La sécurité à postériori ou la sécurité à prior

Chapitre 1: Les contours du concept de culture de sécurité L'objectif de ce chapitre est de délimiter les contours du concept de culture de

1.1. De la culture à la culture de sécurité

1.1.2.2. La sécurité à postériori ou la sécurité à prior

Le dictionnaire Larousse définit la sécurité comme une situation dans laquelle quelqu'un ou quelque chose n'est exposé à aucun danger, à aucun risque, en particulier d'agression physique, d'accident, de vol, de détérioration. Les

Voir Reason (1998) pour une définition des concepts d’« accident organisationnel » et d’« accident individuel »

expressions « aucun danger » et « aucun risque » sont la preuve que dans cette définition, la sécurité est conçue comme « une absence de quelque chose » : c’est la conception classique de la sécurité.

Historiquement, la sécurité a été conçue comme une absence d’accident et d'incident ou encore comme le constat à postériori de l'absence d’événements indésirables («non-event» Weick, 2001, p. 335). Dans cette perspective, un système est en sécurité parce qu’au bout d’une période on y a recensé aucun sinon peu d’événements indésirables. Ainsi, pour l’ICAO (2013) par exemple, la sécurité est « The state in which the possibility of harm to persons or of property damage is reduced to, and maintained at or below, an acceptable level through a continuing process of hazard identification and safety risk management »12 (Cité par Hollnagel, Leonhardt, Licu & Shorrock, 2013, p. 6). L’objectif de la gestion de la sécurité est donc de maintenir cet état.

Hollnagel et al. (2013) utilise l’expression « safety-I » pour désigner la sécurité analysée comme une absence de quelque chose. Ces auteurs établissent le lien entre cette façon de concevoir la sécurité et la façon donc la sécurité est gérée en pratique. Ainsi, dans Safety-I, les objectifs de sécurité sont la réduction des résultats indésirables et la sécurité ne dévient une préoccupation qu’à partir du moment où quelque chose a mal tourné ou lorsque quelque chose a été identifié comme un risque. Dès lors, si rien ne se passe pendant un certain temps, le système est considéré comme sûr. Autrement dit, lorsque les choses vont bien, c'est parce que le système fonctionne comme il se doit et parce que les gens travaillent comme imaginé. À l’opposé, quand les choses vont mal, c'est parce que

quelque chose a mal fonctionné (causes techniques, humaines et

organisationnelles). Gérer la sécurité se résume donc à «trouver et corriger » ce

« L’état (du système) dans lequel la possibilité de dommages aux personnes ou à la propriété est réduite et maintenu à un niveau ou en-dessous d'un niveau acceptable grâce à un processus continu d'identification des dangers et de gestion des risques de sécurité » (Notre traduction)

qui va mal, ceci en renforçant la conformité et en éliminant la variabilité. Il est question d’identifier les causes et d’élaborer ensuite une réponse appropriée pour les éliminer ou les contenir.

Cette conception de la sécurité a fait l’objet de nombreuses critiques dont des exemples peuvent être trouvés dans les travaux de Booth (1993) ; Hollnagel (2013 ; 2014a) ; O'Brien (2000) ; Roy, Bergeron & Fortier (2004); Stricoff (2000) ; Shaw & Blewett (1995). Safety-I est en particulier battue en brèche par des courants antagonistes qui considèrent que la sécurité devrait être conçue plutôt comme « la présence de quelque chose ». On retrouve dans ce second groupe les auteurs se réclamant du courant des organisations fiables («High Reliability Organizations » (HRO13)) et ceux du courant de la Resilience engineering14 (Besnard & Hollnagel, 2012 ; Hollnagel et al., 2006 ; Hollnagel et al., 2013). Le courant de Resilience engineering attire l’attention sur le fait que dans sa conception historique, le niveau de sécurité est analysé comme étant inversement proportionnelle au nombre de résultats négatifs et, plus il y a des manifestations, moins il y a de la sécurité et vice-versa. Par conséquent, un niveau parfait de sécurité signifie qu'il n'y a pas de résultats défavorables, donc rien à mesurer. Comme le soulignent Hollnagel et al. (2013), la conséquence de cette façon de concevoir la sécurité est qu’il est malheureusement impossible de démontrer que les efforts pour améliorer la sécurité ont eu des effets, il est donc très difficile de plaider pour plus de ressources.

Par ailleurs, Besnard & Hollnagel (2014) attirent l’attention sur le fait qu’en se focalisant uniquement sur ce qui va mal, Safety-I arrive à oublier que le but de la sécurité est de veiller à ce que les choses aillent bien (Besnard & Hollnagel, 2014). Du point de vue de ces auteurs, mettre l'accent sur le manque de sécurité

Ce courant de recherche est présenté plus loin dans ce chapitre.

ne montre pas la direction à prendre pour améliorer la sécurité. Pour défendre ce point de vue, Hollnagel et al. (2013) mettent en perspective le fait que les hypothèses qui ont fondé le développement de Safety-I au cours des années 1960 et 1980 ne correspondent plus au monde d'aujourd'hui où (i) les systèmes ne peuvent être décomposés de façon significative ; (ii) les fonctions du système ne sont pas bimodales, mais la performance au quotidien doit être souple et variable, (iii) les résultats émergent de la variabilité de la performance humaine, qui est la source de succès et d’échecs. Désormais, dans de nombreuses organisations, la nature dynamique de l’activité amène constamment des changements, à la fois au sein de l’organisation et dans son environnement. Ces changements font que les événements indésirables sont inévitables. Bien que certains d’entre eux puissent être attribués à des pannes et dysfonctionnements, d'autres sont simplement le résultat de la variabilité de la performance humaine associée. Dans ce contexte, l’analyse des accidents ou incidents constitue une opportunité d’apprentissage moindre par rapport à l’analyse des sources de succès (Hollnagel, 2008). Par conséquent, au lieu d’éviter que quelque chose se passe mal, la gestion de la sécurité doit « veiller à ce que tout se passe bien ».

Dans ce qu’ils appellent désormais « Safety-II » Hollnagel et al. (2013) font valoir que la base pour la sécurité doit être de comprendre pourquoi les choses vont bien, ce qui signifie une compréhension des activités de tous les jours. La gestion de la sécurité doit être proactive, de sorte que les interventions soient faites avant que quelque chose ne se passe, ceci afin d’affecter la façon dont elle va se passer ou même empêcher qu’elle ne se produise. Cette sécurité à priori est définie comme la capacité du système de réussir dans des conditions variables, de sorte que le nombre de résultats escomptés et acceptables (en d'autres termes, les activités quotidiennes) soit aussi élevés que possible. Un avantage principal est que les réponses anticipées, dans l'ensemble, exigent un plus petit effort du moment où les conséquences de l'événement auront eu moins de temps pour se

développer et se propager. Le tableau ci-dessous présente un résumé comparatif de Safety-I et Safety-II.

Tableau 1 : Vue d'ensemble de la safety-I et de la safety- II. Source: From Safety-I TO Safety-II: a white paper (Hollnagel et al., 2013, p. 21.)

Safety-I Safety-II

Définition de sécurité

Que le moins de choses que possible tournent mal.

Que le plus de choses que possible aillent bien.

Principe de gestion de la sécurité

Réactif, répondre quand quelque chose arrive ou quand quelque chose est classé comme un risque inacceptable.

Proactif, essayer en permanence d'anticiper les évolutions et les événements.

Vue du facteur humain dans la gestion de la sécurité

Les êtres humains sont principalement considérés comme un passif ou un danger.

Les êtres humains sont considérés comme une ressource nécessaire pour la flexibilité et la résilience du système.

Enquêtes sur les accidents

Les accidents sont causés par des défaillances et des dysfonctionnements. Le but d'une enquête est d'en identifier les causes.

Les choses se produisent essentiellement de la même manière, indépendamment de l'issue. Le but d'une enquête est de comprendre comment les choses vont habituellement bien en tant que base pour expliquer comment les choses tournent parfois mal.

L'évaluation des risques

Les accidents sont causés par des défaillances et des dysfonctionnements. Le but d'une enquête est d'identifier les causes et les facteurs contributifs.

Comprendre les conditions où la variabilité de la performance peut devenir difficile ou impossible à surveiller et à contrôler.

Cette opposition entre « Safety-I » et « Safety-II » a une influence sur notre conception de la culture de sécurité et en particulier sur la façon de mesurer la performance de sécurité. En effet, elle pose la question du choix entre une performance de sécurité mesurée à postériori par le nombre d’évènements indésirables ou à priori par les capacités des individus et du système à faire face à

l’incertitude. Le modèle que nous développons dans le chapitre 2 sera essentiellement basé sur les principes de Safety-II. Nous considérons en effet que le pilotage de la culture de sécurité exige que la performance de sécurité soit mesurée à priori afin que des mesures d’amélioration soient prises à court et moyen termes. Les effets sur les mesures de performance de sécurité à postériori ne sont en principe visibles qu’à long terme. Nous en discutons plus en détail dans la sous-section (1.2.2) consacrée aux aspects comportementaux de la culture de sécurité.

Dans le document Le pilotage de la culture de sécurité en contexte universitaire : analyse de l’interaction entre le système de gestion de la sécurité, le climat de sécurité et les comportements propices à la sécurité (Page 33-38)