« Le contraire de la connaissance, ce n’est pas l’ignorance, mais la certitude. » – Rachid Benzine, Nour, pourquoi n’ai-je rien vu venir ?
À la suite de ce panorama historique et méthodologique, je suppose que le lecteur aura compris mes doutes et mon pessimisme relatif devant l’évolution de la sécurité dans les hôpitaux. Si le pronostic du patient avance incontestablement dans la bonne direction, c’est davantage le fait des progrès de la science médicale et de leur application, que d’évolutions managériales allant dans le sens d’une gestion plus efficace de la sécurité. Peu d’améliorations dans les faits et dans les résultats, et trop de soumission à des visions pour la plupart surannées ou qui n’ont pas démontré leur efficacité. Et pourtant l’espoir existe, même s’il est difficile à saisir et à cerner. Il semble utile de faire l’inventaire des causes possibles de cet échec partiel – le peu de considération pour les changements qui touchent le monde des soins, le hiatus entre ce que nous vivons et ce qu’ont observé les auteurs des théories de la sécurité, l’absence de prise en compte de la complexité du milieu hospitalier, notre attachement à un mode de pensée rationnel et causal qui ouvre malheureusement la porte au conformisme et à une bureaucratie de la sécurité, l’accent mis sur l’analyse a posteriori des accidents plutôt que sur leur anticipation et sur la promotion de ce qui réussit, le fait de persister à ne définir la sécurité qu’en « négatif » (éviter les accidents), la réticence atavique du médecin à travailler en équipe pluridisciplinaire (donc avec d’autres acteurs que ceux des soins et avec les patients en particulier) – et de proposer ensuite des pistes de solutions, ou du moins de réflexion.
Un environnement, un « contexte » en constante mutation
Depuis les premiers efforts pour maîtriser les risques associés aux soins, le monde a largement changé, et continue de le faire à un rythme soutenu. Nos pays ont fait face à une politique de restriction de l’accès aux professions médicales, à des fermetures de lits, à des regroupements hospitaliers et autres coupes budgétaires. Nous avons souri quand le NHS1 britannique a cherché des partenariats sur le continent pour résorber ses files d’attente, sans nous apercevoir que nous tombions dans les mêmes travers. Les modes de rétribution ont changé : paiement à l’acte, tentatives de paiement « à la performance », libéralisation de l’activité hospitalière en Belgique, tutelle croissante des pouvoirs publics en France (agences régionales de santé, par exemple)... Parallèlement, les techniques de soin ont évolué, souvent sous le poids d’une obligation de raccourcir les séjours hospitaliers : la chirurgie ambulatoire et l’hôpital de jour concernent des interventions auxquelles on n’aurait pas songé il y a quelques années, grâce à une coordination pluridisciplinaire des soins et avec des itinéraires allant de la préparation du patient jusqu’à sa rééducation, en se passant pour la plus grande part de l’hospitalisation. Cela ne va pas sans poser des problèmes nouveaux et imprévus, souvent au détriment des patients les plus démunis ou isolés. Les mesures nécessaires de suivi et de coopération entre professionnels sont inabouties, malgré les délégations de tâches à un personnel infirmier et paramédical formé. L’inadéquation devient flagrante entre les modifications structurelles, les changements législatifs et réglementaires instituant un nombre croissant d’obligations et une nouvelle gouvernance, l’implication accrue des patients dans les évolutions de la prise en charge, et la pénurie de professionnels (phénomène universel). Penser la sécurité nécessite donc de s’affranchir de façon critique des modèles initiaux et de leurs applications pratiques pour redéfinir les rôles individuels et collectifs en toutes circonstances. À ce titre, les réactions aux crises sanitaires, dont celle de la Covid-192, fournissent des pistes sur lesquelles il conviendra de s’attarder.
L’hôpital, un monde tous les jours plus complexe
L’hôpital est une forme d’entreprise de services, mais pas n’importe laquelle : elle est extraordinairement compliquée. Elle réunit toutes les caractéristiques d’un système sociotechnique complexe3, et Henri Mintzberg, qui s’est longuement penché sur la description des modes d’organisation et de gestion, n’hésite pas à la considérer comme une des entreprises les plus complexes qui soit [1].
Ses hiérarchies
Deux types de bureaucratie s’y côtoient [2], si différents que leur survie côte à côte ou plus simplement leur tolérance mutuelle tient de la gageure. Le premier peut être décrit comme un « mode mécanique », caractérisé par une division stricte des processus de travail (définis par une technostructure au niveau supérieur de l’organisation), par une relation hiérarchique entre les rôles et les positions des acteurs (par exemple, le chef d’unité est responsable et rend des comptes au chef de service, qui est responsable devant la direction de l’hôpital), et par une coordination basée sur des procédures opérationnelles formelles et des stratégies de programmation avec une standardisation des tâches, des rôles et des types de décision que les personnes sont autorisées à prendre. Le second est un « mode professionnel » caractérisé par une division du travail déterminée par des frontières entre les professions, par des rôles et des pouvoirs distribués en fonction d’une compétence professionnelle certifiée par un diplôme, et par des mécanismes de coordination fondés sur des normes de compétences (les compétences et les connaissances nécessaires à l’exécution d’une tâche ou d’un ensemble de tâches sont déterminées à l’avance par le niveau d’études). La faiblesse actuelle de l’hôpital est son manque de culture de gestion collaborative (« adhocratie4 ») qui serait nécessaire pour relever les défis que pose la nécessité d’innover. À ces deux modes, l’hôpital superpose trois hiérarchies qui n’ont quasiment rien en commun :
Une hiérarchie classique d’employés et d’ouvriers
La hiérarchie classique d’employés et d’ouvriers correspond aux services techniques et de maintenance. Elle encadre le personnel administratif et le personnel d’accueil, ainsi que quelques services plus complexes dans la mesure où leur position est plus horizontale. Je pense entre autres à la gestion de l’information dans l’hôpital : même si ce service est « à cheval » sur d’autres en termes de clientèle à servir, son organisation interne et sa hiérarchie et l’autorité de celle-ci sont du même ordre. L’organigramme de ces services est lisible, pyramidal, et les liens de pouvoir sont clairs. L’autonomie des individus est faible et réglée par la hiérarchie : les rôles de chacun sont explicitement décrits et les possibilités d’en sortir passent par l’autorisation d’un supérieur. L’autorité est définie par un règlement, les possibilités de négociation existent mais sont délimitées et codifiées.
Une « hiérarchie médicale »
Les guillemets sont nécessaires pour évoquer la « hiérarchie médicale ». Il y a de fait des chefs de service, des directeurs médicaux et, en Belgique, des médecins-chefs. Leurs titres sont impressionnants, leur pouvoir l’est beaucoup moins. On les compare volontiers à des arbitres sans sifflet. Leur autorité, s’ils en ont une, réside dans leur talent de négociateur et dans l’éventuel respect professionnel qu’ils inspirent : c’est dans ce cas une hiérarchie basée sur le mérite ou la compétence. Beaucoup souffrent d’une myopie stratégique, leur vue s’arrêtant aux frontières de leur service au mieux, à leur gloire personnelle au pire. Les médecins sont ataviquement rétifs à toute autorité, fût-elle celle de leurs pairs. La loi garantit leur autonomie professionnelle et tout dans leur formation glorifie leur individualisme. Ils vivent les procédures comme des entraves à leur liberté thérapeutique.
Une hiérarchie infirmière
La hiérarchie infirmière est plus proche du râteau que de la pyramide. Généralement très structurée, elle est bâtie autour de valeurs volontiers proclamées, néanmoins souvent imposées d’en haut plutôt que coconstruites et partagées. Cependant, il existe un « art de soigner », parallèle à « l’art de guérir » du médecin, qui donne à l’infirmière une certaine autonomie, en tout cas dans l’exercice de sa profession. Sa formation valorise l’acceptation des règles et des procédures, qu’elle discute peu. La profession se spécialise en allongeant les études, et le désir d’autonomie et d’affranchissement de la hiérarchie et de l’« autorité médicale » va de pair.
Une hiérarchie implicite
Même si le médecin n’a généralement pas une autorité directe sur le personnel infirmier ou administratif, ses exigences motivées sont le plus souvent reçues comme des ordres, et les incartades appellent des arbitrages enchevêtrés entre les trois hiérarchies. Ces hiérarchies « informelles » compliquent le tableau : elles se manifestent souvent aussi bien en situation normale qu’en période de crise. On a ainsi assisté pendant la pandémie de Covid-19 à un glissement « naturel » de l’autorité depuis la sphère administrative (qui s’est mise en veille) vers la sphère médicale, le plus souvent sans hiatus notable, pour revenir à l’ordre naturel des choses au recul de la pandémie. Ce glissement a probablement été aussi fluide parce que « préparé » par une longue phase implicite. Ces hiérarchies informelles sont toutefois souvent source de conflits dès qu’une contestation menace le consensus social qui les soutient.
Ses services
Une autre couche de complexité dans l’hôpital réside dans l’existence de services médicaux : tous sont différents, et tous réclament leur autonomie et défendent jalousement leur pré carré. Les guerres de frontières sont nombreuses, surtout entre les services spécialisés par organe et ceux qui le sont selon l’état ou l’âge du patient. Ces services superposent, à nos trois hiérarchies constitutives de l’organisation, une structure en silos verticaux qui rechignent à tout partage de ressources, y compris de connaissances. Dans bien des hôpitaux, il a fallu attendre que l’informatisation soit imposée (par la direction administrative et financière le plus souvent) pour centraliser la prise de rendez-vous. L’apparition d’un « dossier patient » institutionnel a elle aussi dépendu de la numérisation mais l’adoption de celui-ci reste difficile, surtout parce que ce dossier informatisé résout mieux les problèmes de facturation que les problèmes diagnostiques. Il représente certainement un progrès sur le plan de l’organisation et de la gestion, mais même l’expérience de pays qui ont franchi le pas de l’informatisation longtemps avant nous (États-Unis, bien sûr, Finlande plus près de nous), avec des incitants financiers considérables, n’est pas probante quant aux retombées sur la qualité de la prise en charge et surtout sur la sécurité du patient [3,4]. L’organisation en silos est source de nombreux gaspillages de ressources et d’énergie et constitue de ce fait le cauchemar du gestionnaire [5], mais elle est aussi un défi pour la gestion du risque, car elle cloisonne la « culture organisationnelle » en autant de sous-cultures différentes, et surtout qui évoluent indépendamment les unes des autres. La complication ne s’arrête pas là : il existe, dans les hôpitaux, des structures « horizontales », parfois dites de support, dont la compétence fait fi des silos. L’hygiène hospitalière et l’infectiologie en sont un exemple, elles qui interviennent dans les trois mondes : le traditionnel en s’immisçant dans la gestion des travaux (prévention de la dissémination des Aspergillus lors des chantiers dans l’hôpital) et jusque dans la conception des structures techniques (distribution de l’eau et prévention des légionelloses), l’infirmier en dictant des règles de soins, et le médical en imposant des conditions à l’utilisation de certains antibiotiques pour retarder l’apparition de résistances. La gestion des risques, nouvelle venue, fait partie de ces compétences horizontales, croisant les trois univers hiérarchiques, d’une part, et les silos des services, de l’autre. C’est une position souvent acrobatique, qui explique que bien des réussites (et autant d’échecs) dans la gestion de la sécurité du patient tiennent plus à la personnalité de son responsable, à ses talents de négociateur ou à son autorité naturelle qu’aux théories ou aux outils qu’il emploie. S’ajoute à cette complication l’importance croissante de la numérisation des données et de l’informatisation de leur traitement. Cette évolution est indispensable compte tenu du volume d’informations à analyser et de la nécessité de les interpréter alors qu’elles sont bien plus complexes que la langue écrite ou parlée (pensons à l’imagerie radiologique ou anatomopathologique, aux séquences filmées, etc.). Ces données sont utilisées pour générer des aides à la décision (dans le domaine du diagnostic), mais aussi en affichant des mises en garde automatiques (pour des prescriptions de médicaments entre autres). Notons que l’informatisation des tâches médicales conduit à l’adoption de nouvelles procédures dictées selon les règles hiérarchiques classiques, souvent administratives, visant à davantage de standardisation. Cet envahissement trouve d’habitude sa justification dans la recherche d’une abolition de la variabilité, mantra des politiques de qualité. Nous évoluons donc d’un système sociotechnique complexe à un système « cyber-socio-technique » [6,7] qui ne l’est pas moins et nous promet des interactions encore plus imprévisibles que celles que nous connaissons. J’ai déjà évoqué les dangers des surprises que peut réserver l’automation de tâches si l’opérateur n’est pas totalement tenu au courant de ce qu’il se passe, et la surcharge d’information à laquelle il doit faire face5.
Les confusions sur la nature de l’hôpital et des soins
L’assimilation de l’hôpital à une entreprise de service classique est une autre tentation des gouvernements et des investisseurs. Son corollaire est la chimère de sa rentabilité (ou à défaut de son équilibre budgétaire). Cette tentation est vive, et facilitée par le fait que les professionnels qui dirigent nos hôpitaux sont de plus en plus les fruits de formations managériales « généralistes » sans expérience du milieu des soins ni de sa complexité. L’illustration la plus flagrante en est l’amalgame qui considère le patient comme un client consommateur de soins dont il convient de chercher la satisfaction. Mais le patient n’est pas un « agent économique » au sens propre du terme : même s’il a le libre choix de son médecin ou de son hôpital, bien souvent ce choix est guidé par la nécessité ou par son médecin traitant, et non par une information préalable. Ce choix est tout théorique s’il est fait appel à un service d’urgence où la proximité l’emporte. Même si le patient est de mieux en mieux informé des choses médicales, cette information n’est jamais suffisante pour qu’il prenne librement des décisions qui le rassurent : celles-ci sont rarement autonomes et restent guidées par l’avis de ce même médecin traitant. Le patient est souvent dérouté et anxieux des choix de prise en charge auxquels on l’associe sans trop s’assurer qu’il dispose des informations et de la manière de les interpréter, au nom de la notion célébrée de « patient partenaire de ses soins ». Le recours à l’hôpital est une contrainte imposée par les vicissitudes de l’existence, et non une source potentielle de plaisir ou de satisfaction. Le patient ne connaît pas le prix du service qui lui est proposé (sauf dans les structures libérales), et ce sont des tiers payeurs qui en assument la plus grande part (sécurité sociale, assureur). Le mythe du patient consommateur de soins est réducteur et comporte des dangers assez universels. Si les soins répondent aux lois du marché, la tentation qu’ont ces tiers payeurs de faire des économies par le contingentement de l’offre médicale en est un exemple constant, même si son efficacité n’a jamais été démontrée. Réduire l’offre de soins échoue à réduire la demande qui, au contraire, explose. La population vieillit, désire profiter de ses vieux jours en bonne santé. Les progrès de la médecine le permettent, mais c’est de plus en plus coûteux. La planification de l’offre médicale est régulièrement en décalage avec les besoins : les déserts médicaux se généralisent et les listes d’attente s’allongent, tandis que les concours d’entrée aux études médicales découragent les talents qui émigrent vers des pays plus accueillants. L’impact de cet état de fait sur la sécurité des soins n’a pas été étudié. Cependant, les retards de prise en charge qui lui sont, au moins en partie, imputables ont une incidence en matière de santé publique. Il en résulte sans doute que la part croissante que la gestion des soins de santé prend sur le budget des États et l’apparition d’accidents largement publiés font émerger une méfiance vis-à-vis du modèle traditionnel de la médecine régie par des liens professionnels, ressentis de plus en plus comme des liens corporatistes. Pour y mettre bon ordre, le patient est incité à allouer sa confiance à une autre hiérarchie, bureaucratique et soucieuse des deniers de l’État plus que des réalités médicales. Les nouvelles expressions utilisées vont dans ce sens : on ne parle plus de médecine mais de soins de santé, on ne parle plus de médecins ou d’infirmières mais de personnel soignant. L’aspect « expertise professionnelle » est gommé au profit de concepts « objectifs » et discrètement déshumanisés. Dans un tel univers, le discours officiel se veut garant de soins en tout point sûrs, rendant la perception de tout risque de moins en moins tolérable.
La tolérance au risque
Pour les soignants, l’hétérogénéité de la tolérance au risque selon les départements, en particulier les départements cliniques et médicotechniques, ajoute une couche supplémentaire de complexité. On trouve dans l’hôpital des services gérant une sécurité peu éloignée de celle dont se réclame l’aviation, et d’autres qui restent plus proches du manque de sécurité de certains métiers à risque. René Amalberti a longuement commenté ce point [8]. Les modèles « super sûrs » sont par exemple la radiothérapie, l’anesthésie, la biologie clinique ou la banque de sang. Le taux d’accident par exposition y est de l’ordre de 10-5 à 10-6. Comme dans l’aviation, il y existe une culture du « no-fly » : si les circonstances météo ne sont pas réunies, l’avion ne décolle pas ; le pilote n’est pas le maître de ce qu’il fait, il dépend d’une autorisation donnée par d’autres. C’est le cas par exemple en radiothérapie et en anesthésie, où une partie de la décision échappe au praticien. Un respirateur utilisé dans une machine d’anesthésie refusera obstinément de fonctionner si des conditions techniques strictes (pression d’alimentation des gaz par exemple) ne sont pas rencontrées, rendant l’anesthésie générale impossible. Les progrès en sécurité dans ces deux services sont surtout liés à des évolutions techniques : c’est bien sûr aussi le cas en biologie clinique, où l’informatisation du matériel a joué un rôle déterminant, de même que la sensibilisation aux règles d’identitovigilance à toutes les étapes de l’analyse. Dans de tels systèmes, la prise de risque est considérée comme exclue. Le travail est souvent individuel, ou parfois confié à un groupe, soumis alors à une hiérarchie fixe et bureaucratique. Les tâches sont spécifiquement confiées à chacun, selon des critères de compétence professionnelle. Les procédures sont censées régler tout ce qui est prévisible et imprévisible. Le respect de la procédure est la norme, le contrôle existe et est exigeant. D’autres services tendent vers un fonctionnement de type HRO (high reliability organization6), mais avec un taux d’accident qui stagne autour de 10-3. C’est le cas des services d’hospitalisation en général, ou des blocs opératoires qui sont un exemple souvent cité. Les professionnels (et les patients bien sûr) y manifestent une forte aversion au risque, qui est cependant côtoyé maintes et maintes fois parce qu’il ne peut pas être complètement exclu. On y travaille seul ou en groupe, qui fonctionne généralement comme un équipage : chacun à un moment donné y joue un rôle défini par sa compétence et s’y tient. La procédure y traite ce qui est prévisible, l’expertise ce qui ne l’est pas. Un consensus est nécessaire pour contourner la règle. Le dernier modèle est celui de la médecine de catastrophe, de la salle d’urgence et, dans une moindre mesure, des services de soins intensifs. La fréquentation du risque y est quotidienne et fait partie des gènes de ces services. Mais il ne peut y avoir de goût pour le risque et encore moins de recherche de celui-ci : les cow-boys sont mal vus. On y travaille en équipe plutôt qu’en équipage : les compétences sont davantage réparties et peu cloisonnées. Les simulations réalistes et in situ permettent l’entraînement des équipes aux réactions utiles en cas de crise, à l’élaboration de procédures adaptées ou à leur sélection, voire à la mise en place d’aides cognitives (dont l’efficacité doit encore être prouvée en situation réelle). L’autorité en situation de crise va au plus apte, ou à celui qui a montré qu’il avait le don de réussir. Les procédures règlent l’ossature essentielle des opérations, elles sont largement interprétées [9]. Ces trois modèles sont incompatibles les uns avec les autres, sauf peut-être en situation de crise, mais, même alors, il est difficile de changer du tout au tout un comportement humain. S’il faut favoriser une certaine plasticité, qu’on l’appelle résilience ou déférence à l’expertise, il n’est pas réaliste de vouloir modifier la tolérance au risque et les attitudes qu’elle engendre sans un remaniement profond des conditions de fonctionnement. La compréhension que chacune de ces trois catégories de services a des conceptions des autres est superficielle et biaisée. La collaboration est possible, mais les contextes de crise peuvent révéler ces incompatibilités (ou au contraire, les réduire). Notons au passage que ces trois modèles peuvent coexister dans un même service, mais pas en même temps et selon les situations rencontrées : en intervention d’urgence, une équipe chirurgicale peut changer ses priorités, mais garde probablement une préoccupation de maintenir l’asepsie vaille que vaille, qui motive sans doute moins l’urgentiste.
Un environnement en mutation
La complexité des soins est accrue par la modification de la place qu’y occupe l’hôpital. La part croissante des soins ambulatoires, même techniques, va de pair avec la réduction des durées de séjour et celle du nombre de lits d’hospitalisation. Elle oblige à prendre en compte des intervenants longtemps considérés comme secondaires : médecins traitants, spécialistes libéraux, personnels infirmiers dont la spécialisation augmente et les champs d’action s’élargissent. Cela suppose des formes d’organisation innovantes, comme les réseaux de soin en périnatalité et en cancérologie, et dans la prise en charge de pathologies chroniques. Leur efficacité en termes de sécurité n’a pas encore été évaluée. Les délégations de tâches ne vont pas toujours de soi, même vers des professionnels spécifiquement formés comme les infirmiers en pratique avancée en France. Face à cette complexité croissante, les organisations formelles n’évoluent que lentement. Elles restent figées dans un conservatisme qui approfondit le fossé de leur inadéquation aux connaissances médicales et scientifiques et aux pratiques qui en découlent. Peu d’hôpitaux ont franchi le pas d’une gestion intégrée des risques, qui se pencherait en même temps sur les risques liés à la gestion des personnels, au financement, à leur réputation, à la sécurité des soins et aux installations techniques. Les modèles existent [10], ils parlent plus volontiers d’appétence au risque que d’aversion, mais ils s’adressent à des entreprises et non à l’hôpital, qui peut avoir un point de vue différent. Le rôle du patient comme partenaire évolue rapidement, celui des médias également, avec un glissement progressif depuis un milieu où l’éditorialiste peut être identifié et avec lequel on peut dialoguer vers des réseaux « sociaux » informels et dictatoriaux ne permettant pas l’interaction.
Le conformisme, blocage sur un modèle rationnel, cartésien
Alors que l’environnement et les pratiques du soin évoluent avec les connaissances, la conception des risques et de leur gestion en santé reste figée sur un modèle qui est le fruit de la digestion de réflexions déjà anciennes. Le discours sur la gestion des risques menace alors d’y être instrumentalisé par des conflits d’autorité voire de pouvoir au sein de l’hôpital. Le découplage entre cette vision « officielle » et la sécurité réelle devient évident en situation de crise, où l’action directe auprès du patient a toute la priorité comme lors de la pandémie de Covid-19 [11].
To err is human ou les errements de la sécurité
To Err is human7 [12] est paru peu après les deux conférences d’Annenberg (1996 et 1998) parrainées par des associations médicales, où orateurs et public étaient issus d’univers aussi variés que la médecine, bien sûr, mais aussi l’industrie et l’aviation par exemple. Y étaient présents des psychologues, des sociologues, des anthropologues, des ingénieurs, des ergonomistes, des médecins et des infirmières, des patients, et j’en oublie. Cette pluridisciplinarité semblait la marque du raisonnable à ce stade du développement de la science naissante de la sécurité. Jens Rasmussen avait souligné que la sécurité nécessitait la mise en phase de niveaux de pouvoir allant des responsables politiques aux exécutants en bout de chaîne, en passant par les étapes intermédiaires des entreprises, des services et des équipes. Cette organisation est d’autant plus complexe que les sciences qui sont censées décrire ces niveaux et les gérer sont différentes : sciences politiques et sociologie au sommet, science du management et de l’organisation, puis ingénierie, médecine, ergonomie, psychologie. Il était donc naturel de les voir toutes représentées chez les orateurs et les auditeurs [13]. Le rapport To Err is human ouvre la porte à des changements d’optique sur la nature de la sécurité et des accidents. Il met (lourdement) l’accent sur la notion d’erreur (le mot apparaît plusieurs fois par page…), comme si l’erreur était objectivement identifiable, mesurable, dénombrable et, in fine, évitable. Rappelons que Rasmussen avait déjà fort critiqué ce point de vue, en soulignant que l’erreur ne peut se juger que par rapport à une norme qui n’existe pas, puisque l’erreur ne se découvre qu’a posteriori, lorsqu’elle a eu une conséquence. Elle est donc le fruit d’un biais de rétrospection et non une entité objective digne d’être un sujet d’étude [14]. J’ai déjà commenté l’attrait qu’a pour les médecins le modèle « épidémiologique » de Reason, sa notion de pathogène résident pour parler des facteurs latents dans l’organisation et sa représentation graphique éloquente. Je ne reviendrai pas sur le fait que cet attrait a dilué l’intérêt que l’on aurait pu porter aux progrès de la science du risque et de ses développements, de sorte que la vision qu’ont les médecins de la gestion du risque s’est arrêtée à une version simplifiée des théories défendues par Reason. La science du risque ne franchit pas dans nos hôpitaux les portes de la complexité et des phénomènes émergents.
La perte de pouvoir des médecins
L’Authoritarian high modernism
L’architecte américain James Scott a théorisé dans un livre qui n’a malheureusement pas été traduit [15] une attitude très présente dans sa profession, qui plie la réalité à des conceptions basées sur des considérations économiques et techniques, à des théories sociologiques et au rêve esthétique d’un monde ordonné administrativement « comme l’est un État » pour créer, par exemple, les barres d’immeubles chères à Émile Aillaud et à Le Corbusier (plus d’habitants par mètre carré construit). Brasilia est l’illustration extrême de cette démesure : une ville rationnelle et inhabitable. La seule partie de la ville s’ouvrant à une vie sociale normale est le quartier que s’étaient construit ses bâtisseurs pour y vivre le temps des travaux, et qui était appelé à être rasé. Scott parle d’« authoritarian high modernism » (haut modernisme autoritaire), et utilise le mot « autoritaire » parce que cette attitude soulève peu de résistance et s’impose comme une « tyrannie de la majorité », comme l’a décrite par exemple un Tocqueville, abasourdi devant le pouvoir qu’avait la majorité, dans une démocratie, de susciter la naissance de nouveaux conformismes par la pression sociale [16]. Ce glissement est une illustration parmi beaucoup d’autres d’une tendance lourde : nous aimons passionnément les explications simples et rationnelles. Taylor nous l’a répété, il existe une façon de réaliser une tâche qui est « la meilleure », et cette façon, nous devons la chercher en nous aidant des connaissances scientifiques et techniques à notre disposition. Nous cultivons cette déférence à la science et à la technique, et nous avons davantage confiance en elles qu’en l’expérience ou en l’expertise locale de l’un ou l’autre acteur. Peu de voix s’élèvent contre cette autorité de fait, le plus souvent faute d’alternative à proposer. Prenons comme exemple l’evidence based medicine8 (EBM) qui fut d’abord une révolution vertueuse : il faudrait que le médecin se forme aux notions statistiques et épidémiologiques afin d’interpréter et de critiquer ce que lui suggèrent les articles scientifiques. Des séminaires s’organisent en marge des grands congrès médicaux, les journaux publient des articles didactiques. Mais, très vite, le taylorisme remplace la vertu : pourquoi un médecin devrait-il perdre son temps précieux à apprendre ce que d’autres dominent parfaitement ? Pourquoi ne pas confier ce travail de critique et d’évaluation à des spécialistes qui diront ce qu’il convient de faire, et laisser le médecin faire ce qu’il fait le mieux : soigner ? On vit se réunir les groupes Cochrane9 et apparaître la déferlante des « revues systématiques » avec ou sans méta-analyse, avec la bénédiction du corps médical ravi de ne pas devoir se replonger dans les arcanes de la science statistique [17]. À cela s’ajoute une codification de la force probante des articles qui accorde sa cote d’excellence aux études randomisées en double aveugle avec groupe témoin [18]. Le but : éviter les biais qui entachent les études et, dans la mesure du possible, isoler et examiner un paramètre à la fois. Le problème est le côté autoritaire et hégémonique de cet étalon : en dehors de l’étude randomisée en double aveugle, pas de salut. C’est parfait pour analyser l’efficacité d’un traitement ou d’un test diagnostique, mais est-ce réaliste pour la science du risque et l’implémentation de solutions d’amélioration ? Il n’est généralement pas possible d’observer un paramètre ou une intervention à la fois [19], ni d’étudier des groupes choisis au hasard et de comparer leur évolution dans un tel schéma d’études, dans une fenêtre de temps qui exclurait toute dérive due à une évolution spontanée. Les paramètres que nous cherchons à modifier sont étroitement dépendants les uns des autres, les isoler est illusoire. Les biais peuvent être minimisés par des techniques expérimentales particulières [20,21], mais la puissance des conclusions sera toujours « faible » par rapport au sacro-saint standard. Faut-il rejeter les résultats de ces études au risque de promouvoir la stagnation de l’existant, ou admettre qu’il faut parfois progresser en se contentant du guide d’une canne blanche ?
L’intérêt médical pour la gestion : une reprise du pouvoir perdu ?
La découverte et la révélation publique des accidents médicaux, assimilés à des échecs de la médecine traditionnelle, entraînent dès la fin du XXe siècle un mouvement de rationalisation et de professionnalisation managériale de la santé publique et de l’hôpital en particulier. Elles portent un rude coup à la caste médicale, engoncée (à l’époque) dans le mandarinat. Le « patron » omniscient est détrôné par l’épidémiologiste qui dit désormais la science médicale et préside à la dérive bureaucratique de l’EBM. En même temps, les gestionnaires historiques, issus du monde politique, associatif, voire caritatif, doivent céder la place : leurs convictions, altruistes pour la plupart, ne suffisent plus. L’organisation des soins passe petit à petit entre les mains de gestionnaires « professionnels » issus d’écoles de gestion (on y apprend à diriger, gérer, promouvoir et faire fonctionner des banques, des commerces en ligne, la santé et les hôpitaux). Ce glissement était inévitable compte tenu de l’évolution de nos sociétés après les années soixante, ces Golden Sixties où l’argent public coulait à flots. La santé dans nos pays est largement financée par de l’argent public et, si l’État resserre les cordons de la bourse, certaines compétences deviennent nécessaires sinon vitales pour maintenir le navire hospitalier sur son erre. La préséance d’une gestion de type « économique » et la financiarisation de la santé entraînent de vives réactions de la part des médecins et de leurs organisations, allant la plupart du temps dans le sens de revendications de type corporatiste. Leur faiblesse est de mêler trop souvent les préoccupations de qualité et de sécurité des soins à celles de sécurisation du statut matériel et professionnel des médecins. Mais l’on voit aussi de nombreux médecins se lancer dans les mêmes formations que celles de leurs gestionnaires, et s’immiscer dans la conduite des hôpitaux, une manière peut-être de retrouver le prestige et le « pouvoir » médical qu’ils étaient en train de perdre. Il n’est malheureusement souvent pires zélotes que les convertis, qui passent alors plus de temps à assurer leur crédibilité face au pouvoir organisateur qu’à retrouver le chemin de l’humain. Ils se heurtent à des défis inattendus. Leur formation de départ les a habitués à suivre des raisonnements scientifiques, étayés par des publications de qualité et accessibles. Or rien de semblable dans le monde du management, où les gourous sont la norme et où défendre ses positions en s’appuyant sur des preuves est l’exception. Un relevé d’articles paru dans Human Resource Management, un des magazines de référence en gestion des ressources humaines, montre que l’argumentaire le plus fréquent repose sur des interviews (78%), et que seuls 4% des interviewés sont des chercheurs. La recherche universitaire ne concerne que 3% de ce qui est publié, le reste venant essentiellement de cabinets de conseil et de consultants [22,23]. On aurait pu espérer que ces « nouveaux gestionnaires » apportassent un sang neuf et infléchissent les tendances conformistes et bureaucratiques de la gestion hospitalière et de la sécurité, mais on peine à le démontrer : tout au plus peut-on dire que les patients sont davantage fidélisés dans les hôpitaux dont le directeur est médecin que dans ceux où il ne l’est pas, les autres critères de qualité ou de sécurité du patient ne montrant pas de différence [23]. La pression du conformisme et la confrontation à des contraintes semblables dans les deux cas l’expliquent, de même que le fait que la durée de vie des gestionnaires et directeurs médicaux soit très brève : ils sont souvent les fusibles rêvés, de sorte qu’ils disposent rarement du recul nécessaire pour voir leurs projets aboutir. Le malheur veut aussi que le mouvement « patient safety », qui a mobilisé toutes sortes de disciplines affiliées à la « science de la sécurité », se soit fondu dans le mouvement scientifique et bureaucratique de l’EBM, sur lequel le médecin a l’emprise et dont il évince tout ce qui n’est pas science médicale. Le patient safety, qui pour ses concepteurs ne pouvait être que la résultante d’un mouvement largement pluridisciplinaire, devient la chasse gardée des médecins et des infirmières [25], seuls détenteurs d’une crédibilité scientifique propre aux sciences dures, à laquelle ne peuvent prétendre ni les sociologues et les psychologues, ni les questionnements quasi philosophiques des spécialistes de la science du risque [26]. Qu’il suffise de scruter les titres professionnels des auteurs de ce que publient les journaux qui s’y consacrent. Adopté et promu par les gestionnaires, fussent-ils médecins, le sujet de la sécurité du patient est considéré au mieux avec une certaine indifférence par les cliniciens, comme une nouvelle lubie de leurs dirigeants, une nouvelle case à cocher dans une check-list des contraintes qu’on leur impose. De plus, la médicalisation de la sécurité des patients a tout de suite été suivie de sa délégation au monde infirmier, une profession surtout féminine dans la plupart de nos pays, dans un milieu encore fort genré de nos jours. Comme les infirmières sont moins puissantes dans la hiérarchie hospitalière, cela a permis d’étouffer toute velléité de changement radical, et ainsi de limiter les efforts et les actions en matière de sécurité des patients à des changements marginaux, en périphérie du travail clinique, qui ne perturbent pas trop le fonctionnement de la sphère médicale [25] ni celui de la hiérarchie dominante.
La préséance à la qualité ou à la sécurité ?
L’intérêt pour la « qualité » a précédé d’une bonne décennie celui pour la sécurité du patient. La qualité a été accueillie par les cliniciens avec le même scepticisme que plus tard la sécurité, mais a finalement trouvé sa niche, promue par la même bureaucratie scientifique. Donald Berwick, fondateur de l’Institute for Healthcare Improvement (IHI, Institut pour l’amélioration des soins de santé) en fut le promoteur historique : l’idée était de réunir des spécialistes du monde de l’industrie et de leur faire appliquer leurs principes aux soins de santé [27]. Le mouvement pour la qualité ne se préoccupe ni de l’erreur ni du dommage au patient. Il vise l’identification et la mise en place de bonnes pratiques permettant d’obtenir de bons résultats à moindre coût. Le moyen universel est la standardisation des procédures et des outils. La métrique utilisée pour la mesurer est l’efficacité clinique et le coût, et non les événements indésirables ou les dommages subis par les patients. Les héros sont les défenseurs du contrôle de processus, comme Edward Deming, leur modèle de prédilection est celui de Toyota et du lean10. La conception dominante veut que l’homme soit le maillon faible de l’organisation, et qu’il doive être corseté dans ses initiatives par un maillage de procédures, de bonnes pratiques et de recommandations. Les tenants de la sécurité regardent davantage du côté des industries à haut risque (l’aviation civile en particulier), et consultent des psychologues, des ergonomistes et des sociologues. Leurs héros sont Charles Perrow, James Reason et Karl Weick. Ils ne tiennent pas pour acquis que la sécurité est assurée à partir du moment où les soins sont confiés à un personnel qualifié, correctement formé et consciencieux. La discussion sur le point de savoir laquelle de la qualité ou de la sécurité contient l’autre est probablement vaine [28] : il y a beaucoup de buts et d’outils communs, et la bureaucratisation scientifique de la qualité et de la sécurité les a rapprochées plus encore, de sorte que les deux courants sont associés, comme dans le titre des journaux les plus lus (British Medical Journal Quality and Safety, Risques et Qualité), et que la « sécurité » a peut-être donné une deuxième vie à un mouvement « qualité » en perte de vitesse [29].
La méconnaissance des modèles postérieurs à Reason
Seul Reason peut s’autoriser à critiquer son modèle, ce qu’il fait d’ailleurs, mais il n’est qu’à peine écouté tant le dogme s’est installé : les « religions » du fromage suisse et de la défense en profondeur sont fermement ancrées, et leurs clergés sont hyperactifs [30]. Une orthodoxie de la sécurité des patients s’est développée : une version des origines du mouvement admise par tous, un canon normalisé d’écrits approuvés, et (pour pousser la métaphore religieuse à l’extrême) un panthéon de saints dont les affirmations ont été vénérées, mais seulement sporadiquement suivies d’effet. Les discussions sur la nature du patient safety se réduisent à une codification des dogmes entourant le modèle du fromage suisse, une approche « mesure et action » de l’amélioration, une élaboration tayloriste de bonnes pratiques, la priorité accordée à la diminution des erreurs plutôt qu’à l’encouragement et à la promotion de ce qui marche, et une croyance indéfectible et cartésienne dans le pouvoir de la rationalité pour mener au progrès [31]. L’objectivité du concept d’erreur et le fait qu’on puisse prévenir celle-ci sont toutefois contredits par la psychologie, par l’ingénierie des facteurs humains et par l’impuissance de la loi. Ce concept d’erreur persiste dans le monde médical, même si on y insiste sur le côté systémique des accidents et sur le rôle de la conception des outils, parce qu’il permet de renvoyer la balle vers la responsabilité de l’opérateur. L’erreur est une diversion efficace qui protège le management de sa responsabilité systémique. L’erreur satisfait les quatre discours de la sécurité (épistémologique, préventif, moral et existentiel) [32] : elle explique ce qui s’est produit (quelqu’un a fait une erreur), comment éviter le problème (formation, obéissance) et comment protéger les frontières de la zone de travail sûre (écrire des procédures, punir qui les transgresse), et donne un sens à la souffrance subie (une personne en faute a causé le problème). Des voix discordantes se sont élevées, autres que celle de Rasmussen, déjà cité. Berwick, par exemple, affirme que l’accent mis sur les « erreurs » est une vision sans avenir, polluée par le biais de rétrospection : le problème ne réside pas tant dans les « erreurs » que dans les préjudices. Il fait remarquer que la sécurité dépend moins des règles que de leur transgression intelligente et d’une adaptation réfléchie aux situations, ainsi que d’autres l’ont souligné [33]. Il s’inquiète de l’obsession des responsables de la sécurité des patients pour l’idée qu’on ne puisse améliorer que ce que l’on peut mesurer, alors que le temps consacré à la mesure l’est le plus souvent en pure perte. Il a déploré les analogies trop faciles avec le monde industriel et l’adoption du mantra « il n’y a qu’une bonne manière de faire les choses », le « one best way » tayloriste. Il note que les stratégies dominantes en matière de sécurité et de qualité « reposent largement sur des théories dépassées de contrôle et de standardisation du travail » et que « les progrès nécessiteraient l’abandon des principes du taylorisme qui sous-tendent l’approche détaillée, prescriptive et rationalisée du travail clinique prôné par la médecine scientifique et bureaucratique11 » [34]. L’hôpital a copié chez d’autres les modèles de sécurité qui y fonctionnaient, et les a superficiellement adaptés. La série d’articles « The problem with… », qui traite dans le BMJ Quality and Safety de concepts qui semblent fonctionner plutôt bien ailleurs, mais qui déçoivent ou sont contre-performants dans le monde médical, est éloquente sur ce point. Le problème est que l’hôpital n’a pas développé une conception dynamique qui lui soit propre de la gestion de sa sécurité, il a adopté celle qui convient à d’autres domaines d’activité, faute de cette culture pluridisciplinaire que l’hégémonie médicale a étouffée [35]. Une expertise propre au monde de la santé existe pourtant, hélas peu formalisée : approches épidémiologiques, gestion du risque infectieux, développement de la pharmacie clinique par exemple. Parallèlement, une expérience de la gestion des risques associés aux soins s’accumule depuis plus de vingt ans. Cela devrait permettre une modélisation originale pour peu que cette masse de données soit exploitée par des équipes de recherche pluridisciplinaires. L’apport des sciences sociales, des sciences de l’ingénieur et de spécialistes des facteurs humains et organisationnels mérite d’être envisagé pour ne pas cantonner les mesures correctives aux seuls acteurs de proximité.
Comment favoriser une vision positive de la sécurité ?
Développer des solutions locales
Qu’est-ce qu’un microsystème ?
Un « microsystème clinique » est un petit groupe de médecins et de professionnels travaillant de concert dans un milieu de soins pour assurer une prise en charge spécifique à une population ciblée de patients [36]. Le microsystème est sur la ligne de front, au contact avec le patient. Il peut s’agir d’un service de soins intensifs, d’un service de dialyse, d’une unité de sénologie… Bien sûr, un hôpital est bien plus qu’une juxtaposition de services : l’ensemble vaut davantage que la somme de ses parties, c’est la définition même de la complexité. L’adage qui veut qu’une une structure ne puisse pas être plus solide que son maillon le plus faible est caricatural, il souligne néanmoins la nécessité de faire évoluer de conserve des microsystèmes de l’hôpital et de les coordonner afin que les transitions soient assurées. Pour en revenir à l’acteur expert du second modèle des procédures, c’est bien entendu au niveau du microsystème que nous le trouvons. Dans chaque hôpital, il existe des microsystèmes cliniques qui réussissent. Ceux qui ont les meilleurs résultats ont en général des caractéristiques communes : un leadership clair, une culture explicite, le soutien organisationnel de l’hôpital, une forte orientation « patient », mais aussi une direction attentive au personnel et à son bien-être psychologique, l’interdépendance des acteurs, la circulation efficace de l’information, la volonté d’évaluer ses résultats et d’améliorer ses procédures [37]. Il paraît tentant de s’appuyer sur des microsystèmes pour mettre en place un processus ou une pratique, en particulier dans le domaine de l’hygiène hospitalière : si le microsystème est performant et si on le motive, la pratique s’enracine facilement. Si le microsystème ne fonctionne pas idéalement, il est sans doute plus facile de l’adapter que de faire évoluer tout l’hôpital. Mais cette phase de généralisation ne doit pas être perdue de vue. Nous devons toutefois reconnaître que la loyauté des membres d’un microsystème est plus grande vis-à-vis de leur service que du « macrosystème » (l’hôpital en ce qui nous concerne). L’étude des microsystèmes dans le monde de la santé a fait évoluer notre vision du fonctionnement des politiques de sécurité vers des modèles plus simples, qui respectent mieux le principe de parcimonie et qui sont testables dans la pratique : il s’agit d’un outil séduisant pour le monde hospitalier [38,39].
Pourquoi le microsystème ? Parce que la culture est locale
Nous avons vu que la plupart des organismes d’accréditation ou de certification exigeaient qu’une mesure de la culture de sécurité soit effectuée à intervalles réguliers. Elle est, en général, réalisée au niveau de l’hôpital, et son évolution est comparée à celle d’hôpitaux voisins par leur proximité ou par leur structure. Mais on sait que les résultats de ces mesures sont très différents d’un service à l’autre, et que bien souvent il y a davantage de similitudes entre les résultats de services semblables d’hôpitaux différents qu’entre les résultats de ces services et de leur hôpital en entier. Globaliser les résultats par institution nous fait oublier que la culture de sécurité dépend du contexte et est un phénomène plus local que général [40]. Il est peut-être plus approprié d’approcher son amélioration à l’échelle des unités et de ne généraliser les interventions qu’avec beaucoup de précautions, et dans un second temps [41,42]. Est-ce au responsable de la sécurité d’apporter des réponses à « que faire pour éviter que cela se reproduise » ou « que faire pour que cela ne se passe jamais » ? Cela fait de lui un expert qu’il n’est pas et, si son métier de base lui confère une crédibilité, il ne lui permet pas de s’arroger une expertise alors que la transversalité de sa position dans la hiérarchie l’exonère des responsabilités opérationnelles. En revanche, son rôle dans l’évaluation de la culture de sécurité et son expertise dans le choix des moyens de la modifier est reconnu. La culture locale est parfois un médiateur plus efficace de l’adhésion à des procédures de sécurité (port d’équipements de protection par exemple) que la formation et les rappels [43].
Pourquoi le microsystème ? Parce que l’expertise est locale
L’observation de ce qu’il se passe au niveau local nous apprend comment l’opérateur gère les compromis nécessaires à la gestion de la sécurité, en prenant en compte tout ce que nous avons dit de la complexité du monde hospitalier, de sa variabilité et de sa grande imprévisibilité, et de ses contraintes souvent conflictuelles (productivité et ressources limitées, contre-indications et degré d’urgence…) [44]. Se pencher avec intérêt sur l’opérateur, le soignant au chevet du patient, permet de reconnaître son expertise et de la transmettre au-delà de son service [45]. Les règles ne sont plus forcément écrites, ne fût-ce que pour être mieux acceptées [46]. La procédure cherche à être pratique plus qu’à être exhaustive. L’apparition d’une transgression à la règle entraîne l’examen de cette dernière et non la sanction du transgresseur : cette règle est-elle encore à jour et justifiée, est-elle bien écrite, est-elle utile, ou peut-être nuisible [47] ? Ce modèle est compatible avec les exigences du « resilience engineering12 ». Il est toutefois sujet à critiques : il implique une certaine autonomie des acteurs et met le « débutant » en difficulté. Il est plus difficile de surveiller le respect d’une règle qui s’est créée localement car souvent cette obéissance est plus nuancée qu’un simple phénomène binaire « oui/non ». Enfin, et nous le soulignerons encore, les règles et les procédures, même établies par des experts, structurent l’édifice de la sécurité, on ne peut sans danger systématiser leur rejet.
Se méfier de la bureaucratisation
La culture comme instrument de pouvoir
J’ai souligné dans le chapitre sur la culture de sécurité que celle-ci ne pouvait être dissociée des questions d’autorité et de pouvoir [48]. Ce lien est d’autant plus apparent que, bien trop souvent, les « valeurs » d’une institution sont « définies » par le management et davantage imposées que partagées. L’adoption d’une culture est souvent considérée comme un devoir des subalternes, alors que la promouvoir et susciter son adhésion sont clairement de la responsabilité du management. C’est d’autant plus vrai que l’on parle d’une « culture juste », où la direction a généralement un très gros travail à fournir pour convaincre ses employés de la réalité et de l’impartialité de sa « justice », de sa transparence, de son caractère non punitif et de sa volonté de prendre en charge les secondes victimes.
Les événements indésirables comme instrument de mesure
Ce n’est pas la taxinomie des événements indésirables ou leur énumération qui importe, mais l’histoire qui se cache derrière eux. La plupart des actions qui sont proposées pour améliorer la sécurité ignorent la complexité du monde hospitalier. C’est le cas des « systèmes de gestion du risque » (signalement, analyse et réaction). Leur première étape, le signalement des événements indésirables, se heurte d’emblée à des motivations totalement étrangères les unes aux autres. Si l’infirmière hésite à déclarer une anomalie ou un accident, c’est éventuellement parce qu’elle craint une réprimande, ou peut-être même une sanction. Le médecin craint la plainte, la demande de réparation financière et les conséquences sur sa réputation, sa carrière et la possibilité de continuer à exercer son métier. Même si ces craintes ne sont que des représentations plus ou moins fantasmées, elles induisent des comportements défensifs inévitables, source de biais dans les mesures. Rendre les signalements obligatoires n’est qu’un vœu pieux. Cette déclaration obligatoire existe en France, pour les événements graves. Pourtant, dans l’analyse de l’Étude nationale sur les événements indésirables liés aux soins (Eneis 3) par exemple, sur 61 événements qui remplissaient les critères de la déclaration obligatoire, un seul en avait fait l’objet [49]. Classer et recenser les événements indésirables est peut-être louable, mais c’est par-dessus tout le décryptage de l’histoire qui se cache derrière eux qui nous permet d’imaginer des dispositions visant à en prévenir la récurrence et, avec un peu d’expertise en plus, d’améliorer le fonctionnement de l’hôpital. Les autres moyens de dénombrer les événements indésirables (revue de dossiers, trigger tool, etc.13) sont coûteux en ressources et en temps, imparfaits et peu fiables (ils ne décèlent pas tous les incidents, et ne décèlent pas les mêmes).
La sécurité comme une cible mobile (les compromis)
La complexité des problèmes de gestion du risque oblige à gérer des buts simultanés parfois contradictoires et faisant partie d’univers organisationnels ou intellectuels différents. L’évaluation des méthodes d’action proposée est dès lors difficile et résiste à la tendance simplificatrice de l’EBM, qui cherche à réduire la variabilité à un paramètre à la fois, grâce à des schémas expérimentaux contraignants (études contrôlées en double aveugle par exemple) [19]. Vouloir à toute force prouver que l’on est efficace et en chercher les preuves peut mener à la paralysie. La sécurité est une chimère toujours en mouvement qui n’est observable que quand elle cesse d’exister [50]. Les objectifs de gestion incluent exceptionnellement la priorité absolue à la sécurité. Sauf rares exceptions, il s’agirait d’une vision utopique où le chirurgien n’opérerait plus et où les autoroutes seraient désertes. La sécurité est donc une priorité relative qui doit sans cesse être négociée [51]. La pression à la productivité est le concurrent le plus sérieux à la sécurité, et il est utile de songer à la caractériser davantage pour mieux la canaliser [52]. Cela n’empêche pas notre société bureaucratique et policée de caresser le rêve de la généralisation de l’application du principe de précaution. Des philosophes des sciences et des sociologues ont décrit les dangers de ce rêve, qui peut devenir un obstacle infranchissable pour tout progrès si on le pousse au-delà du « scientifiquement correct » [53]. Des théoriciens de la gestion du risque adoptent une attitude plus nuancée et admettent sa pertinence là où il y a de bonnes raisons, fondées sur des preuves empiriques ou des hypothèses causales plausibles, de penser qu’un dommage grave pourrait se produire, même si la probabilité de ce dommage est faible et que les informations scientifiques recueillies à ce stade de l’évaluation des risques révèlent une incertitude. La condition mise est la nature scientifique de l’incertitude [54]. Il est parfois trop simple de se réfugier derrière l’imprévisibilité d’un événement comme derrière une excuse, cette imprévisibilité qui fait de certains accidents (en particulier ceux déclenchés par des causes naturelles : inondation, tsunami…) des « black swans » : se figer devant eux est paralysant et frustrant, alors que s’attaquer à expliquer l’inimaginable et à prévenir ces cygnes noirs est exaltant [55].
Les procédures comme un médicament : la surdose est dangereuse !
Reconnaissons que les procédures structurent partout la sécurité. Les check-lists par exemple ont des effets positifs démontrés, en particulier sur la sécurité au bloc opératoire [56,57]. Elles sont indispensables aux opérateurs débutants, et elles sont un garde-fou pour les opérateurs expérimentés soumis à la tentation de l’imprudence ou de l’improvisation [58]. Flirter avec le rêve de s’en affranchir est permis [59], mais il y a trop d’accidents liés à la confiance indûment placée en l’autorégulation des opérateurs pour nier leur importance. Ce qui nuit à l’objectif de sécurité, c’est l’accumulation des procédures en un écheveau inextricable, leur utilisation comme moyen de contrôle et de contrainte, et leur mode de rédaction et de gestion hérité de Taylor. Cela nous fait toucher du doigt le risque d’un monde trop policé : la perte de notre capacité à faire face à une situation imprévue, à nous adapter à l’inattendu. Les gestionnaires de risques ont repris à Boris Cyrulnik le terme de « résilience » pour parler de la faculté de récupérer d’une situation imprévue et de la résoudre. Le fait de rebondir et d’en tirer parti se retrouve plutôt dans la notion surtout anglo-saxonne de « sérendipité ». D’une certaine manière, un système largement procédural gagne sans doute en sécurité dans sa zone limitée de fonctionnement « contrôlé » et perd par contre en sécurité là où la règle cesse de s’appliquer et où l’expertise professionnelle doit s’exprimer [60,61]. C’est ainsi que l’on trouve dans le document analysant l’accident du vol AF447 Rio-Paris une mention à un rapport interne de sécurité de la compagnie Air France, rédigé en 2006, qui souligne la perte des compétences de pilotage des pilotes de long courrier, la perte de leur bon sens et de connaissances générales aéronautiques, et des faiblesses en matière de représentation de la situation lors de pannes des systèmes embarqués (réalité, gravité, dangerosité, effets induits…) [62]. Air France a alors mis l’accent sur une organisation permettant l’innovation et promouvant la résilience [61,63], mais pas sur l’accroissement des savoir-faire techniques, toujours suspects de favoriser les prises de risque [8].
En tirer les conclusions
N’attendez pas de moi des recettes qui vont révolutionner votre existence. Si elles existaient, elles seraient connues et reconnues, et vous auriez droit de vous gausser : pourquoi diable après tant d’années d’expérience l’auteur n’a-t-il pas pu les imposer ? Donc pas de solutions clé en main, mais des pistes de réflexion parfois déjà bien rodées, parfois inattendues – et rien ne dit que ces dernières soient les meilleures.
Changer l’angle de vue : s’intéresser aussi à ce qui marche
Si vous faites un débriefing après une intervention chirurgicale un peu longue et un peu complexe où tout s’est apparemment bien passé, et si vous laissez les acteurs continuer à s’exprimer au-delà de cette première étape d’autosatisfaction, vous entendez remonter le souvenir d’événements qui n’avaient pas été prévus, ou qui ne correspondaient pas à l’ordre normal qu’aurait dû suivre l’intervention. Vous mettez ainsi le doigt sur le hiatus entre le « work as imagined » et le « work as done », entre le rêve et la réalité. Parfois, le premier mène à des impossibilités et doit être contourné. Un exemple : pour éviter les allées et venues hors d’une salle d’opération, avec les ouvertures de portes inopinées et les risques de contamination que cela provoque, les règlements imposent que tout le matériel nécessaire soit présent dans la salle avant le début de l’intervention. Encore faut-il disposer d’assez d’espace et gérer des compromis : tel matériel, qui sera peut-être nécessaire, n’est accessible qu’en un seul exemplaire et sera peut-être demandé ce jour dans deux salles différentes, sans forcément y être utilisé. Faut-il modifier l’agencement de la salle, mieux la ranger, mieux définir le déroulement de l’intervention pour limiter ses exigences en matériel, ou revoir le règlement ? Tout s’est bien passé, mais les compromis voire les transgressions qui ont permis la réussite méritent l’analyse. Parfois un imprévu est survenu. Était-il anticipé, comment a-t-on réagi et comment a-t-on maîtrisé la situation ? Les débriefings courts (de l’ordre de dix minutes) dans l’heure de la constatation d’un aléa, même (et surtout) sans conséquence, résolument et explicitement non punitifs, mêlant médecins, infirmières et tout autre protagoniste, permettent de se pencher ensemble sur ce qui a bien et moins bien marché, et de se mettre d’accord sur des actions éventuelles [64]. Il y a autant à apprendre de réunions de ce type que des analyses des causes racines (ou RCA pour root cause analysis), en y gagnant en plus sur le plan de la cohésion de l’équipe, invitée à s’exprimer. Et la plupart du temps en dehors de toute menace, même implicite, puisque tout s’est bien terminé.
Tirer un meilleur parti de l’analyse des causes
Les outils qui évitent à l’analyse de se concentrer sur l’erreur humaine et cherchent des causes systémiques à l’accident (la grille ALARM14 par exemple) sont un progrès qui s’est vite répandu. S’ils ont amélioré la qualité des RCA, ils ne semblent pas en modifier l’efficacité. Deux conseils peuvent émerger : le premier est d’éviter le biais très généralisé de favoriser les causes que l’on peut combattre en oubliant les autres. La phase d’analyse doit rester objective, elle vise à décrire ce qu’il s’est passé et pourquoi. Le fait d’entrevoir une solution de prévention ou d’atténuation au problème n’en fait pas une exclusive. Le second conseil est d’appliquer le type de check-list qui préside à l’analyse (ALARM par exemple) aux solutions proposées, pour vérifier que toutes les pistes systémiques ont bien été explorées. La méthode CAST15 ajoute cette discipline aux procédures classiques de la RCA, mais est peu utilisée dans les hôpitaux [65]. Il convient pourtant de vérifier que l’on a bien envisagé d’autres mesures de correction que la rédaction de nouvelles procédures et le recours à un surcroît de formation [66]. Enfin, rappelez-vous qu’une RCA mobilise des soignants pendant longtemps, sans leur apporter d’autres encouragements qu’une stimulation intellectuelle quand tout se passe bien. La même satisfaction peut souvent être atteinte à meilleur compte par une simple revue de la littérature. L’utilisation systématique de débriefings bien menés avec les acteurs des événements analysés permet souvent de s’affranchir des « pourquoi » qui structurent habituellement les analyses, pour se pencher sur comment les choses telles qu’elles avaient été planifiées et se sont effectivement déroulées, et comment l’imprévu a été (ou non) maîtrisé [67]. Les simulations sur site après ou pendant un débriefing peuvent soutenir ce mouvement de recherche d’une amélioration [68].
Prendre conscience que, sans le dire, nous utilisons des outils « Safety-II »
Lorsque l’Organisation mondiale de la santé a développé sa check-list chirurgicale, l’accent n’a pas été mis sur les erreurs à combattre, mais sur les bonnes pratiques qui évitent leur apparition. Des items de cette check-list n’ont ainsi pas d’autre but que de favoriser la communication entre des acteurs masqués, qui ne se connaissent pas nécessairement, pas plus que leurs rôles respectifs ne sont manifestes. C’est pourquoi on leur demande de se présenter. Le malheur veut que ce geste bénin en apparence soit l’un de ceux que les acteurs bannissent le plus facilement de la check-list quand ils l’adaptent [69]. Autre exemple, les care bundles (bouquets de soins) autour de la prévention d’infections16 ne sont pas construits à partir de RCA, mais d’expériences de prévention de ces infections diffusées dans la littérature et ayant fait leurs preuves dans des articles dignes de foi : des réussites, donc, pas des échecs. L’innovation consiste à choisir quelques gestes efficaces parmi ceux qui sont publiés et à surveiller leur respect. Ce choix même peut être l’objet d’un consensus local, où tous les acteurs liés aux soins aux patients peuvent s’exprimer. On ne se focalise pas sur les erreurs, mais sur quelques gestes simples dont la bonne exécution est vérifiée quelques fois par jour. Cette obéissance est facile à quantifier, à suivre dans le temps et à diffuser dans l’équipe, elle est bien plus parlante que l’apparition d’une infection, qui est (espérons-le) rare donc difficile à dissocier d’un simple hasard, et diagnostiquée après l’exposition, avec éventuellement un délai important entre la contamination et son expression clinique.
Faut-il abandonner Safety-I ?
L’arrivée assez pétaradante de la définition de la sécurité Safety-II17 et celle plus discrète de Safety-III18 [70] sonnent-elle le glas de Safety-I ? Non, bien sûr, il en est des théories scientifiques comme des modes : l’une a tendance à détrôner l’autre un moment, puis le mouvement de balancier de la raison ramène les choses à un plus sage équilibre. Les scientifiques universitaires tiennent à leur survie, qui se mesure par un nombre de publications, lequel dépend du retentissement de leurs théories et de leur capacité à supplanter celles des autres, ce qui nécessite souvent le recours aux médias pour mobiliser les attentions. Tout ce qui est publié dans le domaine des « sciences de la sécurité » relève souvent plus du commentaire, de l’expression d’un point de vue, que d’un résultat basé sur l’expérience et s’appuyant sur l’interprétation de faits qui ont passé l’épreuve de la revue par des pairs. Safety-II s’est construite sur une critique acerbe de Safety-I [71] mais pas sur les preuves de sa propre supériorité, qui se font encore attendre [70]. Qui donc oserait prétendre que s’intéresser aux événements indésirables est inutile et qu’il n’y a rien à apprendre des investigations sur leurs causes ? Mais qui osera nier que se focaliser sur les échecs ne permet pas forcément de comprendre et de promouvoir tout ce qui peut améliorer le fonctionnement quotidien d’un système et le rendre plus souple et plus adaptable, en un mot : « résilient » ? Une théorie nouvelle ne chasse pas les théories du passé : elle les éclaire d’un jour nouveau et en nuance l’universalité. Les outils traditionnels de recherche des causes et d’analyse de risque existent, ils sont maîtrisables par nos collaborateurs, alors que les méthodes FRAM restent complexes et cantonnées à des travaux de thèse plutôt que destinées à la gestion quotidienne. Mais n’hésitez pas à mettre le passé en doute sans le rejeter pour autant : dans mon esprit, Safety-II s’ajoute à Safety-I sans la remplacer [72].
Préférer l’anticipation à la réaction et la prévention au traitement des conséquences
L’indicateur « failure to rescue » (l’échec du sauvetage) ou FTR s’est d’abord référé aux patients chirurgicaux qui décédaient dans le mois d’une intervention après avoir présenté une complication grave (hémorragie, sepsis, pneumonie, thrombose veineuse ou embolie pulmonaire…). Il a ensuite été étendu aux patients obstétricaux puis médicaux. Le FTR semble être un indicateur global de la sécurité plus intéressant que la mortalité intra-hospitalière, même s’il demande une exploration fastidieuse des dossiers des patients. Il a acquis ses titres de noblesse en 2010, quand il est devenu apparent que ce qui différenciait le mieux les hôpitaux sûrs de ceux qui l’étaient moins n’était pas le nombre de complications dont leurs patients souffraient (qui était grosso modo le même partout), mais la manière dont ces complications étaient diagnostiquées et soignées [73]. Le dénombrement des FTR est un indicateur tentant, même s’il peine à prouver l’utilité des « rapid response teams » (équipes d’intervention rapide) proposées comme réponse spécifique au problème [74]. La Haute Autorité de santé se penche depuis peu sur la pertinence d’un indicateur de ce type et sur la possibilité de se servir des recueils informatisés actuels pour l’évaluer [75].
(Mieux) Prendre en compte les risques systémiques
La fatigue des soignants
Il a fallu la pandémie de Covid-19 pour que chacun se rende enfin compte que le travail des médecins et infirmières est éreintant, tant physiquement que moralement. Les termes « burn-out » et « stress post-traumatique » se sont généralisés. Cela a mis du temps : en 2000 déjà, Sexton soulignait la différence de perception entre pilotes d’avion et chirurgiens quant aux effets de la fatigue – 75% des pilotes reconnaissaient que le manque de sommeil altérait leurs perfomances, contre seulement 30% des chirurgiens [76]. De nombreuses études ont semblé faire des médecins une race immunisée contre les effets de la fatigue. Cependant, peu d’entre elles échappent à des biais. Ainsi, la plupart étudient l’effet de modifications des horaires de prestation ou de garde de spécialistes en formation dans leur première année, main-d’œuvre bon marché de nos hôpitaux : leur jeunesse, leur motivation, leur dépendance à un patron qui jugera s’ils sont aptes ou non à devenir spécialiste en font les piliers des permanences médicales hospitalières. Ces études sont généralement réalisées par ces mêmes patrons qui menacent de devoir prolonger la durée des spécialisations si on limite le temps d’activité. On en est arrivé à créer ce que les Américains appellent un « critère professionnel caché » (hidden curriculum), selon lequel le jeune médecin se sent coupable s’il est fatigué et n’ose pas en faire état. La fatigue est un phénomène désormais mieux cerné. Nous avons maintenant de bonnes notions des stratégies que les médecins et les infirmières mettent en place pour cacher leur fatigue ou lutter contre elle [77]. Nous savons également que la fatigue dégrade nos réactions bien avant que nous en soyons conscients [78], et quelques auteurs et éditeurs brisent les tabous [79,80]. L’Europe a osé légiférer sur le sujet, mais il est permis de douter de la réalité de l’application universelle de ses directives, qui ont néanmoins été transcrites dans les lois des pays européens. La directive européenne n° 2003/88/CE du 4 novembre 2003 concerne certains aménagements du temps de travail. Elle s’applique en particulier aux médecins en cours de spécialisation, dont le statut du point de vue des horaires de travail était on ne peut plus flou. La transcription dans les lois nationales s’est parfois faite dans la douleur : il a fallu attendre 2010 en Belgique.
Le contexte social, source possible de risques
La littérature occidentale souligne le rôle des cadres dans la diffusion d’une culture de sécurité, et dans le fait que l’opérateur final participe activement aux initiatives en ce domaine. Par contre, des études asiatiques, là où la cohésion sociale est plus présente que chez nous, concluent que ce sont les collègues de travail, ceux que nous côtoyons quotidiennement, qui jouent un rôle prépondérant, et non les cadres [81]. La structure sociale intervient donc dans nos attitudes sécuritaires. De plus, nous ne sommes pas tous égaux devant les risques touchant à la santé. Ici aussi, il existe des catégories sociales défavorisées. Certains paramètres en sont bien connus, les revenus ou le niveau d’étude par exemple. D’autres facteurs ont été cruellement révélés par le recours aux consultations « à distance » : la « fracture numérique », mais aussi la littératie de nos patients dans le domaine de leur santé [82]. Je ne m’étendrai pas sur d’autres déchirures sociales basées sur la couleur de la peau, la religion, le sexe ou le genre, qui en bref concernent toutes l’appartenance à une minorité. Cette hétérogénéité des patients complique singulièrement le louable mouvement qui voudrait les impliquer davantage dans la gestion de leur sécurité. Si nous désirons sortir du confort du paternalisme ambiant, nous devons nous préoccuper plus souvent de leurs attentes personnelles, de leurs réactions individuelles face aux doutes du médecin et aux incertitudes liées par exemple au diagnostic, et de leur anxiété devant la révélation d’événements indésirables [83].
La médecine devrait être un sport d’équipe et non un lieu de performance individuelle
C’est plus vite dit que fait : tout dans la formation des médecins favorise l’individualisme et le sentiment d’appartenance à une élite. Il est évident néanmoins que le thésaurus de connaissances qui doit être mobilisé pour arriver à certains diagnostics nécessite de faire appel à des spécialistes d’autres disciplines. Même si l’obstacle « psychologique » est aisé à franchir, il en reste d’autres que dresse par exemple un mode généralisé de gestion qui favorise le rendement. Pour pouvoir se concerter avec d’autres, il faut qu’ils soient accessibles et disponibles, au moins à des moments permettant les échanges pluridisciplinaires, même si le temps, c’est de l’argent, et que ce temps dédié aux problèmes du patient n’est pas toujours valorisé financièrement. Nos modes de financement sont des facteurs systémiques très prégnants pour qui les connaît, mais qui passent souvent inaperçus des soignants qui analysent les événements indésirables. Les directions favorisent-elles ces rencontres pluridisciplinaires autour des problèmes des patients, les suscitent-elles, voire les imposent-elles ? Ces rencontres sont institutionnalisées dans la prise en charge diagnostique et thérapeutique des néoplasies, mais elles sont possibles partout. L’étude CHARMED19, réalisée au sein de différents services d’urgence de l’Assistance publique-Hôpitaux de Paris, a montré une réduction de 10,7% à 6,4% du taux d’événements indésirables en introduisant trois épisodes de rencontre par jour entre les médecins du service afin qu’ils confrontent leurs avis sur les patients de la journée. Sans surprise, une partie importante de l’amélioration touche ce qui a trait au diagnostic [84]. J’ai déjà fait allusion à la théorie de Kahneman sur les « deux vitesses de la pensée » : exposé à une situation demandant une décision (un diagnostic par exemple), notre « système 1 » se met automatiquement en route : il est instinctif, basé sur la reconnaissance de forme et les heuristiques, et mène facilement à des erreurs, car il est sujet aux biais cognitifs. Le « système 2 » est celui de la réflexion rationnelle : il demande un effort volontaire et mobilise les énergies. Il pourrait être un moyen efficace de cadrer le système 1, mais le caractère automatique et incontrôlable de celui-ci crée des œillères dont il est difficile de se débarrasser. Sauf si la surveillance est confiée à un confrère ou à un témoin comme c’est le cas dans le cockpit d’un avion : le pilote « aux commandes » agit et réagit, à l’occasion automatiquement, tandis que le deuxième pilote « surveille » le premier sans avoir ses contraintes physiques ou psychologiques. C’est lorsqu’il fait appel à un témoin que le système 2 est le plus efficace comme moyen de surveiller le système 1. Par contre, les techniques visant à protéger les opérateurs (médecin ou pilotes) contre les biais qui les guettent s’apparentent plus aux vœux pieux qu’à des mesures efficaces [85]. Je ne m’étendrai pas plus sur la nécessité d’associer d’autres compétences que celles du management et de la médecine à la gestion des risques, surtout si on vise enfin une gestion des risques intégrée à tous les étages de l’hôpital. Il y a de la place pour les équipes de soins, bien sûr, mais aussi et peut-être surtout pour des connaisseurs des « facteurs humains », quels que soient leurs formations et leurs diplômes. Soulignons à ce propos le rapport de la Société française d’anesthésie-réanimation en collaboration avec l’association Facteurs humains en santé, qui énumère une série de mesures dans le domaine de la communication, de l’organisation, du milieu de travail et de l’éducation susceptibles d’améliorer la sécurité du patient, souvent d’une surprenante simplicité20 [86]. Ce nouveau cadre de réflexion et d’action nécessite d’intégrer la profonde mutation des parcours de soins, hors les murs de l’hôpital. De ce fait, le pilotage de programmes de gestion des risques prendra en compte tous les protagonistes, dont les patients (avec les réserves déjà exprimées à plusieurs reprises dans les chapitre précédents). Ce changement de point de vue permettra vraisemblablement la transition d’un modèle administré à celui de la coordination d’acteurs autonomes et responsables, garant d’une meilleure réactivité et d’une meilleure acceptation des règles. Ces approches ne peuvent s’affranchir du résultat de la pratique quotidienne des équipes soignantes, souvent valorisées par les enquêtes de satisfaction des patients. Reconnaître ce qui fait la sécurité au quotidien permet souvent d’éviter de proposer, au terme d’un processus bureaucratique laborieux et coûteux en temps de mobilisation, des solutions déjà mises en œuvre de façon informelle dans les microsystèmes. Cela permet en outre de contextualiser les résultats et les expériences publiés dans un contexte international parfois éloigné des contraintes locales [87] et de dépasser, dans les débriefings bien organisés, la simple étude de cas pour s’attaquer à des solutions constructives et efficaces [88]. Quant au patient, il fait partie de l’équipe, même si, je l’ai dit, son intégration doit faire l’objet de précautions. On ne peut sans préparation le mêler à l’analyse d’un accident, le confronter au doute et à l’indécision du médecin, ni négliger le fait que ses préoccupations quant à sa sécurité sont différentes de celles des soignants et des technocrates de la sécurité : il se préoccupe surtout de la confiance qu’éveille en lui son médecin ou chirurgien [89].
Notes :
1- National Health Service, service national de santé du Royaume-Uni.
2- Coronavirus disease 2019, maladie à coronavirus 2019.
3- Voir https://www.risqual.net/publication-scientifique/chapitre-i-une-histoire-de-la-securite-partie-2-lirruption-de-la-complexite (Consulté le 25-08/2023).
4- Du latin ad hoc, « pour cela ».
5- Voir https://www.risqual.net/publication-scientifique/chapitre-i-une-histoire-de-la-securite-partie-1-de-la-mine-de-charbon-a-la-salle-doperation (Consulté le 11-07-2023).
6- Organisation de haute fiabilité, voir https://www.risqual.net/publication-scientifique/chapitre-i-une-histoire-de-la-securite-partie-2-lirruption-de-la-complexite#title7 (Consulté le 11-07-2023).
7- L’erreur est humaine.
8- Médecine fondée sur des preuves.
9- Cochrane est une organisation à but non lucratif internationale basée au Royaume-Uni dont le but est de produire des données probantes synthétiques fiables et de les rendre accessibles à tous. Les groupes de revue Cochrane aident les auteurs à produire des revues systématiques de qualité dans leur domaine. Source : https://www.cochrane.org/fr/evidence (Consulté le 11-07-2023).
10- Méthode de gestion de la production cherchant l’amélioration continue de la performance (qualité, productivité) en utilisant un minimum de ressources.
11- Traduction de l’auteur.
12- Ingénierie de la résilience.
13- Voir https://www.risqual.net/publication-scientifique/chapitre-iii-le-signalement-des-evenements-indesirables-intentions-methodes-et-resultats (Consulté le 25-08-2023).
14- Association of Litigation and Risk Management, Association de gestion des risques et des litiges.
15- Causal analysis based on systems theory : analyse causale basée sur la théorie des systèmes. Voir https://www.risqual.net/publication-scientifique/chapitre-iv-les-analyses-retrospectives-ou-la-recherche-des-causes-racines (Consulté le 11-07-2023).
16- Voir https://www.risqual.net/publication-scientifique/chapitre-vii-les-barrieres-un-barrage-contre-le-pacifique (Consulté le 25-08-2023).
17- Voir https://www.risqual.net/publication-scientifique/chapitre-ii-la-culture-de-securite-graal-ou-panacee#title11 (Consulté le 25-08-2023).
18- L’apparition de « Safety-III » tient plus de la querelle d’universitaires que de concepts réellement constructifs. Voir Aven T. A risk science perspective on the discussion concerning Safety I, Safety II and Safety III. Reliab Eng Syst Saf 2022;217:108077.
19- Cross-checking to reduce adverse events resulting from medical errors in the emergency department (recoupement pour réduire les événements indésirables résultant d’erreurs médicales aux urgences).
20- Les recommandations (2022, 81 p.) sont accessibles sur https://facteurshumainsensante.org/wp-content/uploads/2022/09/Facteurs-Humains-en-situations-critiques.-SFAR-et-FHS.-RPP-2022.pdf (Consulté le 01-09-2023).