Chapitre 1. La sécurité des systèmes à risques
1.4 Questions relatives aux accidents
La perception sociétale de l’accident a fortement évolué depuis l’accident de Tenerife en 1977, du fait de la réduction progressive de l’acceptabilité du risque par nos sociétés. La performance de certains systèmes à risques peut avoir fait naître une croyance de la société en leur infaillibilité et d’une intolérance à l’échec (Amalberti, 2001). Cette croyance de « risque zéro » par le grand public, fait que lorsqu’un accident survient, l’annonce de la recherche du « responsable » précède la nécessaire compréhension de l’événement. De plus, il peut être intéressant de s’interroger sur la capacité des modèles d’accident à détecter le prochain accident.
1.4.1 La responsabilisation et la responsabilité
En aviation, à la suite d’incidents ou d’accidents les opérateurs de premières lignes (pilotes, mécaniciens et contrôleurs aériens) ont fait l’objet de poursuites au pénal dans la plupart des pays européens, aux Etats Unis, Taiwan ainsi que d’autres pays (Dekker, 2011). Ce phénomène n’est pas propre à l’aviation car il touche de nombreux autres domaines : le médical, le maritime, la chimie et la construction. Depuis 1956, où un commandant de bord a été condamné pour homicide involontaire suite à l’accident de son DC-6 qui causa la mort de 56 passagers, ce phénomène s’est développé d’une manière alarmante depuis une quinzaine d’années (Esler, 2011). Par exemple, en 2007, quatre dirigeants du contrôle aérien suisse ont été reconnus coupables d’homicides involontaires. Cette condamnation fait suite à la collision en vol d’un Tupolev Tu-154 et d’un Boeing 757 en 2002 près d’Uberlingen (Allemagne) et du lac de constance qui a fait 71 morts. De plus, un des deux contrôleurs impliqués dans l’accident a été tué deux ans plus tard, par un homme qui avait perdu sa femme et ses deux enfants dans la catastrophe (Brooker, 2008). Plus récemment, dans l’accident du vol AF447 qui a coûté la vie à 228 personnes au large du Brésil, à partir des premières conclusions du Bureau d’Enquêtes et d’Analyses, la juge d’instruction a mis en examen Air France et Airbus (Air Journal, 2011).
Ce phénomène de criminalisation questionne l’entreprise au niveau des comportements acceptables ou inacceptables de l’opérateur et également de la responsabilisation de l’opérateur. La mise en place des SMS dans les systèmes sociotechniques comporte la dimension de culture de sécurité qui comprend différentes composantes : culture juste, culture du rapport, culture d’information et flexible (Reason, 1997). Celui-ci définit la culture juste comme une atmosphère de confiance dans laquelle les personnes sont encouragées (voir récompensées) à fournir les informations essentielles relatives à la sécurité, mais ils ont une
vue claire sur la limite entre les comportements acceptables et inacceptables. Pourtant face à deux dimensions essentielles de la culture de sécurité (culture juste et du retour d’information), l’opérateur peut être dérouté. Encouragé et protégé par un cadre légal (non punitif) pour notifier les événements (erreur ou violation), il se retrouve donc face au risque d’être sanctionné si les faits qu’il reporte sont inacceptables. Ceci peut avoir des effets sur la notification d’événements et sur la responsabilité des opérateurs qui vont ne plus reporter ces événements et se contenter de ne faire que ce qui est prescrit par les règles.
1.4.2 Les modèles d’accidents permettront-ils de détecter le prochain ?
La compréhension sur la façon dont les accidents se produisent dans les systèmes sociotechniques s’est fortement améliorée et pourtant les mesures de sécurité mise en œuvre n’empêchent pas la survenue d’un nouvel accident. Identifier de façon proactive un accident possible afin qu’il ne se produise est très difficile, surtout si ce type d’accident ne s’est jamais produit (Sonnemans & Körvers, 2006).
Une des pistes proposées est, à partir de scénarii d’accidents, d’identifier les précurseurs, en déterminant les conditions latentes qui peuvent négativement affecter les barrières de défense ou ne pas être protégées par une barrière (Edkins, 1998 ; Sonnemans, 2010). Cette piste trouve son acception dans l’idée défendue dans le modèle de Reason (1990). Lors du programme de sécurité proactif des compagnies aériennes INDICATE (Identifying Needed Defences In the Civil Aviation Transport Environment), Edkins (1998) a développé un modèle proactif d’évaluation des défenses (Figure 10) à partir du modèle systémique de Reason (1997).
Selon cet auteur, les défaillances actives (erreurs et violations) et certaines conditions latentes (décisions du management et processus organisationnel) sont difficiles à identifier avant que l’accident survienne, il faut donc évaluer les barrières de défenses.
Synthèse Chapitre 1
L’intérêt de l’approche systémique est d’offrir un cadre pour aborder les thématiques sécurité dans les systèmes sociotechniques complexes. Toute approche de la gestion des risques dans ces systèmes requiert l’utilisation de modèles d’accidents majeurs à visée systémique. Ces modèles guident la manière dont l’analyse des accidents va être conduite (mode réactif) et va permettre de gérer les risques (mode proactif et opérationnel). De nos jours, pour produire de la sécurité, il faut recourir à un modèle opérationnel permettant de faire ressortir les pressions qui s’appliquent au système et plus particulièrement les arbitrages réalisés par les décideurs d’une part (niveau « blunt end ») et les opérateurs de première ligne (niveau « sharp end ») d’autre part. Les modèles de Woods et al., (1994), de Reason (1990, 1997) et d’Amalberti (2000, 2001) répondent à ce besoin, en offrant un cadre pertinent pour l’étude des prises de décisions.
De plus, si l’on considère que « produire » de la sécurité c’est à la fois être proactif (avant), être capable aussi de gérer un système de management (pendant), de répondre en cas de menace ou de survenue d’un accident et d’apprendre (après), alors on peut dire que ces quatre points constituent les quatre piliers de la définition de la résilience proposée par Hollnagel (2010) : 1. Anticiper (i .e. proactif) ; 2. Gérer (i.e. manager les risques et les performances de sécurité ; 3. Répondre (i .e. réactif) ; 4. Apprendre (i.e. travailler sur le retour d’expérience, le reporting et plus largement sur l’amélioration continue des performances de sécurité).
Le chapitre suivant se propose de montrer en quoi le concept de résilience peut être intéressant pour traiter de la question de la sécurité des systèmes sociotechniques complexes.