étant attribués pour une réponse positive, le score final classait l incident au minimum dans le «significatif» et souvent dans le «très significatif» dès que ces aspects étaient mis en cause. La nouvelle grille est donc davantage axée sur la résolution de conflit par le contrôleur, et laisse de côté des aspects organisationnels ou même le contexte. 328 NATS considers that the new SSE scheme meets the broad principles of ESARR 2».

204 204 P a g e Le représentant anglais se lance dans un exposé détaillé des raisons qui le conduisent à élaborer une nouvelle méthode d évaluation de la gravité des incidents. Nous les reprenons point par point. LES NOTIFICATIONS VOLONTAIRES AUGMENTENT Le NATS résume dans un transparent intitulé «le besoin de changer» les raisons d élaborer une nouvelle grille.. Une note de commentaire précise : Le NATS fait face à une augmentation significative d événements dans les aéroports, qui est probablement due aux taux de notification et à une classification inappropriée d évènements additionnels. Si cela continue, cela donnera l impression que la sécurité des aéroports est en train d empirer de façon significative De façon générale, en effet, la notification volontaire est extrêmement sensible aux diverses campagnes d informations 330 (publications liées à la sécurité, affichages dans les salles de contrôle concernant un risque, le plus souvent sous la forme d une affiche, et d un message facile à mémoriser) à condition bien sûr qu il existe un minimum de confiance des contrôleurs envers leur hiérarchie. Ce type d information va aiguiser la perception d un événement comme «risqué» et son accession à un statut d incident qui mérite d être signalé. Or, le NATS est doté d un système de gestion de la sécurité sophistiqué et très dynamique dans la réflexion sur les risques : ce type de sensibilisation est par conséquent très développé. LA GRAVITE DES INCIDENTS EST SUREVALUEE Une autre raison des changements proposés n est pas non plus anodine dans un contexte de transparence. La première grille, défendent les personnes du NATS avait tendance à «surévaluer l événement». C est-à-dire, concrètement, à classer en «très significatifs» des incidents «qui ne l étaient pas vraiment», voir «en significatif des incidents qui ne l étaient pas du tout». A ma grande surprise, ce dernier argument n a pas été discuté. Les Anglais répètent plusieurs fois que la première méthode posait des problèmes de «surévaluation». On pourrait imaginer une question telle que : «Mais, enfin, comment pouvez vous juger de cette surévaluation? Existe-t-il une quelconque mesure absolue, (le «vrai risque»), à l aune de laquelle vous pourriez comparer votre grille, et conclure ainsi que celle-ci «surévalue» la gravité de l incident?». Cette question n est pas posée par les participants. La surévaluation semble donc 329 NATS is currently faced with a significantly increase in SSEs for airports which is probably due to reporting rates and inappropriate classification of additional events. If this continues, it will appear as if the safety of airport operations is getting significantly worse 330 De même, une formation comme le TRM qui propose une réflexion globale sur la gestion des erreurs, individuelle et collective, et qui présente le rôle du retour d expérience aura aussi cette influence, qui fut très marquée en France dans certains centres.

205 P a g e 205 être diagnostiquée sans que cela pose davantage question à quiconque. Nous reviendrons plus loin sur ce point. LES ASPECTS ORGANISATIONNELS DOIVENT ETRE GERES DE FAÇON PROACTIVE. Pour expliquer cette disparition des aspects organisationnels au sens large dan leur nouvelle méthode d évaluation, les Anglais défendent que l organisationnel doit être géré de façon «proactive». En d autres termes, traités et résolus, ces problèmes devraient disparaître à terme. Le représentant français s élève fermement contre l élimination de cette première question. Il donne quelques exemples de ce qui peut entrer dans l analyse causale de l incident dans sa propre catégorisation 331 : armement insuffisant de la position de contrôle, culture locale incitant au dégroupage tardif des secteurs, non respect de certaines procédures comme habitude de travail, et qui font partie, selon lui, de ces «problèmes organisationnels». Les Anglais répètent que ces problèmes devraient être gérés en amont, et ils ne devraient donc pas exister. Le représentant français persiste 332 et juge le point de vue anglais «peu réaliste». «PRESQUE PLUS D EVENEMENTS «TRES SIGNIFICATIFS»» La conclusion des Anglais quant à la nouvelle grille comprend un argument de taille : «grâce à cette nouvelle grille, on n a presque plus d évènements très significatifs». Les Anglais ont ainsi satisfaits d annoncer à la presse «une baisse des incidents graves pendant les 6 derniers mois» en omettant de préciser, que les modalités d évaluation de ces incidents expliquent sans doute largement cette baisse. Le régulateur anglais garde ses distances quant à cette mécanique. «NATS has its view on things, and we keep ours» commente sobrement mon interlocuteur de l autorité de régulation lorsque je l interroge à ce sujet. LES REACTIONS DES PARTICIPANTS Un tour de table est proposé par les organisateurs du SISG : il s agit de se prononcer pour la première ou la nouvelle grille du NATS, qui constituera ainsi une base pour la grille d évaluation proposée par ESARR2. Les représentants penchent davantage pour la première grille : la méthode Eurocontrol basée sur la méthode initiale du NATS. L argument avancé est tout simplement : on utilise déjà la première grille. C est le cas des Allemands, des Italiens qui 331 Nous avons vu quelques unes de ces «causes» dans la partie «comparaison de quatre centres» dans le chapitre précédent. 332 On retrouve ici un débat assez classique entre une sécurité normative, dans laquelle l organisation mise en place (sélection, formation, procédures, etc.) est garante de la sécurité obtenue et une vision que l on peut qualifier, à la suite d Amalberti d «écologique» qui reconnaît l incomplétude structurelle du fait organisationnel, dans un environnement complexe et non totalement maîtrisable, car incertain, et la place pour des ajustements toujours locaux, toujours non déterminés. Les théorisations en terme de «sécurité écologique» sont beaucoup plus prégnantes en France.

206 206 P a g e ont largement entamé le processus de mise en place de la nouvelle méthode «approuvée ESARR2». Les participants rappellent, un peu surpris, que la grille a été proposée quelques mois auparavant par Eurocontrol comme futur standard. Les participants sont surtout décontenancés par cette bizarrerie anglaise qui vient «vendre» une nouvelle méthode alors même qu Eurocontrol avait largement utilisé leur méthode initiale lors du SISG précédent, six mois auparavant. Les arguments anglais ne sont pas très convaincants, et surtout, ils semblent répondre à des problèmes internes et spécifiques de leur organisation 333 : par exemple, l augmentation de certaines notifications volontaires qui «donnent l impression que la sécurité a été dégradée» et qu il faut contrecarrer par une modification de l évaluation de la gravité. Les arguments anglais («meilleure méthode», «moins subjective», etc.) ne paraissent pas convaincre une assemblée très sceptique devant ce revirement. Le représentant français se montre particulièrement critique. Il est en effet dans une posture difficile, car il arrive avec pour mandat de refuser cette seconde grille. Le Service de Contrôle du Trafic Aérien et les QS (Qualités de service et sécurité des centres) reprochent en effet à cette nouvelle méthode de se focaliser trop sur l opérateur de première ligne 334, à savoir ici le contrôleur, au détriment, justement, de l identification des facteurs organisationnels dont on vient de voir quelques exemples. Cette focalisation sur le contrôleur et ses actions pour juger de la gravité d un incident est le point majeur de désaccord. Il va étayer sa critique sur des points précis et techniques de l évaluation, et prend deux aspects sur lequel son désaccord est très clair. Selon lui, un incident rattrapé par l ATM doit être évalué de façon différente d un événement rattrapé par le pilote. Du point de vue de l évaluation de la gravité «dysfonctionnement ATM» ici considérée, l incident doit être considéré comme beaucoup plus grave si c est le pilote (ou le TCAS le plus souvent ) qui a permis d éviter la collision, car dans ce cas, il y a eu faillite de la raison d être même du contrôle aérien 335 : «Si le TCAS déclenche, c est quand même que nous (le contrôle) on n a pas fait notre boulot, non?». Cette différence n existe pas dans la nouvelle grille. La grille propose en outre d identifier un «facteur majeur» («major factor») de résolution de l incident : décision du contrôleur, ou intervention d un système (Filet de Sauvegarde, TCAS ). Or, selon les français, «tout se déclenche souvent à peu près au même moment : FDS, TCAS». Il est donc difficile, et un peu artificiel également, de déterminer quel est ce facteur «majeur». 333 Problème lié ici à la publicisation des données (nombre d incidents) au nom de la transparence. 334 Selon le terme de James Reason, qui désigne ainsi le professionnel directement en charge des opérations, par opposition aux autres professionnels, dont les managers. 335 A noter que ceci est cohérent avec l habitude, pour les Français de classifier presque automatiquement en «A» (très grave) un incident qui donne lieu à une manœuvre d évitement déclenchée par le TCAS (TCAS Resolution Advisory).

207 P a g e 207 Les Français ont donc commencé entretemps à élaborer leur propre grille sur la base de la première grille du NATS (conformément à la proposition d Eurocontrol) et de travaux effectués par les différentes QS. Plusieurs centres se sont mis à travailler sur une proposition, dont Brest et Bordeaux. Ce dernier fait aussi une proposition différente, très axée sur les causes. Le débat s engage : peut-on considérer qu un questionnaire permettant d identifier les causes est valable pour identifier la sévérité de l incident? Pour le «bureau airprox», (dont le chef est le représentant français au SISG), le questionnaire devrait bien se focaliser sur l évaluation de la gravité. Un débat s engage donc également en interne chez les Français. ATELIER 2 : LA CONTRE PROPOSITION FRANÇAISE Une nouvelle réunion a lieu quelques mois plus tard. La pression est de plus en plus forte de la part d Eurocontrol, qui souhaite aboutir à un accord formel sur cette grille lors du SISG suivant ce qui permettrait de faire une recommandation pour le Safety Group, et d enclencher ainsi la reconnaissance officielle de la grille comme futur standard pour les états membres. La France, particulièrement critique lors de la présentation du NATS de l atelier précédent comme on vient de le voir, est venue avec une contre-proposition. Son intervention est prévue dans l agenda en début de réunion, mais en séance, elle est finalement reportée après l intervention du NATS. Ce dernier présente donc ce qui est proposé comme future grille commune européenne. Cette grille est basée largement sur la seconde grille présentée à la dernière réunion, ce qui ne manque pas de scandaliser le représentant français, qui rappelle que la première grille avait été largement préférée lors de la dernière réunion. Son intervention soulève peu de questions de la part d Eurocontrol ce qui lui laisse l impression que «les jeux sont faits». Il exprime sa grande contrariété quant au manque de prise en considération des travaux français. Le président de la séance (une personne d Eurocontrol) défend la grille du NATS, jugée plus complète et mieux pensée. De plus, défend-il, qu elle correspond à la notion de «sévérité» de l ESAAR Les Français critiquent essentiellement le fait que cette nouvelle grille du NATS se focalise trop sur l opérateur de première ligne, (le contrôleur) selon la terminologie de Reason au détriment des causes systémiques, organisationnelles. Les Allemands et les Irlandais argumentent au contraire «90 % des incidents, vous le savez bien comme nous, sont causés par les contrôleurs et pas par le système». Par «systémique», le représentant français entend bien davantage les aspects organisationnels, que le «système» au sens strictement technique (les systèmes radar, le système de traitement plan de vol sont effectivement rarement sujets de pannes). Il est parfois difficile de se comprendre dans un monde où les connaissances de type «Facteurs Humains» sont très inégalement partagées par les participants. 336 sévérité = risque d abordage + niveau de maîtrise par le contrôle.

208 208 P a g e Cette accusation à peine voilée a ses raisons. Ces débats se déroulent dans un contexte, il faut le rappeler, où la France est souvent perçue comme un pays où le pouvoir des contrôleurs est très fort et capable de faire plier l administration. Le représentant français est par conséquent perçu comme cherchant avant tout à favoriser une méthode d évaluation de la gravité minimisant le rôle (la faute) du contrôleur. Il s agit bien d une des contraintes pour le représentant français, qui joue depuis maintenant de nombreux mois le rôle difficile d un médiateur entre ces exigences Françaises internes et la participation active à une harmonisation européenne. Mais cette contrainte n est qu un aspect, son souci de parvenir à l obtention d une «bonne» méthode d évaluation de la gravité des incidents est d abord d ordre intellectuel. Il me confie d ailleurs que ses discussions sont parfois tout aussi âpres avec les représentants des différentes QS en France. En outre, il n hésite pas à rentrer dans la technicité des différentes questions, avec un certain talent pédagogique, et il est ainsi souvent ensuite suivi par d autres participants plus timides devant le point de vue très solide du NATS. La seconde grille du NATS, censée permettre l harmonisation européenne, se focalise sur la résolution de conflit, plus que sur les causes (les évènements, le contexte) qui peuvent expliquer la survenue de ce conflit. Le représentant français reproche donc à cette grille d évaluer la «performance» du contrôleur à rattraper la situation, et non pas les dysfonctionnements (systémiques, organisationnels) qui ont provoqué l incident. Certains participants font d autres reproches à la grille française : par exemple, de ne pas prendre en compte suffisamment la séparation minimale entre les aéronefs. Le représentant français défend l idée qu il s agit de se focaliser sur la contribution du contrôle de trafic et non sur le risque global. Ces notions sont de nouveau l objet de débats. La Finlande, le Portugal expriment leur préférence pour le modèle de grille français. Mais, plus curieusement, la France est finalement soutenue également par une personne de la SRU d Eurocontrol (un service indépendant du SQS, qui organise le SISG). Cette dissension interne à Eurocontrol ne manque pas de produire son petit effet de surprise. Les Allemands et l Irlande soutiennent le projet du NATS. D autres représentants (plutôt, on s en doute, ceux de petites ANSP qui n ont pas obligatoirement d avis tranchés sur ces questions) ne s expriment pas et semblent un peu dubitatifs devant ces débats passionnés. Le représentant français exprime son opposition à toute poursuite vers cette grille lors du prochain SISG. «La France, tout de même, c est un grand pays, vous ne pouvez pas ne pas tenir compte de notre position». L argument, servi par un ton quelque peu Gaullien, ne peut visiblement pas être négligé. Eurocontrol propose de retravailler sur une grille prenant en compte les critiques françaises.

209 P a g e 209 PREMIER SISG : UNE PROPOSITION DE CONSENSUS PAR EUROCONTROL La réunion suivant cette présentation de la nouvelle grille est un SISG. Une grande partie des débats va donc tourner autour de cette difficile harmonisation. LA GRILLE SUR LE «DYSFONCTIONNEMENT NA» C est la grille, on s en souvient, qui avait provoqué des débats houleux lors du dernier atelier (février 2003) avec une scission entre une vision anglaise et une vision française. Le chairman présente une nouvelle grille d évaluation pour la partie liée à la gravité en terme dysfonctionnement ATM (rebaptisé Navigation aérienne, NA). Cette grille se veut sans doute consensuelle puisque «elle est très proche de ce qu ont présenté les anglais, et très proche de ce que la France a présenté» (sic). Il défend sa simplicité d utilisation. Ce qui parait soulever des doutes dans la salle. Des représentants pensent que les questions ne sont pas faciles, qu il existe des problèmes d interprétation, que leurs analystes d incidents auront des difficultés. Une personne du centre expérimental d Eurocontrol propose d arrêter le débat et d essayer sur un exemple concret pour juger de la complexité du schéma d évaluation proposé. Le représentant français fait alors une proposition pour intégrer les deux approches : risque global et dysfonctionnement ATM. On peut avoir un incident codé «grave» en termes de sécurité générale (par exemple, une faible séparation) mais avec peu ou pas de contribution ATM. Un débat s engage aussi sur les évaluations respectives du fournisseur de services de contrôle et de l autorité de régulation. Pour la SRU, les deux évaluations sont séparées, avec par conséquent la possibilité d utiliser des grilles d évaluation différentes. Mais, souligne le représentant français, «en réalité ce sont les mêmes personnes qui feront ce travail, celles qui ont analysé l incident» (la séparation entre le fournisseur et le régulateur est encore loin d être effective à ce moment). Le représentant du NATS souhaite faire un point sur la nouvelle grille d évaluation (qui avait été présentée lors de la séance précédente). Il rappelle que cette grille est préférée à la précédente. L argument majeur est l objectivité : cette nouvelle grille est plus objective que l ancienne, elle évalue le risque de façon plus juste. Lors de l atelier précédent, la majorité des participants ont tout de même préféré la première grille. Vont-ils maintenant être convaincus? «PLUS PROCHE DE LEUR EXPERTISE», DONC PLUS OBJECTIF Une petite lassitude dans l assistance. Heureusement, c est l heure de la pause. Je peux enfin poser la question qui me brûle les lèvres, et j aborde le représentant du NATS. J ai cependant très peur que cette question ne soit impertinente, ou du moins qu elle n embarrasse mon

210 210 P a g e interlocuteur. Après quelques phrases d introduction, je me lance : «Et comment les analystes d incidents savent-ils que cette nouvelle grille est plus objective?». Mon interlocuteur n hésite pas une seconde : «Parce qu elle est plus proche de leur expertise». C est simple : les analystes trouvaient que la première grille donnait des résultats qui ne correspondaient pas toujours à leur évaluation experte (mon interlocuteur ne parle pas d évaluation subjective). Et ceci plutôt, d ailleurs, dans le sens de la «surévaluation». Cette nouvelle grille «objective» est satisfaisante car elle donne des résultats similaires à ce qui serait obtenu avec une évaluation sans son aide : je reformule ceci intérieurement bien sûr. Ce qu avait très bien compris mon correspondant français d ailleurs «Les résultats (avec la première grille) étaient souvent différents de ce qu ils imaginaient». QUELLE «PUBLICITE» POUR LES INCIDENTS? L OPPORTUNITE D UNE «SAFETY LETTER» L AST (Bilan annuel de sécurité) est transmis par chaque pays à la SRU, qui n en publie qu un rapport avec des données agrégées pour les différents pays. Mais il ne s agit que de chiffres (nombres d incidents, classés par gravité). Ceci ne permet pas d échanger sur les incidents en apprenant les uns des autres. Le responsable du SISG propose le lancement d une publication semestrielle qui grouperait des incidents désidentifiés (c est-à-dire ne mentionnant pas les noms des contrôleurs, et ne faisant pas état du centre dans lequel s est produit l incident) envoyés par les Etats membres. La SRU enverrait un format de description, et chaque état enverrait ses incidents les plus intéressants à porter à la connaissance des autres états. Les réactions sont diverses, mais une certaine suspicion domine : les Anglais demandent à qui serait distribué ce document. Ils soulignent qu ils ont déjà mis en place (depuis longtemps n oublions pas qu ils sont les meilleurs élèves en gestion de la sécurité) une lettre interne à peu près similaire. Quel intérêt de cette seconde publication? Eurocontrol répond que cette publication pourrait être distribuée à tous les états participants, et demande un avis La Suède propose que cette publication soit rendue publique à tous les états affiliés à Eurocontrol. Cette fois-ci, le chairman s inquiète «veut-on voir cela dans les journaux? Non, sûrement pas!». Et si, par exemple, cette publication est mise en place sur un site web, il faudra en protéger l accès. Les Suédois ne manquent pas de faire remarquer, que chez eux, l information est publique 337 Cependant, aucun représentant ne fait part de son opposition au principe de cette «lettre sécurité». L accueil n est pas enthousiaste, certes, mais il se limite à des doutes polis : «oui, mais à quoi ça sert, on le fait déjà en interne, etc.», et sans opposition de fond. L animateur du SISG termine sur une note légèrement ironique «Nous avons pourtant reçu un refus d un 337 Cf. dans le chapitre théorique «bref panorama de la transparence», le paragraphe consacré à la «Freedom Of Information Law» dans certains pays.

211 P a g e 211 des états membres (oui, l un d entre vous, présent ici, souligne-t-il en regardant la salle) de fournir des informations sur des incidents pour cette safety letter. Mais je ne dirai pas qui». Le «dissimulateur» ne se dénoncera pas. On verra plus loin qu en revanche, deux réunions plus tard, l échange oral sur des incidents se fera assez naturellement, et répondra ainsi sans doute aux objectifs finaux de cette tentative plus formaliste, écrite, qui ne remporte pas l enthousiasme. LES ENJEUX DE L HARMONISATION : QU EST-CE QU UNE METHODE LEGITIME? On l aura compris, les représentants au SISG majoritairement «safety managers» de leurs organisations n ont pas une tâche facile : invités à mettre en place dans leur organisation l harmonisation européenne, ils doivent à la fois se mettre d accord entre eux, puis convaincre en interne leurs analystes d incidents, alors même que ces méthodes ne sont pas stabilisées. Les enjeux de l harmonisation sont pourtant cruciaux, et pour des raisons différentes selon les états représentés. En voici un exemple. Au terme de ces longs débats sur l élaboration d une grille, le représentant safety du centre de Maastricht souligne avec un brin d agacement : «on est pressés d avoir une grille d évaluation» (commune, officielle). Impatience à laquelle l animateur d Eurocontrol répond que l utilisation de la grille n est pas obligatoire, chacun est libre après tout d utiliser ses propres critères. Il rappelle que la grille n est qu un moyen pour atteindre le «moderation plan» (c est-à-dire les mesures qui vont permettre le retour d expérience), elle n est qu un moyen de mise en conformité acceptable (Acceptable Means of Compliance) de la réglementation ESARR, mais elle n en fait pas réglementairement partie. Cette double position d Eurocontrol (on propose d harmoniser en développant une grille commune, mais vous n êtes pas réglementairement obligés de suivre la méthode) ne paraît pas faire le bonheur de tous. Cette liberté est parfois encombrante. En fonction de la structure de séparation «fournisseur de services / autorité réglementaire» et des relations entre ces deux entités, on comprend à quel point les enjeux de la standardisation peuvent être différents selon les pays. Pour certains fournisseurs de services (c est le cas de Maastricht), utiliser une grille proposée dans comme moyen de mise en conformité est une solution simple pour gérer des rapports tendus avec une autorité réglementaire peu confiante. Pour le centre de Maastricht, l harmonisation des méthodes d évaluation de la gravité de l incident est cruciale car elle permettra de gérer la tension avec une autorité réglementaire particulièrement sévère et suspicieuse («adversarial» disent les Anglos saxons pour qualifier l attitude d un régulateur qui se pose en adversaire du «régulé»). Pour les Français, l enjeu est plutôt d arriver à un accord interne avec les pouvoirs locaux (les «Qualités de Service) dans les cinq centres de contrôle de la navigation aérienne (divisions dites «qualités de service et sécurité») qui jouent un rôle important dans l évaluation des incidents.

212 212 P a g e Ainsi, pour le centre de Maastricht, la légitimité de la méthode se rabat simplement sur l existence d une règle édictée par Eurocontrol : si Eurocontrol propose une méthode, elle est adoptée, et cette conformité est une ressource utilisée par le fournisseur de service pour gérer un régulateur suspicieux. Pour les Français, la légitimité ne saurait se réduire à cette légalité : la méthode doit être «juste», mesurer «le vrai risque», et le fait qu elle soit dûment reconnue par Eurocontrol n est visiblement pas un critère suffisant. DEUXIEME SISG : DES DEMANDES PLUS PRECISES Durant ce deuxième SISG, le problème de l harmonisation de la grille d évaluation est encore évoqué, mais il est clair désormais que des «ateliers» organisés séparément seront chargés de travailler à l harmonisation. Les demandes d Eurocontrol deviennent plus précises, et plus pressantes. Il est clair, au vu des réunions et ateliers précédents, que le groupe du SISG risque de s enliser dans la recherche d une méthode harmonisée d évaluation de la sécurité, et que l on peine, justement, à faire du SISG un véritable lieu d échanges (sans parler de l amélioration de la sécurité aérienne à laquelle fait référence son titre). Le SISG est occasion d évoquer des «problèmes de sécurité» autour d exposés très disparates qui laissent parfois les participants assez sceptiques. Ainsi, sont évoqués, pêle-mêle, les problèmes de standardisation des niveaux d Anglais pour les contrôleurs, dans les différents pays, les problèmes de confusion de clairances, l avancée d une «task force» sur les incursions de piste, etc. Le chairman cherche visiblement à recentrer les débats sur la sécurité en proposant d aborder des problèmes qui se veulent concrets. Ces présentations sont censées déclencher sans doute une dynamique de prise de parole ente les participants. La diversité des problèmes abordés par des exposés techniquement irréprochables laisse pourtant les participants un peu surpris. Ils ne déclenchent pas à eux seuls des exposés aussi nourris de la part des participants sur leurs «problèmes», loin de là. Le chairman demande explicitement aux différents représentants nationaux de communiquer chacun à leur tour leurs problèmes majeurs de sécurité. Le tour de table commence et les interventions seront pour le moins variées. Le représentant tchèque se lance dans une très longue description de diverses réorganisations internes à l aviation civile de son pays qui n ont rien à voir avec la question posée. Au bout d une trentaine de minutes, l animateur Eurocontrol a du mal à cacher son agacement, bruissements et soupirs dans la salle Au terme de cet exposé, l animateur Eurocontrol précise pour les orateurs suivants qu il s agit d être concis et surtout de se «concentrer sur les aspects sécurité utiles à communiquer aux autres membres de la réunion». Le ton est un peu sec et on comprend clairement à qui s adresse la leçon. Le safety manager danois explique avec satisfaction comment grâce à l abrogation d une loi particulièrement punitive pour les contrôleurs ayant généré un incident, les notifications

213 P a g e 213 volontaires sont passées d une quantité proche de zéro à plusieurs dizaines en une seule année. Son exemple est considéré comme très intéressant, emblématique des problèmes juridiques qui sont un frein à la notification des incidents. Cependant, les autres intervenants sont peu diserts, et ne contentent souvent de généralités sur leur «safety management system» et sa mise en place. Deux exceptions de taille cependant. Les représentants anglais et français, qui communiquent tous deux avec une certaine prodigalité sur leurs incidents. Les chiffres sont donnés et ils sont «énormes» : ils sont de l ordre de plusieurs dizaines de milliers alors que certains participants avouent à grand peine quelques incidents, au plus une centaine. De toute évidence, ces deux participants ont choisi de «jouer» la transparence. Le bilan anglais est nourri et détaillé. Chiffres, causes, remèdes, tout y est. Le représentant du NATS (le fournisseur) et le représentant de l autorité de régulation s expriment chacun à leur tour, cas unique de double représentation dans cette réunion. Le représentant français distribue à tous les participants son «bilan annuel sécurité», un rapport très détaillé sur l ensemble des incidents (airproxs, mais aussi incidents détectés par le filet de sauvegarde, et automatiquement enregistrés par le système OPERA) ainsi qu une analyse des causes. Il en présente une rapide synthèse, et certaines «causes» affichent ouvertement l existence de problèmes qui ne sont pas anodins. Même si, comme nous l avons montré dans l étude du centre de Brest, la transparence d un centre envers le bureau National reste toute relative et se limite souvent à la consignation de «causes» un peu générales, le bilan National de la sécurité évoque de vrais «problèmes de sécurité», qui n ont pas été évoqués par d autres participants. Bien que le bilan soit en français, et par conséquent compréhensible par une partie seulement des participants, ce geste est tout de même salué dans la salle par quelques murmures de surprise et de satisfaction. Un des représentants anglais exprime sa grande satisfaction, et promet de lire le rapport : il parle bien le français. L animateur Eurocontrol remercie chaleureusement, et de façon très appuyée «la France» et glisse une formule permettant de saluer l exemplarité de cette attitude, unique pour l instant au sein du SISG. La communication d un document - c est-à-dire d un écrit - n est pas anodine dans un contexte où les organisateurs d Eurocontrol n ont de cesse de rappeler l assurance d une confidentialité des propos échangés. Et poussent, comme on l a souligné tout à l heure, la prudence jusqu à ne pas mentionner le nom des pays (désignés par des numéros) associé au nombre d incidents et aux problèmes de sécurité évoqués dans le compte-rendu. DES CLEFS DE LECTURE DES CHIFFRES Deux «grandes» ANSP, deux «grands» pays, par ailleurs un peu frères ennemis lorsqu il s agit de se mettre d accord sur une méthode, sont ici parfaitement congruents dans la

214 214 P a g e communication sur les incidents et ont visiblement choisi de «jouer» la transparence. La portée symbolique est grande, dans la mesure où ceci va permettre à Eurocontrol de donner en quelque sorte, implicitement, les clefs de lecture qui seront désormais les siennes quant au nombre d incidents. L accueil favorable des exposés des représentants Français et Anglais, les félicitations au représentant français pour ses quelques cent pages d analyses d incidents distribuées sont des messages clairs de la part du chairman d Eurocontrol. Il est désormais explicite qu un nombre important d incidents est lu comme signe de transparence et non de performances médiocres en sécurité aérienne. En miroir, un faible nombre d incidents ne sera jamais lu autrement désormais que comme une quasi-preuve d opacité de la part du pays considéré sur les incidents survenus dans son espace aérien. Un signal très clair est donc envoyé aux différentes ANSPs : il n existe plus de bonnes raisons de ne pas être «transparents». ATELIER 3 : UNE GRILLE INTEGRATRICE? LA SRC PROPOSE UNE GRILLE «INTEGRATRICE» Un atelier (Groupe de travail sur le bilan annuel sécurité) est organisé par la SRC quelques mois après. Il marque un tournant décisif dans les travaux autour de l harmonisation des évaluations de la gravité des incidents. En effet, jusqu à cette date, la SRC s était chargée de la première partie : «évaluation de la gravité globale de l incident». En parallèle, la division SQS s était chargée de lancer avec les travaux du SISG l harmonisation de l évaluation pour la partie «dysfonctionnement ATM» avec les difficultés que l on sait, et que l on vient de relater longuement. Le travail fait par SQS autour de l adaptation de la grille du NATS devient alors caduque. SQS se propose de trancher lors d un prochain SISG (à Lisbonne). Les participants devront décider entre la solution «adaptation MS du NATS» et le «questionnaire étendu au dysfonctionnement ATM» de la SRC. La nouvelle grille présentée par la SRU lors de cet atelier propose de compléter sa méthode d évaluation de la gravité globale par une méthode de l évaluation du dysfonctionnement ATM en répétant, pour les parties «contrôlabilité» et «problèmes systémiques» les mêmes questions, auxquelles on répond du point de vue de l ATM seulement. Globalement, il s agit donc de considérer que le risque «dysfonctionnement ATM» est dérivé du risque global Dans la partie «contrôlabilité» la seule différence concerne un item sur le TCAS. Ainsi, pour l item «TCAS a déclenché, (considérer les RA utiles seulement) ou bien décision pilote «voir et décider» (en cas d absence du TCAS). Cet item est noté «0» pour l ATM global et «10» pour l ATM ground (ce qui était appelé jusqu à présent «dysfonctionnement ATM»). L item suivant «absence de TCAS» est noté 10 pour ATM global et 0 pour ATM ground. Ces deux items à l intérieur du paragraphe «contrôlabilité» sont les seuls changements entre les questions pour l ATM global et celle pour la contribution ATM.

215 P a g e 215 LE TEST DE LA NOUVELLE GRILLE INTEGRATRICE LES PROBLEMES DE COMPREHENSION Un des buts de l atelier est de tester cette grille intégrative sur un ensemble d'incidents. L exercice se révèle très long. 20 incidents étaient prévus, 4 sont finalement analysés. Il existe de gros problèmes d'interprétation des différents items. Seuls quelques exemples illustratifs sont donnés ici. Par exemple, dans la partie «contrôlabilité» l item «plan» du contrôleur, (sa façon de résoudre le conflit) prévoit trois possibilités : le plan est correct, inadéquat, ou il n y a pas de plan. Les participants comprennent soit le plan du contrôleur «avant le conflit» soit le plan comme «plan de résolution de conflit». Même problème d interprétation pour l «exécution du plan», comprise comme avant ou après le conflit, et pour «recovery». L item «pas d alerte STCA» (Short Term Conflict Alert) est compris comme «il n'existe pas de système d alerte STCA» ou «il existe mais ne se déclenche pas». Même problème pour le TCAS, «no TCAS» étant compris tantôt comme «avion non équipé» tantôt comme «ne s est pas déclenché». D autres débats concernent la notation. C est une notation discrète, proposant souvent trois choix pour chaque item : la note attribuée peut être 0, 3, ou 6. Il est parfois difficile de choisir entre ces trois possibilités L animateur Eurocontrol propose alors de mettre des notes intermédiaires (non prévues par la grille!). Par exemple si on hésite entre «conflit détecté» (0 point) et «conflit détecté tardivement» (3 points), on peut mettre 1, ou 2 Cette solution est jugée sévèrement par quelques participants, dont le représentant français qui condamne fermement cette absence de rigueur. LE SINGULIER RESISTE A LA CATEGORISATION Les autres points ne seront pas davantage détaillés, car ce qui vient d être dit donne déjà une image des difficultés soulevées par ce type de codification des incidents. Ce qu il faut sans doute retenir, c est encore une fois la tension qui s exprime lors de ces débats. Tension entre la volonté de mesurer, d objectiver, et celle de ne pas trahir le réel, de prendre en compte la singularité de cet événement-là. Ne pas réussir à classer l incident, c est faillir à une approche rationnelle de la sécurité qui est bien sûr ici en jeu : mesurer, maîtriser. Mais, et en même temps, si l incident «résiste», il n est pas non plus satisfaisant (du moins pour les safety managers les plus rigoureux) de sacrifier le singulier de l évènement à une catégorisation intellectuellement insatisfaisante. LA SOLUTION FRANÇAISE Pendant ce temps, en France, on finalise une grille à laquelle ont participé les différents centres français. On s est inspiré de la première grille du NATS pour obtenir une note pour

216 216 P a g e chaque point à évaluer dans l incident, tout en utilisant et en modifiant une partie des critères qui étaient utilisés initialement. Cependant, le représentant français me confie «bon, nous, pour finaliser la note à attribuer aux différentes questions, on a fait tourner sur un ensemble d incidents déjà classés, et on a modifié jusqu à ce qu on obtienne ce qu on veut». TROISIEME SISG : LA CONFIANCE, PEUT ETRE? UNE RUPTURE? Le SISG suivant marque une rupture. D abord géographique : le Portugal a en effet souhaité héberger la réunion et c est à Lisbonne sous un soleil radieux, et non dans la grisaille Bruxelloise, que les représentants vont se réunir. Rupture à l égard du contenu de la réunion également sur le contenu : le responsable du SISG a décidé de remettre à plus tard les discussions épineuses et complexes de l harmonisation des méthodes d évaluation des incidents. Cet aspect est désormais délégué à un atelier séparé pour tenter de valider, une dernière fois, une méthode commune. En revanche, un temps important est prévu pour le «tour de table sur les aspects sécurité». L agenda précise sans ambages : «Vous êtes censés couvrir tous les thèmes (pertes de séparations, incursions de piste, quasi CFIT, franchissements de niveau 339, péril aviaire )». Et répondre aux questions suivantes : quelles causes?, quelles solutions utilisez-vous et voulezvous partager? Le ton un peu directif n échappe à personne. Plus question de grommeler quelques vagues chiffres, ou pire, de se lancer dans la description formelle de l organigramme d un système de gestion de la sécurité, pour éviter le difficile sujet. Voilà nos représentants sommés, de façon désormais explicite, de faire preuve d un peu plus de transparence à l égard de leurs homologues européens. DONNER DES CHIFFRES Chacun va se prêter de façon plus ou moins diserte à cet exercice. Sans entrer dans les détails, quelques indications permettent de dessiner ici le tableau de la sécurité présenté par ces responsables. Les chiffres (annuels) sont presque toujours communiqués et restent extraordinairement variés (même si on les rapporte bien sûr au trafic surveillé, c est-à-dire au nombre de «mouvements» (décollages, atterrissages, survols), lui-même très variable d un état à l autre). Le représentant tchèque déclare cinq incidents, ce qui fait aussitôt bondir mon voisin, le représentant français : un chiffre aussi bas témoigne d une opacité quasi complète Je lui rappelle qu au dernier SISG, seulement six mois auparavant la même personne n avait donné ni chiffre, ni aucune information sur les incidents. Il avait terriblement agacé le chairman d Eurocontrol et une grande partie de l assistance en se lançant dans une description 339 Level bust.

217 P a g e 217 particulièrement détaillée et laborieuse de l organigramme de son «Safety Management System», sans fournir bien sûr la moindre information sur ses incidents ou ses problèmes liés à la sécurité en général. «Avouer» cinq incidents est peut être un bon début L Autriche déclare 289 notifications, dont 22 pertes de séparation. Certains incidents sont dus à la structure de l espace aérien, avec un mélange de vols IFR et VFR dans certaines zones. La redéfinition de l espace qui permettrait de protéger davantage les IFR se heurte au lobby des pilotes privés, très puissant. Il n y a pas d incidents de turbulence de sillage et pas de «péril aviaire», mais, ajoute-t-il, «Il n est pas exigé de notifier ce type d incidents dans nos procédures». La Grèce vient pour la première fois au SISG, elle déclare «environ 46 incidents», la Finlande : 500 notifications obligatoires, et 630 volontaires, le Danemark : environ 400. Le représentant hongrois vient pour la première fois également. Il déclare 5 ou 6 incidents, mais ajoute aussitôt que ce nombre concerne bien les incidents déclarés. Le Slovaque mentionne en préambule que son système de gestion de la sécurité est récent et qu il est «fier de déclarer 9 notifications en 2003». Il en avait 125 en 2002, et explique cette différence par la baisse du trafic Les Allemands ne donnent pas de chiffres globaux mais déclarent 126 incursions de piste. Le pilote représentant l ECA 340 insiste «et les pertes de séparations, vous en avez combien?». «Plutôt beaucoup» (quite a lot ) répond l allemand la salle rit et on n insiste pas. Le centre de Maastricht : 210 notifications. Son représentant explique à propos des alarmes TCAS : il y a, depuis le 11 septembre 2001, beaucoup plus d avions militaires s approchant de vols civils «à vérifier» ceux-ci déclenchent des TCAS et certaines compagnies se plaignent que «ça n arrête pas de sonner!». Il faut donc interpréter prudemment cette soudaine augmentation des alertes TCAS. Skyguide (Suisse) : 63 pertes de séparations. A propos de la catégorie «pénétration d espace aérien», il précise aussitôt : «on en a de plus en plus parce qu on a de plus en plus de notifications volontaires». Le représentant français déclare ses «évènements sécurité» dont 660 analysés en profondeur. Il a fait l effort de retravailler sa catégorisation pour la mettre en adéquation avec la typologie d incidents proposée par Eurocontrol. Ce qui lui a demandé un travail colossal de «traduction» à propos duquel il a de nombreuses questions. Il interpelle le chairman d Eurocontrol : «où mettez vous les TCAS? Dans les «pertes de séparations»? ah, nous avons une catégorie à part entière!». Le reproche (une alerte TCAS est plus qu une simple perte de séparation et mérite sans doute d être singularisée) est à peine voilé 341. Il détaille ses différents chiffres en suivant scrupuleusement, pour l essentiel, la typologie d Eurocontrol, en 340 European Cockpit Association : association des organisations professionnelles des pilotes. 341 Notons au passage que «traduire» une alerte TCAS dans laquelle le pilote n a pas obéi à son TCAS RA en simple «perte de séparation» limite le retour d expérience possible (en termes de mesures correctives par exemple). C est un souci que le représentant Français posera de cette façon : «Comment étaient catégorisés les incidents «Überlingen style» avant Überlingen?».

218 218 P a g e émettant parfois des réserves sur la «réalité» du chiffre communiqué. : «Peu de CFIT 342 je veux dire notifiés». Enfin, il tient visiblement à bien mentionner un sous-ensemble des «pertes de séparation» dont il a déjà regretté le caractère trop peu différencié. A ce sujet, la mention de 5 «Überlingen style 343» (avec un pilote ne suivant pas son avis de résolution TCAS) provoque un émoi certain dans la salle. Il insiste sur le caractère très préoccupant de cette catégorie d incidents : on n a visiblement pas appris d un accident. Le Portugal déclare 12 pertes de séparations, les Italiens : 110. Le représentant anglais fait un rapport à part, très détaillé, et fait état de son impressionnante base de données. Les incidents sont classés par catégorie, les analyses commentées et argumentées, les «mitigations actions» et les «remedial actions» décrites. «Can you explain why you are much better than the rest of the world 344?» demande, un tant soit peu lyrique, l animateur Eurocontrol au représentant anglais, tout en embrassant la salle du regard Le représentant français à côté de moi se plonge dans ses papiers et fait quelques calculs : «Tiens, avec les Anglais, rapportés aux mouvements, on a des chiffres à peu près similaires remarque, c est normal, on a les mêmes outils, le même niveau de développement». Je note qu il ne dit pas : «on a le même niveau de sécurité». Alors, que peuvent bien signifier les chiffres désormais pour ces participants? RACONTER LES INCIDENTS Autre changement très notable en comparaison des réunions précédentes : la plupart des personnes vont se lancer dans des récits d incidents qui révèlent souvent explicitement de vrais soucis, et ce avec un niveau de détail bien plus important que lors des réunions précédentes. Le niveau de sophistication des analyses reste quant à lui variable. Le représentant tchèque se plaint des contrôleurs qui «fabriquent des procédures personnelles. Il faut les éduquer à respecter davantage les procédures». Plusieurs participants protestent : la sécurité n est pas seulement affaire de respect des procédures. Les choses sont plus compliquées. L Autriche expose ses problèmes de gestion de l espace aérien et donne l exemple d un incident grave entre IFR et VFR. Le régulateur est intervenu, mais le lobby des pilotes privés est très fort. 342 CFIT = Control Flight Into Terrain. Collision d un avion avec le sol au cours de laquelle l équipage maîtrisait l avion sans avoir conscience du risque de collision : c est le cas de l erreur de navigation qui amène à percuter le relief ou l eau sans perte de contrôle de l appareil. 343 Accident en juillet L avis de résolution TCAS n a pas été suivi par un des pilotes, rendant inopérant le système d anti collision. Cf résumé de l accident dans l introduction au terrain. 344 Pouvez-vous expliquer pourquoi vous êtes bien meilleurs que le reste du monde?

219 P a g e 219 La Finlande déclare 500 notifications obligatoires, et 630 notifications volontaires. Elle expose en outre un problème lié aux compagnies aériennes, avec de nombreux franchissements de niveau (level busts) opérés par des pilotes qui quittent le niveau alloué par la clairance du contrôleur lorsqu ils arrivent sur le STAR (STandard Arrival Route). Le représentant danois soulève un problème lié aux nouveaux radars trop précis (sic) livrés récemment par l industriel Thalès, et qui génèrent de fausses pistes sur l image radar. Des discussions techniques passionnées s ensuivent car la connaissance de ce problème intéresse bien sûr les futurs acquéreurs de nouveaux radars Thalès. Un participant plaisante : «Vous n avez qu à acheter des radars d occasion» (C est ce que font, pour des raisons d économie, de nombreux pays en voie de développement). Rires Le progrès technique a ses ironies. Les Suisses font état d incidents qui ont révélé que certaines clairances ATC sont incompatibles avec les performances de certains avions : par exemple, demander à un avion de ralentir peut le rendre instable. Le représentant (pilote) de l ECA 345 rebondit : «oui, les contrôleurs connaissent souvent très mal les performances avions», on débat sur ce vieux problème d incompréhension entre pilotes et contrôleurs. A ce sujet, le slovène est fier de son système de gestion de la sécurité, qui, bien que très récent, fonctionne très bien. Ils ont même organisé une réunion avec des pilotes de la compagnie aérienne nationale. «Ils ont maintenant une perception complètement nouvelle de notre travail, je suis fier de cela». Ils ont aussi organisé des réunions avec les aéroclubs pour résoudre les problèmes de pénétration non autorisée d espace aérien par les vols VFR 346. On approuve chaudement ce petit pays capable d en remontrer aux plus grands en termes d actions de retour d expérience. Le représentant hollandais explique qu ils se sont rendus compte, lors d une action de sensibilisation, que les pilotes de certaines compagnies charters ne connaissaient pas la classe E, et n étaient pas conscients de la présence de VFR dans cet espace aérien. Le représentant français soulève un problème lié à la version 7 du TCAS, qui propose un «RA préventif 347». L analyse de plusieurs incidents a permis de mettre à jour une cause commune : Le «adjust vertical speed» est compris par les pilotes comme «increase vertical speed», ce qui augmente encore le risque de rapprochement des avions. L industriel toulousain a été prévenu, on a ainsi détecté un problème d ergonomie de l information dans le cockpit, qui expliquerait cette erreur qui peut être grave de conséquences puisqu elle donne une manœuvre allant «vers» le rapprochement des avions ; le constructeur travaille à une modification, et en attendant, il faut sensibiliser les pilotes. Le pilote représentant de l ECA European Cockpit Association : association des organisations professionnelles des pilotes. 346 VFR = Visual Flight Rules (vol à vue). Par opposition à l IFR (Instrument Flight Rules, vol aux instruments). 347 RA = Resolution Advisory : avis de résolution 348 European Cockpit Association

220 220 P a g e s inquiète et prend note avec beaucoup d intérêt. Le représentant français donne quelques exemples d incidents, avec un contexte similaire : un jeune élève est poussé à prendre trop de trafic par son instructeur, parce qu il souhaite le «tester». Il existe donc des objectifs difficiles à concilier entre la formation (il est indispensable que ces futurs Premiers Contrôleurs aient été en prise avec un trafic soutenu, afin de valider qu ils sont aptes à contrôler dans ces circonstances) et la sécurité qui voudrait qu un contrôleur ne se mette pas dans une situation au-dessus de ses capacités. Beaucoup de signes d approbations dans la salle à l évocation de ce souci : il s agit visiblement d un problème qui est partagé à des degrés divers par plusieurs pays. La première journée se termine au milieu de ce «tour de table» qui foisonne de chiffres, mais surtout d anecdotes, et d analyses. Virgilio, le représentant portugais, a proposé d organiser une soirée festive. Nous voici embarqués en bus jusqu à un petit village où il a organisé un dîner qui commence par un spectacle de chants et de danses traditionnels. Virgilio fait un petit discours dans lequel il remercie ses «amis du SISG» d avoir répondu si nombreux à son invitation : l Europe de la sécurité aérienne se construit. Le chairman d Eurocontrol déclare que : «nous sommes désormais une grande famille». Le dîner très joyeux se termine par un petit concert donné par Virgilio et ses amis. La journée suivante sera tout aussi détendue et riche d échanges : la confiance a commencé à s installer VERS UNE VISION CONVENTIONNALISTE 349 DE L INCIDENT? La réunion du SISG à Lisbonne marque sans doute une rupture importante, et ceci à plus d un titre. D abord, de la part du chairman d Eurocontrol, qui formule avec de plus en plus de précision et d autorité ce qu il attend de la réunion : que les participants communiquent leurs incidents, de la façon la plus détaillée et précise possible. Il paraît désormais difficile, sauf à assumer publiquement un «refus de transparence» de rester dans un discours flou, et tout aussi difficile de déclarer une absence totale d incidents sauf à accepter de passer pour «opaque» ou «aveugle» sur les problèmes rencontrés. Pour la première fois, une catégorisation est proposée entre différents types d incidents par le chairman en charge de la réunion. Un effort de traduction est donc nécessaire aux participants lorsqu ils arrivent avec d autres catégories, qui ne correspondent pas totalement à la grille demandée. Le représentant anglais se cantonne à présenter «son» bilan, sans faire l effort de traduire ses catégories dans les catégories proposées. Mais les autres tentent bon an mal an de répondre aux exigences de la structure proposée. Ce qui permet de montrer explicitement que les «catégories» utilisées pour ranger les incidents ne sont pas les mêmes. 349 Le terme est bien sûr emprunté à Desrosières, dans son opposition entre réalisme et conventionnalisme.

221 P a g e 221 Les chiffres ne concernent pas les mêmes évènements, et ceci est plus ou moins explicite : là où l un parle uniquement de «pertes de séparation», un des types d incidents possibles, l autre parle des airprox (le plus souvent déclarés par le pilote). A l intérieur même de la catégorie airprox, il existe des subtilités de comptage. Au Portugal, si un pilote déclare un airprox mais que celui-ci est classé «sans suite» par l ATC portugais, qui le considère comme non recevable 350, cet airprox sera retiré du comptage final, alors qu il sera maintenu dans d autres pays, en Suisse par exemple. Les événements Français sont liés à l existence d un outil (OPERA) qui détecte automatiquement les pertes de séparation, et à l inclusion de toutes les erreurs techniques signalées par les contrôleurs et les personnes de la maintenance, ils ne font donc pas frémir puisque les modalités d obtention de ce chiffre ont été expliquées auparavant. On note dans les discours deux précautions oratoires, qui reviennent de façon assez régulière chez les participants. D abord l idée que les chiffres que l on donne se limitent à ce qu on peut connaître, sous la forme «nous avons X incidents, je veux dire connus». Il ne s agit pas tant de révéler des vérités incontestables, que d indiquer, avec une certaine prudence, ce que l on peut savoir de la sécurité, dans l état de outils, des pratiques, et notamment du degré de notification volontaire. Ensuite, l idée que les catégories utilisées par l organisation vont modeler elles aussi l appréhension de la réalité apparaît. En étant obligées de prendre une catégorisation de référence, celle imposée par le chairman d Eurocontrol, les safety managers sont incités à expliquer qu ils pensent parfois avec d autres catégories, ou qu ils ne se focalisent que sur certaines catégories (souvent : les pertes de séparation), ou encore que certaines catégories n existent pas : le péril aviaire 351 par exemple. Lorsque le représentant français parle de cinq alertes TCAS «Überlingen style 352», il crée une catégorie qui a du sens pour lui, puisqu elle pointe sur l idée que l on n a finalement pas tiré toutes les leçons de l accident d Überlingen, pourtant largement analysé et médiatisé. La catégorie apparaît enfin à la fois comme un cadre contraignant de pensée et comme un cadre possible pour l action. La création du «Überlingen style» permet de pointer sur le risque qui avait été identifié dans l accident, contrairement à sa catégorisation dans la classe plus large des «TCAS» ou des «airproxs». Un pas supplémentaire est franchi lorsque le représentant français, à la lecture des chiffres du bilan anglais me glisse : «Tiens, avec les Anglais on a des chiffres à peu près similaires remarque, c est normal, on a les mêmes outils, le même niveau de développement». L interprétation des chiffres comme mesure de la sécurité semble abandonnée au profit d une 350 Rappelons que l airprox est déposé par un pilote qui juge que sa sécurité a été mise à mal. Il se peut qu après enquête, le contrôle aérien considère cette impression comme non justifiée. 351 Ce risque était très diversement identifié selon les aéroports. L accident de Janvier 2009 à New York (amerissage d urgence d un airbus sur l Hudson, et dénouement heureux) en a donné un exemple spectaculaire et médiatisé. 352 Du nom d un accident (collision en vol, 2002) dans lequel le pilote n a pas «écouté» l avis de résolution du TCAS mais la clairance du contrôleur.

222 222 P a g e lecture qui en fait bien davantage un témoin de l état des outils, des procédures dont l on dispose pour lire une situation. Et cet état est lié à un «niveau de développement» qui fait référence à une vision clairement progressiste : ces deux grands pays ne sont-ils pas devenus des exemples pour leurs homologues? Le glissement est donc progressif : au SISG précédent, Eurocontrol avait rendu définitivement obsolète le lien entre une absence d incidents et un bon niveau de sécurité. L interprétation des chiffres en termes de sécurité était semble-t-il quasiment oubliée au profit d une valorisation de la transparence : on retrouve ici la notion de «transparence vertu» que nous avions identifiée dans le chapitre 2, qui proposait un bref panorama de la notion. La notion de transparence vertu, en effet, opère un glissement de la transparence qui devient une valeur avant d être un moyen. Lors de la réunion de Lisbonne, le représentant français fait un pas de plus pour mettre à mal l ambition de mesurer la sécurité par le nombre d incidents. Le nombre d incidents dépend en effet à ses yeux essentiellement d une certaine «maturité» dans la façon de prendre en charge la sécurité. Un nombre à peu près égal d incidents s explique alors, non pas par «un niveau à peu près identique de sécurité», mais par une façon de «traiter» la sécurité à peu près identique, c est-à-dire, ici, un certain degré de «développement», pour reprendre le terme employé par le représentant français. Nous reviendrons plus longuement, dans la conclusion de ce chapitre, sur les questions afférentes aux catégories et sur l appréhension de plus en plus conventionnaliste des chiffres par les différents acteurs. QUATRIEME SISG : LA CONFIANCE, ENFIN Lors du SISG suivant, six mois après, l atmosphère sera également sereine et confiante. Il n est pas besoin de continuer cette description ethnographique détaillée pour illustrer notre propos. Un seul point cependant. Le représentant belge est l un des premiers à communiquer ses chiffres : forte augmentation des incidents cette année en comparaison de l an passé: «Nous sommes passés de 65 à 210 incidents». On entend aussitôt dans la salle de nombreux murmures et soupirs de désapprobation, même un «hou» ponctué de rires. Le représentant s indigne : «Alors là vous me décevez, vous réagissez comme des chefs» (sic). «Si on a plus d incidents, c est bon signe, c est parce qu on a mis en place une campagne de sensibilisation sur les incursions de piste, et plus généralement que l on a encouragé les contrôleurs à faire du retour d expérience, donc à notifier davantage». Cette fois-ci, murmures d approbation dans la salle, on se «souvient» qu une augmentation du nombre d incidents n est pas interprétable comme une dégradation de la sécurité, d autres explications sont possibles. Le ton sera donné, et les chiffres annoncés ensuite ne feront plus l objet de réactions intempestives. Les problèmes de sécurité seront abordés sans détour par une majorité de participants.

223 P a g e 223 ATELIER 4 : L AIRPROX EST-IL UNE CATEGORIE «NATURELLE»? ELABORER L AST SUR DES BASES HARMONISEES Deux mois s écoulent avant la réunion «Groupe de travail sur le bilan de sécurité annuel» organisée par la SRC d Eurocontrol. Il s agit d éclaircir avec les états membres les difficultés liées à l élaboration de ce «tableau de sécurité annuel» qui doit transmettre nombres d incidents et l évaluation de leur gravité, et qui constitue un des produits majeurs de l ESARR 2. Le second objectif de cette réunion est de procéder à l évaluation de deux méthodes d évaluation de la gravité des incidents qui sont de nouvelles versions de la méthode «intégrative» évaluée et critiquée lors de l atelier AST précédent. LA «TRADUCTION» ENTRE LES BASES DE DONNEES DES INCIDENTS L animateur d Eurocontrol propose un tour de table afin que chacun expose les problèmes rencontrés pour élaborer le tableau de sécurité annuel. Le représentant français se plaint du temps nécessaire à faire une traduction (mapping) entre les données issues de sa base de données nationale et le formulaire Eurocontrol. Il explique «par exemple, on ne fait pas dans INCA (la base de données française) de différence entre «enfreinte de séparation» et «séparation inadéquate» 353, il faut donc reprendre chaque incident pour coder cet aspect». Il faut aussi convertir de la classification OACI (A, B, C, D) à la classification ESARR (A, B, C, D, E). De plus, les incidents liés à l ATM se définissent à la fois par leur mode d identification (leur source d'identification) et par leur sous-catégorie en terme de risque. Ainsi, par exemple, un airprox est l incident qui a fait l objet d une déclaration par le pilote (qui constitue ainsi une source d'identification de l'incident) et une incursion de piste est une sous-catégorie de risque. Mais une incursion de piste peut bien sûr faire l objet par le pilote d une déclaration airprox. Ces deux façons de classer les types d'incidents sont plus ou moins clarifiées selon les pays, et un facteur supplémentaire de difficulté à se comprendre. La Suède se plaint également du temps d élaboration du bilan annuel de sécurité, ils gèrent une base de données nationale, ce qui entraine un double travail de codage. 353 Separation infringement et inadequate separaration.

224 224 P a g e QU EST-CE QU UN AIRPROX? Les pays sont également invités à expliquer ce qu ils entendent par «airprox». La définition d un airprox varie également. Pour les français, un airprox est toujours une déclaration faite par le pilote, il n existe pas d airprox «contrôleur». Les notifications contrôleurs sont des «formulaires de notification d incident», qui ne sont donc pas comptées dans la catégorie «airprox». Pour d autres pays, on parle d airprox contrôleur, qui correspond à une notification d incident particulière faite par le contrôleur. Pour les Suisses : toute «perte de séparation» est considérée comme un airprox, «nous avons sûrement tort» ajoute le représentant, visiblement insatisfait par cette définition, imposée par son autorité réglementaire. Il fait état de ses inquiétudes : un journal allemand a récemment publié des chiffres concernant les Suisses et les Allemands, comparant le nombre d airproxs dans chaque pays. Les chiffres étant plus élevés pour les Suisses, l article concluait explicitement que leur espace aérien était moins sûr, ce qui est bien sûr injuste au regard de la dénomination différente dans les deux pays : pour les Allemands, l airprox se restreint à la plainte déposée par un pilote. Le représentant slovène explique qu ils n utilisent pas le terme d «airprox» «On utilise le terme «séparation inadéquate» dans notre bilan». «Alors, intervient le représentant suisse, vous n avez PAS d airprox», le représentant slovène acquiesce. Le représentant polonais explique qu il utilise la terminologie d une autre base de données incidents européenne (ECCAIRS). Le représentant suisse, de nouveau : «Alors vous n utilisez pas le terme airprox?». «Non, répond le polonais, «on parle d évènements sécurité». Le représentant Eurocontrol promet : «Nous allons essayer d harmoniser l utilisation du terme «airprox»». Le projet de pouvoir comparer, à défaut du nombre d incidents, décidément trop sujet à discussion, le nombre d airproxs, vient de se heurter également à la variabilité nationale. Ces demandes de la SRC quant à la dénomination d airprox ne sont pas un pur hasard. La PRC (commission d examen des performances) se montre en effet semble-t-il de plus en plus pressante dans sa demande d informations sur les incidents. Nous aborderons à la fin de ce chapitre le point de vue de cette institution, conçue pour permettre «un examen indépendant des performances couvrant tous les aspects de l ATM». Les deux premières années de la mise en place du bilan annuel de sécurité, la SRC n a fourni à la PRC qu un bilan synthétique comprenant les données agrégées par zone géographique (moyenne d incidents), et non les données de chaque état-membre. La PRC juge ces données insuffisantes. Elle est également très demandeuse d un indicateur de sécurité. Le nombre d airproxs est-il un indicateur plus fiable que le nombre d incidents? Nous avons vu que les personnes de la SRC sont de plus en plus réservées quant à la signification des chiffres, et le nombre d airprox, porteur de quelques espoirs, ne parait pas être non plus le candidat idéal. La demande pressante de la PRC est très délicate pour les organisateurs du SISG. La confiance qui commence à s installer entre les safety managers s accommoderait mal, pour la plupart

225 P a g e 225 d entre eux, d une publication de leurs données par la PRC. Pour la Safety Regulation Commission, il est urgent d attendre, et de travailler par exemple d abord sur l harmonisation des données airproxs. Quant au nombre d incidents, il semble, paradoxalement, rester confidentiel alors même qu il est largement acquis désormais qu il n a pas beaucoup de sens LE TEST DES DEUX METHODES D EVALUATION Un autre objectif de cet atelier est la comparaison de deux nouvelles fiches d évaluation. Il s agit d utiliser les deux méthodes sur un ensemble d incidents. Des rapports d incidents ont été fournis par les différents représentants à l organisateur Eurocontrol en préparation de cet atelier. Le chairman les distribue sous une forme «désidentifiée». Il précise que les noms des compagnies aériennes, les noms des balises sont transformés afin d empêcher l identification du centre de contrôle où s est produit l incident. Il insiste sur l importance de la confidentialité ainsi assurée. Secret bien fragile. Un premier incident est présenté. Il s agit d un near CFIT (Control Flight Into Terrain 354 ). Quelques transparents relatent les faits, un petit croquis complète l histoire de cet avion qui est descendu à 1500 pieds alors que l altitude minimum réglementaire est de 2000 pieds à cet endroit. L histoire commence par une clairance du contrôleur qui propose au pilote d intercepter l ILS 355 (système d aide pour guider les avions sur la piste d atterrissage) à 2500 pieds. «C est habituel dans les procédures du centre d intercepter à 2500?» demande une participante. Le représentant (français) répond aussitôt. Il s agit donc d un incident français, et quelques questions plus loin, puisqu il faut évoquer le relief, la géographie de l endroit, on saura qu il s agit de l aérodrome de Montpellier Les analyses se succèdent, souvent laborieuses, entrecoupées de questions, de digressions, et elles sont toujours également l occasion d éprouver des visions de la sécurité différentes, des désaccords aussi. Un nouveau participant représentant de la Roumanie juge souvent les évaluations de gravité trop sévères : «mais il n y a rien eu!» proteste-t-il lorsque les discussions s éternisent sur un incident. D autres participants s agacent de ces interventions. La majorité d entre eux se passionnent pour ce genre d exercice, qui permet à chaque fois de discuter de certaines particularités locales (géographiques, organisationnelles). Problème de traduction sur un autre incident fourni par la France. L animateur Eurocontrol explique : «L analyse de cet incident mentionne la cause, j ai traduit «bad organisation» mais c est plus joli en français : «poste de travail peu rigoureux», je n ai pas su bien le traduire». Le représentant français ironise : «C est normal, ça n existe pas chez les anglais». Petite pique à l égard des Anglais si respectueux des procédures qui déclenche quelques rires dans la salle. 354 Near CFIT : incident pouvant mener au CFIT (Control Flight Into Terrain). 355 ILS = Instrument Landing System : système d aide pour guider les avions sur la piste d atterrissage.

226 226 P a g e D autres incidents seront ainsi analysés. Le même scénario de demande d informations se répétera avec tous les incidents suivants, sans exception aucune. Le plus souvent, il manque une information utile dans le rapport, un participant pose la question à la cantonade, et le représentant du pays en question répond tout naturellement Désincarnés, avec leurs compagnies aériennes AAAA et BBBB, et leurs balises XX, les incidents se réincarnent tout naturellement pour devenir vivants, palpables, et tout simplement compréhensibles. L exercice permet ainsi d éprouver ce qui n était que pressenti : les participants se font désormais suffisamment confiance pour trouver très artificiel de débattre sur des incidents «désidentifiés» qui leur paraissent incompréhensibles, car coupés des caractéristiques à chaque fois singulières qui les ont générés. L analyse des méthodes montrera en outre une fois encore qu il est difficile d utiliser un questionnaire valable pour tous les types d incidents. Par exemple : on propose de calculer le pourcentage de «séparation due» réalisé. Un pourcentage faible (c'est-à-dire une perte importante de séparation) augmente le «scoring» de sévérité de l évaluation de gravité. Devant un incident de type «near Control Flight Into Terrain» les participants expriment leurs doutes : il n y a pas dans ce cas de «séparation due». Les discussions qui s ensuivent sont révélatrices de ce que l on est prêt à sacrifier à l évaluation de la gravité. Peut-on mettre un score «moyen» quand on n a pas de réponse sur un item? Cette solution choque certains, dont le représentant français, qui juge cette solution bien peu rigoureuse. Certains pensent que les analystes d incidents sauront «se débrouiller», le chairman insiste à plusieurs reprises : c est aux analystes de décider ; mais quid de l homogénéité des évaluations dans ce cas? Une méthode commune ne parait soudain plus être la garantie d une évaluation homogène de la gravité. Malgré des analyses répétées, des points d accord qui semblent émerger sur certains items de la méthode, l atelier ne permettra pas de conclure clairement en faveur d une méthode. Il s agira de la dernière réunion à laquelle j assisterai. La personne d Eurocontrol ayant récemment pris la responsabilité de ce dernier atelier va en effet remettre en cause ma participation, au motif «du caractère confidentiel des chiffres et des problèmes de sécurité» qui sont évoqués pendant ces réunions. Ma recherche étant financée par le centre expérimental d Eurocontrol, je ne suis pas formellement autorisée à participer au SISG et aux ateliers liés. Il s agira donc d en appeler au «strict respect des procédures». Avec du recul, je ne peux que remercier aujourd hui cette personne, car j aurais pu suivre encore longtemps les travaux de ce groupe si sympathique et repousser encore davantage la rédaction de cette thèse. LA PRC (COMMISSION D EXAMEN DES PERFORMANCES) Nous allons nous tourner maintenant vers un dernier acteur, qui a été rapidement mentionné lorsque la définition de l airprox a été débattue, et qui joue un rôle majeur puisqu il est le destinataire final de ces informations sur la sécurité. Il s agit de la PRC (Performance Review

227 P a g e 227 Commission) ou Commission d examen des performances. La PRC a été crée en 1998 par la Commission permanente d Eurocontrol, par suite de l adoption de la stratégie institutionnelle de la conférence européenne de l aviation civile (CEAC), qui stipule que : «un système indépendant d examen des performances couvrant tous les aspects de l ATM dans la zone CEAC sera établi afin de faire valoir les performances et une meilleure efficacité économique, en réponse aux objectifs fixés au niveau politique». Parmi ses rôles : «elle prépare des Rapports d examen des performances annuels, des études comparatives des prestataires de service de navigation aérienne (ANSP) ainsi que des rapports spéciaux 356». Les recommandations sont ensuite adressées à la commission permanente d Eurocontrol, au travers du conseil provisoire. Ces rapports d examen des performances sont rendus publics. Quatre domaines essentiels de performance (KPA : Key Performance Area) sont ainsi évalués, à l aide de KPI (Key Performance Indicators), ou indicateurs essentiels de performance. Ces quatre domaines sont : la sécurité, les retards, l efficacité économique et le rendement des vols. Nous allons résumer à grands traits ce qui est dit du domaine «sécurité» dans deux de ces rapports publiés au moment où nous suivions les réunions du groupe SISG : cela permettra de mettre en regard les difficultés pour la SRC (commission d examen de la sécurité) d obtenir des informations sur les incidents, et la vision de la PRC qui dénonce l absence de transparence sur les incidents. Le point de vue de ce dernier acteur, qui rend compte au public des performances de l ATM, permet ainsi de terminer la «chaîne» que nous avions commencé à examiner avec la notification des incidents par les contrôleurs dans les centres, dans le chapitre précédent. Le résumé de ces rapports sera complété de l analyse d un entretien qui nous a été accordé à ce moment par le directeur de la PRC. La tonalité générale du premier rapport quant au domaine de la sécurité est indubitablement critique, voir accusateur pour une certaine part. La référence à l absence de transparence est tantôt à lire entre les lignes, tantôt très explicite, comme on va pouvoir en juger dans ce qui suit. Ainsi, la première page du rapport, qui présente des graphiques et des tableaux de synthèse pour tous les domaines, présente à la rubrique «sécurité» un gros point d interrogation, avec la mention : «en l absence d indicateurs essentiels de sécurité, la tendance n a pas pu être déterminée 357». La synthèse conclue à d «importantes déficiences» dans le processus de notification des incidents, parmi lesquelles sont listées : «des degrés inégaux et variables de notification des incidents au niveau des ANSPs», «l absence indicateurs essentiels de sécurité et d objectifs associés», et «la faible transparence». (Souligné par nous). «Il n est pas acceptable que l application d exigences réglementaires en matière de sécurité aussi importantes que l ESARR2 soit aussi lente et incomplète» continue le 356 PRR 6. Evaluation de la gestion de la circulation aérienne en Europe au cours de l année Examen des performances. Commission d examen des performances. Juillet Copyright Eurocontrol. 357 Ibid. (p. 7). (Ainsi que pour les citations du même paragraphe).

228 228 P a g e rapport. Il faudrait y remédier par «des mesures d assistance aux Etats». Enfin, «La conformité des états avec les normes de sécurité devrait être rendue publique 358». La partie consacrée à l examen du domaine sécurité développe ces questions. Elle précise d abord le contexte : si on dénombre un très faible nombre d accidents directement imputables à l ATM, les trois années précédentes sont plus inquiétantes, puisqu elles ont vu se succéder plusieurs accidents (Uberlingen, 2002; Milan 2001; Paris, 2000), mettant en cause très directement le contrôle de trafic aérien 359. A propos des accidents, le rapport note que : «le niveau de détail et de qualité de ces rapports ne permet pas à la SRC d opérer une distinction entre les catégories IFR et VFR 360». A propos des incidents, nous résumons ici les points les plus saillants liés à notre questionnement. Concernant le retard dans la mise en œuvre d ESARR2, la PRC en appelle d abord à des solutions juridiques : «Comme évoqué dans le projet de réglementation du Ciel unique européen, (ANS, art. 4), la commission européenne définira et rendra l ESARR exécutoire en vertu de la loi communautaire». Elle fait en outre état assez explicitement d un désaccord avec la SRC. «De plus, l état de conformité des états individuels avec la réglementation en matière de sécurité a été jugé confidentiel selon la «politique de publication et de confidentialité», malgré une formulation non normative. La PRC considère que l état d application des normes par les Etats devrait relever du domaine public, et ne pas être couvert par un quelconque principe de confidentialité 361». Le dernier point concerne les «outils automatisés». Ils sont considérés comme des solutions à même de pallier la déficience de notification volontaire. La synthèse introductive précise : «La détection systématique à l aide d outils automatisés 362 devrait être encouragée, voire rendue obligatoire. Cela favoriserait, entre autre, l examen des tendances de la sécurité au niveau européen», et «une culture non punitive est nécessaire pour garantir la soumission de comptes-rendus d incidents». Le lien avec l obtention d indicateurs est clairement établi : «puisque la détection de tous les incidents est primordiale pour évaluer la sécurité de façon approfondie et établir des indicateurs de sécurité dignes de foi, un processus automatisé de détection des incidents devrait permettre d améliorer les procédures manuelles de notification», avantage clairement démontré, ajoute le rapport, en France et au Royaume- Uni). L ASMT est mentionné, et on en appelle à «une mise en œuvre «encouragée, voir 358 Ibid. (p. 9) 359 Un résumé de ces accidents est présenté dans le chapitre introductif à l enquête de terrain. 360 Ibid. (p.23) 361 Ibid. (p. 26) 362 Il s agit là bien sûr d une référence explicite à l ASMT (ATM Safety Monitoring Tool) développée par le centre expérimental de Brétigny.

229 P a g e 229 rendue obligatoire» de ces instruments. Il est précisé : «Une culture non punitive est essentielle lors de l introduction de tels procédés 363». Le second rapport 364, un an plus tard, propose une analyse très similaire, avec la même thématique sur le retard pris pour la mise en œuvre d ESSAR2. Nous soulignerons surtout les différences par rapport au rapport de l année précédente. La synthèse fait état de la même «absence d indicateurs essentiels de sécurité» (avec un gros point d interrogation, en lieu et place d un graphique, comme l année passée. Un nouvelle nuance concerne les différences : «la grande disparité entre les moyens et les systèmes de gestion de la sécurité, certains étant très bien dotés, d autres mal équipés». On évoque aussi la dimension d échanges, absente du précédent rapport : «contrairement à l exploitation des aéronefs, il n existe aucun processus établi grâce auquel les ANSP partagent les retours d expérience et les renseignements relatifs à la sécurité, du moins en Europe 365». La mention qui est faîte de la SRC montre une différence par rapport à l année passée : «ni la SRC (commission d examen de la sécurité) ni la PRC n ont accès aux informations adéquates pour assurer leurs tâches d examen des performances en matière de sécurité. Les rapports et les informations utiles devraient être mises à la disposition de la SRC, PRC, et Agence Eurocontrol». Enfin, l accent est mis davantage sur l indicateur essentiel de sécurité (KPI) : «il n existe encore aucun indicateur essentiel de performance (KPI) applicable à la sécurité de l ATM en Europe. Un tel KPI devrait être élaboré de manière urgente. Pour l heure, il n est pas possible de déterminer précisément le niveau de sécurité en Europe 366». Il est fait de nouveau mention de l importance de promouvoir un «environnement non punitif», et la référence à l outil automatique est de nouveau évoquée comme solution : «les dispositifs de notification des incidents s appuient sur un nombre restreint et variable de rapports d incidents humains, ce qui n est pas toujours approprié». L ASMT est devenu entre temps l ADSG (Automatic Safety Data Gathering) et «il devrait être mis en place aussi vite que possible». Les rapports de la PRC nous présentent le point de vue d un acteur majeur, qui fait état des difficultés à obtenir ces informations sur la sécurité, mais aussi des solutions envisagées. Il est fait successivement appel, pour rendre effective cette transparence sur les incidents, à un ensemble de mesures très divers : ESARR2 est un règlement, son application n étant pas 363 Ibid. (p. 26) 364 Evaluation de la gestion de la circulation aérienne en Europe au cours de l année PRR7. Commission d examen des performances. Eurocontrol. Avril Copyright Eurocontrol. 365 Ibid. (p. 11) 366 Ibid. (p. i), synthèse.

230 230 P a g e effective, on fait appel à la loi (loi communautaire) mais aussi à la technique (outil ASMT), mais sans oublier l importance d une culture (non punitive) à lui associer. La transparence semble mobiliser tout : de la politique à la culture en passant par la technique. Bien que l on insiste largement sur l importance de l analyse des incidents à des fins de prises de mesures préventives des accidents, on ressent aussi le glissement insensible vers une transparence devenue finalité. Un entretien avec le directeur de la PRC, mené quelques mois après la fin de ma participation au SISG, complète utilement ce tableau. Celui-ci déplore en premier lieu l absence de données : «A grands traits, au point de vue sécurité, ce qu on a dit pour l instant, c est qu on est dans le noir, c est-à-dire qu on ne sait pas où on est. On a publié même, de manière volontairement provocatrice des points d interrogation». Cet entretien permet de resituer les enjeux de la transparence sur les données sécurité, tels qu ils sont perçus par la PRC. D abord pouvoir élaborer une base de données, qui donnerait des informations utiles sur les principaux risques. Mais pour cela, la qualité des informations et le niveau de détail sur les incidents sont très loin d être atteints. «Ce qu on essaie de pousser mais on en est pas encore là, c est d avoir un système où chaque incident devrait rentrer avec un certain nombre de qualificateurs sur le lieu, les avions impliqués, l analyse de sévérité, etc. Donc, que chaque incident soit rentré dans une base de données, que cette base de données soit accessible avec des conditions d accès et de confidentialité de façon à pouvoir faire des recherches sur tout un tas d axes, par exemple quelles sont les zones géographiques dangereuses, est-ce que certaines heures de la journée sont dangereuses, est-ce que certains pays sont plus dangereux que d autres». Nous abordons ensuite l indicateur de sécurité. A ma question : «qu est-ce qui ferait un bon indicateur de la sécurité?», mon interlocuteur reconnait la difficulté. Il faudrait : «essayer de définir un indicateur qu on considèrerait comme fiable et pour moi, un indicateur fiable c est quelque chose qui, s il varie de 1% même mettons de 10 % doit amener le management à se poser des questions, par exemple, si on le voit se dégrader de même de 5%, normalement cela devrait immédiatement conduire à des actions. Actuellement, les indicateurs, peut-être pas en France, mais ailleurs, sont tellement peu fiables, que même s ils doublent on se dit bon eh bien, ok, ils ont doublé» Cet indicateur doit permettre aussi, de «rendre compte» : «On doit pouvoir aussi rendre compte à la fois aux usagers, en disant notre niveau de sécurité s améliore, on doit pouvoir rendre compte, enfin aux propriétaires ou aux commanditaires du système ATC que sont les Etats ou les régulateurs. En 2000 quand la stratégie ATM a été adoptée, il y a un objectif de sécurité qui a été fixé. Il est fixé, en termes semi-quantitatif. Il est dit : le nombre d accidents et d incidents graves ne doit pas augmenter en terme absolu quand le trafic augmente. C est

231 P a g e 231 un objectif qui est dur en soi, car si le trafic double, le risque est un facteur quadratif donc le risque doit quadrupler, or le risque doit rester constant. Donc cet objectif, à mon sens, est bon, le niveau absolu de sécurité n est quand même pas mauvais, même si on a vu ces dernières années Charles de Gaulle en 2000, Milan en 2001, Überlingen en 2002, donc trois accidents qui ont impliqué le transport aérien où l ATM était directement en cause sans compter la multiplicité des accidents IFR/VFR et avec les militaires qui ont lieu par ailleurs donc le niveau absolu de sécurité n est sans doute pas idéal ou n est pas celui qu il devrait être mais au moins la perception du public est que la sécurité du contrôle aérien est acceptable., A mon sens, c est bien qu il y ait cet objectif mais en face, il n y a pas d indicateur pour mesurer si cet objectif est tenu». Comme il l a souligné au début, les données reçues par la PRC sont très loin de permettre la constitution d une base de données d incidents ou des indicateurs. Les liens avec la SRC sont évoqués : «Nous sommes en train de travailler avec nos collègues de la SRC». Il ajoute : «Jusqu à présent ils soutenaient que c était des données fournies par les Etats, que c était fiable, mais bon, quand on discute avec nos collègues, c est bien clair qu il y a vraiment un cheval et une alouette là-dedans et que la SRC, la SRC elle-même d ailleurs dans leur rapport d analyse des performances annuelles, ils reconnaissent que bon, on a des chiffres mais qu on ne sait pas conclure». A ma question : «D autre part, si j ai bien compris, les données qu ils vous transmettent sont agrégées, c est-à-dire que vous n avez pas les données par Etat?». Il m explique : «Oui, agrégées, «anonymisées» bon on est en train de travailler avec eux pour avoir accès à un niveau un peu plus fin d informations, mais même eux, ils n ont pas l information qu il leur serait nécessaire d avoir pour travailler correctement». Sur le degré de «publicisation» des données, mon interlocuteur précise : «l idée c est d avoir des indicateurs de performance qui permettent de voir l évolution des tendances et en particulier de vérifier cet objectif que le nombre d incidents sévères n augmente pas, de manière fiable». Il indique ainsi ce qi pourrait être rendu public, et : «En fait, de public on trouverait les indicateurs de plus haut niveau qui donneraient un indicateur de la tendance de la sécurité en Europe ou à l intérieur d un pays mais en deçà de cela, il y aurait tout un tas d indicateurs plus fins qui eux resteraient plus confidentiels mais qui permettraient de remonter aux causes, finalement». LES ASPECTS JURIDIQUES Nous terminerons sur les aspects juridiques. Pour mon interlocuteur, ces aspects sont primordiaux. Lorsque j évoque la simple suspension de licence, qui n est pas une mise en examen, et qui peut inciter les contrôleurs à ne pas notifier leurs incidents, mon interlocuteur n est pas convaincu : «cela peut venir du management, peut être du régulateur mais je crois que le problème est surtout législatif».

232 232 P a g e Le directeur de la PRC évoque la directive Européenne 2003/ Celle-ci rend obligatoire la notification, aux autorités compétentes, des «occurrences 368» sécurité et offre un premier niveau de protection «du déclarant» (contrôleur, pilote, ) de l incident, qui reste cependant en deçà de ce qui était souhaité par la PRC. Un exemple au sujet des problèmes juridiques : «Sachant que dans le même domaine du transport aérien, le même pays, les Pays-Bas, donc la même législation s applique au transport aérien et d une manière ou d une autre, KLM a réussi à avoir, si ce n est de droit, du moins de fait, dans la jurisprudence, que leurs pilotes, lorsqu ils déclarent des incidents ne sont pas poursuivis, alors que les contrôleurs aux Pays-Bas, ne semblent pas soumis au même régime de fait. On a vu un cas par exemple, où un contrôleur a été traîné devant les tribunaux à la suite d un rapport d incident, alors là, le flux d informations par rapport au nombre d incidents s est stoppé net». Au moment de l entretien, l obligation pour les états, de transposer cette directive au niveau national n était pas encore effective, et la PRC espérait qu elle marque une étape significative à l égard des freins juridiques à la notification d incidents. 367 Directive 2003/42/EC of the European parliament and of the council of 13 june 2003 on occurrence reporting in civil aviation. Elle est présentée dans le chapitre introduction à l enquête de terrain. 368 Terme qui correspond à peu près à ce que nous avons appelé «incident» dans ce chapitre.

233 P a g e 233 PARTIE II : L ENQUETE DE TERRAIN CHAPITRE 6 : SYNTHESE ET CONCLUSION

234 234 P a g e 1. HAPPY END? ENFIN TRANSPARENTS? Nous avons relaté avec précision les rebondissements de ces réunions de safety managers européens car elles constituaient un exemple très concret des problèmes qui sont soulevés lorsque des organisations sont confrontées à une demande de transparence sur des aspects relevant des risques au sens général. Le suivi d une petite dizaine de réunions nous a permis de suivre l évolution des attitudes des acteurs confrontés à des questions nouvelles pour la plupart d entre eux. Ces attitudes sont autant liées à des stratégies qu à des représentations qui évoluent au fil des réunions. Ces représentations concernent ce qu on peut appeler de façon un peu globale «la sécurité» et son lien avec les incidents. Cette approche ethnographique permet de contribuer à ce que nous annoncions en exergue de ce chapitre : «une histoire concrète de l abstraction 369». En effet, le suivi des débats permet d examiner l évolution de la relation entre le nombre d incidents et la mesure de la sécurité des fournisseurs de service de contrôle aérien, ainsi que la difficulté à appréhender et à quantifier l évaluation de la gravité des incidents. En approfondissant les problématiques identifiées au fil de ces carnets de suivi des réunions, nous allons maintenant examiner la question de l évolution de la transparence chez ces acteurs, en la recadrant dans la perspective plus large de la sociologie des statistiques élaborée par Desrosières. La question de la catégorisation quant à elle sera également discutée à partir de Douglas (emprise de la «pensée institutionnelle 370») et de Porter, dont l ouvrage «Trust in numbers 371» permet d appréhender la tension entre jugement d expert et méthodes quantifiées, enjeu de débats entre les safety managers lors de l évaluation de la gravité des incidents. LES CHIFFRES Si l on cherche en premier lieu à résumer rapidement ainsi qu à donner un premier sens à l évolution des comportements des safety managers lors de cette petite dizaine de réunions, il est à la fois justifié et limité d interpréter ce qui s est passé comme l avènement d une certaine transparence dans les échanges. Justifié, car de toute évidence, comme nous avons essayé de le rendre palpable grâce à l évocation détaillée des discussions, des chiffres sont progressivement confiés alors qu ils ne l étaient pas au début ; les problèmes liés à la sécurité sont également abordés par la plupart des participants, et ils représentent autant de 369 Perrot, cité par : Alain Desrosieres. Pour une sociologie historique de la quantification. L argument statistique. 1. ParisTech. Les Presses des Mines (p.181) 370 Mary Douglas. Comment pensent les institutions, Paris, Editions La Découverte et Syros, MAUSS, Theodore M., Porter, Trust in numbers, The Pursuit of Objectivity in Science and Public Life, Princeton, Princeton University Press, 1995.

235 P a g e 235 vulnérabilités qui sont livrées ouvertement. Il importe cependant avant tout de comprendre, au delà de ce constat, pourquoi cette transparence devient possible, et surtout ce qu elle signifie dans ce contexte. Reprenons en quelques mots l évolution des différents participants quant à la demande de fournir, publiquement, des informations sur la sécurité de leur organisation : nombre d incidents, identification des problèmes liés à la sécurité. Comme nous l avons vu, et notamment comme nous l avons exploré de façon détaillée dans le chapitre précédent consacré à la comparaison de quatre centres, le statut de l incident, son traitement, sa visibilité partent de situations très contrastées. Après une période initiale où plusieurs participants montrent de grandes réticences, la situation évolue assez rapidement. Parmi les participants au SISG, deux fournisseurs de service de contrôle aérien sont un peu à part : le NATS Anglais et la Direction de la Navigation Aérienne Française, car leurs représentants fournissent avec une bonne volonté certaine des informations dès le début. Ces informations sont à la fois des chiffres (nombre d incidents) et des aspects plus qualitatifs (la présentation de «problèmes de sécurité» qui découlent d un travail de synthèse effectué sur l analyse des incidents, parfois complétée par des études spécifiques). D autres représentants, nous l avons vu, restent au contraire plutôt muets sur ces sujets, déclarent initialement un très faible nombre ou une absence d incidents, et cherchent ensuite à esquiver, partiellement au moins, la question de la communication du nombre d incidents. Une des réunions marque sans doute un tournant, avec une présentation très détaillée délivrée par les Anglais, et une présentation elle aussi très complète par le représentant français, doublée de la distribution du bilan annuel «sécurité» à tous les participants. Ce geste est hautement symbolique : si un des représentants anglais parle assez bien le français et promet de lire avec intérêt ce rapport, les autres participants n auront peut être pas les ressources linguistiques nécessaires à la lecture de cette bonne centaine de pages. Il s agit cependant d une «transparence» exemplaire et saluée comme telle par le chairman d Eurocontrol. A la réunion suivante, on s en souvient, les participants les plus réticents confient désormais quelques incidents. Il manque bien sûr à ces observations tout un pan concernant la façon dont les safety managers discutent en interne dans leurs organisations respectives, entre deux réunions du SISG, de l opportunité ou non de fournir des informations sensibles. Ces safety managers doivent-ils convaincre leur hiérarchie qu il n est plus très bien vu d arriver «sans incident» en réunion? Il est probable que, pour certains fournisseurs de service, le problème ne soit pas trivial : après avoir vécu pendant des décennies sans incident, après s être en quelque sorte «structurés» autour de l absence d incidents, il faut maintenant «en avoir», ne serait-ce qu un minimum, pour ne pas être accusé d opacité. La méthode ethnographique atteint ici toutefois sa limite, dans la mesure où il sera nous difficile d obtenir des informations sur la façon dont chaque organisation s accommode de ces nouvelles exigences.

236 236 P a g e AU DELA DES CHIFFRES, LES ECHANGES SUR LA SECURITE Un autre résultat de l étude longitudinale des réunions du groupe européen est le développement progressif d échanges sur des questions de sécurité, qui vont venir compléter la communication de chiffres. Ces échanges, s ils restent structurés, sont aussi beaucoup plus vivants et informels. Ils sont quasiment absents au début, et deviennent majoritaires (en termes de temps de parole) dans les deux derniers SISG. Il est palpable que ces échanges qui mêlent problèmes opérationnels, organisationnels, et explications sur certains types d incidents passionnent les participants : les interventions de chaque safety manager sont ponctuées de questions, de plaisanteries, de nombreuses remarques. Des murmures d approbation ou des protestations s élèvent dans la salle. Cette parole est peut-être, entre autres choses, libératrice. Ainsi, lorsque le représentant français explique que certains incidents se produisent avec un élève en instruction auquel on a laissé prendre un trafic important pour le «tester», le problème ne laisse personne indifférent. Il semble même que certains participants n attendaient que cette première «confession» pour avouer qu ils font face à des soucis similaires dans leurs propres centres de contrôle, qu eux aussi se posent des questions sur la formation largement «sur le tas» des contrôleurs, et les problèmes qu elle soulève tout en ayant prouvé son bien-fondé. Les problèmes de VFR 372 pénétrant une classe d espace qui leur est interdite, de nouveaux radars «trop» précis, les exemples d instructions qui mettent les avions aux limites de leurs performances sont tous accueillis avec beaucoup d intérêt, même s ils ne concernent pas directement tous les centres. On trouve ici un exemple probant de ce que Weick a appelé le «story-telling effect 373» dans son étude sur les porteavions, en montrant l importance de ces communications centrées sur des expériences, des histoires, racontées par les différents acteurs qui permettent à la fois l échange d informations et une sensibilisation aux risques. Une communauté se construit donc peu à peu : le groupe devient véritablement un groupe d échanges sur des problèmes de sécurité, qui sont évoqués de façon ouverte, sans langue de bois. Ce qui ne signifie pas, pour autant, qu une vision unique de la sécurité s élabore si aisément. Nous avons vu notamment comment les deux «grands» fournisseurs de service, le Royaume-Uni et la France, s opposaient même frontalement sur certains points, et discutaient âprement de la «bonne» façon d évaluer la gravité d un incident, par exemple. Il faut noter le rôle implicite de ces grands fournisseurs de services de contrôle aérien comme producteurs de normes : si le représentant français évoque sans tabou un problème, il est ensuite plus facile pour d autres organisations, de taille plus modeste, de renchérir, alors que les représentants de ces pays n auraient visiblement pas osé évoquer le problème en question de leur propre initiative. 372 Visual Flight Rules : vol à vue. 373 Karl Weick, Organizationnal culture as a source of high reliability. California Management Review. N 29. P (p. 113).

237 P a g e 237 Cette évolution vers «plus de transparence» au fil des réunions étant rapidement résumée, il est temps maintenant d explorer quelques éléments théoriques qui viennent éclairer les questions qui sous-tendent ce qui vient d être décrit : quel est l enjeu de la communication de chiffres pour une organisation à risque? À quelles conditions celle-ci peut-elle s effectuer? Comment comprendre, dans une perspective d individualisme méthodologique qui donne une place centrale au sens que l acteur donne à ces actions, les stratégies des différents safety managers et leur évolution? Comment évoluent les représentations de la sécurité, les tentatives pour mesurer celle-ci, à travers les débats que nous avons relatés? Dans un premier temps, les questions autour de la communication des «chiffres» de la sécurité seront éclairées par la sociologie de la statistique proposée par Alain Desrosières. 2. «DISCUTER L INDISCUTABLE» 374 Le nombre d incidents communiqués par les safety managers lors des réunions du SISG, les problèmes de catégorisation, quoiqu à un niveau plus modeste et circonscrit que les statistiques étatiques étudiées par Desrosières (chiffres du chômage, de la pauvreté, etc.) participent eux aussi d une statistique destinée à fournir «la référence des débats». C est pourquoi cette sociologie nous est apparue comme de nature à éclairer les discussions qui ont été rapportées dans les carnets ethnographiques de ce chapitre consacré aux réunions du SISG. Les problématiques identifiées sont structurées autour de trois pôles qui vont être explorés dans cette synthèse : la classification des incidents dans différentes «catégories d incidents», la classification des incidents dans différentes catégories de gravité, et, enfin, la signification du nombre d incidents et la mesure de la sécurité. REFERENCE ET OBJET DU DEBAT Desrosieres a proposé une formule qui résume bien la question transversale à l élaboration de statistiques, à la communication de chiffres en général : discuter sur les statistiques, c'est «discuter l indiscutable». La statistique est à la fois transitoirement indiscutable (si on veut pouvoir en faire un objet de référence dans un débat public : on parle d indicateurs de chômage, de pauvreté, de qualité de vie, etc.) et elle est aussi discutable (car il arrive toujours un moment où les mécanismes de constitution des chiffres vont être attaqués, discutés, et parfois dénoncés). Ce double statut de «référence» et de «débat», défend Desrosières, est au cœur de toute discussion des statistiques au sein de l espace public. Lors de la confection de statistiques, on crée, par exemple, des espaces d équivalence : des singuliers vont être rangés dans la même catégorie. Dans le cas qui nous intéresse, les safety 374 Alain Desrosières. La politique des grands nombres, histoire de la raison statistique. La Découverte. 1993

238 238 P a g e managers doivent créer, à partir des incidents singuliers des «catégories d incidents», plus ou moins générales. En outre, la gravité de cet incident-là doit entrer dans une catégorie de gravité : A, B, etc. Il faut donc se mettre d accord, explique Desrosières, sur des conventions, qui seront «toujours provisoires, fragiles». Mais une fois que la mesure se stabilise, il y a en quelque sorte mise en sommeil de ces aspects, afin que cette mesure acquière une place dans le débat public, qu elle devienne une référence, un «appui conventionnel». Pour Desrosières, cet oubli est une condition sine qua non pour permettre de débattre : «l affirmation selon laquelle la mesure résulte toujours d une façon ou d une autre, d une procédure conventionnelle modifie trop radicalement l espace de débat public pour être utilisée au cours de celui-ci 375». Mais cet accord sera toujours provisoire, plus ou moins long : à un moment du débat, ces conventions peuvent être remises en question, par des parties plus ou moins agressives dans leurs critiques. L objet statistique peut donc être «référence du débat» et «objet du débat», mais pas dans le même temps. UN INDICATEUR IMPLICITE? Par rapport à cette polarité «discutable-indiscutable» proposée par Desrosières, notre étude présente un moment bien particulier, puisque, les catégories ne sont pas stabilisées. Il ne s agit ni d oublier ni de dénoncer le caractère «discutable», il s agit d abord de l identifier comme tel. Le caractère d emblée très «naturalisé» de la notion d incident (des incidents, rappelons-le, que l on collecte), s allie au caractère atypique du statut du nombre des incidents. Le nombre d incidents comme indicateur de sécurité n a en effet jamais fait l objet, au préalable d un accord, d une convention élaborée, d une délibération. C est pourquoi nous proposons le terme d indicateur implicite. Cet implicite renvoie à l idée que le nombre d incidents ne peut pas ne pas dire quelque chose de la sécurité. La lecture de l indicateur semble elle-même aller de soi. Aux débuts de la mise en place du SISG, l idée prévaut largement selon laquelle un faible nombre d incidents est le signe d un bon niveau de sécurité. Cette idée n est pas exprimée en tant que telle : à vrai dire, il n existe pas de formulation explicite d un lien entre nombre d incidents et sécurité, ni de la part d Eurocontrol lorsqu il réclame ces chiffres, ni de la part des fournisseurs de service de contrôle aérien. En fait, la notion d interprétation n est même pas convoquée, car la lecture des chiffres n est pas l objet d un questionnement. Il existe bien sûr des visions plus ou moins averties. Dans une étude préliminaire à ce travail, le safety manager slovaque 376 se vantait de son absence d incidents pour affirmer sa «sécurité absolue» ; le représentant français expose ses chiffres, mais les inscrit dans les modalités qui sont mises en place en France (outil de détection automatique, 375 Nous avons vu avec l exemple des anglais, qu une augmentation des incidents ne pouvait être interprétée vis-àvis du public comme lié aux mécanismes de constitution des chiffres. 376 «Notre sécurité est je dirais absolue nous n avons pas d incidents». Christine Fassert, La transparence en questions. Mémoire de Diplôme d Etudes Approfondies en Philosophie, mention sociologie. Paris, Paris 1 Sorbonne.

239 P a g e 239 filet de sauvegarde, etc.). Il ne s inquiète pas outre mesure de l image qu il donne, il ne juge pas que la sécurité soit «si mauvaise» en France, me confie-t-il dans un entretien. La prise de conscience progressive des aspects conventionnels ou construits de la mesure et des mécanismes de constitution des chiffres 377, selon la formule de Dodier, est au cœur de l évolution des safety managers tout au long de ces réunions : les chiffres deviennent alors discutables. 3. DES INCIDENTS AUX CATEGORIES «La construction d un système statistique est inséparable de celle d espaces d équivalence, garantissant la consistance et la permanence, tant politique que cognitive, de ces objets voués à fournir la référence des débats. ( ). L information statistique ne tombe pas du ciel comme pur reflet d une réalité antérieure à elle. Bien au contraire elle peut être vue comme le couronnement provisoire et fragile d une série de conventions d équivalence entre des êtres qu une multitude de forces désordonnées cherche continuellement à différencier et à disjoindre 378». LES ENJEUX DE LA CATEGORISATION DES INCIDENTS Si l on rentre plus avant dans les mécanismes de constitution des chiffres sur les incidents, il est nécessaire d examiner les mécanismes qui permettent de classer les incidents dans plusieurs catégories. «Le moment du codage, souvent humble et caché dans des chaînes de production statistique routinisées est plus visible quand il est lui-même un aspect d une décision par ailleurs lourde de conséquences 379». Desrosières donne les exemples de la justice, de la médecine et de l école qui attireront davantage l attention sur les processus de qualification, de catégorisation, et notamment, sur la construction de classes d équivalence à partir d éléments singuliers. Par conséquent, c est en termes d enjeux que nous avons choisi de présenter ce qui se joue dans la catégorisation des incidents pour une organisation. DES ENJEUX «COMPTABLES» Le premier enjeu concerne l appréhension de la sécurité à travers le nombre d incidents. Parmi tous les éléments qui jouent sur le «nombre final» d incidents communiqués par une ANSP, l existence de différentes catégories joue de toute évidence un rôle majeur. Ainsi, une nouvelle catégorie d incident, correspondant à l identification d un nouveau risque, a pour 377 Nicolas Dodier, L'expertise médicale, Essai de sociologie sur l'exercice du jugement, Paris, Métailié, Alain Desrosières. La politique des grands nombres, histoire de la raison statistique. ed. la découverte (p.397) 379 Op.cit. (p.302)

240 240 P a g e effet l augmentation du nombre total d incidents. Si l on prend l exemple de la naissance d une catégorie, rapidement évoquée ici sur la base d entretiens menés avec différents acteurs (dans les centres de contrôle aériens, au niveau du management de la sécurité, avec des personnes d Eurocontrol), on peut plus aisément appréhender les mécanismes qui sous tendent l identification de types d incidents et l impact sur les chiffres. Il faut d abord que se combinent des facteurs cognitifs et institutionnels pour que s élabore une catégorie 380. Cognitifs, dans la mesure où avant l existence d une catégorie, l incident comme événement singulier n est pas étiqueté «incident». («Les incursions de piste, me dit un responsable français dans une formule saisissante, mais tant que ce n était pas connu, on n en avait pas»). Il existe aussi des différences de catégorisation qui n influent pas sur le nombre global d incidents. L événement peut également être placé dans une catégorie plus large. Par exemple, les alertes TCAS peuvent être placées dans la catégorie de «perte de séparation», qui l englobe. Les «level bust 381» peuvent être aussi placés dans les pertes de séparation. Des facteurs institutionnels sont aussi en jeu, parce qu une prise de conscience diffuse, quels que soient les acteurs qui en sont porteurs, ne va se cristalliser véritablement que lorsqu il y a une reconnaissance et une explicitation d un risque, d un «type d incident» par d autres niveaux de l organisation. Si on résume brièvement la naissance du risque «incursion de piste» en Europe, on peut noter : une prise de conscience plus précoce aux Etats-Unis, la mise sur agenda de ce risque par la FAA 382, et non pas par les JAA 383 en Europe. Quelques cas spontanément notifiés par des pilotes et des contrôleurs (à l aéroport Charles De Gaulle, essentiellement). Une prise de conscience par une personne de la SRU qui s alarme de ne pas voir le risque d incursion de piste sur l agenda des JAA 384. Puis la mise en place d un groupe «Incursion de piste», et d une «task force» par Eurocontrol. Ce qui se traduit ensuite, au niveau des ANSPs puis de chaque centre de contrôle, par des actions de sensibilisation (affiches par exemple dans les salles de contrôle, briefings aux contrôleurs, ). Le résultat final (provisoire) étant l augmentation notable d incursions de piste signalée dans la plupart des aéroports. Interprétable, en première analyse, comme une diminution de la sécurité comme nous l avons vu avec l exemple Anglais (lorsqu ils argumentent le changement de méthode d évaluation de la gravité) ou avec l exemple du safety manager qui se met en colère lorsque l on siffle l annonce de ses chiffres en augmentation : «je suis déçu, vous réagissez comme des managers». 380 Ibid. (p.407). Lorsqu il donne l exemple des chiffres du chômage, Desrosières parle d un «réseau institutionnel et cognitif» pour tisser les équivalences qui conduisent à la mesure. 381 Les levels busts sont les franchissements de niveaux. Par exemple, un avion devant faire un palier dans sa montée au niveau 250, atteint directement le niveau 300. Sans gravité si aucun autre avion n est déjà à ce niveau, mais entraînant une perte de séparation entre aéronefs dans les autres cas. 382 Federal Aviation Authority. 383 Joint Aviation Authority 384 Voir Fassert, op.cit. pour quelques détails.

241 P a g e 241 DES ENJEUX COGNITIFS ET MORAUX Les catégorisations sont également l enjeu de débats qui vont au delà de l impact sur le nombre total d incidents déclarés par une ANSP. Lors du troisième SISG, le chairman d Eurocontrol a fourni dans l agenda de la réunion une typologie des différentes catégories d incidents : il est précisé que les participants sont tenus d utiliser cette typologie lorsqu ils présenteront leurs incidents lors de la prochaine réunion. Les stratégies sont différentes selon les safety managers. Le safety manager anglais utilise «sa» typologie, laquelle, souligne-t-il en préambule sans se laisser démonter par le ton ferme du chairman, a le mérite d exister depuis longtemps et d être satisfaisante; il néglige ainsi le cadre requis par Eurocontrol. Cette attitude est cohérente avec la légitimité «supérieure» dont ils se réclament : ils ont développé une expérience de safety mangement très formalisée et considèrent sans doute qu ils sont à ce titre dispensés de l effort de «traduction» demandé par Eurocontrol à cette occasion. Ne sont-ils pas en outre «much better than the rest of the world» comme le déclare le chairman d Eurocontrol en réunion? Le safety manager Français quant à lui, a fait l effort de «traduire» sa catégorisation dans la catégorisation d Eurocontrol. Il me souligne dans une conversation privée le travail colossal demandé par cette traduction, son caractère nécessairement arbitraire à certains moments, la perte d informations qui en résulte, et, last but not least, une frustration certaine pour cet esprit rigoureux qui s inquiète toujours de la possible estimation faussée d un risque qui pourrait résulter de cette «cuisine». En séance SISG, il montre bien qu il n y «retrouve pas toujours ses petits», selon une formulation privée, et fait part de certains questionnements qui l ont contrarié lorsqu il a fait le travail de «reventiler» les incidents déjà catégorisés dans le cadre Français dans les catégories proposées par Eurocontrol. Il interpelle à plusieurs reprises le chairman d Eurocontrol, et notamment : «Où mettez vous les TCAS? Dans les «pertes de séparations»? ah, nous avons une catégorie à part entière!». Le reproche (une alerte TCAS est plus qu une simple perte de séparation et mérite sans doute d être singularisée) est à peine voilé 385 Nous avions vu que la métaphore de la visibilité des risques, celle d une forme d auto-transparence traverse toute la littérature des «organisations à risque». La catégorisation est aussi partie prenante de cette identification des risques : classés dans une catégorie trop générale, ils ne bénéficient pas d une prise de conscience et d une attention suffisantes. La classification n est pas qu une affaire cognitive : méconnaître le caractère singulier de l alerte TCAS, c est peut être commettre aussi une quasi faute morale si l on en juge par l agacement et la réprobation exprimées à ce moment par le représentant français. Classifier un incident TCAS dans la même catégorie qu une «simple» perte de séparation est sans doute 385 Notons au passage que «traduire» une alerte TCAS dans laquelle le pilote n a pas obéi à son TCAS RA en simple «perte de séparation» limite le retour d expérience possible.

242 242 P a g e jugé par ce safety manager comme une forme de légèreté ; il est en effet important de prendre en compte ici un critère essentiel pour qualifier l incident : la faillite du système ATC à assurer la séparation entre aéronefs de façon adéquate. Les Français, quant à eux, ne catégorisent pas ces alertes dans la catégorie très large de la «perte de séparation». Dans la catégorisation d un risque se joue également une certaine vision des missions d une organisation, qui va au delà d un strict contour cognitif de la catégorie. Se jouent donc des aspects symboliques, comme l avaient montré Mauss et Durkheim 386. Enfin, dernier exemple de l influence de la catégorisation sur les représentations qui vont être élaborées et sur «l auto-transparence» dont on avait montré l enjeu dans les organisations à risque, une catégorie qui n existe pas (dans une liste, une base de données) a pour conséquence qu un type d incident n «existe» pas. Certains avouent par exemple : «des incidents de type péril aviaire? euh nous n en avons pas mais c est vrai qu on n a pas cette catégorie chez nous». La transparence n est pas toujours une vertu, et trouve ici sa limite. Il ne suffit pas d être de bonne volonté pour être «transparent» sur ses risques. «Ne pas avoir» un incident ne signifie pas toujours que l on souhaite cacher celui-ci, mais parfois que l on n a pas la catégorie qui permette de l identifier. Comme le résumait déjà notre représentant français : «les incursions de pistes? Mais tant que ce n était pas connu, on n en avait pas!». DES ENJEUX PERFORMATIFS Les enjeux sont enfin performatifs : catégoriser, nous venons de le voir, ne se limite pas à une activité intellectuelle sans prise sur le monde. Les catégories font faire des choses aux acteurs: elles dessinent un monde avec des «risques type», elles identifient des vulnérabilités proprement organisationnelles. Dans les organisations qui ont formalisé leur Système de Management de la Sécurité, les catégories influenceront le processus du Retour d expérience et les politiques de prévention des risques identifiés. Par exemple, si nous reprenons notre exemple des «incursions de piste», il est patent qu une fois que cette catégorie est instituée (ou identifiée si on préfère une formulation plus réaliste des choses, mais cette différence est sans importance ici), elle va s inscrire de façon durable dans la vie des fournisseurs de service de contrôle aérien, mais aussi au sein des compagnies aériennes, et d organisations comme Eurocontrol. Créer une catégorie, c est aussi faire advenir une conscience de ce risque qui peut permettre, dans un Retour d Expérience idéal, de cibler correctement les mesures qui peuvent être prises. C est pourquoi l annonce d une «nouvelle» catégorie, instituée par le représentant français au sein de la catégorie des «TCAS alertes» ne laisse personne indifférent. En mentionnant ses cinq «Überlingen style 387», le safety manager souhaite clairement insister sur le fait que l on n a pas véritablement appris de l accident, que l on n en 386 cité par Desrosières. Texte fondateur de «De quelques formes primitives de classification, contribution à l étude des représentations collectives». 387 Cf le chapitre d introduction au terrain pour une description de l accident.

243 P a g e 243 a pas tiré les leçons. Malgré la médiatisation de l accident, et le fait qu il ait été largement présenté et débattu dans de nombreuses «instances» (formations, débriefings, publications internes sur la sécurité, etc.), il peut encore arriver qu un pilote se conforme à la clairance donnée par le contrôleur plutôt qu à la manœuvre ordonnée par son système embarqué d anti-collision, rendant celle-ci ineffective. Là aussi, la création de la catégorie a pour enjeu l identification d un risque spécifique, alors que sa catégorisation dans une classe plus large ne permettrait pas d attirer l attention sur l élément singulier à retenir. Ainsi, bien que contrairement au représentant Anglais, le safety manager Français se montre respectueux de la typologie proposée par Eurocontrol, il met une limite à sa «compliance 388». Nous venons de le voir, une première fois en proposant, à l intérieur des pertes de séparation, une sous catégorie «TCAS». Et une seconde, en proposant, comme sous-catégorie supplémentaire, une sous-catégorie «Überlingen style» tout à fait originale. Aucun autre participant ne mentionne une telle catégorie, et son annonce déclenche quelques murmures d inquiétude. Et pour les plus «motivés» d entre eux, la question est désormais posée : y a-t-il eu ou non, dans leurs incidents nationaux des incidents de ce type? S ils instituent cette catégorie, ils pourront désormais découvrir, le cas échéant, qu à l intérieur de leur propre organisation, les leçons à tirer de la catastrophe devraient être réaffirmées 389. L examen de ces enjeux permettent, entre autres, d appréhender la mise en place du réglementaire et les débats afférents comme une occasion forte de «dénaturalisation des catégories». Les catégories quasiment naturalisées d incident et de classification de gravité sont questionnées pour chacun des participants : s il existe d autres façons de définir l incident et de le classifier, c est bien que ma façon de faire ne «va pas de soi». Quel peut être l impact de cette dénaturalisation? Chez Douglas, la naturalisation est liée à la légitimation : la naturalisation fonde la légitimité de l institution. La naturalisation a de ce fait également une fonction car elle «économise de l énergie cognitive». Nous allons maintenant examiner la lecture proposée par Douglas de la «pensée institutionnelle», ainsi que sa portée et ses limites pour rendre compte de l enjeu de la catégorisation des incidents chez nos safety managers. 388 Ce terme couramment employé dans le domaine réglementaire est très difficile à traduire : il s agit d une mise en conformité qui possède une nuance supplémentaire d obéissance. On parle notamment de la compliance des malades vis à vis de leur traitement. 389 Un ancien contrôleur, maintenant responsable de la formation à Eurocontrol, propose sur le sujet une réflexion intéressante : il critique notamment l accent mis sur la formation comme solution au problème mis en évidence par l accident d Uberlingen. L article (When the controller loses control) montre à quel point l introduction du TCAS a été insuffisamment pensé quant à ses implications profondes quant aux relations entre pilotes et contrôleurs. «Je pense que même si le training peut faire beaucoup, il y a d autres aspects liés au comportement humain qui exigeraient d être traités à un niveau plus fondamental. Commençons à nous demander pourquoi le pilote écoute le contrôleur plutôt que le TCAS RA? Cela peut être du à une combinaison d habitude, de pression, et à un degré de confiance envers la personne qui donne la clairance? ( ) comment peut-on former à surmonter cela? Dans quelle mesure puis-je m entrainer à faire un jugement objectif lorsque je suis en face de personnes envers lesquelles j ai un haut degré de confiance? surtout dans les situations où je suis sous pression?». Notre traduction. Blog ARIA TM. ATM. When the controller loses control. 14 Août 2007.

244 244 P a g e CATEGORISER : QUEL ROLE POUR L INSTITUTION? Dans son ouvrage «Comment pensent les institutions?», Douglas s attache à démontrer l empreinte déterminante de l institution sur la pensée des hommes, et notamment sur les activités de catégorisation. Elle se pose en cela dans la continuité de Fleck et de sa notion de style de pensée : «l individu au sein du collectif n est jamais ou presque jamais conscient du style de pensée dominant qui exerce pratiquement toujours sur lui une emprise absolue sur sa pensée et dont il lui est impossible de s écarter 390». Elle se pose également essentiellement en héritière de Durkheim, pour lequel les classifications sont d abord sociales. Ce double héritage lui permet de définir son programme, dans lequel l institution, atteinte de «mégalomanie pathétique 391» veut tout régenter : la mémoire, les perceptions, les émotions, les problèmes, et bien sûr, les catégories. Si elle appelle à une forme de résistance intellectuelle à cette emprise, elle n en donne pas les modalités. Pense-t-elle le combat perdu d avance? Georges Balandier, dans son introduction à «Comment pensent les institutions?» introduit deux critiques qui trouvent un écho très clair dans ce qui émerge de notre analyse de ces débats. Ce sont d abord ces critiques que nous examinons, (au sujet du caractère «donné» de l institution chez Douglas, et au sujet de sa négligence du rôle de la matérialité dans le processus de construction sociale) avant de formuler nos remarques quant aux rapports entre naturalisation et légitimation et à la réflexivité des acteurs. DE QUELLE INSTITUTION PARLE-T-ON? Balandier regrette d abord que le terme «société» soit «utilisé comme allant de soi et désignant un objet bien défini». Objet défini dont il resterait ensuite à analyser les contraintes qu il imprime sur les individus. Balandier propose une vision différente : «la société se conçoit davantage sous l aspect d une création permanente et incertaine, d une production continue, jamais achevée, toujours à reprendre». En fait Douglas emploie souvent indifféremment société et institution. Cette critique est tout à fait pertinente dans le cas certes limité de la contrainte institutionnelle qui s exerce sur la pensée de nos «safety managers». Pas plus que ne l est en général la société pour Balandier, l institution qui détermine ce qu est un incident dans le contrôle aérien n est pas un «objet aux contours bien définis», un objet stable, ni surtout un objet allant de soi. Peut être est-il salutaire de remettre en question ce que Douglas ne questionne pas dans sa théorie, ce qui semble «aller de soi» : le contour de l institution lui même. Que penser des multiples intrications et dépendances qui sont caractéristiques des institutions de nos sociétés modernes? Si on se propose comme dans ce travail d étudier les processus de catégorisation 390 Fleck, cité par : Mary Douglas, Comment pensent les institutions, Paris, Editions La Découverte et Syros, MAUSS, (p.36) 391 Ibid. (p.108)

245 P a g e 245 des incidents de contrôle de trafic aérien, quel est le contour de l institution à prendre en compte? Doit-on par exemple, considérer le fournisseur de service de contrôle, ou une entité plus large qui comprenne son autorité de régulation, ou bien encore un macro-système aéronautique qui comprendrait en sus une organisation comme Eurocontrol? Si on limite l institution à l organisation la plus restreinte (tel centre de contrôle aérien X dans un pays particulier, centre qui est lui-même une «institution» avec son histoire, sa vision de la sécurité, ses pratiques, etc.), on est forcé d admettre que la définition de la notion d incident est influencée par des aspects bien plus larges que les contours de «ce centre-là». Si on prend une vision large, (mettons, au plus vaste, le macro-système aéronautique tout entier, qui comprend les aviations civiles de tous les pays, les compagnies aériennes, les autorités réglementaires etc. ), il faut admettre qu au sein de la nouvelle «institution» ainsi définie, la définition de la catégorie incident perd de son unité : l institution ne décrète plus, au contraire, elle s éclate dans de multiples visions qui s affrontent et se combinent. Si on prend maintenant une vision dynamique et pas seulement spatiale de l institution, les choses se complexifient encore. Un safety manager, d une aviation civile d un pays particulier, se frotte grâce aux réunions du SISG, aux visions des autres participants, comme nous l avons longuement montré dans le chapitre précédent. Ce contact avec des pairs va modifier son appréhension de la notion d incident, et pourtant il continue bien d «appartenir» à son institution d origine, qui va se modifier peu à peu sous l impulsion des nouvelles représentations Européennes. LA MATERIALITE DANS LA CONSTRUCTION SOCIALE La seconde limite identifiée par Balandier dresse la liste de ce que Douglas exclue dans sa construction du social : les rapports de l homme à la nature et à la matérialité, dont le travail et l instrument, à sa propre nature, le rapport de l homme à la temporalité, et enfin la domination, l imaginaire, ou la croyance. Dans cette liste de ce que Douglas exclue, l instrument, les objets (systèmes techniques, procédures, «inscriptions» au sens de Latour) sont particulièrement importants à considérer. Le chapitre précédent a montré comment les systèmes d information (outils de détection automatique d incidents, bases de données) jouaient un rôle déterminant dans la construction de la notion d incident, et comment des artefacts comme des grilles d évaluation jouaient un rôle également essentiel dans l analyse de la gravité. Or, cette matérialité, qui est à l œuvre permet aussi aux catégories de s incarner, et de durer. LA NATURALISATION EST-ELLE LA SEULE SOURCE DE LEGITIMATION? Pour Douglas, la naturalisation est un processus essentiel de légitimation. Des catégories légitimes doivent se fonder en nature. Dans un monde technique comme le contrôle de la navigation aérienne, la référence à une nature est limitée, les catégories deviennent naturelles dans le sens où elles prennent un caractère d évidence, mais toujours avec l artificialité et la

246 246 P a g e contingence des productions humaines. Il est sans doute plus pertinent de parler de réification (la notion d incident se fige autour de pratiques et d outils qui renforcent la compréhension de «ce qu est un incident») que de naturalisation proprement dite. On ne note bien sûr pas de référence directe à une «nature» donnée et immanente comme lorsqu on parle, par exemple, de la catégorisation dans le domaine de la physique ou de la botanique pour laquelle les scientifiques peuvent évoquer cette nature, et alimenter ainsi la querelle entre les deux parties définies par Hacking 392 : les «structuristes-inhérents» (le monde a une structure inhérente qu il convient de déchiffrer) et les nominalistes (le monde n a pas d autre structure que celle, arbitraire et contingente que celle que lui donnent les «découpages» humains 393 ). On peut cependant parler de la «naturalisation» de la catégorie d incident dans le sens où ceux-ci prennent effectivement dans les pratiques un statut d objectivité, d extériorité. Ils sont, selon l expression consacré, «collectés» et la première ambition d un système de retour d expérience est toujours formulée dans les termes d une collecte exhaustive des incidents, comme si l exhaustivité de cette collecte garantissait, implicitement, une parfaite identification donc maîtrise des risques. Cette référence à l objectivité est particulièrement forte lorsqu il s agit de classifier l incident dans la bonne catégorie de gravité, de lui donner sa vraie place. La querelle sur les classifications en appelle toujours à une transcendance, une vérité ultime : les discussions portent sur la surévaluation, la sous-évaluation d un incident dans une catégorie qui est toujours considérée, implicitement, comme existant de facto. Lorsque, lors d exercices de catégorisation proposés par Eurocontrol, il devient patent qu un même incident est classé selon les safety managers dans des catégories différentes, le débat consiste à se demander qui réalise, avec ou sans méthode formalisée, la mesure la plus objective du risque, laquelle place l incident dans la bonne catégorie de gravité. Sur ce point, la divergence avec Douglas est donc très ténue : s il n y a pas de naturalisation à proprement parler, les attributs essentiels de celle-ci (extériorité, caractère donné, objectivé) sont tous présents dans le statut donné à l incident et à sa classification dans des catégories de gravité. «COMMENT PENSENT LES ACTEURS DE L INSTITUTION?» Le bilan de la notion de pensée institutionnelle proposée par Douglas pour rendre compte des processus de catégorisation des incidents est très nuancé. Il nous semble que l analyse de Mary Douglas rend davantage compte de la pensée dans des institutions stables et relativement isolées que de situations dans lesquelles des visions s affrontent au sein d institutions dont le contour peut être à chaque fois interrogé, des institutions plus 392 Ian Hacking, The social construction of What?, Cambridge, Massachusetts and London, England, Harvard University Press, Comme dans l idéalisme transcendantal de Kant sauf qu ici il n y a pas du tout de structure nouménale : ce n est pas seulement inconnaissable.

247 P a g e 247 «perméables», en contact les unes avec les autres, qui sont caractéristiques de celles du macro système technique aéronautique, et de la modernité en général. La prégnance de la pensée institutionnelle défendue par Douglas dessine un monde dans lequel les membres d un groupe intègrent les caractéristiques dans une vision essentiellement culturaliste, plutôt qu un monde d acteurs qui, en appartenant à des cercles divers, se constituent comme sujets par de multiples appartenances identitaires, comme Simmel l avait souligné depuis longtemps. Il semble que l analyse de Douglas néglige en outre un point essentiel : la réflexivité des acteurs. Son analyse est très centrée sur l empreinte de l institution sur des individus, au détriment d une vision qui intégrerait des aspects plus dynamiques et réflexifs d acteurs. Il est vrai que dans le cas évoqué dans cette partie, une nouvelle institution qui serait l Europe de la sécurité aérienne, et qui doit définir ses catégories, est en construction. Or, il faut bien que cette institution ait été construite et stabilisée pour ensuite marquer de son empreinte les pensées des individus qui lui appartiennent. Curieusement d ailleurs, Douglas ne s intéresse jamais à cette genèse. Cependant, chaque safety manager vient d une institution (fournisseur de services de contrôle aérien) qui s est inscrite dans une durée certaine, une forme d organisation stabilisée, et pour laquelle, par conséquent, les analyses de l auteur devraient être plus pertinentes. Et, en effet, le safety manager arrive dans le groupe SISG avec les catégories (incidents, gravité) véhiculées par l institution à laquelle il appartient. Cependant, au sein de leur institution d origine, on peut également observer différents niveaux de conscience et de recul sur les mécanismes qui fondent la catégorie incident, et sur les mécanismes de constitution des chiffres. On pourrait dire, en reprenant la métaphore Latourienne, que certains ont notamment plus ouvert les boites noires que d autres. Il semble, pour le dire très simplement, que certains safety managers se sont tout simplement «posé davantage de questions» sur ce qu ils faisaient que leurs collègues Est-il pertinent de rechercher à cet égard un déterminisme institutionnel? Au niveau, par exemple, du «Bureau airprox» Français, la personne qui représente l aviation civile au SISG va très vite se demander pourquoi, dans d autres pays, les chiffres sont si différents. Celui ci pousse la curiosité jusqu à organiser de sa propre initiative un déplacement pour rendre visite à ses homologues Anglais Il avait proposé de longue date à son homologue d une compagnie aérienne des rencontres pour comprendre ce qu ils font, leurs réussites, leurs problèmes (les processus de retour d expérience, réglementés depuis longtemps sont réputés plus avancés du côté «bord «que du côté «sol»). Dans le bureau adjacent, son collègue ne se pose pas de questions et fait son travail de façon plus administrative : il s agit de remplir correctement une base de données, et rien d autre. Ceci étant posé, il reste vrai, qu au-delà des différences individuelles initiales, c est avant tout la confrontation dans la réunion SISG, qui sera, pour la plupart des safety managers, l occasion d une prise de conscience de l impact du caractère «construit» de ce qui paraissait «donné». Douglas appelle de ses vœux une «résistance» à la pensée institutionnelle. Or, si cette prise de conscience n est pas l objectif recherché par ces réunions SISG, elle en est indubitablement

248 248 P a g e l effet de bord. En organisant des réunions d échange et rapidement, d harmonisation des processus de notification d incident et de classification de ces incidents, Eurocontrol organise incidemment un processus de dénaturalisation qui permet peu à peu de comprendre pourquoi on «a» plus ou moins d incidents, et pourquoi on «a» ou pas tel ou tel type d incident. Cependant, lors de ces réunions, les modèles d interprétation des chiffres implicites et mouvants, ne facilitent pas l obtention de la transparence réclamée. Il est sans doute difficile de fournir des chiffres lorsqu on a une idée très floue de la façon dont ceux ci seront lus, interprétés. A cet égard, la place prise par Eurocontrol (plus exactement par le service qui organise le SISG) est originale en ce sens où elle est à la fois l institution qui tente de promouvoir un modèle (largement basé sur celui de l Angleterre, citée de façon plus ou moins ouverte comme exemple à suivre) et celle qui donne la possibilité institutionnelle d un espace de débat public sur la sécurité, ouvrant ainsi, in fine, celui de la critique du modèle anglo-saxon, ainsi que celui d une vision critique permettant une découverte progressive des aspects conventionnels, construits, de la mesure. On assiste donc à un renversement du rôle institutionnel tel que vu par Douglas : d une «mégalomanie pathétique», à un rôle qui fait de l institution le lieu de la dénaturalisation des catégories précisément parce qu il permet aux différentes «natures» de se confronter. 4. LA CLASSIFICATION DE LA GRAVITE DES INCIDENTS DE L OBJECTIVITE, DE LA JUSTESSE, ET DE LA LEGITIMITE Un autre thème de dispute entre les safety managers concerne, au début des réunions du SISG, la classification de la gravité des incidents. Force est de constater le caractère souvent intense des discussions autour de l évaluation de la gravité : il ne s agit visiblement pas d un sujet anodin. On peut faire l hypothèse que les safety managers font un lien entre mesurer la vraie gravité d un incident et prendre la bonne mesure de diminution de risque, ce qui expliquerait l enjeu que représente une banale opération de classification. Mais il est vrai que nous n avons pas, en temps utile, pu vérifier si tel était le cas. Par ailleurs, la référence à l objectivité, nous l avons vu, est constante. Elle est un leitmotiv, elle fait partie, dans les discours, de ce qui n est jamais ou presque argumenté ou explicité : la méthode proposée par Eurocontrol se doit d être objective. Elle se doit de classer l incident dans la «bonne» catégorie de gravité. Enfin, pour certains, il est encore plus important que cette classification ne pêche pas par sous estimation de la gravité. Ces références à l objectivité, à la justesse (la bonne catégorie de gravité) vont se compléter de références à la légitimité de l institution qui édicte la méthode. Ces trois notions entretiennent des rapports étroits que nous allons maintenant tenter de démêler un peu pour mieux appréhender ce qui se joue ici pour les différents participants, et pourquoi les enjeux liés au

249 P a g e 249 choix d une méthode sont différents selon les institutions d appartenance des safety managers. UNE SOURCE DE LEGITIMITE Dans un cas un peu particulier, celui du représentant du centre de Maastricht, la méthode d évaluation semble acceptable par le seul fait qu elle soit édictée par le règlement d Eurocontrol. Visiblement peu passionné par ce qui peut apparaître comme arguties autour de la notion de gravité, le safety manager intervient un peu brutalement pour se dire avant tout «pressé d avoir une méthode». Si l on sait par ailleurs que le centre de Maastricht a des relations tendues avec son autorité réglementaire, on peut comprendre qu il est urgent pour celle-ci d avoir une méthode officielle, légalisée par Eurocontrol, qui permette ainsi de régler un conflit latent sur la justesse des évaluations de gravité réalisées par le centre. Dans ce cas, la méthode tirerait sa légitimité du seul fait qu elle soit reconnue réglementairement par Eurocontrol. Qu importe, semble-t-il, la justesse, dans l absolu, de la classification pourvu qu on puisse opposer aux demandes du régulateur l estampille officielle d une méthode reconnue comme «moyen de mise en conformité acceptable 394». UN PRINCIPE SUPERIEUR? Mais pour la plupart des représentants, l existence même de ces longs débats indique que la légitimité de la méthode ne peut se rabattre simplement sur la légitimité de l institution. Ou bien que la légitimité d Eurocontrol est à ce moment insuffisante pour qu un règlement soit endossé sans discussion, et que la méthode proposée soit adoptée sans plus de questionnements. Une bonne méthode semble ainsi se référer à une normativité qui excède la légitimité de l institution. Les représentants souhaitent s accorder semble-t-il autour d un «principe supérieur commun 395», selon la notion de Boltanski et Thévenot, qui est son objectivité. C est bien au nom de ce principe que se déroulent tous les débats. A noter également que cette référence à l objectivité semble souvent entendue comme la référence au «vrai» risque de cet incident qui serait ainsi évalué. Même si cette valeur, ou ce principe supérieur commun n est pas opératoire, et mène à une aporie (il n existe pas d étalon de la vraie gravité ), il n en joue pas moins le rôle d un référent commun, comme s il fallait, malgré tout, faire référence à un ordre «transcendant». Il ne s agit pas de pure rhétorique : les discussions passionnées, épineuses, très techniques le plus souvent entre les membres témoignent d un véritable souci de ne pas se tromper sur l évaluation de la gravité. Les discussions peuvent se lire à d autres moments comme relevant d une ambition plus raisonnable d obtenir une méthode «seulement» commune : dans ce cas, on est dans une 394 AMC : Acceptable Means of Compliance, c est-à-dire le moyen acceptable de mise en conformité. 395 Luc Boltanski et Laurent Thévenot. De la justification. Gallimard

250 250 P a g e variante différente où l objectivité se réfère à l accord intersubjectif. Il ne s agit pas tant alors d obtenir le «vrai» risque que de mettre des incidents également risqués dans la même catégorie. De se mettre d accord sur ce que Desrosières nomme des «conventions d équivalence». Il semble que les participants naviguent la plupart du temps entre ces deux définitions de l objectivité. Mais lorsqu ils discutent âprement, ils font toujours mention à cette «vraie gravité» de l incident. Ces deux types d objectivité renvoient toutefois à un dilemme : on peut souhaiter être le plus objectif possible, mais la transparence impliquant une possibilité de comparaison, il importe aussi pour certains de ne pas surestimer la gravité de ses propres incidents, au risque de paraître, injustement, moins performants en termes de sécurité. LE JUGEMENT D EXPERT: OPPOSABLE MAIS IRREDUCTIBLE Cependant, dans cette recherche de l objectivité, impossible d éliminer tout à fait le jugement d expert. Celui-ci est même au contraire évoqué avec un caractère d évidence par mon interlocuteur Anglais : les enquêteurs sont plus satisfaits de la nouvelle méthode car elle est plus objective c est-à-dire «parce qu elle est plus proche de leur expertise», comme il me le dit sans une once d hésitation. Les Français, eux non plus, ne renonceront pas à utiliser leur expertise pour finaliser une méthode quantifiable. Pour finaliser le «scoring» de la méthode, m explique le représentant français, ils «testent plusieurs versions sur des cas réels pour obtenir ce qu ils veulent». En d autres termes, le «scoring» est bon lorsqu on obtient à peu près la même chose que ce que l on aurait obtenu sans lui. Il existe donc une partie du jugement d expert qui présente de facto une légitimité certaine. Ce jugement s intéresse à un cas singulier, pour lequel est mobilisée trouve toute une connaissance fine des circonstances et du contexte organisationnel, qui permet réellement de comprendre cet incident 396. Dans les exemples en CLS en France, on a vu que l incident s interprète et peut donner lieu à plusieurs interprétations différentes. Le «scoring» peut privilégier une vision mais ne permet pas de départager plusieurs points de vue, dans la mesure où la réponse aux questions renvoie presque toujours à des modalités particulière de compréhension des incidents Lors d un atelier (cf dernier atelier dans les carnets du SISG), il faut bien le jugement d un expert pour décider, par exemple, que le pourcentage de séparation assurée n a pas de sens dans le cas d un «near CFIT», et qu il faut alors contourner cet item dans le questionnaire. 396 Un événement singulier qui ne se comprend qu en prenant en compte bien des éléments qui font partie d un narratif absent dans le rapport final : le point de vue des pilotes, les intentions des contrôleurs, des aspects qui ont précédé l incident, etc. Seul l enquêteur local peut avoir rassemblé ces éléments s il l a souhaité et si les moyens lui ont été donnés de le faire. Voir la partie sur Brest pour comprendre la perte d informations inhérente au traitement des incidents.

251 P a g e 251 PORTER ET LES DEUX TYPES D OBJECTIVITE Une façon de lire cette tension entre explicitation et expertise est proposée par Porter lorsqu il distingue deux types d'objectivité : objectivité experte (disciplinary objectivity) et objectivité mécanique (mechanical objectivity 397 ). Il définit la première comme le «consensus atteint dans une discipline», et la seconde comme «le respect (compliance) de règles impersonnelles et de calculs afin d exclure des biais et des préférences personnelles». Il analyse le développement de l'objectivité mécanique dans notre monde moderne et propose une analyse des conditions d émergence de ce qu il appelle l «objectivité mécanique» (mechanical objectivity) par opposition à disciplinary objectivity, que l on pourrait traduire par «objectivité de la discipline», c est-à-dire ce que nous appelons dans notre travail «le jugement expert». Sous titré «la poursuite de l objectivité dans la science et la vie publique», cet ouvrage s applique à analyser les conditions politiques et sociologiques du développement de l'objectivité mécanique dans les questions d'intérêt public essentiellement. A propos de la notion d objectivité, Porter refuse de prendre une position épistémologique sur la question du réalisme : il insiste sur une objectivité mécanique, c est-à-dire l utilisation de règles formelles et de calculs qui excluent les biais et les préférences personnelles sans que la question de la «vérité» soit posée. Sa définition de travail, comme il la nomme, de l objectivité est du point de vue philosophique, une «définition faible» : «elle n implique rien de tel que la vérité envers la nature. Elle a plus à voir avec l exclusion du jugement, le combat contre la subjectivité» 398». Ainsi, l objectivité mécanique surtout, se définit plutôt «en creux», par ce qu elle repousse et «combat», que de façon positive. En fait Porter s intéresse moins au débat constructivisme/réalisme, qu aux conditions sociologiques de l utilisation de la quantification. Il s agit toujours d examiner ce qui fait basculer l évaluation experte, professionnelle vers la quantification, et l explicitation des mécanismes qui ont permis d aboutir à une donnée chiffrée le cas échéant. La tendance générale va dans le sens, dans nos sociétés modernes, de la quantification et de la formalisation des jugements. Il existe cependant des poches de résistance à l apparition de ce qu il appelle «objectivité mécanique», comme il existe des formes d ordre politique qui permettent ou encouragent la quantification. Cette objectivité mécanique est par ailleurs seulement un idéal. Elle s oppose simplement à l opacité intrinsèque du jugement d expert, et elle recoupe largement la notion d explicitation. C est très exactement cette notion d explicitation et de formalisation que l on retrouve dans les discussions actuelles autour de la classification des incidents, avec l opposition entre des 397 Ted M. Porter. Trust in numbers, The Pursuit of Objectivity in Science and Public Life, Princeton, Princeton University Press, «It implies nothing about truth to nature. It has more to do with the exclusion of judgement, the struggle against subjectivity». (Notre traduction, ainsi que pour toutes les citations de Porter dans ce qui suit). Op. cit. (p.9).

252 252 P a g e méthodes plus formalisées (le NATS Anglais) et d autres méthodes expertes, qui laissent une forme d opacité à l analyste d incidents ou au safety manager. Porter décrit deux caractéristiques liées à l adoption de l objectivité mécanique. Elle n est pas une technologie de la proximité à utiliser au sein d une communauté. En se demandant «qu y a-t-il de spécial dans le langage de la quantité?», il répond : «Ma réponse en résumé à cette question cruciale est que la quantification est une technologie de la distance» 399». Parce que les mathématiques ont presque toujours synonymes de rigueur et d universalité, elles sont censées être aisément transposables, et indépendantes des frontières et des conditions locales. La quantification serait donc spécifique d un discours indépendant de la communauté qui le produit, car soumis à des règles précises. Dès lors, le besoin de connaissance intime de cette communauté et de confiance personnelle serait moindre. «La quantification est bien adaptée pour une communication qui va au delà des limites de la localité et de la communauté 400 "». Il ajoute : «Sans doute, de façon plus cruciale, l appui sur les nombres et la manipulation de quantités minimise le besoin de connaissance intime et de confiance personnelle 401». Cependant, sur cette question de la confiance, Porter est très nuancé. Peut-on conclure que les chiffres permettent aussi de se passer de confiance en général? Qu ils «remplaceraient» la confiance par exemple, entre groupes «distants»? Rien n est moins sûr. Certes, Porter n utilise pas le terme de «confiance institutionnelle». Il utilise en revanche la notion de légitimité : une communauté assurée, bénéficiant d une forte légitimité pourra rester largement opaque sur les méthodes utilisées par ses membres. Il aborde un cas en France (de calculs de tracés de voies ferroviaires) par comparaison avec d autres pays : «Mais les ingénieurs des Ponts n ont jamais eu à prétendre que (leurs) calculs étaient simplement affaire de suivre des règles non ambiguës. Etant donnée l autonomie institutionnelle et le caractère d élite (standing elite) de leur corps, il était tout à fait inconcevable que ces ingénieurs puissent être privés de leur capacité discrétionnaire». 402 Dans une autre comparaison, Porter analyse les actuaires britanniques et américains, et montre la résistance des premiers tandis que les seconds seront contraints de fournir des explicitations, de rendre leur expertise plus transparente. Un autre exemple du rôle joué par la 399 «My summary answer to this crucial question is that quantification is a technology of distance. Op. cit. (p.9) 400 Quantification is well suited for communication that goes beyond the boundaries of locality and community». Ibid. (p.9). 401 «Perhaps more crucially, reliance on numbers and quantitative manipulation minimizes the need for intimate knowledge and personnal trust». Ibid. (p.9) 402 «But Ponts engineers never had to pretend that calculation was simply a matter of following unambiguous rules. Given the institutionnal autonomy and elite standing of their corps, it was quite inconceivable that these engineers could have been deprived for the ability to exercise discretion».

253 P a g e 253 légitimité est donné dans le domaine de l éducation. Lorsque dans les années 60, les tests psychologiques d évaluation des élèves sont apparus aux Etats Unis, ils étaient bien sûr en concurrence avec les évaluations «expertes» portées jusqu alors par les professeurs. Mais les professeurs, majoritairement des femmes célibataires, explique Porter, ne constituent pas une «élite sûre d elle» (self confident elite), ce qui va permettre aux administrateurs éducatifs d imposer sans peine ces tests. Il est manifeste en effet que pour Porter, et ceci constitue un point majeur de son argumentation, cette transition vers l explicitation ne naît pas d une exigence interne à la communauté. Celle ci semble en quelque sorte «par défaut» choisir l opacité de son jugement vis-à-vis de l extérieur, et ce n est que sous des pressions extérieures qu elle se résoudra à expliciter ce qu elle fait. En effet, «la transition du jugement d expert à des critères de décision explicites ne naît pas des tentatives de personnes de l intérieur de l institution (insiders) pour prendre de meilleures décisions, mais émerge plutôt comme une stratégie d impersonnalité en réponse à leur exposition aux pressions du dehors 403». Il existe enfin des conditions politiques et culturelles globales du développement de l objectivité mécanique. Porter défend l idée que le développement de l objectivité mécanique est une tendance générale de la modernité. Ce qui est congruent avec la pensée de Weber sur la rationalisation du monde moderne. Mais cette tendance s exprime avec différents degrés selon les pays. Ainsi, Sheila Jasanof 404 considère que les Américains ont peur de l expertise, et insistent pour que les décisions administratives soient «dépolitisées». Les experts aux Etats- Unis ne sont pas des «élites» : ils sont censés suivre des règles. La question de l expertise et de sa relation au politique est posée ici. L objectivité et une forme de transparence associée à l explicitation et à la formalisation explicitation s opposeraient à expertise, opacité et même arbitraire. Jasanof souligne une forme de négociation chez les Européens, alors qu aux Etats Unis, la pression vers l «objectivité» (qui est tout de même mise entre guillemets ) serait plus forte. L objectivité peut-elle remplacer l expertise? Cette question a généralement été abordée comme une question scientifique : pour Porter, on l aura compris, c est aussi une question culturelle et politique. Les nombres, les tentatives d objectivation mécanique pour reprendre les termes de porter, ne suffisent pas à garantir l adhésion : il faut «de la crédibilité institutionnelle ou personnelle même pour fournir des nombres impersonnels». Quelle place prend l objectivité mécanique dans les débats qui ont été rapportés ici au sujet de l évaluation de la gravité des incidents? Il nous semble qu elle est avant tout un effort pour fonder l accord sur des bases rationnelles, elle est un idéal, elle ne prétend pas éliminer totalement la part d implicite qui peut «résister» dans l expertise. Elle peut dans certains cas 403 Op. Cit. 404 Sheila Jasanoff. Numbers you can trust? Metascience, vol. 9, 1, 1996.

254 254 P a g e se limiter peut être à une forme de transparence sur les critères et la façon d opérer lorsque l on prend une décision. Par exemple, dans la production de données chiffrées, Porter affirme : «Les demandes de crédibilité personnelle toutefois sont grandement réduites s'il apparaît que d autres personnes compétentes sont dans la position de vérifier ou de recalculer les nombres, surtout si ces personnes ont des intérêts contraires». C est pourquoi, il est important de distinguer entre l arbitraire d une décision que l on ne justifie pas devant autrui et l expertise que l on peut expliciter. Ainsi, le directeur du centre de Padoue explique à propos de la durée de suspension d un contrôleur en cas d incident : «it is my decision» et il n a visiblement, pas à en répondre, ni à l intéressé, ni à ses collègues ou au management intermédiaire du centre. En revanche, le jugement d expert exercé par les safety managers en situation d évaluation de la gravité peut quant à lui, s expliciter jusqu à un certain point. Il peut même devenir, nous l avons vu, une sorte de référence à partir de laquelle on juge que la méthode d évaluation plus formalisée est adéquate. EN CONCLUSION Que peut-on retenir et discuter ici de Porter pour approfondir la question de méthodes «quantifiées» ou «expertes» pour évaluer la gravité des incidents. D abord, que dans les rebondissements des réunions SISG et surtout des ateliers qui organisent la définition d une méthode commune, on assiste bien au début à cette confrontation entre jugement d'expert et quantification. Mais contrairement à la généralité énoncée par Porter, la pression vers la quantification ne vient pas, loin s en faut, de «pressions externes». L adoption d une méthode commune est certes un moyen d harmoniser les évaluations de gravité. Mais cette harmonisation est toujours inféodée, pour la plupart des safety managers, à l obtention du «vrai» risque. Les Anglais apportent une première méthode explicite et quantifiée. Puis une seconde qu ils jugent «plus objective» que la première. Les débats ne portent pas tant sur la quantification ou non, que sur la nature des questions, qui impliquent de toute façon une forme de jugement, afin d obtenir finalement un chiffre. On assiste sans doute surtout à un brouillage des frontières : le jugement d'expert s'explicite pour défendre son bien fondé, la grille "objective" se modifie pour être plus proche de l'expertise des analystes L explicite permet de bâtir l accord, mais trouve aussi sa limite. Quant à la quantification, est-elle une technologie de la distance? Oui, lorsqu il s agit de fournir un indicateur à une instance tierce (la performance review unit par exemple ici, ou le public pour le NATS anglais). Peut être peut-on interpréter le fait que la méthode Anglaise soit plus outillée et formalisée d abord parce que la séparation entre le fournisseur (NATS) et le régulateur est effective, et ce depuis de nombreuses années ce qui a organisé de facto des rapports de «contrôlé/contrôleur» impliquant cette distance dont parle Porter? Il s agit sans doute d un aspect à prendre en compte. Cependant, fournir une méthode quantifiable ne dispense pas d expliciter ce que l on fait, et le jugement expert peut aussi se justifier, c est

255 P a g e 255 pourquoi, au delà des catégories «objectivité mécanique», «objectivité de la discipline», il faut surtout penser aux discours qui accompagnent, ou non, ce qui est communiqué. Il existe plutôt des degrés d explicitation, un continuum, puisque la quantification reste de toute façon largement inféodée à un jugement expert pour l évaluation de chaque item de la méthode. Enfin, et nous terminerons sur ce point, Porter permet enfin une prolongation et une critique utiles des travaux de La Porte discutés dans le chapitre consacrés aux organisations à risque. Dans les HROs, on part de l idée que la transparence est une condition de la confiance. Porter défend à l inverse, que la notion de légitimité institutionnelle est première, ce qui explique que certaines institutions peuvent rester ainsi relativement opaques (le cas des ingénieurs des Ponts, le cas des actuaires britanniques sont cités). La transparence ne serait donc pas une condition de la confiance. Au contraire, si on caricature un peu Porter, on pourrait se passer de transparence lorsque l on a obtenu la confiance, et à l inverse, la transparence ne suffirait pas à produire de la confiance («il faut de la crédibilité institutionnelle ou personnelle même pour fournir des nombres impersonnels»). Le propos de Porter est bien sûr plus nuancé, puisqu il explique aussi le rôle de l explicitation. le lien très immédiat (et implicite) que Porter fait entre légitimité et confiance a été critique. Ainsi, Fligstein 405, pour sa part, considère que Porter parle trop de confiance et pas assez de pouvoir : chaque configuration d élites et d institutions est particulière et historiquement déterminée et rend possible ou non des mécanismes de contrôle du public ou de ses représentants. C est donc plutôt en ces termes, plus qu en termes de confiance, que Fligstein interprète une forme d opacité possible des «élites» Françaises. Cette réserve étant faite, il semble cependant nécessaire d explorer plus avant les mécanismes de la confiance, qui apparaît tout de même comme une variable essentielle. Nous verrons dans le chapitre suivant comment ces questions peuvent être abordées par un autre angle d attaque visant à élucider la place de la transparence selon les théories de la confiance. 5. EN GUISE DE RECAPITULATION : QUI COMPREND MES CHIFFRES? Au fil des réunions, l incident perd donc peu à peu son caractère «naturel» pour devenir plus «construit», plus «conventionnel». Cependant, il faut se garder d une évolution linéaire, progressive, de l évolution de la façon dont on interprète le nombre d incidents. Si à un moment, il est désormais acquis qu un faible nombre d incidents n est pas vu de façon très positive, à une réunion suivante, on s en souvient (quatrième SISG), un représentant faisant état d une forte progression du nombre d incidents est salué par des «hou!» de réprobation. Il se met un peu en colère («vous me décevez, vous réagissez comme des managers!») et explicite quelques raisons de l augmentation des chiffres, qui sont semble-t-il avant tout liées à l augmentation de la notification volontaire d incidents par les contrôleurs récemment sensibilisés à un problème de sécurité dont ils ne parlaient pas jusqu à présent. Cette 405 Fligstein, cité par Jasanoff, op.cit.

256 256 P a g e exclamation en dit long sur la façon dont est interprétée, en interne, par sa hiérarchie, l augmentation des chiffres sur les incidents. Ceux-ci n ont visiblement vu qu une «augmentation des incidents» donc une «diminution de la sécurité». Ce safety manager confie en revanche sans inquiétude ses chiffres dans son groupe d homologues Européens car il pense pouvoir compter sur une lecture des chiffres plus compétente. Il est déçu par la réprobation un peu intempestive, qui se calme aussitôt d ailleurs : ses quelques phrases d explications ne soulèvent aucune objection. Ceci montre cependant que les modèles de décryptage, d interprétation des chiffres ne se succèdent pas chez les participants selon un mode simple d annulation/remplacement. Il existe des moments de prise de conscience qui ne s inscrivent pas de façon également durable chez tous les participants. Certains moments sont de toute évidence délicats pour nos safety managers. Ainsi, à cette réunion du SISG les membres tiennent à peu près pour acquis qu une augmentation des incidents ne se lit pas comme diminution de la sécurité (une fois le moment de réprobation un peu intempestive corrigé), et une forme de stabilité s est introduite au sein de ce groupe de pairs. Ce même safety manager semble, en interne, devoir faire face à une lecture spontanée très différente de la part de sa hiérarchie. Il est très plausible que de nombreux safety managers, durant cette période, ont à faire face à des lectures différenciées et sans doute pour le moins inconfortables. DE L INDISCUTABLE AU DISCUTABLE Cette élimination progressive d un lien entre faible nombre d incident et bon niveau de sécurité s accompagne de la prise de conscience de ce qu on peut appeler, avec Dodier «les mécanismes de constitution des chiffres 406». Nous l avions vu en introduction de cette partie, la définition de l OACI 407, en proposant une définition très large de l incident, laisse une large place à l interprétation,. Chaque pays va développer sa façon de «collecter» les incidents. «Collecter» les incidents est une expression qui sous entend que les incidents sont «là», dans le réel, et qu il s agirait de les «cueillir» de façon passive. Les incidents seraient en quelque sorte une catégorie naturelle, au sens de stable, allant de soi, un quasi «natural kind» (Stuart Mill). Or, peu à peu va émerger au contraire la multiplicité des visions de l incident, et, dès lors, l impossibilité d en parler comme d une catégorie allant de soi. On assiste donc au passage progressif d une «épistémologie du réalisme» (qui fait de l incident un fait qu il suffit de collecter) à une vision plus «conventionnaliste» qui donne un autre statut, plus complexe à l incident. Ce passage progressif n est pourtant ni unifié (il existe de grandes différences de prise de conscience selon 406 Dans une analyse de la notion de maladie professionnelle, Dodier a analysé comment les chiffres étaient «obtenus» à partir de la façon dont les médecins codent les maladies des patients, et il montre ensuite comment ces chiffres sont recevables ou non en fonction des instances auxquels ils sont adressés. 407 OACI : Organisation de l'aviation civile internationale

257 P a g e 257 les acteurs) ni linéaire : on a vu, avec l exemple du safety manager confiant l augmentation des incidents et récoltant d abord des huées qu une nouvelle vision, plus constructiviste ne succède pas purement et simplement à une vision réaliste. Les premiers chiffres sur les incidents communiqués lors de réunions SISG ou dans les premiers bilans vont plutôt être du côté de ce que Desrosières appelle "l'indiscutable". En effet, dans la définition du contour de la notion d incident, et de celle de l évaluation de la gravité, certaines étapes sont des «boites noires» au sens que lui donne Latour, c est-à-dire des parties du processus qui ont une forme ou une autre d'opacité. Dans la majorité des cas, les mécanismes internes à l organisation qui permettent de collecter les incidents, les procédures, les outils qui servent à détecter certains types d incidents, mais aussi les compréhensions de la sécurité ne sont pas explicitées. L analyse des discours effectués lors du SISG de Lisbonne montre un début très net de prise de conscience chez la majorité d entre eux, que «les chiffres» communiqués ne reflètent pas la «vérité». Beaucoup de représentants ont en effet complété la communication de leurs chiffres sur les incidents de précisions sur les modalités d obtention de ces chiffres. Exemples : doutes émis sur le fait que les contrôleurs notifient tous leurs incidents, précisions sur les procédures (tel type d incident, demandé par Eurocontrol, ne fait pas l objet d une notification obligatoire, etc.). Cependant le degré de prise de conscience reste sans aucun doute très différent d un acteur à un autre. Le lien direct entre nombre d incidents et sécurité est alors questionné, et par conséquent, la notion de comparaison entre les pays devient absurde. On peut noter également de grandes différences de «maturité» quant à cette prise de conscience. Au SISG de Lisbonne, le représentant français écoute attentivement les chiffres communiqués par son homologue Anglais, fait quelques calculs rapides, et me glisse : «tiens, c est marrant, on a presque les mêmes chiffres si on les rapporte au nombre de mouvements remarque, c est normal, on a les mêmes outils». Il ajoute ensuite qu ils ont aussi «le même degré de développement». Le nombre d incidents ne fait plus sens par rapport à la sécurité atteinte mais plutôt par rapport aux filtres (outils, procédures) qui sont portés sur la réalité. Une prise de conscience aussi claire reste à ce moment cependant une exception. Mais tous les représentants modulent, on l a déjà dit, leurs chiffres sur les incidents de commentaires sur la constitution de ces chiffres. Il n existe donc pas d évolution unique et cohérente de la lecture des incidents au sein du groupe : la «pensée institutionnelle» ne procède pas par remplacement d un paradigme de compréhension par un autre, les paradigmes se côtoient et se heurtent parfois au sein d un même groupe. Enfin, les nouvelles compréhensions (comme celle ci, qui remet en question le lien autrefois implicite entre augmentation d incidents et dégradation de la sécurité) sont fragiles : elles peuvent «naître» à la faveur d une réunion, régresser lors de la suivante, peut être s enraciner peu à peu. Elles peuvent devenir le cadre commun si, par exemple, elles sont à un moment précis dûment officialisées et explicitées, écrites, ou au moins elles font l objet d une déclaration sans ambiguïté, par exemple en étant consignées dans des minutes de

258 258 P a g e réunion. En attendant, elles sont évanescentes, fragiles, transitoires, car non institutionnalisées. De même, si assez rapidement, Eurocontrol veut rendre manifeste qu il n est pas dupe de ce que recouvre la communication de l absence d incident ou d une très faible quantité, ce ne sera jamais formulé comme tel. Il est bien sûr diplomatiquement assez périlleux, dans un groupe formel Européen, de déclarer peu ou prou à certains représentants : «Nous pensons que vous mentez, que vous nous cachez vos incidents». Cependant, très vite, les représentants des pays concernés ont compris que leur déclaration d une absence d incidents ne serait pas interprétée dans un sens favorable. Une des réunions officialise une certaine vision «positive» d un grand nombre d incidents, avec deux fournisseurs congratulés alors qu ils présentent des nombres importants. Au fil des réunions du SISG, les représentants découvrent la variété des moyens, des outils, des procédures liées à la notification d incidents, et dans certains cas à son recueil automatique. En travaillant sur l évaluation de l incident, ils découvrent combien la notion même d incident est variable : ils commencent à glisser du réalisme au conventionnalisme pour reprendre les termes de Desrosières. Ils ont alors de plus en plus confiance dans le fait qu avoir des incidents ne sera pas interprété par leurs pairs comme un signe de sécurité insuffisante. Ils se rendent compte également que rester muets sur ses incidents ou mentionner un chiffre extrêmement faible n est pas très bien vu Mais la communication à ce sujet dans le groupe reste à un niveau très subtil, elle ne s explicite jamais. Agacement du chairman d Eurocontrol lorsqu un représentant d un pays ex-communiste ne dit rien sur la sécurité mais se contente de décrire laborieusement son «safety management system», félicitations nourries aux représentants Anglais qui arrivent avec une base de données bien remplie, remerciements des Anglais au représentant français qui communique son bilan complet Lors des réunions SISG, soupirs, grimaces, petites phrases pour les «mauvais» élèves succèdent aux sourires, hochements de tête encourageants, félicitations parfois un peu lyriques pour les «bons» élèves, ou ceux qui sont en progrès. Ces aspects subtils de la communication montrent l importance à accorder à des observations fines qui seules permettent de comprendre ce qui est en jeu à ce moment là : l institution Européenne, par l intermédiaire du chairman, doit donner implicitement des clefs sur la lecture qui sera faite des informations données, ce qui lui permettra, on l a vu, d encourager progressivement une forme de transparence de la part des safety managers. LE MESSAGE AMBIGU DE LA CONFIDENTIALITE DES DONNEES Il existe cependant un paradoxe de taille. De façon bien sûr involontaire, Eurocontrol va maintenir l idée que communiquer sur ses incidents n est pas anodin, car, nous l avons mentionné, il existe toute une «rhétorique» de la confidentialité Ainsi les ANSPs sont désignées par de simples numéros dans les comptes rendu de réunion. Un autre message fort allant dans le sens d une vision du nombre des incidents comme étant un élément véritablement sensible, à ne pas divulguer, sera donné involontairement. Ainsi, un responsable de la SRC qui est chargé de collecter les données sur les bilans annuels de sécurité explique

259 P a g e 259 qu il agrège les données par zones géographiques regroupant plusieurs pays avant de les transmettre à la PRC. Des moyennes sur des données avec des variances 408 (au sens statistique) très grandes se traduisent alors en de nouveaux chiffres qui n ont vraiment plus aucun sens. Mais refuser de transmettre les chiffres tels qu ils sont à la PRC, au motif d assurer la confidentialité des performances en sécurité des différents pays, n est-ce pas laisser accroire que ces chiffres pourraient «vouloir signifier» quelque chose quant à la sécurité? En effet, si les chiffres ne signifient véritablement rien en dehors de leur contexte, en dehors des mécanismes de constitution que nous avons décortiqué, pourquoi les dissimuler en opérant une sommation entre plusieurs pays? Proposer d agréger les données, afin de dissimuler les données de chaque fournisseur, c est sans doute aussi transmettre le message (un peu pervers) que les données initiales ont un sens L institution semble par conséquent à la fois adhérer à l idée que les chiffres ne signifient rien de clair sur la performance-sécurité des ANSPs, et en même temps répondre à la pression des quelques ANSPs qui s inquiètent de la façon dont les chiffres seraient lus. A ce moment des débats, les messages contradictoires d Eurocontrol sont donc peu lisibles et font miroir aux prises de conscience très variables de ces aspects conventionnels dans la constitution des données. UNE INTERPRETATION NON EXPLICITEE Enfin, élément primordial qui permet de donner une compréhension tout à fait nouvelle au «manque de transparence» souvent évoqué, ce passage d une vision à une autre n est pas reconnu par l institution. On n assiste d ailleurs pas à un processus délibératif qui chercherait à élaborer un indicateur de la sécurité, y compris en intégrant, d une façon ou d une autre, le nombre des incidents 409. Le nombre d incidents est, nous l avons formulé, une sorte d indicateur implicite. A la naturalisation de la catégorie «incident» vient s ajouter l évidence initiale qu un faible nombre d incidents serait le signe d une bonne sécurité. Nous l avons vu, l interprétation d un faible nombre d incidents change assez rapidement : les grandes ANSPs sont alors prescriptrices de normes. Au moment où les représentants des différents pays savent qu ils peuvent désormais compter peu ou prou sur une lecture «compétente» de la part des organisateurs du SISG, la demande d une autre institution (la Performance Review Unit) soulève de nouveau la question de la lecture qui sera faite des chiffres, car le projet de publier le nombre d incidents inquiète nombre d entre eux. La réintroduction de l interprétation, du sens, et de l accord sur ce sens permet de rafraîchir la vieille opposition entre transparence et opacité. S accorder sur l interprétation d un chiffre peut s élaborer de façon délibérative : c est l exemple donné par la construction des 408 La variance est l écart type au carré, celui ci étant la moyenne de la somme des écarts à la moyenne. 409 Rappelons que la chef SMQS de Brest propose «non pas le nombre d incidents, mais le nombre d incidents traités avant trois mois». Mais elle n en fait pas un indicateur de sécurité, plutôt un indicateur de gestion de la sécurité, c est-à-dire plus précisément ici, de la réactivité vis à vis des incidents.

260 260 P a g e indicateurs que nous étudierons dans le chapitre suivant. Dans ces cas, on débat pour expliciter ce que l on cherche à mesurer et comment le mesurer. Mais l accord peut être beaucoup plus implicite : par exemple les personnes discutent avec autant de franchise des incidents analysés au sein d une CLS en France parce qu elles savent qu elles se comprennent. Elles ne sont pas obligatoirement d accord, au contraire, il existe de vives discussions, mais elles partagent un cadre conceptuel et normatif suffisamment commun pour échanger, y compris pour se disputer. Au sein du SISG, nous avons pu assister aux débuts de la mise en place de ce cadre commun, qui permet alors entre les acteurs une plus grande transparence dans les informations échangées. L AIRPROX : UNE CATEGORIE «NATURELLE»? Si les discussions au SISG ont assez rapidement fait apparaître la diversité même du contour de notion d incident, il semblait qu au moins la notion d airprox était plus univoque, plus «réaliste» pour reprendre le vocabulaire de Desrosières, et pourrait constituer de ce fait un indicateur plus fiable de la sécurité. On pensait en effet ainsi définir une «catégorie» mieux délimitée. En effet, l airprox donne au jugement du pilote une place centrale : le pilote considère que la sécurité a été compromise, et ce pour des situations opérationnelles diverses. L airprox permet ainsi de grouper différents types d incidents : pertes de séparation, mais aussi «level bust», runway incursions dans une catégorisation qui est en quelque sorte «perpendiculaire» aux catégories définies en fonction des situations opérationnelles. Trois postulats implicites donnent en effet une apparence de solidité à la notion d airprox. D abord, on peut penser a priori qu il existe une certaine unité dans les jugements effectués par les pilotes, quelque soit la compagnie aérienne, sur l'opportunité de déclarer un airprox. Ensuite, on peut penser qu un pilote va déclarer un airprox dès qu il pense sérieusement que la sécurité de son vol a été compromise. Enfin, on peut imaginer que la «comptabilisation» est simple : un airprox déclaré est un airprox compté. Or, il apparaît qu aucun de ces trois postulats implicites ne sont respectés lorsqu on mène des analyses fines d incidents et des entretiens avec les différents protagonistes. La notion d airprox comprend un élément de «plainte». Il arrive que pilote et contrôleur s expliquent à la fréquence : au terme de cet échange, le pilote peut se considérer comme rassuré car il a reçu des explications qui lui ont semblées valables : il ne déposera pas airprox. Dans la partie comparative consacrée au centre de Brest, nous avons vu un exemple dans lequel un contrôleur interprète ainsi l excuse donnée par le contrôleur en charge du secteur au pilote («c est un élève») lors d un incident : «c est pour éviter l airprox»). Il arrive aussi, lorsque l incident a lieu en zone d approche, que le pilote après l atterrissage téléphone à la tour, ou même rende une petite visite pour se faire expliquer la situation. Une fois la situation expliquée, le dépôt d airprox serait dans la plupart des cas, abandonné. Cette pratique tendrait

261 P a g e 261 d ailleurs largement à s effacer, au regret de certains contrôleurs. Là aussi, les choses peuvent s arrêter là si la confiance a été rétablie car le pilote a reçu des explications suffisantes. Certaines compagnies aériennes à travers leur service de sécurité des vols, vont défendre au contraire l idée que l airprox est moins une «plainte» qu un élément indispensable pour le Retour d expérience, et qu il est parfois la seule façon d identifier un risque surtout dans les pays où la notification d incidents par le contrôleur est faible ou inexistante. En effet, la déclaration d airprox sera la seule façon de déclencher une enquête, et de faire l objet d un retour écrit vers la compagnie. C est pourquoi Air France par exemple définit de façon stricte certains événements comme devant être suivis d un dépôt d airprox par le commandant de bord : une alerte TCAS par exemple, ou une incursion de piste. La catégorie est donc aussi très dépendante de la perception par les pilotes du risque qu ils ont encouru, cette perception étant elle même liée à la politique de gestion de la sécurité de la compagnie aérienne, certaines compagnies spécifiant de façon détaillée ce qui doit faire l objet de la déclaration airprox. Au Danemark, la loi a longtemps été sévère pour les contrôleurs. Comme nous l avons déjà évoqué, cette loi particulièrement punitive, prévoyait le paiement d amendes pour les contrôleurs responsables d un incident. Très centrée sur l identification d un coupable plutôt que sur l analyse des causes de l incident, les pratiques autour de l identification des incidents faisaient l objet de critiques sévères par les contrôleurs. Les pilotes de la Scandinavian airline étaient informés de cette situation et, par solidarité, ne déposaient quasiment jamais d airprox lorsqu un incident survenait dans un espace contrôlé par les Danois 410. L étape suivante concerne la «comptabilisation» : quels sont les évènements qui seront in fine comptabilisés comme airprox. Là aussi, le postulat d un lien direct entre «airprox déposés» et airprox déclarés (à l autorité de sûreté, ou dans le bilan annuel de sécurité par exemple) est remis en question. En effet, l airprox peut être déclaré sur la fréquence, ou déposé par le commandant de bord après l atterrissage : on peut décider que seuls les airprox écrits compteront. Ainsi, en France, jusqu en 2004, toute déclaration d airprox par le pilote à la fréquence était suivie d une enquête, et faisait l objet d un comptage dans la catégorie «airprox» même si le commandant de bord ne faisait pas suivre sa plainte «orale» d une déclaration écrite après l atterrissage. Certaines QS se plaignaient de devoir parfois procéder à une enquête nécessairement longue qui pouvait aboutir, dans certains cas, à un «non lieu», si on ne trouvait pas lors de l analyse de raisons valables de croire que la sécurité du pilote avait effectivement été mise en danger. Quelques responsables des services centraux ont été sensibles à la surcharge de travail invoquée par les QS et ont décidé que désormais, seuls les airprox ayant fait l objet d une plainte écrite seraient considérés comme airprox, et par conséquent, que seuls ceux ci feraient l objet d une enquête, et d une comptabilisation dans la 410 Sous la pression de l organisation professionnelle des contrôleurs, cette loi a été changée en 2000, et le nombre d incidents notifiés par les contrôleurs a énormément augmenté.

262 262 P a g e catégorie airprox. Cette décision a fait l'objet de controverses internes, au motif que l absence de déclaration écrite pouvait avoir de multiples causes souvent indépendantes du degré réel de danger vécu. (ignorance des pilotes quant à cette importance d une déclaration écrite dans certaines compagnies, démotivation du pilote, erreur dans les procédures, avec une déclaration n atteignant pas son destinataire) etc. Une des premières conséquences de cette nouvelle façon de considérer ce qu'est un "véritable" airprox, fut, on peut s en douter, une baisse significative de leur nombre, saluée quelques mois plus tard, en séance nationale 411 comme «amélioration significative de la sécurité». Dernier élément, l enquête effectuée par les services en charge de l analyse des incidents peut conclure que l airprox n était pas recevable (la sécurité n était pas vraiment en danger, le pilote a mal évalué la situation) : cet airprox compte-t-il encore? Au Portugal, si un pilote déclare un airprox mais que celui-ci est classé «sans suite» par les services de contrôle aérien après enquête, qui le considère comme non recevable, il sera retiré du comptage final, alors qu il sera maintenu dans les statistiques dans la majorité des autres pays. L airprox est donc, en conclusion, une catégorie sans doute un peu plus «dure», un peu plus «natural kind», un peu moins «conventionnelle» ou «construite» que celle d incident. Elle n en est pas moins sujette, elle aussi, à de nombreuses variantes, qui égratignent quelque peu son statut de «mesure objective». CONCLUSION Le suivi des réunions du SISG a permis d examiner quelques questions liées aux organisations à risque. A un niveau très «micro», on peut suivre comment peut se développer une certaine forme de transparence entre des acteurs qui développent une dose minimum de confiance, et comment cette «transparence» reste en revanche difficilement généralisable à des groupes extérieurs y compris à une instance comme la PRC,(commission d examen des performances), et bien sûr au public. Nous n avons fait cependant que saisir un moment de l histoire de la mise en place d ESARR2, les débuts de la «grande famille» de l Europe de la sécurité aérienne pour reprendre l expression enthousiaste du premier chairman du SISG. Si l ESARR2 ne fait pas mention d un indicateur de sécurité, et ne mentionne que l obligation de fournir le nombre d incidents par catégories, et les mesures prises pour remédier aux problèmes identifiés, la PRC (commission d examen des performances) formule en revanche très tôt la nécessité d obtenir un «indicateur essentiel de sécurité» qu elle considère comme un élément important d une politique de suivi des performances. C est pourquoi la dernière partie de cette thèse va approfondir cette question des indicateurs, en la replaçant dans un 411 Le CNSCA. Comité National de Sécurité de la Circulation Aérienne.

263 P a g e 263 contexte plus général et plus théorique. Le dernier chapitre sera consacré à l étude des liens entre transparence et confiance.

264 264 P a g e

265 P a g e 265 PARTIE III LES ORGANISATIONS A RISQUE ENTRE TRANSPARENCE ET CONFIANCE

266 266 P a g e

267 P a g e 267 PARTIE III : LES ORGANISATIONS A RISQUE ENTRE TRANSPARENCE ET CONFIANCE CHAPITRE 7 : LES INDICATEURS : AU SERVICE DE LA TRANSPARENCE?

268 268 P a g e 1. INTRODUCTION Cette dernière partie a pour ambition de réexaminer la notion de transparence à la lumière des résultats de notre étude de terrain, afin de proposer quelques conclusions sur la transparence dans les organisations dites «à risque». Cette synthèse se fera selon deux axes majeurs : le premier prolongera la thématique de l indicateur de sécurité. En effet, la question de l élaboration d un indicateur de sécurité des fournisseurs de contrôle de la navigation aérienne a été longuement relatée dans le dernier chapitre. Il nous paraît opportun de développer un peu les problématiques qui ont été identifiées car elles dépassent largement le cadre de la mesure de la sécurité. Notre monde actuel voit se développer un usage de plus en plus large des indicateurs. Que signifie cette demande? Quelles questions soulèvent-elles, non pas seulement d ordre technique (comment mesurer le «mieux possible»?), mais surtout d ordre politique. S il s agit bien, comme le suggère le titre d un des derniers ouvrages de Desrosières (2008), de «Gouverner par les nombres», il convient de s interroger sur l emprise de ces nombres dans la vie publique des grandes démocraties, dont l usage dans un domaine technique comme le contrôle de la navigation aérienne n est qu une des nombreuses manifestations possibles. Au delà du strict problème soulevé par les indicateurs, on se posera la question plus générale des processus de contrôle, d audit, d accountability dans lesquels s inscrit l usage de ces indicateurs. Nous essaierons de montrer l apport d une ethnographie très fine qui est celle que nous avons choisie pour appréhender les disputes autour de l indicateur de sécurité, pour une approche critique de l usage des indicateurs en général. Le second axe conclusif de ce travail s attachera à articuler les notions de transparence et de confiance. L intrication entre ces deux notions a déjà été évoquée à plusieurs reprises. Le panorama théorique présenté en début de ce travail montrait que toute théorisation de la confiance contenait une vision plus ou moins explicite de la place de la «transparence» dans l élaboration de la confiance. Il existe une place plus ou moins large accordée aux aspects cognitifs selon les théories proposées. Comme le résumait élégamment Simmel, déjà cité : «La confiance est un état intermédiaire entre le savoir et le non savoir. Celui qui ne sait rien ne peut pas raisonnablement faire confiance, celui qui sait tout n a plus besoin de faire confiance». Une des questions sous jacentes à la transparence dans les domaines à risque est bien, justement, celle de la confiance que l on peut ou que l on doit accorder alors même que placer cette confiance à mauvais escient comporte un risque. Simmel semblait subordonner directement la «quantité» de transparence nécessaire aux enjeux de la confiance dans les relations interpersonnelles qu il décrivait. Mais il n abordait que de façon très elliptique la confiance dans les institutions : la confiance envers une personne dépend pour partie, selon Simmel de la confiance que nous plaçons dans l institution à laquelle celui ci appartient, mais cela laisse entière la question de la confiance dans cette institution. Davantage traitée par la

269 P a g e 269 science politique, la question de la confiance institutionnelle est également traitée de façon centrale par La Porte dans les organisations «à haute fiabilité»: on se rappelle qu il fait d une forme de transparence une condition de la trustworthiness (le fait de mériter la confiance). C est dans la lignée, notamment, de ces questions ouvertes par La Porte que l on se propose de réexaminer l articulation de la transparence et de la confiance. 2. DES INDICATEURS ET DE LEUR USAGE DES «FICTIONS UTILES»? L indicateur indique : il n est pas la chose qu il indique, nous en convenons tous aisément. Pourtant, la «croissance» est ardemment souhaitée par une partie de nos hommes politiques, tandis qu elle est abhorrée par les tenants de la «décroissance», le «moral des français» monte ou baisse, aussi concrètement semble-t-il, que le mercure dans le thermomètre, la «réduction des inégalités» reste un beau combat sur lequel tous s accordent. Autant d entités qui peuplent nos journaux et nos vies, et ces choses bien tangibles deviennent l enjeu de disputes parfois âpres. Desrosières résume bien ce qu on peut dire de l indicateur, et de sa place particulière en sociologie des statistiques : «Les notions d indicateur, ou d indice, pour leur part, assument en apparence plus clairement la disjonction entre l objet mesuré et la chose elle même, bien que, ultérieurement, dans ses usages sociaux, l indicateur soit vu comme la chose elle même. Ainsi les indicateurs et les indices ne prétendent pas mesurer directement quelque chose, comme le ferait un physicien ou un astronome. Ils sont plutôt selon les cas des résumés telle une moyenne des représentants, des porte paroles de choses muettes, complexes, et hors de portée. Ce sont, d une certaine manière, des fictions utiles. On peut dans ce cas, parler de «quasi conventionnalisme» puisque le fait que la mesure dépende fortement de conventions de calcul est affirmé et assumé, au moins par ceux qui la fabriquent. Mais l indicateur tend à devenir pour les utilisateurs, la chose elle même. C est en cela que l on peut dire que la statistique crée la réalité 412». Desrosières propose ainsi une distinction forte entre les «concepteurs» d un indicateur, et les utilisateurs. Les premiers seraient parfaitement conscients des modalités de construction de l indicateur, et de la part de conventionnalisme qui aurait présidé à cette façon de mesurer un aspect de la réalité difficile à appréhender. Ainsi, les indicateurs ne «prétendraient» pas 412 Alain Desrosières, Gouverner par les nombres. L argument statistique II, Mines Paris Tech, Les Presses, (p. 140)

270 270 P a g e mesurer directement, ils seraient d un autre ordre : représentants, porte parole A cette vision savante, réflexive, et avertie s opposerait la vision «réaliste-naïve» des utilisateurs de l indicateur, qui ne s embarrasseraient pas d une telle prudence : on glisserait alors dans cet indiscutable dont parlait ailleurs Desrosières, indiscutable qui permet de prendre appui sur les choses, celles ci devenant les objets «durs» du débat. Que dire de l indicateur de sécurité eu égard à la distinction proposée ici? L examen détaillé d un moment particulier, celui de la confrontation de nos safety managers sommés de donner leurs chiffres sur la sécurité, dresse un tableau partiellement différent. Si nous reprenons les termes proposés par l auteur, pour la plupart des acteurs rencontrés, la mesure de «la sécurité» des opérations d une organisation de contrôle aérien serait plus proche d un «quasi-naturalisme» que d un «quasi conventionnalisme». Pour qu il y ait, en effet, conventionnalisme, il est nécessaire sans doute qu un débat s engage pour lequel la mesure n aille pas de soi, qu elle pose, d une certaine façon problème, ou à tout le moins question. A partir de là, des débats s organisent, et les discussions vont souvent permettre de converger vers une façon de mesurer, qui, pour conventionnelle qu elle soit, reste également acceptable et collectivement admise (en fonction de la compréhension, des représentations que se font les personnes de ce qui est à appréhender). La situation est sensiblement différente pour le couple «sécurité/nombre d incidents». Nous avions d ailleurs proposé, dans le chapitre précédent, la notion d «indicateur implicite» pour rendre compte de l idée selon laquelle le nombre d incidents comme mesure de la sécurité avait été un choix non débattu, qu il s était imposé sans délibération préalable, comme s il ne pouvait en être autrement. Dès lors, la distinction entre les concepteurs et les usagers du chiffre n est plus si pertinente. Les safety managers sont à la fois des concepteurs et des utilisateurs. Il est vrai également, qu en nous plaçant à un moment de mise en place des indicateurs, il était trop tôt pour observer d autres usagers de l indicateur : la Performance Review Unit d Eurocontrol commençait tout juste à obtenir ces indicateurs, et, de plus, sous une forme «agrégée» qui en rendait la lecture largement dénuée de sens) 413. Ceux-ci devaient se contenter de regretter l absence de données pertinentes, qui était interprétée bien sûr comme un manque de transparence regrettable de la part des fournisseurs de services de contrôle aérien. Desrosières parle en second lieu du rôle «créateur» de la statistique : l indicateur devient «la chose elle même» ce qui a pour effet de «créer la réalité». Comme nous l avons vu à la fin du chapitre précédent, la «sécurité du contrôle aérien» ne se met pas quant à elle à vraiment exister comme nouvel objet ; le nombre d incidents peine fortement à devenir l indicateur de sécurité, et nos safety managers deviennent au fil des réunions, à des degrés 413 Rappelons que la division organisant le SISG avait pris le parti de grouper les statistiques nationales en «zones» afin d assurer la confidentialité des données transmises.

271 P a g e 271 divers, de plus en plus conscients de ce qui joue sur la constitution du chiffre final obtenu. Un très faible nombre d incidents ne devient pas le signe d une bonne sécurité mais plutôt d une absence de gestion explicite des risques (notamment de l absence de mise en place d un SMS (Safety Management System), ou d une culture locale n encourageant pas les contrôleurs à notifier les incidents. Un nombre élevé d incidents n est pas obligatoirement le signe d une «bonne» sécurité mais à tout le moins, le témoin de pratiques sophistiquées et formalisées de «safety management» : processus de Retour d Expérience, collecte systématique des incidents, éventuellement outillée (systèmes de détection automatique des pertes de séparations entre aéronefs 414 ), que l on met en place dans des «grandes» ANSPs, et souvent associées à une «culture de la notification» (reporting culture) comme en Suède. La statistique échoue donc parfois à «créer la réalité» : la sécurité du contrôle aérien semble à ce stade être demeurée cette «chose muette et hors de portée» sans qu un indicateur n en devienne le «représentant», le «porte parole», ou la «fiction utile». C est à ce stade que nous avons quitté le suivi des réunions. Dans la suite de ce chapitre, nous allons nous pencher sur quelques questions générales liées aux indicateurs. Une critique que l on pourrait qualifier d «interne» s intéresse aux difficultés liées à la mesure d entités abstraites et aux débats sur la justesse et la légitimité d indicateurs qui deviennent centraux dans le jeu politique : le PIB en est un exemple emblématique. Une critique plus externe remet en question ce qu elle considère comme un «envahissement» de la mesure et du contrôle dans une société qui devient, pour reprendre le titre d un ouvrage célèbre de Power : «la société de l audit», dont le sous-titre «l obsession du contrôle» rend manifeste le principal grief exprimé. UN INDICATEUR SUR LA SELLETTE : LE PIB UNE CRITIQUE ILLUSTRATIVE Une critique interne des indicateurs permet de comprendre ce qui est en jeu lorsque l on cherche à appréhender ce qui ne nous est pas directement donné. Prendre appui sur un indicateur synthétique très connu, le PIB, permet d illustrer le type de débats qui émerge lorsqu on se propose d utiliser un indicateur synthétique pour mesurer une «qualité complexe». Notons bien que l ambition ici n est pas du tout de présenter de façon exhaustive les problèmes liés à l indicateur du PIB et à ses critiques, mais seulement de replacer les enjeux d un «indicateur de la sécurité» dans une perspective plus large, en montrant quelles questions similaires se posent pour des objets réputés pourtant plus «durs», ou en tout cas mieux assis dans le débat public que la sécurité aérienne. 414 Voir la description des outils de surveillance automatique dans le chapitre précédent.

272 272 P a g e Le calcul de la croissance repose sur le PIB, ou Produit Intérieur Brut. Il comprend la valeur marchande de tous les biens et services qui se vendent dans un pays et du coût de services non marchands des administrations publiques. Il s agit donc d un flux de richesse purement marchande et monétaire. Il subit quatre sortes de critiques résumées par Gadrey et Jany Catrice 415 que l on complète ici avec des remarques de Viveret 416. Tout ce qui se vend va gonfler le PIB même si ce qui est vendu (pour compenser par exemple accidents, pollution, ) n ajoute rien au bien être, et même si ce qui est vendu l est pour corriger des effets négatifs. En revanche, ce qui ne se vend pas ne va pas être compté : par exemple le travail domestique, dont on ne peut pourtant prétendre qu il ne contribue pas aux richesses, ou bien le travail associatif. Viveret propose à cet égard le «paradoxe de l Erika» : du point de vue du calcul du PIB, «l action des bénévoles est au mieux invisible, puisqu elle n a donné lieu à aucune transaction monétaire, au pire négative, puisqu on peut supposer que si les bénévoles n étaient pas intervenus, il aurait fallu recourir à des sociétés privées qui auraient été payées pour ce travail, transaction qui aurait été prise en compte dans le calcul du PIB 417». Ensuite, le PIB mesure des outputs et non des outcomes. Enfin, il ne mesure pas la répartition des richesses. A ces critiques qui mettent en cause le fait que le PIB ne mesure pas la richesse (au sens de du wealth Anglais, c est-à-dire au delà de la richesse financière), les comptables rétorquent que des «comptes satellites» qui permettent d affiner la perception des échanges de façon plus différenciée peuvent remplir ce rôle. Mais ceux-ci sont rarement repris par les media. Deuxièmement, argument plus radical, les comptables en charge des comptes de la nation rétorquent aux critiques qui leur sont adressées que le PIB n est pas dans sa visée un indicateur de «bien être». Cependant Gadrey et Jany Catrice montrent que nombre de modifications qu a subi au cours des ans le mode de calcul du PIB sont liées à la volonté de mieux appréhender des dimensions de bien être. La construction d un indicateur renvoie donc aussi bien à des questions techniques (sur les modalités de recueil, de mesure) qu à des questions politiques, voir philosophiques, morales. L exemple exposé sur le PIB à partir de l ouvrage de Gadrey et de Jany Catrice montre bien les enjeux autour de la question des indicateurs alternatifs. UNE GENEALOGIE DE L INDICATEUR Une façon de comprendre comment un indicateur a été finalement choisi est de reconstituer l historique qui a engendré le choix d une convention particulière. Cette convention, souligne 415 Jean Gadrey et Florence Jany-Catrice. Les nouveaux indicateurs de richesse. Repères. La Découverte. Paris Patrick Viveret, Pierre-Noël Giraud, Claude Riveline. Qu est-ce que la richesse? Les mirages du PIB. Le journal de l école de paris. N 37. Septembre/Octobre Ibid. (p.32)

273 P a g e 273 Viveret, avait un sens particulier au moment où elle a été retenue, dans le contexte de l époque. Il explique ainsi que l ébauche des systèmes de comptabilité nationale s est faite dans l entre deux guerres, avec la question de savoir quelles étaient les ressources mobilisables en prévision de la guerre qui menaçait. Elle s est poursuivie après la guerre avec en toile de fond l idée qu une priorité devait être donnée à la reconstruction des infrastructures et à la modernisation industrielle. Écoutons-le : «L équipe qui a fondé le système de comptabilité nationale était convaincue que c était en raison de son retard industriel que la France avait basculé dans cette régression néo-rurale qu est le pétainisme ; et qu en l aidant à entrer de plein pied dans la seconde modernisation industrielle, on lui éviterait de retomber dans les mêmes erreurs. Cette hypothèse peut être discutée, mais c était une hypothèse forte qui donnait un sens et un poids incontestables aux outils de la comptabilité nationale 418». Cette réflexion est basée notamment sur les travaux de Fourquet, qui évoque dans «Les comptes de la puissance. Histoire politique de la comptabilité nationale et du plan 419» la naissance du système de comptabilité nationale dans un contexte particulier, et qui explique par exemple pourquoi une définition de la production excluant les services non marchands a été retenue. Ecoutons le lyrique Fourquet 420 : «J ai senti qu il y avait en batterie derrière ces disputes spéculatives, des affects d origine mystérieuse et une valeur forte attachée à ce qui est productif : le productif est varié, vivant, actif, fort, dynamique, croissant et tourné vers l avenir. L improductif est stérile, pauvre, stagnant, ou diminuant, faible superflu, parasitaire (c est manifeste chez Smith et chez Marx), tourné vers le passé, protectionniste». On trouve bien là, sous la plume de Fourquet, quelques éléments de ce qu on pourrait appeler en socio-anthropologie, un «imaginaire» qui sous tend la conception d un indicateur, imaginaire qui s ancre bien sûr dans un contexte historique où il prend tout son sens. Pour Dominique Meda le «coup de force» vient de là : «que (ce choix) «soit resté le nôtre et puisse être tenu aujourd hui pour naturel, alors qu il est intimement lié aux situations historiques qui l ont vu naître. Que l on puisse considérer comme une vérité acquise de toute éternité la production de biens échangeables comme l unique composante de la richesse sociale, alors qu il s agit d un fait récent et de pure convention, voilà qui doit nous étonner 421». On retrouve 418 Op. cit. 419 François Fourquet. Les comptes de la puissance. Histoire politique de la comptabilité nationale et du plan. Encres, Paris Cité par : Jean Gadrey et Florence Jany-Catrice. Les nouveaux indicateurs de richesse. Repères. La Découverte. Paris Ibid. 421 Dominique Meda. Deux Nobel ne font pas le bonheur. Le Monde du 22 Avril 2008.

274 274 P a g e ici la dimension qualifiée par Hacking de «réformiste», voire de «démasquante» 422» dans la posture constructiviste : elle permet au minimum de rappeler le caractère contingent de ce que nous tenons souvent pour évident et naturel, et de pouvoir ainsi laisser un espace pour des solutions alternatives, ou à tout le moins, pour un débat sur celles ci. Viveret nous dit en quelque sorte que «la richesse» ne signifie pas la même chose après la seconde guerre mondiale et de nos jours. Reconstituer la généalogie d un indicateur permet de comprendre le contexte qui l a fait naître, et éventuellement de conclure que ce qui a fait sens à une époque ne le fait plus. La question de la richesse évolue en fonction des urgences politiques du moment, en tout cas en fonction de la façon dont elles sont perçues, partagées par les élites dirigeantes. Il nous dit enfin qu un indicateur doit être confronté à d autres, et qu une divergence doit être une alerte. Viveret, prolongeant la réflexion critique initiée notamment par Meda 423 (1999) sur la richesse, propose de réinventer de nouveaux indicateurs plus pertinents pour notre époque. Les priorités d aujourd hui, souligne-t-il, ne sont plus la modernisation, mais plutôt «les questions liées aux défis écologiques, anthropologiques, et sociétaux». D où son appel au développement d autres indicateurs plus liés à ces problèmes : indicateurs de destruction (à élaborer secteur par secteur, afin de localiser les menaces et forcer les acteurs à faire de la prévention) et indicateurs de dissociation (permettant de mettre en évidence les divergences entre indicateurs monétaires et les autres, qui peuvent les contredire). LE ROLE DE L INDICATEUR SYNTHETIQUE Gadrey et Jany Catrice défendent le rôle spécifique de l indicateur synthétique dans l espace public. Ces derniers sont en effet à la fois «des conventions (des cadres cognitifs et éthiques) et des outils de régulation (des cadres institutionnalisés de l action publique et privée)». Ils n en sont pas moins «en partie autonomes, bien entendu, car les controverses qui marquent leur naissance et leur diffusion ont aussi des dimensions scientifiques et techniques complexes dont certaines sont indépendantes des représentations générales du progrès social 424.». Les auteurs analysent les deux perspectives opposées qui ont été prises pour expliquer les évolutions de la comptabilité nationale. Cette histoire est vue par Vanolli comme une évolution vers toujours plus de rigueur, de justesse, de précision de la mesure des paramètres économiques alors que Fourquet y lit avant tout la marque d une succession de volontés politiques, passions, présupposés normatifs qui vont faire évoluer les façons de compter. Gadrey et Jany Catrice considèrent donc que ces deux plans d explications ne sont pas antinomiques : raison (plus de 422 Hacking identifie différent degrés dans le constructivisme : historique, ironique, réformiste, démasquant, révolutionnaire. Ian Hacking. The social construction of What? Harvard university Press (p.19) 423 Dominique Meda, Qu est-ce que la richesse.? Aubier, Paris Ibid. (p.103)

275 P a g e 275 précision, de sophistication, de maturité dans la compréhension) et «imaginaire» 425 sont aussi importants pour expliquer l évolution de la comptabilité nationale. Les indicateurs «simples» ou même les «tableaux de bord» qui présentent plusieurs dimensions et plusieurs variables dans ces dimensions sont des sources d informations qui ne jouent pas le même rôle que les indicateurs synthétiques, comme le PIB. Un exemple du rôle de ces indicateurs synthétiques est l IDH (Indicateur de Développement Humain) élaboré sur la base des travaux de Martha Nussbaum et Amyarta Sen, pour le PNUD 426. Leurs travaux s appuient sur une réflexion sur la qualité de vie. «La vie vécue par une personne peut être vue comme une combinaison d actions et de façons d être, qui peuvent être appelés de façon générique des fonctionnements. Ces fonctionnements sont variables et vont d aspects aussi élémentaires qu être bien nourris et sans maladies à des modes plus complexes comme le respect de soi, et la préservation de la dignité humaine, prendre part à la vie de la communauté, etc. La «capacité» d une personne se réfère aux différentes combinaisons de fonctionnements, chaque combinaison pouvant être librement choisie. Dans ce sens, la «capacité» d une personne correspond à la liberté qu une personne a de mener une vie ou une autre 427». Différents paramètres entrent donc en considération pour élaborer la notion de «qualité de vie». Chacun paramètre pris isolément fait sens en lui même, et forger un indicateur synthétique sera toujours sujet à controverse, mais il permet également d appréhender une qualité complexe. Amartya Sen, initiateur du PNUD, était initialement défavorable à IDH comme synthèse. Il le jugeait «sommaire» alors que l ensemble des données disponibles était d une grande richesse, et s opposa à ce sujet à son collègue, Mahbub ul Haq, autre initiateur de ces travaux. Quelques années après, il revient sur cette controverse et déclare que ce dernier avait raison, car l IDH seul a un pouvoir d attraction en tant que synthèse et a attiré un lectorat vers les tableaux plus détaillés du PNUD Fourquet, Gadrey et Jany Catrice n emploient pas ce terme d imaginaire, mais ce terme de socio anthropologie très utilisé au sein des travaux du CETCOPRA (voir par exemple «L imaginaire des techniques de pointe», sous la direction de Sophie Poirot Delpech et Alain Gras) paraît très pertinent pour synthétiser l idée d une «représentation» prise dans un sens très large. 426 Martha Nussbaum et Amyarta Sen, The quality of life, Clarendon Press, The life that a person leads can be seen as a combination of various doings and beings, which can be generically called functionings. These functionings vary from such elementary matters as being well nourished and disease-free to more complex doings or beings such as having self respect, preserving human dignity, taking part in the life of community, and so on. The capability of a person refers to the various alternative combinations of functioning, any one of which (any combination, that is) the person can choose to have. In this sense, the capability of a person corresponds to the freedom that a person has to lead one kind of life or another. Martha Nussbaum et Amyarta sen, The quality of life, Clarendon Press, Les 25 grands penseurs du siècle. Amyarta Sen. Numéro spécial du Nouvel Observateur.

276 276 P a g e Dans une approche délibérative, le choix des divers variables qui composent un indicateur et le choix de leur pondération peut et doit être avant tout l enjeu de débats publics sur «ce qu il faut compter et ce qui compte le plus 429». La légitimité d un indicateur se construit donc en même temps que les «conventions d évaluation du progrès». COMMENT UN INDICATEUR DEVIENT-IL UNE «CONVENTION DURABLE NON IMPOSEE»? Comment un indicateur devient-il une «convention durable non imposée»? C est la question ouverte par Gadrey et Jany Catrice lorsqu ils s interrogent sur les indicateurs qui pourraient se définir comme alternatifs au PIB. La légitimité d un indicateur serait notamment bâtie sur sa capacité à être à la fois lisible, c est-à-dire transparent et non pas arbitraire, et flexible. Ainsi, pour Gadrey et Jany Catrice : «un indicateur (synthétique ou non) semble d autant plus susceptible de constituer à terme le cœur d une convention durable non imposée qu il est transparent (sur les valeurs qu il porte, sur ses critères, ses sources, et ses méthodes) et qu il se prête à l élaboration de variantes mises en débat au delà du cercle étroit de ses concepteurs 430». La lisibilité est au cœur de l accord. Par exemple, lorsqu il s agit de considérer, au sein des nouveaux indicateurs de richesse, ceux qui impliquent de monétariser certains valeurs, les auteurs défendent qu il y a bien aveu d impuissance à faire prévaloir d autres valeurs que celles de l économie, mais que l essentiel, le vrai risque est la «confiscation par les experts des méthodes de monétarisation, avec des processus qui deviennent opaques aux yeux des profanes 431». Enfin, un des derniers aspects, est la prise en compte de dimensions de faisabilité. Ainsi, l indice de bien être économique d Osberg et Sharpe est le seul qui utilise à la fois la moyenne pondérée et la monétarisation de certaines variables. Il se prête à un débat sur la pondération des valeurs (pondération souvent arbitraire ailleurs). Son originalité est d inclure la notion de sécurité économique, de mesurer plus exactement l insécurité économique (inquiétude causée par «l incapacité à être protégé des pertes économiques potentielles». Il propose quatre dimensions et quinze variables en tout mais : «la liste idéale de valeurs pertinentes est traitée de façon pragmatique en fonction de la disponibilité de variables suffisamment fiables 432». Ainsi, la valeur du bénévolat et du travail domestique qui avait été intégrée par l indicateur qui est d origine canadienne, n a pas pu être prise en compte dans une comparaison 429 Ibid. (p.21) 430 Ibid. (p.10) 431 Ibid. (p.49) 432 Ibid. (p.83)

277 P a g e 277 internationale faute de données disponibles, ce qui, toujours selon les auteurs, est plus une question de politique que de technique. CONCLUSION L exemple du PIB et des débats autour de la mesure de la «richesse» et du «bien être» permettent de préciser quelques questions qui prolongent l étude de terrain qui a été présentée sur la mise au point d un indicateur de sécurité du contrôle de trafic aérien. L exemple du PIB présente certes de grandes différences avec celui de l indicateur de sécurité. D abord, s il est soumis à de nombreuses attaques, il conserve en même temps le statut d un objet solide, central dans l action politique. Ensuite, il s agit d un indicateur synthétique. Avec l exemple de l indicateur de sécurité, nous avons décrit tout à l opposé, les tâtonnements d un indicateur en cours d élaboration, et dont les caractéristiques sont bien en deçà des sophistications synthétiques de la mesure de la richesse. Cependant le cas du PIB a été évoqué car il soulève deux questions importantes pour notre propos. La première concerne le lien entre l opération de mesure et la définition de ce qui est mesuré. Les débats autour du PIB montrent bien les évolutions dans la représentation que l on se fait de «la richesse», l ancrage historique des choix initiaux (Fourquet), et peut être l existence de positions inconciliables sur les définitions mêmes de la richesse et du bien être. Derrière son caractère apparemment technique, la «sécurité» n est guère plus facile à appréhender. 433 Cependant, la position initiale est résolument strictement réaliste : la question se pose davantage dans les termes de : «comment bien mesurer la sécurité?» qu en se demandant : «comment définissons-nous la sécurité?». La posture réaliste est ainsi particulièrement affirmée lorsque les protagonistes débattent âprement sur «la vraie gravité» de l incident. Une seconde question concerne le problème de la «stabilisation» de l indicateur. Gadrey et Jany Catrice considèrent, rappelons-le, que l indicateur a d autant plus de chances de devenir une convention durable non imposée, «qu il est transparent (sur les valeurs qu il porte, sur ses critères, ses sources, et ses méthodes) et qu il se prête à l élaboration de variantes mises en débat au-delà du cercle étroit de ses concepteurs» 434». L explicitation du mode de construction de l indicateur, sa lisibilité, associées à des processus de délibération offriraient des garanties pour qu un indicateur s impose comme objet durable. L indicateur de sécurité étudié est en fait en deçà de ces questions : nous avons proposé le terme d indicateur implicite pour rendre compte du fait qu il n avait justement pas fait l objet 433 La question se pose dans d autres industries «à risque». Une étude à caractère confidentiel menée dans le domaine du nucléaire fait apparaître que les managers considèrent avoir développé non pas des indicateurs de sûreté mais des indicateurs de gestion de la sûreté. Ils considèrent qu il est impossible de véritablement mesurer la sécurité. (On appelle «sûreté» dans le nucléaire ce qui est appelé «sécurité» dans le domaine aéronautique). 434 Ibid. (p.23)

278 278 P a g e de débats, un lien évident s étant établi en dehors de toute délibération entre le nombre d incidents et la sécurité. Même lorsque ce lien est remis en question (les pays qui ont peu d incidents ne sont pas les plus «safe»), une nouvelle compréhension émerge (il est normal d avoir des incidents), sans être davantage instituée. On peut faire l hypothèse qu Eurocontrol n a pas, à ce moment là, de légitimité suffisamment établie pour être le garant d une institution du sens à donner aux chiffres, et de la définition à donner de la sécurité. C est pourquoi nos safety managers commencent par s accorder sur un certain doute quant au sens à donner au nombre d incidents. Cet accord a minima est cependant un des ingrédients qui permet à une certaine confiance de s installer, et à une certaine transparence de se manifester pour la plupart d entre eux. 3. LA CRITIQUE DES INDICATEURS Dans une seconde partie, nous allons maintenant aborder la question des indicateurs sous un angle plus critique. Si notre fil conducteur a été en effet jusqu à présent de considérer avec Desrosières les indicateurs comme des fictions utiles, il nous reste à considérer une littérature critique et parfois «dénonciatrice» qui en décrit la face sombre. Cette critique n est d ailleurs pas stricto sensu une critique de l indicateur même si cette question occupe une place centrale. C est pourquoi nous élargirons notre revue à une critique de la «société de l audit» (Power), du «terrorisme du chiffre» (Trosa et Perret), ou encore des formes exacerbées et «perverses» que prend en Grande Bretagne la «culture de l accountability» (O Neill). Au sein de ces critiques, l analyse des dérives quant à l usage de chiffres et notamment des indicateurs occupe une place prépondérante. Ces critiques peuvent bien évidemment se rattacher à une critique de la transparence ou du moins à celle de son usage idéologique 435 (Libaert). C est pourquoi on retrouvera quelques aspects abordés succinctement dans la première partie (Partie 1, chapitre 2 : bref panorama de la transparence). Cependant, il s agit bien d examiner ici très spécifiquement le rôle des indicateurs et comment ils acquièrent parfois le statut d outils de la transparence loin d un quasi conventionnalisme qui permettrait de leur donner une place plus modeste permettant des rapports sociaux différents. A partir de ces lectures, trois thèmes ont été identifiés : l envahissement des indicateurs dans la vie institutionnelle et professionnelle de nos sociétés modernes, la perversité dans certains cas de leurs effets, et enfin les solutions qui sont préconisées par ces approches qui, pour critiques qu elles soient, ne rejettent pas l idée de rendre des comptes. L ENVAHISSEMENT 435 Thierry Libaert. La transparence en trompe l œil. Editions Charles Leopold Meyer. Paris (p.47)

279 P a g e 279 Parmi nos auteurs, O Neill est sans doute celle qui condamne avec le plus de véhémence l envahissement des indicateurs dans la vie institutionnelle et professionnelle, et les effets délétères d un phénomène qu elle décrit de façon particulièrement imagée. Elle s attache à réfléchir en philosophe à la notion de confiance 436 (son livre a pour titre : «A question of trust») et à démontrer, globalement, que la supposée crise de confiance en Grande Bretagne 437 ne trouvera pas sa solution, bien au contraire, dans des pratiques de transparence et de contrôle toujours plus développées. Elle stigmatise en effet, durant ces deux dernières décennies une «quête pour une plus grande accountability» (qui) «a pénétré toutes nos vies comme de grandes gorgées de Heineken 438». (sic). O Neill critique les dérives de ce qu elle nomme une culture de l accountability dans son pays, dont elle dresse un portrait inquiétant : Un courant sans fin de nouvelles régulations et législations, memoranda et instructions, guidance et conseil se déverse dans les institutions du secteur public. Par exemple, un coup d œil dans la vaste base de données de documents sur le site internet du département de la santé fait naître un mélange de désespoir et d incrédulité. La planification centralisée a peut être échoué dans l Union Soviétique passée, mais elle est bien vivante dans la Grande Bretagne d aujourd hui. La nouvelle culture de l accountability vise à un contrôle administratif toujours plus parfait de la vie professionnelle et institutionnelle 439». Cette culture est sous tendue par le développement de technologies de l information, qui rendent possible la production de ce flot de données, et, parmi celles ci, internet joue un rôle déterminant : «Il semble qu aucune information sur les institutions et les professions ne soit trop ennuyeuse et trop routinière pour rester non publiée 440». Nous sommes envahis d informations de toutes provenances, il devient toujours plus facile d obtenir des données de toutes sortes, et ajoute-t-elle, la «fuite» d informations est presque toujours marquée de façon positive, un peu comme si «obtenir (et divulguer) des informations» était d emblée perçu comme un élément positif. O Neill résume ces phénomènes sous les termes d ouverture (openess) et de transparence (transparency) : la transparence est ici définie essentiellement 436 O Neill développe par ailleurs dans ce livre une réflexion très intéressante sur les liens entre l accountability, la transparence et la confiance. Ses idées seront développées plus loin, seuls les aspects relatifs à la critique des indicateurs sont repris dans cette partie. 437 Le livre a été édité en O'Neill. A question of trust. The BBC Reith lectures 2002, Cambridge University Press. (p.45) 439 Ibid. An unending stream of new legislation and regulation, memoranda and instructions, guidance and advice floods in to public sector institutions. For example a look into the vast data base of documents of the department of health arouses a feeling of despair and disbelief. Central Planning may have failed in the former Soviet Union but it is alive and well in Britain today. The new Accountability culture aims at ever more perfect administrative control of institutional and professional life. (p.46) 440 Ibid. It seems that no info about institutions and professions is too boring and too routine to remain unpublished». (p.47)

280 280 P a g e dans son sens littéral de mise en visibilité toujours plus grande d informations. Or, celles-ci, assure-t-elle, ne permettent pas d obtenir la confiance qu elles sont censées favoriser 441. Ce flot d informations est censé répondre à une demande toujours plus grande de la part des citoyens. Les indicateurs sont particulièrement présents dans cette nouvelle culture qui exige que des comptes soient rendus. Mais O Neill dénonce surtout l idée selon laquelle les indicateurs seraient la meilleure façon d être accountable et elle ne remet pas en question le principe lui-même, comme nous le verrons plus loin lorsque seront abordées les «solutions» proposées par les auteurs. En revanche, elle dénonce clairement des indicateurs «choisis pour leur facilité de mesure et de contrôle plutôt que parce qu ils mesurent la qualité de la performance avec précision 442». Ce qui génère des effets pervers, que l on abordera dans le paragraphe suivant. Le thème de l envahissement se développe sur un autre mode dans «la société de l audit» de Michael Power. Sous titré dans la traduction Française «l obsession du contrôle», il perd la nuance du sous-titre original Anglais : «Rituals of verification». Mais il est vrai que la notion de contrôle est centrale dans le concept d auditabilité exposé par l auteur, qui indique : «La notion de société de l audit implique l idée d une pathologie de la vérification 443». Il parle également d une explosion de l audit, et s intéresse à ce phénomène qui, selon lui, mérite d être théorisé notamment quant à ce qu il révèle de nos sociétés : «Finalement la façon dont les sociétés demandent aux individus et aux entreprises de rendre des comptes en dit long sur les valeurs sociales et économiques fondamentales. ( ). L audit représente un équilibre entre liberté et discipline qui n est pas uniquement façonné par le bon sens ou la nécessité économique objective. Même dans ses techniques les plus terre à terre, il reflète une constellation d attitudes sociales complexes et pas toujours cohérentes face au risque, à la confiance et à la responsabilité» 444. Ainsi, Power considère que la foi dans l audit est révélatrice d une forme d inquiétude, et permet de créer une image de contrôle du risque. «L audit représente un certain type de scénario d entreprise dont l essence dramaturgique est la production de confort 445». Power refuse par ailleurs de donner une définition fermée de l audit, ce qui lui fut reproché par certains lecteurs. Il s en défend en expliquant que l expression société de l audit s applique 441 Nous sommes bien sûr ici au cœur de la relation confiance/transparence que nous explorons. Mais pour des raisons de structure, les idées d O Neill concernant cette relation sont abordées ailleurs. (cf. chapitre suivant). Cette partie se restreint à la critique du développement de l usage des indicateurs et du contrôle externe. 442 Ibid. The real focus is on performance indicators chosen for ease of measurement and control rather than because they measure quality of performance accurately. (p.54) 443 Michael Power. La société de l audit. L obsession du contrôle ; Entreprise et société. La découverte Ibid. (p.268) 445 Ibid. (p.228)

281 P a g e 281 aux tendances qu elle révèle, plus qu à une situation objectivement identifiable. Ainsi, défendil, l audit constitue autant une idée qu une technique. Bien qu initialement appliqué aux aspects financiers, l audit s étend à de nombreux domaines. Il devient un label qui donne une certaine légitimité à des activités, par ailleurs difficiles à définir de façon totalement univoque, et à séparer d autres modalités de contrôle : enquête, évaluation, vérification. Power s intéresse donc surtout à l institutionnalisation de ces pratiques, à leur effet sur les institutions qui doivent se transformer pour devenir auditables : l auditabilité est en effet un des concepts essentiels dégagés par l auteur. Une autre remarque formulée à l auteur concerne les sources uniquement Anglo Saxonnes des cas sur lesquels il a bâti sa théorie ; Power ne rejette pas cette critique mais considère quant à lui que sa théorisation vaut au delà du pays qui l a vu naître. Le succès de cet ouvrage et sa large réception penchent effectivement en faveur de cette idée. Les exemples donnés par O Neill stigmatisent également la situation en Grande Bretagne. Cependant, il nous semble en résumé que les réflexions des deux auteurs valent largement au delà du cas Anglo-Saxon, même si des nuances sont repérables entre les pays. Ainsi Trosa et Perret analysent la mise en place de la LOLF en France (la Loi Organique sur les Lois de Finance 446 ) qui s inscrit dans la lignée du New Public Management et montrent les tiraillements entre ce dernier et la culture politico administrative Française : la LOLF doit permettre une meilleure lisibilité, par le Parlement, des actions de politique publique. En s appuyant sur cet exemple précis, les auteurs ne traitent pas de ce qui relève de l envahissement des indicateurs, mais évoquent en revanche le problème de l usage des indicateurs, qui va être maintenant abordé. LES EFFETS PERVERS A propos des effets pervers de l utilisation des indicateurs et du développement de l auditabilité, O Neill est incontestablement plus virulente que les deux autres auteurs examinés. Son livre sur les ravages de l accountability à tout prix s inscrit dans une veine polémiste, qui établit clairement d entrée de jeu une visée critique détaillée et illustrée, menée tambour battant. Power s inscrit davantage dans une perspective de théorisation de l audit. Bien qu il indique dans une préface à l édition Française que son livre a été cité comme référence aussi bien par les détracteurs que par les inconditionnels de l audit, il dresse un tableau au minimum critique en montrant que l audit a des présupposés normatifs qui ne sont pas explicités dans le discours qui l accompagne, ou bien que les systèmes d audit servent à «produire du confort» plus qu à produire des critiques permettant de déceler des problèmes. 446 La LOLF est ainsi présentée par les auteurs : «Au lieu d être agrégées et votées par ministère et par nature économique et juridique (i.e : par poste), les dépenses seront désormais groupées en missions, programmes et actions, assortis d objectifs et d indicateurs de performance». ( ) «Cette loi s articule à une gestion par programmes, et s inscrit dans le courant du New Public management. Il s agit d identifier, grâce à la notion de programme, des objectifs clairs, des stratégies définies et des moyens de mesurer des résultats concrets, vérifiables et faisant l objet d une consultation des citoyens la plus large possible». Sylvie Trosa et Bernard Perret. Vers une nouvelle gouvernance publique? La nouvelle loi budgétaire, la culture administrative et les pratiques décisionnelles. ESPRIT. N 312. Février (p.66)

282 282 P a g e Cependant, il se garde bien d une condamnation sans appel et propose des nuances très fines. Ainsi, dit il, l audit ne s apparente pas non plus simplement à une «société de méfiance». «La société de l audit n est qu une «société de méfiance» qu en surface. En effet, l audit exige de faire confiance et se montre lui même, par nécessité, confiant 447». L audit n est pas non plus à confondre avec la surveillance : l audit englobe une forme de surveillance, mais ne s y réduit pas. Les conséquences de l audit décrites par Power vont en fait de l exposé de conséquences non prévues à de véritables effets pervers. Power s intéresse particulièrement aux conséquences du point de vue de l audité. Un des premiers effets est une déformation liée à la portée et au périmètre mêmes de l audit : «Ce qui devient officiellement visible aux yeux du public est de facto validé comme étant important. A l inverse les activités et les pratiques privées de cette visibilité ont un problème de légitimité. 448». Il identifie en outre deux voies caractéristiques, tout en reconnaissant que cette distinction est schématique. La dissociation est le processus par lequel les entreprises et les agents parviennent à isoler l audit des pratiques centrales : des structures spécialisées sont créées, mettant à distance le processus de l audit, et en fait un rite un peu vide, en quelque sorte externe à l organisation, qui continue à «vivre sa vie». La colonisation se situe à l autre extrême : «Les valeurs et les pratiques qui rendent l audit possible pénètrent au cœur de l entreprise non seulement parce que le fait de se conformer à de nouvelles exigences demande de l énergie et des ressources, mais aussi parce que, à la longue, elles créent de nouvelles mentalités, de nouvelles incitations, et de nouvelles perceptions de ce qui est important 449.». Cette pénétration de l audit peut même créer des dysfonctionnements, allant à l inverse de ce qui est souhaité. O Neill a une approche moins analytique des effets de l audit : il est vrai que son fil conducteur n est pas, comme Power, de développer une théorie de l audit. Elle s intéresse de façon plus générale à la «culture de l accountability» dont l audit ne constitue qu un des aspects. Avec Power, elle partage l idée d un effet profond sur les institutions de ce qui n est censé n être qu un «contrôle» externe. O Neill montre très clairement comment une question technique (il est difficile d élaborer des indicateurs mesurant ce que l on souhaite appréhender du fonctionnement d une institution) se transforme en un impact global. Je pense que beaucoup de professionnels du secteur public trouvent que les nouvelles exigences sont dommageables pour leur travail réel ; les enseignants veulent enseigner à leurs élèves, les infirmières prendre soin de leurs patients, les universitaires conduire leur recherche et enseigner, les officiers de police identifier 447 Op. Cit. (p.229) 448 Ibid. (p.13) 449 Power, M. La société de l audit. L obsession du contrôle ; Entreprise et société. La découverte (p.184)

283 P a g e 283 et arrêter ceux dont les activités font du mal aux citoyens, les travailleurs sociaux aider ceux dont la vie est, pour différentes raisons, ingérable ou très difficile. Chaque profession a son propre objectif, et cet objectif ne peut se réduire à l atteinte de «chiffres cible» en suivant des procédures et des besoins prescrits 450». Il existe donc une tension entre la complexité des missions de tout professionnel et l idée d en «mesurer» la performance, et de réduire cette performance à un ensemble déterminé de «cibles» à atteindre. O Neill, visiblement agacée par une certain discours technocrate, stigmatise la «rhétorique de l amélioration et de l élévation des standards, des gains d efficacité et des meilleures pratiques 451». Nous avons déjà mentionné sa critique des indicateurs choisis pour leur commodité et non pour leur capacité à mesurer «précisément» ce qu ils sont censés mesurer. Elle y voit une forme d hypocrisie manifeste : «Même ceux qui conçoivent les indicateurs savent qu ils sont au mieux (souligné par elle) des substituts pour les objectifs réels. Personne, après tout, ne pense sérieusement que le nombre d examens réussis est la seule preuve d un bon enseignement ou que les taux de crimes élucidés sont la seule preuve d un bon système policier 452». Ce faux semblant lui paraît d autant plus critiquable que le choix d indicateurs a in fine, un effet sur les institutions et les personnes, ce qu elle résume par : «Les incitations perverses sont des incitations véritables». («Perverse incentives are real incentives 453»). On peut s arrêter un instant sur ce problème de la mesure et de ses effets car il constitue une question centrale pour notre propos. Une nuance qui n est pas que de pure forme apparaît ici entre O Neill, et Desrosières, que nous citions en introduction de ce chapitre. Desrosières introduisait l idée d un quasi conventionnalisme : en cela, il partage avec O Neill l idée selon laquelle les concepteurs des indicateurs savent bien que ceux-ci ne sont pas «le réel», et qu ils ne tombent pas dans le «réalisme naïf». Mais pour Desrosières, le fossé entre l indicateur et la réalité, est, dit-il, «affirmé et assumé». O Neill reproche aux concepteurs des indicateurs, en premier lieu une certaine paresse intellectuelle : les indicateurs sont choisis pour leur facilité de mesure. Mais surtout, et de façon plus condamnable, les concepteurs semblent faire comme si leurs indicateurs mesuraient la réalité, ils développent une rhétorique à laquelle ils ne croient visiblement pas. Conscients que leurs indicateurs ne sont au 450 I think that many public sector professionals find that the new demands damage their real work. Teachers aims to teach their pupils; nurses to care for their patients; university lecturers to do research, and to teach; police officers to deter and apprehend those whose activities harm the community; social workers to help those whose lives are for various reasons unmanageable or very difficult. Each profession has its proper aim, and this aim is not reducible to meeting set targets following prescribed procedures and requirements. Notre traduction. O Neill. Op. Cit. (p.49). 451 Ibid. (p.54) 452 Ibid. «Even those who devise indicators know that they are at very best surrogates for the real objectives. Nobody after all seriously think that numbers of exam passes are the only evidence of good teaching or that crime clear-up rates are the only evidence of good policing.». (p.55) 453 Ibid. (p.55)

284 284 P a g e mieux, que des remplaçants, ils parlent et agissent comme si ceux-ci étaient des mesures fidèles de la performance des institutions qu ils contrôlent. Il est fort tentant de dérouler jusqu au bout le fil de cette comparaison, et d opposer à la figure honnête et rigoureuse du concepteur d indicateurs chez Desrosières, la figure assez prétentieuse et cynique de son homologue chez O Neill. Au-delà du caractère assurément un peu facile de cette remarque, une question plus importante se dessine : l usage des indicateurs, au-delà d un quasi conventionnalisme partagé, ne prend sens véritablement qu une fois ancré dans des discours d accompagnement et de présentation qui sont au moins aussi fondamentaux que les choix techniques qui sont retenus. Ce que semble dénoncer à juste titre O Neill, ce n est pas tant l échec de la mesure des performances des institutions publiques que la prétention à vouloir restreindre la richesse et la complexité de leurs missions à des chiffres à atteindre, sans considérer que cette impossibilité soit constitutive de la notion même d indicateur. Le thème du caractère conventionnel de l indicateur est également abordé par Trosa et Perret. Sous un titre évocateur («le terrorisme du chiffre 454»), ils rappellent une différence technique d importance entre la mesure des réalisations (outputs) et la mesure des résultats (outcomes). Ainsi, l erreur initiale des pays anglo-saxons fut de ne retenir que des outputs (par exemple : des jours de formations délivrés par l ANPE) sans mettre ceux-ci en relation avec leur impact social (par exemple : la réduction du taux de chômage). Cependant, il est vrai que la traduction du résultat d une politique publique en indicateurs chiffrés est un exercice difficile. Ils regrettent : «Pour l heure, les discours sur la LOLF sont trop souvent sous tendus par une conception simpliste de la culture du résultat. Ne sont pris en compte que les résultats chiffrables et évaluables «objectivement», c est-à-dire en laissant une place réduite à l interprétation et à l évaluation objective 455». Ils exposent en outre un risque qui paraît bien illustrer le concept de «dissociation» défini par Power : (les fonctionnaires) «rempliront de façon formelle les indicateurs et obligations de compte rendu qui leur sont imposés et essaieront de faire les choses qui leur paraissent utiles en sus 456». Les «effets pervers» de l indicateur sont quant à eux atteints lorsque la mesure du résultat entraîne de dérives dans les activités qui sont mesurées. On retrouve bien sûr ici l accusation d O Neill quant aux «incitations perverses». A cet égard, Trosa et Perret fournissent l exemple particulièrement illustratif de la mise en place d indicateurs de résultat dans les services de police, qui avait suscité, non sans raison, l accusation de pousser les policiers à augmenter le nombre de gardes à vue pour «faire du chiffre 457». 454 Trosa, Sylvie et Perret, Bernard. Vers une nouvelle gouvernance publique? La nouvelle loi budgétaire, la culture administrative et les pratiques décisionnelles. ESPRIT. N 312. Février (p.75) 455 Ibid. (p.75) 456 Ibid. (p.75) 457 Ibid. (p.75)

285 P a g e 285 LES «SOLUTIONS» On pourrait s attendre que la critique analytique de Power de l explosion de l audit, ou la dénonciation des effets pervers de la «culture de l accountability» chez O Neill résultent chez l un et l autre en une remise en cause assez radicale du bien fondé de ces pratiques. Leurs conclusions restent toutefois nuancées et défendent plutôt des ouvertures vers des pratiques alternatives que l abandon pur et simple de toute idée de l accountability et de ses satellites (contrôle, transparence, audit, usage des indicateurs, etc.). Ainsi O Neill ne semble pas remettre en question la notion même d accountability. Ce n est pas l idée d avoir à «rendre des comptes» qui lui paraît inacceptable mais bien plutôt la façon dont s organisent à l heure actuelle ses modalités. Elle parle ainsi, en résumé, des pratiques qu elle décrit de mauvais types «d accountability» (the wrong sorts of accountability» 458 ), ou de formes d accountability qui provoquent des distorsions dans les institutions ainsi contrôlées («distorting forms of accountability 459». Elle explique que celles ci échouent à produire de la confiance, argument qui constitue l armature de son texte, et ce, «non parce que l accountability est indésirable ou non nécessaire, mais parce que les méthodes actuellement à la mode d accountability sont dommageables pour la confiance plus qu elles ne réparent la confiance 460». O Neill dessine très succinctement les bases de ce qu elle appelle une «accountability intelligente» (intelligent accounting 461 ). Celle-ci exige d abord une «bonne gouvernance» qui laisse des marges de manœuvre (some margins of self-governance 462 ) adaptées aux tâches qui sont réalisées par les organisations. Elle implique d abandonner les fantasmes d un contrôle total» (fantasies about total control). Les institutions auraient à fournir un compte-rendu (to give an account), qui ne serait ni complètement standardisé ni empli de détails et d indicateurs chiffrés. Elle implique enfin de réintroduire l idée et la capacité d un véritable jugement de la part de ceux qui sont en position de contrôle, et qui devraient avoir suffisamment de «temps et d expérience» pour juger les éléments fournis. Ce dernier élément est crucial : O Neill réintroduit en effet le rôle d une autorité à même de lire des éléments et de leur donner sens, même si elle ne détaille pas plus avant les modalités de cette façon de rendre compte de façon intelligente. Trosa et Perret défendent quant à la question des indicateurs des idées similaires : il s agit là aussi de donner aux indicateurs une place plus modeste, mais aussi d insister sur un sens collectif et sur un accord quant à l interprétation : «L idéal serait de ne jamais oublier qu ils ne 458 Ibid. (p.52) 459 Ibid. (p.59) 460 But I think it is a vain hope _ not because accountability is undesirable or unnecessary, but because currently fashionable methods of accountability damage rather than repair trust. Ibid. (p.57-58) 461 Ibid. (p.57). 462 Ibid. (p.58).

286 286 P a g e fournissent que des «indications» au sens propre du terme, qui ne valent rien sans une interprétation collective et acceptée 463». On peut comprendre les palliatifs proposés par ces auteurs ainsi que par O Neill, comme une invitation à réaffirmer de façon vigoureuse le conventionnalisme de l indicateur, là où Desrosières le voit «affirmé et assuré». Les effets pervers et de façon plus générale les «pertes de sens» associées à l usage des indicateurs reposent notamment sur un glissement de ceux-ci vers un autre statut : ils «deviennent» ce qu ils sont censés mesurer. Power, quant à lui ne formule pas si clairement de recommandations ou de solutions aux dérives qu il a constatées. Il est vrai que son ouvrage, davantage théorique, expose avant tout un diagnostic qui montre comment la notion même d audit est profondément ancrée dans nos institutions. Il propose cependant quelques réflexions conclusives. D abord, explique-t-il, les décideurs auraient tort de penser qu il suffit de réduire l audit. Il faut plutôt «concevoir une organisation du travail capable d intégrer la notion de compétence morale et de réglementer d une certaine manière ces compétences 464». Il cite également les recommandations de Sieber 465 (1981) suggérant que l audit soit amené à s auto évaluer, (notamment en termes d empathie et de compréhension pour l audité, de capacité à refléter les partis pris culturels, de capacité à faire participer les audités au processus d audit, etc. ) mais semble rester pour sa part très réservé, et s inquiète d une «extension ironique de l audit 466» (on audite l audit ). Il préfère en appeler à une forme de réflexivité de l audit, et au développement de connaissances empiriques sur les audits : il faudrait ainsi, par exemple, «institutionnaliser les connaissances sociales pour savoir comment les outils de vérification prétendument neutres transforment les contextes où ils interviennent». L audit deviendrait alors partie prenante d un processus d apprentissage plus large, et pourrait participer à sa propre critique, en fournissant les bases d un débat sur l ensemble des effets induits, il intégrerait ainsi une dimension réflexive. L ACCOUNTABILITY «MALGRE TOUT»? On peut juger qu à l aune des critiques très argumentées présentées par les auteurs, la remise en question des processus décrits reste finalement assez limitée, au motif semble-t-il dans l un et l autre cas, que la notion de «rendre compte», d être accountable a une certaine légitimité. Ainsi, Power déclare dans la postface de son ouvrage : «L audit et les pratiques apparentées ont un caractère inévitable et l exigence de responsabilité et de transparence à laquelle ils répondent a quelque chose d irrésistible. ( ) il est peu probable que ce processus décline». O Neill, nous l avons vu, après avoir dénoncé la «culture de l accountability» de 463 Op.cit. (p.75) 464 Ibid. cité par Power. Op. Cit. (p.264) 465 Ibid. Cite par Power, op. Cit. (p.264) 466 Ibid. (p.265)

287 P a g e 287 façon très vigoureuse, et montré les dérives qu elle suscite, en appelle à une accountability «intelligente». Elle expose en outre une idée très centrale pour notre propos : en s en tenant à la fourniture toujours plus abondante d informations, cette accountability ne peut restaurer la confiance, qui dépend d une dimension toute autre. «La transparence détruit le secret, mais elle peut ne pas limiter la tromperie et la désinformation délibérée qui sapent les relations de confiance 467». La transparence, dans son sens littéral ici, n a donc pas toujours cet effet vertueux. La transparence n est pas le garant de la vérité. Ce qui «garantit» la vérité (ou plus modestement l absence de tromperie), c est, non pas la mise en transparence mais une forme de sincérité de la part de celui qui fournit les informations. Dans une analyse de la transparence financière, Canto Sperber s interrogeait : «la transparence n implique-t-elle pas, au-delà du strict respect des procédures, une obligation de sincérité 468? Trosa et Perret insistent eux aussi sur la notion d accountability qui sous tend une loi telle que la LOLF. Ils notent à cet égard (comme nous l avons déjà mentionné dans le bref panorama de la notion de transparence) : «Le mot inclut des connotations éthico-civiques ; c est autant une disposition, un devoir accepté et assumé, qu une obligation légale 469». Mais ils notent également, que cette idée d avoir à rendre des comptes s oppose à une culture française plus encline à faire de la décision politique une affaire personnelle : «L acceptation du caractère systémique de l action ne va pas de soi dans une culture portée à valoriser la clairvoyance de l acteur individuel 470». Cette remarque peut être combinée à une analyse que nous avons déjà évoquée (partie théorique) de d Iribarne («Le modèle français de la vie en société ne pousse pas au recueil de données factuelles traduisant la qualité des résultats obtenus par chacun. Il n incite guère en effet à juger chacun sur la base de pareilles données. Et il s oppose même à ce que les supérieurs demandent des comptes trop serrés. Il ne paraît pas vraiment illégitime que les subordonnés se protègent contre toute «ingérence» de la hiérarchie en entourant leur activité d une certaine opacité 471». Cet ensemble dessinerait peut être un esprit français plus rétif à «rendre des comptes». Mais il ne s agit sans doute que d une nuance. Les réflexions que nous venons d examiner ont pour caractéristique commune de combiner une analyse souvent critique des processus d accountability, tels qu ils se pratiquent désormais couramment, sans remettre en cause la légitimité profonde qui sous-tend cette demande d une forme de transparence. Douglas souligne la centralité de cette notion : 467 «Transparency certainly destroys secrecy: but it may not limit the deception and deliberate misinformation that undermine relations of trust». Op.cit. (p.264) 468 Monique Canto Sperber, Les paradoxes de la transparence financière in : le pacte de la transparence. Acteurs et éthique de l information financière. Ernst et Young Ibid. (p.83) 470 Ibid. (p.83) 471 Philippe d Iribarne. La logique de l honneur. Seuil (p.104)

288 288 P a g e «L individu rationnel n est pas un solipsiste, mais plutôt un zoon politikon, un être dont les besoins ne sont pas déterminés isolément, mais seulement en société. L accountability (le fait d avoir à rendre des comptes) est inscrite dans sa constitution. L individu rationnel doit être conçu comme quelqu un qui s attend à être «accountable», qui par conséquence recherche l approbation, et qui distribue louanges et réprobation aux autres 472». Cette dimension morale avait été évoqué dans au début de ce travail (Le account de accountability présente un lien avec le «day of account» religieux 473 ). C est pourquoi, le constat même de dérives et d une forme de distorsion des buts initiaux de l accountability ne se conclut pas par le rejet pur et simple de cette demande. Au contraire, il s agit davantage de considérer que certaines modalités extrêmes d accountability, telles qu elles sont dénoncées par O Neill, trahiraient plus qu elles ne serviraient l idéal qu elles sont censées servir, alors que l accountability reste un idéal. 4. CONCLUSION Les indicateurs ne sont pas des objets nouveaux (du moins sur le temps court de la modernité), et ils font partie des instruments politiques classiques, comme le montre l exemple du PIB présenté au début de ce chapitre. Ils prennent cependant une place grandissante et s articulent aux politiques d évaluation, d audit qui pénètrent désormais, comme outils de management, de nombreux domaines. Ce mouvement se veut porteur d un ensemble de visées et de valeurs, parmi lesquelles la transparence tient une bonne place. Le monde du contrôle de trafic aérien n échappe pas à ces nouvelles modalités. Mais avec des nuances d importance. Le terrain ethnographique rend compte de la mise en place d un indicateur de sécurité autour des années Mais la situation actuelle semble encore très loin d un «envahissement» des indicateurs dont nous avons présenté les dérives et la critique. De nombreux éléments l expliquent, le principal étant qu au sein même de l administration Eurocontrol demandeuse de ces indicateurs, la Safety Regulation Commission se montre prudente quant à la transmission de chiffres à la Performance Regulation Commission; elle est très vite consciente que les chiffres doivent s interpréter avec prudence, et souhaite garder la confiance des safety managers. Les fournisseurs de contrôle aérien doivent actuellement transmettre un ensemble d indicateurs à la PRU quant à leur performance 474, mais quant à la 472 The rational individual is not a solipsist, but rather a zoon politikon: a being whose needs are not determined in isolation, but only in society. Accountability is written into his make-up. The rational individual has to be conceived as one who expects to be held accountable, who therefore seeks approval, and who gives out praise and blame to others. Mary Douglas. Risk and blame. Routledge, London and New York, (p. 132) 473 Cf le chapitre : «bref panorama de la transparence». Barbara Cassin, Vocabulaire européen des philosophies, Paris, Seuil/Le Robert, Par exemple : capacité, retards, coûts, etc.

289 P a g e 289 sécurité, on se cantonne pour l instant à la mesure d un indicateur de la maturité de la sécurité, qui consiste essentiellement à mesurer la mise en place des processus de safety management et non pas la «sécurité» en tant que telle. Un deuxième aspect nous invite à revenir sur l opposition que l on pouvait lire entre deux figures de la conception des indicateurs. D un côté, un «quasi conventionnalisme» affirmé et assumé chez Desrosières (le statut de l indicateur est alors celui d une «fiction utile»), et de l autre côté, un «réductionnisme volontaire et conscient» de la réalité à un indicateur dénoncée par O Neill, (le technocrate prétend mesurer une qualité, tout en sachant bien que celle-ci ne saurait se réduire à un chiffre ou même à un ensemble de chiffres). Il s agit peut être là de l une des clefs majeures de compréhension des enjeux autour des indicateurs et de leur usage. Dans le premier cas, ce que l on cherche à mesurer reste irréductible à ce que l on peut en mesurer. Dans le second cas, le concepteur de l indicateur a également conscience de cette limite, mais il prétend le contraire. L opposition est donc davantage dans la posture que dans l appréciation rationnelle. Ce qui apparait comme particulièrement épineux dans la question des indicateurs, nait de cet écart entre une injonction de transparence, très générale, et très peu pensée tout en étant marquée d une symbolique forte, et une mise en œuvre très concrète, souvent réduite à des mesures assez triviales, faute de réflexion suffisante. C est cette tension, entre une notion «molle» (Lequesne) et des chiffres apparemment «durs» qu il faut penser et mettre à plat. En abordant maintenant le thème de la confiance, nous tenterons d enrichir l analyse de l accountability et de mieux comprendre son rôle dans les organisations à risque.

290 290 P a g e

291 P a g e 291 PARTIE III : LES ORGANISATIONS A RISQUE ENTRE TRANSPARENCE ET CONFIANCE CHAPITRE 8 : LE ROLE DE LA TRANSPARENCE DANS LA CONFIANCE

292 292 P a g e 1. INTRODUCTION Dans ce dernier chapitre, nous tenterons de cerner un peu mieux la question de la confiance dans les relations qu elle entretient avec la notion de transparence. La confiance apparaît en effet comme une facette de la transparence, et nous avons commencé à éclaircir leurs liens dans le chapitre consacré à un bref aperçu théorique au début de cette thèse. Il s agit donc maintenant de donner un éclairage supplémentaire au terrain ethnographique grâce à l analyse des intrications entre ces deux concepts. Ce sera l occasion de terminer notre réflexion sur la transparence dans les organisations à risque en convoquant plus explicitement le concept de confiance, qui a, il est vrai, «gravité» tout au long de ce travail. Ce faisant, nous serons amenée à «relire» certaines théorisations de la confiance sous l angle de la place qu elles accordent à la transparence (au sens littéral de mise en visibilité), de façon plus ou moins explicite. La littérature récente 475 quant à la confiance est particulièrement foisonnante, mais nous garderons le cap fixé sur un objectif précis : comprendre le rôle de la «transparence» dans la production de confiance, puisque nous avons vu, notamment, que les demandes de transparence avaient toujours un lien avec la notion de confiance. Même lorsque la transparence semble n avoir qu une visée purement instrumentale 476 (de contrôle par exemple, ce qui est le cas très précisément dans les relations d une regulation authority envers un organisme de contrôle de la navigation aérienne), la notion de confiance joue encore un rôle, ne serait-ce que parce que l Autorité a de nombreux présupposés sur l organisme qu elle contrôle ; elle a un modèle général de la «performance» de celui-ci ; de ce fait, elle lui fait plus ou moins confiance quant aux diverses obligations qu il est censé remplir (suivi des règles, des procédures, respect des normes, etc.) ; enfin, de façon plus intangible, elle développe également une vision de la confiance que cette organisation mérite. Pour le dire en d autres termes, même lorsque la finalité de la demande de transparence n est pas explicitement «une base pour produire de la confiance», même lorsque sa finalité paraît d abord strictement instrumentale, la question de la confiance fait pleinement partie du paysage de la transparence. 2. UNE RELECTURE DE LA CONFIANCE A PARTIR DE LA TRANSPARENCE Le questionnement qui structure cette relecture des théories de la confiance à partir de la notion de transparence s organisera selon plusieurs axes. D abord, celui que nous avons déjà évoqué dans le «bref panorama» : la place du cognitif dans la confiance, ce qui recoupe en 475 La littérature philosophique sur le sujet comprend principalement : Locke et son «Second traité du gouvernement civil, Hobbes et le «Léviathan», Hume et son «Enquête sur les principes de la morale», 476 Jean Denis Bredin évoque la «finalité» de la transparence (cf. chapitre Bref panorama ) et liait la légitimité de la transparence à sa finalité.

293 P a g e 293 grande partie une question posée en termes plus communs dans cette thèse : quel est le rôle de la transparence dans la confiance que nous pouvons accorder à une organisation à risque? De même, les questions sur la trustworthiness abordées par La Porte seront approfondies. On se souvient en effet (chapitre 2 de la première partie) que La Porte faisait d une forme de transparence «organisée» l une des conditions de la trustworthiness pour une organisation à risque. En abordant dans ce chapitre plusieurs conceptions de cette trustworthiness, en identifiant les désaccords sur ce qu elle recouvre exactement, nous espérons prolonger et développer cette idée centrale pour notre propos. Sur le chemin de cette relecture de quelques théories de la confiance du point de vue du statut donné à la «transparence», nous avons rencontré cependant quelques obstacles. D abord, il existe peu de travaux qui se soient spécifiquement penchés sur la confiance dans les organisations (que celles-ci soient «à risque» ou non). Les théories de la confiance ne s accordent d ailleurs pas quant à la généralisation possible de cette notion. Certaines théories défendent l idée que la confiance possède un substrat commun, qu elle soit utilisée dans le cadre des relations entre personnes ou pour définir les sentiments et attitudes que nous avons envers des institutions ; c est par exemple ce que soutient Sztompka. D autres théories soutiennent au contraire qu il est fallacieux de généraliser à d autres situations ce que l on peut dire de la confiance interpersonnelle ; cette idée est défendue notamment par Lorenz 477, selon lequel, si la confiance organisationnelle partage avec la confiance interpersonnelle certaines propriétés formelles communes, elles ne sont pas de la même espèce, et doivent être abordées distinctement. Mais surtout, les auteurs n utilisent pas les mêmes catégories pour appréhender les situations «autres» que la confiance personnelle. Certains parlent de «confiance institutionnelle» dans un sens très large qui semble englober tout ce qui n est pas confiance personnelle. Les travaux de science politique ont quant à eux une acception plus restreinte de l institution : il s agit essentiellement des institutions étatiques (chez Pettit par exemple). D autres travaux entendent l institution dans un sens plus large, au sens de Weber, comme nous le faisons dans ce travail. Mais il est alors parfois difficile de comprendre (sauf si des exemples sont fournis) si ce qui est dit se veut pertinent pour le type d organisation comme celle que nous étudions ici. L organisation «à risque» qui constitue notre terrain d études présente en outre la caractéristique majeure d être composée de systèmes techniques et d humains. Les systèmes techniques sont abordés en tant que tels par certains (Giddens, par exemple s intéresse à la confiance que nous sommes plus ou moins obligés d accorder, dans la modernité, à ce qu il nomme les «systèmes experts 478»). Mais la question spécifique d un système qui est à la fois 477 Edward Lorenz, Confiance organisationnelle, intermédiaires et communautés de pratique, in La confiance, Réseaux, Vol. 19, N 108, Giddens les définit dans un sens large : «domaines techniques ou de savoir faire professionnel concernant de vastes secteurs de notre environnement matériel et social»., in Les conséquences de la modernité, L Harmattan. Paris, (p.35)

294 294 P a g e un système technique et humain n est pas abordée comme un cas spécifique, et elle est finalement rarement évoquée dans les exemples sur lesquels s appuient les auteurs. C est donc parfois plutôt en lisant entre les lignes les réflexions qui s attachent à caractériser ce qui est spécifique de la confiance dans nos sociétés modernes, que l on identifie ce qui peut relever de la confiance que nous plaçons dans les organisations à risque. Ainsi Giddens souligne, avec le développement de systèmes abstraits, le rôle indispensable d une confiance dans des principes impersonnels, aussi bien que dans des «autres» anonymes 479. Cette relecture restera en outre limitée à quelques questions : après avoir présenté la distinction classique de Luhmann entre trust et confidence, on tentera d approcher ce qui différencie ces deux notions du point de vue du rôle dévolu à la connaissance dans l un et l autre cas. Il s agira ensuite de chercher plus précisément des éléments concernant la confiance dans les organisations (dont nous venons de voir une des limites). Et enfin, d étudier la notion de trustworthiness. Cette notion est en effet convoquée par La Porte pour les «organisations à risque», et il fait de la transparence une des conditions de la trustworthiness. Nous étudierons ainsi en quoi les théorisations générales de la trustworthiness, proposées par Sztompka et Quéré permettent de prolonger la réflexion de La Porte en sociologie des organisations. 3. TRUST ET CONFIDENCE La plupart des réflexions relatives à la confiance commencent par souligner son caractère fondamental, essentiel, indispensable dans notre vie. «Certes l homme a, en de nombreuses situations, le choix d accorder ou non sa confiance à divers égards. Mais, s il ne faisait pas confiance de manière courante, il n arriverait même pas à quitter son lit le matin 480». Cette formule de Luhmann a fait florès : peut être sa simplicité, ce dont il n est pas si coutumier. Elle résume bien ce que le sens commun nous souffle : il nous est difficile de penser un monde à vivre sans évoquer du tout cette notion. Cependant, dès que l on cherche à saisir ce que recouvre exactement la notion de confiance, on entrevoit la complexité du phénomène, qui suscite de nombreux débats en sociologie et en sciences politiques notamment, qu il s agisse de le définir, d en identifier les sources, ou encore d en préciser les fonctions. Une première clarification conceptuelle est proposée par Luhmann, qui opère une distinction devenue classique entre trust et confidence. Selon lui, la confiance assurée 481 (confidence) est de l ordre général des attentes que nous avons vis-à-vis du monde qui nous entoure. «Vous ne 479 Anthony Giddens. Living in a post traditional society. Reflexive modernization. Ulrich Beck, Anthony Giddens, Scott Lash. Polity Press «With the development of abstract systems, trust in impersonnal principles as well as in anonymous others, becomes indispensable to social existence». 480 Niklas Luhmann, La confiance, un mécanisme de réduction de la complexité sociale, Economica, (p.1) 481 La traduction de «confiance décidée» pour trust et de «confiance assurée» pour confidence est notamment proposée par Louis Quéré, in Albert Ogien et Louis Quéré (dir.), Les moments de la confiance.

295 P a g e 295 pouvez pas vivre sans former des attentes par rapport aux événements contingents, et vous devez, plus ou moins, ne pas tenir compte de la possibilité quelles soient déçues 482». Ainsi, continue-t-il, nous avons des attentes quant à de nombreux événements contingents, dont nous pouvons plus ou moins tenir compte. Mais nous ne sommes pas dans une logique d alternatives, de choix à faire. En effet, «L alternative est de vivre dans un état d incertitude permanente et de renoncer à vos attentes sans avoir rien d autre à mettre à leur place 483». La confiance décidée (trust), quant à elle, est davantage de l ordre de l engagement. Elle est liée au risque : nous pouvons refuser de prendre un risque, mais nous renonçons alors aux avantages associés à cette prise de risque. Lorsque nous pouvons choisir une action en préférence à d autres, nous sommes dans une situation de confiance décidée. Le même «objet» peut ainsi être investi de confiance assurée ou décidée. Ainsi, explique Luhmann, notre confiance dans la monnaie est une confiance assurée (confidence) car la monnaie est une composante de notre vie quotidienne. Mais épargner et investir dépendent d un autre type de confiance, la confiance décidée (trust). Enfin, ajoute Luhmann, puisque la notion de risque est relativement récente, (le mot ne s est répandu dans les langues européennes qu après l invention de l imprimerie), la distinction entre les deux types de confiance peut se concevoir comme le résultat d un développement social et culturel. La notion de risque est en effet liée à l idée que notre conduite a un impact sur le futur : il remplace l ancienne fortuna. Ainsi, explique l auteur, le jugement dernier, initialement vu comme un événement arrivant par surprise, est devenu ensuite le résultat prévisible d une conduite risquée. Le risque est en outre lié à l action : il n émerge que comme composante d une décision et d une action. C est pourquoi la confiance décidée (trust) est particulièrement liée à la modernité, à travers la notion de risque, découlant d actions humaines. Cependant les «grands systèmes fonctionnels» qui sont emblématiques de notre vie actuelle ont besoin à la fois de confiance assurée et de confiance décidée : «Un système, qu il soit économique, légal ou politique, requiert la confiance décidée comme condition input. Sans cette confiance il ne peut pas stimuler des activités de soutien ( supportive actions ) dans des situations d incertitude ou de risque. En même temps, les propriétés structurales et opérationnelles d un tel système peuvent éroder la confiance assurée et par là détruire une des conditions essentielles de la confiance décidée 484». Cette différenciation entre trust et confidence a été largement reprise et commentée. Elle a aussi fait l objet de certaines critiques. Par exemple, Quéré fait remarquer que la «prise de risque» peut n apparaître que rétrospectivement : au moment où j ai fait confiance, je n ai pas 482 Niklas Luhmann. Confiance et familiarité. Problèmes et alternatives, in Albert Ogien et Louis Quéré (dir.), Les moments de la confiance. (p.12) 483 Ibid. (p.13) 484 Niklas Luhmann, Confiance et familiarité, Problèmes et alternatives, in Albert Ogien et Louis Quéré (dir.), Les moments de la confiance. (p.20)

296 296 P a g e eu l impression d avoir des alternatives. Par conséquent, «le discours sur le risque est (donc) souvent un discours qui consiste à définir les conditions de l action telle que les fait apparaître un regard rétrospectif 485». La frontière entre trust et confidence est peut être plus difficile à tracer qu il n y paraît en suivant Luhmann, Si l on se «risque» à regarder ces deux notions sous l angle proposé dans ce travail, celui de la transparence, on peut soulever la question suivante : le rôle du savoir, ou en termes plus techniques, la place du cognitif est-elle différente selon que l on parle de trust et de confidence? Si l on reprend l idée maîtresse de Simmel quant au statut intermédiaire de la confiance «entre savoir et non savoir», il semble que l on soit bien dans la confiance au sens de trust. Les critères définis par Luhmann (engagement, choix entre plusieurs alternatives, situation évitable, ) se retrouvent dans la description de Simmel : il s agit d agir, sur la base d informations incomplètes. Les illustrations fournies par Simmel relèvent bien de situations de prises de risque classiques, dans des relations interpersonnelles codifiées : faire du commerce, s associer entre pairs par exemple. On se souvient également que Simmel assignait à la «culture» le soin de régler la question de la «juste quantité» de savoir nécessaire pour faire confiance, juste quantité qui dépendait de l «enjeu» de la confiance dans chaque cas 486. Le statut du savoir apparaît sensiblement différent dans la confidence. Certes, les attentes, qui structurent cette forme de confiance assurée peuvent être considérées comme une forme de connaissance, mais il s agit d un savoir largement inconscient, qui ne devient conscient que dans les cas où nos attentes ont, justement, été trompées. Si l on prend un exemple dans une organisation «à risque», la combinaison des deux types de confiance montre la difficulté à appréhender les aspects cognitifs de la confiance. Prendre un avion parait à première vue pour la majorité des personnes un acte de confiance au sens de trust : on peut ne pas prendre l avion, en renonçant aux avantages associés, la rapidité du voyage notamment. L étape suivante, le choix de la compagnie aérienne avec laquelle on voyage, est encore un acte de confiance décidée. Par exemple : prendre une compagnie low cost plutôt qu une grande compagnie nationale. Certaines personnes considèrent qu elles prennent un risque en choisissant une compagnie low cost, mais si la différence de prix est importante, elles peuvent décider de prendre ce risque, parce qu il leur paraît très faible, très intangible, alors que l économie d argent réalisée peut se révéler, quant à elle, très concrète et immédiate. Mais ces actes de trust ont pour toile de fond une confiance plus diffuse dans le système aéronautique tout entier : pour la plupart des personnes, prendre l avion n est pas un acte risqué, qui peut être évité. Qu un avion puisse décoller et arriver à bon port fait partie des «attentes généralisées» que nous avons vis-à-vis du monde, attentes qui ne sont pas 485 Louis Quéré, Structure cognitive et normative de la confiance, in La confiance, Réseaux, Vol. 19, N 108, (p.139) 486 Cf partie 1, chapitre 2, bref panorama de la transparence, pour la présentation détaillée des idées de Simmel.

297 P a g e 297 conscientes, qui font partie de la «foi tranquille» que nous avons dans le monde. On reviendra plus loin sur cet exemple. 4. QUELLE PLACE POUR LE «COGNITIF»? THEORIES COGNITIVES OU MORALES Comme nous l avions évoqué dans le chapitre consacré à une brève revue de la notion de transparence, une des questions transverses des théories de la confiance concerne la place accordée au savoir, à l information. En d autres termes, la part accordée à ce qu on peut appeler une forme de «transparence» est plus ou moins importante et centrale selon les théories de la confiance examinées. Il s agit de l une des questions structurantes que l on peut poser aux théories de la confiance. Rappelons la phrase de Simmel sur ce sujet : «Dans la mesure où elle (la confiance) est une hypothèse sur une conduite future, assez sûre pour qu on fonde sur elle l action pratique, la confiance est aussi un état intermédiaire entre le savoir et le non savoir. Celui qui sait tout n a pas besoin de faire confiance, celui qui ne sait rien ne peut raisonnablement même pas faire confiance». Simmel insiste sur le caractère à la fois nécessaire et limité du savoir. Quéré discute de cette place du savoir nécessaire à l élaboration de la confiance en repartant de la formule de Simmel : si la confiance n a pas sa place là où il y a «transparence complète de la situation du point de vue cognitif», il faut cependant un minimum de savoir pour que la confiance s établisse. Le savoir peut être directement lié à la personne, ou être lié à un savoir général sur un type ou catégorie de personne, ce qu Offe nomme «connaissance catégorielle 487». Quéré conclut ainsi : «Que le geste de confiance repose sur des opérations cognitives ou se fonde sur des attitudes épistémiques et sur des connaissances, cela ne fait pas l ombre d un doute. Mais il n est pas luimême de nature cognitive ; il est plutôt de l ordre du choix d un type de relation, de la modulation de l engagement, ou de l implication 488». Pour Quéré, la confiance n est donc pas d ordre cognitif même si elle repose sur du cognitif. Elle est de l ordre de l engagement, et elle comporte un aspect moral. Quéré s intéresse à ce que Simmel appelle le «moment autre 489» (les images, dit-il, sont celles du pari, du saut, de la foi), c est un moment autre que cognitif, autre que lié à un «savoir inductif atténué». C est 487 Klaus Offe, How can we trust our fellow citizens, in Mark E. Warren (ed.), Democracy and trust, Cambridge, Cambridge University Press. Cité par Louis Quéré, Structure cognitive et normative de la confiance, in La confiance, Réseaux, Vol. 19. N Louis Quéré, La structure cognitive et normative de la confiance, in La confiance, Réseaux, Vol. 19, N (p.136) 489 Louis Quéré, Confiance et Engagement, in Albert Ogien et Louis Quéré (dir.), Les moments de la confiance. Connaissance, affects, et engagements, Economica, (p.117)

298 298 P a g e dans sa «Philosophie de l argent» que Simmel revient sur cet aspect de la confiance radicalement différent du savoir : «Selon une excellente tournure, pleine de profondeur, on croit en quelqu un sans même ajouter ou même penser clairement ce que l on croit en vérité à son sujet. C est précisément le sentiment qu entre notre idée d un être et cet être lui-même existent d emblée une connexion, une unité, une certaine consistance de la représentation que l on a de lui : le moi s abandonne en toute sécurité, sans résistance à cette représentation se développant à partir de raisons invocables, qui cependant ne la constituent pas 490». Nous reviendrons plus loin sur ce «moment autre» de la confiance. Restons un temps encore sur le «moment cognitif» ou le «moment transparence» si l on veut, pour explorer un peu mieux cet aspect de la question. LA «JUSTE QUANTITE» DE TRANSPARENCE POUR LA CONFIANCE LES SOURCES DE LA CONFIANCE Rappelons ce qui avait été amorcé dans l introduction théorique de ce travail : Simmel souligne d emblée la difficulté à définir la «quantité de savoir» nécessaire ainsi que le type de savoir nécessaire pour faire confiance à une personne. Ce quantum de savoir, poursuit-il, a été défini «par la culture». Il évoque, dans nos sociétés modernes le rôle des «traditions et les institutions, le pouvoir de l opinion publique et les positions tellement circonscrites qu elles préjugent inéluctablement de l individu». Simmel établit leur importance, mais aussi leur limite lorsque les «enjeux» de la transparence sont plus importants : dans ce cas, il faut en savoir davantage. Mais tout ceci est développé par Simmel dans le cadre de la confiance interpersonnelle. Je peux chercher à apprendre davantage sur une personne si, par exemple, je veux m associer à celle-ci pour affaires, sans pour autant me montrer trop inquisiteur : une certaine discrétion est également de mise. La confiance dans les institutions, si elle est citée, est une sorte de «donnée d entrée» chez Simmel, elle est un facteur explicatif qui n est pas davantage creusé. Les théories qui s intéressent de façon plus spécifique à la confiance dans les organisations développent essentiellement des dimensions cognitives. On fait confiance à une organisation comme DHL explique par exemple Lorenz, parce qu on a une certaine visibilité sur ce qu elle fait (sa communication externe), et parce que nous savons qu elle a mis en place des mécanismes institutionnalisés de contrôle, de qualité (les normes ISO par exemple). Cette 490 Georg Simmel, Philosophie de l argent, PUF, (p.197)

299 P a g e 299 confiance est cependant selon Lorenz, assez fragile et doit être complétée par des expériences réussies (par exemple, jusqu à présent je n ai pas été déçu par l entreprise). Ainsi, Lorenz conclut : «pour cette raison il me semble que dans la majorité des cas la confiance qu un individu place dans une grande organisation ne se basera sur rien de plus qu une extrapolation à partir de ce qui a été observé dans son comportement passé 491». De façon assez similaire, Sztompka défend l idée d une confiance qui repose sur un savoir, mais selon lui, la confiance envers un système est dérivée de la confiance personnelle. Ecoutons-le à propos, justement, d une compagnie aérienne : «Par exemple quand je fais confiance à la Lufthansa et que je décide de prendre un vol Lufthansa pour aller à Tokyo, cela implique que je fasse confiance à leurs pilotes, au personnel navigant commercial, au personnel au sol, aux techniciens, aux contrôleurs, superviseurs, etc. Je n ai pas besoin de les rencontrer tous pour en avoir une certaine image, bâtie à partir de plusieurs sources (y compris leurs plaquettes commerciales attrayantes, les stéréotypes sur la précision et l efficacité allemandes, et les expériences de mes amis, etc.) 492» Pour Sztompka, avoir confiance dans la Lufthansa revient essentiellement à avoir confiance dans les êtres humains qui travaillent au sein de cette compagnie aérienne. Il marque à cet égard son désaccord avec d autres sociologues (par exemple Lorenz, ou encore Seligman), qui défendent l existence d une différence de nature entre confiance personnelle et impersonnelle. Plus précisément, Sztompka conçoit la confiance interpersonnelle comme s élargissant, depuis la confiance que nous éprouvons envers nos proches, à celle que nous éprouvons pour nos connaissances (voisins, collègues, etc.), puis envers ceux que nous connaissons grâce aux média (célébrités, hommes politiques, Sztompka parle ici d une confiance personnelle virtuelle, une virtual personnal trust), puis enfin envers ceux que nous ne rencontrons pas directement, et qui ne constituent une classe que de façon construite, dans notre imagination : nos compatriotes, notre génération, ceux qui exercent la même profession que nous. Viennent enfin la confiance envers les rôles sociaux (certains, comme le médecin par exemple, inspirant a priori la confiance), les groupes sociaux, et les institutions : école, armée, parlement, gouvernement. Sztompka cite en dernier lieu les systèmes techniques : télécommunications, systèmes de contrôle de trafic aérien (!), marchés financiers, etc. Il remarque que ces derniers fonctionnent de façon «opaque» et «énigmatique» pour l homme de la rue. Sztompka identifie de nombreuses formes de confiance ; parmi celles-ci, la confiance entre personnes «face-à-face» présente une forme singulière. Il conclut cependant 491 Edward Lorenz, Confiance interorganisationnelle, intermédiaire, et communautés de pratique, in La confiance, Réseaux, Vol. 19, N 108, (p.75) 492 «For example, when I trust Lufthansa and decide to fly them to Tokyo, it implies that I trust their pilots, the cabin crew, the ground personnel, technicians, controllers, supervisors, and so forth. I don t need to meet all of them to have some image of them, drawn from various sources (including their suggestive commercials, stereotypes of german precision, and efficiency, references from friends, etc)». Notre traduction. P. Sztompka, Trust, a sociological theory, Cambridge university press, (p.42).

300 300 P a g e que ces différentes formes sont sous-tendues par la même logique, et «le plus important est que au-delà de toutes se dessine la forme primordiale de confiance : dans les gens et dans leurs actions 493». Sztompka souligne donc le rôle de la confiance personnelle dans la confiance que nous accordons aux organisations, tout en réaffirmant le caractère essentiellement cognitif de cette confiance, dont il énumère, dans l exemple cité de la compagnie aérienne Lufthansa, les différentes sources de connaissance, sans les hiérarchiser davantage. Ces savoirs, on l a vu, vont des stéréotypes à des connaissances plus directes (le témoignage d amis) en passant par les produits de communication, qui, pour être qualifiés d attrayants n en sont pas moins considérés comme une forme de savoir qui participe à l image que nous nous construisons. C est pourquoi on ne comprend pas très bien quel est le rôle exact joué par des connaissances aux statuts si disparates, si variables a priori quant à leur fiabilité : les plaquettes commerciales attrayantes ne sont-elles pas de l ordre de la banale manipulation publicitaire? Les témoignages d amis sont éminemment ponctuels, etc. Ces éléments paraissent donc se rapprocher davantage d une image globale que nous nous construisons, y compris sur la base de stéréotypes, que d une approche véritablement rationnelle au sens que Simmel paraît donner à l idée de «quantum» d informations nécessaires. AU-DELA DES ATTENTES DE ROLES Seligman reste dans une veine similaire : la confiance dans un système abstrait est bien in fine confiance dans des personnes. Mais il affine sa définition de la confiance, et introduit pour ce faire la notion de «limite du système 494». Les limites de notre confiance sont, selon lui, liées aux limites du savoir que nous pouvons développer quant au comportement de l autre. Il s agit d un phénomène particulièrement moderne. Ainsi, une société dans laquelle le niveau de prédictibilité du comportement d autrui est élevé et au sein de laquelle la variabilité du comportement est faible, on obtiendra un niveau élevé de confiance assurée. En revanche, ce qui est «en dehors» sera considéré comme «inconnu et dangereux». Dans une société moderne, la notion de personne est à la base du contrat, on voit alors le «triomphe d individus non connaissables et autonomes parmi lesquels une confiance décidée peut exister 495». La dissolution de liens locaux, territoriaux et primordiaux vont de pair avec l avènement d une «confiance généralisée» («generalized trust 496») envers des anonymes. La notion de rôle est par conséquent centrale pour Seligman. La confiance au sens de «trust» intervient en effet lorsque nous ne pouvons plus être sûrs que les rôles qui sont assignés 493 «Most importantly behind all of them looms the primordial form of trust - in people, and their actions». Ibid. (p.43) 494 Adam B. Seligman, The problem of Trust, Princeton University press, Adam B. Seligman, Compléxité du rôle, in La confiance, Réseaux, Vol. 19, N 108, (p.44) 496 Ibid. (p.44)

301 P a g e 301 permettent de prédire le comportement d autrui. La confiance joue «dans les interstices laissés, dans cette région où les rôles sont ouverts à la négociation et à l interprétation», ou en autres termes «au delà du cadre mutuel des attentes de conduite de rôle 497. La confiance comprend donc «une sorte de croyance dans la bonne volonté de l autre, étant donné l opacité des calculs et des intentions des autres 498». L opacité réside justement dans ce qui est au-delà de ce qui est rempli par les attentes de rôle (dans les interstices laissés). En effet, ce qui est à l intérieur des attentes du rôle relève de la confidence et non de la trust. Avoir confiance en quelqu un ne peut se réduire à s attendre à ce qu il remplisse les attentes liées à son rôle. Ainsi, selon Seligman, la vision répandue de sociétés prémodernes, basées sur la familiarité, et une confiance interpersonnelle basée sur des liens de connaissance personnelle, pêche par naïveté. Il ne s agit, selon lui, de rien d autre que d une confiance assurée (confidence) dans «des attentes de rôle bien réglés et lourdement sanctionnées 499» DE NOUVELLES FORMES DE CONFIANCE? Giddens va encore plus loin dans l idée de nouvelles formes de confiance liées à la modernité. Il souligne le paradoxe d une société où nous sommes obligés de placer une très grande confiance envers des personnes anonymes : «La confiance dans une multiplicité de systèmes abstraits est une composante nécessaire de la vie quotidienne aujourd hui, que ceci soit ou non reconnu par les individus concernés. Les systèmes traditionnels de confiance étaient basés sur des face-à-face. Parce qu il avait un accès particulier aux aspects ésotériques de la tradition, le gardien incarnait la tradition. Les caractéristiques désenchâssées des systèmes abstraits impliquent des interactions constantes avec des autres absents - des gens que l on ne voit ou ne rencontre jamais mais dont les actions affectent directement des aspects de notre vie 500». Il s accorde avec Beck quant à l émergence d une «société du risque» qui unifie de manière négative la modernité «tardive». Mais celle-ci ne se réduit pas à la génération de risques communs. «Cette société, néanmoins, n est pas seulement une société du risque. Elle est une 497 «beyond the mutual frame of expectations of role behaviour». Adam B. Seligman, The problem of Trust, Princeton University press, (p.28) 498 «Some sort of belief in the good will of the other, given the opaqueness of other s intentions and calculations». Ibid. (p.28) 499 Ibid. (p.29) 500 «Trust in a multiplicity of abstract systems is a necessary part of everyday life today, wether or not this is consciously aknowledged by the individuals concerned. Traditionnal systems of trust were nearly always based on facework; because of having special access to the esoteric qualities of tradition, the guardian was tradition made flesh. The disembedded characteristics of abstract systems mean constant interaction with absent others people one never sees or meets but whose actions directly affect features of one s own life». Notre traduction. Anthony Giddens, in Ulrich Beck, Anthony Giddens, Scott Lash, Living in a post traditionnal society. Reflexive modernization, Polity Press, (p.89)

302 302 P a g e société dans laquelle les mécanismes de confiance changent, d une façon importante et intéressante. Ce que l on peut appeler confiance active devient de plus en plus important quant à la façon dont les relations sociales post-traditionnelles émergent 501». La confiance active est selon Giddens une confiance qui doit être «énergiquement traitée» et «soutenue». Les types de liens changent. L individualisme n est pas l égoïsme, et les nouveaux types de solidarité remettent en question les dichotomies traditionnelles : solidarité organique ou mécanique, communauté (Gemeinshaft) versus société (Gesellshaft). Du point de vue personnel, «la confiance active est équipée par l intégrité de l autre 502». Cette intégrité ne peut plus être garantie par la position sociale de l autre. Dans les contextes organisationnels plus larges, la confiance active dépend d une «plus grande ouverture institutionnelle» («more institutionnal opening out»), tout ceci sur un fond de «réflexivité institutionnelle» (institutionnal reflexivity). Nous n avons «pas d autre choix que de faire des choix 503», et ceci dans un monde où la perception des connaissances expertes a changé, elles sont davantage questionnées, et plus nous avons conscience des disputes qui divisent ces autorités expertes, plus les mécanismes de confiance active prolifèrent. Giddens ne définit pas précisément ce qu il appelle «confiance active» : il en décrit l émergence en décrivant surtout le contexte de son apparition. Il propose la description d un type de confiance inhérent à la «modernité tardive», qui semble être une sorte de radicalisation de la trust décrite par Luhmann. Il nous semble en effet que l on peut comprendre cette «confiance active» comme allant dans le sens de : davantage de prise de risque consciente, davantage d engagement (de «saut» de «pari» dirait Simmel), et finalement, davantage de perplexité quant aux connaissances, qui sont désormais, même et surtout lorsqu elles sont expertes, questionnées. Le statut de la connaissance dans cette analyse de Giddens semble donc très complexe : celle-ci est indispensable mais elle ne constitue plus non plus une base stable pour bâtir la confiance. Elle ne permet pas de réduire la part non cognitive de la confiance, qui est finalement toujours plus essentielle : Giddens rejoint Seligman lorsqu il insiste sur l intégrité de l autre, dont nous sommes toujours plus dépendants, et dont la conduite est moins que jamais strictement déterminée par le rôle (versus la «position sociale» chez Giddens). Si le statut de la connaissance dans cette confiance active est difficile à appréhender, on peut toutefois tenter de la circonscrire en identifiant ce qu elle n est pas : Giddens ne parle pas des croyances, ou d attentes généralisées, qui remplaceraient les aspects plus rationnels de la connaissance. Il évoque bien sûr son concept central de «réflexivité» : mais il s agit moins 501 «This society, nevertheless, is not only a risk society. It is one where mecanisms of trust shift - in interesting and important ways. What can be called active trust becomes increasingly significant to the degree to which posttraditionnal social relations emerge». Notre traduction. Ibid. (p.186) 502 Ibid. (p.187) 503 «We have no choice but to make choices». Anthony Giddens, Ibid. (p.17)

303 P a g e 303 chez lui d une forme de connaissance particulière que d une modalité d intégration toujours plus forte des connaissances produites par une société dans les conduites des personnes. A défaut de pouvoir appréhender la spécificité des aspects cognitifs dans la confiance chez Giddens, il faut sans doute retenir plutôt, en premier lieu, le statut ambigu de cette connaissance : ceci nous empêche de répondre simplement à la question de la «quantité» de transparence nécessaire qui avait été laissée ouverte par Simmel. Mais la notion de confiance active permet cependant de réaffirmer le caractère central de la confiance dans la modernité et de montrer son évolution. LA MODERNITE ET LA CONNAISSANCE Il se trouve finalement peu de réflexions quant à la place exacte du savoir dans la confiance, dès lors que l on s intéresse plus précisément à la confiance dans les organisations. Il semble que peu de travaux se soient spécifiquement intéressés à un fait organisationnel, qui ne se rabattrait pas seulement sur la confiance interpersonnelle, ou qui ne se rattacherait pas aux généralités sur la confiance institutionnelle, qui se réfère majoritairement dans ses exemples aux instances étatiques. C est dans le cadre d analyses sur la confiance interpersonnelle que Simmel faisait un lien très explicite entre la «quantité» de connaissances nécessaires pour faire confiance et l importance des enjeux. Pour certains, la confiance dans les organisations peut se comprendre comme confiance interpersonnelle. Toutefois, la modernité rend peut être plus difficile la solution «cognitive». Les auteurs actuels, dans des registres différents, insistent en effet sur le caractère de plus en plus anonyme de ces «autres» : les «autres anonymes» (Giddens) ou des «inconnus non connaissables et autonomes» (Seligman). Une certaine forme de vulnérabilité, de «dépendance quant à la bonne volonté de l autre» se combinent à des «systèmes abstraits de plus en plus opaques» : on peut comprendre dans ce contexte l émergence de la notion de trustworthiness dans les théorisations de la confiance. C est vers cette notion que nous nous tournons maintenant. 5. MERITER LA CONFIANCE : LA TRUSTWORTHINESS La Porte, nous l avons vu dans le chapitre consacré à la transparence dans les organisations à risque, faisait d une forme de transparence la condition de la trustworthiness d une organisation. Il approfondissait cependant davantage les conditions qui permettent de mériter la confiance, que la nature même de cette notion. Nous prendrons appui dans ce qui suit sur deux théorisations récentes de la notion de trustworthiness que nous discuterons successivement du point de vue des questions liées à la confiance spécifiques des organisations à risque.

304 304 P a g e TRUSTWORTHINESS PRIMAIRE ET DERIVEE Sztompka 504 propose une théorie proprement sociologique de la confiance, et distingue deux catégories de trustworthiness : primaire et dérivée. La trustworthiness primaire se réfère aux traits qui sont «possédés» par ce à quoi nous faisons confiance, la trustworthiness dérivée se réfère quant à elle au contexte, aux règles suivies, et aux diverses contraintes et influences externes à cet objet. La trustworthiness primaire, continue Sztompka, a trois bases : la réputation, la performance et l apparence. La réputation signifie simplement «l enregistrement des actes passés 505». Au delà de cette histoire, de cet enregistrement de ce qui s est passé, l auteur souligne le rôle d une «meta-caractéristique» : une certaine stabilité de la conduite au cours du temps. La réputation peut être évaluée directement (notre propre mémoire, observation, sur les personnes et les institutions que nous fréquentons) mais la plupart du temps nous n avons pas de connaissance directe, et nous nous fions à d autres types de réputation, que l on peut dire encapsulés : les diplômes, les prix, les licences professionnelles, qui sont basés sur une confiance que nous accordons à ceux qui ont attribué ces «qualifications». Si la réputation est essentiellement tournée vers un examen du passé, la performance concerne quant à elle les «actes présents». Elle est par nature moins fiable, puisqu il manque cette perspective historique que l auteur juge essentielle. Enfin, l apparence et le comportement sont le troisième aspect de cette trustworthiness primaire. Ces aspects sont cruciaux pour la confiance que nous accordons aux personnes, sur la base notamment que nous aurons tendance à faire confiance davantage aux personnes qui nous ressemblent. Peut-être, selon Hardin, «simplement parce que nous sommes meilleurs pour prédire le comportement de ceux qui nous ressemblent le plus 506». Evidemment, le «comportement» des institutions n est pas saisissable directement. Sztompka considère que nous les jugeons à travers leurs agents, employés, qui représentent, donnent une image de l institution à laquelle ils appartiennent, et à travers leurs bureaux, qui doivent aussi «donner une image», si possible flatteuse et inspirer la confiance : la manipulation n est donc jamais loin de ces aspects qui donnent à voir. Cependant, Szompka reconnaît que dans de nombreux cas, il est difficile d évaluer la trustworthiness : les «gens ordinaires» peuvent difficilement évaluer la trustworthiness de professionnels tels que les divers experts et spécialistes ; le rôle d autorités «auxquelles on fait confiance» («trusted authorities») ou la présence d agences de contrôle sont alors indispensables. L auteur conclut enfin qu il faut toujours plus de compétence pour estimer la 504 P. Sztompka, Trust, a sociological theory, Cambridge university press, «Reputation simply means the record of past deeds». Ibid. (p.71) 506 «We are merely better at predicting the behavior of those most like ourselves». Hardin, cité par P. Sztompka, Trust, a sociological theory. Cambridge university press, (p.80)

305 P a g e 305 trustworthiness d objets sociaux encore plus abstraits : banques, systèmes techniques, gouvernements, etc. Ces dimensions «primaires» de la trustworthiness nous paraissent assez classiques. En fait, une large partie des exemples donnés au début par l auteur pour illustrer les sources de la trustworthiness se réfèrent à des situations de confiance interpersonnelle. Lorsqu il s agit de la confiance envers des professionnels, ou des institutions ou des systèmes sociaux abstraits (abstract social systems), Szompka évoque l existence des institutions intermédiaires, qui les contrôlent, littéralement d «autorités auxquelles on fait confiance 507», auxquelles nous nous référons pour accorder notre confiance à ces systèmes abstraits. Mais nous restons alors un peu sur notre faim quant à ce qui explique comment ces dernières peuvent nous inspirer confiance. Il s agit en outre, de toute évidence, d une vision largement cognitive de la confiance : les dimensions de connaissance, de savoir, tout ce que nous pouvons rendre tangible, sont primordiales. Sztompka conclut d ailleurs : «Tous les trois - réputation, performance et apparence - demandent d acquérir des connaissances, d acquérir de l information sur notre cible de confiance potentielle 508». Traduits dans les termes de notre propos, il est clair qu une forme de transparence, au sens littéral de mise en visibilité, joue selon l auteur un rôle essentiel dans la construction de la confiance. Le propos est cependant nuancé par la notion de familiarité. Celle-ci semble jouer parfois le rôle d une variable médiatrice : en d autres termes, ce n est pas directement la transparence qui génère la confiance. Mais plutôt : la transparence rend les choses plus familières, elles nous inspirent alors davantage confiance. C est ainsi que Stompka considère qu une «communication ouverte» est importante pour les «systèmes sociaux abstraits» qui ne sont pas directement familiers et accessibles. Il indique : «Dans le cas des institutions publiques, des organisations, des officiels dans leur rôle public, des systèmes techniques, ils peuvent être rendus plus transparents, et par conséquent plus familiers (souligné par nous), par des moyens de communication facilement accessibles, des publications, une politique d ouverture quant à l information. Ces arrangements fournissent des arènes pour des contacts par procuration, médiatisés, et ouvrent le monde des institutions et des organisations à une surveillance plus rapprochée 509». Cependant, Sztompka ne développe pas davantage sa notion de familiarité, alors qu elle apporte une nuance de plus. La familiarité est plus que la connaissance, plus que le simple fait 507 Ibid. (p.80) 508 «All three reputation performance and apearance require obtaining some knowledge, acquiring some information about the potential targets of trust». Ibid. (p.81) 509 «In the case of public institutions, organizations, official in public roles, expert technical systems, they may be made more transparent and seemingly more familiar, by easily accessible mass media, publications, open informationnal society. Such arrangements provide arenas for mediated, vicarious contacts, and open the world of institutions and organizations to closer scrutiny». Ibid. (p.81)

306 306 P a g e de savoir quelque chose de plus, qui ferait la différence, sur ces objets complexes. Il existe dans la notion de familiarité une nuance d évidence, une nuance affective, un sentiment de bien être qui excède de toutes parts l idée de simplement «être davantage informés». Si Sztompka nuance donc sa théorie de la confiance, en ajoutant à une base très cognitive une sorte de «variable intermédiaire», il ne donne pas toutes les clefs qui permettent de comprendre ce qui est en jeu dans le lien entre familiarité et confiance. Sztompka complète cette trustworthiness primaire, par des éléments qu il nomme dérivés, ou contextuels. Il distingue de nouveau trois catégories de conditions contextuelles : l accountability, le pre-engagement (pre-committment) et les situations qui induisent la confiance (trust-inducing situations). L accountability englobe ce qui permet d appliquer, d exécuter la trustworthiness. C est-àdire plus précisément la présence d agences qui contrôlent et qui sanctionnent la conduite de celui auquel (ou de ce à quoi) on fait confiance, ou qui sont, du moins, potentiellement disponibles pour contrôler et sanctionner, dans les cas où la confiance n est pas honorée 510. L accountability est fournie par un ensemble d institutions qui offrent des garanties. L auteur prend l exemple de l achat d une montre de grande marque, celle qui fait dire des bêtises à un publicitaire qui s en repent ensuite. Suivant que nous achetons celle-ci à un vendeur à la sauvette ou à une vente aux enchères à Sotheby, nous n avons pas les mêmes garanties si cette montre se révèle être une contrefaçon : dans le second cas, nous avons tout un «système» qui «répond» de l achat que nous avons effectué, et auquel nous pouvons nous adresser pour obtenir réparation. Mais l accountability peut aussi être fourni par des groupes informels, groupe d amis, et entourage qui nous garantissent envers certaines indélicatesses. «L accountability améliore la trustworthiness, parce qu il change le calcul d intérêt de celui auquel on fait confiance (le trustee ), il ajoute une motivation (incitation) supplémentaire à se montrer digne de confiance, notamment pour éviter la censure et la punition 511». A noter que l accountability n est pas pris ici essentiellement dans la dimension morale que nous avions identifiée jusqu alors : la dimension «ethico-civique» soulignée par Trosa et Perret 512 ou la dimension religieuse qui est évoquée lorsque l on fait le lien avec l étymologie du terme (le «day of account» est le jour du jugement dernier 513 ). Elle fonctionne essentiellement pour Sztompka comme un système de garanties qui prévient les conduites déviantes, elle est avant tout coercitive ou au minimum égoïste : celui auquel on fait confiance honore cette confiance 510 La définition de l accountability proposée par Sztompka est, au passage, un casse tête de traduction. C est pourquoi nous avons préféré la reformuler. La phrase originale de l auteur est la suivante: «Accountability means the enforcement of trustworthiness, or more precisely the presence of agencies monitoring and sanctionning the conduct of the trustee, or at least potentially available for such monitoring and sanctionning if the breach of trust occurs». Ibid. (p.87) 511 «Accountability enhances trustworthiness because it changes the trustee s calculation of interest, it adds an extra incentive to be trustworthy, namely to avoid censure and punishment». Ibid. (p.87) 512 Cf chapitre relatif aux indicateurs. 513 Cf chapitre «bref panorama de la transparence», paragraphe sur les termes proches de «transparence».

307 P a g e 307 notamment parce qu il n a pas intérêt à faire autrement, et également, parce qu il risque des sanctions s il ne le fait pas. La seconde dimension examinée par Sztompka est le «pre-engagement». Il le définit comme une situation dans laquelle «Les personnes, métaphoriquement, se lient volontairement les mains ou brûlent les ponts 514». Il donne deux exemples sur le mariage. Le premier est sans doute le plus illustratif. En Louisiane, il est possible de se marier sous la loi du «covenant marriage». Dans ce type de mariage, les époux renoncent par avance au divorce «sans faute». Ce «pre-engagement» envers un mariage aux clauses plus strictes rend le partenaire qui le propose plus digne de confiance, plus déterminé à ne pas divorcer sans une raison «grave». Sztompka note que l existence de ce type de contrat ne change pas seulement les choses pour les époux qui choisissent ce type de mariage, mais aussi pour tous les autres. Le mariage «normal» devient en effet un peu suspect (moins engageant) pour celui qui le choisit si la possibilité du mariage «plus exigeant» existe. Ce mariage classique a changé de valeur simplement parce qu une autre option est possible. La conclusion la plus importante à tirer de cet exemple concerne donc l importance du contexte : «Les mêmes obligations ont une valeur différente (du point de vue du partenaire), si des engagements plus exigeants sont possibles, mais non pris 515». La dernière dimension concerne la facilitation situationnelle de la confiance («situational facilitation of trust»). Sztompka défend assez classiquement ici aussi que les communautés restreintes permettent davantage la confiance que les foules anonymes. Là aussi l auteur revient essentiellement sur la familiarité, la simplicité des structures sociales traditionnelles et à la confiance généralisée qu elles engendrent. En résumé, Sztompka dresse un panorama de toutes les «clefs» qui permettent d évaluer la trustworthiness d une personne, ou d une institution. Il considère cependant essentiellement des exemples de confiance personnelle. Il donne ainsi à l un de ses éléments, l accountability une dimension assez restreinte, celle d un ensemble institutionnalisé de contraintes qui jouent surtout sur l intérêt ou même l obligation pour le trustee de se montrer trustworthy. RELIANCE ET TRUSTWORTHINESS Quéré a élaboré une conception de la trustworthiness sensiblement différente de celle de Sztompka. Leurs présupposés théoriques sont également assez différents, mais le propos n est pas ici de les examiner complètement, mais surtout de continuer notre exploration des liens entre transparence et confiance. Quéré distingue la fiabilité (reliance) et la trustworthiness. 514 «This is a situation where people, metaphorically speaking, are willingly binding their hands, or burning bridges». Ibid. (p.91) 515 «The same obligations have different value from the perspective of the partner, if more demanding commitments are possible but not taken». Ibid. (p.93)

308 308 P a g e Cette dernière ne concerne selon lui que les relations entre humains, alors que la première concerne les outils et les humains. La «reliance» envers un outil implique que, si je l utilise avec certaines attentes, ces attentes restent tacites, du moins en mode nominal, et je ne focalise pas mon attention sur celui-ci. Ainsi, explique Quéré, lorsque j utilise un ordinateur, en mode routinier, je ne «pense» pas à son fonctionnement, j éprouve une sorte d «assurance tranquille» qui seule me permet de me concentrer sur la finalité de l usage de l ordinateur (écrire un texte par exemple). On peut aussi, de la même façon, se fier à une personne : elle remplit alors la tâche qui est la sienne, elle tient ses engagements, etc. La reliance est, selon Quéré, une sorte de noyau commun à toutes les figures de la confiance. Ceci étant dit, ne pas se fier à une personne n est pas la même chose que de ne pas faire confiance à une personne. Voici la nuance apportée par Quéré quant à la confiance : «(elle) exige quelque chose d autre, qui est de l ordre de l absence de doute sur la loyauté de l autre vis-à-vis de soi, dans une situation où l on s en remet à lui du soin de quelque chose à quoi on attache une plus ou moins grande valeur 516». La confiance implique que l on s en remette à l autre, que l on se mette en situation de vulnérabilité. C est alors que l on peut parler d une possible trahison de la confiance. La reliance, quant à elle «peut être déçue, mais pas trahie 517». Quéré cite l exemple fourni par Annette Baier 518 : si les habitants de Königsberg se fiaient à Kant pour connaitre l heure, car celui-ci faisait chaque jour une promenade à une heure très précise, ils ont pu se sentir «déçus» mais pas «lâchés» ou encore moins «trahis» les jours où celui-ci a pu être en retard. En cela, reliance et trust diffèrent : seule la confiance est liée à la loyauté, et elle peut être par conséquent trahie. Cependant continue l auteur, la fiabilité et la trustworthiness dépendent toutes deux d un certain contexte : ma voiture n est pas fiable en soi, elle est fiable dans un environnement défini, c est-à-dire en fonction d usages socialement institués et d un environnement technique et normatif déterminé (existence de routes et d autoroutes avec un certain type de chaussée, avec certaines dimensions standards, règles, code de la route, etc.). La trustworthiness dépend aussi de nombreux éléments, qui vont au delà des caractéristiques intrinsèques de la personne à laquelle on fait confiance. Reliance et trustworthiness ont toutes deux une «structure holistique 519». En cela, l approche de Quéré diffère largement de celle que nous venons d examiner chez Sztompka, qui tentait une approche très analytique, avec une dichotomie entre des éléments primaires, intrinsèques, et des éléments dérivés, contextuels de la trustworthiness. Ainsi, pour Quéré, le fait qu un médecin soit digne de confiance dépend d un nombre considérable d éléments qu il faut appréhender ensemble, comme un tout, et c est ce tout qui génère la confiance : normes, règles légales, procédures, 516 Louis Quéré, Confiance et engagement, in Albert Ogien et Louis Quéré (dir.) Les moments de la confiance. Connaissance, affects, et engagements, Economica, (p.132) 517 Ibid. (p.136) 518 Annette Baier, Trust et anti trust, Ethics, 96, Citée par : Louis Quéré. Ibid. 519 Ibid. (p.132)

309 P a g e 309 équipements, techniques, et méthodes. Ainsi, conclut Quéré, «Ce n est donc pas le médecin isolé qui est digne de confiance, ni l institution médicale en général mais le médecin ainsi appareillé 520». La trustworthiness est donc soutenue par toute une série d éléments : «Des apprentissages portant sur les tenants et les aboutissants des engagements réciproques, des techniques d incorporation de l ordre social, des sollicitations permanentes et des épreuves continues de fiabilité, des évaluations monnayées en réputations, des sanctions négatives et positives 521». Dernier point à discuter pour notre propos, Quéré distingue la trahison faible et la trahison forte lorsque la confiance est trahie. La trahison faible relèverait des cas où la confiance n a pas été honorée pour des raisons de négligence, d incompétence, de manque de soin, de désinvolture. La trahison forte relèverait quant à elle, de façon plus limitée, de la malveillance, du «désir de profiter de ma vulnérabilité pour me nuire 522». Nous proposons plus loin une discussion de cette nuance dans le cadre des organisations à risque. TRUSTWORTHINESS : CE QUI FAIT QUE L ON FAIT CONFIANCE STRUCTURE ANALYTIQUE OU HOLISTIQUE? Faisons une pause pour examiner l éclairage particulier que ces analyses peuvent donner à notre terrain. Considérons d abord Sztompka, qui distingue une trustworthiness primaire qui regroupe très précisément des éléments d information (réputation, performance, apparence). Il n aborde pas de front cependant les différences de statut que peuvent avoir ces différents types d informations, et reprend ici des éléments qu il avait illustré avec l exemple de la confiance dans la compagnie aérienne Lufthansa. Dans la trustworthiness dérivée, l accountability est essentiellement vue comme un ensemble de garanties, et n a pas la dimension morale qu elle présente chez La Porte, Power, ou même O Neill. On se souvient que ces deux derniers auteurs, après avoir dressé un réquisitoire sévère sur les excès de l audit, des évaluations, et de ses dérives bureaucratiques, concluaient cependant que l accountability dans son principe possédait une forme de légitimité : on ne peut selon eux se débarrasser de cette idée que chacun doive rendre des comptes à ses semblables. Bien qu il n aborde la question du savoir dans la trustworthiness que de façon très implicite, Quéré nous permet de prolonger nos réflexions sur la trustworthiness dans un cadre qui semble très pertinent pour notre propos. Il faut cependant se risquer à une lecture entre les lignes de son analyse. En effet, Quéré étudie la reliance et la confiance pour les «outils» 520 Ibid. (p.133) 521 Ibid. (p.134) 522 Ibid. (p.136)

310 310 P a g e (ceux-ci étant pris dans un sens assez large), et les personnes. Il ne mentionne pas les organisations, (comme celles que nous étudions, celles qui sont «à risque») ou les institutions (la confiance envers le gouvernement, l école, etc.). Quéré considèrerait-il que, dans les cas des organisations et des institutions, on peut parler seulement de reliance (car comme les outils, elles ne peuvent vraiment se sentir «engagées» ni peut-être faire preuve de «sollicitude»)? Ou bien est-il tout de même légitime de parler de confiance (car assurément, nous nous rendons vulnérables envers ces organisations, nous nous rendons dépendants de leur bonne volonté, bienveillance, loyauté, compétence, pour reprendre exactement les termes de l auteur, nous leur laissons l opportunité de nous nuire, elles sont composées d humains qui peuvent ou non trahir la confiance que l on met en eux)? Il nous semble que les éléments qu il donne à propos de la trustworthiness d un médecin s applique bien à ce que l on peut dire d une organisation, notamment d une organisation à risque comme un fournisseur de service de contrôle aérien. La Porte a d ailleurs parlé, comme nous l avons vu 523 de trustworthiness pour les organisations à risque, mais il est vrai qu il n opérait pas les distinctions fines de Quéré quant aux différences entre reliance et confiance. Un autre élément intéressant concerne la structure holistique de la «reliance» ou de la confiance. Lorsqu il cite les éléments de la trustworthiness, Quéré dessine largement le cercle des éléments pris en compte. L appareillage dans lequel s inscrit le médecin - et la trustworthiness en général - comprend notamment les évaluations et les sanctions négatives et positives. Il est par conséquent défendable que, dans cette optique, la trustworthiness d une organisation intègre le rôle des regulation authorities, en plus de l appareillage de normes et de procédures avec lesquelles elles fonctionnent. TRAHISON FAIBLE OU FORTE? Quéré propose en outre une distinction, lorsque la confiance n est pas honorée, entre trahison faible et forte. Cette dernière s applique selon lui, on s en souvient, uniquement aux situations de malveillance, de nuisance volontaire. Or il nous semble que cette distinction est peut être insuffisante pour rendre compte de la situation dans les organisations à risque. En effet, le modèle de Quéré ne prend pas en compte deux aspects : le caractère particulier de certaines attentes que nous pouvons avoir envers ce à quoi nous accordons notre confiance, et les conséquences lorsque la confiance n est pas honorée. Or, lorsque les attentes que nous ressentons sont très élevées, et que les conséquences dans le cas où la confiance n est pas honorée sont dramatiques, la trahison pourra être ressentie comme forte, même s il ne s agit que de simples «négligence, incompétence, désinvolture». Ainsi, une trahison faible au sens où Quéré la décrit, sera dans une situation risquée sans doute vécue comme une trahison forte par une victime de cette trahison, si cette trahison aboutit par exemple, dans un cas particulièrement emblématique, à la mort d un proche. Ainsi, le père de famille russe qui 523 Chapitre 2 de la partie I.

311 P a g e 311 perdit les siens dans l accident d Überlingen et qui assassina le contrôleur «responsable» à ses yeux de l accident, a sans doute vécu l erreur du contrôleur (largement non intentionnelle, mais sur un fond de négligences organisationnelles avérées) comme une trahison forte quant à la confiance qu il avait implicitement dans le fait de «mettre sa femme et ses enfants» dans un avion, et de s en remettre à un système technique et aux humains qui le font fonctionner. Et ceci, même si on ne peut trouver, de toute évidence, aucune trace de volonté de nuire dans la conduite du contrôleur, de son encadrement, ou encore des pilotes. Les organisations «à risque» sont peut-être de ce fait emblématiques de situations pour lesquelles honorer la confiance signifie bien davantage que de se garder de malveillances et de nuisances volontaires. Quéré résumait ailleurs les limites d une vision cognitive de la confiance 524 : en premier lieu, il existe un aspect de délégation, voir d abandon de la part de celui qui accorde sa confiance ; en second lieu, celui qui bénéficie de la confiance est presque engagé par la confiance qui lui est accordée. Ces deux aspects prennent une acuité particulière dans le cas des organisations à risque. L abandon serait d autant plus grand que ces systèmes sont complexes et opaques pour le profane. Dans ce cas, la trustworthiness intègrerait effectivement les dimensions évoquées par La Porte (qui sont rappelées dans le tableau récapitulatif, la combinaison de trust et de confidence) en conclusion de ce chapitre. Y A-T-IL TOUJOURS UN «MOMENT COGNITIF» DANS LA CONFIANCE? Dans une certaine vulgate de la notion de transparence, celle ci est souvent présentée comme un outil magique permettant notamment d engendrer la confiance de façon quasi automatique. Comme le notent Libaert 525 (2001) et les tenants d une critique polémiste de la transparence (cf. chapitre «Bref Panorama»), faute d une articulation claire entre les deux «moments», la transparence glisse ensuite facilement vers un statut qui l érige au rang de fin en soi. En examinant les théories de la confiance du point de vue de la place qu elles attribuaient à la transparence, nous sommes restée jusqu à présent dans l épure proposée par Simmel : la confiance s assoit sur une dose de savoir même si nous souscrivons avec Quéré à l idée selon laquelle «elle n est pas d essence cognitive». Les théories de confiance et de trustworthiness examinées nous ont permis d entrevoir la complexité du statut accordé à ce «moment cognitif» qu il n est pas toujours facile de caractériser, ni parfois de bien distinguer du «moment autre» de la confiance. Nous terminerons par un point de vue plus radical envers le rôle du savoir dans la confiance. O Neill, nous l avons vu dans le chapitre précédent, abordait de front la question de la transparence, en partant d une réflexion sur la «crise de la confiance» envers les institutions britanniques. Elle se livre dans son ouvrage à une vigoureuse démolition de ce qu elle appelle 524 Louis Quéré, La structure cognitive et normative de la confiance, in La confiance, Réseaux, Vol. 19, N 108, (p.132) 525 Libaert Thierry, La transparence en trompe-l œil, Paris, Descartes & Cie, 2003.

312 312 P a g e révolution ou mode de l accountability : la mise à disposition d informations toujours plus nombreuses et détaillées, supportée notamment par le développement d internet ne jouent selon elle aucun rôle favorable à la restauration de la confiance. La notion de tromperie (deception) est en revanche centrale dans l argumentaire développé par O Neill. Cette catégorie recouvre pour elle tous les actes intentionnels de malhonnêteté, mensonge, diffamation, calomnie, etc. Or, soutient-t-elle, ces actes volontaires, délibérés ont finalement peu à craindre de la transparence en général : «Si nous voulons augmenter la confiance, nous avons besoin d éviter la tromperie plutôt que le secret. Bien que certaines façons d augmenter la transparence puissent indirectement réduire la tromperie, beaucoup ne le font pas 526». La transparence se tromperait donc en quelque sorte de cible : «La transparence détruit le secret, mais elle peut ne pas limiter la tromperie et la désinformation délibérée qui minent les relations de confiance 527». O Neill critique en conclusion la vogue de la notion de «informed consent», cette idée d une information la plus complète possible, qui permettrait de prendre nos décisions en toute confiance 528. «Le consentement informé est toujours important, mais il n est pas la base de la confiance, au contraire il présuppose et exprime la confiance, que nous devons déjà accorder pour évaluer l information que l on nous fournit 529». Ce faisant, elle retourne ici le lien qui est presque toujours implicitement fait entre transparence et confiance : ici, la confiance est un préalable sans lequel l information fournie reste sans véritable «valeur». Les conclusions générales de l auteur sont donc particulièrement réservées quant au rôle de la transparence dans la confiance : celle-ci peut parfois «indirectement réduire la tromperie». Mais la confiance ne repose pas sur des mécanismes toujours plus sophistiqués de contrôle, ou pour le dire autrement, la volonté de nuire, de tromper délibérément ne sont pas éliminables par les mécanismes de reporting et d évaluations toujours plus sophistiqués. On peut sans doute considérer que les mécanismes de transparence décrits par O Neill sont représentatifs d une vision particulièrement bureaucratique et caricaturale des processus d évaluation. Des réflexions comme celles rapportées dans notre étude de terrain (le chef SMQS français 530 ) montrent que peuvent exister, dans certaines institutions, des modalités qui seraient plus proches de ce qu O Neill appelle un «intelligent accounting». Rappelons en effet qu O Neill, à l instar de Porter, ne nie pas la légitimité de la demande d accountability. Cependant, nous serions tentée d ajouter que cet «intelligent accounting» implique 526 «If we want to increase trust, we need to avoid deception rather than secrecy. Although some ways of increasing transparency may indirectly reduce deception, many do not». Onora O Neill, A question of trust. (p.72) 527 «Transparency certainly destroys secrecy: but it may not limit the deception and deliberate misinformation that undermine relations of trust». Ibid. (p.70) 528 Cette notion est peut être moins répandue en France qu en Angleterre. Elle est notamment utilisée pour les actes médicaux. 529 «Informed consent is always important, but it isn t the basis of trust, on the contrary it presupposes and expresses trust, which we must already place to assess the information we re given». Ibid. (p.87) 530 cf. Chapitre consacré à la comparaison de quatre centres de contrôle aérien

313 P a g e 313 également l absence de volonté de «tromperie», qu il se base sur des conduites de bonne foi de la part de celui qui doit rendre compte ; c est pourquoi, la question de la transparence a moins d importance que le problème moral chez O Neill. On en revient donc à cette vulnérabilité qu ont analysé Quéré et Seligman, pour lesquels la confiance présuppose, selon une formule du second : «une sorte de croyance dans la bonne volonté de l autre, étant donné l opacité des calculs et des intentions de l autre». La question de la confiance chez O Neill est donc exprimée en grande partie en dehors de l épure proposée par Simmel. Si on la résume en quelques points, on obtient le schéma suivant : (1) une certaine forme de demande transparence bureaucratisée à l extrême est au mieux inefficace, au pire néfaste pour restaurer la confiance, (2) une certaine forme de transparence plus «intelligente», basée sur des modalités plus qualitatives d évaluation est souhaitable (mais elle implique un «contrôlé» globalement moral 531 ), (3) la confiance est cependant toujours première : on n a pas confiance parce que l on a reçu de l information, on doit d abord avoir confiance pour que cette information soit utile. La confiance paraît donc chez O Neill largement «acognitive», non pas «entre savoir et non savoir» comme chez Simmel, mais quelque part en deçà du savoir. Il est sans doute un peu périlleux de tirer des conclusions «théorisantes» d un texte, qui, nous l avons rappelé, s inscrit avant tout dans une veine polémiste : l auteur n élabore pas à proprement parler une théorie de la confiance, il nous faut une fois de plus «tirer» les réflexions fournies pour les lire à travers notre questionnement. Mais cette réserve étant faîte, on pourrait conclure que selon O Neill, l accountability (intelligente) est souhaitable mais n occupe pas de fonction définie dans l architecture de la confiance. L accountability est donc morale (il nous faut rendre compte de nos actes), avant d être fonctionnelle. 6. QUEL «BILAN» POUR LA TRANSPARENCE DANS LA CONSTRUCTION DE LA CONFIANCE? LA TRUSTWORTHINESS, LA CONFIANCE ET LE ROLE DE LA TRANSPARENCE Au terme de ces lectures qui ont tenté d approcher un peu mieux la relation épineuse entre transparence et confiance, il est temps de revenir à notre fil directeur, à savoir le lien explicite proposé par La Porte entre trustworthiness et transparence. 531 Monique Canto Sperber, rappelons-le, posait en ces termes la question de la transparence financière : simple respect des procédures ou obligation de sincérité? Alain Supiot rappelle que pour «restaurer la foi ébranlée dans l authenticité des images comptables», on en revient à la «vieille technique du serment»: «Adoptée à la fin de juillet 2002, la loi Sarbannes-Oxley impose aux dirigeants des sociétés cotées de certifier sur l honneur la sincérité de leurs comptes. Les parjures sont passibles de vingt ans de prison et ne pourront utiliser la loi sur les faillites pour échapper à leurs responsabilités». Alain Supiot, Homo Juridicus, SEUIL, Paris, (p.18)

314 314 P a g e Rappelons rapidement les réflexions de La Porte, en reprenant ce qui a été exposé dans le chapitre consacré à la revue des travaux de sociologie des organisations à risque. La Porte commence son argumentaire par un constat : la société et les médias sont de moins en moins confiants envers les organisations à risque. La question posée peut se formuler comme suit : comment les experts et les dirigeants doivent-ils démontrer les efforts déployés pour garantir la sécurité? Une des questions posées par La Porte est par conséquent : «comment mériter la confiance dans un monde de scepticisme?». Le fil conducteur est bien celui d une confiance «directe» avec la population. L auteur déclare par exemple : «( ) il est indispensable qu elles (les organisations) puissent développer des relations avec d autres interlocuteurs que les autorités publiques 532». La trustworthiness est définie comme une combinaison de trust et de confidence. Ces définitions (voir tableau ci-dessous) ne correspondent pas aux définitions de Luhmann. Dans le cas où une certaine méfiance s est installée, une des solutions peut se résumer en une très classique transparence : les axes à développer (cf. chapitre consacré aux organisations à risque pour la présentation détaillée) permettent, en résumé, de rendre «le fonctionnement de l organisation plus transparent aux parties intéressées, souvent inquiètes, parfois hostiles». Il s agit en outre d une exigence qui présente des contraintes pour l organisation, et qui peut être vécue comme une «ingérence» au sein de celle-ci. 532 La Porte. Op. cit.

315 P a g e 315 Le tableau suivant permet de résumer l ensemble des notions examinées. Les auteurs Structure de la trustworthiness Rôle de la transparence Todd R. La Porte Piotr Sztompka Louis Quere Onora O Neill La trustworthiness est une combinaison de trust et de confidence, dans le sens particulier suivant (différent de Luhmann) : Trust = «l organisation prend en compte vos intérêts, y compris dans les situations où vous n êtes pas en mesure d identifier, d évaluer ou d empêcher une initiative qui vous serait éventuellement préjudiciable». Confidence = «l organisation est capable de se mettre à votre place et d agir en conséquence et se donne beaucoup de mal pour respecter ses engagements». La trustworthiness a une large composante morale (bonne volonté, absence de tromperie) : similaire en cela à O neill. La trustworthiness se décline en dimensions primaire et secondaire. La trustworthiness primaire comprend : réputation, performance, apparence. La trustworthiness secondaire (dérivée) comprend l accountability, le pre engagement, et le contexte In fine, la confiance envers les organisations est une confiance envers des personnes. Faire confiance implique une forme de vulnérabilité. La Trustworthiness a une structure holistique : l objet de la confiance ne peut être séparé de son contexte. Il existe deux modalités de trahison de la confiance : faible (désinvolture, négligence) et forte (volonté de nuire) La trustworthiness n est pas explicitement évoquée. Une institution qui mérite la confiance est d abord une institution qui ne cherche pas à «tromper» délibérément les personnes. La transparence joue un rôle important dans la restauration de la confiance. Les citoyens sont mieux informés, comprennent mieux le fonctionnement de l organisation à risque, ils sont rassurés. La confiance a une dimension cognitive forte. Cependant le fait de «mériter la confiance» pour l organisation est avant tout moral. Rendre le fonctionnement de l organisation transparent et «contrôlable» implique des contraintes pour celle-ci. La trustworthiness primaire a une large base cognitive : elle implique l acquisition de connaissances, la recherche d informations. Elle permet de développer la familiarité. C est cette familiarité qui nous rend davantage confiants. Ses limites : Dans de nombreux cas, nous sommes incompétents et avons besoin de «trusted authorities». La trustworthiness dérivée comprend des institutions et des mécanismes de contrôle, de garanties, de sanctions. La dimension cognitive de la confiance n est pas facilement isolable. L objet de la confiance ne peut être séparé de son «appareillage» : contrôle, normes, engagement, etc. C est ce tout qui rend «trustworthy» ce à quoi on fait confiance. La transparence à tout prix se trompe de cible. Elle peut seulement indirectement réduire la tromperie, et n est pas une protection contre celle-ci. Elle a des effets délétères lorsqu elle s épuise dans des processus bureaucratiques, mène à des «incitations perverses». L intelligent accountability permettrait à une institution de rendre compte de façon plus précise, plus qualitative et sans perdre le sens des choses. Elle implique des «contrôleurs» avec des compétences, capables de jugement. La notion de trustworthiness se décline de façon différente selon les auteurs. Mais surtout, la dimension «cognitive» de la confiance est plus ou moins centrale. La Porte et Sztompka

316 316 P a g e accordent une place importante à ce que nous savons pour faire confiance. Mais le second concède que dans de nombreux cas, nous nous en remettons aux «trusted authorities». Quéré propose une structure holistique qui appréhende comme un tout l objet de la confiance et l ensemble institutionnel, normatif qui le fait vivre. Dans ce cadre, la confiance que l on accorderait à une organisation à risque prendrait en compte le fait que cette organisation soit contrôlée par une regulation authority, ou une autorité de sureté, qu elle fonctionne avec des règlements, des normes 533, etc. O Neill enfin, insistera surtout sur l idée qu un certain type de connaissances (que l on a résumé plus haut comme le résultat d une transparence «bureaucratique») ne met pas à l abri de la «tromperie» : notre confiance est donc «équipée de l intégrité de l autre» comme le formulait Giddens. LES REGULATION AUTHORITIES : DES «INSTITUTIONS DE LA DEFIANCE»? Il est temps de se pencher davantage sur les «regulation authorities». Ces autorités de réglementation et de contrôle peuvent en effet être analysées sous plusieurs facettes. Pour Sztompka, la confiance ne peut exister que grâce à l institutionnalisation de cette défiance. L idée qu il soit nécessaire d institutionnaliser la défiance pour permettre la confiance est ce que Sztompka appelle «le premier paradoxe de la démocratie». En reprenant quelques caractéristiques de la démocratie, Sztompka montre qu elles institutionnalisent la défiance : les élections, la division des pouvoirs, et la compétence limitée des institutions, l autonomie de la justice, les médias, les droits civiques, la possibilité de créer des groupes de pression, des associations, etc. De fait, Sztompka propose en quelque sorte de lire, d interpréter des institutions formelles ou plus informelles comme autant d institutions de la défiance. Les institutions de la défiance chez Sztompka, expriment bien le paradoxe : «plus il y a de défiance institutionnalisée, plus il y aura de confiance spontanée» 534. Cette confiance «spontanée», nous l avions dit, semble en fait très construite, elle ne paraît donc spontanée que parce que le rôle de ces institutions est oublié, naturalisé : les citoyens ne les appréhendent pas comme institutions de la défiance. Le cas des regulation authorities nous parait sensiblement différent : la caractéristique essentielle des regulation authorities dans ce cadre serait peut-être d être au contraire très explicitement des «institutions de la défiance», elles exercent ouvertement un contrôle, constitutif de leur légitimité. La vigilance des citoyens (Pettit), ou la défiance (Sztompka) seraient ici en quelque sorte déléguées de façon quasi exclusive à une institution qui prend en charge cette fonction, et la décline en un ensemble d activités codées, réglementées. Il nous 533 C est du moins la lecture «interprétative» que nous faisons de Quéré, qui, rappelons-le, ne parle pas des organisations dans cet article. 534 «In brief : the more there is institutionalized distrust, the more there will be spontaneous trust». Ibid. (p.140)

317 P a g e 317 parait cependant important de garder une approche holistique telle que proposée par Quéré : dans nos termes, une organisation à risque est désormais «appareillée» des institutions de réglementation et de contrôle, et la confiance des citoyens s adresse à l ensemble ainsi crée. Dans le monde du contrôle aérien, la mise en place d autorités de surveillance est relativement récente, contrairement au domaine nucléaire où l activité de production d électricité dans les centrales nucléaires et le contrôle étatique de ces activités ont d emblée été pensées ensemble 535. Les activités de contrôle et de réglementation ne sont cependant pas neutres pour une organisation à risque. On peut sans doute se référer à cet égard au concept de colonisation exposé par Power dans le domaine de l audit, c'est-à-dire pour rappel : «Les valeurs et les pratiques qui rendent l audit possible pénètrent au cœur de l entreprise non seulement parce que le fait de se conformer à de nouvelles exigences demande de l énergie et des ressources, mais aussi parce que, à la longue, elles créent de nouvelles mentalités, de nouvelles incitations, et de nouvelles perceptions de ce qui est important 536.». Dans le domaine nucléaire, on commence à entrevoir la nécessité de développer des connaissances réflexives à ce sujet. Ainsi, Journé identifie la notion de risque bureaucratique : le «risque d être tenu pour responsable d un problème au motif d un non respect strict des procédures 537». Ce risque est parfois combiné avec le risque «opérationnel», plus classiquement appréhendé. Il montre notamment que la «gestion du risque bureaucratique par les agents de conduite se faisait en référence au comportement anticipé des autorités de sûreté». L auteur conclut par conséquent à la nécessité de l examen plus approfondi des relations entre l autorité de sûreté et les centrales nucléaires. QUELS TYPES DE CONNAISSANCES? Il nous reste une dernière conclusion, d ordre plus théorique, à tirer des relations entre transparence et confiance. Dans le langage commun, la référence à la transparence ne spécifie jamais le statut «épistémique» de ce qui est dévoilé : nous avons vu qu il était souvent considéré comme allant de soi, notamment parce que la transparence n est liée à rien de moins qu à la «Vérité», dans ce que l on a appelé le mode du dévoilement. Nous avons jusqu à présent utilisé de façon très ouverte les notions d information, de savoir, de connaissance ; les théories de la confiance utilisent une notion ou une autre pour dire la part qu elles réservent au cognitif. Il est temps d élucider un peu mieux ces aspects, après avoir seulement effleuré le problème : en évoquant l interprétation des indicateurs par exemple dans le chapitre précédent, il nous a été nécessaire de réfléchir un peu mieux à ce que signifiait l information fournie par le chiffre : ce chiffre avait-il une signification intrinsèque? 535 Avec la création de la DSIN, devenue ensuite une Autorité Administrative Indépendante : l ASN (Autorité de Sûreté Nucléaire). 536 Mickael Power, La société de l audit. L obsession du contrôle, Entreprise et société, La découverte, (p.184) 537 Benoit Journé, La prise de décision dans les organisations à haute fiabilité : entre risque d accident et risque bureaucratique, Cahiers de l Artémis. Organisations et stratégies industrielles, n 3, p (p.103)

318 318 P a g e Avait-il un sens sans interprétation? Y avait-il des conditions pour qu un sens émerge? Denis de Rougemont avait proposé une distinction entre l information et le savoir : ce dernier seulement était informé par une théorie. L information n a pas de sens «en soi». Il s agit donc d éclaircir la question : quels sont les différents types de savoir qui sont en jeu lorsqu on parle de transparence. Non pas, bien sûr, avec l ambition de proposer une sorte d épistémologie de la transparence, mais plutôt pour approfondir ce que recouvre la dimension cognitive de la transparence dans les organisations à risque. La revue des théories de la confiance sous l angle de la place qu elles accordaient au «cognitif» montre que les connaissances que nous utilisons dans la confiance sont d ordre très différent. On a évoqué par exemple les connaissances de «trust» et celles de confidence. Certaines attentes renvoient bien à la notion de savoir, mais il s agit alors d un savoir diffus, celui-ci n est pas le support d une décision, il n est pas conscient. Un tel type de savoir n est donc pas du même ordre que ce qui est souvent réclamé au nom même de la transparence dans nos sociétés actuelles : des avis tranchés (telle substance est ou n est pas nocive pour la santé), et même des chiffres, des indicateurs. Explorer le «quoi» de la transparence permet d appréhender un aspect rarement abordé dans les réflexions sur cette notion. Dans ce qui suit, quelques réflexions sont soulevées à partir du contrôle de trafic aérien essentiellement. L OBJET DE LA CONFIANCE EST-IL CLAIREMENT DEFINI? Une première question rarement traitée explicitement est celle de l «objet» de la confiance en tant que tel. Nous avons parlé plus haut du «Macro Système Aéronautique», mais peu de personnes ont une représentation claire des contours et du contenu exact de ce système, sans parler de son fonctionnement, largement opaque. La plupart des personnes, lorsqu elles prennent l avion, pensent effectivement à la réputation de sérieux et de sécurité de la compagnie aérienne, mais plus rarement au rôle des contrôleurs (quoique des catastrophes récentes aient hélas mis en lumière leur rôle dans la sécurité aérienne), au rôle des professionnels de la maintenance, etc. Lorsque nous avons confiance dans un système tel qu une organisation à risque, l objet même de notre confiance est souvent peu défini, et la confiance assurée dont parle Luhmann se projette sur une portion du monde que nous avons du mal à isoler véritablement du reste du «monde sensible» qui est celui de notre expérience humaine. La confiance que nous avons dans la plupart des actes de notre vie n est confiance «envers» un objet précis et bien circonscrit que de façon secondaire, et elle n apparaît que de façon contingente, par exemple si cette confiance n est pas honorée. Cette première illustration montre que nous abordons le risque à travers des expériences (prendre un avion) qui rassemblent des catégories d objets dont nous n appréhendons pas clairement le contour.

319 P a g e 319 LES CONNAISSANCES ET LA LIMITE DE LA TRANSPARENCE Une des questions suivantes revient à interroger plus précisément la question épistémique en tant qu elle recouvre différentes catégories d information. La compréhension la plus restreinte serait celle de l information : l information ne préjuge pas de l existence du récepteur. Le savoir implique un récepteur qui donne sens à l information : «information n est pas savoir 538» rappelle Denis de Rougemont. Nous avons vu les implications lorsqu il s agissait, pour des safety managers, de communiquer des informations telles que le nombre d incidents. Le sens d un chiffre n existe que par rapport à un modèle de sécurité, un historique, des connaissances sur la façon dont le chiffre est obtenu. C est pourquoi nous avions conclu que d une certaine façon, la transparence littérale n était possible qu au sein d une communauté, qui est aussi une communauté «épistémique» d interprétation. Mais il est possible de convoquer d autres types de connaissances, qui seraient à l œuvre dans la confiance. Dans Homo Juridicus 539, Alain Supiot évoque le rôle des croyances dogmatiques. Il rappelle la définition de Pierre Legendre : «lieu de la vérité légale, postulé et légalement mis en scène comme tel 540», ainsi que le rôle qu a joué ce philosophe dans la remise à l ordre du jour de cette notion. Tocqueville avait ainsi indiqué «les croyances dogmatiques peuvent changer de forme et d objet ; mais on ne saurait faire qu il n y ait pas de croyances dogmatiques, c est-à-dire d opinion que les hommes reçoivent de confiance et sans les discuter 541». Supiot note à cet égard que l idée de dogmatisme n a pas bonne presse : «l idée de dogmatique apparaît aujourd hui comme l envers de la raison, comme quelque chose d obscène dont il faudrait se purger», elle apparaît même comme «l antithèse de la raison». Et pourtant, ajoute-t-il, il reste une part de dogmatisme dans le Droit, qu il est vain de penser éliminer. Dans le paysage des connaissances, ces «croyances dogmatiques» tiennent la place de ce qui n est pas objet de débat, de délibération, ce qui serait donc par nature peu sujet à une transparence. Le projet de transparence s inscrirait alors toujours dans une dynamique, il ne peut se définir une fois pour toutes. Il se heurte toujours, à un moment, à des aspects dogmatiques : ceux que les hommes acceptent «de confiance». Vouloir à toute fin rendre tout transparent s épuise dans le non sens ou le faux semblant : c est la lecture que nous pouvons faire d O Neill, mais aussi le constat lucide du chef SMQS Français qui annonce la limite qu il met au projet de «safety management» associé à la mise en place d indicateurs. «Les systèmes qualité sont un peu formalistes en disant, je veux des indicateurs, des machins, parfois il n'y en a pas de satisfaisant, on peut toujours baratiner, mettre des pseudo- 538 Denis de Rougemont, Informer n est pas savoir, Alain, Gras Sophie Poirot-Delpech, L imaginaire des techniques de pointe, Paris, L Harmattan, Alain Supiot, Homo Juridicus. Essai sur la fonction anthropologique du droit, Editions du Seuil, Pierre Legendre, Sur la question dogmatique en Occident, Fayard, Cité par Alain Supiot. Ibid. 541 Alexis de Tocqueville, De la source principale des croyances chez les peuples démocratiques, De la démocratie en Amérique. II, I, chapitre 2, Œuvres, Gallimard, La Pléiade. (p.518)

320 320 P a g e indicateurs, faire semblant de nous, on s'attache plus à faire qu'à faire semblant de enfin on espère, peut être que parfois on passe à côté». A l extrême pointe de ces connaissances, se trouverait ce qui constitue l imaginaire : «Les valeurs, les mythes actifs, l histoire propre qui donne sens à ces mythes, la mémoire collective, etc. forment un ensemble imaginaire 542». Alain Gras ajoute que, lors d une approche anthropologique des systèmes techniques : «Cette vie qui se prolonge dans le domaine du fantasmatique, du symbolique, d un ensemble d individus associés à la réalisation de tâches au sein d un collectif, d une entreprise, d un groupe industriel, doit être saisie le mieux possible». Lorsque nous appréhendons une organisation à risque, la confiance que nous accordons ou non repose aussi sur cet imaginaire, elle ne repose pas seulement sur des «informations» bien identifiées par rapport auxquelles nous pourrions ainsi prendre une décision éclairée d accorder ou non notre confiance. Cependant, est-on encore à ce moment-là dans les aspects «cognitifs» de la confiance, ou bien dans le «moment autre» que nous indiquait Simmel? Pour Simmel non plus, la distinction n était pas toujours si opérante. Ainsi, en parlant du rôle de la foi, il la considère comme : un «autre type de confiance, dit Simmel, car il est au delà du savoir et du non savoir». Mais il ajoute aussi : «Ces formes sociales de la confiance, si exactes ou intellectuellement fondées qu elles puissent sembler, comportent toujours un peu de cette foi sentimentale voire mystique de l homme en l homme». Il faudrait alors réintroduire la notion générale de croyance. Rappelons ce que soulignait Simmel : «nous croyons en quelqu un sans que ce que nous croyons ne soit spécifié». Pourrait-on dire de la même façon : on croit en une institution (sans expliquer clairement ce que l on croit à ce sujet)? Il faut peut être approfondir davantage la notion de «raisons invocables» qui cependant «ne constituent pas la représentation». Si l on se risque à une reformulation et à une prolongation de ce que dit Simmel, ces raisons sont donc explicitables, elles sont de l ordre du discursif, elles sont accessibles à la conscience. On peut donc, (en partie seulement peut-être), justifier les éléments qui participent à cette croyance en quelque chose. Cependant cette représentation n est pas la somme de ces raisons : elle est d un autre ordre (ces raisons ne constituent pas la représentation qui permet de «croire en»). Ainsi développée, cette notion recèle sans doute une parenté avec le concept d imaginaire que nous avons évoqué, composé d un ensemble d éléments qui ne sont que partiellement accessibles à l explicitation. 542 Alain Gras, Anthropologie du risque. Actes du séminaire du programme Risques collectifs et situations de crise, CNRS

321 P a g e 321 RESTAURER LA CONFIANCE «Restaurer la confiance» devient dans ces termes une entreprise plus ambiguë qu il n y paraît à première vue. Rappelons en effet qu O Neill part du constat d une «crise de la confiance» dans la société Britannique : les citoyens ne feraient plus confiance à leurs institutions, aux hommes politiques, à leurs services publics. L auteur se montre plus que réservé sur l existence même d un tel déficit de confiance : celui-ci, remarque-t-elle, ne se traduit pas en actes dans la population. Cependant, au delà de cette réserve, on peut lire également entre les lignes une critique de l idée selon laquelle la confiance pourrait être «engendrée» de façon volontariste. La lecture qu Ogien propose de l ouvrage souligne ce point essentiel : (O Neill) «rappelle que la confiance est un concept moral, et qu il est contradictoire de se servir d un concept de ce genre en laissant entendre qu il est un état qu on peut mesurer, détailler, instaurer ou rétablir à sa guise. Il est de la nature des concepts moraux de nommer des élans authentiques, au sens où ils naissent dans l émotion et pas au terme d un calcul d intérêt 543». La confiance comme «concept moral» s accorde effectivement mal avec l idée qu elle soit instaurée, restaurée, donc d une certaine façon, manipulée. Mais, pourrait-on opposer, dans le même temps, la confiance dépend bien d un certain contexte, et les «élans authentiques» ne sont pas ressentis en dehors de conditions sociales, institutionnelles précises. Lorsqu une organisation est «trustworthy» (elle mérite la confiance : voir à cet égard les conditions proposées par La Porte) on peut concevoir qu elle puisse s employer à instaurer, ou à restaurer le cas échéant cette confiance sans que la «manipulation» soit alors choquante. On peut vouloir gagner la confiance de quelqu un, une organisation peut souhaiter inspirer de la confiance à des personnes, cela ne paraît pas répréhensible pourvu que cette confiance soit méritée, c est-à-dire aussi honorée : cette projection dans un avenir, dont la trustworthiness actuelle dépend, n est d ailleurs pas la moindre des difficultés à penser cette notion. Ainsi, lorsque La Porte parle de ce qu il est nécessaire de faire pour garder la confiance ou pour la restaurer, il part, quoique sans le dire explicitement, de l hypothèse que ces organisations à risque méritent la confiance. Pourtant, si une organisation déclare vouloir inspirer confiance, elle peut a priori inspirer de la défiance. En général, la confiance se marie mal à des déclarations d intentions trop explicites de la part des «candidats» à cette confiance. «Nous voulons gagner votre confiance» peut se comprendre dans un contexte pour lequel la «trustworthiness» n est pas acquise, comme «nous voulons vous aveugler, vous tromper». Dans ce que nous avons appelé (dans le bref panorama de la notion de transparence) la transparence-stratégie, la volonté de gagner/regagner la confiance est en filigrane. A la lecture de l interview de la présidente 543 Albert Ogien, Grammaire de la confiance, in Albert Ogien et Louis Quéré (dir.), Les moments de la confiance. Connaissance, affects, et engagements, Economica, 2006.

322 322 P a g e d AREVA 544, on note pourtant que le mot «confiance» n est jamais utilisé. Pourtant, l installation de cameras sur le site de retraitement de déchets nucléaires est très explicitement une opération de communication (nous ne mettons pas de nuance péjorative dans cette expression) utilisant le thème de la transparence : nous n avons rien à cacher. Il s agit donc de «rassurer» de «calmer l anxiété». Mais elle ne déclare pas ouvertement chercher à obtenir la confiance de la population, sous peine sans doute d inspirer une certaine défiance. C est donc l évaluation de la trustworthiness par le corps social qui fait toute la différence : une organisation qui bénéficie déjà de l idée qu elle mérite la confiance peut déclarer vouloir établir/rétablir la confiance (admettons qu elle ait perdu cette confiance pour des raisons conjoncturelles). Pour les autres, cette visée ne peut pas être trop clairement déclarée, au risque de générer une réaction inverse. CONCLUSION En relisant quelques théories de la confiance sous l angle de la place accordée aux aspects de connaissance, nous avons tenté de soulever une des questions qui ont gravité tout le long de ce travail. Un premier résultat concerne la difficulté à bien circonscrire ce «moment cognitif», ainsi nommé en miroir du «moment autre» identifié par Simmel. Celui-ci laissait ouverte la définition du «quantum d information nécessaire» pour faire confiance : la culture le définissait. La nature de cette connaissance ne faisait pas question chez Simmel. Or, si l on s intéresse de plus près à ces connaissances, on se rend compte qu elles débordent ce qui relèverait strictement de la rationalité. Ce que nous «savons» relève d un mélange d informations aux statuts très divers, et il est difficile d appréhender de façon analytique ce qui fait notre confiance ; comme l a montré Quéré, la structure de la trustworthiness est holistique. Mais une vision moderne de la confiance ne se caractérise pas tant par la place qu elle accorde ou non aux connaissances que par l accent mis sur la dépendance dans laquelle nous sommes vis-à-vis d autrui, notre vulnérabilité toujours plus grande. Ceci est particulièrement souligné par Giddens (notre confiance active est «équipée» par l intégrité de l autre), par Seligman (puisque le rôle définit moins qu avant les conduites d autrui), par Quéré (pour lequel la confiance présuppose «l absence de doute sur la loyauté de l autre vis-à-vis de soi»), par O Neill enfin, qui défend une vue radicale dans laquelle rien (et surtout pas une transparence toujours plus grande) ne nous met à l abri de la tromperie volontaire de celui à qui nous accordons notre confiance. Les organisations à risque, et leur potentiel catastrophique, apparaissent dès lors comme particulièrement emblématiques de cette dépendance et de cette vulnérabilité caractéristiques de la confiance moderne. 544 La COGEMA au moment de l interview.

323 P a g e 323 CONCLUSION GENERALE CONCLUSION GENERALE CONCLUSION GENERALE

324 324 P a g e 1. LES PARTIS PRIS DE LA THESE Au moment de conclure, il peut être utile de revenir sur les principaux partis pris de ce travail, et d en dégager ainsi les apports et les limites. Il s agit en d autres termes de tenter une description, avec du recul, de ce qui a été réalisé. Une premier axe concerne la définition même du terme qui fait l objet de ce travail : il nous est vite apparu difficile voire peut-être peu fructueux de définir à tout prix la notion de transparence. Comme nous l avons souligné en introduction, l examen des diverses facettes de la transparence concluait plutôt à un air de famille qu à une essence qui sous-tendrait les diverses manifestations du terme. Le panorama succinct de la notion, présenté dans la première partie de ce travail, avait en outre conclu à une relativement faible théorisation de la notion de transparence, comparée à son caractère central dans le champ politique, et à son usage journalistique très large. En prolongation de cette revue théorique, nous n avons pas non plus essayé de définir quelles étaient exactement les limites de la notion, qui discrimineraient un usage «correct» d un usage «dévoyé» de l usage du terme «transparence». Il semblait plus intéressant d examiner les usages du terme, dans toute leur diversité, y compris dans des formes un peu contradictoires, ou difficiles à concilier. On suivait en cela le précepte de Wittgenstein : «la signification, c est l usage». Après quelques louvoiements et quelques incertitudes, la lecture d Ogien 545 proposant d élaborer une grammaire de la confiance a permis de donner forme à nos propres tentatives : nous avions tenté le même exercice pour la transparence, à savoir rendre compte de la manière dont on se sert de cette notion dans des propositions formulées en contexte. Cet exercice s est complété d une approche proprement sociologique pour aborder la transparence dans les organisations à risque. En examinant comment des acteurs d un monde technique, en charge du contrôle de la navigation aérienne, convoquent le terme de transparence sur le domaine de la sécurité, en comparant les sens qui sont donnés à ce terme, en étudiant aussi le rôle des systèmes techniques dans cette «mise en transparence», nous tentons d apporter une petite pierre à l édifice d une sociologie des organisations et d une socio anthropologie des «univers à risque». Il s agissait de voir comment le terme était convoqué, dans des contextes différents et par des instances différentes : des lois, des règlements, des écrits officiels. Des écrits qui «exigent» la transparence, des écrits qui regrettent l opacité. Mais aussi son utilisation par des acteurs, dans des discours et dans des actes (fournir ou non des informations sensibles, dans des situations précises). Il s agissait de donner à voir des modalités concrètes, dans l enchevêtrement des acteurs, des institutions, des règlements, des objets techniques. Dans ce paysage, les indicateurs ont tenu une place de choix, car ils correspondent à une modalité 545 Albert Ogien. Pour une grammaire de la confiance in «les moments de la confiance», op. cit.

325 P a g e 325 de la transparence particulièrement revendiquée à l heure actuelle. La notion de confiance également : lorsque la transparence est citée, la question de la confiance se lit en effet souvent «en creux». Le lien est toujours évoqué de façon implicite, comme s il allait de soi, alors que les relations qui lient ces deux notions sont très complexes Un second parti pris concerne la formulation même de la problématique. Celle-ci part d une question telle qu elle peut se poser banalement dans l espace public : la transparence dans les organisations à risque, et se propose d explorer cette question en regardant comment des acteurs règlent concrètement les problèmes liés à la visibilité des incidents, en remontant la «chaîne» de la visibilité des incidents, depuis leur occurrence jusqu aux instances européennes. La question de la transparence dans les organisations à risque a été explicitement posée par le courant dit des «HRO» (High Reliability Organisations), et très précisément par La Porte qui fait de la transparence une des conditions de la trustworthiness des organisations. Cependant, en restant dans cette lignée, nous avons aussi tenté d enrichir à la fois ce que pouvait signifier exactement «être transparent» pour une organisation de contrôle aérien, et de montrer que les relations entre transparence et confiance sont aussi à interroger. Une autre façon de décrire cette thèse invite à assumer une tension très présente dans ces pages : la question de départ est formulée par le sens commun (la transparence dans les organisations à risque), et correspond à la façon dont les institutions du contrôle de la navigation aérienne se représentent un de leurs «problèmes». Il ne s agit cependant pas d une thèse sur les liens entre visibilité des incidents et Retour d Expérience, ou même sur la transparence entre le régulateur et le régulé, travail qui se situerait alors davantage dans la lignée des travaux de fiabilité organisationnelle. Nous voulions plutôt contribuer à enrichir la question de la transparence dans les organisations à risque en questionnant la notion même de transparence, à travers plusieurs pistes théoriques. C est ainsi que la question de départ se trouve complexifiée, enrichie sans être délégitimée. Ce travail s inscrit bien, de façon globale, dans une perspective critique de la notion de transparence, dans la lignée des conclusions apportées par Libaert 546 : ne pas rejeter cette notion au motif de son usage souvent idéologique car il est de nombreux cas où la transparence nous apparaît bien comme une vertu à cultiver, mais ne pas tenir pour acquise le fait que cette vertu soit toujours trop vite vue comme valeur et solution toute trouvée. 546 Op. cit.

326 326 P a g e 2. LA TECHNIQUE AU SERVICE DE LA TRANSPARENCE? Quel rôle de la technique dans la transparence? Nous avions analysé les arguments présentés par la PRC (commission d examen des performances). Déplorant le «manque de transparence» de certains fournisseurs de service, et le retard dans l application du règlement ESARR2, les rapports examinés identifient les solutions possibles pour accéder à plus de visibilité sur les incidents. D abord l aide aux états, qui manquent peut-être de moyens, puis le changement culturel (une culture «non punitive» qui inciterait davantage les contrôleurs à notifier les incidents sans craindre d être stigmatisés ou pénalisés). Mais l outil de surveillance automatique est finalement considéré comme une solution à encourager vivement, peut être à imposer. Il faut noter cette progression : ce qu on ne peut obtenir ni par la règle, ni seulement par la culture, on peut l obtenir par la technique. Le rapport de la PRC ne fait pas mention des réticences de beaucoup de contrôleurs vis-à-vis de cet outil. Il cite la France et le Royaume-Uni qui se trouvent fort bien d être équipés de ce type de système, sans insister davantage sur le fait que les procédures d utilisation du SMF anglais sont très différentes de l usage français d ORPHEO, et qu ainsi, une même technique a été acclimatée de façon à s insérer dans un contexte social singulier. Il s agit visiblement pour la PRC de ne pas amoindrir le message : la technique va réussir là où le reste a échoué. La mention d une «non punitive culture» à mettre en place de façon parallèle est présentée comme une mesure d accompagnement indispensable. Pourtant, il ne suffit sans doute pas d éliminer la menace de poursuites pénales pour donner aux contrôleurs l envie de notifier leurs incidents ou d accepter un système qui détecte ceux-ci automatiquement. Il faut aussi que ces processus de retour d expérience aient du sens pour eux, la perspective de remplir simplement une base de données n étant a priori exaltante pour personne. Et il faut de la confiance des contrôleurs envers leur hiérarchie, l institution en général : cette confiance dont on peut en partie créer les conditions mais, rappelle Simmel, qui ne peut s exiger. Cette focalisation sur la surveillance automatique des incidents mérite donc un examen critique. Précisons bien en préambule que ces outils peuvent effectivement avoir leur place dans des processus de Retour d Expérience, à condition d en penser très soigneusement les objectifs et les modalités d utilisation. Le système peut devenir ainsi non pas une sorte de «Big Brother» pour les contrôleurs, mais un outil au service d une communauté d acteurs qui réfléchissent à la sécurité et utilisent une technique permettant un peu plus cette «autotransparence» si centrale dans les High Reliability Organisations. Mais il faut aussi nuancer leur intérêt. En premier lieu parce qu il nous semble qu en insistant autant sur l exhaustivité de la collecte des incidents, on sacrifie un peu à l idée selon laquelle «plus on sait de choses, mieux on se porte». Nous en avons vu quelques critiques : celle d O Neill, montrant que le flot d informations ne fait pas nécessairement sens. Plus le flot d information est important, plus les incidents sont nombreux, plus il est nécessaire, en aval, d avoir des acteurs compétents

327 P a g e 327 pour trier, comprendre, identifier des risques à partir d analyses. Or, paradoxalement, les endroits les plus «opaques», ceux pour lesquels la surveillance automatique permettait de détecter les incidents, ne sont sûrement pas les plus matures, les plus compétents pour traiter soudainement les incidents, et ce, sans même parler des ressources humaines nécessaires, qui sont pourtant un vrai souci dans certains endroits. Plus une organisation a aiguisé sa compréhension des risques, mieux elle traite le matériau que peut être un incident. Ainsi, en Suède, ce n est pas obligatoirement l incident le plus grave qui fait l objet de l enquête la plus détaillée, car il peut s avérer rapidement qu il n enseignera rien qu on ne sache déjà, alors qu un incident plus anodin peut permettre de pointer sur un risque méconnu. En second lieu, cette focalisation sur la «collecte exhaustive» des incidents laisse inexplorée une autre source d opacité possible, celle de la catégorisation des incidents, catégories qui deviennent d autant plus réelles et solides qu elles se matérialisent dans les bases de données. La traduction entre les bases de données nationales et la base européenne, comme nous l avons montré dans le suivi du SISG, est un casse-tête qui génère non seulement un travail colossal et peu gratifiant, mais aussi des possibilités non négligeables de perte de sens. Réfléchir à la façon dont on traite les incidents (la perte d informations lors des encodages, les catégorisations utilisées) est sans doute une tâche aussi urgente. Comment les catégories permettent ou non de bien appréhender les risques est une vraie question : on peut citer ici l exemple du «Überlingen style» crée par le safety manager français. 3. TRANSPARENCE ET CONFIANCE La Porte, nous l avons vu, proposait une articulation très explicite entre la transparence et la confiance. Une organisation à risque gagnait sa trustworthiness notamment sur la base de processus rendant ses activités transparentes, contrôlables. La Porte avait identifié l une des caractéristiques principales : rendre l organisation que l on souhaite contrôler plus transparente, plus contrôlable n est pas seulement affaire de «dévoiler» ce qui n était pas montré, ou ce qui était volontairement dissimulé : il s agit de réorganiser la structure et le fonctionnement de l organisation, c est un processus coûteux, il aboutit enfin à une forme d ingérence. On comprend en creux qu il ne s agit pas seulement de fournir de l information, de dévoiler ce qui est déjà là. Dans une continuation critique de ces travaux, deux questions ont été explorées dans cette thèse. Il s agissait d abord d élucider davantage le lien entre transparence et confiance. La notion de confiance se lit presque toujours en creux lorsqu il est question de transparence, ce qui ne signifie pas que leurs rapports soient simples ni surtout qu ils ne soient pas différents en fonction des types de situations. Poser le problème du rôle de la transparence (au sens littéral de «visibilité») recoupe en grande partie une question centrale dans les théorisations de la confiance : la place du savoir. Simmel proposait à ce sujet une architecture laissant une place «subtile» aux aspects cognitifs : «La confiance est aussi un état intermédiaire entre le savoir et le non savoir. Celui qui sait tout n a pas besoin de faire confiance, celui qui ne sait rien ne

328 328 P a g e peut raisonnablement même pas faire confiance». La transposition de cet équilibre à la confiance dans les organisations ouvre de nombreuses questions, dont celle de la nature de la connaissance utilisée. Ce que nous «savons» d une organisation à risque ne saurait se réduire à des «informations» à son sujet. Ainsi, dans le fait d accorder notre confiance au monde aéronautique lorsque nous prenons l avion entre aussi en compte tout l imaginaire attaché à ce domaine. Une autre question concernait la difficulté de délimiter strictement l objet de notre confiance, lorsque cet objet est une organisation dont nous ne percevons pas clairement le contour exact. Pour le public, il est difficile de savoir simplement à qui et à quoi il fait exactement confiance lorsqu il prend l avion. Giddens fait de cette obligation d une «confiance dans des principes impersonnels, aussi bien que dans des autres anonymes 547» une des caractéristiques de la modernité. Ceci peut chagriner les plus extrémistes d une certaine rhétorique de la transparence ; pourtant, la transparence à tout prix, de son côté, peut dessiner dans sa vision la plus radicale un rapport au monde où l on entrevoit la perspective aride et épuisante d êtres ultra-rationnels et isolés toujours plus réduits à traiter de l information, toujours plus d informations, et à décider, individuellement, sur cette base. Est-ce ainsi que nous souhaitons vivre? La confiance, nous dit Giddens, est cependant «équipée de l intégrité de l autre» : les organisations doivent donc être trustworthy. Si on prend le point de vue du public, il est indubitablement pertinent de considérer la trustworthiness dans sa structure holistique : l objet de la confiance ne peut être séparé de son contexte. L objet de la confiance est «appareillé», nous dit Quéré, de tout un ensemble d éléments : normes, règles légales, procédures, équipements, techniques, et méthodes, évaluations et sanctions. De même, nous savons que les compagnies aériennes, ainsi que le contrôle aérien, opèrent dans un monde de règlements, de normes. Lorsque le public identifie le rôle du contrôle aérien (ce qui n est pas toujours le cas il est vrai), c est bien cette structure holistique qui est appréhendée. C est pourquoi une partie du savoir qui est nécessaire pour faire confiance est en quelque sorte déléguée à l autorité de surveillance. Leur rôle est primordial. Elles ont besoin pour remplir leurs missions d une forme de transparence des organisations qu elles contrôlent, mais en gardant à l esprit ce que nous avons appelé la dimension épistémique de la transparence : ni «la sécurité», ni «les risques» ne sont des «objets» aisément appréhendables que l on choisirait de montrer ou non. Le rôle exact que peut jouer l autorité de surveillance dans cette identification est à réfléchir : nous avons vu que les différentes théorisations en sociologie des organisations à risque avaient sur ce point des avis contrastés. 547 «With the development of abstract systems, trust in impersonnal principles as well as in anonymous others, becomes indispensable to social existence». Anthony Giddens. Living in a post traditional society. Reflexive modernization. Ulrich Beck, Anthony Giddens, Scott Lash. Polity Press

329 P a g e 329 S il faut renoncer à une idée trop simple d une transparence comme vérité à révéler dans le cas de ces organisations, la notion proche d accountability reste quant à elle très pertinente. Les diverses critiques (Porter, O Neill) de la sphère de l accountability (rendre compte, être contrôlé, audité, etc.) que nous avons présentées concluent cependant au caractère peu questionnable dans leur fond de ces processus. Ils en critiquent donc surtout les dérives dans leur mise en œuvre (the wrong, distorting sorts, of accountability, dit O Neill). Ils souscrivent au caractère central de l accountability avec Douglas, qui souligne, à propos de l individu rationnel : «L accountability est inscrite dans sa constitution». Les organisations à risque ont donc à «rendre des comptes» aux autorités de surveillance. La question de la légitimité des autorités de surveillance est rarement posée en tant que telle. Il s agit pourtant, si l on y réfléchit, d une forme de légitimité peu classique, impossible, par exemple, à analyser facilement avec les catégories désormais classiques de Weber (légitimité traditionnelle, rationnelle-légale et charismatique). Rosenvallon 548 montre que nos démocraties développent de nouvelles formes de légitimité. Il serait intéressant, dans cette continuiété, de réfléchir à la nature de la légitimité des autorités de surveillance. 4. MESURER LA SECURITE? Dans l enquête de terrain, nous avons vu comment le nombre d incidents était devenu pendant quelque temps ce que l on a appelé un «indicateur implicite». Le nombre d incidents étant une donnée (à peu près) disponible, il est devenu à un moment un enjeu car il pourrait être interprété comme une mesure de la sécurité. Nous avons montré que ceci n est précédé d aucune réflexion ou délibération préalable, un peu comme si le nombre d incidents ne pouvait pas «ne pas dire» quelque chose sur la sécurité d un fournisseur de contrôle de la navigation aérienne. Si une première interprétation (peu d incidents est le signe d une bonne sécurité) est rapidement abandonnée, la suite est plus compliquée. Cet épisode a pu ainsi montrer comment une interprétation commune émerge au sein de ce groupe restreint, mais qu une transparence externe restait difficile tant que cette interprétation n était pas vraiment instituée. C est pourquoi on en arrive à la conclusion un peu paradoxale, d une transparence (au sens littéral) qui ne serait peut-être possible qu au sein d une communauté qui partage un cadre d interprétation commun. Cette modalité rejoint alors le projet d autotransparence qui traverse les visions de la sécurité dans les organisations à risque : les processus réflexifs sont au cœur des préoccupations : il existe bien un «niveau» de l organisation pour lequel l information circule et a du sens. Communauté est pris ici au sens de Gemeinshaft 549 : la communauté des safety managers, se découvre à un moment capable d appréhender les chiffres communiqués d une façon à peu près similaire. Au cours des 548 Pierre Rosanvallon, La légitimité démocratique. Impartialité, réflexivité, proximité. Seuil. Paris, La Gemeinshaft n est pas obligatoirement liée aux sociétés traditionnelles. Victor Scardigli, Marina Maestrutti, et Jean François Poltorak montrent comment les pilotes d essai dans le domaine aéronautique forment une communauté. Comment naissent les avions? Ethnographie des pilotes d essai ; L Harmattan, 2000.

330 330 P a g e réunions, une compréhension commune s élabore au fur et à mesure des échanges. Ce qui est différent d une vision monolithique de la sécurité, puisque, nous l avons vu également, Anglais et Français continuent de défendre des points de vue sensiblement différents. Il est en revanche certain que la notion de confiance joue ici un rôle primordial, mais dans un sens plus compliqué que celui que l on envisage habituellement (la transparence permet la confiance). Il ne s agit pas non plus d une situation strictement inverse : la confiance ne se décrète pas, elle ne surgit pas sans raison apparente, pour ensuite permettre la transparence. Dans le cas étudié, la confiance s installe peu à peu, et la «transparence» dans le même temps, progressivement. Il serait artificiel de reconstruire après coup un modèle causal linéaire simple de ce qui s est passé. Si nous avons choisi de détailler un peu laborieusement les aventures et les rebondissements de ces réunions, c est aussi parce qu il nous a semblé important de tenter de «donner à voir» dans une structure narrative, que ce n est qu après coup que le sens de la (micro)-histoire se dégage. On peut certes identifier des étapes : la réticence initiale de certains pays à communiquer leurs chiffres, la transparence un peu «flamboyante» des Français, la transparence tranquille et sûre d elle des Anglais, les chiffres peu à peu confiés par les représentants, l effet «Lisbonne», etc. Mais ces étapes ne sont bien sûr que des reconstructions qui proposent une lecture, qui racontent une histoire. C est ce moment de «flottement» que nous avons saisi, qui montre notamment les difficultés de l interprétation, mais aussi, aspect souvent oublié, l importance de la dimension temporelle. Dans une organisation initialement dépourvue de procédures de retour d expérience (encouragement des notifications volontaires, sensibilisation des personnes, etc.) une augmentation progressive d incidents pendant les premières années de cette mise en place a une signification toute différente dans une organisation très stabilisée dans ses pratiques, ayant atteint une forme de routine dans ces pratiques. La façon dont une organisation gère ce type de connaissance «historique» est un problème à part entière : comment permettre, du point de vue organisationnel, que ces compétences se développent, sur un temps long? En outre, une certaine logique gestionnaire affamée de transparence et pressée de fournir ses graphiques alléchants se montrera souvent peu sensible à l idée qu un minimum de recul historique soit nécessaire avant de proposer une interprétation des chiffres. Peu à peu l idée a émergé que, s il n était peut-être pas inintéressant de regarder le nombre d incidents, surtout une fois les catégories à peu près stabilisées, la «sécurité», quant à elle semblait bien difficile à mesurer. Ou, pour reprendre le schéma de Desrosières en le contredisant ici, «l indicateur (ne) devenait (pas) la chose elle-même». Dans les années qui ont suivi, cette idée s est peu à peu développée. Un bel exemple de ces réflexions nous est donné par un manager opérationnel du fournisseur de service de contrôle Suisse Skyguide.

331 P a g e 331 L article est nommé : «performance de la sécurité entre guillemets». «Performance de la sécurité entre guillemets» La littérature aéronautique propose, pour le terme de «sécurité», différentes définitions. Une description souvent lue est «absence of undue risk» («absence de risque excessif»). Ce qui appelle forcément la définition du mot «excessif». Qu'est-ce qui est «normal», «modéré» ou «acceptable» et à partir de quand peut-on parler d'«excessif»? La difficulté réside dans le fait que la sécurité est un terme absolu, pour ainsi dire un non-événement, une absence de fait. Or l'époque actuelle exige des données mesurables. Des Key Performance Indicators (KPI) ont pour vocation de nous donner une valeur, de pouvoir constater quelque chose de tangible surtout autour de tendances. Ainsi peut-on dire qu'on recherche le KPI d'un non événement 550? Serait-ce le signe d une certaine mauvaise volonté du monde du contrôle de la navigation quant à l exigence de mesurer sa sécurité? De toute évidence, non. Pour appuyer notre propos, nous proposons d évoquer ici rapidement il ne s agit en aucun cas d une comparaison - une autre organisation emblématique des «organisations à risque» : l industrie nucléaire. Une étude confidentielle portant sur l élaboration et de l usage des indicateurs de sécurité par les managers opérationnels en centrale nucléaire) montre la grande prudence avec laquelle on évoque le nombre d ESS (Evènements Significatifs pour la Sûreté 551 ). Un manager dit à propos de ce chiffre : «Les ESS ne sont jamais un indicateur de résultat. Ce serait inciter à ne pas être transparents. Arriver à zéro serait mal vu par les autorités de contrôle». Un autre renchérit : «Trop peu, c est louche, trop c est inquiétant, entre les deux, ça ne veut rien dire». Il faut noter, enfin, que le «fournisseur de services» et l «l autorité de surveillance» se rejoignent quant à la lecture de l indicateur. L interprétation actuelle du nombre d ESS a cependant pris du temps : l idée d une émulation entre centrales avait été initialement imaginée par certains lors de la mise en place de cet indicateur, alors que deux décennies plus tard, la majorité des acteurs du nucléaire est plus réservée à ce sujet. De façon générale, les autres indicateurs de sécurité mis en place sont avant tout des instruments de pilotage interne, qui font l objet d une réflexion. Ils sont choisis avec soin, et «testés» avant d être retenus. («Le danger principal consiste à mesurer quelque chose parce qu on sait le mesurer. Il est nécessaire de se poser la question : si ça bouge, qu est-ce que ça veut dire? C est la question qui tue»). Les managers insistent fortement sur les dimensions d interprétation, 550 Jürg Schmid Head of Safety Management, Skyguide Skymag, novembre Dossier 13. D autres indicateurs qui approchent des dimensions de la sécurité sont alors proposés : «Le nombre de comptes rendus déposés ne représente en soi qu'une indication chiffrée. Si ce nombre augmente, on ne peut pourtant l'interpréter directement comme une meilleure sécurité, c'est uniquement l'indice d'une meilleure «culture de compte rendu» qui à son tour pourra faire la part belle à une learning culture, deux préalables essentiels à l'intensification de la safety culture». On retrouve ici l idée de la possibilité de mesurer des dimensions de la gestion explicite de la sécurité, plus que «la sécurité» elle même. 551 Ils correspondent à peu près aux «incidents» tels que nous les avons vus dans le contrôle aérien. La «sûreté» dans le nucléaire correspond à ce que le contrôle aérien appelle quant à lui «sécurité».

332 332 P a g e basées notamment sur une conscience très fine des mécanismes de constitution des chiffres. On est donc loin, par exemple, des dérives stigmatisées par O Neill (les incitations perverses) ou par Porter 552 (la colonisation), tant l indicateur reste cantonné à un rôle d outil, toujours dépendant d une présentation qui lui confère un sens. Un dernier aspect, qui nous permet de faire un lien avec une des questions centrales auxquelles se sont confrontés nos safety managers du contrôle aérien, concerne la dimension temporelle. Un directeur d unité nous a dit, à propos des ESS mais aussi des indicateurs de suivi : «On a 20 ans d exploitation, on sait ce qui est normal ou anormal». Le temps d observation de l exploitation opérationnelle apparaît ainsi également crucial pour définir une interprétation normative de l indicateur (qui lui confère ainsi éventuellement un rôle éventuel d alerte). Ce temps se conjugue à ce qu on peut appeler le temps de l accord à élaborer pour parvenir à une lecture commune à partir de différents points de vue (le regard interne de la centrale, celui de l échelon central, celui de l inspection interne, de l autorité de sûreté, etc.). Les logiques gestionnaires plus conventionnelles, nous l avons déjà évoqué, font rarement cas de cette dimension temporelle. Un dernier élément à propos des indicateurs nous avait été suggéré par Power 553. L audit viserait peut-être davantage à produire du confort qu à véritablement permettre un contrôle d activités à scruter pour les maitriser davantage. Dans les organisations à risque, ce danger est particulièrement pernicieux. Ainsi, toujours à propos de l étude dans le nucléaire, plusieurs managers opérationnels ont souligné un danger de l utilisation à outrance d indicateurs : un illusoire sentiment de totale transparence et de maîtrise sur «la sûreté», d un aveuglement par les chiffres, alors même que cet objet ne peut être au mieux qu approché plutôt que réellement «mesuré». L un d entre eux déclare : «Les indicateurs sont sécurisants, et ce sentiment est dangereux : je suis entouré d indicateurs, je vois tout, rien ne peut m échapper». «L époque actuelle exige des données mesurables». Cependant, il est aussi possible de résister lorsque l on perd le sens des choses et de «ne pas faire semblant» pour reprendre les mots, cette fois-ci, du chef du SMQS français 554. Nous avons vu avec les débats sur les indicateurs que la recherche d un indicateur synthétique obligeait à définir l objet même que l on souhaitait mesurer. L exemple qui a été présenté (les travaux sur les indicateurs de richesse, puis de bienêtre) montrait la difficulté à s accorder sur une telle notion qui implique que l on élicite un système de valeurs. Et qui présuppose une forme d universalisme qui attirera toujours la critique. Supiot, par exemple, épingle ce type de travaux 555 : «Selon cet indicateur, les Norvégiens sont les gens les plus heureux de la terre»). 552 Cf. le chapitre consacré aux indicateurs. 553 Cf. le chapitre consacré aux indicateurs. 554 Cf. le chapitre consacré à la comparaison de quatre centres de contrôle aérien. 555 Alain Supiot, op. cit. La Norvège possède en effet un des scores de l IDH (Indicateur de Développement Humain) les plus élevés.

333 P a g e 333 En établissant que l on va approcher, grâce à certains indicateurs, des dimensions de la sécurité, mais qu on ne saurait la réduire à un chiffre, les acteurs du monde de la navigation aérienne réaffirment sans doute implicitement la valeur qu ils accordent à ce qui ne sera jamais, pour eux, une simple dimension de performance.

334 334 P a g e

335 P a g e 335 BIBLIOGRAPHIE ET REFERENCES CONCLUSION GENERALE CONCLUSION GENERALE

336 336 P a g e

337 P a g e BIBLIOGRAPHIE Arendt Hannah, Le système totalitaire, traduction par Jean-Louis Bourget, Robert Davreu et Patrick Lévy, Paris, Editions du Seuil, Essais, Aron Raymond, Les Étapes de la pensée sociologique, Paris, Editions Gallimard, Baier Annette, «confiance», in Canto Sperber Monique (dir.), Dictionnaire d éthique et de philosophie morale, Paris, Presses Universitaires de France, Barriquault Cyril, Représentation d'incidents dans le retour d'expérience de la navigation aérienne, Thèse de doctorat de Psychologie, Paris 8, Barriquault Cyril, Rogalski Janine, Inference making during incident analysis in Air Traffic Management, Proceedings Cognitive Science Approaches on Process Control, Munchen, p.55-64, Barriquault Cyril, Amalberti René, L influence des modèles de causalité sur l analyse d incident de contrôle aérien, Caen, Congrès de la Société d Ergonomie de Langue Française, p , Barriquault Cyril, Building accidental scenarios: a competence developed by safety inquirers in air traffic control, ISCRAT congress 2002, Amsterdam, June Batteau, Allen, Anthropological approaches to culture, aviation, and flight safety. Human Factors and aerospace Safety 2(2) p Ashgate pubishing Bell Robert, Les sept péchés capitaux de la haute technologie, Seuil, Boltanski Luc, Thévenot Laurent, De la justification, Paris, Editions Gallimard NRF Essais, Ferrero Giulhemo, Pouvoir. Les génies invisibles de la cité, Paris, Plon, 1945 Bourrier Mathilde, Le Nucléaire à l'épreuve de l'organisation, Paris, Presses Universitaires de France, Bredin Jean-Denis, «Secret, Transparence et démocratie», POUVOIRS, n 97, Paris, Editions du Seuil, Avril Canto Sperber Monique, «Les paradoxes de la transparence financière», in Le pacte de la transparence. Acteurs et éthique de l information financière, Ernst et Young, Carcassonne Guy, «Le trouble de la transparence», POUVOIRS, n 97. Seuil. Avril Cassin Barbara, Vocabulaire européen des philosophies, Paris, Seuil/Le Robert, Chevallier Jacques, «Le mythe de la transparence», Problèmes politiques et sociaux, n 679. Clastres Pierre, La société contre l état, Paris, éditions de Minuit, Crozier Michel, Friedberg Erhard, L'acteur et le système, Points, Seuil, 1979.

338 338 P a g e D Iribarne Philippe, La logique de l honneur, Paris, Editions du Seuil, Essais, D Iribarne Philippe, Analyse stratégique et culture : un nécessaire retour aux sources. Revue Française de Sociologie. Janvier-Mars Desrosieres Alain, «Discuter l indiscutable», in Cottereau Alain, Ladrière Paul (dir.), Pouvoir et légitimité, figures de l espace public, Editions de l école des Hautes Etudes en Sciences sociales, Raisons pratiques, n 3, Desrosières Alain, La politique des grands nombres, histoire de la raison statistique, Editions La Découverte, Desrosieres Alain, Pour une sociologie historique de la quantification. L argument statistique. I, Mines Paris Tech, Les Presses, Desrosières Alain, Gouverner par les nombres. L argument statistique II, Mines Paris Tech, Les Presses, Dewitte Jacques, «Le déni du «déjà là». Sur la posture constructiviste», Revue du MAUSS, n 17, 1 er semestre, Dewitte Jacques, Le pouvoir de la langue et la liberté de l esprit, Essai sur la résistance au langage totalitaire, Essais, Michalon, Nicolas Dodier, L'expertise médicale, Essai de sociologie sur l'exercice du jugement, Paris, Métailié, 1993 Douglas Mary, Comment pensent les institutions, Paris, Editions La Découverte et Syros, MAUSS, Douglas Mary, Risk and blame. Routledge, London and New York, Dubey Gérard, Le lien social à l'épreuve de la réalité virtuelle. Une approche socioanthropologique de la simulation, Thèse de sociologie. Paris 1 Sorbonne, Dupuy Jean-Pierre, Pour un catastrophisme éclairé, Paris, Editions du Seuil, mars Durkheim Emile, Les formes élémentaires de la vie religieuse, PUF, 4 ème réédition, Ellul Jacques, «De la Signification des relations publiques dans la société technicienne», L année sociologique, Fassert Christine, La transparence en questions, Mémoire de Diplôme d Etudes Approfondies en Philosophie, option sociologie, Paris, Paris 1 Sorbonne. Friedberg Erhard, Le pouvoir et la règle, Seuil, Gaillard Irène, Retour d expérience, analyse bibliographique des facteurs socio-culturels de réussite, Les cahiers de la sécurité industrielle, FonCSI, Giddens Anthony, Les conséquences de la modernité, Paris, Théorie sociale contemporaine, L Harmattan, 1994.

339 P a g e 339 Giddens Anthony, «Living in a post traditionnal society», in Beck Ulrich, Giddens Anthony, Lash Scott, Reflexive Modernization. Politics, Tradition and Aesthetics in the Modern Social Order, Cambridge, Polity, Gladwell Malcolm, «The ENRON enigma. Open Secrets», The New Yorker, 8 janvier Gras Alain, «Approche phénoménologique et anthropologique des grands systèmes», in Bourrier Mathilde (dir.), Organiser la fiabilité, Paris, L Harmattan, Gras Alain, Fragilité de la puissance, Paris, Fayard, Gras Alain, Anthropologie et sécurité, Séminaire du Programme Risques Collectifs et Situations de Crise, Paris, Gras Alain, Anthropologie du risque. Actes du séminaire du programme Risques collectifs et situations de crise, CNRS Gras Alain, Moricot Caroline, Sophie Poirot-Delpech, Scardigli Victor, Face à l automate : le pilote, le contrôleur, et l ingénieur, Publications de la Sorbonne, Gras Alain, Poirot-Delpech Sophie, L imaginaire des techniques de pointe, Paris, L Harmattan, Grossman Emiliano, Luques Emilio, Muniesa Fabian, Economies through transparency, Papiers de recherche du CSI, n 3, 2006 Hacking Ian, The social construction of What?, Cambridge, Massachusetts and London, England, Harvard University Press, Hofstede Geert, Culture's Consequences, Comparing Values, Behaviors, Institutions, and Organizations Across Nations, Thousand Oaks, CA, Sage Publications, Jasanoff Sheila, Numbers that you can trust, Metascience, vol. 6, no. 1, (1997). Journé Benoît, «La prise de décisions dans les organismes à haute fiabilité : entre risque d accident et risque bureaucratique», Cahiers de l Artémis, Organisations et stratégies industrielles, n 3, Kirwan Barry, Hale Andrew, Hopkins Andrew, Changing regulation, Controlling risks in society, Oxford, Pergamon, Lamendour, Eve, Management et représentation. Enquête sur les représentations du management dans le cinéma français, Thèse de sciences de gestion, Université de Nantes, IAE, La Porte Todd R., «Fiabilité et légitimité soutenable», in Bourrier Mathilde (dir.), Organiser la fiabilité, Paris, L Harmattan, La Porte, Todd R., Metlay Daniel S., «Hazards and Institutional Trustworthiness: Facing a Deficit of Trust», Public Administration Review, vol 56, n 4, July/August Lassalle Jean-Pierre, La Démocratie américaine. Anatomie d un marché politique, Paris, Armand Colin, 1991.

340 340 P a g e Latour Bruno, Petites leçons de sociologie des sciences, Paris, Points, Editions la Découverte, Lefort Claude, Un Homme en trop. Essai sur l'archipel du goulag de Soljénitsyne, Paris, Le Seuil, Lenoir Noëlle, «Conclusion», in La transparence dans l'union européenne. Mythe ou principe juridique?, Actes du colloque organisé par le CEDORE (Université de Nice Sophia Antipolis), Paris, Librairie Générale de Droit et Jurisprudence, Lequesne Christian, «La transparence, vice ou vertu des démocraties», in Rideau Joël (dir.), La transparence dans l'union européenne, Mythe ou principe juridique?, Paris, Librairie Générale de Droit et de Jurisprudence, Libaert Thierry, La transparence en trompe-l œil, Paris, Descartes & Cie, Madsen Dyrløv Marlene, Jensen Thomas Ryan, Fejl, ansvar og moral: Behandling af menneskelige fejl og udvikling af en professionsetik inden for flyveledelse og andre sikkerhedskritiske områder, Technical Report, Roskilde, Risø National Laboratory, Communication orale en Anglais par les auteurs. Meda Dominique, Qu est-ce que la richesse?, Paris, Aubier, Meda Dominique, «Deux Nobel ne font pas le bonheur», Le Monde, 22 Avril Moricot, Caroline, Des avions et des hommes. Thèse de doctorat de sociologie. Paris 1 Sorbonne. Ogien Albert, Quéré Louis (dir.), Les moments de la confiance. Connaissance, affects, et engagements, Economica, Ogien Albert, Quéré Louis, Vocabulaire de la sociologie de l action, Ellipses, O'Neill Onara, A question of trust, The BBC Reith lectures 2002, Cambridge, the Cambridge University Press, Pellegrin Pierre, entrée «Aristote.»in Zarader Jean-Pierre (dir.), Le vocabulaire des philosophes., Paris, Editions Ellipses, Perrow Charles, Normal accidents: Living with High-Risk Technologies, New-York, Basic Books, 1984 Perrow Charles, Organisations à hauts-risques et normal accidents, Séminaire du Programme Risque collectifs et Situations de Crise, Paris, CNRS, 2 Juin Pettit Philippe, Républicanisme. Une théorie de la liberté et du gouvernement, Essais, Gallimard, Poirot-Delpech Sophie, Raineau Laurence, Prévot Hélène, L insécurité des réglementateurs, Rapport interne, Etude financée par le SFACT, Poirot-Delpech Sophie, Biographie du CAUTRA, Thèse de doctorat de sociologie, Université Paris I

341 P a g e 341 Poirot Delpech, Sophie, Les deux cultures de l aéronautique. Actes du Congrès organisé par l ATRS. Rio de Janeiro. Juillet Porter Theodore M., Trust in numbers, The Pursuit of Objectivity in Science and Public Life, Princeton, Princeton University Press, Reason, James, L erreur humaine. PUF. Paris Ribs Jacques, Avant-propos, in Secret et Démocratie, Colloque Droit et Démocratie, Paris, La documentation Française Robert Jacques, Le secret défense, in Secret et Démocratie, Colloque Droit et Démocratie, Paris, La documentation Française Rosanvallon Pierre, La contre-démocratie. La politique à l âge de la défiance, Seuil, Rosanvallon Pierre, La légitimité démocratique. Impartialité, réflexivité, proximité. Seuil. Paris, Rochlin Gene I., «Les organisations à haute fiabilité : bilan et perspectives de recherche», in Bourrier Mathilde (dir.), Organiser la fiabilité, Paris, L Harmattan, Saul, Jessie, The Transparency of Blood, The construction of risk and safety during and after the AIDS blood scandal in France and the US, Workshop on Social Construction of Risk and Safety, Villa Fridhem, Kolmården, Sweden, March 15-17, Scardigli Victor, Maestrutti Marina, Poltorak Jean François, Comment naissent les avions, ethnographie des pilotes d essai. L Harmattan, Paris Seligman Adam B., The Problem of Trust, Princeton, NJ, Princeton University Press, Simmel Georg, Secret et sociétés secrètes, Circé, Poche, Starobinski Jean, Jean-Jacques Rousseau : La transparence et l obstacle, Paris, Editions Gallimard, Sztompka Piotr, Trust, a sociological theory, Cambridge university press, Ternov Sven, «Operator-centered local error management in air traffic control», Safety Science, 42, 2004, p Trosa Sylvie, Perret Bernard, «Vers une nouvelle gouvernance publique? La nouvelle loi budgétaire, la culture administrative et les pratiques décisionnelles», Esprit, n 312, février Vattimo Gianni, The Transparent Society, Baltimore, The John Hopkins University Press, Vaughan Diane, «The Dark Side of Organizations: Mistake, Misconduct, and Disaster», Annual Review of Sociology, 25, 1999, p Vaughan Diane, Technologies à hauts risques, organisations et culture : le cas de Challenger, Séminaire du Programme Risques Collectifs et Situations de Crise, Paris, CNRS, 11 octobre 1999.

342 342 P a g e Vaughan Diane, «La normalisation de la déviance, une approche d'action située», in Bourrier Mathilde (dir.), Organiser la fiabilité, Paris, L Harmattan, Vaughan Diane, The Challenger Launch Decision, Chicago and London, The University of Chicago Press, Viveret Patrick, Giraud Pierre-Noël, Riveline Claude, «Qu est-ce que la richesse? Les mirages du PIB», Le journal de l école de Paris, n 37, Septembre/Octobre Weber Max, Le savant et le politique, Paris, Editions 10/18, Plon, Weber Max, Economie et société, Les catégories de la sociologie / 1, Paris, Pocket, Weick Karl R., Sensemaking in organizations, London, SAGE Publication, Weick Karl R., Organizationnal culture as a source of high reliability. California Management Review. N 29. P Westrum Ron, Technologies & society: The shaping of people and things, Belmont, CA, Wadsworth Publishing Company, 1991.

343 P a g e AUTRES REFERENCES TEXTES REGLEMENTAIRES : Annexe 13 à la convention relative à l aviation civile internationale. Enquête sur les accidents et les incidents d avion. Normes et pratiques recommandées internationales. 9ème édition, Juillet OACI. Exigence EUROCONTROL ESARR 2. Notification et analyse des évènements liés à la sécurité dans le domaine de l ATM» , Statut : Version autorisée, Classe : Diffusion générale. Système de classification de la gravité des événements liés à la sécurité dans le domaine ATM, Réf. : GM1 - ESARR 2, Édition : 1.0, Date d'édition : ESARR 3 : Use of Safety Management Systems by ATM service providers Directive 2003/42/CE du Parlement Européen et du Conseil du 13 juin 2003 concernant les comptes rendus d'événements dans l'aviation civile. RAPPORTS EUROCONTROL. Evaluation de la gestion de la circulation aérienne en Europe au cours de l année PRR7. Commission d examen des performances. Eurocontrol. Avril Copyright Eurocontrol. Legal Constraints to Non-punitive ATM Safety Occurrence Reporting in Europe Outcome of a Survey conducted by the Performance Review Unit in Radu Ciopenoa. December 2002 Evaluation de la gestion de la circulation aérienne en Europe au cours de l année Examen des performances. Rapport. Juillet Copyright Eurocontrol. Safety regulation commission SRC Doc 2. Aircraft Accidents/incidents and ATM contribution AUTRES RAPPORTS Wiroth Pierre. Rapport de l inspecteur général pour la sûreté nucléaire et la radioprotection. EDF Rapport du groupe consultatif international pour la sûreté nucléaire. Collection Sécurité. N 75-INSAG-4. AIEA, Vienne, A Road Map to a just culture. Enhancing the safety environment. GAIN. September Foreword by: James Reason. REVUES SPECIALISEES Aviation civile n 323. Dossier réforme de la DGAC. Olivier Noyer. Bulletin sécurité. Circulation aérienne. Service du Contrôle du Trafic Aérien. N Bulletin sécurité Circulation aérienne. Dossier : Evolution sur la notification des incidents. Service du Contrôle du Trafic Aérien. N

344 344 P a g e SITES INTERNET CONSULTES (Bureau Enquête Accidents). Rapport en ligne. «Accident survenu le 25 mai 2000 à Paris Charles de Gaulle (95) aux avions immatriculés F-GHED exploité par Air Liberté et G-SSWN exploité par Streamline Aviation». Articles : «FOIA» et «ombudsman». Synthèse de la législation européenne