La lecture en ligne est gratuite
Télécharger
672_696_Trigeaudoa .2 tû 800:11  116
ANNUAIRE FRANÇAIS DE DROIT INTERNATIONAL LIII – 2007 – CNRS Éditions, Paris
Qu’il n’y ait à bord d’un aéronef aucun pa ssager, ni bagage, non contrôlé et doté d’un objet tranchant ou dangereux, permet (entre autres) de présumer qu’un vol est « sûr » – le concept de « sûreté aérienne » désignant la « combinaison des mesures ainsi que des moyens humains et matériels vi sant à protéger l’aviation civile inter-nationale contre des acte s d’intervention illicite »1, par opposition à celui de « sécurité aérienne », qui vise la prévention des événements accidentels. Rien de simple pour-tant, d’un point de vue pratique comme juridi que. Les normes de sûreté du transport aérien sont anciennes et nombreuses et leur stricte application, qui perturbe tant le transport aérien, est essentiellement une réaction aux attentats du 11 septembre 2001. Ceux-ci n’ont pas seulement suscité de s controverses relatives aux réactions que peuvent avoir les États en vertu du droit international public général2. Ils ont aussi engendré, prévention oblige, une « rénovat ion de la politique de sûreté » aérienne3, dans le but d’améliorer les normes aptes à éviter la reproduction d’actes criminels. Ces règles, élaborées sous l’ égide de l’Organisation de l’aviation civile interna-tionale (OACI) dans le cadre de l’an nexe 17 à la convention de Chicago4 la sur protection de l’aviation civile internationale contre les actes d’intervention illicite5,
1
(*) Eduardo Rafael LÓPEZ RUIZ, doctorant à l’Institut Supérieur de l’Aéronautique et de l’Espace (SUPAERO). Sa recherche s’inscrit dans un progra mme soutenu par l’ONERA – le centre français de recherche aérospatiale. (**) Béatrice TRIGEAUD, doctorante-allocataire de recherches à l’Université Paris 2 Panthéon-Assas, Institut des hautes études internationales (IHEI). 1. Annexe 17 à la convention de Chicagorelative à l’aviation civile internationale, Voy. N. LOUKADOS, « Les accidents de sûreté et le rôle de la prévention dans le transport aérien »,La sécurité et la sûreté des transports aériens, X. LACOUR(Dir.), L’Harmattan, Paris, 2005,p. 61. 2.Cf.J. VERHOEVEN, « Les “étirements” de la légitime défense », cetAnnuaire,2002, pp. 49-80. 3. L. GRARD Le droit de l’aviation civile après le 11, « septembre »,inÉtudes à la mémoire de Ch. Lapoyade-Deschamps IV, Presses universitaires de eaux, CERDAC, Université Montesquieu-Bord Bordeaux, Pessac, 2003, pp. 601 et s. 4. Signée à Chicago le 7 décembre 1944 et entrée en vigueur le 4 avril 1947, cette convention rela-tive à l’aviation civile internationale ne pose pas uniquement des règles de navigation aérienne internationale : elle constitue l’acte fondateur de l’OACI qui, au 12 févrie r 2007, comptait 190 États membres.Cf.[http://www.icao.int/icao/en/leb/chicago.pdf]. 5. Cette annexele 22 mars 1974, conformément aux articles 37a été adoptée par le Conseil de l’OACI et 90 de la convention de Chicago relative à l’aviation civile internationale, port ant création de l’Organi-sation. Il s’agissait à cette époque de faire face à un phénomène de « capture illicite d’aéronefs », qui avait fortement augmenté au cours des années soixante. Elle a été amen dée depuis, en particulier, le 7 décembre 2001, où le Conseil a adopté l’amende ment n° 10 pour étendre l’application de certaines dispositions aux vols intérieurs. Elle a ét é complétée en1971 par leManuel de sûreté pour la protection de l’aviation civile contre les actes d’intervention illicite(Doc. 8973). La mise en œuvre par les États des spécifications conte-nues dans ces textes fait aussi l’objet d’une manière de suivi, à travers unProgramme universel d’audits de sûreté de l’OACI(USAPqui a été instauré dès 2002.), Cf.le document OACI, « Convention de Chicago, annexe I à XVIII », disponiblein et [http://www.icao.int/icaonet/anx/french/info/annexes_booklet_fr.pdf] « Une stratégie mondiale de sûreté de l’aviation pour rétablir la confiance du public et la santé du transport aérien », Montréal, le 10 septembre 2002,RFDAér.2002, Chronique, p. 342-343.
LA MODÉLISATION INFORMATIQUE DES RÈGLES DE DROIT RE LATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN INTERNATIONAL EDUARDOR. LÓPEZ RUIZETBÉATRICETRIGEAUD
A_DFID70f. mP gae 672  Mardi, 26
A_DFaedurTgi96_6672_oa .62 ,idraM  367e ag Pm .f07DI1
6. Ce caractère n’étant généralement pas reconnu aux standards contenus dans les annexes à la convention de Chicago,cf.par exemple, P. CHAUVEAU,Droit aérien, Paris, Librairie Technique, Jurisclas-seur, 1951, p. 350 ; L. CARTOU,Droit aérien, Thémis, PUF, Paris, 1963, p. 100, certains craignant que, sans cela, l’on « admette que l’OACI puisse abroger tacitement » une loi ou un règlement interne. Dans ce sens,cf. A.GIANNINIgiuridica degli allegati alla convenzione di Chicago 1944 »,, « Sulla natura Rivista Aeronauticap. 663, dont nous reprennons les propos ici., 1952 (8), 7. Les premières lignes de l’articl e 37 de la convention de Chicago portant création de l’OACI dispo-sant que : « Chaque État contractant s’engage à prêter son concours pour atteindre le plus haut degré réalisable d’uniformité dans les règlements, les normes, les procédures et l’organi sation relatifs aux aéro-nefs, aux personnels, aux vo ies aériennes et aux services auxiliaires, dans toutes les matières pour les-quelles une telle uniformité facilite et améliore la navigation », et que ce n’est qu’« à cette fin » que « l’Organisation de l’aviation civile internationale adopte et amende , selon les nécessités, les normes, pratiques recommandées et procédures internatio nales traitant des sujets » énumérés en suivant. 8.Cf. l’article 38 son mécanisme constituant « une de la convention de Chicago, et manière de réserve, qui n’a guère de sens en de hors d’une logique conventionnelle »,cf.J. VERHOVEN,inR.-J. DUPUY, Manuel sur les organisationsinternationales, 2eéd., 1998, Dordrecht/Boston/London, Nijhoff, p. 427. 9. Auxquelles l’OACI n’a pas vocation à toucher, qu oique l’on puisse se demander si elle pourrait encourager des procédés « démocrati ques » dans l’élaboration de certaines règles applicables en matière de transport aérien, à la manière, par exemple, de l’Or ganisation internationale du travail (OIT) notamment. 10.JOCE, L 355/1, 31.12.2002, modifié par le règlement (CE) n° 849/2004 du Parlement européen et du Conseil, entré en vigueur le 20.5.2004,JOCEL 229, 29.6.2004. Toutefois, s’il « rend obligatoire au sein de l’Union européenne les mesures de sûreté dé finies par la Conférence européenne de l’aviation civile (CEAC) » (cf. qui elles-mêmes adaptaient à[http://europa.eu/scadplus/leg/fr/lvb/l2425 3.htm]), échelle locale les dispositions de l’annexe 17 à la convention de Chicago, les États membres ont (aussi) l’obligation d’adopter des programmes nationaux de sû reté de l’aviation civile, destinés à « garantir l’application des normes communes ». 11. F. SALMONI,Le norme tecnichedipartimento di teoria dello Stato dell’Università degli, Pub. Del studi di Roma « La Sapienza », Dott. A. Giuffrè Ed., Milan, 2001, p. 165.
(ci-après l’annexe 17 à la convention de Ch icago) ne sont toutefois mises en œuvre qu’à travers les actes des légistes nationaux, chargés de les accueillir dans leurs ordres juridiques propres6. Si ceux-ci ont l’obligation de respecter l’esprit du texte initial7 s, ils peuvent cependant introduire de éléments beaucoup plus contrai-gnants, ou, à l’inverse, suiv re des pratiques dérogatoires8donnant l’illusion d’une disparité importante, d une régi on à l’autre, d’un État à l’autre. On constate alors que dans le domaine du tran sport aérien international, où l’unité devrait être la règle, les différences, voire di vergences, perdurent. S’il en va aussi du respect essen-tiel de particularités juridiques locales9, la question qui demeur e reste toujours celle de l’efficacité des moyens destinés à poursu ivre l’objectif visé par cette construction juridique complexe : la sécu rité et la sûreté d’un transport aérien compétitif. Aussi, dans les ordres juridiques nationaux, le s règles internationales produites au sein de l’OACI subissent parfois la concurrence de celles qui sont élaborées par des organisations régionales . Ne pouvant être membres de l’OACI, ces organisations régionales n’ont pas l’obligation de tenir compte de son droit « dérivé », cependant que leurs propres rè gles sont parfois directement applica-bles dans les ordres juridi ques internes des États membres, à l’exemple du règle-ment (CE) décembre du Conseil du 16 et2320/2002 du Parlement européen 2002, relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile10(ci-après règlement (CE)2320/2002 du Parlement européen et du Conseil). Et le problème ne provient pas unique ment de cet enchevêtrement normatif. Il est aussi lié au caractère essentiellement technique des règles de sûreté, intrin-sèquement liées à la science et qui, non contentes d’être parfois difficiles à appli-quer, évoluent en permanence et plonge nt parfois ceux qui les manipulent plus dans le fait que dans le droit11. Elles correspondent pourtant, force est de le constater, à l’une des fonc tions du droit, qui est d’ assurer l’« ordre public », puisqu’elles soutiennent la sûreté et la sécurité des personnes utilisant les trans-
MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN673
tû2 00 81 :1611 
.6a ûo t0280  11:16 11
ports aériens, comme celles des États po uvant éventuellement subir l’utilisation d’un aéronef civil comme arme. Sans outrep asser sa fonction, le droit en est donc plutôt venu à régir des doma ines démesurément complexes12, au risque de s’y perdre. Il souffre du détail et de la su rabondance de normes, l’envie perfection-niste effleurant parfois l’inefficacité totale d’un système enchaîné par ses propres excès13Le remède ne saurait, dans ces conditions, que lui être extérieur.. Pourquoi ne se trouverait-il pas dans l’ outil informatique, et plus particuliè-rement, dans la « modélisation informatique des normes » ? « Simulation, par les voies de l’intelligence artificielle, de l’ acquisition des connaissances juridiques et de l’application de celles-ci »14, la « modélisation informatique des normes » cons-titue, en effet, un moyen technique qui s’annonce capable de fournirdes modèles (i.e.des représentations abstraites mais expl relatifs aux aspects essen- oitables) tiels des normes. Cela afin de pouvoir si muler leur mise en œuvre, et vérifier qu’elles possèdent bien les qualités qui, dans leur définition, leur esprit et leur mise en œuvre quotidienne, conditionnen t leur efficacité. L’informatique étant désormais omniprésente dans tous les domaines où l’automatisation prime, avec pour corollaire la garantie d’une sûreté de fonctionnement quasi absolue, pour-quoi ne pas se tourner vers cette techniqu e pour prendre le relais de celles, plus habituelles, qui, dans ce contexte, ne pouvaient que faillir ? C’est ce que propose une équipe de chercheurs de l’Office nati onal d’études et de recherches aérospa-tiales (ONERA). Leur projet s’insère dans un cadre plus large puisqu’il constitue une branche de « l’Élaboration d’une DÉmarche et d’ou tils pour la MOdélisation Informatique, la validation et la restru cturation de normes de « sûreté » (sécu-rité), et la détection des biais –i.e.des lacunes de sûreté tout autantla détection que des vides normatifs – dans les aéroports » (EDEMOI)15. Au-delà des normes aéroportuaires de sûreté, il pourrait aussi bien viser la sécurité du transport. Ce n’est cependant pas cette propriété particulière qui sera mise en valeur ici, même si les moyens techniques présentés sont strictement les mêmes. Que l’informatique vienne au secour s du juriste, ne surprend plus. Lajurimé-trie des praticiens et se décline en nnu un phénomène désormais bien co est plusieurs hypothèses, allant du simple établissement de banques de données, aux logiciels « experts » facilitant la recherch e des règles de droit applicables à des situations similaires, ou encore à la prise de décision judiciaire16. Il n’en demeure pas moins que la modélisation informatique des normes aéronautiques, qui permet d’analyser les propriétés de règl es que l’on cherche à parfaire, constitue un phénomène particulièrement intéressant, tant dans sa nature (I) que dans les intérêts que cette technique pr ésente pour le droit (II).
674MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN
12. J.F. DOBELLE Le, « rôle droit dérivé de l’OACI. et le cont », du respect de son application cet Annuaire, 2003, p. 453, et, pour l’analyse du contenu des annexes à la convention de Chicago, pp. 458 et s. 13. Certains avouant même que le « risque zéro » n’est « qu’une chimère », et regrettant, au risque « d’attrist(er) » ceux « qui croient que la construction d’un arsenal juridique toujours plus conséquent les protégera toujours plus », un « surcroît de règles… inversement proportionnel au champ des garanties qu’elles engendrent ; des mesures très lourdes voire très lourdement ressenties… pour des risques à sur-venance résiduelle ». L. GRARD, « Sécurité et sûreté du transport aérien »,inX. LATOUR(dir.)La sécurité et la sûreté des transports aériens, L’Harmattan, Droit de la sécuri té et de la défense, pp. 207. 14. Voy. V. FORTIER/J.-L. BILONavec la col. de S. A, ZZAM,Acquisition et application des connaissan-ces juridiques : modélisation par l’I.A.1997, p. 11. Les auteurs précisent que « simuler », Hermès, Paris, signifie « imiter » un « modèle sans prétendre le repr oduire à l’identique, ce modèle lui-même étant une représentation d’un phénomène afin de le décrire et d’en préd ire les évolutions ». 15. [http ://www-lsr.imag.fr/EDEMOI/]. 16. Pour quelques éclaircissements sur les relation s entre droit et informatique, voy. de façon générale H. MANZANARÈS/Ph. NECTOUX,L’informatique au service du juriste, Litec, Paris, 1987, 239 p.
,i2 aMdr47  eg6   Pa7.fmDDI0d_AFuaegirT_696_276
.62 ûoa 02 t  80gePa75 6Ma  i,rdua_dFADD0I.7mf  672_696_Trige6 1111:1
17. Le terme processus est emprunté au domaine de la gestion de l’information. Il est défini dans Wikitionnaire(dictionnaire utilisé dans le milieu inform atique) comme « Suite d’actions conduisant à un but défini. Suite d’états ou de ph ases de l’organisation d’une op ération ou d’une transformation ». 18. Le terme système est à prendre ici dans son acceptat ion la plus large. Il peut s’agir d’un système mécanique, mais égalemen t d’un système électoral,i.e.de l’ensemble des règles qui le régissent. 19. Un système est dit critique si tout incident dans son mode opératoire peut avoir un impact négatif sur son environnement, quel qu’il soit.
MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN675
I. – ÉLÉMENTS DE COMPRÉHENS ION DE LA MODÉLISATION INFORMATIQUE DES NORMES DE SÛRETÉ AÉRIENNE
La modélisation est bien pl us qu’un simple processus17de développement de modèles abstraits ou conceptuels d’un système18 d’entités). En effet, si les (ou modèles sont suffisamment encadrés par un outillage adéquat, ils peuvent être analysés et exploités, pour inférer les pr opriétés et les comportements du système qui a été modélisé. Cette idée est, très pr écisément, à l’origine de la modélisation informatique. En raison d’un phénomène actuel et croissant, de dépendance de l’automati-sation et de l’intégration de systèmes, la science informatique s’est vue contrainte de développer des outils et des techniques de modélisation qui permettent de véri-fier la conception des sy stèmes dits « critiques »19. La raison en est claire : il est impératif de garantir la corr ection de leur conceptionviaune analyse rigoureuse et exhaustive. Pour cette tâche essentielle, les méthodologies formelles de modéli-sation informatique –i.e. combinaisons de méthod des de notations scientifi- es, ques, accompagnées d’un support ou d’ un outillage informatique – se révèlent particulièrement opportunes. L’élément important dans ce cadre est que la méthodologie soit formelle, c’est-à-dire que toute expression dans la notation choisie n’offre qu’une interprétation et une seule, permettant ainsi d’obtenir la même sémantique pour toute expression faisant partie du modèle. Fondée sur des notations et des princi pes mathématiques, toute modélisation formelle utilise des logiques mathématiques pour établir des règles de calcul qui permettent de déduire des conclusions va lables, à partir des services et des contraintes que le système est supposé rendre. Les modèles formels peuvent donc être utilisés pour an alyser les propriétés du systèm e et prédire sa mise en œuvre. Dans le monde industriel de la gestion, parmi les propriétés qu’il conviendra de prendre en considération, celles de cohé rence et de robustesse, respectivement définies par l’absence de contradiction d’un e part et d’autre part par la certitude que tous les événements réels possibles on t été prévus, sont les plus importantes. La cohérence est éminemment statique : elle correspond aux propriétés de l’archi-tecture ou de la structure du syst ème. La robustesse est éminemment dynamique : elle permet de prédire le comportement de tout ou partie d’un système. Les définitions qui précèd ent amènent à constater que tout système peut être décrit par une combinaison d’ aspects statiques ou structurels et d’aspects dynami-ques ou comportementaux. Les réglementations de sûre té, tout particulièrement pour les aéroports, supportent bien ces aspects structurels et comportementaux. En 2003, un groupe de chercheurs français a pr oposé l’adoption de cette approche – l’utilisation de méthodes form elles – pour améliorer le processus de développement des normes de l’aviation civile. Le projet EDEMOI a visé, comme première application, la sûreté dans les aéroports, car ce dernier est le point de départ de tout vol. Il est clair que garant ir la sûreté du point de départ d’un vol est un des moyens de garantir la sûre té du vol lui-même. C’est parce que les
76_6rT_296ud_Aigea07.fFDDI6 67ar M Pm e agtûoa002  ,id .62 11
réglementations et moyens mis en œuvr e pour les vols intérieurs américains étaient très insuffisants que la tragédie du 11 septembre 200120a pu avoir lieu. Les normes de sûreté de l’aéroport étant des documents rédigés en langue « naturelle », ni leur cohérence ni leur robustesse ne sont garanties, d’autant qu’elles peuvent être interprétées de différentes manières. Pour remédier au premier de ces deux écueils, il conviendra d’abord de chercher comment corriger une norme qui contient peut-être des exigen ces contradictoires. Le second pose le problème du peu de crédit que l’on peut accorder à une norme qui n’a pas envi-sagé tous les cas possibles. Ces deux ex emples correspondent bien aux propriétés que les méthodes formelles permettent d’ exprimer. Il est toutefois possible d’en considérer d’autres, co mme, par exemple, lasatisfiabilité, qui correspond à la question de savoir quelle confiance on peut avoir dans une norme dont les exigences défient la réalité objective. Dans la première vers ion du règlement (CE)2320/2002 du Parlement européen et du Conseil, l’ article 4, paragraphe 3 établissait les critères servant à désigner un « petit aéroport »21 faible. L’un de ces critères imposait une « utilisation » de celui-ci, « avec une moye nne annuelle de 2 vols commerciaux par jour ». Considérée littéralement, cette phra se exclut tous les aéroports ayant une utilisation encore plus faible, c’est-à-dire ceux dont la moyenne annuelle d’utilisa-tion est inférieure à deux vols commercia ux par jour. En effet, l’interprétation littérale de l’expression « a éroport à faible utilisation » consiste à n’y inclure que ceux dont l’utilisation es t strictement égale à deux vols commerciaux par jour. Selon le Parlement et le Conseil europ éen, « il va de soi qu’il faut comprendre “avec une moyenne annuellene dépassant pas2 vols commerciaux par jour” »22. Respectant les éclaircissemen ts du Parlement et du Conseil européens, l’article du texte original a été révisé et remplacé par ce dernier. Reste encore à savoir si l’on dispose d’ un outillage suffisant pour permettre la traduction de normes, internationales et européennes, en modèles susceptibles d’étude et d’analyse. Sachant que la traduction d’un texte en langue naturelle implique inévitablement l’interprétation des normes qu’il énonce, et donc, pour reprendre l’expression du doyen J. Carb onnier, une « forme intellectuelle de la désobéissance »23, le risque de troubler la « r » d’une norme par ces aison d’être démarches est important. On ne peut cependant se permettre d’ avoir des normes dont l’interprétation varie en fonction de chaque lecteur. Surt out lorsque leur domaine d’application est d’une importance critique. La plupart des standards ou normes imposés dans le domaine aéronautique sont indispensables pour prévenir les incidents potentiels ou les actes malveillants qui peuvent affecter le système de transport aérien dans sa totalité. En aucun cas, ils ne doivent do nner lieu à des interprétations différentes. Si le projet EDEMOI ne prétend aucu nement pouvoir être appliqué à des systèmes de lois, tel celui du code civil, les normes de type aéronautique ont la particularité de vouloir être très rigour euses, en laissant le moins de place possible à l’interprétation et en se fo calisant plus sur la prévention que sur la répression.
676MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN
20. « The 9/11 Commission Report » [http://go vinfo.library.unt.edu/911/report/index.htm]. 21. L’intérêt de classifier les aéroports ainsi est de rationaliser l’applicat ion de mesures de sûreté dans les petits aéroports. 22. « Proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n° 2320/ 2002 du Parlement européen et du Co nseil relatif à l’instauration de rè gles communes dans le domaine de la sûreté de l’aviation civile »/* COM/2003/0566 final – COD 2003/0222 */ [http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri= CELEX : 52003PC0566 : FR : HTML] ; consulté le 2 mai 2008. 23. J. CARBONNIER,Droit civil, Introduction, Paris, PUF, 1955, n° 158.
8  11:16
6_69627I0DDAFd_augeri_T  776 egaP  mf.76. août Mardi, 21: 611
Les réglementations nouvelles étant ra res, demeure un problème récurrent : celui de l’évolution des normes. Dans le but d’améliorer constamment le niveau de sûreté et de sécurité, les normes doivent être régulièrement modifiées. Les autorités normatives sont donc conf rontées au besoin de les réévaluer pour vérifier la cohérence de l’ensemble du syst ème, et pour éviter qu’à cette occasion, ne soient introduits des biais. Effectivem ent, ces évolutions font déjà partie du processus de développement des normes. Mais force est de constater que leur cycle de vie est essentiellement géré selon un processus précis24, sous la respon-sabilité des autorités normatives. Toutef ois ces dernières rencontrent certaines difficultés25, qui concernent, par exemple, l’évalua tion de l’impact de la modifica-tion d’un texte réglementair e international, ou de l’impact produit par l’intégra-tion de nouvelles technologies ou de no uveaux concepts sur des normes relevant de leur compétence. Ces difficultés pour ront encore surgir lorsqu’il s’agira de statuer sur les propriétés des normes – propriétés ayant pu être acquises, maintenues ou perdues lors d’évolutions26. C’est ainsi que lors de la parution des amendements, des incohérences peuvent apparaître, qui n’ont pas été directement identifiées par les promoteurs du remaniement. Peut-on envisager une amélioration du processus actuel de développement des normes ? Avec quel outillage ? Tout ceci montre qu’il existe un réel besoin d’améliorer le processus de déve-loppement des normes aéronautiques. L’initiative EDEMOI a été lancée en partie pour cela, au moyen de méthodologies formelles ; l’objectif avoué est non seulement de construire des modèles des normes aéronautiques ayant une sémantique unique,i.e. une et une seule interprétation, mettant ainsi en évidence les imprécisions ou les lacunes de sûreté ou les vides normatifs éven-tuels, mais encore de fair e partager la sémantique de ces modèles par toutes les parties prenantes des normes aéronautique s, et, enfin, de disposer de modèles suffisamment précis pour y mener des an alyses de propriétés telles que la cohérence et la robustesse. Mais, comme pour tout autre modèle, la spécification formelle d’un système (ou dans ce cas, d’une norme) ne peut être considérée comme un modèle valable27 que si elle est validée et vérifiée comme étantcorrecte. Quelle autorité possède la qualification pour ce fair e ? Dans le cas des normes aéronautiques, il ne peut s’agir que de l’autorité norm ative elle-même, c’est-à-dire de l’autorité de l’aviation civile – la direction générale de l’avia tion civile (DGAC) en France, laFederal aviation administration (FAA) aux États-Unis d’Amérique –, compte tenu de sa maîtrise des aspects techniques et juri diques de normes qu’elle est chargée de faire appliquer.
0280  11
MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN677
24. Voy. pour plus de détails : Ag ence européenne de la sécurité aérienne (AESA) « The Procedure to be Applied by the Agency for the Issuing of Opin ions, Certification Specifications and Guidance Mate-rial (“Rulemaking Procedure”) » [http://www.eas a.eu.int/ws prod/g/doc/A bout_EASA/Manag_Board/ _ 2007/MB % 20Decision % 2008-2007%20 amending % 20rulemaking % 20procedure9ba9.pdf] ; consulté le 3 mai 2008. 25. « Airline Associations Joint Position Paper on Revision of Regulation 2320/2002 » [http:// www.eraa.org/intranet/documents/22/ 527/051007extAssnsPositionon2320revi sion.pdf] ; consulté le 3 mai 2008. 26. En effet, l’adoption des « EU’ s Single European Sky regulations » a donné lieu à un problème de duplication des normes de navigation aérienne de certains États membres de l’UE « Safety Regulation Commission Report on the Resolution of Double ATM Safety Regulation in Single European Sky States » Double Regulation Ad-Hoc Group (DRAHG). EUROCONTOL. [http://www.eurocontrol.int/src/gallery/ content/public/documents/DRAHG/DRAHG % 20Report.pdf] ; consulté le 4 avril 2008. 27. Comme énoncé par John RUSHBYdans « Formal Methods : Instruments of Justification or Tools for Discovery ? » « are just documentation ficationsWithout verification, formal speci». p. 43.
À cause de cette contrainte nécessaire de validation/vérification, et de la complexité inhérente à toute notation formelle, une implantation directe des techniques formelles de modélisation n’ est pas viable. En d’autres termes, la simple modélisation des normes aéronaut iques en une spécification formelle, bien que possible, n’est pas optimale. Une mé thodologie plus adaptée est envisagée. Elle permet de réconcilier une notation plus précise (mais spécialisée) avec le processus de validation/vérification deva nt être entrepris par des experts non-informaticiens. Une méthodologie généraliste a été dé veloppée, promouvant l’utilisation de deux types de modèles : d’une part, des modèles graphiques (dit semi formels), qui constituent un premier élément de formalisation qui se veut lisible à la fois par les informaticiens et par les auto rités normatives et, d’autre part, des modèles formels qui expriment de façon préc ise les propriétés de la norme, et qui se prêtent à des traitements automatiques de vérification de leur cohérence et de leur robustesse. A.La démarche pour passer de la langue naturelle à une spécification formelle Jusqu’à présent, nous n’avons posé aucune hypothèse sur le type des stan-dards qui sont imposés par les normes, car même si c’est un critère déterminant pour choisir et pour définir la « logique de base »28 qui va être utilisé pour la modélisation formelle, le processu s de transformation d’une norme (cf. figure 1) en sa représentation en la ngage formel est unique. Il suivra les quatre étapes décrites ci-après, indépendamment du la ngage formel utilisé et du formalisme logique choisi.
678MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN
Figure 1. implique deux parties prenantes : l’ingénieur nLa démarche de modélisatio de modèles, qui traduit les normes dans des modèles semi formels et formels, et l’auto-rité normative qui agit à titre de validateu r/vérificateur des modèles semi formels, la validation/vérification des modèles formels étant sous la responsabilité de l’outillage informatique.
28. La « logique de base » est choisie selon les cara ctéristiques, exigences et conditions spécifiques de chaque projet, tels que les propriétés structurelle s du document, les besoins du client par rapport au modèle, le type de standards imposés… Les types de logique les pl us utilisés dans les méthodes formelles sont la logique des prédicats du premier ordre et la logique modale (à la manière de la « logique temporelle », ou de la « logique déontique »).
61:111 002 1  8. 26ûtaoar M, di76 8ga e mP 70f.FDDIud_Aigea6_Tr96_276
MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN679
La démarche par laquelle on passe de la langue naturelle à une spécification formelle est composée de quatre étapes . La première consiste à identifier, en partant du texte original de la norme, se s entités (contenu, conditions d’utilisa-tion,…) et ses propriétés de base (figu re 1, étape 1), ainsi que ses ambiguïtés inhérentes. Deuxièmement, ces entités et propriétés de base sont reformulées, à l’aide d’une notation rigoureuse plus précise dans le but de réduire, puis d’éliminer les ambiguïtés, et d’enrich ir le texte de connaissances liées au contexte. Cette étape peut être effect uée en utilisant seulement le langage naturel, mais il reste pr éférable d’avoir recours à des notations semi-formelles, comme les notations graphi ques (figure 1, étape 2). La troisième étape soumet cette nouvelle version du document, adapt ée et plus précise, à une validation ou une vérification assurée par des experts (fi gure 1, étape 3). L’idée est de s’assurer qu’elle soit fidèle et conf orme au texte original. On remarque généralement quel-ques retours entre la deuxième et la tr oisième étape, jusqu’ à ce que les experts valident la reformulation ainsi obtenue. S’ ensuit enfin la quatrième étape où l’on modélise ce document ou ses spécificatio ns précises, en utilisant un langage formel et en s’appuyant su r un formalisme mathématique approprié au type de la norme modélisée (figure 1, étape 4). Cette démarche permet de garantir la validation et la vérification des modèles par des experts non-informaticiens, spécialistes de la norme. Elle réduit de façon significative l’ambiguïté des normes (grâce à une spécification plus précise obtenue à l’aide d’une notation plus rigoureuse) tout en gardant la possi-bilité de vérifier certaine s propriétés souhaitables (e.g. complétude, cohérence, propriétés spécifiques au domaine d’application…) avec des techniques et des outils spécialisés d’analyse.
B. aux normes de sûreté rmatiqueL’apport de la modélisation info En employant la démarche décrite préc édemment et encouragés par l’OACI, les partenaires du projet EDEMOI ont obtenu des résu ltats prometteurs dans la modélisation des normes relatives à la sû reté du système de transport aérien, comme l’annexe 17 à la convention de Chicago et le règlement (CE) no2320/2002 du Parlement européen et du Conseil. Ces deux normes prescrivent des standards afin de prévenir les actes d’inter-férence illicite qui peuvent apparaître dans ou autour de l’aéroport. Ainsi, pour ces normes, l’ambiguïté, l’incohérence et le manque de robustesse se traduisent directement par une augmentation de la probabilité qu’un tel événement ou acte illicite se produise. Dans ce contexte, l’ objectif du projet EDEMOI a été d’amé-liorer le processus de développement des normes, et de faire une première analyse de celles-ci, confor mément à leur méthodologie29. L’intérêt de modéliser les normes de sû reté et de sécurité en utilisant la méthodologie EDEMOI est d’apporter de s outils informatiques à l’analyse (par l’animation du modèle) de leurs propriét és intégrées. C’est ainsi que lors de la parution de l’amendement no11 de l’annexe à la convention de Chicago des 17 incohérences sont apparues, mais n’ont pas été directement identifiées par les promoteurs du nouvel am endement. Le projet EDEMOI, qui a modélisé semi
29. La différence entre la méthodol ogie EDEMOI et la démarche (supraA) pour passer de la langue naturelle à une spécification formelle se situe au ni veau de l’implantation. Effectivement, la méthodolo-gie peut être perçue comme un raffineme nt de la démarche, qui va être implantée, et donc elle inclut des outils, des techniques et des notation s spécifiquement choisies pour cela.
2 00 81 :1611 1DFIDduA_giae_6rT2_6967tûoa .62 ,idraM 9 67e ag Pm .f07
rdi,  Ma aoû 26.mf  0I.76 08aPeggeri_T96DDAFd_au6_276
 Passenger – Carriage of Prohibited Articles : boolean  di g1P..ass– Exempted : boolean Boar n* Name:stringAScurteheonriezdedb:oobloeoalenan – Flight Number : string0..1: – Valid Document : bcolean – Denied : boolean + do Check-in() + exit Check-in() + lose Boarding Pass() + enter Security Restricted Area() end All() +  Secure Passenger – Boarded : boolean + exit Security Restricted Area() + board Aircraft() +disembark Aircraft() Figure 2. de classes diagramme est un « iliséLe type de diagramme ut Il sert à ». décrire statiquement les enti tés concernées, ainsi que les relations qui existent entre elles. Les boîtes, qui re présentent les entités31, sont divisées en trois compartiments, respectivement de haut en bas : leur identi fiant, leurs attributs (caractéristiques) et leurs opérations (ou comporte ments possibles). Les s mboles graphiques qui lient les entités concernées traduisent leurs relation s : (a) ( précise la notion de spécialisa-tion, (b) ( précise la notion de composition.
formellement et formellement le s évolutions de l’amendement10, a ainsi permis de les mettre en évidence. 1.L’apport des modèles graphiques de (figures 2 et 3) modélisation Les modèles graphiques sont des diagrammes spécialisés utilisant la notation graphique UML30, qui permet de représenter l’aspectstatique (les caractéristi-ques structurelles) etdynamique (les caractéristiques comportementales) des éléments traités par les normes. Le s figures 2 et 3 correspondent à des diagrammes relatifs au règlement (CE)2320/2002 du Parlement européen et du Conseil pour le poste d’ inspection et de filtrage (PIF), par lequel tous les passagers et personnels doivent passer avant de rentre r dans une zone à accès restreint. Alors que la figure 2 décrit ce qu’estun passager sûr d’un point de vue statique, la figure 3 montre comment un passagerdevientsûr d’un point de vue dynamique. a)Modèle graphique des as pects statiques (figure 2)31  Traveling Person – Name : string  Government Issued ID1..*GvoDI)()(+olesirArtpoe+ernt1Name :string Airline Ticket – Name : string + lose Airline T – Valid Document : boolean0..1)t(keicTneliriAteg+)(tekci1..*eaolbo:tenumocDdilaVgnirtsilFthgbmuN:re + end All() n
680MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN
30. Dans le projet EDEMOI, le modèle graphique (d it semi formel) a été réalisé en utilisant leUni-fied ModelingLanguage(UML). Ce « langage graphique » s’est profilé comme étant l’outil le plus appro-prié, car il permet la création de modèles abstraits, mais graphiquemen t intuitifs qui, en plus, peuvent être systématiquement traduit vers des notations plus rigoureuses. 31. Dans le cas des normes de sûreté du systèm e de transport aérienne, les entités sont, entre autres : les passagers, le personne l de l’aéroport et des compagnies aériennes, certaines zones de l’aéroport ainsi que les aéronefs,etc.
:111116 20t   08
1:1111 6
Figure 3 Ce type de diagramme est un « dia gramme états-transitions », utilisé pour décrire le comportement spéc ifique d’une entité – ici le« Secure Passenger». Son comportement est celui d’un« Passenger», qui est lui-même celui d’une« Traveling Person». Les certangles (boîtes à bords arrondis) représentent des états du« Secure Passenger»,i.e.attributs de l’entité considérée. Les flèches valeurs de tous les  les représentent les transitions entre états, c’es t-à-dire les opérations ou événements qui permettent à une entité de changer d’état.1 La figure 3 doit être interprété e de façon univoque, comme suit : Toute entité« Passenger»dans l’état« out of Security Restricted Area» devient un« Secure Passenger» lors de la transition« enter Security Restricted Area».Son état est alors« in Security Restricted Area».Dans cet état, on ga rantit que l’attribut « Screened»prend la valeur« True». Le« Secure Passenger»peut ensuite changer d’état, soit pour s’embarquer (transition« board Aircraft»puis état« Boarded»), soit pour quitter la zone d’accès restreint (transition« exit Security Restricted Area»puis état out « of Security Restricted Area»). Cette partie du diagramme états-transitions décrit le comportement abstrait etrobuste de tout passager souhaitant s’embarquer après avoir sa tisfait les contraintes de sûreté. c)L’affinement des normes par les modèles graphiques Il est à noter que les différents modèle s à développer sont fortement corrélés. Ainsi, dans la figure 2, sont définies des entités avec leurs attributs et leurs opérations et, dans la figure 3, est dé crit comment les opérations affectent le comportement des entités. Par exemple, l’opération« enter Security Restricted Area»permet de garantir qu’un passager dans la zone à accès restreint a été correctement contrôlé, et qu’il est donc devenu un passager sûr qui peut embar-quer ou quitter la zone à accès restre int. Chaque modèle possède ses propres propriétés, et il y a une traç abilité entre les deux modèlesvia entités/ les attributs/opérations/relations partagés.
La figure 2 doit être interprétée de façon univoque comme suit : Tout «Traveling Person»possède une ou plusieurs «Government Issued ID» et un ou plusieurs« Airline Ticket ». Tout «Passenger»est une «Traveling Person» donc en a toutes les propriétés, c’ est-à-dire possède une ou plusieurs «Government Issued ID» et un ou plusieurs« Airline Ticket». De plus tout «Passenger» comme le fait d’avoir une ou resa des propriétés qui lui sont prop plusieurs« Boarding Pass». Enfin, tout «Secure Passenger»est un« Passenger» qui peut selon le cas quitter la zone d’accès restreint («exit Security Restricted Area»), s’embarquer (« board Aicraft») ou quitter l’avion (« disembark Aircraft»). b) ctsModèle graphique des aspe dynamiques (figure 3)
MODÉLISATION DES RÈGLES RELATIVES À LA SÛRETÉ DU TRANSPORT AÉRIEN681
6 18aPegdr,i  aM aoû 26.08  t 206_276egirT_69DDAFd_au  fm7.I0