Que doit retenir un conseil du naufrage du Bayesian ?

Que l'approbation n'est pas l'assurance : un document de sécurité pleinement certifié peut être muet sur la condition d'exploitation qui défaille réellement. Les conseils doivent demander quelles conditions leur assurance a explicitement évaluées, et traiter les autres comme des dangers actifs.

Pourquoi les investigations internes concluent-elles toujours à « l'erreur humaine » ?

Parce que la méthodologie est conçue pour trouver des actes individuels plutôt que des conditions du système. Le conseil impose la méthodologie ; il est donc propriétaire de l'angle mort.

Qu'est-ce qu'un dispositif d'assurance de la sécurité ?

Les dispositifs — dossiers de sécurité, audits, vérifications, certificats — qui donnent au conseil l'assurance que les contrôles sont en place et efficaces. Chaque élément n'est valable que pour les conditions qu'il a évaluées.

Série · Ce que l'épave nous a appris — 2025–20261 / 5

DirectionGouvernance de la sécuritéSurveillance du conseilConditions latentesAssurance

Ce que votre dispositif d'assurance ne vous dit pas

Le Bayesian, vu du conseil

Bruno Hounkpati·Praticien Tripod Beta · plus de 300 investigations d'incidents dans le pétrole et le gaz, les mines et la construction·Juin 2026·7 min de lecture

Les propriétaires étaient en conformité. Sept personnes sont mortes dans une condition qu'aucun document ne décrivait.

L'essentiel

Le voilier Bayesian était classé, certifié et conforme lorsqu'il a chaviré au large de la Sicile en moins de 15 secondes, tuant sept des 22 personnes à bord. Le MAIB britannique a établi que la défaillance n'était pas une règle enfreinte, mais une condition que son document de stabilité approuvé ne décrivait pas — l'angle auquel le navire perdrait sa stabilité dans son état d'exploitation réel, jamais calculé, jamais dans le livret. Pour un conseil, la leçon n'est pas nautique. C'est que l'approbation n'est pas l'assurance, et que la méthodologie d'investigation que vous imposez décide des conclusions que vous avez le droit d'entendre. Deux questions de gouvernance en découlent — et la plupart des conseils n'ont répondu à aucune.

70.6°

Limite de stabilité dans la condition réelle — absente du document approuvé

MAIB, 2025

84–92°

Plage de stabilité que le document certifiait — pour d'autres conditions

MAIB, 2025

2008

Année d'approbation formelle du document de stabilité

MAIB, 2025

7 / 22

Vies perdues — malgré une conformité et une certification complètes

MAIB, 2025

Écartez le superyacht et les gros titres, et le Bayesian devient un cas de gouvernance. Voici un actif qui avait franchi toutes les barrières sur lesquelles un conseil s'appuie : classé par une société reconnue, certifié au regard du code applicable, exploité avec un document de stabilité approuvé. Selon chaque élément qu'un administrateur invoquerait, il était sûr. Sept personnes sont mortes malgré tout — non parce qu'une règle a été enfreinte, mais parce que la défaillance est survenue dans une condition qu'aucun document n'avait jamais décrite.

« Nous étions en conformité » était précisément la position des propriétaires. C'est aussi, dans presque chaque incident grave, celle du conseil. C'est pourquoi le Bayesian n'est pas une histoire de bateau. C'est une histoire sur l'écart entre ce que votre assurance vous dit et ce qui est réellement vrai.

Approuvé n'est pas assuré

Un conseil ne voit pas les dangers directement. Il voit l'assurance : dossiers de sécurité, rapports d'audit, attestations de vérification, certificats de conformité. Chacun est une promesse que les contrôles sont en place et efficaces. Mais chacun est aussi borné — valable uniquement pour les conditions qu'il a réellement examinées. La confiance du conseil n'est donc jamais plus large que les conditions évaluées par son assurance.

Sur le Bayesian, le document de stabilité approuvé portait le bon garde-fou — des limites pour empêcher qu'une rafale soudaine n'envahisse le navire — mais uniquement pour ses conditions sous voiles. Pour la condition dans laquelle il se trouvait réellement cette nuit-là, au mouillage sous moteur, le document était muet. La limite de stabilité y a été calculée après coup à 70,6°, contre les 84,3° à 92,3° que le document avait certifiés pour d'autres états. L'approbation était parfaitement réelle. L'assurance était partielle. Et personne ne savait quelle partie manquait avant que sept personnes ne soient mortes.

L'ÉTAT SILENCIEUX AU NIVEAU DU CONSEIL

Chaque élément d'assurance que détient votre organisation a été validé pour un ensemble défini de conditions. Les conditions qu'il n'a jamais évaluées n'apparaissent comme risques sur aucun tableau de bord — elles n'apparaissent pas du tout. À l'échelle de l'entreprise, ce sont les états silencieux qu'un conseil porte sans le savoir. L'absence d'alerte n'est pas la présence de sécurité.

Pourquoi vos investigations vous disent toujours « erreur humaine »

Si vos investigations internes aboutissent sans cesse à « l'erreur de l'opérateur », le conseil est systématiquement mal informé — et non parce que quelqu'un ment. Il est mal informé par la méthode. Un processus d'investigation conçu pour identifier qui a agi produira de façon fiable une personne. Un processus conçu pour identifier quelles conditions ont rendu l'acte inévitable produira de façon fiable un système. Le même événement donne l'une ou l'autre réponse selon le processus que vous avez commandé.

C'est un fait de gouvernance, pas un fait technique. Le conseil, ou son délégué, impose la norme d'investigation que l'organisation utilise. Le conseil est donc propriétaire de l'angle mort que sa méthode crée. On ne peut pas déléguer la méthodologie et désavouer les conclusions qu'elle a été conçue pour atteindre.

"L'unique objectif d'une investigation de sécurité est la prévention des accidents futurs. Elle n'a pas pour but de déterminer la responsabilité ni d'attribuer un blâme."
— Bruno Hounkpati

Le Bayesian le montre en public. Son investigation de sécurité, à qui la loi interdit d'attribuer un blâme, a atteint une condition latente — une vulnérabilité non documentée dans l'état d'exploitation. L'investigation pénale parallèle, conçue pour assigner une responsabilité, se serait penchée sur l'équipage. Un conseil qui mène discrètement un processus interne orienté blâme fait le même choix que le procureur : il choisit de voir des actes, et donc de ne pas voir ses propres conditions latentes.

Key takeaway

La méthodologie que vous imposez décide des conclusions que vous avez le droit d'entendre. Commandez un processus qui s'arrête à une personne, et l'on vous parlera de personnes — jamais des conditions qui produiront l'événement suivant.

Le coût d'une investigation qui s'arrête à une personne

Lorsqu'une investigation se referme sur un individu, la condition latente qui a produit l'événement reste exactement où elle était. La mesure est une « formation de rappel » ; la vulnérabilité est intacte. L'événement se reproduit donc — et la deuxième fois, il porte le nom du conseil, car le dossier montre désormais que l'organisation savait et n'a agi que contre la personne. C'est la séquence qui transforme une défaillance opérationnelle en défaillance de gouvernance et de responsabilité.

Les procédures parallèles du Bayesian rendent l'exposition concrète : « erreur de l'opérateur » et « cause systémique » s'affrontent désormais en public, dans la presse et au tribunal, à propos des mêmes sept morts. Un conseil à qui l'on n'a jamais remis que la version « erreur de l'opérateur » de ses propres incidents n'a aucune défense prête pour le jour où la version systémique émerge — car il n'a jamais chargé personne de la trouver.

Trois questions qu'un conseil devrait poser

Pas besoin d'expertise technique pour gouverner cela. Il faut trois questions — utilisables dans toute revue d'assurance, et obligatoires après tout incident grave.

Quelles conditions d'exploitation notre assurance a-t-elle réellement évaluées — et lesquelles sont silencieuses ? — Exigez la liste des états d'exploitation réels de l'actif, rapprochée de ce que le dossier de sécurité a évalué. Signal d'alerte : la direction décrit les contrôles mais ne peut produire la liste des conditions non évaluées.
Que notre dernière investigation grave a-t-elle été conçue pour trouver — des conditions du système, ou des actes individuels ? — Auditez la méthode, pas seulement le rapport. Signal d'alerte : les recommandations sont dominées par la formation de rappel, la discipline et les rappels, et aucune condition organisationnelle latente n'est nommée.
Pour chaque conclusion « erreur humaine » des 12 derniers mois, quelle condition latente demeure en place ? — Rouvrez celles qui se sont arrêtées à une personne. Signal d'alerte : personne ne peut répondre, car la condition n'a jamais été recherchée — ce qui signifie qu'elle est toujours active, et toujours capable de produire l'événement suivant.

Ces trois questions transforment l'assurance, qui n'est plus un exercice de réconfort — recevoir la confirmation que tout va bien — mais un exercice de surveillance : sonder activement les conditions que personne n'a évaluées. Ce basculement, c'est toute la mission de sécurité du conseil.

Point à retenir

Le devoir de sécurité d'un conseil n'est pas de recevoir l'assurance. C'est d'éprouver ce que l'assurance ne couvre pas, et d'exiger une méthode qui atteint le système plutôt qu'un nom. « Approuvé » est une affirmation portant sur un ensemble de conditions, pas sur la réalité. Les conclusions que vous êtes prêt à entendre sont celles que vous avez bâti la capacité de traiter — et la condition latente sur laquelle vous n'avez jamais posé de question est celle qui arrivera avec votre nom.

"Un conseil qui se contente de recevoir l'assurance gouverne les conditions que quelqu'un a choisi d'évaluer — pas celles qui défailliront réellement."
— Bruno Hounkpati

Glossaire

Assurance de la sécurité: — Les dispositifs — dossiers de sécurité, audits, vérifications, certificats — qui donnent au conseil l'assurance que les contrôles sont en place et efficaces.
Dossier de sécurité: — Argumentaire structuré, étayé par des preuves, démontrant que les dangers majeurs d'un actif sont maîtrisés — valable uniquement pour les conditions évaluées.
Condition latente: — Décision, document ou défaut intégré au système bien avant un incident, dormant jusqu'à sa combinaison avec un déclencheur (Reason, 1997).
Défaillance active: — Acte non sûr au point de l'incident ; strate visible à laquelle s'arrête une méthode orientée blâme.
Investigation sans blâme: — Investigation dont l'unique but est la prévention, explicitement séparée de la responsabilité — conçue pour faire émerger les conditions du système.
État silencieux: — Condition d'exploitation existant en pratique mais jamais évaluée par le document applicable ; danger non évalué, et non danger faible.
Périmètre de conditions validées: — Ensemble des conditions pour lesquelles un élément d'assurance a réellement été évalué ; les conditions hors périmètre sont des états silencieux.
Gestion du changement (MOC): — Processus formel d'évaluation des dangers introduits par toute modification, re-cotation ou nouveau mode d'exploitation.

Ressources

UK Marine Accident Investigation Branch (2025). Interim report: foundering of the yacht Bayesian. https://www.gov.uk/maib-reports
US Chemical Safety Board (2025–2026). Incident Reports, Volumes 1–4. https://www.csb.gov/investigations/
Reason, J. (1997). Managing the Risks of Organizational Accidents. Ashgate.

Questions fréquentes

Cet article est publié par HSESKILLS Ltd à des fins éducatives et informatives uniquement. Il ne constitue pas un avis juridique. Les scénarios composites illustrent des tendances courantes et ne font référence à aucune organisation spécifique sauf mention explicite.

Lire ceci en:en fr es pt