La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Partagez cette publication

 
         
 
   
   
DIRECTION DES ETUDES ECONOMIQUES ET DE L'EVALUATION ENVIRONNEMENTALE 
DOCUMENT DE TRAVAIL
Le cycle de la prévention   
Patrick MOMAL
Série Méthodes N° 04-M01
  Site internet : http://www.environnement.gouv.fr 20 avenue de Ségur - 75302 Paris 07 SP
   
 
 
RÉSUMÉ
  
  Le cycle de la prévention Patrick MOMAL  
  
 
La notion de cycle de la prévention permet de mettre en perspective dans un même contexte les théories de l’accident et les arbitrages nécessaire la sûreté. Il suggère que la sûreté résulte d’un équilibre jamais définitif entre :
·un ‘générateur de risque’ qui demeure actif tant que la complexité et la rigidité caractérisent le système considéré,
·et une volonté d’identifier et de traiter ses risques, volonté qui doit toujours être alimentée pour ne pas se tarir. On pourrait encore dire que notre système technique et économique possède une tendance de fond, une tendance ‘entropique’ et durable, à secréter des dangers. En contrepartie, il génère aussi une volonté de maîtriser ces risques. Contrairement à la tendance de fond, cette volonté est sujette à des fluctuations cycliques qui traduisent une modification de l’arbitrage entre sûreté et production. On pourrait mettre en parallèle la sûreté qu’une entreprise pense avoir établie dans ses établissements et la position qu’elle pense avoir acquise sur ses marchés. L’expérience montre, conformément à la théorie de la concurrence, mais peut-être par d’autres voies aussi, que les positions acquises ont une tendance entropique à se dégrader. La vie de l’entreprise consiste alors plus à renouveler en permanence de nouvelles sources de profit qui viennent relayer celles qui déclinent plutôt que de tenter d’inventer des sources de profit qu’on voudrait espérer plus durables. Avec cette optique, on pourrait suggérer que la gouvernance du risque consiste, certes à s’efforcer d’allonger le cycle de la prévention, mais peut-être surtout, à ré-impulser régulièrement la dynamique de la sûreté. De préférence avant qu’un accident grave ne vienne remplir ce rôle de façon ‘naturelle’.  
2
 
 
SOMMAIRE
LE CYCLE DE LA PRÉVENTION 1. Description du cycle 2. Raisons et déraison du cycle 3. Régulation du cycle par une meilleure transparence 4. Nécessité d’une politique d’information sur les risques
L’ACCIDENT ‘NORMAL’, LA HAUTE FIABILITÉ ET L’ARBIT RAGE ENTRE ERREURS 1. Erreurs de type I et de type II 2. La théorie de l’accident normal 3. La haute fiabilité 4. Synthèse
ÉVOLUTIONS DES PRIORITÉS À LA NASA ET À LA FDA AU COURS DU CYCLE 1. L’évolution des priorités à la NASA 2. L’évolution des priorités à la FDA
CHALLENGER 1986, COLUMBIA 2003, LA NORMALISATION DE LA DÉVIANCE 1. La normalisation de la déviance : définition 2. Quelques raisons du processus de normalisation de la déviance 3. La méthodologie de maîtrise des risques à la lumière de la normalisation de la déviance 4. Enseignements pour le MEDD
4 4 5 5 6
8 9 11 12 13
14 14 16
19 20 20 22 24
COMMENT LA CULTURE DU RÉSULTAT PEUT ALLER À L’ENCONTRE DE LA CULTURE DE SÛRETÉ ET SE MINER ELLE-MÊME 25 
I. Les difficultés des ingénieurs La contrainte budgétaire Un calendrier omniprésent Une bureaucratie envahissante La combinaison de ces facteurs
II. La domination des managers
III. La gestion de l’information et de l’imprévu
UNE BONNE CULTURE DU RISQUE EST-ELLE IMPOSSIBLE ?   Abbreviations Bibliographie   
 
 
3
25 26 28 28 29 30 
31 37 
49 50
LE CYCLE DE LA PRÉVENTION  Cette section introduit la notion de cycle de la prévention — on l’appelle aussi parfois le cycle de la défaillance ou le cycle de l’échec (‘cycle of failure’) — un notion due à Heimann. Elle introduit aussi une des problématiques principales qui lui est liée : celle de l’information sur les risques.  
1. Description du cycle Les organisations confrontées à des risques tendent à connaître un cycle : 1. après un évènement grave (catastrophe, accident, …), les priorités sont orientées vers la fiabilité ; 2. des mesures sont prises avec une certaine visibilité voire avec solennité, par exemple, le remplacement d’un ou plusieurs dirigeants, une réorganisation, un changement de périmètre…; 3. les budgets alloués à la sûreté sont relativement généreux ; 4. puis, l’attention se tourne vers d’autres priorités, alors précisément qu’aucun incident grave ne survient, sous l’effet des investissements de sûreté ou par le simple jeu de l’aléa ; les efforts en matière de sûreté n’ont plus la même légitimité ; 5. les efforts consacrés à la sûreté diminuent en proportion de cette baisse de visibilité et d’intérêt pour la sûreté ; les budgets sont plus serrés, les allocations de personnels se contractent, le prestige de la fonction s’érode, le cœur n’y est plus ; 5 bis. dans le cas d’organisations onéreuses et visibles, la pression des considérations dites ‘économiques’ pour des réductions de coûts vont jusqu’à réorganiser les structures ; par exemple, une structure comprenant plusieurs niveaux de vérification successifs est remplacée par une structure à un seul niveau permettant d’économiser du temps et de l’argent ; on réduit la redondance et la défense en profondeur ; 6. sous l’effet de cette baisse d’intérêt pour la sûreté, de cette réduction des moyens, la probabilité d’accident augmente ; si aucune prise de conscience ne se manifeste, une dérive peut se produire, la réduction des moyens peut s’aggraver au motif qu’aucun accident ne se produit ; ‘on’ considère qu’une sûreté allégée est normale sans se rendre véritablement compte qu’elle est effectivement allégée ; ce processus a parfois été appelé ‘normalisation de la déviance’ (Diana Vaughan) quand on trouve d’excellentes raisons pour relativiser des règles que l’on s’était données soi-même ; 7. le résultat inévitable est la survenue d’une nouvelle défaillance qui entame un nouveau cycle semblable à celui qui vient d’être décrit. Les organisations soumises à ce cycle sont des plus diverses, allant de l’atelier au sein d’un établissement de production à une vaste agence comme la NASA, d’une entité bien identifiée comme une centrale nucléaire à un ensemble d’acteurs concernés par un même thème (incendies de forêts, sécurité routière, sécurité du citoyen, inondations, etc.).
 
4
2. Raisons et déraison du cycle Ce cycle correspond à des variations légitimes de choix stratégiques : il est inévitable que la direction des organisations concernées soit soumise à des contraintes qui justifient de limiter, dans une certaine mesure, les effort consacrés à la sûreté afin de pouvoir donner plus de poids à d’autres priorités. Les hommes politiques peuvent être confrontés à de graves déficits budgétaires ; les dirigeants d’entreprise doivent parfois traiter en priorité des menaces stratégiques ; les divers acteurs d’un secteur donné (prenons les inondations) peuvent avoir des objectifs individuels qui ne convergent pas vers la prévention, mais qui n’en sont pas moins respectables (développement économique et foncier de la commune, pour le maire ; protection de leur patrimoine, pour les riverains ; absence d’intérêt financier pour les assureurs et le réassureur ; considérations de politique locale pour les élus, etc.). Le poids des orientations légitimes de chacun et la prégnance du quotidien entraînent toutefois des inefficacités considérables. C’est ainsi que pour avoir retardé d’un an la révision des installations (gain financier minime) l’entreprise Total a provoqué l’explosion de sa raffinerie de La Mède. De même, le lancement de la navette Challenger pour son dernier vol a coûté à la NASA 2000 millions de $ pour le seul remplacement du véhicule, alors que les coûts d’un délai auraient été de l’ordre de 1 million de $. Des rapports de coûts de l’ordre de 1 à 1000 sont en cause.  
3. Régulation du cycle par une meilleure transparence L’immense disparité entre ces chiffres montre que ces décisions erronées ne peuvent avoir été prises que dans l’ignorance des risques qu’elles impliquaient1. Par exemple, comme l’a révélé la commission d’enquête sur l’accident de la navette Challenger, les techniciens de la NASA estimaient le risque de défaillance à environ 1 pour 100 lancements, alors que la direction estimait ce risque à 1 pour 10 000 ou 1 pour 100 000. Après la désintégration de la navette Columbia, le risque empirique observé est aujourd’hui de l’ordre de 2 pour 100. Par conséquent, un moyen de bloquer d’excessives dérives des objectifs réels (les objectifs annoncés sont, bien sûr, une sécurité à toute épreuve) est de quantifier les risques et de publier ces quantifications. Il s’agirait d’un pas dans le sens d’une transparence des politiques de risque. On peut s’attendre à de fortes oppositions à cette transparence. Les personnes interrogées reconnaissent généralement que certains niveaux de risque sont évidemment inacceptables et que d’autres doivent être considérés comme raisonnablement acceptables. Néanmoins, les mêmes personnes se refusent souvent à fixer des seuils entre ces limites. Ces seuils seraient pourtant fort utiles, alors que les limites traduisent un consensus trop général pour être opérationnel2 publier. Mais,serait donner prise à la critique de la part de certains ces seuils groupes. «général, dévoiler des informations spécifiques sur ce point est contraire auEn comportement de survie qui prévaut dans de nombreuses bureaucraties.»2 
                                                 1Il s’agit principalement de l’ignorance de décideurs dotés d’une moralité normale. Mais cela s’applique aussi à l’ignorance générale des parties prenantes dans le cas de décideurs sans scrupules prêts à risquer la vie d’autrui et à dépenser l’argent de l’organisation afin de faire prévaloir leur objectifs étroits. En effet, de tels comporte-ments deviennent difficiles à mettre en œuvre quand l’ensemble des parties prenantes est informé. 2 Heimann [1997 : 165]
 
5
Il existe aussi une vue, répandue chez les spécialistes et les techniciens, selon laquelle les non-initiés ne comprennent pas bien les risques et que les décisions seront mieux prises par les initiés. La rétention d’information permettrait donc, d’après cette vue, de rendre un meilleur service à la société tout en réduisant le risque d’interférences de la part des politiques, des médias et du public. Vivre caché permettrait de vivre plus tranquille.
 Il existe pourtant des domaines où les risques sont affichés3. Dans l’énergie nucléaire, les niveaux de radiation acceptables sont connus, ils font l’objet d’un accord international, et sont affichés par l’AIEA (Agence Internationale de l’Énergie Atomique). Il en est de même des risques de fusion du cœur d’un réacteur nucléaire. C’est encore le cas des spécifications des divers composants d’une centrale, par exemple la résistance aux chutes d’avions. Certains débats tournent autour de ces diverses normes, par exemple pour la résistance aux chutes d’aéronefs après le 11 septembre 2001, ou bien concernant les effets des faibles doses de radiation. Ces normes ont l’immense avantage de fonder les choix et de permettre leur discussion. Les débats sont parfois utiles et le consensus sur les normes de risques acceptables semble assez large dans le nucléaire. Dans le cadre du comité de Bâle, les institutions financières se sont aussi dotées d’outils qui vont dans le sens de la transparence. Le critère de la VAR (Value At Risk) permet de donner des limites acceptables aux risques pris quotidiennement par les grands opérateurs. Ce critère est loin d’être parfait, les analystes le savent, mais le fait qu’il soit applicable et appliqué lui donne une grande valeur pratique. Des progrès ont été enregistrés récemment avec la décision du comité de Bâle de réserver des fonds pour couvrir les risques opérationnels (c’est-à-dire autres que les risques de crédit, de taux ou de change). L’opposition à cette mesure a été vive car, en gelant une partie des avoirs à fins de sécurité, elle réduit les moyens dont disposent les institutions. Ainsi, malgré l’opposition prévisible des exploitants, la visibilité et la conscience des risques s’améliorent continuellement dans ce domaine.  
4. Nécessité d’une politique d’information sur les risques Il existe des périodes où la pression à la réduction des coûts est très forte. Il faut éviter que l’énergie consacrée à la poursuite de ces réductions de coûts n’aveugle les décideurs et mette en cause la sécurité, aboutissant à des accidents excessivement coûteux et que tous auraient souhaité éviter. Cela peut être soutenu par une politique affirmée de transparence, d’amélioration patiente (et poursuivie dans le temps) de la connaissance des risques, et de la diffusion des informations qui matérialisent cette meilleure connaissance. «Informer sur un bien public est souvent, en soi, un bien public » Mancur Olson,The Rise and Decline of Nations, 1982, p. 111 Une telle politique a l’avantage de rester extrêmement peu coûteuse…
                                                 3Il est vrai que tous les risques ne peuvent pas être affichés. Certains sont trop sensibles et doivent demeurer confidentiels. D’autres sont très difficiles à quantifier (terrorisme, séismes, …). Toutefois, l’estim ation et l’affichage des niveaux de risque est hautement recommandable.
 
6
accident         accident 
accident 
accident 
accident 
 
Le cycle de la prévention
accident 
accident 
accident 
accident 
accident 
7
accident 
accident 
accident 
accident 
accident 
Effort consacré à la sûreté : budgets spécifiques, formations, attention de la direction, vigilance des opérateurs, etc.
temps
Risque objectif perçu : perception du risque subi en l’absence de politique volontariste de sûreté.
temps
Risque inacceptable
Risque accepté perçu
Risque acceptable  temps
Risque inacceptable
Risque réel subi Risque acceptable  
temps
Divergence entre risque réel subi et risque perçu
temps
  
 
L’ACCIDENT ‘NORMAL’, LA HAUTE FIABILITÉ ET L’ARBITRAGE ENTRE ERREURS   
Trop d’économies de fonctionnement peut nuire à la sûreté ; un service peu fiable n’a souvent qu’une très faible valeur, même s’il est peu cher. Ce genre d’arbitrage entre production et sûreté gagne à être vu de façon plus générale comme arbitrant entre fiabilité de type I et de type II. Ainsi, quand la NASA lance une navette spatiale, l’erreur de type I consiste à lancer la navette alors qu’elle n’est pas sure, l’erreur de type II étant de retenir la navette au sol alors qu’elle aurait été apte à remplir sa mission. Pour la FDA, dans le cas du médicament, l’erreur de type I est d’autoriser un médicament dangereux, alors que l’erreur de type II est de refuser l’autorisati d’ on un médicament non dangereux. Là s’arrête la similitude. Dans le cas de la NASA, l’erreur de type I est plus de 1000 fois plus coûteuse que l’erreur de type II, alors que l’inverse peut être vrai pour la FDA : le risque de faire des victimes peut être rapidement contrôlé et se limiter à une dizaine de cas, le nombre de patients sauvés par un médicament peut s’élever à des centaines de milliers… Le cycle de la prévention peut s’interpréter en terme de fluctuation de l’arbitrage entre fiabilité I et II. Au cours du cycle, la pertinence des théories de l’accident s’inverse : en période de priorité de la sûreté, la théorie de la haute fiabilité semble adéquate, alors que la théorie de l’accident normal explique bien le bas du cycle de la prévention. Le cycle de la prévention synthétise donc ces deux théories. Il peut se lire comme suit. Notre système technique et économique possède une tendance de fond, une tendance ‘entropique’ et durable, à secréter des dangers, d’une part, mais génère aussi une volonté publique de maîtriser ces risques, d’autre part. Contrairement à la tendance de fond, cette volonté est sujette à des fluctuations cycliques qui traduisent une modification de l’arbitrage entre erreurs de type I et erreurs de type II.
  L’amélioration des performances de gestion est généralement entendue comme la recherche d’économies de fonctionnement. Comment rendre le même service à moindre coût ? Avec cette approche traditionnelle, une des réponses évidentes est de réduire les doubles-emplois. Néanmoins, les travaux de Landau [1969] ont souligné que la performance ne peut se limiter au coût, mais doit se mesurer aussi, et parfois de façon prioritaire, à l’aune de la fiabilité du service rendu. Un service peu fiable n’a souvent qu’une très faible valeur, même s’il est peu cher, une problématique classique dans le domaine de la qualité. Dans cette optique, les redondances, les organisations parallèles (et leurs coûts) retrouvent toute leur légitimité. L’arbitrage est plus complexe qu’une simple opposition entre coûts et fiabilité. Les deux pôles se formalisent de façon plus satisfaisante en erreurs de type I et de type II.
 
8
1. Erreurs de type I et de type II  Prenons l’exemple de deux agences américaines : la NASA, l’agence spatiale américaine bien connue, et la FDA, laFood and Drug Administration, l’agence en charge des autorisations de mise sur le marché des médicaments qui nous occupera ici (elle est en cela le pendant de l’AFSSAPS, mais ses attributions sont nettement plus vastes puisqu’elle est aussi en charge de la sécurité sanitaire des aliments ; elle est donc aussi la jumelle de l’AFSSA). Du point de vue de la sûreté, la NASA doit aborder chaque lancement de navette spatiale en mettant en doute la sûreté de la navette4,5consiste à lancer la navette alors. L’erreur de type I qu’elle n’est pas sure. L’erreur de type II survient quand la navette est retenue au sol alors qu’elle aurait été apte à remplir sa mission.    
 
 
NASA
Retenir la navette au sol Lancer la navette
La navette La navette est retenue à n’est pas sure bon escient
La navette est sure
Erreur à coût élevé
La navette est lancée à bon escient
Erreur à coût relativement faible 
                                                 4 l’hypothèse nulle, en jargon de spécialiste. L’erreur de type  C’est ;I est de rejeter cette hypothèse à tort l’erreur de type II est d’accepter cette hypothèse à tort. 5  Les programmes de la NASA vont bien au-delà de la gestion des navettes spatiales. En 2000, ce poste représentait environ 3000 M$ pour un budget total de quelques 13500 M$. Les navettes jouent néanmoins un rôle crucial dans l’activité de la NASA.
 
9
De même, la FDA doit partir de l’hypothèse qu’un médicament esta priori dangereux. L’erreur de type I est d’autoriser un médicament dangereux, l’erreur de type II est de refuser l’autorisation alors que le médicament n’est pas dangereux.     le médicament AutoriserFDA Retenir le médicament
eLset  mdédicament  entmecadimée Liob n u àtenetsr angereuxesc t en
Le médicament n’est pas dangereux
Le médicament est autorisé à bon escient
Erreur à coût relativement faible 
 Erreur à coût élevé    Ces deux cas diffèrent fortement. Dans le premier, les coûts de l’erreur de type I sont très nettement supérieurs à ceux de l’erreur de type II. En effet, retenir à tort la navette au sol implique des retards, des occasions manquées et des coûts matériels tels que la perte de l’oxygène et de l’hydrogène des propulseurs ($ 500 000). Mais ces retards et ces coûts demeurent faibles par rapport à ceux de l’accident : sans compter les pertes humaines, le seul coût de remplacement de navette Challenger s’est élevé à 2 milliards de $. Mais le CAIB estime l’ensemble des coûts liés à l’accident de Challenger à quelques 20 milliards de $… Dans le cas de la FDA, l’erreur de type I entraîne des souffrances voire la mort de patients empoisonnés par un médicament dangereux. Leur nombre reste faible en raison des procédures de surveillance et d’alerte. Les coûts de l’erreur de type II sont généralement très supérieurs : les souffrances voire la mort de l’ensemble des patients qui auraient pu être sauvés ou soulagés par le médicament (des milliers dans le cas des médicaments contre le SIDA)… S’il est crucial pour la NASA d’éviter les erreurs de type I, la FDA doit se soucier au moins autant des erreurs de type II, ce qui peut modifier considérablement les solutions optimales au niveau de la gestion de la sûreté. Plus généralement, les fiabilités de type I et de type II constituent des objectifs distincts dont chacun est légitime. Comme les ressources sont limitées, la fiabilité de type I peut être privilégiée aux dépens de la fiabilité de type II ou la fiabilité de type II aux dépens de la fiabilité de type I. L’arbitrage est inévitable.
 
10
2. La théorie de l’accident normal  Avant d’arbitrer entre les types de fiabilité, il faudrait s’assurer que toute fiabilité n’est pas illusoire. Charles Perrow a fondé en théorie l’idée que les accidents sont inévitables. Dans Normal Accidents[1984], après avoir participé à la commission d’enquête sur l’accident nucléaire de Three Mile Island (fusion du cœur correctement contenue par l’enceinte de protection, évacuation de la population environnante…), il dégage deux conditions qui rendent l’accident inévitable : 1. le système considéré est le siège d’interactions complexes entre ses parties ; 2. il est caractérisé par la rigidité des relations entre ces parties.  
« Les systèmes complexes interactifs peuvent connaître des défaillances indépendantes, individuellement insignifiantes, mais qui se combinent de façon inattendue voire incompréhensible, de telle sorte qu’elles échappent aux dispositifs de sûreté conçus pour traiter les défaillances individuelles. Si le système est, en outre, rigide (‘tightly coupled , les parties du système dépendent les unes des autres de façon étroite, cruciale et forte, une caractéristique fréquente des systèmes mécaniques), les défaillances initiales ne peuvent être contenues ou isolées ni le système stoppé ; les défaillances vont se combiner en cascade jusqu’à ce qu’une partie importante ou l’ensemble du système soit mis en échec. » (Perrow [1994], la parenthèse ne fait pas partie de la citation)
 Dans les systèmes souples (‘loosely coupled’),les parties du système sont relativement indépendantes et autonomes (une caractéristique fréquente des systèmes vivants). Les systèmes souples peuvent absorber les perturbations à la façon d’un amortisseur. Quant aux systèmes simples, ils ne posent pas, en principe, de grands problèmes de repérage des anomalies ce qui réduit fortement la probabilité de l’accident normal. Les deux conditions sont nécessaires ensemble : l’accident normal provient de la complexitéetde la rigidité. D’après Perrow et ses émules, ces deux conditions sont suffisantes pour générer des accidents ‘normaux’. Autrement dit, les divers remèdes proposés demeureraient inefficaces tant que ces deux conditions de base ne sont pas relâchées. La redondance des équipements de sûreté, par exemple, ce qu’on appelle la défense en profondeur, serait non seulement incapable de contenir tous les incidents candidats à l’accident normal, mais ne limiterait que fort peu la probabilité d’accident. En effet, la redondance des équipements rajoute à la complexité. Le système devient moins transparent. La détection des anomalies et l’identification des sources d’erreur deviennent plus difficiles. Des erreurs latentes demeurent cachées, attendant une circonstance fortuite pour déclencher un accident. En outre, la sûreté perçue devient plus grande qu’elle ne l’est en réalité ; les barrières de sécurité jugées indépendantes, ne le sont pas. Les inspections, par exemple, sont censées fournir une barrière de sécurité supplémentaire, indépendante. Mais il est douteux qu’elles remplissent effectivement ce rôle (voir, par exemple, La Culture du Risque et de la Sûreté, p.154, ‘Les inspections sont-elles efficaces ?’).
 
11