Dans les années 1990, James Reason, un professeur de psychologie de l'université de Manchester a tenté de décrire une nouvelle approche de la gestion de la sécurité qui se focalise sur les facteurs de l’organisation mis en jeu dans les accidents.
Ce point de vue tente ainsi de formaliser les responsabilités en matière de sécurité depuis le management jusqu'aux acteurs de première ligne et d'instaurer la lutte contre les défaillances le plus en amont possible pour accroître l'efficacité des systèmes de gestion de la sécurité.
Cette approche s'inscrit dans une tendance qui a vu entre les années 1950 et 1970 l'effort de gestion de sécurité d'abord se focaliser sur les facteurs techniques puis entre les années 1970 et 1990 sur les facteurs humains (importance de l'erreur humaine dans les accidents) et enfin depuis les années 1990 sur les facteurs de l’organisation[1].
Gestion de la sécurité des systèmes complexes : le modèle de Reason
Typologie des défaillances
James Reason, un professeur de psychologie, a proposé un modèle présentant les différentes causes possibles des défaillances[2] :
défaillances patentes ou actives (erreur active de l'acteur en 1re ligne directement liée à l'accident)
défaillances latentes (caractéristique du système qui a contribué à la survenue de l'accident)
Lutte contre les défaillances : les plaques de Reason
Pour Reason, les sources de défaillances sont de trois types[2] :
défaillances techniques
erreurs humaines
défaillances d’organisation
Un constat : impossibilité de supprimer l'erreur du fonctionnement humain
Selon Reason, « l'erreur est inséparable de l'intelligence humaine ».
Le fait est que l'on constate que l'erreur humaine est impliquée dans une très grande majorité d'accidents industriels (catastrophes aériennes, accidents nucléaires, etc.).
Une nécessité : intégrer au système des mécanismes de lutte contre l'erreur
Un système sûr est un système qui se protège par une suite de défenses en profondeur contre le développement d'accidents. Aucune de ces défenses ne peut garantir la sécurité mais leur empilement finit par conférer au système une fiabilité acceptable.
Les plaques de Reason
James Reason propose donc un modèle d’organisation pour la lutte contre les défaillances dans lequel les défenses sont une série de plaques comportant chacune des faiblesses individuelles (des trous dans les plaques, inévitables puisque liées à l'erreur humaine). Le système, dans son ensemble, subit une défaillance lorsque tous les trous sont alignés, ouvrant ainsi «une opportunité de trajectoire» à l'accident.
L'idée est donc d'agir sur les erreurs latentes du système par une surveillance proactive des plaques d’organisation.
L'approche de Reason tente de dépasser le cadre de l'erreur humaine et de traquer les défaillances de l’organisation.
Cela implique donc de définir clairement les responsabilités en matière de sécurité dans l'ensemble de l'organisation (y compris managériale) de l'opérateur (dans le transport aérien il s'agira des compagnies, des prestataires des services, de la navigation aérienne, des aéroports certifiés, etc.).
Trois types de gestion de la sécurité
On peut définir trois niveaux de gestion de la sécurité[3] :
Gestion réactive de la sécurité :
Moyen : investigation des accidents et incidents graves.
Méthode : basée sur la notion d'attendre jusqu'à ce que la défaillance survienne avant d'intervenir.
Gestion proactive de la sécurité :
Moyen : systèmes de comptes rendus volontaires et obligatoires, d'audits.
Méthode : basée sur la notion selon laquelle il est possible de minimiser les défaillances du système grâce à
l'identification des risques à la sécurité présents dans le système avant qu'il ne défaille
la prise des mesures nécessaires pour atténuer ces risques
Gestion prédictive de la sécurité :
Moyen : systèmes de comptes rendus confidentiels, surveillance des opérations normales.
Méthode : basée sur le fait qu'on obtient une gestion de la sécurité plus efficace lorsqu'on recherche les problèmes plutôt qu'en attendant qu'ils se manifestent.
Le processus de gestion de la sécurité
Étant donné que dans tous les systèmes, on observe une dérive pratique entre la performance nominale et la performance opérationnelle, la gestion de la sécurité doit contrôler cette dérive par l'application d'un processus continu qu'on désigne habituellement par la boucle sécurité.
Notes et références
↑Cours de l'OACI sur les SMS Module n°2 Principes de base de la gestion de la sécurité