Garantir la sécurité des bâtiments en assurant la sécurité des données
Une analyse juridique de la norme ISO EN SN 19650-5:2020, «Organisation des informations relatives aux bâtiments – Gestion de l’information par la modélisation des informations de la construction – Partie 5: Spécification pour la modélisation des informations de la construction dans une optique de sécurité, les cadres bâtis numériques et une gestion avisée des actifs»
Garantir la sécurité des bâtiments en assurant la sécurité des données
En 2020, la norme ISO 19650-5 est entrée en vigueur en Suisse sur décision de l’Association suisse de normalisation (SNV). À l’instar des autres normes de la série 19650, la norme 19650-5 porte sur le traitement (création, utilisation, etc.) de données numériques en lien avec la conception, la réalisation et l’exploitation de bâtiments et d’infrastructures. Elle a néanmoins cela de particulier que son objet n’est pas l’organisation des projets et la gestion de l’information en général, mais plus spécifiquement la garantie de la sécurité des ouvrages conçus, construits ou exploités au moyen de données numériques. En effet, l’utilisation de telles données est de nature à compromettre la sécurité des ouvrages et constitue, en ce sens, un risque nouveau. Ce risque mérite attention, d’autant plus que la loi dispose que les ouvrages ne doivent présenter aucun danger sérieux pour les personnes ou les choses (cf. par exemple l’art. 21 al. 1 de la loi sur les constructions du canton de Berne, ainsi que les art. 58 et 59 CO).
Quel nouveau risque se pose pour la sécurité des ouvrages?
De tout temps, la collecte et le traitement d’informations ont constitué une activité essentielle pour les personnes impliquées dans la conception, la réalisation ou l’exploitation d’ouvrages. Certaines de ces informations, telles que les plans de construction des coffres d’une banque ou d’un tombeau de pharaon, sont sensibles en soi, tandis que d’autres peuvent permettre d’acquérir des connaissances sensibles une fois combinées avec des données supplémentaires. Ainsi, les informations relatives aux ouvrages sont depuis toujours exposées au risque d’une utilisation abusive susceptible de nuire à des personnes ou à des choses. Qui plus est, déjà avant l’évolution technologique que représente la numérisation, une erreur dans la transmission ou le traitement d’informations pouvait rendre un ouvrage dangereux pour les personnes ou les choses – il suffit de penser aux conséquences d’un calcul statique erroné dans la construction d’un pont. En ce sens, l’utilisation de données numériques dans le cycle de vie d’un ouvrage n’engendre pas un risque fondamentalement nouveau. Cependant, il ne faut pas pour autant sous-estimer à quel point cette utilisation pourrait vraisemblablement multiplier, voire en partie aggraver les risques liés au traitement de l’information.
Tout d’abord, il convient de noter que les informations conservées en format numérique, indépendamment de leur portée et de leur degré de complexité, peuvent être aisément captées ou modifiées sans qu’un tel vol de données ou une telle modification ne laisse nécessairement de traces visibles. Pour certains ouvrages spécifiques, une utilisation malveillante de certaines informations est susceptible de causer des dommages considérables aux personnes et aux choses. À cet égard, il n’est depuis longtemps plus seulement question de terrorisme, mais aussi d’autres délits tels que le chantage, l’homicide volontaire ou les lésions corporelles intentionnelles. Le ch. 3.7 de la norme emploie dans ce cadre le terme «sûreté» (ou «security» dans la version anglaise) pour définir ces aspects sécuritaires.
Ensuite, il est important de noter que les données numériques peuvent également être modifiées lors de leur traitement ou transmission de manière non intentionnelle, sans qu’une telle modification ne soit remarquée à temps. L’utilisation d’informations erronées est alors susceptible de compromettre par la suite la sécurité des ouvrages. Une telle situation peut notamment s’observer lorsque (i) la conception ne permet pas d’identifier ou d’éliminer certains risques importants, (ii) les machines utilisées pour la réalisation réagissent contre toute attente de manière dangereuse ou provoquent des défauts de fabrication sans que l’on s’en aperçoive, ou (iii) l’exploitation de l’ouvrage, en particulier la gestion à distance fondée sur des données, repose sur des hypothèses erronées, est à l’origine d’instructions inappropriées à la situation réelle ou s’avère tout simplement défaillante. Dans de tels cas, le ch. 3.6 de la norme parle de «sécurité» au sens étroit (ou «safety» en anglais).
Que régit la norme 19650-5?
La norme 19650-5 est potentiellement destinée à toutes les entreprises qui interviennent dans le cycle de vie d’un ouvrage et ont accès à des informations pouvant être sensibles dans ce cadre (ch. 1). Elle leur adresse des propositions en matière de gestion de l’information. Ces propositions ont pour but d’aider les entreprises à identifier et à éliminer, ou du moins à minimiser, les risques que peut encourir un ouvrage en lien avec le traitement (analogique ou numérique) de l’information. Il s’agit tout d’abord d’identifier, tant de manière générale que pour chaque projet individuel, les risques spécifiques liés à l’entreprise, au projet, aux partenaires du projet, ainsi qu’à certains tiers auxquels des informations devront être fournies. Un examen de ces risques permet ensuite de déterminer si des mesures particulières doivent être prises (ch. 4). Dans l’affirmative, il convient de mettre en place un système de minimisation appropriée et proportionnée des risques selon une approche «axée sur la sécurité» («security-minded approach» ; ch. 3.10 et 5). Ce système repose sur une stratégie générale de sécurité (ch. 6) et un plan de gestion de la sécurité, dont la mise en œuvre et le respect doivent être surveillés (ch. 7). À cela s’ajoute un plan de mesures en cas d’incidents ou d’autres événements particuliers, ainsi qu’en cas de préjudices (ch. 8). Enfin, la norme 19650-5 contient des recommandations sur la gestion des risques dans le cadre de relations entre plusieurs parties au projet (ch. 9).
La recommandation adressée aux entreprises concernées de prendre en compte et d’éliminer ou de minimiser les risques liés à l’utilisation de données numériques, qui sous-tend l’ensemble de la norme, doit être saluée du point de vue juridique. Il est d’ailleurs dans l’intérêt des entreprises de suivre cette recommandation, étant donné que négliger des risques qui peuvent être évités ou réduits est susceptible d’engendrer des problèmes de police des constructions, d’engager leur responsabilité civile ou, dans certains cas, d’entraîner des condamnations pénales. Toutefois, en analysant sous l’angle juridique le texte proprement dit de la norme ainsi que la réglementation des points centraux dont elle traite, l’on remarque malheureusement des lacunes importantes, qui peuvent même être source de confusion. Ce problème ne peut être résolu que par une interprétation très large du texte de la norme, opérée selon l’esprit de la norme (et non selon sa lettre), ainsi que par des recommandations concrètes quant à la manière d’appréhender le texte normatif.
Premièrement, il y a lieu de critiquer le caractère flou de la norme 19650-5 quant à la question de savoir si son but se limite à la «security» (sûreté), à savoir la protection contre les actes dommageables intentionnels – ce que semblent suggérer le titre de la norme, de nombreux sous-titres ainsi que la définition de la notion de «security-minded approach» –, voire à la défense contre le terrorisme – ce qui semble découler des ch. 3.2 et 4.3.2 –, ou s’il couvre également la «safety» (sécurité au sens étroit), soit la protection contre des actes dommageables involontaires. De prime abord, pourrait plaider pour cette dernière interprétation le fait qu’il est question de «safety» dans l’introduction de la norme ainsi que dans plusieurs dispositions de détail (notamment les ch. 4.3.3 et 4.3.4), en particulier dans la définition de la notion de «sensitive information» (ch. 3.11). Cela dit, dans l’ensemble de son texte, la norme ne traite la question de «safety» que de manière accessoire, voire néglige pratiquement cet aspect, tout en traitant de manière relativement approfondie la question de la lutte contre le terrorisme. Cet ordre de priorité n’est pas approprié au vu de la situation actuelle et des menaces auxquelles il y a lieu de s’attendre en Suisse. Quelle que soit la lettre de la norme, le fait que l’utilisation de données numériques accroît au moins autant les risques liés à la sécurité au sens étroit («safety») que ceux liés à la sûreté («security») plaide aussi en faveur d’une interprétation globale de la norme selon laquelle les deux aspects revêtent le même niveau d’importance. De plus, du point de vue de la personne lésée, il importe peu de savoir si le préjudice a été ou non causé intentionnellement. Enfin, il ne serait ni proportionné ni judicieux d’entreprendre les efforts considérables qu’implique le respect de la norme pour se contenter de ne réduire que les risques relevant du domaine de la sûreté («security»).
Deuxièmement, la norme 19650-5 se concentre presque exclusivement sur les projets (p. ex. conception et réalisation) ou objets (p. ex. exploitation) spécifiques et ne fournit aux entreprises aucune recommandation pour une gestion stratégique des risques allant au-delà de ces seuls projets ou objets. La norme ne déconseille certes pas une telle gestion globale des risques, mais en n’abordant la thématique qu’à l’échelle de chaque projet ou objet individuel, l’on accroît les risques de redondances et, pis encore, le risque de négliger des relations complexes qu’il s’avère difficile d’identifier si l’on se concentre uniquement sur des opérations spécifiques. En outre, la mise en œuvre d’une gestion des risques coordonnée et, si nécessaire, harmonisée entre les participants à un projet ou à une opération spécifique, telle qu’abordée au ch. 9 de la norme, sera grandement facilitée si les différents participants appliquent déjà individuellement, au niveau de leur propre entreprise, une gestion des risques conforme à l’esprit de la norme.
Troisièmement, le cercle des destinataires auquel s’adresse la norme 19650-5 n’est pas clairement défini. Certes, il semble ressortir d’une lecture du ch. 4.2 en relation avec le ch. 9 que le texte se concentre sur les sujets initiant un projet ou une opération, c’est-à-dire sur les investisseurs, les maîtres de l’ouvrage et les exploitants de bâtiments. Ces sujets doivent analyser les risques (ch. 4), prendre des mesures en tant que de besoin (ch. 5 à 8) et mettre celles-ci en œuvre dans leur projet ou opération en veillant à inclure les autres parties impliquées (ch. 9). Ainsi, toutes les autres parties se voient attribuer un rôle avant tout passif. S’il est vrai que les autres parties ne disposent généralement pas du pouvoir de négociation économique nécessaire pour faire valoir leur propre point de vue dans le projet, cette approche est malheureuse du point de vue de la gestion stratégique des risques mentionnée plus haut, dans la mesure où la gestion des risques liés au projet ou à l’objet porte surtout ses fruits lorsque tous les participants au projet appliquent déjà, à l’échelle de leur entreprise, une gestion des risques orientée sur les principes de la norme. Malgré la possible interprétation évoquée ci-dessus, le cercle des destinataires de la norme reste flou, car la notion centrale d’actif («asset») telle que définie au ch. 3.1 et qui se trouve au cœur du ch. 4.2 peut pratiquement renvoyer à n’importe quel type d’actif, c’est-à-dire non seulement aux terrains et aux ouvrages, mais aussi aux matériaux de construction, aux machines de chantier, aux plans, aux structures numériques de données, etc. Presque chaque participant au projet devient ainsi un «organisme» («organization») qui peut être visé par le ch. 4.2 de la norme, car celui-ci ne requiert que l’intention de développer ou de modifier un actif, d’exploiter un actif, ou de fournir une prestation de services reposant sur des actifs («asset-based service(s)»). On ne sait donc pas clairement si les ch. 4 à 8 de la norme concernent toutes les parties impliquées, ni dans quelles situations ils s’appliquent exactement.
Au vu de ce qui précède, il me semble utile de plaider en faveur d’une interprétation de la norme selon laquelle toutes les entreprises devraient, en tant que de besoin, adopter une stratégie de gestion des risques au niveau de l’entreprise. À cet égard, chaque entreprise participant à un projet ou à une opération serait individuellement responsable d’adresser les risques spécifiques au projet ou à l’objet, dans la mesure où aucun accord contractuel ne s’y oppose (en prévoyant d’autres règles spécifiques au projet ou à l’objet). Outre les raisons en faveur de la gestion stratégique déjà évoquées, il convient de souligner que les risques légaux liés à la responsabilité civile ou pénale encourue par tout participant au projet qui utilise des données d’ouvrage numériques ne sont pas exclus du fait que le participant concerné n’est pas contractuellement tenu de prendre des mesures de diligence spécifiques. En d’autres termes : si la partie qui a initié le projet ou l’opération renonce, dans les contrats conclus avec les autres parties impliquées, à leur imposer des mesures (ou si les mesures prévues dans ces contrats ne vont pas assez loin ou sont inefficaces), chaque participant au projet a intérêt à développer son propre niveau de diligence pour le cas où les mesures effectivement prévues par la partie qui a initié le projet ou l’opération ne sont pas suffisantes à la lumière de la loi ou d’un contrat conclu avec une tierce personne. En effet, le participant au projet ne peut se prévaloir, sous l’angle d’une responsabilité fondée sur la loi ou sur un contrat conclu avec un tiers, du niveau de diligence prévu dans le contrat conclu avec la partie qui a initié le projet ou l’opération. Afin de prévenir aussi bien tout dommage que les problèmes juridiques qui en découleraient, les participants au projet seraient bien avisés de ne pas se contenter de la seule gestion des risques qui leur est imposée contractuellement. La norme, qui part évidemment du principe qu’elle sera totalement implémentée dans un projet, ne devrait pas être comprise en ce sens que la loi autorise les parties au projet à rester passifs.
Compte tenu de ce qui précède, l’introduction de la norme 19650-5 en Suisse doit à mon avis être accompagnée d’une interprétation indépendante propre à notre pays, destinée à combler les lacunes évoquées tout en respectant l’esprit de la norme. Pour ce faire, il conviendrait d’apporter un complément concernant la gestion stratégique des risques au niveau de l’entreprise et, si nécessaire, de la gestion des risques liés au projet ou à l’objet, de clarifier le cercle des destinataires auxquels s’adressent les recommandations de la norme, ainsi que de décrire les risques encourus dans les domaines de la sûreté («security») et de la sécurité («safety») en faisant abstraction des détails de la norme qui sont insuffisamment réfléchis et semblent parfois arbitraires. S’agissant de ce dernier point, il suffirait de définir l’objet de la norme comme l’ensemble des risques qui peuvent résulter de l’utilisation de données numériques dans le cadre de la conception, de la réalisation et de l’exploitation d’ouvrages en rapport avec les dommages corporels et matériels.
Quel est le statut juridique de la norme 19650-5?
Du point de vue juridique, la classification d’un texte en tant que norme ou norme SN ne signifie pas automatiquement que le texte normatif revêtirait un caractère contraignant général pour tous les sujets visés. Les normes privées, notamment les normes SN, ne peuvent revêtir un caractère juridiquement contraignant que si cela découle d’une loi ou a été convenu par contrat. S’ajoute encore le cas où c’est l’acceptation de statuts qui donne naissance à des obligations de droit privé portant sur le respect de certaines normes. Dans ces trois cas de figure, le renvoi légal, contractuel ou statutaire à une norme ne doit pas nécessairement être explicite pour déployer ses effets. Au contraire, un renvoi valable peut aussi résulter de l’interprétation de certaines dispositions et notions (p. ex. de celle de « diligence »). Lorsqu’une norme a été déclarée contraignante par la loi, le destinataire de la norme est tenu de la respecter vis-à-vis de tous, y compris vis-à-vis de l’État. En revanche, si elle est devenue contraignante en vertu d’un contrat, une telle obligation n’existe qu’à l’égard du ou des partenaires contractuels concernés.
Il n’existe pour l’heure aucune loi qui renvoie explicitement à la norme 19650-5, et il semble peu probable que, dans un avenir proche, les tribunaux en viennent à considérer que l’interprétation de notions juridiques aussi générales que « sécurité » (d’un ouvrage) ou «règles de l’art de bâtir» rend nécessaire un comportement conforme à la norme 19650-5 dans un cas concret, et qu’un comportement non conforme entraîne dès lors une responsabilité civile ou une sanction pénale. Il n’est en effet pas possible, du moins pour l’instant, d’affirmer que la mise en œuvre des mesures prévues par la norme correspond à l’état de la technique ou aux règles de l’art. Une telle conclusion à moyen terme n’est toutefois pas exclue, du moins si de tels comportements devaient finir par se répandre et être progressivement considérés comme adéquats et justes par un large cercle. Il n’est donc pas impossible que, dans quelques années, dans le cadre d’une procédure judiciaire portant sur un sinistre, le non-respect (du moins s’il est total) des recommandations de la norme sera considéré comme un manque de diligence dans un cas concret et entraînera des conséquences juridiques, et qu’une telle décision fera ensuite jurisprudence. Si l’on parvient toutefois à établir, en Suisse, au moyen de recommandations appropriées, une pratique généralement reconnue s’inspirant de l’esprit bien interprété de la norme 19650-5 et l’appliquant au mieux, si besoin en allant au-delà de la lettre de la norme, il est peu vraisemblable qu’un tribunal estime que la norme prime une telle pratique lorsqu’il s’agit d’appréhender des notions juridiques «ouvertes» telles que «sécurité», «diligence» ou «règles de l’art».
En résumé, bien que la norme soit «en vigueur», la loi n’oblige pour l’heure personne à la respecter, ni n’imposera une telle obligation dans un avenir proche. Cela ne signifie pas pour autant qu’il ne faille pas recommander l’application de la norme. À moyen ou à long terme, il n’est pas exclu, et il est même probable, que la jurisprudence en vienne à considérer que l’obligation de diligence impose un comportement qui correspond à l’esprit de cette norme. Dans le même temps, il conviendrait de saisir l’opportunité et de combler les lacunes considérables du texte de la norme au moyen de concepts et de recommandations complémentaires, de mettre en place une pratique générale correspondante et de garantir ainsi une situation cohérente et conforme à la sécurité du droit. En effet, l’on peut supposer que les tribunaux se rangeraient à une telle pratique, ce à quoi la norme ne peut pas s’opposer. À cet égard, il convient de souligner que la sécurité des personnes et des choses dans un pays ne peut dépendre uniquement des normes internationales, mais est au contraire toujours régie en premier lieu par la législation en vigueur dans le pays en question. Ainsi, le respect d’une norme internationale n’est pas automatiquement imposé et, dans tous les cas, ne suffit pas à garantir le respect des lois. Le fait que la norme ne mentionne pas ce point est d’ailleurs une autre lacune regrettable.
Des obligations juridiques peuvent également découler d’un contrat. Il est néanmoins fortement déconseillé de déclarer que la norme 19650-5, ou même seulement certaines de ses dispositions, forment partie intégrante du contrat. Si les parties veulent convenir de règles à cet égard, il leur faut non pas opter pour le texte normatif, car celui-ci est trop peu concret et trop flou, mais définir des mesures et des comportements concrets mettant en œuvre les recommandations de la norme et permettant effectivement d’atteindre les objectifs visés. Dans tous les cas, le fait que la notion juridique générale de diligence est et sera (encore) interprétée par les tribunaux sans aucune référence à cette norme n’empêche pas qu’une partie puisse être contractuellement tenue d’adopter certaines mesures ou comportements qu’elle recommande, voire de respecter directement toute la norme. Bien qu’il soit déconseillé d’inclure la norme telle quelle dans un contrat, une telle convention ne serait pas illicite en soi; elle serait néanmoins juridiquement risquée du fait de sa signification très incertaine.
Enfin, il convient de relever que la norme 19650-5 prévoit au ch. 8.3 (cf. aussi ch. 8.1.1/c, «collecte de preuves à des fins répressives») une assistance sans réserve aux autorités de poursuite pénale susceptibles d’intervenir en cas de sinistre. Or, une telle obligation pourrait, selon le cas, entrer directement en conflit avec la sauvegarde des intérêts de la défense des entreprises et des sujets concernés, qui leurs sont garantis par la loi. Afin de préserver les droits procéduraux et les intérêts de la défense des personnes concernées, le chiffre susmentionné devrait plutôt être interprété comme une recommandation d’envisager une collaboration avec les autorités de poursuite pénale dans le cadre de la loi, après avoir dûment pesé tous les intérêts en jeu.
Conclusion
La norme 19650-5 s’avère utile en tant que base de réflexion et source d’inspiration, d’autant plus qu’elle appréhende des risques importants. Néanmoins, le traitement de ces risques nécessite une réflexion plus approfondie et la mise en place de mesures de plus large portée, un travail qu’il reste encore à accomplir. En vue de son application en Suisse, il conviendrait notamment de prévoir une concrétisation interprétative de la norme en ce qui concerne les risques visés, ses destinataires, ainsi que les niveaux à prendre en considération.