CHAPITRE I – Une histoire de la sécurité - Partie 1 - De la mine de charbon à la salle d’opération

A history of security – Part I – From the coal mine to the operating room

Marius Laurent

Marius Laurent

Ancien directeur – Centre hospitalier universitaire Tivoli – La Louvière – Belgique | Ancien attaché auprès du service qualité et sécurité du patient du ministère de la Santé – Bruxelles – Belgique | Consultant – Plateforme pour l’amélioration continue de la qualité des soins et de la sécurité des patients (PAQS) – Rue de Cent-Pieds 99 – B7133 Buvrinnes – Belgique Autres articles de l'auteur dans Risques et qualité Articles dans PubMeb
Marius Laurent

CHAPITRE I – Une histoire de la sécurité - Partie 1 - De la mine de charbon à la salle d’opération

Figures

Résumé

Ce chapitre en deux parties s’efforce d’offrir des repères dans l’histoire toujours en cours de la sécurité des patients. Il aborde l’évolution des conceptions de la sécurité, trop souvent présentée comme la succession de trois « époques », où l’accident relève d’abord d’une explication technique, puis de facteurs humains, et enfin de facteurs organisationnels. C’est une vision simplificatrice : même si ces explications ont leur acmé à des moments différents, elles se recouvrent partiellement ou totalement chez la plupart des auteurs, chacun de ceux-ci mettant l’accent sur l’une ou sur l’autre.

Mots clés: Facteur de risque - Gestion du risque - Culture sécurité - Sécurité du patient

Abstract

This two-part chapter attempts to offer landmarks in the ongoing history of patient safety. It discusses the evolution of the conceptions of safety, too often presented as the succession of three “eras”, where the accident is first explained by technical factors, then of human factors, and finally by organizational factors. This is a simplistic vision: even if these explanations reach their acme at different times, they partially or totally overlap in most authors visions, each of them emphasizing one or the other.

Keywords: Risk factors - Warning - Safety culture - Patient safety

Article

« On ne connait pas complètement une science tant qu’on n’en sait pas l’histoire. » – Auguste Comte

Ce chapitre en deux parties s’efforce d’offrir des repères dans l’histoire toujours en cours de la sécurité des patients. Il aborde l’évolution des conceptions de la sécurité, et essaye de la mettre en parallèle avec celle de l’organisation du travail, et avec les théories dominantes de la psychologie et de la sociologie. Cette histoire est souvent présentée comme la succession de trois « époques », où l’accident relève d’une explication technique, de facteurs humains puis de facteurs organisationnels. C’est une vision simplificatrice : même si ces explications ont leur acmé à des moments différents, elles se recouvrent partiellement ou totalement chez la plupart des auteurs, chacun mettant l’accent sur l’une ou sur l’autre [1,2]. Les théories présentées ici se suivent dans un ordre à peu près chronologique qui est parfois plus celui de leurs pères que de leur conception. Il ne s’agit pas de les opposer les unes aux autres ni d’attribuer la paternité d’un progrès à une seule personne. L’histoire de la sécurité est celle d’un effort collaboratif où les idées naissent chez l’un et mûrissent parfois chez l’autre. L’application de ces idées, volontiers nées hors du monde de la santé, reste souvent à inventer.

L’accident vu comme une conséquence de la défaillance technique

L’observation d’accidents dans le but de les expliquer et de les éviter débute avec l’ère industrielle, l’apparition de la machine à vapeur et l’exploitation des mines de charbon et du chemin de fer. Elle est parfois l’œuvre de « technologues » : Charles Babbage (1791-1871), par exemple, précurseur de l’invention de l’ordinateur, a été témoin d’un des premiers accidents de chemin de fer et son interprétation est mécaniste et déterministe : héritier de Francis Bacon et René Descartes, il conçoit le monde comme une mécanique que la science permet de décrire et de comprendre. Les premiers observateurs qui se penchent sur les accidents miniers sont mus par la bonne volonté (clergé, volontaires et bienfaiteurs divers) mais sans grande connaissance des réalités concrètes du métier de mineur ni des technologies utilisées. Leurs buts sont altruistes et bienveillants1. Des comités professionnels se structurent et édictent des règles et des normes techniques. Des organismes officiels et des organismes d’inspection et de certification prennent la suite. La responsabilité du matériel et des techniques est incriminée, des normes, des règlements et des inspections cherchent à discipliner ce monde matériel : l’homme est donc victime d’une technologie imparfaite, ou poussée par un management imprudent au-delà de la limite tolérable, dans un objectif de productivité. De fait, la productivité devient importante pour l’employeur dès lors qu’il ne paye plus un produit fini (le tonneau acheté à un tonnelier), mais du temps de travail. Chercher à accroître l’efficacité et la rentabilité de chaque minute est alors prioritaire [3].

Le taylorisme

L’évolution, ou même la révolution majeure, survient au début du XXe siècle. Le but n’est plus de protéger les travailleurs d’un management peu scrupuleux, mais de protéger le management de la conduite imprudente ou négligente de ses travailleurs. Ce changement de paradigme requiert que la manière précise dont une tâche doit être exécutée puisse être décrite donc qu’on puisse en observer les déviances. La vision qui rend ce glissement possible est celle de Frederick Taylor (1856-1915) et des époux Frank et Lillian Gilbreth (respectivement 1868-1924 et 1878-1972). Les accidents cessent alors de résulter d’aléas mécaniques et techniques. Le taylorisme devient, pour longtemps, la théorie dominante dans le monde industriel et économique : l’organisation répond à des impératifs rationnels (scientifiques) que l’on peut analyser comme tels ; le travail est décomposé en étapes fonctionnelles distinctes qui s’enchaînent logiquement ; ces étapes sont confiées à des exécutants formés et choisis pour leur compétence ; ceux qui conçoivent le travail (blunt end) et ceux qui l’exécutent (sharp end2) appartiennent à des mondes différents ; les méthodes, les procédures et les outils sont standardisés. Même si chacun s’accorde à dire que le taylorisme est dépassé, il imprègne profondément les esprits, et la gestion de la sécurité en porte encore les traces de nos jours. La vision qu’il sous-tend est le fondement de ce que nous appelons la méthode procédurale qui reste « l’étalon or » de la gestion de la qualité. Elle correspond à une représentation rationnelle d’un monde régi par des lois physiques connaissables et compréhensibles par quiconque, un monde hérité de René Descartes et d’Isaac Newton, mais qui ne renie pas Saint-Augustin. Cette vision repose sur une grande confiance dans les avancées de la science et l’application de ses méthodes à la conception du travail. L’approche est matérialiste et rationnelle, elle est méfiante de toutes les initiatives basées sur des heuristiques3, « le bon sens » ou l’intuition. Les cadres édictent des règles pour atteindre une productivité maximale, sans intervention du travailleur, et surveillent leur respect. C’est leur rôle principal. Si Taylor se focalise sur les gains de temps pour améliorer le processus industriel, les époux Gilbreth s’intéressent à l’économie du mouvement. Ils observent les travailleurs et s’appliquent à leur enseigner les gestes les plus efficaces qui leur évitent fatigue et blessure. On ne peut pas encore parler d’ergonomie : leur propos est d’adapter le travailleur à son environnement et non l’inverse. C’est donc une « nuance » qui sépare les Gilbreth et Taylor, alors que le credo rationaliste et scientifique de leur approche les unit. Du point de vue de l’efficacité comme de celui de la sécurité, ce qui importe est de suivre les procédures qui sont le fruit d’une réflexion scientifique. Là où c’est utile, l’automatisation remplace le maillon faible (mythe de l’interchangeabilité de l’homme et de la machine). Des récompenses salariales renforcent l’obéissance : nous sommes dans le monde « S-R » (stimulus-réponse) typique du béhaviorisme qui est la théorie psychologique dominante de la première moitié du XXsiècle (cf. p. 4). La réception de ses idées par les travailleurs déçoit profondément Taylor. Il n’a pas perçu (mais a-t-il à l’époque la culture pour le faire ?) à quel point sa vision déshumanise le travail, nie la motivation à bien faire et la créativité, l’expertise locale et le sens de l’initiative. Taylor marque durablement les conceptions classiques de la gestion de la sécurité en mettant l’accent sur la méthode procédurale qui, de nos jours, reste l’épine dorsale du management. Ces conceptions classiques sont aujourd’hui regroupées sous le nom de safety-I (Cf. partie II).

La théorie des dominos – Herbert William Heinrich (1886-1962)

L’histoire de l’étude des accidents, du comment et du pourquoi ils surviennent, est courte. Elle débute en 1931 avec la publication par Heinrich du livre Industrial accident prevention. Heinrich est actuaire pour une compagnie d’assurance, son regard est teinté de ses préoccupations : il parle surtout de sécurité au travail. À l’époque de la « sécurité des entreprises », l’accident est attribué à un problème mécanique, une panne ou une rupture, ou à un échec humain, l’homme étant le « prolongement » de la machine. Le matériel d’étude de Heinrich est la masse des déclarations faites par les entreprises aux compagnies d’assurance ainsi que des signalements internes. Il est silencieux quant à sa méthode de sélection « au hasard » de l’échantillon qu’il étudie, et ne fournit pas de renseignements statistiques qui permettraient de certifier une quelconque « signification ». Ses données originales sont perdues. Sa vision repose sur trois piliers : les accidents résultent de chaînes causales linéaires et reproductibles (chute de dominos) ; il existe un rapport numérique stable entre incidents, accidents et accidents graves ; la majorité (88% dit-il) des accidents industriels est due à des actes inconsidérés du travailleur.

Des chaînes causales simples

Le jeu de dominos de Heinrich se compose de cinq pièces successives : « ancestry », le caractère du travailleur, ce qui lui est transmis par l’hérédité ou par l’environnement social ; « person », la personnalité du travailleur forgée par son histoire personnelle ; « hazard », un acte imprudent ou des conditions peu sûres à l’origine des accidents ; « accident », point culminant d’une séquence d’événements qui se déroulent dans un ordre fixe et logique ; « injury », la blessure (ou le décès), conséquence de l’accident. Il suffit en principe de retirer un domino de la série pour éviter la chute de tous. Le premier est toutefois quasi inamovible. L’entraînement ou l’éducation influencent le second. Le troisième lui semble une cible plus facile : la formation et l’entraînement, des règles et procédures renforcées par une éducation, un conditionnement béhavioriste (punitions et récompenses) peuvent en venir à bout. Cette vision linéaire où l’accident est la conséquence d’une succession d’événements lancée par une défaillance identifiable reste un credo indétrônable qui n’a été amendé qu’en surface.

La relation entre incidents, accidents mineurs et accidents graves

Heinrich est le premier à définir une relation fixe entre le nombre d’incidents (il parle d’« occurrences »), d’accidents mineurs et d’accidents majeurs. Il arrive à une proportion de 300-30-1 (300 occurrences, 30 incidents, 1 accident4). Cette vision de proportions fixes fait le succès de la « pyramide de Bird » (1961). Frank Bird, un autre employé d’assurance, y voit une proportion de 600-30-10-1 (600 occurrences, 30 accidents matériels, 10 accidents mineurs et 1 accident majeur). Le corollaire est que, si l’on veut éviter les accidents graves, qui sont rares et dont la fréquence est difficile à étudier statistiquement, il convient de s’attaquer aux occurrences et aux accidents bénins : diminuer la taille de la base de la pyramide réduit forcément le nombre des accidents graves. L’hypothèse est séduisante, mais ne résiste pas à l’expérience : l’explosion de la plate-forme pétrolière Deepwater Horizon en 2010 tue onze personnes après six années de fonctionnement sans aucun dommage ni incident [4,5]. Une pyramide sans base… Cette manière de voir les choses implique également que les causes des occurrences et des accidents de gravités diverses soient les mêmes. Ce peut être le cas : les chutes sans conséquences, les bobos, les blessures et les morts pendant une escalade ont des causes communes, liées à la nature de cette passion risquée. Au travail, c’est une autre histoire : les causes en jeu dans les accidents qui tuent ne sont pas forcément les mêmes que celles à la base des accidents qui blessent. Il existe ainsi des observations paradoxales. En Finlande, entre 1977 et 1991, dans le domaine de la construction, contrairement à celui de l’industrie, on observe un rapport inverse entre le nombre d’accidents mortels et d’accidents non mortels. Le même rapport inverse y existe entre les accidents mortels et l’activité de construction (estimée par le cubage réalisé) [6]. On y note aussi que les accidents et les décès sont plus nombreux chez les manœuvres que chez les charpentiers par exemple. Ces derniers par contre souffrent de davantage d’accidents « graves », entraînant une incapacité de travail de plus d’un mois. Difficile dans ces conditions de cautionner l’hypothèse de la pyramide, pas plus que celle des causes communes. On peut faire le parallèle avec la politique de « tolérance zéro » de la police new-yorkaise : poursuivre les briseurs de vitres diminuerait par la force des choses la criminalité plus lourde, pensait-on. Cela ne s’est pas vraiment vérifié, même si le maire Rudy Giuliani s’en fit une gloire. Les moteurs humains qui conduisent au vandalisme ne sont pas les mêmes que ceux qui mènent aux crimes de sang. Les politiques « Zero harm5 » et « Zero accident », à l’instar de la « tolérance zéro », connaissent cependant un succès quasi religieux tant leurs vertus semblent aller de soi. Aucune étude convaincante de leur utilité dans les soins de santé n’a été publiée (ni de preuve du contraire d’ailleurs). Ces politiques ne sont en effet jamais déployées isolément ni testées dans des études raisonnablement protégées des biais. En ce qui concerne la gestion de la sécurité, ces politiques « zéro accident » ou « zéro dommage » mettent un accent exclusif sur l’évitement des erreurs au détriment de l’identification rapide de leurs conséquences éventuelles. Or nous verrons dans la partie II que les hôpitaux qui ont les meilleurs résultats après chirurgie ne sont pas ceux qui ont le moins de complications, mais ceux qui les reconnaissent plus précocement et les corrigent immédiatement. Elles comportent aussi des dangers théoriques évidents : si on les croit réalisables, cela implique que tout accident (qui surviendra forcément un jour ou l’autre) soit occulté, ou vécu comme une faute par la personne qui en sera le « dernier acteur » [7]. Par ailleurs, la réduction du nombre d’accidents peut entraîner un désintérêt relatif pour les objectifs de sécurité (puisqu’ils sont atteints), de sorte qu’on leur attribuera moins de ressources, et davantage à la productivité, par exemple [8]. Cette réduction induit de plus une situation paradoxale : si nous mesurons notre sécurité par le nombre d’accidents, plus notre système est sûr, moins nous rencontrons d’accidents, au point que notre sécurité cesse d’être mesurable. Il convient toutefois de ne pas jeter le bébé avec l’eau du bain. Barry Turner (cf. p. 6), et d’autres après lui, mettent l’accent sur l’importance des événements précurseurs, voyant l’accident naître après une sorte d’incubation. La détection de ces précurseurs (plus encore que leur correction) est capitale. De même, rejeter en bloc la notion de pyramide est peu compatible avec la proposition assez partagée qu’il peut être plus efficace (rentable) de s’attaquer à des incidents nombreux mais bénins qu’à des accidents graves ou catastrophiques, mais rarissimes [9].

Les actes inconsidérés

Heinrich attribue 88% des occurrences à des erreurs humaines, 10% à des conditions (mécaniques) peu sûres et 2% à des phénomènes imprévisibles. L’homme est forcément à la base de l’erreur qui mène à l’accident, sauf si l’on peut démontrer une cause mécanique. Heinrich ne s’intéresse ici qu’à la cause « proche » de l’accident, celle qui lui semble être un objet que l’on peut étudier et éventuellement prévenir. Il se penche peu sur ce que nous appelons les causes profondes et n’aborde donc pas le chapitre organisationnel. William Deming (1900-1993) s’intéresse quelques années plus tard aux causes « lointaines » et n’attribue à l’origine humaine que 5% des accidents, le reste étant systémique [10]. Opposer les deux est vain, l’un parlant de causes directes, l’autre de causes sous-jacentes. Pour Heinrich, si l’accident survient, c’est que l’opérateur est inattentif, sujet aux erreurs, malhabile ou imprudent. Il convient de l’encourager à suivre les procédures prévues (affiches sur le lieu de travail par exemple). Si cela ne suffit pas, il sied de le punir pour le rééduquer, de le « prendre en main » et de le corriger pour que l’accident ne se répète pas, ou de le remplacer comme on remplace une pièce défectueuse. L’époque aime assez la notion de l’existence de travailleurs plus prédisposés que d’autres à commettre des erreurs. Cette thèse ne semble plus pertinente aujourd’hui, même s’il existe des arguments pour la défendre dans des circonstances particulières. L’accident dans ce monde d’après Taylor et Heinrich est dû à la défaillance humaine ou technique de l’une des étapes de la tâche telle qu’elle a été décomposée. Il résulte d’une succession linéaire d’événements qui s’enchaînent de manière déterministe et obéissent à des liens de cause à effet. Cette vision de l’erreur humaine et de l’enchaînement des événements reste présente jusque dans la vision de James Reason (cf. p. 11). Comme les lois physiques sont connues, les conséquences (effets) d’un acte déviant sont prévisibles et cet acte est d’autant plus condamnable que ses conséquences sont graves.

Le béhaviorisme – John Watson (1878-1958) et Burrhus Skinner (1904-1990)

La logique de Heinrich s’inscrit remarquablement dans le contexte du mouvement béhavioriste qui s’installe aux États-Unis pour y monopoliser la scène de la psychologie. Le béhaviorisme s’occupe de ce que vous faites, de votre comportement. La conscience sort du cadre de ce qu’étudie la psychologie, et ne parlons même pas de l’inconscient. Plutôt que s’intéresser à la signification d’une attitude, on évoque ses conséquences. Tout se concentre sur le comportement et comment l’influencer scientifiquement. L’expérimentation fait souvent appel au modèle animal (le rat dans son labyrinthe) : le conditionnement et son schéma S-R (stimulus-réponse) deviennent le pilier de la science psychologique nouvelle, qui va jusqu’à réduire de la sorte des expressions humaines comme l’art et la religion. Cette vision « réductionniste » (Arthur Koestler parle à son propos de « ratomorphisme ») dure jusqu’aux années 1960. Son aspect matérialiste et pratique cadre avec l’essor de l’industrialisation et les théories de Taylor. Le comportement peut s’étudier sans référence à des événements mentaux : ce sont l’environnement et des interventions externes qui le régissent, pas l’esprit ; l’apprentissage lui-même n’est plus un phénomène psychologique, mais se réduit à ce que le sujet (ou le rat d’expérience) fait ou est amené à faire en fonction de stimuli qu’on lui impose ; des gratifications encouragent l’adhésion aux procédures, des sanctions découragent les déviances (on parle de renforcement). Il ne reste plus qu’à adapter le comportement du travailleur aux intérêts du commerce et de l’industrie [3]. Son bien-être ne fait pas partie du lexique de l’époque. La sécurité se mesure en LTI (lost-time injuries), le temps perdu à cause de blessures (un mort sur le lieu du travail ne perd pas de temps : il ne compte plus).

Les facteurs humains

La Seconde Guerre mondiale crée une révolution dans le monde du travail, de la psychologie appliquée à l’industrie et de la sécurité. Elle s’accompagne d’une évolution technologique d’une rapidité sans précédent. Le modèle classique de l’homme, pièce malléable, qui doit s’adapter à une technologie fixe et immuable, trouve sa limite : la technique n’est plus « figée », elle progresse sans cesse (que l’on pense à la succession des avions nouveaux, chasseurs et bombardiers) et bouscule les possibilités d’adaptation humaine. La guerre est globale : elle entraîne la nécessité d’employer une main-d’œuvre non formée (les femmes, « mobilisées » en Angleterre par exemple pour accomplir des tâches jusque-là dévolues aux hommes), et d’en utiliser une autre à des tâches complexes totalement éloignées de celles de la vie civile (faire voler un avion). Le temps dédié à la formation est limité et la possibilité de sélectionner les meilleurs est illusoire. Les piliers du taylorisme vacillent. De même que ceux du béhaviorisme, bousculés par l’apparition des « facteurs humains » : l’idée maîtresse est que les facultés d’adaptation de l’homme à un environnement technologiquement fixe ont trouvé leurs limites. L’environnement est mouvant, et les accidents ne naissent pas (seulement) d’un comportement inadéquat, mais de conditions technologiques ou organisationnelles qui favorisent les erreurs ou ces fameux comportements (Tableau I). Ainsi, alors que, dans un poste de pilotage de bombardier, la proximité de leviers semblables provoque des accidents répétitifs dus à une rentrée intempestive du train d’atterrissage après que l’avion s’est posé, il suffit d’ajouter une poignée en forme de roue au levier qui commande le train pour que l’erreur disparaisse.RQ_XX_HS_CH1_Laurent_tab1

Le traitement de l’information

La psychologie cognitive s’attache à la signification des stimuli, puis à la construction du sens que nous donnons à notre perception des choses. Elle garde un vocabulaire dérivé de la technologie de l’électronique et de l’informatique naissante. L’information présente dans l’environnement est traitée par nos sens et nos perceptions conscientes, modifiée voire altérée, et interprétée (trois lignes forment un triangle). Dans sa forme la plus simple, le traitement de l’information s’interpose en couches successives entre le stimulus et la réponse, et vise à donner un sens au stimulus de sorte que la réponse soit appropriée : recherche de sens et traitement de l’information sont synonymes. Ces couches séquentielles de traitement ont une architecture qui ressemble furieusement à celle d’un programme d’ordinateur.

La conscience situationnelle

Le terme « conscience situationnelle » (situation awareness) vient en droite ligne de l’aviation. Le concept a été théorisé par Mica Endsley (1961) [11]. Elle y voit trois étapes : la perception de la situation et des éléments qui la composent, la compréhension de la situation telle qu’elle se déroule actuellement, et la projection dans le futur de l’évolution de cette situation. La perte de cette conscience situationnelle est source d’accidents. Cette « conscience » reste toutefois difficile à définir : elle exige un point de vue « hors des événements » pour être objective. Sa perte se mesure à la différence entre ce que l’on sait de la situation après l’accident et ce qu’on en savait avant : le biais de rétrospection est incontournable.

L’ingénierie des systèmes cognitifs

L’omniprésence de l’ordinateur, le fait qu’il remplace l’homme dans certaines tâches, et que l’homme doive apprendre à travailler avec lui conduit au concept de cognitive system engineering6 [12]. L’intrication de l’humain et de la machine et leur interaction donnent naissance à la notion de système sociotechnique. La machine agit de plus en plus comme une source de connaissance et comme un « collaborateur », et plus seulement comme un simple outil. L’unité d’analyse est donc le système conjoint homme-machine, et non l’homme seul. On parle de joint cognitive system7. Du point de vue de la gestion de la sécurité, des concepts spécifiques émergent :

  • l’utilisation maladroite de technologies, liée à une conception inamicale de celles-ci, qui crée de nouveaux défis cognitifs au lieu de les résoudre : difficile d’imaginer faire équipe avec un ordinateur si l’on ne comprend pas ce qu’il est en train de faire ;
  • la surcharge de données : l’ordinateur multiplie notre capacité à récolter et traiter des données. Partiellement traitées, elles submergent vite l’opérateur, en particulier quand quelque chose d’anormal se produit. La capacité humaine d’attacher un sens aux données est dépassée par leur masse ;
  • l’erreur de mode : les systèmes techniques travaillent selon différentes configurations (des « modes ») qui modifient certains automatismes donc certains comportements. L’opérateur peut se tromper lors de la configuration du système, ce dernier se comportant ensuite de manière inattendue. La méconnaissance du mode actif par l’opérateur peut être en cause ;
  • la surprise de l’automation : un système réagit de façon automatique à une situation sans intervention de l’opérateur [13]. La surprise peut naître tant de l’intervention de l’automatisme que de son action, si l’événement déclenchant n’a pas été signalé à l’opérateur8.

Les événements précurseurs (Man-made disasters) – Barry Turner (1937-1995)

Le livre Man-made disasters ne fait pas grand bruit lors de sa sortie en 1978 [14]. Turner est intéressant parce qu’il porte un regard neuf sur la genèse des accidents : il est sociologue et c’est sous cet angle qu’il les analyse. Alors qu’à l’époque de la guerre froide les analystes de la sécurité se préoccupent surtout de la gestion des suites de la crise (la peur de ces années est celle d’un holocauste nucléaire), lui s’intéresse à ses prémisses. Pour lui, l’accident n’est pas cet événement « soudain et imprévu » que définissent les dictionnaires. Il est précédé d’une période d’incubation parfois longue pendant laquelle tout se déroule comme d’habitude, c’est-à-dire ordinairement très bien. Des accidents sont possibles, mais ils ne remettent pas en cause l’ordre des choses : ils sont le plus souvent attribuables à des violations de règles. Mais des événements passent sous le radar : tous les acteurs, et en particulier un management trop insouciant, ne les connaissent ou ne les comprennent pas [15]. Le monde tel qu’il est s’écarte insensiblement du monde tel qu’il est perçu par ses acteurs. Turner attribue cette dérive à des préjugés et des incompréhensions, des comportements que nous décririons aujourd’hui comme les fruits de biais cognitifs (difficulté à changer d’avis, à envisager les hypothèses défavorables). Ces événements passent inaperçus aussi parce qu’ils se fondent dans un bruit ambiant ou dans l’excès d’informations à analyser. Il note que chacun dans son environnement se construit une vision « pour lui » des événements et de la situation et se comporte « rationnellement » en fonction de cette vision (et de tous ses défauts). On parle de rationalité locale : la vision globale, « de loin », des phénomènes en cours est difficile voire impossible pour les acteurs, qui peinent à imaginer les conséquences de leurs actes en dehors du cercle proche. Ces événements qui ne sont pas pris en compte poussent insensiblement le système vers une zone où davantage de risques existent. Les remarque-t-on que des mesures adéquates peuvent être prises à temps. Après l’accident, il est souvent dit de ces événements qu’ils étaient « prémonitoires ». Le problème est (et reste) de savoir s’ils peuvent être identifiés en amont. La migration progressive d’un système sûr vers un système qui l’est moins est étudiée plus avant par Jens Rasmussen (ci-après) puis par Sidney Dekker (1969) et René Amalberti (1952) (cf. partie II). Karl Weick (1936) et les tenants des High Reliability Organizations (HRO, cf. partie II) insistent eux sur l’importance de l’attention portée aux opérations, et sur le scepticisme à conserver vis-à-vis des succès passés qui n’impliquent pas automatiquement le succès futur. Les uns et les autres se préoccupent de la méconnaissance des événements précurseurs. Cette migration est souvent insensible : il est rare qu’une décision isolée et spectaculaire soit à la base d’un accident, il s’agit plus généralement de l’accumulation de compromis nécessaires entre la sécurité et la « productivité ». Ces compromis apparaissent chez Reason sous la forme des « facteurs latents ». Ils échappent le plus souvent aux analyses a posteriori, en tout cas en ce qui concerne les accidents qui se déroulent dans des organisations « raisonnablement sûres ». Ceci n’est pas anodin et pose la question de l’utilité des signalements d’accident et de la légitimité des analyses qu’on en fait. Une question qui fâche, mais qui mérite le débat dans un monde qui se veut scientifiquement critique mais épouse aveuglément les théories dominantes.

Le modèle « compétence, règle, connaissance » – Jens Rasmussen (1926-2018)

Jens Rasmussen est un ingénieur. Il est difficile de le rattacher à un volet particulier de la gestion du risque et de la sécurité dans la mesure où il les a quasiment tous « inventés ». La plupart des acteurs contemporains de la sécurité sont ses élèves, ou se réclament peu ou prou de ses travaux. Paradoxalement, on ne trouve qu’une seule référence à Rasmussen dans le rapport To Err is Human (cf. partie II) [16].

Le modèle Skill-Rule-Knowledge (SRK)

Le modèle Skill-Rule-Knowledge (compétence, règle, connaissance) est sans doute la partie la plus connue de son travail parce qu’il a été repris par James Reason. Plongé dans l’étude des facteurs qui peuvent influencer les comportements et éventuellement mener à l’erreur, Rasmussen classe empiriquement les facteurs humains en fonction du niveau de l’état de conscience qui est aux commandes lors de la prise de décision (Figure 1) [17]. Rasmussen fait la distinction entre trois niveaux cognitifs. Le niveau skill based9, où l’opérateur agit sur un mode quasi automatique, est l’état d’un conducteur expérimenté sur une autoroute peu fréquentée par beau temps. Il est à peine conscient du fait qu’il prend des décisions et, à la limite, le fait de les prendre en pleine conscience après délibération serait plus dangereux que productif. Les erreurs typiques de cet état sont des omissions ou des inversions de tâches dans des séquences automatiques, des « lapsus ». Le niveau rule based10 correspond à une situation qui cesse d’être totalement stéréotypée, dont l’opérateur doit chercher si elle lui est connue ou peut être rattachée à ce qui lui est connu. S’il trouve une analogie, il cherche à guider sa réaction à l’aide de règles simples. Ainsi, le conducteur devant un obstacle peut choisir de freiner, de le contourner ou les deux en fonction de la distance, de l’état de la route, des autres usagers, etc. Les règles sont de structure simple (si… alors… ou…), et les erreurs consistent à mal appliquer une règle correcte, ou à appliquer une mauvaise règle. Le niveau knowledge based11 est atteint quand l’opérateur ne trouve pas d’analogie. Il doit alors mobiliser ses facultés cognitives pour se construire un modèle qui lui permette de « tester » intellectuellement les conséquences de l’une ou l’autre décision, en se basant sur ses connaissances et son expérience. L’erreur, possible, est alors complexe et surtout difficile à déceler avant qu’elle ne produise des effets. Reason approfondit cette classification mais n’en tire pas les mêmes conclusions. Sa vision est statique, taxinomique, ce qui lui permet de classer des erreurs humaines en catégories explicites. Cette classification se retrouve par exemple dans la taxinomie d’Eindhoven utilisée par la méthode d’analyse PRISMA12 [18] et dans la taxinomie des événements indésirables que propose la Joint Commission on Accreditation of Healthcare Organizations13. Rasmussen ne considère pas son modèle comme une classification taxinomique, contrairement à ce qu’en fait Reason. Il n’y voit pas des stéréotypes, mais des mécanismes cognitifs de nature distincte parmi lesquels l’opérateur se déplace avec des va-et-vient au fil du temps. Il voit ce déplacement comme un mouvement de balancier entre un processeur rapide (instinctif) et un processeur plus lent (plus intellectuel), activé différemment selon le contexte. C’est une vision peu normative, proche de la vision « naturaliste » que développe Garry Klein (1944) dans sa théorie de la prise de décision et de celle de Daniel Kahneman (1934, cf. partie II) [19].RQ_XX_HS_CH1_Laurent_fig1

La notion de système sociotechnique

L’opérateur applique des procédures qui tiennent compte de l’enchaînement « normal » des événements. Ces procédures négligent le fait que ce déroulement « normal » est plus une vue de l’esprit de son concepteur que le reflet de la réalité vécue par l’opérateur (work as imagined vs work as done14). En outre, elles sont établies en fonction d’impératifs réglementaires ou techniques régis à un autre niveau (fonctionnel ou hiérarchique) que celui de l’opérateur. Ces niveaux impliquent des métiers, des formations et des compétences très différents. La connaissance que chaque échelon a des autres est incomplète. Si des changements de contraintes surviennent à un échelon inférieur, menant à une modification du comportement, leur traduction nécessaire en de nouvelles réglementations peut ne jamais avoir lieu. L’étude de ces systèmes complexes est d’autant plus difficile que c’est une discipline académique distincte qui en analyse chaque niveau. Les intérêts et les buts de chaque niveau ne sont pas forcément identiques. Ils ont chacun leur hiérarchie et leur direction. Souvent, cette dernière connaît mal leur vie et leurs préoccupations : le travail de conduite d’entreprise devient dans notre société un métier en soi. Le directeur fait des études en management et est compétent pour diriger une institution, quel que soit son domaine. Ajoutons que la financiarisation du monde veut que de plus en plus de cadres dirigeants soient issus du milieu économico-financier. Le hiatus entre le management et les opérateurs n’a jamais été aussi grand qu’aujourd’hui. Ces dirigeants sont à leur tour tributaires de décideurs politiques dont les priorités sont à la fois sécuritaires et budgétaires, qui doivent négocier avec des associations, des industries et des lobbies qui ont leurs priorités propres. Les exigences du public changent aussi avec le temps : une norme de sécurité adaptée aujourd’hui sera peut-être dépassée demain, mais il faudra un accident pour s’en rendre compte. De sorte que chacun dans la chaîne doit à tout moment gérer des compromis entre ce qu’il devrait faire et ce qu’il peut faire. Cette vision systémique du partage des responsabilités et de sa répartition par niveau de pouvoir (Figure 2) se traduit par une représentation graphique originale des trajets qui mènent à un accident : l’« AcciMap » (Encadré 1) [20]. Plus personne n’envisage désormais la genèse d’un accident sans l’inscrire dans un « système ». Le sens précis du mot n’est pas toujours clairement défini. En revanche, la notion de système sociotechnique connaît des développements théoriques profonds et parfois applicables aux soins de santé. Le plus connu est le Systems Engineering Initiative for Patient Safety15 (SEIPS) de Pascale Carayon (1961) [21-23]. On a tendance à ne retenir de ce modèle que ce qui concerne les tâches, la technologie, l’organisation et l’environnement proche (l’opérateur/sharp end) [24]. Or il a également été développé pour répondre au monde de l’informatique appliquée aux soins et aux rapports qu’il entretient avec la sécurité du patient [25]. Le monde des soins a peu utilisé l’AcciMap même si la méthode montre des qualités. Des travaux récents soulignent que son utilité a probablement été sous-estimée [26,27]. Son utilisation large dans d’autres secteurs favorise une vision globale, permettant d’énumérer les catégories de dysfonctionnement dans chaque étage du système, et d’en tirer des recommandations pour l’avenir [28].RQ_XX_HS_CH1_Laurent_fig2


Encadré 1 – L’accident de Zeebrugge (1987).

Dans le cas de l’accident de Zeebrugge, l’AcciMap* montre que le navire Herald of Free Enterprise, conçu pour accoster à des quais à deux niveaux, est dérouté vers Zeebrugge pour des raisons de management. Or le quai de Zeebrugge n’a qu’un seul niveau. Le ferry doit donc remplir ses ballasts d’eau de mer, en particulier à l’avant pour faire plonger la proue et se mettre au niveau du quai. Le jour de l’accident, la vidange des ballasts avant nécessaire pour redresser le navire prend du temps et, au moment du départ, ils ne sont pas entièrement vides, ce qui n’est pas anormal en soi. La fermeture de la porte avant n’est pas vérifiée, mais est considérée comme accomplie : la seule vérification existante est le contrôle visuel de la fermeture par un préposé, au repos dans sa cabine à ce moment-là. L’absence de signalement d’une anomalie est interprétée comme une absence d’anomalie. Des contraintes de temps poussent en outre le capitaine à naviguer à vitesse élevée et à virer au plus court, de sorte que de l’eau s’engouffre sur le pont principal et déstabilise le navire. Notons que les mêmes contraintes de rentabilité qui poussent à aller vite et à accoster dans un port pour lequel le navire n’est pas conçu ont, au fil des années, poussé à accroître la charge en passagers et en véhicules du navire jusqu’à 13% au-delà des prescriptions techniques définies à l’époque de sa construction. C’est aussi le cas pour tous les autres ferries de la même compagnie. Nous sommes loin de la seule responsabilité du marin endormi qui aurait dû contrôler la fermeture de la porte.

* Accessible à : https://rib.msb.se/Filer/pdf/16252.pdf


La notion de migration

Rassmussen n’est pas à l’aise avec la notion d’erreur humaine. Il est de ce point de vue l’héritier du physicien, philosophe et psychologue Ernst Mach (1838-1916) qui pensait que « la connaissance et l’erreur coulent de la même source mentale : seuls le succès ou l’échec peuvent les départager ». La notion d’erreur implique selon Rasmussen un aspect purement normatif : pour parler d’erreur, il faudrait pouvoir décrire une référence cognitive à laquelle on pourrait l’opposer. Si les investigations autour d’un accident créent effectivement cette norme, c’est toujours a posteriori : pendant une opération normale, des erreurs apparaissent, mais l’observateur est bien en peine de les reconnaître comme telles tant qu’une norme n’a pas été définie, ou qu’il n’en perçoit pas l’éventuelle conséquence (l’accident). Pour Rasmussen, l’erreur fait partie de la variabilité normale de la performance humaine. L’opérateur développe sa compétence par l’expérimentation où l’erreur est omniprésente. Pour peu que l’environnement soit « amical », l’erreur n’a pas de conséquence, est décelable et corrigible. L’erreur humaine est donc pour lui une expérience ratée dans un milieu inamical avec des conséquences inacceptables [29]. Des règles et procédures délimitent la zone de fonctionnement sûr d’un système. La séquence des tâches est établie, qui respecte au mieux les règles de sécurité. Mais l’expérience montre qu’il faut très tôt ajouter des degrés de liberté pour tenir compte des exigences de performance qui paraissent « raisonnables » à l’analyste. À côté de la zone de fonctionnement sûr existe donc une « zone habituelle de fonctionnement » où une prise de risque est possible, où des incidents peuvent se produire. L’expertise des acteurs ou la chance seule peuvent peut-être les intercepter. L’analyste ne peut malheureusement pas prévoir toutes les conditions susceptibles d’agir localement. Son analyse ne tient en général pas compte du fait que la tâche qu’il planifie ne s’accomplit pas seule, mais en même temps que d’autres. Il en résulte que les règles et les procédures ne sont guère suivies à la lettre. Ces transgressions semblent rationnelles dans la mesure où elles sont souvent indispensables à la bonne marche du système, et augmentent la performance sans introduire de dysfonctionnement [30]. Dès lors, quand l’accident survient, on trouve toujours quelqu’un qui n’a pas suivi la règle, parce qu’il appliquait la pratique habituelle en la circonstance. Peut-on parler d’erreur humaine, de violation, ou bien s’agit-il d’expérimentation à la frontière, nécessaire au développement d’une expertise ? La conception du système doit permettre cette exploration en toute sécurité. Trois moteurs concourent à la migration d’un système hyper sûr par conception théorique vers un nouvel espace de sécurité acceptant un certain niveau de risque (Figure 3) : les contraintes qu’impose l’organisation, en particulier en matière de budget de fonctionnement et d’exigence de performance ; les contingences personnelles de l’opérateur, qui peuvent soit (rarement) le pousser à une prise de risque, soit plus souvent le pousser à limiter sa performance et sa prise de responsabilité ; la technologie, qui apporte classiquement des moyens matériels pour améliorer la sécurité – une fois installés, ces nouveaux moyens technologiques permettent de renforcer la sécurité, mais aussi d’augmenter la performance, modifiant les attentes du personnel et de l’organisation (homéostasie du risque). C’est l’interaction de ces facteurs qui déplace le point de fonctionnement du système hors de sa zone de sécurité « par conception », vers une zone de sécurité « d’usage ». Tant que les acteurs perçoivent bien les limites de cette zone, le système fonctionne normalement. Si les frontières deviennent floues, ou si les pressions pour prendre des risques augmentent, le système peut migrer de cette zone de sécurité d’usage à la zone dangereuse. La sécurité ne s’obtient pas en imposant une aversion au risque, mais en développant une compétence à sa gestion. René Amalberti [31] et Sidney Dekker [32] approfondissent ce phénomène de migration pour en faire une constatation devenue universelle [33]. Rasmussen apporte des explications qui sont toujours d’actualité. Il est avant tout un gestionnaire des risques : les accidents servent de modèle ou de stimulant pour trouver les moyens de les empêcher, mais le but de la gestion des risques est d’agir avant l’accident [20] (Encadré 2).RQ_XX_HS_CH1_Laurent_fig3


Encadré 2 – Que retenir de Rasmussen ?

  • Le modèle SRK* : le raisonnement humain n’est rationnel et réfléchi qu’en dehors des actes routiniers.
  • Les systèmes sociotechniques : la sécurité n’est pas que l’affaire de l’acteur qui réalise la tâche : toute la hiérarchie, y compris celle du législateur ou de la société et de ses attentes, est en jeu.
  • La transgression des règles est humaine, elle répond souvent à la nécessité de rester efficace malgré les contraintes.

* Skill-Rule-Knowledge, compétence, règle, connaissance.


Le modèle du fromage suisse – James Reason (1938)

Dans les années 1990, il semble clair que l’opérateur n’est pas seul en cause dans les accidents. On se penche sur les rouages de l’ensemble de l’organisation (« le système ») qui l’a placé là où il est. Même Taylor laisse cette porte ouverte : c’est le management qui décide qui est le mieux adapté à tel ou tel poste : s’il se trompe, c’est sa faute propre, pas celle de l’opérateur. Les tenants des « facteurs humains » soulignent l’importance de l’environnement et de l’ergonomie. Les premiers livres écrits par James Reason, qui est psychologue, font le point sur les explications qu’apporte la psychologie cognitive à la genèse d’erreurs humaines. Il y fait largement appel aux travaux de Jens Rasmussen et en particulier au schéma SRK du raisonnement humain [34]. Il constate que de nombreuses erreurs surviennent qui naissent dans chacun des trois étages de la vision SRK. Ces erreurs semblent inévitables et ancrées dans la nature humaine, mais sont généralement sans conséquence parce que la plupart sont détectées et neutralisées. Il faut qu’elles se combinent à des défauts souvent inaperçus existant dans l’organisation et à des failles dans les protections mises en place pour provoquer un accident. C’est cette conjonction d’erreurs actives (ou de transgressions de règles), d’erreurs « latentes » et de failles dans les barrières (il parle de « pathogènes résidents ») qui mène à l’accident. L’invention des facteurs latents [35], cachés dans la structure même de l’organisation, qu’on ne voit que si on les traque ou quand ils se révèlent à l’occasion d’un accident, est une avancée considérable. L’homme est faillible sans être en faute. L’organisation elle aussi peut receler des défauts cachés, des problèmes liés à sa culture interne par exemple, qui combinés aux erreurs humaines forment les prémices d’un accident. Facteurs actifs et pathogènes résidents s’enchaînent (soulignons le mot : c’est une chaîne linéaire – Reason emploie le mot « concaténation ») pour mener à l’accident. L’organisation doit veiller à mettre en place une structure capable d’intercepter les prémices et de les empêcher de progresser jusqu’à l’accident. On parle de « barrières ». Le modèle théorique de l’erreur humaine que développe Reason est largement taxinomique. L’erreur peut être le fruit d’une action non intentionnelle (il parle de « slip », faute d’inattention, et de « lapse », faute de mémoire) ou d’un acte délibéré (« mistake », mauvaise application d’une règle correcte, ou application de la mauvaise règle si on est dans le « rule based », ou défaut de connaissance et faute de raisonnement dans le « knowledge based ») ou d’une violation (de la non-observance banale à l’acte de sabotage). Les slips et lapses appartiennent au monde des actions de routine, aux automatismes de la catégorie « skill based » et sont de loin les causes les plus fréquentes d’accident. Il est ici en désaccord avec Rasmussen qui estime que la majorité des défaillances qui peuvent être attribuées à l’opérateur humain surviennent dans des situations complexes et non routinières où il doit ajuster ses procédures tout en tenant compte de nombreux paramètres (l’exemple typique est un atterrissage par mauvais temps) [36]. Reason traite les violations à part, mais sur le même pied que les erreurs. À l’inverse de l’erreur, la violation est délibérée, pas forcément dans un but délictueux, le plus souvent simplement pour parvenir (plus vite, sans effort) au but poursuivi. Il y a souvent un contenu social et culturel derrière les violations. Il en compte trois catégories : les violations de routine (des raccourcis la plupart du temps), les violations obligées (telle une double vérification non réalisée faute d’une deuxième infirmière disponible), et les violations par intérêt personnel. Ces définitions semblent claires, mais la distinction entre les erreurs entre elles et entre les erreurs et les violations est souvent floue et n’apparaît que lorsqu’on fouille les mécanismes psychologiques. Les représentations en « tranches de fromage » datent de la rencontre de Reason avec John Wreathall (1947) lors d’un congrès en Italie. Wreathall est un ingénieur qui s’occupe de la sécurité des centrales nucléaires. Il concrétise les sources de danger sous forme de plans superposés (les décisions hasardeuses du management, les déficiences de la ligne hiérarchique, les événements psychologiques précurseurs d’actes hasardeux, les actes hasardeux eux-mêmes, et les défenses inadéquates). Les trois premiers plans et le dernier correspondent aux erreurs latentes. Dans la deuxième version du « Swiss cheese model », les tranches représentent des barrières et se réduisent à trois : organisation, lieu d’activité et personne. La dernière version développée avec Wreathall détaille le dernier plan des défenses, en le décomposant en plusieurs plans parallèles s’interposant sur le chemin de la progression potentielle d’un accident depuis les couches plus profondes. Cette représentation a un grand succès. Il y symbolise les protections par des tranches de fromage suisse, dont les trous s’alignent parfois pour laisser passer la trajectoire qui mène de l’erreur à l’accident (Figure 4). L’image de ces « tranches » parallèles de défense illustre la notion de « défense en profondeur » typique de sa pensée : la sécurité naît de la juxtaposition de barrières de natures diverses, de sorte que les conséquences des failles de l’une d’elles soient interceptées par la suivante. La notion de défense en profondeur a encore un succès universel de nos jours, même si elle n’est pas à l’abri de la critique. Rasmussen par exemple souligne que, dans un tel système ayant des défenses et des protections redondantes, une violation locale de l’une des défenses qui n’a pas d’effet immédiat peut passer inaperçue ; dans cette situation, le comportement vertueux et sûr d’un acteur n’assure plus la sécurité du système, qui dépend de la transgression possible par d’autres acteurs des défenses qui subsistent [30].

William Haddon (1926-1985) a avant eux exploré la notion de « barrières ». Il s’est intéressé en particulier aux accidents de la circulation : sa conception de l’accident est celle d’une libération non contrôlée d’énergie, les barrières étant là pour bloquer ou canaliser cette énergie [37]. Reason adopte aussi cette vision « énergétique » de l’accident et du rôle des barrières. Dans son modèle, l’accident n’est plus seulement la résultante d’une chaîne unique de causes et d’effets, mais de la conjonction de plusieurs d’entre elles, où l’erreur ou la transgression (les « facteurs humains ») joue un rôle, bien sûr, mais où l’organisation du travail a ses propres responsabilités (les facteurs latents) et où l’ergonomie et la gestion des ressources humaines ont leur importance. L’appel aux facteurs latents rend le modèle de Reason peu lisible : on voit mal une organisation lancer la chasse à ces facteurs latents qu’on n’évoque le plus souvent qu’a posteriori, quand l’accident est survenu. Reason est un des premiers aussi à définir et à utiliser la notion de « culture de sécurité ». Sa vision est fonctionnaliste : la culture est construite, elle peut être modifiée, voire imposée par des actions et des initiatives. C’est un psychologue, il n’adopte pas la vision culturaliste qui fait de la culture un attribut quasi immuable de l’organisation (cette vision fonctionnaliste passe à l’arrière-plan dans les conceptions de ses successeurs, Erik Hollnagel en particulier (Cf. partie II). La culture de sécurité est un concept dont le succès est peut-être plus envahissant que justifié, de sorte qu’un chapitre propre lui est consacré16. Si Reason a d’abord insisté sur les origines systémiques des accidents, il met de plus en plus l’accent sur l’homme et son comportement dans ses écrits après 1990. Le balancier quitte donc le « tout au systémique » pour revenir davantage au facteur humain, pas toujours pour désigner un responsable, mais parfois aussi un « héros » qui évite les accidents. Reason reste malheureusement peu disert sur les barrières (les tranches) et sur la nature des trous dans ces barrières et la manière dont ils apparaissent. Son modèle est de ce point de vue très statique. Il explore peu de pistes sur la façon de gérer et d’améliorer la sécurité. Notons que, même s’il souligne les origines systémiques des accidents, il reste un héritier de Heinrich : l’erreur active est une condition nécessaire à l’accident ; l’accident résulte d’un enchaînement linéaire d’événements ou de facteurs ; l’amplitude de la cause détermine celle de la conséquence (un petit domino n’en fait pas tomber un grand) ; il existe nécessairement des événements précurseurs aux accidents, que les barrières arrêtent en chemin et qui sont de même nature que les accidents : ils en partagent les causes. Les risques sont des transferts non contrôlés d’énergie qui deviennent accident lorsque cette énergie dépasse les limites de nos défenses. Le vocabulaire utilisé par Reason est davantage celui du jugement que celui de l’explication (actes dangereux, violations…). La défense en profondeur n’immunise pas le système contre sa migration progressive et « spontanée » vers une zone moins sûre, ni contre les accidents naissant d’une constellation de causes. Le « système » sous-jacent chez Reason est ignorant de la notion de complexité (Cf. Annexes de la partie II). Notons que la recherche d’une responsabilité systémique (les facteurs latents) risque de pousser l’opérateur (le sharp end) à renvoyer la responsabilité de l’accident vers la couche hiérarchique supérieure, entraînant de la part de celle-ci une réponse administrative et bureaucratique plutôt qu’une solution technique et scientifique. Le cadre préfère voir à l’origine des accidents des négligences et des violations, plutôt qu’accepter le fait que les procédures qu’il a imposées sont brouillonnes et difficiles à mettre en œuvre. La sécurité devient alors le fruit d’un travail administratif et organisationnel basé sur la planification, l’accumulation des procédures et l’accent mis sur leur respect, l’audit et la surveillance de l’obéissance aux règles. Faute de gérer efficacement la sécurité, il est plus simple d’en confier le soin à des consultants, ou à des organismes de certification ou d’accréditation (Encadré 3).RQ_XX_HS_CH1_Laurent_fig4


Encadré 3 – Que retenir de Reason ?

  • Les erreurs et les transgressions aux règles sont inévitables : elles font partie de la nature humaine.
  • Si l’erreur peut provoquer un accident, c’est que l’organisation du système comporte des failles latentes.
  • Ces risques latents peuvent être abordés par la mise en place de barrières. La culture de sécurité en est une.
  • La mise en place de barrières permet d’éviter les accidents ou d’en diminuer les conséquences.

Notes :

1- Les conséquences paradoxales de leurs initiatives les surprennent parfois. La conception louable de lampes de sécurité pour les mineurs augmente ainsi le nombre d’accidents, par un phénomène décrit depuis sous le vocable « d’homéostasie du risque » : une protection qui assure une plus grande sécurité permet un accroissement de la performance qui se traduit par un gain de productivité à l’origine de la prise de nouveaux risques.
2- Respectivement le côté émoussé (ou arrondi) et tranchant d’un outil (le dos et la lame et du couteau).
3- Heuristique : en psychologie, une opération mentale, rapide et intuitive, souvent inconsciente. Dans le monde de l’intelligence artificielle, une méthode de calcul qui fournit rapidement une solution réalisable, pas nécessairement la meilleure, pour un problème d’optimalisation.
4- Il est permis de se demander d’où Heinrich tire ces chiffres. Sa documentation provient des déclarations de sinistres à sa compagnie d’assurance. Il est peu probable que les incidents mineurs aient fait l’objet de déclarations écrites et archivées. Il n’est pas exclu que sa théorie « pyramidale » ne soit qu’une pure construction de son esprit.
5- Préjudice.
6- Ingénierie des systèmes cognitifs.
7- Système cognitif conjoint.
8- Que l’on pense à l’ingérence inattendue et mal documentée de la correction d’assiette du Boeing 737-MAX qui a pris au dépourvu deux équipages au point de provoquer la chute de deux appareils quelques minutes après leur décollage (Lion Air en octobre 2018 et Ethiopian Airlines en mars 2019). L’adoption de moteurs plus volumineux sur ce modèle a obligé le constructeur à les déplacer vers l’avant, ce qui a modifié l’équilibre aérodynamique de l’avion. Cette modification est responsable d’une tendance à relever le nez dans certaines configurations de vol, en particulier au décollage, avec un risque de décrochage. Un système de correction automatique a été mis en place, qui corrige cette propension en provoquant une tendance au piqué. Il peut être déconnecté, mais il se réactive seul si les conditions persistent. L’intervention inopinée (et inappropriée du fait d’un capteur d’assiette défectueux) de cette correction à un moment où la charge de travail des pilotes est à son maximum n’a pu être neutralisée, avec les conséquences que l’on sait.
9- Basé sur les compétences.
10- Basé sur les règles.
11- Basé sur la connaissance.
12- Preferred reporting items for systematic reviews and meta-analyses, éléments préférés de rapport pour une revue systématique et une méta-analyse.
13- Commission mixte d’accréditation des organismes de santé (équivalent de la Haute Autorité de santé aux États-Unis).
14- Tâche telle qu’elle est conçue versus tâche telle qu’elle est réalisée.
15- Démarche d’ingénierie des systèmes pour la sécurité des patients.
16- À paraître en septembre 2022.

Informations de l'auteur

Financement : l’auteur déclare ne pas avoir reçu de financement.

Liens d’intérêt : l’auteur déclare ne pas avoir de lien d’intérêt.

Références

1- Le Coze JC. Ideas for the future of safety science. Saf Sci 2020;132.

2- Hagmann J. Fukushima and the limits of risk analysis. CSS Analysis In Security Policy 2011;104:1-4.

3- Newlan CJ. Late capitalism and industrial psychology: a marxian critique (master’s theses). San Jose State University, 1990.

4- Sherratt F, Dainty ARJ. UK construction safety: a zero paradox? Policy Pract Health Saf 2017;15(2):108-116.

5- Graham B, Reilly WK. Testimony of Senator Bob Graham and the Honorable William Reilly. National Commission on the BP Deepwater Horizon oil spill and offshore drilling before the Committee on Environment and Public Works. Washington, DC: United States Senate, 2011. 19 p.

6- Saloniemi A, Oksanen H. Accidents and fatal accidents–some paradoxes. Saf Sci 1998;29(1):59-66.

7- Carlet J, Fabry J, Amalberti R, et al. The “zero risk” concept for hospital-acquired infections: a risky business! Clin Infect Dis 2009;49(5):747-749.

8- Amalberti R. The paradoxes of almost totally safe transportation systems. Saf Sci 2001;37(2-3):109-126.

9- Busch C. Heinrich’s local rationality: Shouldn’t ‘new view’ thinkers ask why things made sense to him? (Thesis) Lund University, 2018.

10- Deming WE. Out of the crisis. Cambridge, MA: MIT Press, 2018.

11- Endsley MR. Toward a theory of situation awareness in dynamic systems. Hum Factors 1995;37(1):32-64.

12- Hollnagel E, Woods DD. Cognitive systems engineering: new wine in new bottles. Int J Man Mach Stud 1983;18(6):583-600.

13- De Boer RJ, Dekker S. Models of automation surprise: results of a field survey in aviation. Safety 2017;3(3).

14- Turner BA. Man-made disasters. London, UK: Wykeham Publications, 1978.

15- Turner BA. Causes of disaster: sloppy management. Br J Manag 1994;5(3):215-219.

16- St.Pierre M, Grawe P, Bergstrom J, et al. 20 years after To Err Is Human: a bibliometric analysis of ‘‘the IOM report’s’’ impact on research on patient safety. Saf Sci 2022;147:105593.

17- Rasmussen J. Skills, rules, knowledge; signals, signs, and symbols and other distinctions in human performance models. IEEE Trans Syst Man Cybern 1983;13(3):257-266.

18- van der Schaaf TW. PRISMA incidenten analyse: een instrument voor risicobeheersing in de zorgsector. Kwaliteit in Beeld 1997;7(5):2-4.

19- Klein G, Ross KG, Moon BM, et al. Macrocognition. IEEE Intell Syst 2003;18(3):81-85.

20- Rasmussen J, Suedung I. Proactive risk management in a dynamic society. Karlstad: Swedish Rescue Services Agency, 2000.

21- Carayon P, Wooldridge A, Hoonakker P, et al. SEIPS 3.0: human-centered design of the patient journey for patient safety. Appl Ergon 2020;84:103033.

22- Holden RJ, Carayon P, Gurses AP, et al. SEIPS 2.0: a human factors framework for studying and improving the work of healthcare professionals and patients. Ergonomics 2013;56(11):1669-1686.

23- Carayon P, Schoofs Hundt A, Karsh BT, et al. Work system design for patient safety: the SEIPS model. Qual Saf Health Care 2006;15(Suppl 1):i50-i58.

24- den Ridder K, Tuitert Y, van der Tuijn Y, et al. Patientveiligheid in de verpleegkunde. Houten, NL: Bohn Stafleu van Loghum, 2016.

25- Singh H, Sittig DF. Measuring and improving patient safety through health information technology: the health IT safety framework. BMJ Qual Saf 2016;25(4):226-232.

26- Igene OO, Johnson CW, Long J. An evaluation of the formalised AcciMap approach for accident analysis in healthcare. Cogn Techn Work 2022;24:161-181.

27- Igene OO, Johnson C. To computerised provider order entry system: a comparison of ECF, HFACS, STAMP and AcciMap approaches. Health Informatics J 2020;26(2):1017-1042.

28- Salmon PM, Hulme A, Walker GH, et al. The big picture on accident causation: a review, synthesis and meta-analysis of AcciMap studies. Saf Sci 2020;126.

29- Rasmussen J. Human errors. A taxonomy for describing human malfunction in industrial installations. J Occup Accid 1982;4(2-4):311-333.

30- Rasmussen J. Risk management in a dynamic society: a modelling problem. Saf Sci 1997;27(2-3):183-213.

31- Polet P, Vanderhaegen F, Amalberti R. Modelling border-line tolerated conditions of use (BTCU) and associated risks. Saf Sci 2003;41(2-3):111-136.

32- Dekker S, Pruchnicki S. Drifting into failure: theorising the dynamics of disaster incubation. Theor Issues Ergon Sci 2014;15(6):534-544.

33- de Saint Maurice G, Auroy Y, Vincent C, et al. The natural lifespan of a safety policy: violations and system migration in anaesthesia. Qual Saf Health Care 2010;19(4):327-331.

34- Reason J. Human error. New York: Cambridge University Press, 1990.

35- Reason J. Managing the risks of organizational accidents. Aldershot: Ashgate, 1997.

36- Rasmussen J. Man-machine communication in the light of accident record. Proceedings 1969;3.

37- Haddon W Jr. Energy damage and the ten countermeasure strategies. Hum Factors 1973;15(4):355-366.

Citation

Historique : Reçu 22 mars 2022 – Accepté 13 juillet 2022 – Publié 26 juillet 2022.

Culture de sécurité : une approche alternative. Lyon. Health & co, 2022.

Copyright : © Health & Co 2022.