L'incendie survenu le 10 mars 2021 dans le centre de données d'OVH à Strasbourg n'était pas passé inaperçu. Il n'avait pas fait de victimes, mais avait, en revanche, affecté 3,6 millions de sites internet, dont certains du gouvernement parmi lesquels des services de l'Éducation nationale.

Le Bureau d'enquêtes et d'analyses sur les risques accidentels (BEA-RI), créé en décembre 2020 dans le cadre du Plan post-Lubrizol, a publié le 27 mai son rapport (1) sur l'accident de cette installation. Dans ce cadre, il émet des recommandations pour prévenir de futurs accidents et pointe des insuffisances de la réglementation. Mais il permet aussi de constater, entre les lignes, que l'établissement n'était pas en règle avec la réglementation des installations classées (ICPE) et que les services de l'État n'en avaient pas conscience.

Augmentations de capacité

Si les installations de stockage des données ne sont pas des ICPE en tant que telles, les groupes électrogènes, qui permettent de pallier une perte d'alimentation électrique depuis le réseau, et les installations de charge de batteries sont, en revanche, classés à ce titre. L'exploitant avait effectivement fait une déclaration à la préfecture, en août 2016, en vue d'exploiter ces deux activités en conformité avec la réglementation des ICPE. Souci ? « Le site a évolué depuis cette date, la construction de nouveaux bâtiments ayant augmenté la puissance thermique totale des groupes électrogènes et la capacité de charge de batteries », rapportent pudiquement les auteurs du rapport.

En d'autres termes, l'exploitant « a oublié » de déclarer ces augmentations de capacité aux services de l'État. Des modifications substantielles qui auraient dû entraîner un changement du régime applicable à l'établissement et l'application de prescriptions plus sévères. Or, l'Inspection des installations classées ne contrôle quasiment plus (2) les établissements soumis à simple déclaration, hors plainte ou… accident. Il faut dire que le nombre d'inspecteurs s'élève à environ 1 500 équivalents temps plein pour quelque 500 000 installations. De nombreuses installations classées, relevant officiellement du régime de la déclaration, ne sont donc pas aux normes mais les services de l'État n'interviennent pas pour autant. Cet accident en offre une nouvelle illustration, après celle des entrepôts de NL Logistique pris dans l'incendie du 26 septembre 2019, à Rouen, et dont les services de l'État ignoraient la nature des produits stockés.

“ Il ressort de cet état des lieux qu'un grand volume de bâtiments n'est pas soumis à la réglementation des ICPE et ne fait donc l'objet d'aucune prescription spécifique en termes de défense incendie. ” BEA-RI

Dans le cas d'OVH, l'Inspection des installations classées a demandé à l'exploitant, consécutivement à l'incendie, « une actualisation administrative de son site prenant en compte l'ensemble des extensions opérées ». Celui-ci a fait une demande d'enregistrement le 28 octobre 2021 en réclamant toutefois deux aménagements des prescriptions applicables. La préfète a délivré l'arrêté d'enregistrement le 10 mai 2022, après avoir dispensé l'exploitant d'évaluation environnementale et en acceptant ses demandes d'aménagement. Celles-ci portent sur une diminution de la hauteur des cheminées des groupes électrogènes, appelés à ne fonctionner qu'en cas d'urgence, et un… rétrécissement des voies de passage des pompiers.

Aucun système d'extinction automatique

Le BEA-RI a identifié plusieurs insuffisances et émet des recommandations à l'attention de l'exploitant, mais également de la direction générale de la Prévention et des Risques (DGPR) qui est chargée de l'élaboration des textes réglementaires portant sur les installations classées (ICPE) au sein du ministère de la Transition écologique.

« L'incendie a pris naissance au sein des locaux qui abritent les batteries et les ASI (alimentation sans interruption) nécessaires au fonctionnement des serveurs. Ces salles appelées aussi "salles énergie" étaient équipées d'une détection incendie, mais ne disposaient d'aucun système d'extinction automatique », indique le rapport.

« Malgré l'arrivée rapide des secours, la conception du bâtiment, l'absence de système d'extinction automatique, le délai de mise en sécurité électrique du site et les moyens en eau sur la zone n'ont pas permis d'éviter l'embrasement généralisé [du bâtiment] SBG2 et la propagation de l'incendie à des bâtiments voisins », concluent les auteurs.

Pour ce qui relève de l'exploitant, le BEA lui demande de tenir compte du retour d'expérience de l'incendie, notamment en termes de « moyens de détection et de lutte contre l'incendie ». Il préconise également de « mettre en œuvre au travers d'exercices des procédures d'intervention d'urgence et de mise en sécurité des installations électriques afin de faciliter l'intervention des services de secours publics ». À cet égard, l'aménagement accordé par la préfète sur les prescriptions applicables aux voies d'accès pompiers semblent aller à l'encontre de ces préconisations.

Trou dans la raquette

Le respect des prescriptions plus sévères qui s'imposaient à l'exploitant aurait sans doute permis de limiter les risques, mais elles paraissent toutefois insuffisantes, vu les recommandations que le BEA adresse également aux services du ministère.

Pour ce qui relève de ces dernières, « le retour d'expérience montre que la protection du seul local de stockage des batteries n'aurait pas permis d'éviter l'incendie », rapporte le BEA-RI. Celui-ci préconise par conséquent d'appliquer les prescriptions relatives au comportement au feu des bâtiments aux locaux qui abritent les équipements électriques qui servent à la charge des batteries et qui leur sont directement reliés. « Cela revient à définir un atelier de charge comme étant le local qui abrite les batteries et également les équipements qui servent à la charge », expliquent les auteurs du rapport.

Au-delà de cet établissement, le BEA semble avoir identifié un trou dans la raquette quant à la sécurité incendie des centres de données. « Il ressort de cet état des lieux qu'un grand volume de bâtiments n'est pas soumis à la réglementation des ICPE et ne fait donc l'objet, au titre de cette réglementation, d'aucune prescription spécifique en termes de défense incendie », constatent les auteurs. Lorsque le bâtiment ne relève ni des établissements recevant du public (ERP) ni des immeubles de grande hauteur (IGH), « la majeure partie de l'édifice relève, pour ce qui concerne la défense incendie et les dispositions constructives, de la réglementation de droit commun applicable à un bâtiment à caractère industriel d'une hauteur inférieure à 28 m ». Soit la réglementation relevant du Code du travail, qui « ne prévoit pas d'exigences particulières sur l'éventuelle mise en œuvre de moyens d'extinction automatique ».

En d'autres termes, un exploitant qui ne respecte pas la réglementation, qui se révèle elle-même insuffisante, a de grands risques d'être confronté tôt ou tard à un sinistre. Mais le BEA-RI ne préconise curieusement pas de classer les datacenters en tant que tels car les risques qu'ils présentent, estime-t-il, se révèlent davantage économiques et stratégiques qu'environnementaux et humains.