2.2.
La première limite que nous pouvons formuler est la confusion dans l’utilisation des termes de sûreté et de fiabilité (safety et reliability). Dans la littérature sur les HROs ces termes sont utilisés de manière équivalente alors qu’un élément – ou un système – peut très bien être fiable sans forcément être sûr (Shrivastava et al., 2009). Comme nous l’avions déjà expliqué (voir Encadré 1 p. 24), la fiabilité et la sécurité sont deux concepts différents. Si l’on reprend la définition en ingénierie, la fiabilité est la probabilité qu’un composant fasse ce à quoi il est prévu et la sûreté est l’absence d’accidents, ou de conséquences inacceptables (Leveson et al., 2009). La fiabilité peut donc ne pas être sûre et la sécurité ne pas être fiable, voire dans certains cas suivre des fonctions inverses où une augmentation de la fiabilité peut
diminuer la sécurité, et réciproquement. Si dans certaines organisations, la sûreté est une finalité de l’organisation, ce n’est pas toujours le cas. Leveson et al. (2009, p. 236) proposent une illustration à l’appui de leur propos :
While, in some systems, safety is part of the mission or reason for existence, e.g. ATC and healthcare, in others safety is not the mission but a constraint on how the mission can be achieved. For example, the mission of a chemical manufacturing plant is to produce chemicals. The mission is not to be safe in terms of not exposing bystanders to toxins or not polluting the environment. These are constraints on how the mission can be achieved. The best way to ensure the safety and environmental constraints are satisfied is not to build or operate the system at all. The (non-existent) plant is ‘unreliable’ with respect to its mission, but it is safe. Alternatively, a particular plant may very reliably produce chemicals while poisoning those around it. The plant is reliable but unsafe.
Toute la difficulté réside donc dans l’augmentation de la sûreté sans faire décroître la fiabilité. Par exemple, comment diminuer le risque de crash aérien sans faire diminuer la rotation des appareils sur un porte-avions. De plus, le risque peut prendre plusieurs formes et il faut souvent arbitrer entre plusieurs risques. Par exemple en santé, il faut arbitrer le risque lié au triage des patients, le risque d’un traitement par rapport au risque de ne pas prendre le traitement, etc. Donner la priorité à la sûreté n’est donc pas si simple et nécessite bien souvent des compromis (Leveson et al., 2009) .
La deuxième limite du cadre conceptuel des HROs est le rapport au temps pour étudier la fiabilité dans une organisation. Parler de fiabilité, c’est envisager une temporalité qui se mesure en années plus qu’en minutes, ce qui implique du temps pour bâtir une HRO (Hollnagel, Journé, & Laroche, 2009). Or, l’observation de ces organisations ne met pas en avant le temps nécessaire à la construction de cette haute fiabilité. Pour reprendre l’exemple des porte-avions, cette organisation hautement fiable ne l’a pas toujours été. Le taux d’accidents de catégorie A9 pour 100 000 heures de vol est passé de plus de 50 en 1950, à moins de 1 accident en 2016 (voir Figure 3). La dimension temporelle des HRO ne devrait pas s’arrêter à cette absence d’erreurs à l’heure actuelle mais également chercher à établir la construction dans le temps de cette fiabilité et les facteurs expliquant ce maintien de la fiabilité. De plus, cette construction de la fiabilité dans le temps souligne le caractère
émergent de la fiabilité dans la pratique et non une fiabilité allant de soi dans ces organisations. La proposition inverse est donc également possible : ce n’est pas parce qu’une organisation est comme une HRO un jour, qu’elle le reste à jamais (Bourrier, 2005b).
Figure 3 – Taux d’accidents de catégorie A dans la NAVY
Source : Naval Safety Center
La dernière limite, en lien avec la construction de la fiabilité dans les organisations, concerne la difficulté de définir ce qu’est qu’une HRO. Est-ce qu’une organisation peut décréter être une HRO du jour au lendemain ? Est-ce que toute organisation peut décider d’être une HRO ? A priori, cela ne paraît pas possible. Comme le développe Boin et Schulman (2008), se considérer soudainement comme une HRO fait prendre le risque de mettre en péril la raison même d’exister de l’organisation. L’enjeu en cas de défaillance, la culture qui s’y est développée, la vigilance face à la complexité sont autant d’éléments qui ne se décrètent pas mais se construisent sur un temps long. Le terme de HRO est donc maladroit dans le sens où il met en avant une différence par rapport aux autres organisations, mais laisse à penser que la fiabilité est évaluée de manière absolue (Rochlin, 1993, p. 12) :
Unfortunate because the term implies that our evaluation is based on some absolute, and static, standard of performance rather than on a relative evaluation of the dynamic management of a difficult and demanding technology in a critical and unforgiving social and political environment.
Les approches conséquentialistes de la définition d’une HRO posent également problème. La définition de Roberts (1990b, p. 160) renvoie aux conséquences des actions d’une HRO plus qu’à ce qu’est une HRO : « Within the set of hazardous organizations, some organizations have operated nearly error free for very long periods of time ». L’auteur précise également comment savoir si une organisation est une HRO : « how many times could this organization have failed, resulting in catastrophic consequences, that it did not? If the answer is on the order of tens of thousands of times the organization is “highly reliable" ». La vision d’une HRO comme une organisation qui devrait générer des catastrophes mais n’en commet pas pose le problème des HROs qui subissent des catastrophes et pourtant peuvent être toujours considérées comme hautement fiables (Hopkins, 2007). Ou il convient alors de considérer le terme de HRO comme un label, une étiquette administrative que l’on arrachera à la première incartade.
La Porte (1996) précise à ce propos que les HROs fonctionnent « presque sans erreurs » (nearly accident free performance), par rapport à ce que prévoit une analyse statistique. Une HRO est donc une organisation qui ne fait quasiment pas d’erreurs (ou ne génère pas catastrophes) alors qu’elle aurait due en faire. Cette approche par le résultat renvoie donc la haute fiabilité uniquement à sa dimension performance. Or, comme nous l’avons vu, la fiabilité ce n’est pas qu’une performance sinon il s’agirait alors de parler de high performance organization plus que de high reliability organization.
Définir ce qu’est une HRO n’est donc pas chose aisée tant les caractéristiques se croisent sans jamais vraiment laisser une image claire : rigide mais flexible, fiable mais gérant les erreurs, complexe mais ajoutant de la redondance pour permettre la fiabilité. La littérature a longtemps opposé HRO et NAT – faisant glisser le terme de HRO en High Reliability Theory – et abordant la création d’une HRT en réponse à une NAT. Mais ce match « NAT versus HRT » simplifie à outrance la construction du champ scientifique de la fiabilité organisationnelle et renvoie plus à une question de rhétorique et d’argumentation que d’avancées dans la compréhension de ces organisations. L’intérêt principal du débat n’est pas tant dans la construction d’une théorie généralisable et prédictive de la fiabilité organisationnelle – ou a contrario de la défaillance organisationnelle – mais de questionner comment la fiabilité est maintenue ou mise en péril dans ces organisations. Sur ce point, comme nous le mettons en avant dans la section suivante, NAT et HRO sont finalement assez proches.
OPPOSITION ET CONVERGENCE ENTRE HRO ET NAT