Norme ISO/CEI Guide 51

2.1.2.1 Présentation de la norme

La norme Guide ISO/CEI 51 « Aspects liés à la sécurité – Principes directeurs pour les inclure dans les normes » a été publiée pour la première fois en 1990 par l’ISO. Elle a subi depuis ce temps une seule révision qui a donné lieu à la parution d’une deuxième édition en 1999. Tel que son nom l’indique, elle constitue un guide, destiné en premier lieu aux rédacteurs de normes, qui donne des principes servant à inclure dans celles-ci des aspects liés à la sécurité. De façon plus spécifique, elle propose une démarche (c.- à-d. une approche de gestion du risque) qui a pour principal objectif de réduire le risque engendré par l’utilisation de produits, procédés ou services et ce, en tenant compte de leurs utilisations prévues ainsi que de leurs « mauvais usages raisonnablement prévisibles »4_{. Le guide se divise en trois sections principales : (1)}

une liste de termes et définitions constituant une base de concepts, (2) l’approche de réduction du risque en tant que telle et (3) une gamme de directives spécifiques à la rédaction de futures normes. Les paragraphes suivants présenteront donc essentiellement le contenu des deux premières sections.

4_{Guide ISO/CEI 51, 1999. Aspects liés à la sécurité – Principes directeurs pour les inclure dans les normes,} p.1.

2.1.2.2 Contenu de la norme

En consultant plusieurs dictionnaires ou encyclopédies, il est facilement possible de dénoter que le concept de sécurité fait principalement référence à une absence de danger ou de risque et ce, quelque soit leur type (ex. : blessure corporelle). La norme ISO/CEI Guide 51 apporte toutefois une nuance importante au concept de sécurité appliqué à l’utilisation d’un produit, d’un service ou d’un procédé. Elle considère en fait qu’une sécurité est obtenue non pas lorsqu’il y a une absence totale de risques, mais plutôt lorsqu’il y a une absence de risques inacceptables. Elle insinue donc par cette affirmation que ni un produit, ni un service, ni un procédé ne peuvent offrir ou assurer une sécurité absolue; quelque risque subsistera toujours (dénommé risque résiduel5₎

et ce, peu importe les mesures entreprises afin de parvenir à l’état le plus sécuritaire possible. Considérant cette prémisse, le défi à relever afin d’atteindre une certaine sécurité consisterait donc à réduire le risque jusqu’à un niveau tolérable (dénommé comme risque tolérable6_{). La norme stipule que ce risque tolérable peut être rencontré}

en appliquant un processus itératif d’appréciation du risque (analyse du risque et évaluation du risque) et de réduction du risque (cf. Figure 4).

La stratégie mise de l’avant par le Guide ISO/CEI 51 possède sensiblement les mêmes étapes charnières, soit celles d’identification, d’évaluation et de traitement du risque, que la méthode de gestion du risque présentée à la section précédente (cf. Figure 2). Elle possède néanmoins certaines spécificités qui méritent d’être explicitées.

La norme propose tout d’abord deux étapes préalables à l’identification des risques (ou phénomènes dangereux7_{) reliés à l’utilisation d’un produit, procédé ou service: (1)}

déterminer leur(s) groupe(s) d’utilisateurs probable(s), en prenant soin d’y inclure les personnes ayant des besoins ou caractéristiques particuliers (ex. : personnes âgées, enfants) (ceci n’est pas illustré sur la Figure 4, mais il est très clairement explicité dans la norme) et (2) identifier leur utilisation prévue8 _{et leurs mauvais usages}

raisonnablement prévisibles9_{. Concernant l’étape même d’identification des risques, la}

norme mentionne qu’elle doit être réalisée en considérant toutes les étapes (c.-à-d. installation, entretien, réparation et destruction/mise au rebut) et toutes les conditions

5 _{Risque subsistant après que des mesures de prévention ont été prises [Guide ISO/CEI 51, 1999].}

6 _{Risque accepté dans un certain contexte et fondé sur les valeurs admises par la société [Guide ISO/CEI 51,}

1999].

7 _{Source potentielle de dommage [Guide ISO/CEI 51, 1999].}

8 _{Utilisation d’un produit, procédé ou service conformément aux informations données par le fournisseur}

[Guide ISO/CEI 51, 1999].

9 _{Utilisation d’un produit, procédé ou service dans des conditions ou à des fins non prévues par le fournisseur}

dans lesquelles ces produits, services ou procédés peuvent être utilisés. Elle suggère ensuite d’estimer et d’évaluer les risques précédemment identifiés et ce, pour chacun des groupes d’utilisateurs probables.

Figure 4 Processus itératif d’appréciation et de réduction du risque [Guide ISO/CEI 51, 1999]

À partir de ce moment, la suite du processus proposé par ISO est légèrement différente de la méthode de gestion du risque présentée précédemment (cf. Figure 2), mais elle respecte relativement la même logique que celle-ci. La norme pose ensuite une question afin de déterminer si les risques précédemment évalués sont tolérables ou intolérables. Advenant le cas où le risque est jugé tolérable, le produit, procédé ou service est alors considéré comme sécuritaire et le processus prend conséquemment

fin. Cette réponse face au risque serait donc équivalente à l’indifférence, en ce sens que le risque est accepté tel quel et aucune action n’est intentée afin de le réduire. S’il est jugé intolérable, la norme suggère alors de le réduire jusqu’à ce qu’il atteigne un niveau tolérable en appliquant une démarche de réduction du risque (cf. Figure 5).

Figure 5 Processus de réduction du risque [Guide ISO/CEI 51, 1999]

Selon la procédure illustrée ci-haut, le risque doit être réduit en premier lieu par le concepteur du produit, procédé ou service en effectuant dans l’ordre la ou les actions suivantes : (1) prévention intrinsèque (ex. : modifier le design d’un produit), (2) mesures de protection (ex. : ajouter un embout de plastique sur un coin coupant) et (3) information pour les utilisateurs (ex. : mise en garde). Le risque subsistant après la conception peut ensuite être réduit par l’utilisateur, et ce, en se conformant à l’information mise à sa disposition par le concepteur/fournisseur (ex. : porter un équipement de protection individuelle, tel qu’un casque de protection). Comparativement aux mesures proposées pour le concepteur, celles touchant l’utilisateur ne possèdent pas de priorité; l’adoption de l’une ou de plusieurs d’entre elles dépendra donc du contexte. La norme insiste également sur le fait que les dispositifs de protection, de même que l’information mise à la disposition de

l’utilisateur, ne devraient en aucun cas être utilisés pour suppléer aux améliorations que la conception pourrait apporter. Finalement, en comparaison à la méthode de gestion du risque dans les projets (cf. Figure 2), les mesures choisies lors de ce processus de réduction du risque pourraient être équivalentes à de l’évitement (ex. : modifier le design du produit afin d’éviter que l’utilisateur n’entre en contact avec le risque), du contrôle (ex. : émettre une mise en garde à l’utilisateur) ou du transfert (ex. : demander à l’utilisateur de porter un équipement de protection individuelle).

Dans un autre ordre d’idées, le Guide ISO/CEI 51 [1999] contient certaines lacunes qui pourraient limiter la mise en application de la démarche de gestion du risque qu’il propose. Par exemple, il stipule qu’il faut tenir compte des groupes d’utilisateurs probables, mais il ne suggère pas de méthodes ou de moyens permettant de faciliter leur identification. De plus, il ne fait qu’énumérer les mesures préventives possibles (ex. : mesures de protection pour le concepteur) pour la démarche de réduction du risque, sans toutefois donner leur signification exacte. Finalement, comparativement à la gestion du risque dans les projets (cf. Figure 2), la norme ne mentionne en aucun cas la nécessité d’effectuer un suivi des risques, ni de documenter le processus de gestion du risque en son entier.

Le Guide ISO/CEI 51 [1999] propose donc une démarche générale de gestion du risque qui laisse place à une grande liberté d’interprétation, et pour laquelle un certain effort a été consenti afin de donner des directives spécifiques relatives à l’utilisation de produits, services ou procédés (ex. : la considération des groupes d’utilisateurs, le processus de réduction du risque). Tel que vu précédemment, l’application d’une telle démarche pourrait aboutir à l’émission d’informations pour la sécurité, qui pourront par exemple prendre la forme d’une mise en garde. Un nombre impressionnant de travaux ont d’ailleurs été effectués sur ce sujet et la prochaine section de ce chapitre s’y consacre donc pleinement.