2.2.
2.2.1. Les métarègles de la haute fiabilité
Le terme de métarègle renvoie à deux types de règles : soit des règles simples ou générales, soit des règles de règles ayant un ordre de priorité supérieur (Gaultier Le Bris, 2014). Par métarègles, nous retenons l’idée de règles simples regroupées en un ensemble de principes qui vont guider l’action. Cette définition se rapproche de celle proposée par Morel (2012, p. 13 sq.) de « principes généraux d’action ainsi que les processus maîtres et les modes de raisonnement communs qui forment une culture amont, ou modèle, de la fiabilité et sont indispensables à la fiabilité ». Les métarègles de fiabilité sont des règles qui servent de socle à l’ensemble des processus, pratiques et outils pour assurer la fiabilité.
L’importance du facteur humain et organisationnel dans la fiabilité incite à décliner des règles permettant d’en assurer le maintien. C’est ainsi que Morel (2012) présente neuf métarègles de fiabilité, des règles qui s’inscrivent plus en amont du processus de fiabilité, afin d’adopter des fonctionnements en adéquation avec le principe de fiabilité (pour une synthèse des neuf métarègles voir Tableau 10).
Tableau 10 – Les métarègles de la fiabilité (Morel, 2012)
Métarègles Définitions
Hiérarchie restreinte impliquée
Pouvoir de décision aux subordonnés, partage des responsabilités plutôt que concentration de l’autorité.
Débat contradictoire Délibération collective et pratique de « l’avocat du diable » pour atténuer les biais liés à ces délibérations.
Contrôle du consensus Le consensus n’est que rarement un consensus, et peut être une décision d’une minorité qui a limité le débat.
Interactions généralisées
Les interactions entre les membres sont le ciment de la fiabilité : briefing, débriefing, interrogation, contrôle, etc.
Contrôle des interstices
Les jonctions internes et externes sont des points de fragilité dans les organisations.
Non-punition des erreurs
L’erreur fait partie intégrante des organisations. La punition dissuade la révélation des erreurs et empêche leur résolution.
Renforcement linguistique et visuel
Il faut sécuriser les échanges d’informations – par la répétition, la confirmation – et utiliser des outils et un langage compris de tous. Formation aux facteurs
humains
Prendre en compte les mécanismes sociologique, cognitif et psychologique des acteurs dans l’action.
Retour d’expérience Synthétise les autres métarègles : rétroaction face aux actions précédentes dans l’optique de s’améliorer dans le futur.
La hiérarchie restreinte impliquée consiste en une forme adaptable de la hiérarchie. Elle est restreinte au sens où elle s’adapte à la situation. Ce sont par exemple les Mission commands de l’US Army, ou les Incident Command Systems des services américains de lutte contre l’incendie. Elle est impliquée car le pouvoir de décision est transféré aux subordonnés sur le terrain, mais le pouvoir de direction reste hiérarchique. Cette suspension hiérarchique se retrouve également lors d’un incident là où en temps normal la ligne hiérarchique prime.
Le débat contradictoire – que l’on retrouve également sous le vocable de l’avocat du diable – permet de connaître les points de vue contradictoires des différents acteurs. Cette obligation de contradiction permet d’entendre l’ensemble des points de vue et pas seulement le plus populaire ou celui défendu par un acteur dominant le débat. Le but d’imposer un débat contradictoire est également d’éviter certains biais cognitifs liés aux décisions de groupe, tels que le biais de conformisme18, de confirmation ou la pensée de groupe.
En lien avec la deuxième règle, le contrôle du consensus cherche à éviter les biais liés à la décision commune. En effet, le consensus n’est le plus souvent qu’un simili consensus, voire une décision de la minorité qui a limité le débat. Morel & Oury (2012) citent en
18 Mis en avant par Salomon Asch dans les années 1950, l’expérience d’Asch a mis en avant la tendance à approuver une décision unanime même si celle-ci est grossièrement erronée. Dès lors que la décision n’est pas
exemple le droit talmudique, où une condamnation à mort à l’unanimité entraîne l’acquittement de l’accusé car il est établi comme règle qu’une telle décision signifie qu’il n’y a pas eu de débat contradictoire.
L’interaction généralisée consiste en une communication explicite et une confirmation explicite. Ceci amène bien souvent à faire travailler les équipes en communauté, pour s’habituer à travailler ensemble. En stimulant les interactions entre les membres du groupe – et en ayant un retour critique sur ces interactions – cette règle cherche à diminuer les écarts existants entre ce qui est dit et ce qui est fait.
Le contrôle des interstices dans la fiabilité, des points de jonctions entre unités – interne ou externe à l’organisation – doivent être surveillés. Pour Morel (2012), les jonctions sont comme des points de soudure et représentent une fragilité, du fait du manque de vision synthétique de la situation, où chaque entité est spécialisée dans son fragment – temporel et spatial – et perd la vision de l’image globale de la situation. Par exemple, en médecine les transmissions entre les acteurs – d’un service à un autre ou d’une équipe qui prend la relève d’une autre – sont des éléments importants dans la compréhension des patients à prendre en charge.
La non-punition des erreurs – comme nous l’avions déjà présentée auparavant – intègre l’erreur comme un élément présent dans les organisations. La punition dissuade la révélation des erreurs mais empêche leur résolution ce qui nuit à la fiabilité. La seule erreur punissable est celle de ne pas transmettre une erreur. L’aviation civile est encore une fois pionnière sur ce point. Par exemple, la Federal Aviation Administration – la FAA – a mis en place l’Aviation Safety Reporting System, qui permet une diffusion de manière anonyme des écarts par rapport à un vol normal. De plus, elle accorde l’immunité aux rapports d’erreurs créés via ce système. En France, l’Académie nationale de médecine insiste sur l’importance de ne pas punir la diffusion des erreurs rencontrées dans la pratique de la médecine (Académie nationale de médecine, 2006, p. 1995) : « la connaissance des défaillances ne peut résulter que d’une déclaration spontanée d’un des acteurs de soins. Elle implique deux conditions : une garantie de confidentialité et une absence de sanction ».
Le renforcement linguistique et visuel de l’interaction entre les acteurs de l’organisation consiste en la mise en place de mesures visant à sécuriser les échanges d’informations par la répétition, la confirmation, etc. Par exemple, la mise en place d’une check-list lors d’une opération chirurgicale a permis de diminuer le taux de complication de
36% et le taux de mortalité de 47% (Haynes et al., 2009)19. Néanmoins, il faut prendre garde à la surabondance d’informations, ou au contraire à la simplification des informations.
La formation aux facteurs humains établit la prise en compte des facteurs en lien avec les situations vécues durant l’activité – stress, fatigue, urgence, etc. – dans le processus de fiabilité. Ces formations divergent d’une simple formation à la conduite de réunion et aux entretiens, et doivent prendre en compte l’humain dans l’action, dans ses dimensions sociologique, psychologique et cognitive.
Enfin, le retour d’expérience synthétise l’ensemble des règles précédentes en permettant une rétroaction face aux actions précédentes dans l’optique de s’améliorer dans le futur. Ceci passe par un engagement de l’organisation – en temps et en ressources – et nécessite des formes efficaces – et reconnues comme telles par les acteurs – de retour d’expérience. Il faut ainsi éviter le compte-rendu technique et préférer une forme plus dynamique telle qu’un débriefing.
Toutes ces métarègles forment un système complet : il n’est donc pas possible de n’en prendre que certaines et d’en rejeter d’autres, sous peine de générer d’autres dysfonctionnements (Morel & Oury, 2012).
2.2.2. Cinq principes pour gérer l’inattendu
Face à la complexité et l’inattendu, la fiabilité dépend de la capacité des individus à s’organiser et se réorganiser pour faire face aux situations auxquelles ils sont confrontés, à créer du sens face à l’inattendu (Roux-Dufort, 2003b). Les travaux sur le sensemaking et la vigilance collective permettent de mieux comprendre comment des organisations soumises à des environnements et des situations inattendues, arrivent à conserver un système d’actions permettant de satisfaire l’objectif de fiabilité de l’organisation (sur la distinction entre risque, incertitude et inattendu voir Encadré 13
).
19 Si ces chiffres ont fait l’objet d’une médiatisation importante, les auteurs mettent garde contre toute généralisation abusive des résultats de leur étude. L’amélioration constatée est multifactorielle et n’est pas le fait uniquement de la check-list. Les auteurs pointent notamment un changement dans les procédures pour mettre en
Encadré 13 – Une distinction entre risque, incertitude et inattendu Risque et incertitude
La distinction entre risque et incertitude réside dans l’idée que le risque est calculable et mesurable – sous forme de probabilités – et pas l’incertitude (Knight, 1921). Il y a donc complémentarité des deux concepts : pour un événement il y a une part calculable – le risque – et une part impossible à mesurer – l’incertitude.
L’incertitude se caractérise par trois éléments (Lawrence and Lorsch, 1967, cité dans Duncan, 1972) : « (1) the lack of clarity of information, (2) the long time span of definitive feedback, and (3) the general uncertainty of causal relationships ». À ces éléments, Duncan (1972) précise qu’il n’y pas simplement qu’un problème de calcul dans l’incertitude mais également un rôle de la capacité ou l’incapacité à assigner des probabilités à un événement. Selon Argote (1982), les définitions de l’incertitude gravitent autour de l’idée de l’incomplétude de l’information rendant la prévision des événements futurs difficiles.
La distinction entre certitude et incertitude n’est donc pas binaire mais prend la forme d’un continuum – que l’on peut associer à l’analogie d’un brouillard plus ou moins épais – qui dépend de l’individu, de son expérience professionnelle, des informations à sa disposition en termes d’accès et de compréhension.
Imprédictibilité, inattendu et imprévu
Souvent utilisé, le terme d’ « imprédictible » est un anglicisme dérivé du terme unpredictable. Une définition est disponible dans la version électronique du dictionnaire Larousse – renvoyant à la notion d’imprévu – mais le terme n’est référencé ni au niveau du CNRTL ni dans le dictionnaire de l’Académie Française.
Si l’incertitude est un concept bien ancré dans la littérature, les termes d’inattendu et d’imprévu ne sont quasiment jamais définis. Ils représentent une variation sur le thème de l’incertitude, une émanation de l’incertitude. Quant à la distinction entre inattendu et imprévu, elle est ténue et les deux termes sont généralement utilisés indistinctement.
Weick utilise principalement le terme d’inattendu – unexpected – plutôt qu’imprévu. Par cette subtilité de sens, nous pensons que Weick insiste plus sur l’idée de la surprise d’un événement – auquel on ne s’attendait pas et qui surprend – plutôt qu’un événement qui n’a pas été organisé à l’avance. L’inattendu peut prendre trois formes (Weick & Sutcliffe, 2007) : un événement attendu n’arrive pas, un événement inattendu se produit, ou un événement inimaginable (unthought) se produit.
En lien avec ces travaux, Weick et Sutcliffe (2007) présentent cinq principes généraux pour favoriser la détection de signaux avant-coureurs de difficultés (pour une synthèse des cinq principes voir Tableau 11). Ces signaux ne sont pas forcément visibles au premier abord et bien souvent les prémisses d’un accident ne sont pas flagrants (Weick & Sutcliffe, 2007, p. 8) : « people have to make strong responses to weak signals ». Ces principes intègrent à la fois une prévention des événements possibles – basée sur la prévision, les protocoles – et un confinement (containment) des événements inattendus lorsque ceux-ci sont en train de se produire – basé sur l’adaptation aux situations, l’improvisation avec les ressources à disposition. Pour les auteurs, c’est en combinant ces deux approches de l’inattendu qu’est possible le maintien de la fiabilité.
Tableau 11 – Cinq principes pour gérer l’inattendu (adaptés de Weick & Sutcliffe, 2007)
Principes Définitions Exemples d’application
A nt ic ip at io n Attention portée aux erreurs et échecs
Conscience du danger et vigilance aux signaux précurseurs d’un problème. Cette vigilance se retrouve dans des procédures mises en place et les outils pour reporter les erreurs, les manques.
Ne pas se satisfaire de la sûreté actuelle.
Être prêt pour la prochaine menace.
Refus de
sur-simplifier Simplifier le système en supprimant des redondances signifie supprimer la multiplication des informations et des interprétations source d’évitement des catastrophes.
Être vigilant aux changements mineurs Corriger les défauts mineurs avant qu’ils ne deviennent hors de contrôle.
Attention portée aux opérations
Il faut rester proche des opérations quel que soit le niveau hiérarchique. Pour comprendre ce qu’il se passe, il faut connaître les symptômes. La vision globale – the big picture – n’est pas tant stratégique que situationnelle.
L’ensemble des acteurs est impliqué pour signaler un
problème, même anecdotique. C on fi ne m en t Engagement de résilience
Sachant que les erreurs vont se produire il faut être prêt à les reconnaître, les corriger, et apprendre d’elles. Il faut donc pouvoir conserver une structure collective pour créer du sens et agir.
Savoir improviser et agir avec les ressources à disposition.
Connaître les limites de ses connaissances.
Déférence à l’égard de l’expertise
La décision appartient à ceux qui ont la plus grande expertise, pas le plus haut rang hiérarchique.
Ne pas imposer sa décision par son rang mais par son expertise.
Reconnaître l’expertise de chacun plutôt que la position hiérarchique.
L’intérêt pour l’échec et les anomalies considère tout échec, même minime, comme un
indicateur possible de problèmes plus graves à venir. Il faut donc mettre en place des procédures d’alerte et de signalement des erreurs pour prévenir les erreurs et alimenter l’apprentissage de l’organisation. Par exemple, lors de la catastrophe de Bhopal, les manuels étaient en anglais, langue qui n’était lue que par peu de salariés de l’usine (Weick, 2010). Mais la détection d’erreurs n’est pas aussi aisée qu’il n’y paraît, notamment à un stade précoce. Ceci est renforcé par l’équivalence qu’à une erreur équivaut un responsable. Corollaire de ce principe, il faut faire attention aux dangers de la préoccupation face au succès qui encourage la simplification, tente de reproduire les routines existantes au dépend d’une adaptation à la situation (Weick et al., 1999).
interprétations – et plus encore leur interaction – contribue à éviter cette simplification. Weick et Sutcliffe (2007) citent l’exemple de l’incendie de Cerro Grande où le pompier en charge sur le terrain évalua la complexité du feu à 3 (sur une échelle de 1 à 3), et en informa le dispatch qui comprit la complexité du feu à 3 sur son échelle de complexité allant de 1… à 5 !
La sensibilité aux opérations insiste sur l’idée que la distinction entre décision et mise en
œuvre n’est pas aussi tranchée dans une HRO qu’elle peut l’être dans une organisation dite « classique ». Le plan – ou plus généralement ce qui est prévu ex ante – est une ressource parmi d’autres pour faire face à une situation. Même à un niveau hiérarchique élevé, il ne faut pas perdre de vue ce qu’il se passe sur le terrain. Les managers doivent être proches du terrain et encourager les retours d’expérience et le partage.
L’engagement de résilience permet à l’organisation de fonctionner en contenant l’impact
des erreurs et en trouvant des solutions de contournement (voir Encadré 14). Cette résilience se caractérise par la capacité à absorber une force supplémentaire et à fonctionner malgré des perturbations, la capacité à se rétablir rapidement en cas de problème, et la capacité à apprendre et à se développer à partir des expériences précédentes. Quatre éléments composent la résilience organisationnelle : l’improvisation, les rôles virtuels, la sagesse, les interactions (Weick, 1993; Laroche, 2003). L’improvisation est la capacité d’agir pour trouver une solution avec les ressources à disposition. L’utilisation de ces ressources nécessite parfois de contourner leur usage initial, de « tordre » ces ressources – de bricoler – afin d’adapter ces ressources au problème rencontré. Les rôles virtuels consistent pour les individus à tenir des rôles en adéquation avec la situation. La sagesse est un état d’esprit où les individus ont à la fois confiance dans leurs connaissances et leur capacité à faire face à une situation tout en sachant également remettre en cause leurs acquis. Il s’agit d’avoir un recul sur ses expériences et ses compétences afin de savoir ce que l’on sait, ce que l’on ne sait pas, et ainsi demander de l’aide. Enfin, la résilience n’est possible qu’avec des individus interagissant même lors de situations incertaines, stressantes avec un haut niveau de danger.
Encadré 14 – Le concept de résilience et son lien avec la fiabilité
Dès 1993, Karl E. Weick énonce l’idée de lien entre résilience et sensemaking face aux imprévus rencontrés par une organisation. La résilience est la capacité à agir face à l’imprévu (Hollnagel, 2006, p. 16) : « […] the intrinsic ability of an organization (system) to maintain or regain a dynamically stable state, which allows it to continue operations after a major mishap and/or in the presence of a continuous stress ». Il y a donc dans la résilience deux éléments clés : un événement inattendu avec des potentielles conséquences désastreuses, et la capacité à faire face à cette situation afin de maintenir la fiabilité.
Sur ce point, Boin et van Eeten (2013) précisent que les différentes définitions de la résilience varient autour de deux dimensions : certaines définitions se focalisent sur la résilience comme la capacité à reprendre un état précédent une crise, tandis que d’autres définitions intègrent dans la résilience la capacité à sortir plus fort d’une crise, avec l’idée d’un apprentissage et donc d’une dimension temporelle de la résilience.
Fiabilité et résilience sont des concepts proches mais, si la fiabilité d’une organisation correspond à sa capacité à réaliser ce qu’on attend d’elle, la résilience renvoie à comment une organisation fait face à des situations qui la perturbent et mettent potentiellement en péril sa fiabilité. En synthèse, la fiabilité passe par la résilience, mais celle-ci n’est pas l’unique levier comme le développent Weick & Sutcliffe (2007) – où la résilience est un principe parmi d’autres répartis entre anticipation et confinement – ou Goodman et al. (2011) sur la gestion des erreurs – avec l’articulation entre prévention et résilience.
Le respect de l’expertise est l’idée selon laquelle, en situation de crise, une HRO donne à
l’expertise20 le pouvoir de décision quel que soit le niveau hiérarchique. Son corollaire est qu’en situation normale, la voie hiérarchique prévaut dans la prise de décision car les structures hiérarchiques ne sont pas absentes dans une HRO. Ce respect de l’expertise repose également sur la capacité de chacun à connaître – et admettre – les limites de ses connaissances et le moment où il faut avoir recours à une aide supplémentaire.
En dépassant la dimension technique, les études sur la fiabilité ont permis de mieux appréhender le rôle du facteur humain et organisationnel dans le maintien de la fiabilité. La littérature en sciences sociales – notamment en psychologie, en sociologie et en sciences de gestion – a souligné l’intrication entre le système et les acteurs évoluant en son sein. Si l’erreur est commise par un membre de l’organisation, la cause de cette erreur peut être systémique. Il est donc nécessaire de lier une prévention des erreurs avec la résilience des organisations face à la survenance d’erreurs.
Les métarègles développées par Morel (2012) ou les principes pour gérer l’inattendu de Weick et Sutcliffe (2007) constituent un socle permettant de lier prévention et résilience. Ces principes insistent sur le caractère collectif pour maintenir la fiabilité : interaction vigilante, respect, sens collectif, etc. Au-delà du niveau collectif, ces principes soulignent également
l’importance des interactions entre les individus. Dans cette perspective, la fiabilité ne réside pas dans les individus mais entre les individus. Ces principes servent de point d’appui au développement des processus de maintien de la fiabilité dans les organisations.
ASSURER LA FIABILITÉ ET LA RÉSILIENCE : DIFFÉRENTS PROCESSUS À L’ŒUVRE