Picard:Mise en page 1
Transcription
Picard:Mise en page 1
Picard:Mise en page 1 17/12/07 17:29 Page 105 Homeland Security : la normalisation face au droit Jean-Marc PICARD Les États-Unis, au lendemain de la catastrophe du 11 septembre, ont lancé un vaste programme sur la normalisation en matière de sécurité et de protection du citoyen. Ce programme repris au niveau mondial, européen et français a pour but de doter la société de normes techniques tant en matière de technologies que pour les organisations. La normalisation devient plus que jamais non seulement un outil de régulation économique mais un outil de régulation politique. De plus son caractère international lui confère une étendue et un pouvoir jusque-là réservé aux traités internationaux. Cet article propose d’introduire le sujet de la normalisation technique et plus particulièrement d’exposer les enjeux de ce programme international. Il permet de comprendre le formidable outil économique et politique que représente la normalisation technique, outil peu connu et peu exploité par les dirigeants français. © CORBIS Homeland Security: standardisation and law Following 9/11, the US launched a sweeping programme to standardize security and citizen protection. This programme, taken up at the global, European and French levels, seeks to provide society with technical standards to evaluate both technologies and organizations. More than ever, standardisation is becoming an instrument of political as well as economic regulation. Moreover, its international nature gives it a range and command hitherto reserved for international treaties. This article aims to introduce the subject of technical standardisation and, more particularly, to explain the issues behind this international programme. It helps us to grasp the significant economic and political potential of technical standardisation, an instrument little known and little used by the French authorities. Jean-Marc Picard Enseignant chercheur à l’université de technologie de Compiègne (UTC), a été dix-huit ans dans l’industrie dont dix comme directeur marketing, qualité et sécurité d’un grand groupe d’ingénierie. Il a été vice-président de l’association nationale des auditeurs IHESI/INHES, conseiller de défense auprès du ministre de l’Intérieur ; vice-président du groupe d’impulsion stratégique sur la sécurité et la protection du citoyen à Afnor. Président du forum sur la sécurité à Afnor. Il est aujourd’hui président de la Commission de normalisation sur la sécurité sociétale. Ancien vice-président de l’Institut pour la maîtrise des risques et la sûreté de fonctionnement (IMDR SDF) il est expert auprès de nombreuses industries et institutions comme le CNES. Reproduction interdite © INHES 2008 105 Picard:Mise en page 1 17/12/07 17:29 Page 106 Cahiers de la sécurité – n°3 – janvier-mars 2008 A u lendemain de la catastrophe du 11 septembre 2001, les États-Unis se sont empressés de créer le DHS : le Department of Homeland Security pouvant être assimilé en partie à un ministère de l’Intérieur vu de l’Hexagone. Les objectifs de ce « ministère » américain, outre une mission globale de sûreté et de sécurité nationale, comprennent la sécurité civile dont la protection contre les catastrophes naturelles ; la coordination globale des moyens de réponse à un événement et la conduite, publique et privée, des activités de reconstruction. On retrouve ainsi le passage du concept de gestion de crise à celui de plan de continuité d’activité. Pour cet ensemble de missions, y compris la gestion des catastrophes naturelles depuis l’épisode de l’ouragan Katrina, le DHS s’est tourné vers l’organisme national de normalisation : l’American National Standard Institute (ANSI) en vue de développer des normes techniques (que l’on dénomme plutôt « standards » aux USA). Ainsi en 2003 a été créé le Homeland Security Standards Panel afin de créer des normes « consensuelles » pour atteindre les objectifs du DHS. Ainsi se développe une normalisation dont nous allons essayer de cerner les contours. Le vaste champ d’application des normes Les normes techniques sont connues, depuis longtemps, du grand public au travers des produits dont elles dictent les caractéristiques techniques. C’est le cas pour des milliers de produits courants allant de la prise électrique au jouet en passant par le parpaing de béton. Mais les normes techniques concernent désormais des systèmes de communication : la norme GSM par exemple ou des procédés de sécurisation des aliments (méthodes HACCP). Enfin les normes techniques dictent, au même titre que des normes juridiques, des règles d’organisation pour les entreprises en matière de qualité (normes ISO 9000), d’environnement (normes ISO 14000), d’hygiène et de sécurité au travail, de sécurité alimentaire (ISO 22000) ou encore de sécurité dans les transports. C’est le cas de la nouvelle norme ISO 28000. Cette norme est une spécification pour des systèmes de management de la sûreté pour la chaîne d'approvisionnement. Elle définit les exigences pour permettre à une entreprise d'établir, de mettre en œuvre et d'améliorer un système de management de la sûreté, y compris les aspects critiques pour l'assurance de la sécurité de la chaîne d'approvisionnement. Ces différents éléments concernent, sans s'y limiter, les aspects relatifs au financement, à la fabrication, à la gestion de l'information ainsi que les installations d'emballage, d'entreposage et de transfert des marchandises entre les différents modes de transport et les différents lieux 1. Dans le même cadre, du 29 octobre au 1er novembre, un « working group » a été organisé sur la protection des réseaux d’eau potable. Les normes traitent donc de l’organisation humaine et politique et plus particulièrement de la sécurité publique, concurrençant ainsi les dispositions de droit. Elles définissent, outre des caractéristiques techniques de produits ou services, les modes opérationnels d’organisation. Cela comprend par exemple les modalités d’organisation humaine de contrôle. Ainsi, on peut imaginer que le contrôle des passagers dans les aéroports sera à terme entièrement défini par des normes internationales. La réglementation ne faisant qu’imposer, le cas échéant, l’application de ces normes. Des normes pour la sécurité Dans le cadre d’une déclinaison ou d’une reprise du programme américain sur la défense et la sécurité du citoyen, de vastes programmes mondiaux et européens se sont attelés à la production de normes et standards. Les domaines concernés sont évidemment sensibles, on y retrouve au niveau des États-Unis des travaux normatifs portant initialement sur les domaines suivants : – plan de continuité d’activités ; – biométrie ; – traitement de la menace biologique et chimique ; – formation des opérateurs confrontés à des armes de destruction massive ; – communications d’urgence et mobilisation des citoyens ; – sécurité et continuité des réseaux d’énergie ; – lutte contre le terrorisme. (1) C’est le sujet abordé par la prochaine conférence sur la sécurité des transports publics des 4 et 5 octobre 2007 dans les locaux du National Institute of Standards and Technology (NIST) à Gaithersburg, Maryland (USA). Dans le même cadre, du 29 octobre au 1er novembre, un « working group » a été organisé sur la protection des réseaux d’eau potable. 106 Reproduction interdite © INHES 2008 Picard:Mise en page 1 17/12/07 17:29 Page 107 Jean-Marc PICARD Homeland Security : la normalisation face au droit Et, au niveau européen 2, des travaux normatifs portant sur les thèmes suivants : – transport maritime ; – services d’urgence ; – alimentation en eau potable ; – défense contre le terrorisme ; – contrôle des frontières ; – protection des Infrastructures critiques - bâtiments ; – protection des Infrastructures d’énergie ; – incidents CBRN (chimique, bactériologique, radiologique, nucléaire) ; – réduction des qualités criminogènes des produits. Un nombre croissant de comités et instances En complément, un nombre important d’instances nationales ou internationales travaille sur la normalisation de la sécurité du citoyen. On retrouve des structures comme l’InterAgency Board (IAB), en charge des questions de normalisation et d’interopérabilité des équipements, qui vient de publier le « Strategic Plan for Developing a Suite of Chemical, Biological, Radiological, Nuclear, and Explosives Protective Equipment Standards ». Cette structure regroupe les autorités publiques locales, régionales et fédérales dans le domaine de la santé et de la sécurité en cas d’accidents majeurs. Elle est plus particulièrement reconnue dans le secteur chimique, biologique, radiologique et nucléaire (ou NRBC en anglais). En dehors de structures issues d’organismes étatiques, une majorité de groupes de travail est issue des organismes de normalisation nationaux (AFNOR France), européen (Comité européen de normalisation - CEN, CENELEC) ou internationaux (Organisation internationale de normalisation ISO/CEI) (voir figure 1). Ces groupes de travail spécialisés traitent de sujets divers. Nous donnons un extrait des sujets au lecteur afin, à la fois d’en montrer l’ampleur, la variété et de fournir une information utile (voir figure 2). Il en existe vraisemblablement un millier au niveau mondial dont les travaux se recoupent bien souvent. La concurrence entre les groupes et les entités qui les hébergent est tout aussi vive que la coopération qui peut exister entre elles. Figure 1 – Les groupes clefs en matière de normalisation de la sécurité • Défense et sécurité civiles (ISO TC 233) • Sécurité du citoyen (CEN WG 161) • NATO Air Force Armaments Group (NAFAG) • Forum Sécurité (AFNOR) Figure 2 – Quelques exemples de groupes de travail • Déminage humanitaire (CEN WS 12) • Services de sécurité privée (AFNOR CN) • Contrefaçon • Water security CEN TC 164 • Transport Maritime • Risk Management (ISO TMB WG) • Biométrie (ISO CEI JTC 1 SC 37 ) • Identification des cartes et des personnes (ISO CEI JTC 1 SC 17) • Identification personnelle et signature électronique (CEN TC 224) • Système d'information sur les risques (IRIS) (AFNOR/X08S ) • Techniques de sécurité des technologies de l'information (ISO CEI JTC 1 SC 27) • Meilleures pratiques pour la conception et le développement des systèmes d’information critiques (CEN WS) • Emergency Telecommunications (ETSI WS EMTEL) • Emergency Prepardeness • Situation d’urgence (ISO WS) • ISDEM (Information System for Disaster and Emergency) (CEN WS) • CAP : Common Alerting Protocol (OASIS) • PSCE (Public Safety communication in Europe) (Forum de l’UE) • Alarm response CEN TF • Systèmes d’alarme (CEI TC 79) • Traçabilité des conteneurs ICSO (International Container Security Organisation) • Système intelligent de transports (ISO TC 204) • Équipement des services de secours et de lutte contre l'incendie (CEN TC 192) • Radioprotection (ISO TC 85 SC 2) • Carte électronique du citoyen (CEC) (AFNOR CN) • Systèmes de détection et d'alarme incendie (CEN TC 72) • Portes et fenêtres (CEN TC 33) • Atmosphères explosibles (CEN TC 305) • Systèmes de détection d'incendie et d'alarme (ISO/TC 21/SC 3) • Sécurité au feu (ISO TC 92 ) • Dispositifs de sécurité (AFNOR CN ) • Dangers pour les personnes et l'environnement dus au feu (ISO TC 92 SC 3) • Conteneurs pour le transport de marchandises (ISO TC 104) (2) Cadre du WG 161 du CEN (Comité européen de normalisation). Reproduction interdite © INHES 2008 107 Picard:Mise en page 1 17/12/07 17:29 Page 108 Cahiers de la sécurité – n°3 – janvier-mars 2008 Les producteurs de normes L’organisation de la normalisation repose en grande partie sur des ONG à l’échelon mondial, européen et national. Niveau mondial En 1906, une organisation pour la normalisation de l’électricité et l’électrotechnique est créée sous le nom d’International Electrotechnical Commission (IEC) ou en français CEI (Commission électrotechnique internationale). Un peu plus tard, en 1926, l’Afnor est créée en France. L’ISO 3 succédera à l’ISA après la guerre et regroupe aujourd’hui environ 148 pays à travers leur structure nationale de normalisation. http://www.iso.ch/iso/fr/ISOOnline.frontpage L’ISO a été créée, après-guerre pour favoriser le développement de la normalisation et des activités dans le monde, en vue de faciliter entre les nations les échanges de biens et de services, et de développer la coopération dans les domaines intellectuels, scientifiques, techniques et économiques. Les travaux de l’ISO aboutissent à des accords internationaux publiés, pour l'essentiel, sous la forme de normes internationales 4. Au niveau mondial, existent d’autres organisations de normalisation. Notamment au niveau des télécommunications avec l’Union internationale des télécommunications (UIT) à Genève, qui fait partie du système des Nations unies, dans laquelle les gouvernements et le secteur privé coordonnent les réseaux et les services de télécommunications au niveau mondial. Niveau européen Le CEN, Comité européen de normalisation, est en quelque sorte la fédération des organismes européens de normalisation. Le CEN, créé sur les fonds baptismaux de l’Europe, est une association sans but lucratif de droit belge. Il associe à ses travaux, outre les membres de l’Union européenne, des membres de l’AELE, et des organisations comme l’OTAN. Enfin l’Institut européen de normalisation des télécommunications (ETSI) reste un organisme piloté par les industriels. Niveau national Pour la France, la normalisation est le monopole de l’Afnor. Le statut juridique de la normalisation 5 donne Figure 3 – L’organisation de la normalisation dans le monde Note : La France est membre du CEN et de l’ISO, mais le CEN n’est pas membre de l’ISO, ce qui explique la multiplicité des accords de coopération. Par ailleurs l’UIT étant une émanation de l’ONU, le ministère chargé des postes et télécommunications y représente la France en tant qu’État membre. (3) Pour l’anecdote, le mot ISO est bien le préfixe grec : conforme, identique et non l’abréviation de International Standardisation Organisation, traduction de sa dénomination suisse exacte : Organisation internationale de normalisation. (4) Parfois sous l'appellation de « guides » ou sous la forme de documents provisoires tels que les TR (technical report). Les documents en projet sont émis à divers stades, notamment et en simplifié (!) : NP, AWI, WD, CD, DIS, FDIS… (5) Décret 84-74 du conseil d’État modifié en 1991 et 1993. 108 Reproduction interdite © INHES 2008 Picard:Mise en page 1 17/12/07 17:29 Page 109 Jean-Marc PICARD Homeland Security : la normalisation face au droit à cette association reconnue d’utilité publique un statut privilégié proche d’un service public. L’Afnor élabore souvent les normes par le biais de bureaux de normalisation sectoriels. Ceux-ci sont en majorité des ONG professionnelles en quelque sorte « sous-traitantes » de l’Afnor. C’est le cas de l’UTE : Union technique de l’électricité et de la communication. L’Afnor représente la France au CEN et à l’ISO. L’UTE représente la France au CENELEC et à la CEI/IEC. En Europe, deux organismes de normalisation nationaux rivalisent avec l’Afnor par leur puissance, le BSI britannique et le DIN allemand. Autres organismes Il existe d’autres organisations officielles comme l’OIML (Organisation internationale de métrologie légale) ou le EMLMF (Forum euro-méditerranéen de métrologie légale). Il existe par ailleurs de nombreuses associations professionnelles comme l’IEEE américaine (Institute of Electrical and Electronics Engineers). Plus que centenaire cette structure résulte de la fusion de l’American Institute of Electrical Engineers et de L’Institute of Radio Engineers. Le contrôle de la conformité aux normes Le contrôle de la conformité est aussi parfois effectué par les services de l’État : le service des Mines par exemple. Ce service qui effectuait encore récemment le contrôle technique des poids lourds a été transféré à des entreprises privées accréditées. Le contrôle de la conformité s’effectue le plus souvent par des audits ou inspections. Ces audits vont au cœur des organisations inspectées, même pour le simple contrôle de la fabrication d’un produit, ils conduisent à inspecter toute l’organisation intime du producteur de produit ou de services. Ainsi les rapports d’audits et les documents de travail associés regorgent d’informations souvent extrêmement sensibles. Certains audits dans les domaines de la sécurité, effectués par des organismes étrangers, peuvent conduire à la divulgation plus ou moins contrôlée d’informations parfois extrêmement sensibles. Et malgré les précautions prises dans certains domaines comme celui de la défense, la confidentialité des résultats est un réel problème. Cette situation est d’autant plus critique dans des domaines comme le nucléaire, que le contrôle qualité repose sur la transparence, ce qui n’est pas facile à assurer dans des contextes sensibles, dans la mesure où la divulgation d’information pourrait bénéficier à des groupes terroristes. Enfin le contrôle de la conformité suppose de pouvoir disposer d’experts impartiaux et compétents. Cette tâche incombant aux organismes de contrôle précités n’est évidemment pas simple. Équivalences des normes Il n’y a pas de norme, pas plus que de règle, sans contrôle. Sujet plus méconnu que contesté, le contrôle de la conformité par rapport aux normes techniques relève d’une organisation internationale complexe qu’il serait fastidieux de décrire complètement ici. Cette organisation est elle-même régie par un ensemble de normes. Les organismes de contrôle de la conformité sont parfois des organismes désignés par les États, notamment dans le cadre européen du marché unique, c’est le cas des organismes dits « notifiés ». Il existe par ailleurs les organismes accréditeurs 6 (souvent un par pays). Ils accréditent 7 les organismes certificateurs 8, les laboratoires 9 et les organismes de contrôle technique 10. Certains organismes produisent des normes ex-nihilo mais le plus souvent les organismes nationaux reprennent à leur compte des normes internationales qu’ils ne font que traduire. Ainsi par le fait d’accords complexes, certaines normes françaises par exemple ne sont que la reprise de normes mondiales, européennes ou non européennes. Or cette reprise est souvent obligatoire. C’est le cas pour toute norme européenne qui prime dans les pays de l’Union toute norme nationale équivalente. Ainsi, une norme française peut n’être que la traduction d’une norme européenne, voire mondiale. (6) En France, il s’agit du Cofrac, qui est une association loi 1901 avec comme Afnor des prérogatives de service public. (7) L’accréditation est parfois obligatoire réglementairement. (8) En France on retrouve AFAQ-Afnor, (Le groupe Afnor, outre sa fonction d’élaborer des normes, agit aussi pour en contrôler l’application dans le cadre d’une filiale) (9) Très nombreux, les laboratoires peuvent être privés ou publics comme le LNE : Laboratoire national d’essais. (10) Par exemple en France : Socotec, Apave, Veristas, etc. Reproduction interdite © INHES 2008 109 Picard:Mise en page 1 17/12/07 17:29 Page 110 Cahiers de la sécurité – n°3 – janvier-mars 2008 Réglementation et normalisation Une norme peut être rendue d’application obligatoire par la loi ou la réglementation. À défaut, une norme peut être exigée dans le cadre d’un contrat ou d’une convention. À défaut également, en cas de litige, une norme peut être considérée par le juge comme une règle de l’art. Le poids de la norme dans la conduite des affaires devient donc considérable. La norme technique, complément opérationnel du droit Au-delà des précédentes considérations, la norme devient un véritable complément opérationnel du droit. En effet selon les règles de l’OMC 11 et différentes dispositions de l’Union européenne 12, la réglementation technique doit privilégier la référence aux normes internationales ; de même le code des marchés publics dispose un principe de référence obligatoire aux normes. La réglementation technique n’est donc plus libre, et d’aucuns considèrent que la norme « fait la loi ». En tout état de cause, la norme devient de facto un complément opérationnel du droit dans un monde de plus en plus juridique, technocratique et technologique. Une situation que la France ne maîtrise pas suffisamment Cette situation peut parfois inquiéter. Disposer de règles et de références communes, faisant abstraction de toutes les particularités locales générées par les droits nationaux, est néanmoins essentiel pour le développement des affaires mais aussi de l’économie et de la politique. Ainsi en matière de protection de l’environnement et de développement durable, le bénéfice procuré par l’apport de normes internationales reconnues est évident. En matière de terrorisme aussi. On peut aussi remarquer que les organismes de normalisation ou plutôt les membres de commissions les plus fortunés ont le pouvoir de faire ou défaire des marchés. C’est une conséquence naturelle du fait qu’ils sont le fruit « du marché ». La représentativité au sein de ces organismes étant relativement libre, les plus présents, les plus habiles y sont les plus écoutés. De ce fait les organismes de normalisation ou plutôt les différents comités techniques qui en sont issus ont un pouvoir considérable, capable parfois de contrecarrer de nombreuses dispositions réglementaires. Faut-il s’en inquiéter vraiment ? Le problème français est plutôt son manque de présence dans les organismes de normalisation surtout à l’international. Ce reproche concerne surtout et globalement notre administration 13 et les associations de consommateurs. Les causes de cette insuffisance sont nombreuses. Participer aux innombrables travaux de normalisation est, comme pour la législation ou la réglementation, un lourd investissement humain et financier. De plus les réunions se tiennent souvent aux quatre coins du monde. Nos fonctionnaires sont loin d’être polyglottes, ils maîtrisent peu les langues étrangères. Enfin et surtout notre droit romano-germanique et notre organisation hiérarchique s’accommodent très mal d’un système proche de celui de la Common Law où les règles sont issues d’un processus de réglementation qui part d’en bas, par expérience, expérimentation, tâtonnement et discussion, et non qui part d’en haut, le pouvoir, pour s’imposer à tous ; ce que nous appelons un processus « bottom-up » contre le processus « top down ». Alors que le processus normatif est le fruit de consensus transversaux, il met à mal notre organisation cloisonnée entre départements ministériels. Si beaucoup sont sensibles à cette situation, et redoublent remarquablement d’efforts, comme Afnor, pour sensibiliser les acteurs nationaux, force est de constater que la mobilisation française et la cohésion européenne sont encore à parfaire. Ainsi la Chine elle-même a compris les enjeux. Le ministre chinois délégué à la Normalisation, monsieur Pingjun Liu, a accepté d’intervenir à Afnor. Les Américains, dans le cadre de leur programme Homeland Security, ne s’y sont pas trompés et ont vu aussi l’utilité stratégique de la normalisation. L’ISO a créé un comité technique sur la défense civile entièrement aux mains des Suédois et Américains. Les Britanniques ont lancé un groupe similaire en Europe (CEN) et nous n’y sommes pas encore présents. (11) L’accord sur les Obstacles techniques au commerce (OTC, article2 et plus précisément 2.2 et 2.3) de l’Organisation mondiale du commerce ou WTO, basée à Genève tout comme l’ISO et l’IEC/CEI. (12) Les traités TCE (articles 28 à 30) et TUE. (13) Soulignons cependant la forte présence du ministère de la Défense au contraire d’autres départements ministériels. 110 Reproduction interdite © INHES 2008 Picard:Mise en page 1 17/12/07 17:29 Page 111 Jean-Marc PICARD Homeland Security : la normalisation face au droit Le forum sécurité à l’Afnor Un monde nouveau Réunissant pouvoirs publics et acteurs économiques, le forum sécurité a pour ambition de continuer les travaux du groupe d’impulsion stratégique d’Afnor. Il s’agit de coordonner de manière informelle l’action de la France dans le concert européen et international en matière de normalisation de la sécurité et de la défense du citoyen. Le forum sécurité est aussi le miroir français de structures européennes équivalentes. Il a été lancé sous l’impulsion d’Afnor et des ministères de l’Intérieur et de la Défense principalement. L’interopérabilité des forces de police, des secours, l’interopérabilité des systèmes de communication, l’organisation de la sécurité de nos ports et aéroports, la surveillance des frontières, la sécurité de nos réseaux d’eau comme d’électricité, la sécurité des transports sont autant de domaines qui seront régis demain par la normalisation. Ce forum est adoubé de la commission de normalisation sur la sécurité sociétale. Cette dernière est l’instance qui valide la production de normes françaises en matière de sécurité sociétale soit dans les domaines que nous avons évoqués. La participation active des acteurs de la sécurité y est donc cruciale, cette participation inclut un travail avec nos partenaires européens. Cette commission et le forum sécurité auront besoin de la participation active et constructive de tous, loin des luttes de pouvoir chères au pays d’Astérix s’il veut garder son rang de grande puissance. Nul doute qu’il y parviendra. La normalisation, à l’instar d’une nouvelle forme de Common Law international est en marche. Il ne s’agit pas de s’y opposer, ce qui serait vain. Il s’agit de saisir une opportunité, de comprendre qu’elle est un nouvel instrument aux mains des nations mais aussi des États dans la construction internationale. S’y impliquer est une urgente nécessité, une chance ; l’ignorer serait une bévue dramatique. Pour plus d’informations quelques sites web sont à visiter : • Le site américain : http://www.ansi.org/hssp • Le site Afnor : www.afnor.org • Le site européen du CEN : http://www.cen.eu • Le site de l’ISO : www.iso.org Reproduction interdite © INHES 2008 Jean-Marc PICARD 111