Discours

Présentation à la Commission canadienne de sûreté nucléaire
Kathy Fox, membre du Bureau
Bureau de la sécurité des transports du Canada
Ottawa (Ontario)
Le 25 mars 2011


Cliquez ici pour la Présentation en PowerPoint  [4924 Ko]


La version prononcée fait foi

Diapositive 1 : Page titre (« SGS : Approches évolutives de la gestion de la sécurité »)

Diapositive 2 : Aperçu

Bonjour. Je vous remercie pour cette aimable présentation et pour cette invitation à discuter d'un sujet de grand intérêt pour le Bureau de la sécurité des transports du Canada.

Aujourd'hui, je vais parler des SGS, soit les systèmes de gestion de la sécurité : ce qu'ils sont, comment ils fonctionnent et pourquoi ils sont bénéfiques. Je vous parlerai également de leur évolution, c'est-à-dire les raisons pour lesquelles les industries et les organismes de réglementation sont passés d'une approche traditionnelle et prescriptive par rapport à la sécurité, soit une approche basée sur la conformité à la réglementation, à une approche plus systémique de la gestion des risques de sécurité.

Je commencerai en partageant avec vous certaines de mes propres expériences de la gestion de la sécurité durant ma carrière et je passerai ensuite brièvement en revue certaines des écoles de pensée concernant la causalité et la prévention des accidents. Je donnerai un aperçu de certaines des leçons à retenir concernant la dérive organisationnelle, les adaptations des employés, l'identification des dangers, la déclaration des incidents et les mesures de la sécurité. Ensuite, je parlerai de la façon dont un système de gestion de la sécurité (SGS) peut aider à réduire les risques. Bien que je citerai principalement des exemples provenant du secteur des transports, un bon nombre des principes, processus et leçons apprises peuvent être transférés à d'autres industries critiques de la sécurité telles que la médecine et l'énergie nucléaire.

Diapositive 3 : Réflexions initiales sur la sécurité

Pendant toute ma carrière, j'ai mis en pratique la sécurité. En tant que contrôleuse de la circulation aérienne, j'étais responsable d'assurer que les avions n'entrent pas en collision les uns avec les autres ou ne s'écrasent pas au sol et de fournir des données opérationnelles aux pilotes concernant les conditions météorologiques, l'état des pistes et toutes les autres informations nécessaires pour la sécurité aérienne. En tant que pilote commerciale, j'ai transporté des personnes d'un point A à un point B dans tous les types de conditions météorologiques; en tant qu'instructrice de vol, j'enseigne aux gens les bases de la sécurité en vol et en tant qu'examinatrice, j'évalue les compétences des pilotes afin de m'assurer qu'ils peuvent piloter en toute sécurité. Aujourd'hui, au Bureau de la sécurité des transports du Canada (ou BST), moi-même et les autres membres du Bureau examinons les enquêtes sur les accidents, analysons les lacunes de sécurité et faisons des recommandations pour aider les organismes de réglementation, les exploitants et les constructeurs à réduire les risques.

Malgré tout, au début de ma carrière, je ne réfléchissais pas souvent sur la véritable signification du mot « sécurité ». Cela peut sembler étrange mais on m'a enseigné, et j'étais persuadée, que les choses étaient « sûres » pourvu que :

  • vous n'enfreignez pas les règlements ou ne commettez pas d'erreurs stupides,
  • vous vous assurez que l'équipement ne tombe pas en panne,
  • vous portez attention à ce que vous faites,
  • vous suivez les procédures d'exploitation normalisées.

Cette certitude, que les accidents n'arrivent qu'à ceux qui n'ont pas suivi les étapes nécessaires, a persisté même après que je sois devenue responsable des enquêtes sur des incidents du contrôle de la circulation aérienne. Lorsque quelque chose se passait mal, qu'il s'agisse d'une perte d'espacement ou d'un autre incident quelconque, nous attribuions souvent les causes essentiellement à « un manquement à suivre les procédures » ou « à une perte de conscience de la situation ». Nous n'examinions pas toujours la question plus profonde du « pourquoi? ».

Diapositive 4 : Sécurité ≠ absence de risques

C'est alors que le grand virage s'est produit pour moi.

Lorsque je suis devenue directrice de la sécurité à NAV CANADA, la compagnie privée qui exploite le système canadien de navigation aérienne civile, j'étais responsable de la mise en œuvre et de la gestion d'un programme de surveillance de la sécurité des compagnies. Cela comprenait l'élaboration d'un certain nombre de politiques, processus et pratiques axés sur l'identification des dangers opérationnels, l'analyse des risques et l'établissement de rapports avec les décisionnaires qui pouvaient prendre les mesures qui s'imposaient.

Pour la première fois, j'ai commencé à réfléchir et à parler explicitement de « gestion des risques » plutôt que de « sécurité ». J'en suis également arrivée à réaliser que la « sécurité » ne signifie pas réellement « absence de risques ».

Examinons pourquoi.

Diapositive 5 : Modèle de Reason (« le fromage suisse »)

Le Dr James Reason est un spécialiste des facteurs humains. J'ai eu l'occasion de le rencontrer lors d'une conférence sur la sécurité vers la fin des années 1990 et de discuter avec lui de concepts de la gestion des risques. J'ai trouvé son travail très intéressant car il montrait comment une chaîne d'événements, y compris des facteurs organisationnels, peuvent converger pour créer une fenêtre de possibilités d'accident. En utilisant son modèle de causalité d'accident, il semblait logique de comprendre comment et pourquoi les accidents se produisaient.

Reason utilise l'image du « fromage suisse » pour expliquer l'occurrence des pannes de système. Dans un système complexe, une série de barrières servent à se défendre contre les dangers. Chaque barrière a des faiblesses, ou trous, non désirés, d'où la similitude avec le fromage suisse. Ces faiblesses peuvent être constantes ou non, c'est-à-dire que les trous s'ouvrent et se referment en fonction des circonstances. Lorsque tous les trous sont alignés, le résultat est un accident. Le modèle de Reason semble quelque peu simpliste car il amène les gens à penser que les accidents se produisent comme une séquence linéaire d'événements. En fait, le monde est beaucoup trop aléatoire pour cela.

Cependant, le modèle de Reason était également utile pour expliquer aux collègues travaillant dans des services non opérationnels, tels que les services des finances et des ressources humaines, comment leurs politiques et pratiques pouvaient par inadvertance créer les conditions pouvant entraîner un accident et comment la sécurité n'était pas uniquement la responsabilité des services de l'exploitation, de l'ingénierie ou de l'entretien.

Voici un exemple simple : Lorsque NAV CANADA a décidé de remplacer sa flotte de fourgonnettes qui servent à se déplacer sur les pistes des aéroports pour entretenir les aides de navigation, le service d'entretien a été en mesure de convaincre le service des finances d'acheter des fourgonnettes de couleur jaune « autobus d'école ». Ces fourgonnettes étaient plus coûteuses que les fourgonnettes blanches normales mais elles étaient plus sûres car elles étaient beaucoup plus faciles à voir sur les pistes couvertes de neige pendant l'hiver canadien.

Diapositive 6 : Sidney Dekker : Comprendre l'erreur humaine

Un autre personnage majeur dans l'étude de la causalité des accidents est le Dr Sidney Dekker, ancien professeur en facteurs humains et en sécurité en vol et directeur de la recherche à l'école de l'aviation de l'Université de Lund en Suède, où j'ai obtenu ma maîtrise en Sciences. Certaines de mes meilleures réflexions proviennent de mes études avec le professeur Dekker qui maintient que :

  • La sécurité n'est jamais le seul objectif visé : les organisations existent pour fournir des biens et des services et pour en tirer profit.
  • Et parce qu'il n'y a jamais uniquement un seul objectif, les gens doivent concilier ces objectifs en même temps : par exemple, l'efficience par rapport à la sécurité.
  • De plus, la sécurité n'est pas un automatisme. Les êtres humains doivent la créer, par la pratique, à tous les échelons d'une organisation.
  • Cependant, les pressions exercées par la production influent sur les décisions des gens et ils en arrivent à faire des compromis. De cette façon, ce qui était précédemment considéré comme irrégulier ou dangereux peut devenir acceptable, voire même normal. Cela contribue par inadvertance à créer les circonstances qui peuvent entraîner des accidents.

Diapositive 7 : Sydney Dekker : Comprendre l'erreur humaine

Immédiatement après un accident, les gens et les médias veulent savoir s'il est attribuable à « une défaillance mécanique » ou « une erreur humaine ». Et bien, Dekker est très clair sur ce que nous appelons souvent « l'erreur humaine ». Il insiste sur le fait qu'elle n'est pas une cause de défaillance, mais plutôt sur le fait que l'erreur humaine est l'effet, c'est-à-dire un symptôme, d'un problème plus profond.

En d'autres mots, l'erreur humaine n'est pas aléatoire : elle est systématiquement liée aux caractéristiques des outils, des tâches et de l'environnement d'exploitation.

Ceci est important parce que c'est l'organisation qui crée l'environnement d'exploitation et c'est l'organisation qui fournit les outils, la formation et les ressources requises pour produire les biens et les services. D'après moi, et par conséquent, afin d'être véritablement significatif et efficace, l'engagement et l'investissement d'une organisation dans la sécurité doit pénétrer dans les opérations quotidiennes.

Cela m'amène à une question : Pourquoi se concentrer sur la gestion?

Diapositive 8 : Pourquoi se concentrer sur la gestion?

C'est très simple :

  • Parce que les décisions de la gestion ont une sphère d'influence beaucoup plus grande sur les opérations que les décisions des employés individuels de première ligne.
  • Les décisions de la gestion ont un effet à plus long terme.
  • Cependant, et principalement, c'est parce que ce sont les gestionnaires qui créent l'environnement d'exploitation. Encore une fois, et j'insiste sur cet aspect, ils fournissent les outils, la formation et les ressources requises pour produire les biens et les services. Ils établissent et communiquent également les objectifs et les priorités.

Mais c'est là qu'est le problème.

Diapositive 9 : Équilibre entre des priorités concurrentes

De nombreuses compagnies affirment publiquement, « la sécurité est notre priorité principale! » Mais il existe de très nombreuses preuves convaincantes qui suggèrent que leurs priorités principales sont réellement et en fait « le service à la clientèle » ou « le retour sur l'investissement des actionnaires ». Bien entendu, ces éléments sont très importants. Sans eux, vous pouvez rapidement vous retrouver en faillite. Cependant, les biens et services doivent également être « sûrs », surtout si les compagnies veulent rester en affaires, éviter les accidents et des poursuites judiciaires coûteuses et maintenir la confiance des clients ainsi qu'un avantage concurrentiel.

Par conséquent, toute grande organisation, qu'il s'agisse d'une ligne aérienne, d'un fournisseur de services de navigation aérienne, d'une compagnie ferroviaire, d'un hôpital ou d'une centrale nucléaire, doit équilibrer des priorités concurrentes, gérer des risques multiples et concilier ces priorités concurrentes : la sécurité, l'économie, la réglementation, les finances, les questions environnementales, la technologie, pour n'en nommer que quelques-unes.

Étant donné le besoin constant de concilier des objectifs concurrents et les incertitudes associées à l'évaluation des risques de sécurité, comment les gestionnaires peuvent-ils reconnaître si oui ou non, et quand, ils commencent à dériver vers l'extérieur des limites du fonctionnement sécuritaire pendant qu'ils se concentrent sur leurs autres priorités?

À cause du fait que la dérive organisationnelle, après tout, est normale. Cela n'est peut-être pas idéal mais c'est la réalité.

Diapositive 10 : La dérive

Une dérive découle des processus normaux nécessaires à la conciliation des pressions différentielles d'une organisation (efficacité, utilisation des capacités, sécurité) dans un cadre où l'incertitude technologique et l'imperfection des connaissances sont inhérentes (Dekker, 2005:43).

La dérive est le mouvement lent et progressif de l'exploitation des systèmes vers la limite de leur enveloppe de sécurité. Typiquement, la dérive est alimentée par les pressions combinées de la rareté des ressources et de la concurrence. Sans connaissances de la situation exacte des limites de sécurité, les gens ne perçoivent pas la dérive et, par conséquent, ne font rien pour l'arrêter.

La dérive organisationnelle n'est généralement pas visible de l'intérieur de l'organisation car des changements progressifs se produisent en permanence. En fait, et souvent, la dérive ne devient visible aux personnes de l'extérieur qu'après un événement malheureux (tel qu'un accident) et ensuite, et principalement, grâce aux avantages de l'évaluation a posteriori.

Même avec les meilleures intentions, il est très possible pour les organisations d'élaborer des politiques et des procédures visant à atténuer les risques de sécurité connus mais ces politiques et procédures deviennent ensuite érodées sous les pressions de la production. Le cas suivant nous offre un exemple concret.

Diapositive 11 : MK Airlines (octobre 2004)

En 2004, un Boeing 747 assurant un vol international de marchandises s'est écrasé au décollage à l'aéroport international de Halifax (rapport d'enquête A04H0004 du BST). Pourquoi? À cause du fait que l'équipage a utilisé par inadvertance un poids d'appareil inférieur par rapport à un vol précédent pour calculer les données de performance pour le décollage. Cela a entraîné une vitesse de décollage incorrecte et un réglage de poussée trop faible pour permettre à l'appareil de décoller en toute sécurité étant donné son poids réel.

La conclusion du BST? La fatigue de l'équipage a probablement augmenté la probabilité d'erreurs dans la saisie et le calcul des données de performance pour le décollage. Cette même fatigue, en combinaison avec l'environnement de décollage dans l'obscurité, a également dégradé la capacité de l'équipage à déceler ces erreurs.

Comment cela s'est-il produit? Bien, on commence avec de bonnes nouvelles : la compagnie enregistrait une croissance significative. Cela, en combinaison avec sa stratégie de recrutement, a cependant créé un problème : une pénurie d'équipages de vol.

Quelle a été la réponse de la compagnie? Ils ont progressivement augmenté la période de travail maximale permise de 20 heures (avec un maximum de 16 heures de vol) à 24 heures (avec un maximum de 18 heures de vol) et réduit le nombre de pilotes de l'équipage de vol de 4 à 3. Au moment de l'accident, cet équipage de vol était en service depuis presque 19 heures et, en raison de retards antérieurs, aurait probablement été en service depuis environ 30 heures à l'arrivée à leur destination finale si les vols restants s'étaient poursuivis normalement.

L'enquête du BST a révélé que le service de dotation des équipages de vol de la compagnie planifiait régulièrement des vols qui dépassaient la limite des 24 heures. Ce non-respect régulier de leur propre manuel d'exploitation a contribué à créer un environnement dans lequel certains employés et la gestion de la compagnie considéraient qu'il était acceptable de dévier des politiques et/ou procédures de la compagnie, pourvu que cela était considéré nécessaire pour effectuer un vol ou une série de vols.

Diane Vaughan, sociologue au Boston College, a également défini cela comme « la normalisation de la dérive ». En d'autres mots, lorsque les dérives par rapport à une norme deviennent institutionnalisées, elles deviennent en fait une nouvelle norme.

Maintenant, une autre question se pose : Comment pouvez-vous déterminer le moment auquel les choses commencent à mal se passer?

Diapositive 12 : Systèmes de gestion de la sécurité (SGS)

Le SGS est un outil de gestion de renommée internationale conçu pour intégrer la sécurité dans toutes les activités d'une compagnie. Il est généralement défini comme « un cadre de travail formalisé » pour l'intégration de la sécurité dans les opérations quotidiennes d'une organisation, y compris les structures organisationnelles, les responsabilités, les politiques et procédures nécessaires.

James Reason décrit le SGS comme étant « un processus systématique, explicite et exhaustif de gestion des risques de sécurité », un processus qui, s'il est conçu correctement, devient « une partie intégrale de la culture de l'organisation et de la façon dont les gens perçoivent et effectuent leur travail ». (J. Reason, 2001)

En termes de ses « antécédents intellectuels », le SGS a évolué en partie à partir de la recherche sur les organisations de haute fiabilité, de forte culture de sécurité et de résilience organisationnelle. Il a été mis en œuvre au cours des années 1980 dans l'industrie chimique et a depuis évolué et été progressivement adopté par d'autres industries essentielles de la sécurité du monde entier.

Certaines personnes sont sceptiques et perçoivent le SGS comme une forme de déréglementation ou d'auto-réglementation. Ce n'est pas le cas, et le SGS n'exclut pas non plus le besoin d'une surveillance réglementaire efficace. Il est vrai que de nombreuses compagnies considèrent qu'il est difficile de mettre en œuvre un SGS, mais il existe de bonnes raisons pour l'adopter, en commençant par le fait que les anciennes méthodes ne sont pas particulièrement efficaces.

Diapositive 13 : Pourquoi changer?

Dans de nombreux cas, la motivation d'adoption d'un SGS est déclenchée par des accidents tragiques très médiatisés et la prise de conscience du fait que les organisations doivent trouver un meilleur moyen de prévenir de tels accidents.

Examinons l'approche traditionnelle, laquelle, comme je l'ai déjà mentionné, correspond exactement à la façon dont j'ai été formée plus tôt dans ma carrière : suivez les procédures d'exploitation normalisées, respectez les règles, faites attention à ce que vous faites et ne commettez pas d'erreurs stupides. Mais le fait que vous respectiez les règlements ne rend pas les choses sécuritaires. Les règlements ne couvrent pas (et en réalité, ne peuvent pas couvrir) toutes les situations et ils ne sont certainement pas suffisamment souples pour être utiles dans des circonstances rares ou imprévues. Qu'en est-il du comportement réactif? Vous vous rappelez sans doute du vieux dicton, « mieux vaut prévenir que guérir ». Beaucoup trop souvent, les mesures adoptées après un accident ne font que régler les symptômes plutôt que les lacunes sous-jacentes de sécurité.

Diapositive 14 : Éléments d'un SGS

Un SGS qui fonctionne bien comprend les éléments vitaux suivants : l'identification des dangers, un système de déclaration et d'analyse de l'information sur les incidents et une culture de sécurité au sein de la compagnie, une culture définissant clairement les niveaux de responsabilité afin de s'assurer que les dangers et incidents continuent à être identifiés, signalés, analysés et corrigés.

Examinons plus en détail certains de ces éléments.

Diapositive 15 : SGS : Identification des dangers

L'identification des dangers est une pierre angulaire essentielle d'un SGS qui permet aux compagnies de prévoir ce qui peut mal se passer de façon à pouvoir adopter des mesures préventives. En quelques mots, un SGS peut aider une organisation à déceler les problèmes avant que les problèmes affectent la compagnie.

Pour ce faire, un SGS qui fonctionne bien intègre des politiques, procédures et pratiques pertinentes de la gestion des risques dans tous les aspects des opérations quotidiennes d'une compagnie.

Par exemple, en 1998, NAV CANADA a adopté une politique stipulant qu'un plan en bonne et due forme d'évaluation des risques et de gestion de la sécurité serait fait à propos de tout changement significatif aux procédures, à la technologie ou à l'organisation elle-même. En ce qui concerne les changements au niveau des services (par exemple, la fermeture d'une tour de contrôle), la compagnie a également décidé d'effectuer des évaluations de suivi après 90 jours et après une année pour confirmer que les dangers potentiels avaient été identifiés et atténués efficacement et qu'aucun nouveau danger n'avait été introduit.

Cependant, l'identification a priori des dangers pour la sécurité peut être très difficile à cause du fait que votre objectif est de réfléchir à toutes les activités potentielles qui peuvent mal se passer. Pour cela, vous avez besoin de ce que le sociologue Ron Westrum appelle « l'imagination nécessaire ».

C'est une entreprise de taille car il est pratiquement impossible de prévoir toutes les interactions possibles de sous-systèmes apparemment indépendants dans un système complexe, particulièrement lors de la phase de conception. Charles Perrow, professeur de sociologie à l'Université Yale, qui a créé les concepts « d'interactions complexes » et « de couplage resserré » se réfère à un incident du début des années 1980 dans lequel de l'eau potable gelée dans le bloc-cuisine d'un DC‑8 a fissuré le réservoir d'eau. La chaleur provenant de conduites se dirigeant vers la queue de l'appareil a fait fondre cette glace et la vapeur d'eau résultante a atterri sur une vanne de régulation de l'échappement du système de pressurisation de la cabine, phénomène qui à son tour a rendu difficile le contrôle de la pression à l'intérieur de la cabine et a entraîné un atterrissage d'urgence. Pour citer Perrow : « Ce n'est pas une interaction à laquelle un ingénieur de conception penserait normalement lors du placement d'un réservoir d'eau potable à proximité du fuselage d'un appareil aérien commercial ».

Selon Reason, un autre facteur qui peut compliquer l'identification des dangers est le fait que les êtres humains « oublient d'avoir peur ». En d'autres mots, les compagnies ne reconnaissent pas toujours les changements dans leurs opérations ou elles ne prennent pas en compte l'impact des facteurs de conception de l'équipement, de la formation, de l'expérience et de la charge de travail des opérateurs ou des adaptations locales. Comme Reason le fait remarquer, « Si la vigilance éternelle est le prix de la liberté, alors le malaise chronique est le prix de la sécurité. »

Diapositive 16 : L'imagination nécessaire

Voici une photo de la centrale nucléaire de Fukushima au Japon et il s'agit là d'un autre exemple dans lequel notre « imagination nécessaire » collective peut être limitée. Par exemple, est-ce qu'un concepteur d'une centrale nucléaire pourrait imaginer le risque d'un tremblement de terre de magnitude 9 suivi d'un raz de marée dévastateur? Peut-être que oui, étant donné que le Japon est un pays ayant de longs antécédents de tremblements de terre. Cependant, les concepteurs et les constructeurs pouvaient-ils ou auraient-ils dû prévoir tous les risques associés? Étant donné que la situation est toujours en cours d'évolution, il est difficile de répondre à cette question. Cependant, selon un article récent du Ottawa Citizen :

« La lacune exposée dans la conception de la centrale nucléaire de seconde génération d'Okuma (« Fukushima Un ») a été la dépendance par rapport à des pompes électriques pour le système de refroidissement de l'eau. Ce sont ces pompes que… le tremblement de terre et le raz de marée consécutif ont détruites. »

L'article continue en faisant remarquer que, dans les réacteurs de troisième génération, « la circulation de l'eau se fait par convection naturelle ».

Mention de source photographique : Reuters TV

Diapositive 17 : Analyse des risques

Il est évident qu'afin d'évaluer l'impact de tout changement opérationnel, les compagnies devraient effectuer une forme quelconque d'évaluation des risques.

Mais même lorsque cela est fait, nous sommes, encore une fois, limités par notre propre imagination. Les êtres humains ne réfléchissent pas complètement à toutes les choses qui peuvent mal se dérouler, la façon dont des événements indépendants peuvent interagir ou ne perçoivent pas les effets de proximité et des pannes en mode de fonctionnement courant.

Un exemple de cette considération a été l'évaluation des risques effectuée avant la décision de lancer la navette spatiale Challenger en dépit des très basses températures enregistrées en 1986. Dans son examen exhaustif du lancement tragique de la navette spatiale, Diane Vaughan décrit comment le groupe de travail sur le propulseur auxiliaire à poudre a négocié les risques associés aux joints de ce propulseur. Le groupe de travail a d'abord identifié un écart technique qui avait été réinterprété subséquemment comme se trouvant à l'intérieur de l'écart normal de rendement acceptable des joints et a été finalement et officiellement considéré comme un risque acceptable. Voilà un autre exemple de la « normalisation de la dérive ». En d'autres mots, ils ont redéfini des preuves d'écart par rapport à une norme acceptable de façon à ce que cet écart est devenu la nouvelle norme.

Diapositive 18 : Adaptations des employés

Comme je l'ai dit auparavant, la dérive est difficile à détecter de l'intérieur d'une organisation à cause du fait que des changements progressifs se produisent en permanence. En théorie, bien évidemment, tout le monde connaît ou a lu les procédures décrivant spécifiquement comment le travail doit être effectué. Mais comme nous le savons, cela ne décrit pas toujours comment le travail est réellement effectué. Cette différence peut entraîner des problèmes.

Pourquoi cela se produit-il? Il faut réfléchir à cet aspect dans le contexte de ressources limitées : en devant faire face à des pressions par rapport aux délais d'exécution et à des objectifs multiples, les travailleurs peuvent être tentés de créer « des pratiques localement efficientes » afin de faire en sorte que le travail est fait.

Les rapports d'enquête sur les accidents qualifient ces pratiques comme « des infractions » ou « des écarts par rapport aux procédures d'exploitation normalisées ». Mais examinons cela sous une lumière différente :

Dekker déclare : « L'accent sur l'efficience locale ou l'efficacité par rapport au coût pousse les travailleurs des opérations à réaliser ou prioriser un objectif ou un ensemble limité d'objectifs… (qui sont) facilement mesurables… alors qu'il est beaucoup plus difficile de mesurer la mesure par laquelle on compromet la sécurité. Des réussites antérieures sont considérées comme une garantie de sécurité pour l'avenir. Chaque réussite opérationnelle obtenue avec des écarts progressifs par rapport aux règles formelles d'origine peut établir une nouvelle norme… Les écarts par rapport à la normale deviennent la normale… et les infractions deviennent le comportement conforme ».

Ces types d'écarts, c'est-à-dire ces « adaptations des employés », peuvent saboter par inadvertance la sécurité.

La clé est de comprendre les raisons spécifiques au contexte de l'écart entre les procédures écrites et les pratiques réelles. Cela aidera les organisations à mieux comprendre ce phénomène naturel et permettra des interventions plus efficaces allant au-delà de dire tout simplement aux travailleurs de « suivre les règles! » ou de leur dire « Soyez plus attentifs! »

Examinons maintenant un exemple pratique de ces propos et de ce qui peut se produire en conséquence.

Diapositive 19 : Fox Harbour

Le 11 novembre 2007, un avion d'affaires Global 5000 a touché des roues à une distance de sept pieds avant la piste de Fox Harbour en Nouvelle-Écosse (rapport d'enquête A07A0134 du BST). L'enquête consécutive du BST a révélé que l'exploitant avait soutenu une pratique par laquelle les équipages de vol « plongeraient » sous les indicateurs visuels d'alignement de descente pour atterrir aussi près que possible du début d'une piste relativement courte. Auparavant, l'équipage avait atterri au même aéroport avec un Challenger 604 et cet équipage était encore en cours d'ajustement avec le Global 5000, avion de taille plus importante. En fait, l'équipage n'était pas conscient de deux facteurs clés : la hauteur entre les yeux et les roues de l'appareil Global et le fait que l'indicateur visuel d'alignement de descente utilisé à Fox Harbour n'était pas adapté pour ce type d'appareil.

Diapositive 20 : Assiette de l'avion au seuil de piste

En ce qui concerne cet événement, le constructeur avait des procédures recommandées pour le profil de vol et des techniques de pilotage du Global 5000 qui comprenaient le passage du seuil du début de la piste à 50 pieds au-dessus de cette dernière. Cependant, l'équipage a conservé le même profil que lors de leurs vols précédents, sans tenir compte que l'appareil Global 5000 était plus gros que le Challenger 604.

Par conséquent, ils ont mal jugé leur altitude et ne se sont pas rendu compte qu'ils étaient à une altitude trop faible.

Mais l'adaptation des employés n'a pas été le seul facteur qui a mené à la situation problématique. La compagnie avait adopté un changement d'équipement relativement important, un appareil nouveau et plus gros, sans avoir effectué tout d'abord une analyse effective des risques. En conséquence, ils n'ont pas pris en compte toutes les conséquences opérationnelles de ce changement ou la façon dont la compagnie avait soutenu la pratique de « plonger sous les indicateurs visuels d'alignement de descente »; c'est-à-dire que l'adaptation des employés pouvait avoir un impact sur la sécurité.

Diapositive 21 : Conflits d'objectifs

Comme je l'ai mentionné plus tôt, un autre facteur qui est souvent observé lors des enquêtes sur de nombreux accidents est le conflit d'objectifs : accomplir quelque chose à bon marché, par exemple, par rapport au fait d'accomplir la même chose de façon aussi sûre que possible.

La tension entre deux objectifs quelconques peut déclencher des écarts par rapport aux saines pratiques de gestion des risques.

En 2006, une locomotive tirant un wagon chargé de bois d'œuvre a déraillé pendant la descente d'une pente raide près de Lillooet en Colombie-Britannique, causant la mort de deux membres de l'équipe et des blessures graves à un troisième membre de l'équipe (rapport d'enquête R06V0136 du BST). La locomotive était équipée de freins pneumatiques ordinaires, mais n'était pas équipée de « freins rhéostatiques », freins qui sont couramment utilisés en terrain montagneux et en pente raide.

Auparavant, les locomotives exploitées sur cette voie étaient équipées des deux types de freins. Cependant, avant cet événement, la compagnie ferroviaire a réaffecté ces locomotives pour des raisons commerciales même si le passage sûr des trains sur ce type de terrain nécessitait que les locomotives soient équipées de freins rhéostatiques. Dans ce cas, une décision commerciale, faite sans effectuer tout d'abord une analyse minutieuse des risques, a donné lieu à une tragédie.

Diapositive 22 : Signaux de faiblesse

Dans son ouvrage Forgive and Remember : Managing Medical Failure (Pardonnez et se souvenir : La gestion des échecs médicaux), Charles Bosk avertit que les accidents dangereux évités de justesse ne sont, en règle générale, jugés comme étant des signes avant-coureurs de désastre qu'après un désastre. Avant le désastre, ils restent des signaux de faiblesse ou ignorés.

En 2007, un vol d'évacuation médicale s'est écrasé à Sandy Bay en Saskatchewan, causant la mort du commandant de bord (rapport d'enquête A07C0001 du BST). L'enquête consécutive du BST a permis de découvrir que l'équipage composé de deux pilotes était incapable de travailler efficacement en équipe pour éviter, déceler ou atténuer les erreurs et pour gérer en toute sécurité les risques associés au vol. Comme l'a déclaré à l'époque notre enquêteur désigné, « l'équipage ne s'est pas servi des stratégies de base qui auraient pu empêcher l'apparition des événements qui ont mené à l'accident ». Ce manque de coordination peut être attribuable en partie au fait que l'équipage n'avait pas suivi la formation de gestion des ressources en équipe.

Auparavant, il y avait eu de nombreux « problèmes d'appariement » par rapport à cet équipage particulier. La gestion de l'entreprise le savait, mais elle n'était pas consciente à quel point ces facteurs pouvaient nuire à la coordination efficace au sein de l'équipage.

Il est vrai qu'il est parfois difficile d'obtenir tous les renseignements contextuels que l'on aimerait avoir et il est presque impossible de connaître toute l'ampleur et les répercussions d'un seul événement unique. Par exemple, un ou deux problèmes signalés sont-ils uniquement des conflits ou des dangers isolés ou sont-ils des preuves et des signes d'avertissement d'une tendance dangereuse?

La réponse est qu'en fait nous ne le savons pas toujours parce que des « signaux de faiblesse », par leur nature, peuvent ne pas être suffisants pour attirer l'attention de gestionnaires très occupés et qui ont souvent une surcharge d'information lorsqu'ils gèrent de nombreuses priorités concurrentes dans le cadre de pressions significatives par rapport aux délais d'exécution.

Diapositive 23 : Déclaration des incidents

Un moyen d'amplifier les « signaux de faiblesse » est de recueillir et d'analyser les incidents signalés, étape essentielle pour obtenir un SGS qui fonctionne correctement. Bien entendu, cela amène la question évidente, « Qu'est-ce qu'un incident qui doit être signalé? »

Traditionnellement, ces incidents ont été définis comme « des événements qui peuvent entraîner des conséquences malheureuses ».

Mais que se passe-t-il s'il n'y a pas d'écrasement? Qu'en est-il s'il s'agissait « seulement » d'une erreur ou de ce qu'on appelle un incident évité de justesse? Les organisations qui définissent un incident à signaler de façon trop étroite risquent de perdre des renseignements essentiels concernant des événements qui pourraient indiquer des vulnérabilités potentielles du système. Pour faciliter la lutte contre ce type de problèmes, le système canadien de navigation aérienne enregistre non seulement les pertes réelles d'espacement lors de vols selon les règles de vol aux instruments (IFR), c'est-à-dire les cas dans lesquels l'espace minimal entre deux appareils n'a pas été respecté, mais également les cas pour lesquels un espacement adéquat a été réalisé mais non assuré.

Cependant, peu importe la quantité d'information dont vous disposez, si les données concernant les « incidents évités de justesse » ne sont pas analysées correctement, les organisations perdent l'occasion d'apprendre comment elles peuvent prévenir les incidents futurs. Le fait de compter uniquement les erreurs ne génère pas nécessairement des données de sécurité significatives ou pertinentes et la mesure du rendement en se basant uniquement sur les erreurs tend à tirer des conclusions erronées car l'absence d'erreurs et d'incidents n'implique pas l'absence de risques. De plus, de nombreuses organisations ont tout simplement des ressources trop limitées pour analyser les rapports, faire un suivi des lacunes et identifier des tendances. Parfois, à notre grande consternation, la personne qui est la mieux placée pour identifier et agir sur un danger connu est débordée ou concentrée sur d'autres priorités.

Diapositive 24 : Déclaration des incidents (suite)

Un autre aspect important est le type de processus et de structure dont une organisation a besoin pour soutenir la déclaration des incidents. Ce processus sera-t-il volontaire ou obligatoire? Le système identifiera-t-il les personnes qui font les déclarations, sera-t-il confidentiel ou anonyme? À qui les rapports seront-ils soumis? Les personnes faisant des déclarations seront-elles susceptibles de faire l'objet de mesures disciplinaires?

Le consensus, selon Dekker et Tom Laursen, est que la peur des réprimandes réduit la volonté des êtres humains à signaler un incident. À l'inverse, des systèmes non punitifs génèrent un plus grand nombre de déclarations et, par extension, plus d'apprentissage, car les gens se sentent plus libres de parler ouvertement de leurs problèmes.

Dekker et Laursen font également remarquer quelque chose d'intéressant : ils ont été amenés à conclure que la raison principale pour laquelle les opérateurs faisaient des déclarations n'était pas l'absence de représailles mais plutôt la prise de conscience qu'ils pouvaient « faire une différence ». Ils font également remarquer l'importance de faire des déclarations pour un groupe de sécurité qui connaît bien les opérations et qui peut à son tour aider la personne faisant la déclaration à comprendre les problèmes de rendement et le contexte dans lequel l'incident s'est produit.

Diapositive 25 : SGS : Culture organisationnelle

Cependant, et en fin de compte, un SGS n'est aussi efficace que la culture organisationnelle dans laquelle il est ancré.

Diane Vaughan déclare, « La culture de groupe de travail contribue à la prise de décisions… en devenant une partie de la vision du monde que les personnes individuelles du groupe de travail apportent à l'interprétation de l'information ». Chaque sous-unité d'une organisation plus importante peut en fait exprimer une culture différente.

Pour revenir au désastre de la navette spatiale Columbia, l'enquête a permis de découvrir que l'organisation avait permis l'élaboration de pratiques organisationnelles et de caractéristiques culturelles nocives. Parmi celles-ci, on peut en mentionner quelques-unes d'importance significative :

  • le fait de se fier sur la réussite du passé comme une substitution aux pratiques fiables d'ingénierie,
  • les obstacles organisationnels qui empêchaient une communication efficace de l'information essentielle pour la sécurité et étouffaient les différences professionnelles d'opinion,
  • l'évolution d'une chaîne informelle de commande et des processus de prise de décisions qui fonctionnaient en dehors des règlements de l'organisation.

Charles Perrow donne un avertissement concernant le risque d'existence de caractéristiques culturelles indésirables qui peuvent se développer à l'intérieur de l'équipe de gestion d'une organisation. Il déclare que « les gestionnaires en arrivent à croire tout d'abord à leur propre rhétorique concernant la sécurité d'abord car l'information indiquant le contraire est réprimée pour des raisons de politique organisationnelle ».

Diapositive 26 : SGS : Responsabilité

Comment les organisations répondent-elles aux échecs? Comment établissent-elles un équilibre entre la sécurité et la responsabilité? Ces questions sont particulièrement pertinentes avec la tendance grossissante et apparente vers la criminalisation de l'erreur humaine. Blâmer et reformer. Punir la personne qui a commis l'erreur. Ils apprendront rapidement à ne pas commettre l'erreur de nouveau.

Mais là est l'ironie : la criminalisation de l'erreur humaine peut avoir un effet néfaste sur la sécurité. L'ouvrage de Sidney Dekker, Just Culture (Une culture juste) explore cet aspect. « Lorsqu'une erreur professionnelle est amenée devant les tribunaux, la sécurité en souffre presque toujours. Plutôt que d'investir dans des améliorations de la sécurité, les personnes de l'organisation ou de la profession investissent dans des attitudes défensives… Plutôt que d'augmenter la circulation d'information liée à la sécurité, l'action juridique a sa propre façon de bloquer cette circulation ».

Il continue en décrivant les caractéristiques désirables d'une « culture juste », que vous pouvez voir maintenant à l'écran.

Diapositive 27 : Éléments d'une « culture juste »

Voici les éléments d'une culture juste :

  • Encourage l'ouverture et la conformité, fait la promotion de pratiques sûres et de l'auto-évaluation critique;
  • Permet de partager volontairement l'information sans peur de représailles;
  • Cherche à obtenir des témoignages multiples et plusieurs descriptions des événements;
  • Permet de protéger les données de sécurité contre l'utilisation abusive;
  • Permet de protéger des réprimandes les personnes qui déclarent leurs erreurs honnêtes.

Diapositive 28 : Éléments d'une « culture juste » (suite)

  • Permet de faire la distinction entre les erreurs techniques et les erreurs normatives, en fonction du contexte;
  • Tend à éviter de laisser les préjugés d'évaluation a posteriori influencer la détermination de la culpabilité, mais tente plutôt de comprendre pourquoi les gestes des personnes avaient du sens au moment où ils ont été accomplis;
  • Permet de reconnaître qu'il n'existe pas de ligne fixe entre l'erreur coupable et l'erreur honnête.

Juste avant mon départ à la retraite en 2007, la gestion de NAV CANADA et le syndicat canadien des contrôleurs de la circulation aérienne ont entamé des discussions sur l'élaboration d'un cadre de « culture juste » pour décider du moment auquel « un mauvais comportement opérationnel » pouvait justifier une mesure disciplinaire. L'accent était sur l'élaboration d'un processus ouvert et transparent, engageant la gestion et les pairs, qui serait utilisé pour déterminer si un incident spécifique justifiait ou non une mesure disciplinaire. D'après moi, et indépendamment de ce qui est ressorti de cette démarche, l'aspect le plus important de cette initiative conjointe était la volonté du syndicat et de la gestion de travailler ensemble pour résoudre les problèmes et améliorer la sécurité.

Diapositive 29 : Mise en place d'un SGS : Ce qui fonctionne

La mise en place d'un SGS n'est pas une solution miraculeuse contre les accidents, mais il existe de très nombreuses preuves qui soutiennent le fait qu'un SGS a un impact positif sur la façon dont les organisations prennent les décisions et gèrent les risques. Des entretiens avec des exploitants qui ont vécu la mise en place d'un SGS fournissent des indices révélateurs sur ce qui a bien fonctionné pour eux.

  • Le leadership. Pas uniquement sur le papier, mais un engagement réel, de tous les niveaux d'une organisation.
  • Moins de paperasserie administrative. Les personnes interrogées ont insisté sur l'importance de créer des processus et outils simples mais efficaces qui fonctionneraient réellement dans leur organisation. Une fois que les gens ont commencé à utiliser ces processus et ces outils et ont constaté leurs avantages, ces systèmes se sont trouvés renforcés et cela a facilité la promotion de leur utilisation dans toute l'organisation.
  • Un sens d'appartenance par ceux qui sont engagés dans la mise en œuvre et l'application d'un SGS. En d'autres mots, il faut laisser les employés se rendre compte qu'ils peuvent faire une différence, et en effet, ils le feront.
  • Et finalement, la sensibilisation individuelle, de la part de tout le monde, sur le fait que la sécurité n'est pas seulement un ajout, a posteriori, mais plutôt que cette sécurité doit pénétrer dans tous les aspects des activités de l'organisation. Les employés de tous les niveaux doivent adopter une approche de leur travail en réfléchissant à l'avance sur ce qui peut mal se dérouler.

Diapositive 30 : Ce qui ne fonctionne pas?

Voici une liste.

  • Trop de paperasserie administrative,
  • Procédures non pertinentes,
  • Absence de sentiment d'engagement,
  • Insuffisance de personnel ou de temps pour entreprendre le travail supplémentaire nécessaire,
  • Formation et motivation inadéquates,
  • Aucun avantage perçu en comparaison du travail requis.

En particulier, les processus et la documentation trop bureaucratiques qui ont été élaborés sans tenir compte ou sans même consulter l'utilisateur final, et qui ne présentent pas d'avantages perçus, ne seront pas utilisés.

Diapositive 31 : Conclusions

  • Les anciennes conceptions de la sécurité changent : Il ne s'agit plus de « l'absence de risques » ou « d'erreurs de l'opérateur ». À la place, la sécurité signifie l'identification des risques qui apparaissent inévitablement parce que nous sommes des êtres humains et qu'ensuite la sécurité signifie aussi la gestion ou l'atténuation de ces risques. La dérive organisationnelle. Les adaptations des employés. Les conflits d'objectifs. Les priorités concurrentes. Les signaux de faiblesse. Tous ces éléments sont des phénomènes qui se produisent naturellement dans toute organisation complexe et ils contribuent régulièrement aux incidents et aux accidents. Nous ne pourrons jamais nous en débarrasser totalement et c'est la façon dont nous les gérons qui importe.
  • Personne ne peut prédire l'avenir avec une exactitude parfaite : Les événements malheureux surviennent d'une interaction complexe de facteurs organisationnels, techniques et de performance humaine qui sont difficiles, voire impossibles à prédire. Cependant, un processus perfectionné et en bonne et due forme d'évaluation des risques est au moins un bon départ.
  • Infrastructure réfléchie : Un SGS est aussi efficace que la culture de sécurité organisationnelle dans laquelle il est intégré. Les gens de tous les niveaux de l'organisation créent la sécurité, ou ne la créent pas, et sans un véritable engagement sous-jacent et un sentiment d'appartenance du système de sécurité, le SGS ne fonctionnera pas. De plus, le désir de sécurité n'est pas suffisant. Les organisations doivent « internaliser » leur approche à la gestion des risques de sécurité de façon à ce que les objectifs, politiques, processus, pratiques, la communication et la culture soient homogènes, uniformes et intégrés (cela est évidemment bien plus facile à dire qu'à faire!).
  • La responsabilité est essentielle : La véritable « responsabilité » signifie plus que « blâmer et reformer » ou se débarrasser des « pommes pourries ». Il s'agit de regarder vers l'avenir et il est nécessaire que les organisations et les professions soient pleinement responsables pour résoudre les problèmes identifiés. Par conséquent, ce que l'on appelle les « incidents évités de justesse » doivent être perçus comme des « occasions gratuites » d'apprentissage de l'organisation. Il faut aussi se rendre compte que les gens ne déclareront les incidents que s'ils se sentent « en sécurité » lorsqu'ils le font, en sachant que leurs commentaires seront traités sérieusement et qu'ils seront habilités à proposer leurs propres suggestions de solutions. Il faut noter également que ces changements dans les processus ne seront durables (à long terme) que s'ils sont perçus comme ajoutant de la valeur.
  • La réussite prend du temps : Les organisations doivent reconnaître qu'il faut un engagement ininterrompu, du temps, des ressources et de la persévérance pour mettre en œuvre un SGS efficace.
  • L'aide des organismes de réglementation : Les organismes de réglementation doivent être sensibilisés aux défis auxquels doivent faire face les compagnies lorsqu'elles font la transition vers un SGS et diligents dans la façon dont ils accomplissent leurs activités de surveillance de la sécurité et de la conformité. En se fondant sur les expériences observées jusqu'à maintenant, il existe un risque que certaines compagnies imprévoyantes ou ayant des objectifs à court terme puissent adopter une approche minimaliste, bureaucratique ou de liste de vérification à l'adoption d'un SGS tout en croyant fermement qu'elles sont « sûres » car elles disposent d'un SGS « conforme ».

Diapositive 32 : Liste de contrôle

En mars 2010, à peu près en même temps que le 20e anniversaire du BST, nous avons publié une Liste de surveillance de sécurité identifiant les neuf problèmes qui posent les plus grands risques aux Canadiens et aux Canadiennes et à la sécurité des transports. Nous avons créé cette Liste de surveillance car, trop souvent, nos enquêteurs sont arrivés sur les lieux d'un accident seulement pour constater les mêmes anciens problèmes de sécurité, problèmes bien évidemment non résolus, qui continuent à nécessiter de l'attention.

Deux de ces neuf problèmes sont ce que l'on appelle des problèmes multi-modaux : c'est-à-dire qu'ils ne s'appliquent pas uniquement aux enquêtes sur les accidents aéronautiques, les accidents maritimes, les accidents ferroviaires ou les accidents de pipeline. Le SGS est l'un de ces problèmes.

« Mis en œuvre convenablement, les systèmes de gestion de la sécurité (SGS) permettent aux sociétés de transport de reconnaître les dangers, de gérer les risques et d'élaborer puis de respecter des processus de sécurité efficaces. Cependant, Transports Canada n'assure pas toujours une surveillance efficace des sociétés de transport qui sont en train de faire la transition vers un SGS, et certaines sociétés ne sont même pas tenues d'avoir un SGS. »

Le Bureau continuera de surveiller la mise en œuvre et la surveillance réglementaire des systèmes de gestion de la sécurité dans l'industrie des transports et partagera ses conclusions avec les organismes de réglementation, l'industrie et les Canadiens et Canadiennes.

Merci beaucoup de votre attention. Je me ferai maintenant un plaisir de répondre à quelques questions.

Diapositive 33 : Questions?

Diapositive 34 : Références

Diapositive 35 : Fin