Durant les années quatre-vingt-dix, les facteurs organisationnels ont pris une importance croissante dans le management de la sécurité. Parallèlement, les vues des entreprises concernant la sécurité ont considérablement évolué. Les spécialistes, dont la plupart ont une formation technique, sont ainsi confrontés à une double tâche. D’une part, ils doivent comprendre les aspects organisationnels des problèmes qu’ils rencontrent et les intégrer dans les programmes de prévention. D’autre part, il leur faut tenir compte du fait que la conception de la sécurité dans les entreprises est de moins en moins confinée aux facteurs matériels et met clairement l’accent sur des facteurs moins tangibles et moins quantifiables comme la culture d’entreprise, la modification des comportements, la responsabilisation et la participation active. La première partie du présent article résume l’évolution des opinions concernant les modes d’organisation, la gestion, la qualité et la sécurité. La deuxième partie étudie les incidences de cette évolution sur les systèmes d’audit. L’article conclut par un exemple de système d’audit de la sécurité fondé sur la norme ISO 9001 (ISO, 1994).
La crise économique qui a frappé le monde occidental en 1973 a exercé une profonde influence sur les concepts et les méthodes en matière de gestion, de qualité et de sécurité du travail. Le développement économique des entreprises s’articulait jusque-là autour de l’expansion des marchés, de la promotion des exportations et de l’accroissement de la productivité. Toutefois, ces trois éléments ont peu à peu perdu de leur importance au profit de la réduction des pertes et de l’amélioration de la qualité. Pour gagner des clients et les conserver, une réponse plus directe a été apportée à leurs exigences et à leurs attentes. Il a fallu offrir des gammes de produits plus larges et, par conséquent, introduire davantage de souplesse dans les modes d’organisation afin de pouvoir s’adapter très rapidement aux fluctuations du marché. L’accent a été mis sur l’engagement et la créativité du personnel, deux avantages concurrentiels majeurs dans la bataille économique. L’élévation du niveau de la qualité et l’élimination des activités non rentables sont devenues deux moyens importants d’améliorer les résultats d’exploitation.
Les spécialistes de la sécurité ont joué un rôle dans cette stratégie en définissant et en mettant en œuvre des programmes de maîtrise des pertes totales. Ces programmes font une large place aux coûts directs des accidents et à l’augmentation des primes d’assurance, mais aussi à l’ensemble des pertes et des coûts indirects qui peuvent être évités. L’étude de l’augmentation en termes réels de la production nécessaire pour compenser ces pertes fait immédiatement apparaître que la réduction des coûts est plus efficace et plus rentable que l’accroissement de la production.
Dans ce contexte de recherche d’une meilleure productivité, les entreprises s’efforcent depuis peu de tirer parti des avantages qu’offrent la réduction de l’absentéisme pour cause de maladie et la motivation du personnel. Dans le prolongement de ces évolutions, la politique de sécurité des entreprises revêt de plus en plus fréquemment d’autres formes et suit d’autres orientations. Dans le passé, les chefs de grandes entreprises considéraient pour la plupart la sécurité comme une simple obligation légale, une contrainte qu’ils s’empressaient de déléguer à des techniciens. Aujourd’hui, il est clair que la politique de sécurité est considérée comme un moyen d’atteindre les deux objectifs de réduction des pertes et d’optimisation de la stratégie dans les entreprises. La sécurité est donc en passe de devenir un indicateur fiable de la performance d’une entreprise dans ces deux domaines. Pour mesurer les progrès accomplis, une attention croissante est accordée aux audits de gestion et de sécurité.
Les conditions économiques n’ont pas été les seules à ouvrir de nouveaux horizons aux chefs d’entreprise. De nouvelles approches de l’organisation, de la qualité et de la sécurité sont à l’origine de profonds changements. En matière d’organisation, la théorie proposée dans l’ouvrage de Peters et Waterman (1982) a marqué un tournant. Cet ouvrage s’appuyait déjà sur les idées que Pascale et Athos (1980) avaient découvertes au Japon. Cette nouvelle conception de l’organisation peut être symbolisée, dans une certaine mesure, par le modèle des «7-S» de McKinsey (dans Peters et Waterman, 1982). Aux trois axes de management classiques que sont la stratégie, la structure et les systèmes, les entreprises ajoutent aujourd’hui trois aspects supplémentaires: les ressources humaines, les compétences et le style. Ces six éléments sont interactifs et articulés autour de l’élément central du modèle (le septième «S»), à savoir les objectifs supérieurs de l’entreprise (voir figure 57.1). Cette démarche met clairement l’accent sur les aspects humains de l’entreprise.
Les développements fondamentaux peuvent être illustrés à l’aide du modèle de Scott (1978), également utilisé par Peters et Waterman (1982). Ce modèle s’appuie sur deux catégories de démarches:
Quatre champs sont ainsi créés dans la figure 57.2. Deux d’entre eux (taylorisme et démarche conjoncturelle) sont mécaniquement fermés et les deux autres (relations humaines et développement organisationnel) organiquement ouverts. La théorie du management a considérablement évolué, passant du modèle basé sur la division rationnelle et autoritaire du travail (taylorisme) à un modèle organique axé sur la gestion des ressources humaines.
L’efficacité et la rentabilité de l’entreprise sont plus clairement liées dès lors à une gestion stratégique optimale, à une structure organisationnelle horizontale et à des systèmes qualité performants. Par ailleurs, on accorde aujourd’hui plus de place aux objectifs supérieurs et aux valeurs fondamentales qui renforcent la cohésion au sein de l’entreprise, comme les compétences (facteur de différenciation par rapport aux concurrents), la motivation du personnel, la créativité et la flexibilité encouragées par l’engagement et la responsabilisation des travailleurs. Dans les approches ouvertes de ce genre, un audit de management ne saurait se borner à examiner les caractéristiques formelles ou structurelles de l’organisation: il doit aussi analyser les méthodes afin d’identifier les éléments moins tangibles et mesurables liés à la culture de l’entreprise.
Dans les années cinquante, le contrôle de la qualité se limitait à une vérification a posteriori des produits finis dans le cadre de la maîtrise totale de la qualité (TQC). Dans les années soixante-dix, en partie sous l’influence de l’Organisation du Traité de l’Atlantique Nord (OTAN) et du constructeur automobile Ford, l’accent a plutôt été mis sur ce que l’on a appelé l’assurance totale de la qualité (TQA) dans le processus de production. Il a fallu attendre la décennie quatre-vingt pour que l’on s’intéresse, devant le succès des techniques japonaises, à la qualité de l’ensemble du système de management, qui a donné naissance au management total de la qualité (TQM). Ce changement radical dans l’approche de la gestion de la qualité est intervenu d’un seul coup, dans le sens où chaque étape était immédiatement intégrée à la suivante. Il est également évident que si le contrôle qualité a posteriori est plus étroitement lié au concept tayloriste de l’organisation du travail, l’assurance qualité est davantage associée à une approche sociotechnique dont le but est de ne pas trahir la confiance du client (extérieur). Le TQM s’inscrit dans le droit-fil d’un mode d’organisation basé sur les ressources humaines, car le but visé n’est plus seulement l’amélioration du produit, mais l’amélioration continue de toutes les facettes de l’organisation dans laquelle les travailleurs tiennent une place spécifique.
Le leadership total de la qualité (TQL) — démarche proposée par la Fondation européenne pour le management par la qualité (European Foundation for Quality Management (EFQM)) — met fortement l’accent sur l’impact égal qu’a l’organisation sur le client, les travailleurs et la société en général, avec l’environnement en point de mire. Les objectifs correspondants peuvent être atteints en intégrant des concepts comme ceux de «leadership» et de «gestion des ressources humaines».
Il est clair qu’il existe aussi une très sensible différence d’échelle entre l’assurance qualité telle qu’elle est décrite dans les normes de l’Organisation internationale de normalisation (ISO) et la démarche TQL de la EFQM. L’assurance qualité ISO est une version élargie et améliorée du contrôle qualité classique, qui porte non seulement sur les produits et les clients internes, mais aussi sur l’efficacité des procédés techniques mis en œuvre. Le contrôle a pour objectif de vérifier le respect des procédures définies dans les normes ISO. Le TQM, de son côté, vise à répondre aux attentes de tous les clients, internes et externes, mais aussi de tous les processus de l’entreprise, y compris les processus administratifs et ceux qui touchent les hommes de plus près. La participation, l’engagement, la motivation et la créativité du personnel sont des aspects fondamentaux de cette démarche.
L’évolution des démarches en matière de sécurité et de qualité est très similaire. De l’analyse a posteriori des accidents, on est passé à la prévention des accidents dans une perspective plus globale. La sécurité est envisagée désormais dans le contexte de la maîtrise des pertes totale, afin d’éviter les pertes de toute nature par une gestion de la sécurité associant les hommes, les procédés, les matières, les équipements, les installations et les conditions de travail. La sécurité se concentre dès lors sur la gestion de tous les processus susceptibles d’occasionner des pertes. Au premier stade de la définition de la démarche de sécurité, l’accent a été mis sur le concept d’erreur humaine . Les travailleurs se voyaient attribuer une large part de responsabilité dans la prévention des accidents du travail. Inspirées par une philosophie tayloriste, des conditions et des procédures ont été définies et un système de contrôle a été établi pour assurer le respect des règles de comportement prescrites. Cette philosophie peut se traduire dans les pratiques de sécurité modernes au travers des concepts des normes ISO de la série 9000 (ISO, 1993-1997); elle crée une sorte de sentiment indirect de culpabilité implicite chez les travailleurs, avec tous les effets négatifs que cela suppose pour la culture d’entreprise; on risque ainsi de voir se dessiner une tendance qui fera obstacle à la performance au lieu de la promouvoir.
Les accidents du travail étaient considérés comme le résultat d’une conjonction de facteurs dans un système associant les hommes, les machines et les conditions de travail, système dans lequel l’accent était mis sur une approche technico-systémique . On retrouve ici, une fois de plus, l’analogie avec l’assurance qualité qui accorde la primauté au contrôle des processus techniques par des méthodes comme la maîtrise statistique des procédés. Par la suite, on a reconnu que les travailleurs s’acquittaient de leurs tâches dans des conditions et avec des moyens spécifiques.
C’est depuis peu seulement, et en partie sous l’influence de la philosophie TQM, que les pratiques de sécurité se sont orientées vers une approche socio-systémique , étape logique dans l’amélioration de la prévention. Il ne suffit pas, pour optimiser un système hommes/machines/environnement, de rendre sûrs les machines, les installations et les outils par une politique de prévention bien structurée: il faut aussi garantir la sûreté des processus techniques et mettre en place un système de maintenance préventive. Par ailleurs, il est essentiel que les employés soient suffisamment formés, compétents et motivés pour être capables d’atteindre les objectifs fixés en matière de sécurité et de santé. Dans la société moderne, le taylorisme n’est plus adapté à cette fin, car un retour d’information positif est beaucoup plus motivant qu’un système de contrôle répressif qui n’a souvent que des effets négatifs. Le management moderne appelle une culture d’entreprise ouverte et motivante, dans laquelle l’ensemble des acteurs participent activement à la réalisation des objectifs communs par une démarche de travail en équipe. Dans une culture de sécurité , la sécurité fait véritablement partie des objectifs de l’entreprise; elle est donc totalement intégrée aux tâches et s’étend à toute la pyramide hiérarchique, du sommet à la base.
Le concept de sécurité intégrée comprend un certain nombre de facteurs fondamentaux, dont les plus importants sont les suivants:
Engagement clair et visible de l’équipe dirigeante . Il ne suffit pas que cet engagement soit exprimé par écrit, il doit aussi se traduire concrètement et toucher la base de la pyramide hiérarchique.
Participation active de la hiérarchie et des services centraux . Veiller à la sécurité, à la santé et au confort fait partie intégrante des tâches de chacun des acteurs du processus de production. Cette préoccupation doit également se retrouver en filigrane dans la politique du personnel, la maintenance préventive, le développement des produits et les relations avec les tiers.
Participation sans réserve du personnel. Les travailleurs sont des partenaires à part entière, avec lesquels une communication franche et constructive est possible dès lors que leur contribution est pleinement prise en compte. En effet, la participation du personnel est cruciale pour mettre en œuvre la stratégie de l’entreprise et sa politique de sécurité de manière efficace et gratifiante.
Profil adéquat pour le spécialiste de la sécurité . Le responsable de la sécurité n’est plus le technicien-homme à tout faire qu’il était autrefois, mais un conseiller qualifié de la direction qui se consacre plus particulièrement à optimiser les règles et le système de sécurité. La formation technique ne suffit plus; il faut désormais une personne qui, en tant qu’organisateur, soit capable de communiquer efficacement avec les différents acteurs de l’entreprise et de collaborer en créant des synergies avec d’autres spécialistes de la prévention.
Une culture de sécurité proactive . L’élément essentiel d’une politique de sécurité intégrée est une culture proactive fondée notamment sur les principes suivants:
Les audits de sécurité sont une forme d’analyse et d’évaluation des risques consistant en une étude systématique des conditions susceptibles de permettre le développement et la mise en œuvre de pratiques de sécurité efficaces. Un audit passe simultanément en revue les objectifs à atteindre et les critères les plus susceptibles d’en assurer la réalisation.
Chaque audit devrait, en principe, apporter une réponse aux questions suivantes:
Les informations rassemblées seront analysées de près afin de déterminer dans quelle mesure la situation présente et ce qui a déjà été fait correspondent aux critères définis. Un rapport soulignera les points forts et mettra en évidence les aspects qui doivent encore être améliorés.
Tout audit exprime, explicitement ou implicitement, une image de l’organisation idéale et propose la meilleure façon de mettre en œuvre les améliorations souhaitées.
Bennis, Benne et Chin (1985) distinguent trois stratégies de changement, basée chacune sur une vision différente des individus et des moyens d’influer sur leur comportement:
Savoir quelle stratégie est la mieux adaptée à une situation particulière dépend non seulement de la vision de départ, mais aussi de la situation existante et de la culture prévalente de l’entreprise concernée. Il est capital de savoir sur quel type de comportement il faut influer. Le célèbre modèle conçu par un spécialiste du risque, le Danois Rasmussen (1988), distingue trois catégories de comportement:
On est amené à considérer que les systèmes d’audit (y compris ceux fondés sur les normes ISO) étaient inspirés souvent de stratégies répressives ou rationnelles empiriques mettant l’accent sur les automatismes et les procédures. Ces systèmes n’accordent pas suffisamment d’attention au comportement cognitif, qui peut être modifié essentiellement par des stratégies normatives-rééducatives. Dans la typologie de Schein (1989), l’attention se concentre exclusivement sur les manifestations visibles, tangibles et conscientes de la culture d’entreprise, au détriment de sentiments plus profonds, cachés et inconscients, davantage liés à des valeurs et à des postulats fondamentaux.
De nombreux systèmes d’audit se bornent à déterminer s’il existe telle ou telle disposition ou procédure dans l’entreprise, ce qui revient à supposer que l’existence de cette disposition ou de cette procédure suffirait à garantir le bon fonctionnement du système. Or, un système d’audit digne de ce nom doit prendre en considération d’autres «strates» (niveaux de réponse probable) s’il veut réunir des données suffisantes et fournir des garanties d’efficacité.
A titre d’exemple, examinons ce qui peut se passer en cas d’incendie:
|
Stratégies |
Comportement |
||
|
|
Machinal |
Procédural |
Cognitif |
|
Répressive |
Erreur humaine |
|
|
|
Rationnelle-empirique |
|
Méthodes et techniques |
|
|
Normative-rééducative |
|
Sociale |
Culture de sécurité |
Le système d’audit de Pellenberg (Pellenberg-Audit-System (PAS )) tire son nom de l’endroit où il a été mis au point, à savoir le château Maurissens à Pellenberg, propriété de l’Université catholique de Louvain. Il est le fruit d’une intense collaboration au sein d’une équipe pluridisciplinaire d’experts ayant une longue expérience pratique de la gestion de la qualité, de la sécurité et des conditions de travail et qui ont comparé un éventail de démarches et de méthodes. L’équipe a également reçu le soutien des services scientifiques et de recherche de l’Université, bénéficiant ainsi des dernières connaissances dans les domaines du management et de la culture d’entreprise.
Le système d’audit de Pellenberg rassemble les critères que doit réunir un système de prévention performant (voir tableau 57.2). Ces critères sont classés selon le système ISO (assurance qualité dans la conception, le développement, la fabrication, l’installation et la maintenance). Toutefois, le système ne se contente pas d’appliquer les normes ISO à la sécurité, à la santé et au bien-être: il s’inspire d’une philosophie nouvelle visant à associer sécurité et satisfaction au travail. Le contrat du système ISO est remplacé par la mention des dispositions réglementaires et des attentes des partenaires sociaux en ce qui concerne la sécurité, la santé et le bien-être. La création d’emplois gratifiants et sans danger pour les travailleurs est considérée comme un objectif essentiel de chaque entreprise dans le cadre de ses responsabilités sociales. L’entreprise fournit du travail et les travailleurs sont ses clients.
|
Eléments de l’audit |
Correspondance avec la norme |
|
|
1. |
Responsabilité de la direction |
|
|
1.1. |
Politique de sécurité |
4.1.1. |
|
1. 2. |
Organisation |
|
|
1.2.1. |
Responsabilité et autorité |
4.1.2.1. |
|
1.2.2. |
Personnel et moyens de vérification |
4.1.2.2. |
|
1.2.3. |
Service de sécurité et de santé |
4.1.2.3. |
|
1.3. |
Examen du système de gestion de la sécurité |
4.1.3. |
|
2. |
Système de gestion de la sécurité |
4.2. |
|
3. |
Obligations |
4.3. |
|
4. |
Contrôle en conception |
|
|
4.1. |
Généralités |
4.4.1. |
|
4.2. |
Planification des études et du développement |
4.4.2. |
|
4.3. |
Critères de conception |
4.4.3. |
|
4.4. |
Produit de la conception |
4.4.4. |
|
4.5. |
Vérification de la conception |
4.4.5. |
|
4.6. |
Changements dans la conception |
4.4.6. |
|
5. |
Contrôle des documents |
|
|
5.1. |
Approbation et distribution des documents |
4.5.1. |
|
5.2. |
Changements/modifications dans les documents |
4.5.2. |
|
6. |
Achats et contrats |
|
|
6.1. |
Généralités |
4.6.1. |
|
6.2. |
Evaluation des fournisseurs et des sous-traitants |
4.6.2. |
|
6.3. |
Critères d’achats |
4.6.3. |
|
6.4. |
Produits tiers |
4.7. |
|
7. |
Identification |
4.8. |
|
8. |
Contrôle des processus |
|
|
8.1. |
Généralités |
4.9.1. |
|
8.2. |
Contrôle de la sécurité des processus |
4.11. |
|
9. |
Inspection |
|
|
9.1. |
Contrôle à la réception et avant la mise en service |
4.10.1. |
|
9.2. |
Contrôles périodiques |
4.10.2. |
|
9.3. |
Dossiers de contrôle |
4.10.4. |
|
9.4. |
Matériel de contrôle |
4.11. |
|
9.5. |
Statut du contrôle |
4.12. |
|
10. |
Accidents et incidents |
4.13. |
|
11. |
Action corrective et préventive |
4.13. |
|
12. |
Dossiers de sécurité |
4.16. |
|
13. |
Audits internes de sécurité |
4.17. |
|
14. |
Formation |
4.18. |
|
15. |
Maintenance |
4.19. |
|
16. |
Techniques statistiques |
4.20. |
Le système de Pellenberg intègre plusieurs autres éléments:
Le système de Pellenberg se réfère constamment à la politique générale de l’entreprise dont la sécurité fait partie intégrante. En effet, une politique de sécurité optimale est à la fois le point de départ et le résultat d’une stratégie d’ensemble proactive. Si l’on part du principe qu’une entreprise où la sécurité est assurée est aussi une entreprise efficace et rentable et que la réciproque est vraie aussi, il convient d’apporter un soin particulier à l’intégration de la politique de sécurité dans la politique générale de l’entreprise. Les principaux ingrédients d’une stratégie proactive sont notamment une culture d’entreprise déclarée, un engagement à long terme, la participation active des employés, un souci de qualité dans le travail et un système dynamique d’amélioration constante. Ces éléments ne sont pas toujours faciles à concilier avec la démarche plus formelle et procédurale de l’ISO.
Il est incontestable que des procédures formelles et des résultats directement identifiables jouent un rôle important, mais un système de sécurité efficace ne saurait être fondé sur ces seuls critères. Les résultats d’une politique de sécurité dépendent des méthodes adoptées, des efforts mis en œuvre, du souci constant de progrès et, plus spécialement, de l’optimisation des processus en vue de consolider les succès obtenus. Ces principes font partie intégrante du système de Pellenberg qui accorde une importance particulière, entre autres choses, à l’amélioration systématique de la culture de la sécurité.
L’un des principaux avantages du système est qu’il crée des synergies. En s’écartant de la démarche de l’ISO, les différents axes d’approche deviennent immédiatement reconnaissables par les spécialistes du programme TQM. Il existe des possibilités de synergie évidentes entre ces axes, car l’amélioration des méthodes de management est l’élément clé dans chacun d’eux. Une stratégie d’approvisionnement rigoureuse, un système de maintenance préventive performant, de bonnes méthodes de gestion, un style de management participatif et la promotion de l’esprit d’initiative chez les travailleurs revêtent une importance capitale.
Les différents systèmes de sécurité sont organisés de manière analogue sur la base de principes tels que l’engagement de la direction, la participation des cadres et du personnel et la contribution de divers spécialistes. Ils contiennent aussi des instruments d’action analogues, comme la déclaration de politique de l’entreprise, les plans d’action annuels, les méthodes d’évaluation et de contrôle, les audits internes et externes, etc. Le système de Pellenberg va donc clairement dans le sens d’une collaboration efficace, génératrice d’économies et de synergies, entre les divers intéressés.
Le système de Pellenberg n’est pas la voie la plus facile à suivre dans l’optique du court terme. Rares d’ailleurs sont les dirigeants d’entreprise qui se laisseront séduire par un système qui fait miroiter des gains considérables, rapidement et avec peu d’efforts. Toute stratégie solide repose sur une approche à long terme. Ce qui importe vraiment, ce ne sont pas tant les résultats immédiats que la certitude que le processus adopté produira des résultats durables non seulement dans le domaine de la sécurité, mais aussi dans les autres secteurs de l’entreprise. Dans une telle optique, améliorer la sécurité contribuera également à consolider les emplois, à motiver les travailleurs, à satisfaire la clientèle et à optimiser les résultats d’exploitation.
La notion de progrès ininterrompu est un postulat fondamental de tout processus d’audit de sécurité qui vise à produire des résultats durables dans la société rapidement évolutive d’aujourd’hui. La meilleure garantie d’un programme dynamique de ce type est l’engagement sans réserve du personnel, qui progresse en même temps que l’entreprise, car ses efforts sont systématiquement valorisés et qu’il a la possibilité de développer ses compétences et de les mettre régulièrement à niveau.
Le présent article étudie le rôle des facteurs humains dans le processus de causalité des accidents, expose la nature et l’efficacité des mesures de prévention qui permettent de contrôler les erreurs humaines et examine leur application au modèle de causalité. Les erreurs humaines jouent un rôle important dans 90% au moins de tous les accidents du travail. Des défaillances purement techniques et des circonstances matérielles imprévues peuvent naturellement intervenir, mais les défaillances humaines demeurent la cause première. Les progrès réalisés dans la conception et la fiabilité des machines font que la proportion des accidents dus aux erreurs humaines augmente alors que le nombre d’accidents, en termes absolus, tend à diminuer. Ces mêmes erreurs sont également à l’origine de nombre d’incidents qui, s’ils ne font pas de victime, entraînent néanmoins des pertes financières considérables. A ces divers titres, la prévention de ces erreurs est un objectif majeur appelé à prendre une place de plus en plus importante. Si l’on veut que les systèmes de gestion de la sécurité et les programmes d’identification des risques soient efficaces, il est indispensable de pouvoir mettre en lumière le rôle du facteur humain en procédant à une analyse rigoureuse des défaillances possibles.
L’erreur humaine peut être considérée comme l’incapacité d’atteindre un objectif donné selon la procédure prévue, par suite d’un comportement involontaire ou délibéré. Cet échec peut être imputable à l’une ou à plusieurs des quatre raisons ci-après:
Le comportement humain, nous l’avons vu, peut être de trois types: machinal, procédural ou cognitif.
Dans certains cas, l’expression limitation humaine serait plus appropriée que celle d’erreur humaine . Notons, en passant, que la capacité de prévoir le comportement de systèmes complexes est elle aussi limitée (Gleick, 1987; Casti, 1990).
Le modèle de Reason et Embrey — méthode générique de modélisation des erreurs (Reason, 1990) — tient compte des mécanismes de correction des erreurs dans les comportements de type machinal, procédural ou cognitif. Il se fonde sur la notion que le comportement quotidien est routinier. Il est l’objet d’un contrôle régulier mais, entre les retours d’information successifs, il demeure complètement automatique. Aussi longtemps que le comportement est machinal, l’erreur se traduit par un raté. Lorsque le retour d’information signale un écart par rapport à l’objectif visé, une correction de type procédural intervient. Le problème rencontré fait l’objet d’un diagnostic à partir des symptômes observés, et une consigne corrective est mise en œuvre en fonction de ce diagnostic. Lorsque la consigne appliquée n’est pas la bonne, il y a faute.
Dans le cas d’une situation nouvelle, on fait appel à un comportement de type cognitif. Les symptômes sont étudiés à la lumière de ce que l’on connaît du système et de ses composants. L’analyse peut aboutir à une solution dont la mise en œuvre constitue un cas de comportement guidé par les connaissances et l’expérience. A ce niveau, toutes les erreurs sont des fautes. Il y a violation lorsqu’une consigne est appliquée alors que l’on sait qu’elle ne convient pas, lorsque l’opérateur estime pouvoir appliquer une autre consigne en pensant qu’elle permettra de gagner du temps ou, éventuellement, qu’elle est mieux adaptée à la situation rencontrée, probablement exceptionnelle. Le sabotage constitue une violation commise avec la volonté de nuire, mais il déborde le cadre du présent article. Lorsqu’on tente d’éliminer les erreurs humaines, il convient de se demander si elles sont liées à un comportement machinal, procédural ou cognitif. En effet, les remèdes à appliquer ne seront pas les mêmes dans tous les cas (Groeneweg, 1996).
On entend souvent dire, à la suite d’un accident, que «la personne ne s’en est sans doute pas rendu compte sur le moment, mais si elle n’avait pas fait telle ou telle chose, l’accident ne se serait pas produit». La prévention doit donc agir essentiellement sur la fraction cruciale du comportement humain à laquelle cette remarque fait allusion. Dans de nombreux systèmes de gestion de la sécurité, les solutions et les méthodes proposées visent à agir directement sur le comportement. Il est rare toutefois qu’une entreprise évalue l’efficacité pratique de ces solutions et de ces méthodes. Les psychologues se sont longuement penchés sur la meilleure façon d’influencer le comportement humain. Nous allons passer en revue six moyens de contrôler l’erreur humaine et apprécier leur efficacité relative sur le contrôle du comportement à long terme (Wagenaar, 1992) (voir tableau 57.3.)
|
No |
Mode d’influence |
Coût |
Effet à long terme |
Evaluation |
|
1 |
Ne pas chercher à changer les comportements, mais créer un système à l’abri des défaillances humaines |
Elevé |
Faible |
Médiocre |
|
2 |
Etablir et donner des consignes |
Faible |
Faible |
Moyen |
|
3 |
Récompenser/sanctionner |
Modéré |
Moyen |
Moyen |
|
4 |
Motiver et sensibiliser |
Modéré |
Faible |
Médiocre |
|
5 |
Sélectionner du personnel qualifié |
Elevé |
Moyen |
Moyen |
|
6 |
Modifier le milieu de travail |
Elevé |
Prononcé |
Bon |
La première solution est de ne rien faire pour influencer le comportement des opérateurs, mais de concevoir l’unité de travail ou le système de manière que, quoi que fasse un opérateur, ses actes n’aient pas de résultat indésirable. Il faut reconnaître que grâce à la robotique et à l’ergonomie, les concepteurs ont sensiblement amélioré la convivialité des installations et des matériels; il est toutefois quasiment impossible d’anticiper tous les comportements possibles de leurs opérateurs. Il arrive même qu’un système réputé infaillible ou indéréglable incite les opérateurs à essayer de trouver la faille. Enfin, il ne faut pas oublier que les concepteurs sont aussi des hommes et que tout système de ce type, aussi bien conçu soit-il, peut comporter des lacunes (Petroski, 1992). En tout état de cause, l’avantage relatif de cette option par rapport aux niveaux de risque existants reste marginal et elle peut conduire à des coûts de conception et d’installation inacceptables.
Une autre solution consiste à donner, pour chaque tâche, des consignes à tous les opérateurs, afin que l’on puisse contrôler leur comportement. Cette option nécessite un inventaire des tâches et un système de contrôle des consignes complexe et difficile à mettre en place. Les comportements n’étant plus automatiques, les «ratés» et les «lapsus» seront éliminés en bonne partie jusqu’à ce que les consignes, devenues routinières, s’avèrent moins efficaces.
Il n’est pas très productif de dire aux opérateurs que leur travail est dangereux — la plupart le savent déjà parfaitement. Ils feront de toute manière leurs propres choix en matière de risque, quoi que l’on puisse dire pour les dissuader. Ils le feront soit pour rendre leur travail plus facile, soit pour gagner du temps, soit encore pour défier l’autorité et, peut-être même, améliorer leurs perspectives de carrière ou obtenir une contrepartie financière. Donner des consignes est simple et ne coûte pas très cher, et la plupart des entreprises le font au début d’un chantier ou d’un nouveau travail. La méthode est cependant réputée peu efficace.
Bien que la méthode de la carotte et du bâton soit à la fois efficace et largement utilisée pour contrôler le comportement humain, elle n’est pas sans poser des problèmes. Une récompense est surtout valable si celui qui en est l’objet y attache du prix au moment où il la reçoit. D’un autre côté, sanctionner un «raté» involontaire ne sert à rien. Ainsi, il est plus efficace d’améliorer la sécurité du trafic routier en modifiant les conditions matérielles de circulation qu’en recourant à des campagnes d’information ou à des mesures répressives. Même si un individu sait qu’il risque d’être pris, il ne changera pas nécessairement de comportement, car la possibilité demeure de contrevenir aux règlements, tout comme le défi de pouvoir le faire impunément. Si les conditions de travail incitent à commettre une infraction, les employés choisiront automatique-ment le comportement déviant, quelle que soit la sanction qu’ils encourent. L’efficacité de cette démarche est donc relative, car elle n’a généralement que des effets à court terme.
On croit parfois que les gens provoquent des accidents par manque de motivation ou inconscience du danger; c’est faux, comme plusieurs études l’ont démontré (voir, par exemple, Wagenaar et Groeneweg, 1987). Même s’ils sont capables de juger exactement le danger, ils ne se comportent pas toujours en conséquence (Kruysse, 1993). Les accidents frappent aussi les gens les plus motivés et les plus sensibilisés à la sécurité. Il existe des méthodes efficaces pour stimuler la motivation et l’attention; on y reviendra lorsqu’on parlera de modifier l’environnement. Cette option est délicate à mettre en œuvre: s’il est difficile de stimuler des gens déjà motivés, il est en revanche très facile de les démotiver.
Les programmes de motivation n’ont d’effets positifs que lorsqu’ils sont associés à des techniques de modification du comportement, comme l’implication du personnel dans la gestion des tâches.
La première réaction, après un accident, est souvent de l’attribuer à un manque de compétence. Avec le recul, les circonstances de l’accident semblent évidentes et facilement évitables par une personne normalement intelligente et suffisamment formée, mais cette impression est trompeuse: dans la réalité, les personnes concernées ne pouvaient pas prévoir l’accident. Par conséquent, une formation plus poussée et une sélection plus rigoureuse n’auront pas l’effet souhaité. Une formation de base est toutefois un préalable à la sécurité. Il faut lutter contre la tendance qu’ont certaines entreprises à remplacer du personnel expérimenté par du personnel novice et insuffisamment qualifié, car la complexité croissante des tâches exige le respect des consignes et une capacité de réflexion qui, souvent, font défaut à ces employés moins bien payés.
Une formation poussée et la sélection des individus les plus qualifiés présentent l’inconvénient que le comportement peut devenir automatique et que des ratés peuvent survenir. La sélection est un processus coûteux, et ses résultats sont souvent médiocres.
La plupart des comportements traduisent une réaction à certains éléments du milieu de travail: horaires de travail, attentes et exigences de la direction, etc. Toute modification apportée à ce milieu peut induire un changement de comportement. Cependant, plusieurs problèmes doivent être résolus avant que l’on puisse atteindre ce résultat. Il faut d’abord identifier les facteurs de perturbation, puis les contrôler; enfin, les dirigeants doivent se demander quel a été leur rôle dans la création des facteurs négatifs.
Il est plus facile d’influer sur le comportement en instaurant des conditions de travail adéquates et en créant un environnement favorable. Cela exige: 1) l’identification préalable des facteurs qui sont à l’origine d’un comportement indésirable; 2) leur contrôle; et 3) l’analyse des décisions prises antérieurement par la direction (Wagenaar, 1992; Groeneweg, 1996). Toutes ces conditions peuvent être réunies, comme on le verra plus loin. La modification du comportement peut avoir des effets positifs importants, même si son coût est parfois élevé.
Pour mieux cerner les éléments contrôlables du processus de causalité des accidents, il faut savoir quelles sont les boucles de retour d’information possibles dans un système d’information sur la sécurité. La figure 57.3 présente la structure complète d’un tel système, grâce auquel on peut espérer parer aux erreurs humaines; c’est une version remaniée du système proposé par Reason et coll. (1989).
Il est de règle, après un accident, de mener une enquête, d’établir un rapport circonstancié et d’informer les décideurs du rôle joué par les défaillances humaines. Heureusement, cette méthode est de moins en moins utilisée dans les entreprises. Il est plus productif de déterminer les «perturbations opérationnelles» qui précèdent les accidents et les incidents dangereux. Un accident peut être considéré comme une perturbation opérationnelle suivie de conséquences plus ou moins sérieuses. Une simple sortie de route est une perturbation opérationnelle, alors qu’un automobiliste tué parce qu’il n’avait pas attaché sa ceinture de sécurité est un accident. Dans bien des cas, des dispositifs de sécurité ont été mis en place pour éviter qu’une perturbation opérationnelle devienne un accident, mais il arrive qu’ils ne fonctionnent pas correctement ou qu’ils aient été rendus inopérants.
Nous qualifierons un acte erroné commis par un travailleur d’acte «indésiré» et non pas d’acte «dangereux», car l’utilisation de ce second terme pourrait donner l’impression qu’il ne concerne que la sécurité personnelle, alors qu’il peut aussi intéresser, par exemple, des problèmes environnementaux. Les actes indésirés sont parfois enregistrés, mais des informations détaillées quant à la nature et aux raisons des ratés, des fautes et des violations sont rarement portées à la connaissance des cadres supérieurs et des dirigeants.
Avant de commettre un acte indésiré, son auteur était dans un certain état d’esprit. Si les signes précurseurs de nature psychologique — fébrilité, inquiétude, etc. — pouvaient être décelés à temps et maîtrisés, on pourrait éviter dans bien des cas qu’ils ne débouchent sur un acte indésiré. Etant donné que les états d’esprit de ce genre sont impossibles à contrôler de manière efficace, les signes précurseurs jouent après coup le rôle de «boîte noire» (voir figure 57.3).
La case «types de défaillances générales» (TDG) de la figure 57.3 représente les mécanismes générateurs d’un accident, à savoir les causes des actes et situations indésirés. Les actes de cette nature ne pouvant être directement maîtrisés, il faut modifier l’environnement opérationnel. Cet environnement est déterminé par 11 mécanismes (voir tableau 57.4) (aux Pays-Bas, l’expression «défaillances générales» existe déjà, mais dans un contexte complètement différent; elle a trait à l’élimination des déchets sans risque pour l’environnement. Pour éviter toute confusion, on utilise dans ce pays une autre expression, celle de facteurs de risques fondamentaux (Roggeveen, 1994).)
|
Défaillances générales |
Définitions |
|
1. Conception |
Défaillances dues à une mauvaise conception de l’ensemble de l’installation ou de certains de ses éléments |
|
2. Matériels |
Défaillances dues au mauvais état ou à l’indisponibilité de machines ou d’outils |
|
3. Procédures |
Défaillances dues à la mauvaise qualité des procédures opérationnelles en termes d’efficacité, de disponibilité et d’exhaustivité |
|
4. Conditions génératrices d’erreurs |
Défaillances dues à la mauvaise qualité du milieu de travail qui favorise les risques d’erreurs |
|
5. Ordre et propreté |
Défaillances dues au désordre et à la saleté du lieu de travail |
|
6. Formation |
Défaillances dues à une formation ou une expérience insuffisantes |
|
7. Objectifs incompatibles |
Défaillances dues à la mise en péril de l’hygiène et de la sécurité interne par diverses pressions: délais, budget limité, etc. |
|
8. Communication |
Défaillances dues à la mauvaise qualité ou à l’absence de communication entre la direction, les services et les salariés |
|
9. Organisation |
Défaillances dues à la façon dont le projet est géré et dont fonctionne l’entreprise |
|
10. Gestion de la maintenance |
Défaillances dues à la mauvaise qualité des procédures de maintenance en termes d’efficacité, de disponibilité et d’exhaustivité |
|
11. Moyens de défense |
Défaillances dues à la mauvaise qualité des mesures de protection |
La case TDG est précédée d’une case «décideurs», car c’est d’eux que dépend en grande partie la façon dont sont gérées les défaillances. Il incombe au management de contrôler le milieu de travail en s’attachant aux 11 types de défaillances mentionnés, ce qui lui permet d’exercer un contrôle indirect sur la survenue des erreurs humaines.
Ces TDG peuvent tous contribuer à un accident d’une manière souvent subtile, en favorisant des concours fâcheux de circonstances et d’actions, en augmentant les risques d’actes indésirés par certains individus et en empêchant que les événements en cours ne s’enchaînent pour aboutir à un accident.
Deux TDG appellent un commentaire: la gestion de la maintenance et les moyens de défense.
La gestion de la maintenance associe des facteurs que l’on peut trouver dans d’autres TDG; il ne s’agit donc pas, à proprement parler, d’un TDG spécifique. Cette gestion n’est pas fondamentalement différente des autres fonctions de management. On peut néanmoins la traiter à part, car la maintenance joue un rôle important dans beaucoup d’accidents et parce que c’est une fonction à part entière dans la plupart des entreprises.
Il ne s’agit pas non plus dans ce cas d’un véritable TDG, car il n’a pas de lien avec le processus de causalité des accidents. Ces moyens entrent en jeu après une perturbation opérationnelle; ils ne sont pas en soi à l’origine d’états d’esprit ou d’actes indésirés, mais suivent un incident provoqué par l’action d’un ou de plusieurs TDG. S’il est vrai qu’un système de gestion de la sécurité doit se concentrer sur les éléments de la chaîne de causalité des accidents qui peuvent être maîtrisés avant et non après l’accident, la notion de moyens de défense peut néanmoins être utilisée pour exprimer l’efficacité perçue des systèmes de sécurité après une perturbation et montrer pourquoi ils n’ont pas permis d’empêcher l’accident.
Les décideurs ont besoin d’une structure qui leur permette de faire le lien entre un problème identifié et l’action préventive. Les mesures prises au niveau des dispositifs de sécurité et des actes indésirés sont certes nécessaires, mais elles ne seront jamais d’une totale efficacité. Se fier à ces dispositifs — qui constituent une dernière ligne de défense — équivaut à se fier à des facteurs qui échappent en grande partie au contrôle des responsables. Ceux-ci ne devraient pas essayer de gérer des dispositifs extérieurs incontrôlables, mais s’efforcer plutôt de rendre leur entreprise plus sûre à tous les niveaux.
Vérifier la présence des TDG dans une entreprise permettra aux enquêteurs d’identifier les forces et les faiblesses de celle-ci. Munis de ces informations, il leur sera possible d’analyser les accidents, de pondérer leurs causes, d’identifier les faiblesses structurelles de l’entreprise et d’y porter remède avant qu’elles ne provoquent un accident.
La mission de l’enquêteur consiste à identifier les causes possibles d’un accident ou d’un incident dangereux et à les répertorier par catégories. La fréquence d’apparition d’une cause dans un certain TDG donnera la mesure de son importance relative dans l’entreprise. Pour ce faire, l’enquêteur utilise souvent une grille de recueil de données ou un programme d’analyse informatisé.
Il est possible et souhaitable de combiner des profils à partir d’accidents successifs, mais semblables. Les conclusions tirées d’une série d’enquêtes sur des accidents survenus dans un laps de temps relativement court sont beaucoup plus fiables que celles résultant d’une étude où le profil a été établi sur la base d’un seul accident. Un exemple de profil combiné est présenté à la figure 57.4, qui rassemble les données relatives à quatre accidents du même type.
Certains TDG — conception, procédures, objectifs incompatibles — ont joué, on le voit, un rôle important dans ces quatre accidents. Dans les accidents 1 et 2, c’est surtout la conception qui est en cause. Le maintien de l’ordre et de la propreté, bien que majeur dans l’accident 1, est un problème mineur si l’on prend également en compte les autres accidents. Il faudrait donc étudier une dizaine d’accidents semblables et en tirer un profil d’ensemble avant de prendre des mesures correctives susceptibles d’ailleurs d’être coûteuses. On peut ainsi identifier les facteurs contributifs et les classer ultérieurement dans différentes catégories de manière fiable (Van der Schrier, Groeneweg et van Amerongen, 1994).
Il est possible d’identifier la présence de TDG de manière proactive, sans tenir compte des accidents et incidents survenus. Il faut rechercher à cette fin les signes indicateurs de la présence de tel ou tel TDG. L’indicateur utilisé peut être la réponse par oui ou par non à une question directe. Si la réponse donnée n’est pas correcte, elle révèle une anomalie. On pourra demander par exemple: «Au cours des trois derniers mois, vous êtes-vous rendu à une réunion qui avait été annulée?». Une réponse affirmative n’indique pas nécessairement un danger, mais elle est révélatrice d’un TDG, en l’occurrence la communication. Toutefois, si plusieurs questions concernant un TDG donné recueillent des réponses qui font apparaître une situation non satisfaisante, c’est le signe que les dirigeants maîtrisent mal le problème.
Il est nécessaire, pour établir le profil de sécurité d’un système, de poser 20 questions pour chacun des 11 TDG. Les réponses sont notées sur un barème allant de 0 (niveau de contrôle médiocre) à 100 (niveau de contrôle élevé). Le score obtenu est comparé à la moyenne de l’industrie dans une certaine zone géographique. Un exemple d’application de la méthode est donné dans l’encadré.
|
Voici une liste de 20 questions auxquelles ont répondu les employés de plus de 250 entreprises d’Europe occidentale. Ces entreprises appartenaient à des branches d’activité très différentes (chimie, raffineries de pétrole, bâtiment et génie civil, etc.). Normalement, les questions sont adaptées en fonction du secteur d’activité. La liste est un exemple destiné uniquement à montrer comment elle fonctionne pour une catégorie donnée de défaillances. Elle ne contient que les questions qui ont été jugées suffisamment «générales» pour s’appliquer à 80% au moins des entreprises interrogées. Dans la pratique, les employés doivent non seulement répondre aux questions, mais aussi justifier leurs réponses. Il ne suffit pas de répondre «Oui», par exemple, à la question «Au cours des quatre dernières semaines, avez-vous eu à appliquer une procédure dépassée?». Il faut préciser de quelle procédure il s’agissait et dans quelles conditions elle devait être appliquée. Cette obligation répond à deux objectifs: obtenir des réponses plus fiables et apporter au management des informations qu’il puisse exploiter. Il faut faire attention lorsqu’on exprime un score en centiles. Dans la réalité, chaque entreprise sera comparée à un échantillon représentatif d’entreprises ayant un profil semblable et appartenant au même secteur d’activité économique, et cela pour chacun des 11 types de défaillances générales. La distribution par centiles a été calculée à partir de mai 1995 et varie quelque peu dans le temps. Comment mesurer le «niveau de contrôle»Répondez aux 20 questions posées tenant compte de la situation dans votre propre entreprise et des délais qu’elles mentionnent. Certaines questions ne s’appliquent peut-être pas à votre situation: dans ce cas, indiquez «n.p.». Si vous ne pouvez répondre à une question, indiquez-le par un point d’interrogation (?). Lorsque vous aurez répondu à toutes les questions, comparez vos réponses aux réponses de référence. Chaque réponse «correcte» vaut 1 point. Totalisez vos points. Calculez le pourcentage de réponses correctes en divisant le nombre total de points par le nombre des questions auxquelles vous avez répondu «Oui» ou «Non»; les réponses «n.p.» et «?» ne sont pas prises en compte. Le résultat est un pourcentage compris entre 0 et 100. La fiabilité du résultat peut être améliorée en augmentant le nombre des personnes interrogées et en faisant la moyenne de leurs notes. Vingt questions sur la catégorie de défaillances générales «Communication»Réponses possibles: O = Oui; N = Non; n.p. = non pertinent; ? = ne sait pas.
Réponses de référence:1=N; 2=N; 3=N; 4=O; 5=N; 6=N; 7=N; 8=N; 9=N; 10=N; 11=N; 12=N; 13=O; 14=N; 15=N; 16=O; 17=N; 18=N; 19=O; 20=N. Scores pour la catégorie «Communication»Score en pour cent = (a/b) x 100 où a = nombre de réponses correctes et b = nombre de réponses par «O» ou «N».
|
Les indicateurs sont choisis au hasard dans une base de données comportant plusieurs centaines de questions. Chaque grille de recueil de données comprend des questions distinctes, celles-ci étant rédigées de manière à couvrir tous les TDG. Une panne de machine, par exemple, peut être due à une pièce manquante ou à un organe défectueux; ces deux facteurs doivent figurer dans la grille. La distribution des réponses à l’ensemble des questions est connue et les grilles ont le même niveau de difficulté.
On peut dès lors comparer les scores obtenus avec différentes grilles, de même que ceux réalisés par différentes entreprises ou différents services pendant une période déterminée. Des tests de validation détaillés ont été effectués pour faire en sorte que toutes les questions de la base de données soient valables et indicatives du TDG à mesurer. Des scores élevés indiquent un très bon niveau de contrôle. Un score de 70 signifie que l’entreprise fait partie du tiers supérieur (100 moins 70) des entreprises comparables de sa catégorie. Si un score de 100 ne veut pas dire nécessairement que l’entreprise maîtrise parfaitement un TDG donné, il indique néanmoins qu’elle est la meilleure en ce qui concerne ce TDG.
La figure 57.5 illustre deux profils de système de sécurité. Les points faibles de l’entreprise 1, on le voit par les colonnes du diagramme, sont les procédures, l’incompatibilité des objectifs, un milieu de travail propice aux erreurs et le mode d’organisation; le score dans ces catégories est inférieur à la moyenne de l’industrie considérée, comme le montre le grisé. Par contre, les scores concernant le maintien de l’ordre et de la propreté, le matériel, la communication et les moyens de défense sont excellents. A première vue, cette entreprise est dotée de tous les systèmes de sécurité et paraît sûre. Les scores de l’entreprise 2 (en grisé) correspondent exactement à ceux de la moyenne de l’industrie. Cette entreprise ne présente pas de défaut majeur et, bien que ses scores relatifs au matériel, au maintien de l’ordre et de la propreté, à la communication et aux moyens de défense soient plus faibles, elle gère mieux que l’entreprise 1, dans l’ensemble, la composante facteur humain. Si l’on se réfère au modèle de causalité des accidents, l’entreprise 2 est donc plus sûre que l’entreprise 1, bien que cela puisse ne pas être nécessairement la conclusion à laquelle on aboutirait en comparant les deux organisations dans des audits de type conventionnel.
Si une entreprise était appelée à décider comment répartir ses ressources, les éléments ayant obtenu un score inférieur à la moyenne devraient avoir la priorité. Toutefois, le fait que les autres éléments ont un score supérieur à la moyenne ne veut pas dire que l’on peut réduire les ressources affectées à leur maintien, car ce sont probablement ces ressources qui ont contribué aux bons résultats obtenus dans les domaines considérés.
Un tour d’horizon des travaux consacrés au facteur humain dans les accidents a permis de dégager six moyens permettant d’influer sur le comportement humain. Un seul d’entre eux, la modification du milieu de travail pour réduire le nombre de situations dans lesquelles les travailleurs sont susceptibles de commettre une erreur, a des effets relativement positifs dans une entreprise bien organisée où beaucoup d’autres expériences ont déjà été tentées. Les dirigeants devraient avoir le courage de reconnaître que des situations de ce genre existent et de mobiliser les ressources né-cessaires pour opérer les changements requis. Les cinq autres moyens ne sont pas des alternatives valables, car ils n’ont que peu ou pas d’effets et leur application est onéreuse.
«Maîtriser ce qui peut l’être» est la règle d’or de l’approche étudiée dans le présent article. Les différents TDG doivent être identifiés, traités et éliminés. Les 11 TDG passés en revue représentent les 11 catégories de défaillances qui peuvent intervenir dans le processus de causalité des accidents; sur ce nombre, 10 visent à prévenir des perturbations de type opérationnel, et un (les moyens de défense) à empêcher qu’une ou que plusieurs perturbations ne se transforment en accidents. L’élimination de l’impact des TDG a une incidence directe sur la réduction des causes possibles d’accidents. Les questions des grilles de recueil de données sont destinées à évaluer «l’état de santé» d’un TDG donné, tant d’un point de vue général que sous l’angle de la sécurité. Celle-ci est une partie intégrante de l’activité productive; en d’autres termes, le travail doit être fait en respectant les règles. Cette conception rejoint les nouvelles approches du management axées sur la qualité. L’existence de stratégies, de procédures et d’outils de management n’est pas la préoccupation première de la gestion de la sécurité: la question est bien plutôt de savoir si ces méthodes sont effectivement comprises, utilisées et respectées.
La démarche décrite dans le présent article met l’accent sur des facteurs systémiques et sur l’impact que les décisions des dirigeants ne manquent pas d’avoir sur la sécurité du travail. Elle va à l’encontre de la croyance selon laquelle les efforts devraient être axés sur les auteurs d’actes indésirés, sur leurs attitudes, leurs motivations et leur perception du risque.
L’article traite des risques spécifiques liés au matériel, c’est-à-dire aux installations, machines et outillages utilisés dans l’industrie: récipients sous pression, machines-outils, installations électriques et autres équipements intrinsèquement dangereux. Il n’abordera pas les risques liés aux actes et au comportement des travailleurs: chutes de hauteur ou de plain-pied, blessures occasionnées par des outils ordinaires, etc.
Les matériels de qualité sont très fiables, et la plupart de leurs défaillances sont dues à des causes extérieures: incendie, corrosion, mauvaise utilisation, etc. Il n’en reste pas moins qu’ils peuvent être mis en cause dans certains accidents, car une pièce ou un composant défectueux est souvent le maillon le plus évident ou le plus visible dans la chaîne des événements. Bien que le mot matériel soit employé ici au sens large, les exemples ci-après de défaillances de matériel ont été tirés d’activités industrielles. Les enquêtes consécutives à un accident matériel portent souvent sur des équipements du type:
Les risques liés au matériel peuvent provenir d’erreurs de construction, d’un usage erroné, de surcharges répétées, etc.; selon les conclusions de l’analyse, les mesures de prévention peuvent s’orienter dans différentes directions. Il arrive cependant que des formes d’énergie physique ou chimique échappent au contrôle humain et soient à l’origine d’accidents majeurs. Il importe dès lors de ne pas négliger ce type de risques et, pour ce faire, de répertorier dans toute installation les sources d’énergie existantes ou potentielles — par exemple la présence de chlore ou d’ammoniac dans un récipient sous pression. D’autres méthodes prennent comme point de départ la finalité ou la fonction du matériel pour étudier les effets probables d’un dysfonctionnement ou d’une panne.
Parallèlement aux concepts «d’énergie contrôlée» et de «fonction prévue», le cas des substances dangereuses doit être étudié de manière approfondie. On peut en effet avoir affaire à des matières qui, en certaines circonstances, donnent lieu à des réactions non contrôlées et à des émissions extrêmement toxiques. C’est le cas de la dioxine, par exemple, qui peut prendre naissance dans certains processus chimiques ou résulter d’une oxydation rapide provoquée par le feu.
Les risques liés aux matériels ne sont pas seulement mécaniques ou électriques: ils comprennent également des facteurs de surcharge ou de stress qui peuvent être nocifs à long terme. Citons par exemple:
Ces risques peuvent être identifiés, et des mesures prises pour les contrôler, car les conditions dangereuses existent déjà. Elles ne dépendent ni d’une modification structurelle du matériel susceptible d’avoir des conséquences graves, ni d’un événement imprévu capable de provoquer des dommages matériels ou corporels. Les risques à long terme ont également des sources spécifiques dans l’environnement industriel, mais ils doivent être identifiés et évalués en observant les opérateurs et leur travail et pas seulement en analysant les spécifications et le fonctionnement des matériels qu’ils utilisent.
Les risques liés à des machines ou des matériels dangereux sont en général exceptionnels dans un environnement de travail bien conçu, mais ils ne peuvent être complètement exclus. Plusieurs formes d’énergies non contrôlées peuvent prendre naissance à la suite d’un dysfonctionnement du matériel:
Objets en mouvement . Les chutes et projections d’objets, les pertes de fluide et les projections de liquide ou de vapeur sont souvent les premiers signes tangibles du dysfonctionnement d’un matériel ou d’une machine; ils sont à l’origine d’un grand nombre d’accidents.
Substances chimiques . Les risques chimiques sont souvent à l’origine d’accidents du travail, mais ils peuvent aussi toucher l’environnement et le grand public. Les catastrophes de Seveso et de Bhopal ont donné lieu à des émanations chimiques qui ont affecté de très nombreux habitants. Il n’est pas rare qu’un incendie ou une explosion survenus dans une usine libère des substances toxiques dans l’atmosphère. Les accidents de la circulation dans lesquels sont impliqués des camions-citernes transportant de l’essence ou des produits chimiques dangereux associent deux éléments de risque: des objets mobiles et des substances chimiques.
Energie électromagnétique. Les champs électriques et magnétiques, les rayonnements X et gamma sont des manifestations électromagnétiques mais sont souvent étudiés séparément, car on les rencontre dans des circonstances très différentes. Les risques qu’ils présentent ont ceci de commun que les champs et les rayonnements pénètrent dans l’organisme et n’agissent pas seulement au point de contact avec le corps; par ailleurs, ils ne peuvent être détectés directement par les sens, bien que de très fortes intensités provoquent un échauffement local. Les champs électriques dépendent de la tension mise en œuvre; des tensions ordinaires (200 ou 300 volts) peuvent provoquer avec le temps une accumulation de poussières qui matérialise la présence d’un champ; on peut le constater avec les lignes haute tension, les tubes cathodiques de téléviseur, les écrans d’ordinateur, etc.
Les champs magnétiques sont créés par le courant électrique; ils peuvent être intenses à proximité des gros moteurs électriques, des postes de soudage à l’arc, des appareils d’électrolyse, etc. Ces champs sont le plus souvent proches de leur source, mais le rayonnement électromagnétique couvre de longues distances, comme le prouvent les ondes radar et radio. Ce rayonnement subit une diffusion, une réflexion et une atténuation lors de son passage dans l’espace et lorsqu’il rencontre des objets, d’autres atmosphères, etc.; il perd donc de son intensité de plusieurs façons.
Le risque électromagnétique a les particularités ci-après:
Rayonnements nucléaires . Les risques associés aux rayonnements nucléaires concernent plus particulièrement le personnel des centrales nucléaires et les travailleurs des installations où sont manipulées des matières nucléaires, telles que les installations de fabrication et de retraitement du combustible, ainsi que les activités de transport et de stockage de matières radioactives. On trouve également des sources de rayonnements nucléaires en médecine (radio-isotopes) et dans certaines industries, dans les instruments de mesure et de contrôle. Les détecteurs d’incendie et de fumée qui utilisent un émetteur de particules alpha comme l’américium (Am) pour surveiller l’atmosphère ambiante sont également des sources de rayonnements ionisants.
Les risques nucléaires sont essentiellement liés à cinq facteurs:
Les risques proviennent des processus radioactifs dans la fission nucléaire et de la désintégration des matières radioactives. Les rayonnements sont émis par les réacteurs, les combustibles nucléaires, les modérateurs, les produits de fission gazeux et par certains matériaux de construction qui ont été rendus radioactifs par les émissions des réacteurs en service.
Autres agents de risque . Parmi les autres agents de risques qui libèrent ou émettent de l’énergie, on trouve:
Un passage soudain ou graduel de l’état normal ou «sûr» à une situation dangereuse peut survenir dans les circonstances ci-après, auxquelles il est possible de faire face par différents moyens (expérience des opérateurs, formation, surveillance, vérification des équipements, etc.):
Une utilisation correcte du matériel ne saurait compenser des défauts de conception ou d’installation; il importe par conséquent de passer en revue l’ensemble du processus, depuis sa conception et sa sélection jusqu’à sa mise en place, son utilisation, sa maintenance et ses vérifications, afin d’en évaluer l’état réel.
Les gaz peuvent être stockés et transportés dans des récipients spéciaux (comme les bouteilles d’oxygène utilisées par les soudeurs). Ils sont souvent comprimés ou liquéfiés, ce qui permet d’accroître la capacité de stockage, mais augmente les risques d’accidents. La principale cause d’accident dans le stockage sous pression est la fissuration soudaine du récipient, ce qui a pour effet:
La gravité de ce type d’accident dépend d’un certain nombre de facteurs:
Le contenu du réservoir pourra s’échapper presque immédiatement (s’il s’agit d’un trou béant) ou progressivement (si l’on est en présence de petites fissures).
Lorsqu’on met au point des modèles pour étudier le comportement des fuites, il faut définir les critères ci-après:
Il est difficile de chiffrer avec précision l’importance d’une fuite lorsque du gaz liquéfié s’échappe d’un réservoir à jet continu puis s’évapore. Evaluer la dispersion du nuage qui en résulte est également difficile: il faut tenir compte des mouvements et de la dispersion des émanations, voir si le gaz forme des nuages visibles ou non et s’il s’élève ou reste plaqué au niveau du sol.
L’hydrogène est un gaz plus léger que l’air. L’ammoniac (NH3, masse moléculaire 17,0) s’élèvera dans une atmosphère ordinaire d’oxygène et d’azote ayant même température et même pression. Le chlore (Cl2, masse moléculaire 70,9) et le butane (C4H10, masse moléculaire 58) font partie des produits chimiques qui, en phase gazeuse, sont plus denses que l’air, même à la température ambiante. L’acétylène (C2H2, masse moléculaire 26,0) a une densité d’environ 0,90 g/l proche de celle de l’air (1,0 g/l), de sorte que, dans le cadre par exemple d’une opération de soudage, une fuite de gaz n’aura ni tendance à s’élever dans l’air, ni à s’accumuler au voisinage du sol; ce gaz, par ailleurs, se mélange facilement à l’air.
L’ammoniac qui s’échappe d’un récipient sous pression sous forme liquide commencera par s’évaporer, c’est-à-dire par se refroidir, avant de se disperser en plusieurs étapes:
Il arrive qu’un nuage de gaz léger ne se forme pas immédiatement à partir d’une fuite de gaz liquide; il peut se former d’abord un nuage de gouttelettes qui reste près du sol. Le mouvement du nuage et sa dilution progressive dans l’atmosphère environnante dépend à la fois des conditions climatiques et des conditions alentour — enceinte confinée, espace ouvert, maisons, circulation, présence de travailleurs, etc.
La défaillance de l’enveloppe d’un récipient sous pression peut avoir des conséquences très diverses: incendie, explosion, asphyxie, intoxication ou suffocation, comme on a pu l’observer dans les accidents impliquant des installations de production et de distribution de gaz (propane, méthane, azote, hydrogène, etc.), des cuves d’ammoniac ou de chlore et des appareils de soudage oxyacétylénique. La cause de la fissure initiale de l’enveloppe influe fortement sur son «comportement» ultérieur, lequel influe à son tour sur celui de la fuite; son identification est donc capitale pour la sécurité. Un récipient sous pression est conçu et construit pour être utilisé dans certaines conditions, supporter certaines contraintes et recevoir un ou plusieurs gaz connus. Ses capacités réelles dépendent de sa forme, des matériaux dont il est fait, de la qualité de ses soudures, de ses dispositifs de sécurité, de son utilisation et des conditions climatiques. L’évaluation de sa capacité à contenir un gaz dangereux doit donc tenir compte de ses caractéristiques structurelles, de son utilisation ainsi que des épreuves et des contrôles qu’il a subis. Ses points vulnérables sont en général les cordons de soudure, les points de connexion des accessoires (raccords, soupapes, vannes de sortie, fixations et instruments), et les extrémités plates des réservoirs cylindriques comme les wagons-citernes. Les cordons de soudure sont contrôlés visuellement, aux rayons X ou par des tests destructifs réalisés sur des échantillons, pour localiser les éventuels points faibles susceptibles de mettre en danger la solidité générale du réservoir ou de déclencher une défaillance soudaine.
La résistance du réservoir dépend aussi de son utilisation, de l’usure normale, des chocs qu’il reçoit et de la corrosion à laquelle il peut être exposé. D’autres paramètres peuvent aussi jouer un rôle:
De ce fait, les matériaux de construction — plaques d’acier ou d’aluminium, béton pour les applications sans pression, etc. — peuvent être endommagés ou subir des sollicitations anormales sans qu’il soit toujours possible de le vérifier sans leur imposer des contraintes excessives ou provoquer leur rupture.
L’explosion en 1974 d’un gros nuage de cyclohexane à Flixborough (Royaume-Uni), qui a fait 28 victimes et des dégâts matériels considérables, est un exemple d’accident particulièrement instructif. Il a été déclenché par la défaillance d’une tuyauterie provisoire d’un réacteur chimique, c’est-à-dire par l’avarie d’un élément matériel. Une enquête plus approfondie a toutefois révélé que la rupture de la tuyauterie avait été provoquée par une surcharge et que l’installation provisoire n’était pas adaptée à l’usage prévu. Deux mois après sa mise en place, cette tuyauterie avait été exposée à une flexion anormale, due à une légère élévation de la pression de 10 bars (106 Pa) du cyclohexane à une température d’environ 150 °C. Les deux soufflets reliant la tuyauterie au réacteur ont explosé, laissant échapper 30 à 50 tonnes de cyclohexane bientôt enflammé, sans doute par la chaleur d’un four voisin (voir figure 57.6). Kletz (1988) a fait un compte rendu détaillé de l’accident.
Les méthodes utilisées pour identifier et évaluer les risques que peuvent présenter une installation, une machine, un processus chimique ou une opération particulière permettent d’effectuer une «analyse des risques». Ces méthodes sont basées sur des questions telles que: «Quel problème peut surgir?», «Quelle peut être sa gravité?», «Quelles solutions appliquer?». On combine souvent plusieurs méthodes d’analyse pour couvrir un nombre raisonnable de risques, mais cela ne peut qu’aider et guider les spécialistes. Les principales difficultés de l’analyse des risques sont:
Pour parvenir dans ces circonstances à une évaluation fiable, il importe de délimiter avec la plus grande rigueur le champ de l’analyse et le niveau de précision que l’on se propose d’atteindre; il est évident qu’il n’est pas nécessaire de réunir le même genre et la même quantité d’informations selon qu’il s’agit de conclure une police d’assurance ou de procéder à l’étude d’une installation complexe, de dispositifs de sécurité ou de mesures d’urgence. En règle générale, les risques doivent être étudiés en associant des techniques empiriques (des statistiques, par exemple), un raisonnement déductif et de l’imagination.
Plusieurs outils d’évaluation des risques, voire certains logiciels d’analyse des risques, peuvent s’avérer très utiles. Les méthodes HAZOP (analyse des écarts dangereux et des actions correctives) et AMDEC (analyse des modes de défaillance des composants, de leurs effets sur le système et de leur criticité) sont très utilisées pour analyser les risques, notamment dans l’industrie chimique. La méthode HAZOP est fondée sur l’analyse des causes des écarts possibles à partir d’un ensemble de paramètres (pression, température, débit, etc.); le but est d’identifier ces causes et de mettre en évidence leurs conséquences probables pour chaque cas de figure. Dans un deuxième temps, on cherche les moyens de réduire la probabilité d’apparition des scénarios étudiés et d’en atténuer les conséquences inacceptables. Charsley (1995) a décrit la méthode en détail. La méthode AMDEC, de son côté, consiste à étudier systématiquement chacun des composants du système considéré, à analyser chacun de ses modes de défaillance possibles et à identifier les conséquences qu’ils peuvent avoir pour le système lui-même et son environnement. L’application de cette méthode sera illustrée plus loin par un exemple.
Les arbres des fautes (appelés aussi arbres de défaillance, arbres de pannes ou encore des événements indésirables) et les modes d’analyse logique des structures de causalité des accidents, ainsi que le calcul des probabilités, ne sont pas des méthodes spécifiquement appliquées à l’analyse des risques matériels: ce sont des outils généraux qui servent à évaluer les risques des systèmes.
Pour identifier les risques possibles, on doit rassembler tout d’abord des informations sur les ouvrages (systèmes) et leur fonctionnement en étudiant:
Grâce à ces informations, les analystes établissent le profil de l’objet du risque, de ses fonctions et de son utilisation réelle. Lorsque l’objet en question n’est pas encore construit ou ne peut être contrôlé, aucune observation significative ne peut être réalisée et l’évaluation repose alors entièrement sur des descriptions, des performances annoncées et des plans. Cela peut sembler insuffisant mais, dans la pratique, la plupart des évaluations de risques sont faites de cette manière, qu’il s’agisse d’obtenir l’autorisation d’entreprendre une nouvelle construction ou de comparer la sécurité relative d’une ou de plusieurs variantes. Les processus déjà exploités seront étudiés pour réunir les informations qui ne figurent pas sur les diagrammes théoriques ou des renseignements qui peuvent être obtenus oralement, et pour vérifier que les données provenant de ces sources sont factuelles et correspondent bien à la réalité. On s’informera en particulier sur:
La plus grande partie de ces informations (celles plus spécialement qui visent les interactions) ne peuvent être réunies que par des observateurs entraînés, expérimentés et doués d’imagination; certaines d’entre elles sont presque impossibles à extraire des schémas et des diagrammes. Des interactions involontaires ou imprévues entre différents systèmes apparaissent lorsque le fonctionnement de l’un d’entre eux affecte l’état ou le fonctionnement des autres par un autre biais que celui de leur fonction. C’est souvent le cas lorsque des éléments ayant des fonctions différentes sont situés à proximité les uns des autres (lorsqu’une fuite, par exemple, provoque l’écoulement d’une substance sur les éléments situés au-dessous et occasionne une panne). On rencontre aussi des interactions de cette nature lorsque des corps étrangers ou des pièces inadaptées sont introduits dans un système au moyen d’instruments ou d’outils en cours de fonctionnement ou durant les travaux de maintenance, entraînant des modifications structurelles ou des dysfonctionnements. Par causes communes de défaillances , on entend les situations — inondation, foudre, panne d’électricité, etc. — qui peuvent perturber simultanément plusieurs systèmes et, éventuellement, provoquer une panne générale ou un accident. En général, on essaie d’éviter les conséquences des interactions considérées et des causes communes de défaillances en prévoyant des mesures spéciales ou en isolant convenablement les différentes opérations.
La figure 57.7 représente un terminal de transvasement de gaz entre un navire et un réservoir. Des fuites pourraient se produire n’importe où: navire, tuyauterie de transvasement, réservoir, canalisations d’entrée et de sortie; l’installation comportant en fait deux réservoirs, une fuite pourrait durer des heures.
Les éléments les plus vulnérables du dispositif de l’installation sont:
Tout réservoir contenant une grande quantité de gaz liquide est placé en tête de cette liste, car une fuite à ce niveau serait difficilement colmatable. Le deuxième poste de la liste — la connexion avec le navire — est critique, car une fuite survenant dans la tuyauterie ou au droit des joints de raccordement peut provoquer des écoulements dangereux, surtout si leurs garnitures sont usées. Quant aux pièces souples comme les tuyaux flexibles et les soufflets, elles sont plus délicates que les pièces rigides et doivent être entretenues régulièrement et contrôlées avec soin. Les dispositifs de sécurité sont importants eux aussi, car ils peuvent révéler des défaillances latentes ou à venir.
Jusqu’ici, la classification des composants du système par ordre d’importance en termes de fiabilité est restée générale. Pour approfondir l’analyse, on s’intéressera maintenant aux différentes fonctions du système, dont la première est le transvasement du gaz liquide du navire au réservoir. Le risque majeur est constitué ici par les fuites; les mécanismes qui risquent de les déclencher sont notamment:
Le principe de base de cette méthode est d’identifier de manière précise les modes de défaillance de chaque composant du système et de déterminer les conséquences de chaque défaillance pour le système lui-même et pour l’environnement. Pour des composants classiques comme un réservoir, un tuyau, une pompe, un manomètre, etc., les modes de défaillance répondent à des schémas généraux. Dans le cas d’une vanne, par exemple, ils peuvent être les suivants:
Les conséquences des fuites semblent évidentes, mais les plus importantes ne sont pas toujours les plus apparentes: que se passe-t-il, par exemple, si une vanne se bloque en position semi-ouverte? Une vanne de régulation qui ne s’ouvre pas complètement lorsqu’elle est actionnée retardera le remplissage du réservoir, ce qui est sans danger. En revanche, si la vanne reste dans cette position lorsque le mécanisme de fermeture est actionné alors que le réservoir est plein, celui-ci pourra déborder (à moins que la vanne de sécurité ait fonctionné). Dans un système bien conçu et fonctionnant correctement, la probabilité que ces deux vannes soient bloquées simultanément est faible.
Une soupape de sécurité qui ne fonctionne pas au moment voulu peut provoquer une catastrophe; on peut même dire que les défaillances latentes sont une menace constante pour tous les systèmes de sécurité. Une soupape de ce type peut être endommagée par la corrosion, des impuretés ou de la peinture (généralement à cause d’un défaut d’entretien); dans le cas d’un gaz liquide, ces défauts (associés à la chute de température provoquée par la fuite) peuvent entraîner la formation de glace et freiner ou interrompre l’écoulement par une soupape de sécurité. La pression montera dans le réservoir et les installations connexes et pourra provoquer d’autres fuites ou l’explosion du réservoir.
Pour des raisons de simplicité, les instruments de contrôle n’ont pas été indiqués sur la figure 57.7; l’installation comporte bien entendu des instruments de mesure de la pression, du débit et de la température; ces paramètres sont indispensables pour connaître et surveiller l’état de l’installation. Celle-ci possède également d’autres sources d’alimentation en énergie que celles utilisées pour le transvasement: électricité, circuits hydrauliques, dispositifs de sécurité additionnels. Une analyse complète doit évidemment englober ces éléments et en rechercher les modes de défaillances et leurs conséquences. En ce qui concerne notamment les causes communes de défaillances et les interactions involontaires ou imprévues, l’analyse doit porter sur tous les composants du système principal, les dispositifs de commande et de contrôle, les instruments, l’alimentation en énergie, les opérateurs, les programmes de travail, la maintenance, etc.
Les conséquences des causes communes de défaillances des systèmes de transport de gaz peuvent être identifiées à l’aide des questions suivantes:
Même s’il a été bien conçu, s’il est équipé de lignes d’alimentation indépendantes, un système peut pâtir d’un défaut de maintenance; c’est le cas, par exemple, lorsqu’une vanne et son système de sécurité (la soupape de sécurité) n’ont pas été ramenés à leur position normale après un contrôle. Dans un système de transvasement d’ammoniac, une fuite mineure peut entraver les interventions manuelles sur les composants de l’installation en raison de la mise en place d’un système de protection d’urgence.
Le matériel est rarement responsable du déclenchement d’un accident. Les causes profondes doivent être recherchées dans d’autres maillons de la chaîne causale: erreurs de conception, défauts de maintenance, erreurs humaines, erreurs de management, etc. Nous avons déjà donné plusieurs exemples de conditions et d’actions qui peuvent être à l’origine de défaillances; on peut, en récapitulant, mentionner notamment:
La maîtrise des risques liés aux matériels appelle l’identification de toutes les causes possibles et de toutes les conditions susceptibles d’entraîner une situation critique. Les implications de cette obligation pour l’organisation des programmes de gestion des risques seront abordées dans d’autres articles.
L’industrialisation a entraîné une réorganisation profonde du travail en usine à partir du moment où l’on a pu disposer de sources d’énergie mécanique (vapeur, etc.). Par rapport au travail artisanal traditionnel, la production mécanisée à l’aide de sources d’énergie plus puissantes a fait apparaître de nouveaux risques d’accidents. Les travailleurs ont peu à peu cessé d’exercer un contrôle direct sur ces sources d’énergie, les décisions en matière de sécurité étant prises le plus souvent par la direction et non par les personnes directement exposées au risque. C’est à ce stade de l’industrialisation qu’est apparue la nécessité de gérer la sécurité.
A la fin des années vingt, Heinrich a proposé le premier cadre théorique de la gestion de la sécurité fondé sur le principe que les efforts de prévention devaient être guidés par des décisions fondées sur l’identification et l’analyse des causes d’accidents. A cette époque, les accidents étaient attribués à des défaillances dans le système opérateur-machine; en d’autres termes, à des conditions et à des actes dangereux ou indésirés.
Par la suite, diverses méthodes ont été élaborées pour identifier et évaluer les risques d’accidents. La méthode MORT (Management Oversight and Risk Tree), mise au point à la fin des années soixante par l’Administration américaine de recherche et de développement pour l’énergie (US Energy Research and Development Administration) met l’accent sur la maîtrise des risques d’accidents au niveau supérieur, c’est-à-dire au niveau de la direction.
La méthode MORT se proposait de formuler un système idéal de gestion de la sécurité en faisant la synthèse des meilleurs éléments des programmes existants et des meilleures techniques de gestion dans ce domaine. Les principes sous-jacents de la méthode ont été appliqués aux connaissances dont on disposait alors, ce qui explique que les travaux disparates et les compétences éparses existant à l’époque faisaient allusion à un modèle ramifié, l’arbre d’analyse. La première version de cet arbre a été publiée en 1971. La figure 57.8 représente les principaux éléments de la version qu’en a présentée Johnson en 1980. Des modèles arborescents similaires apparaissent également dans des publications ultérieures sous une forme modifiée du concept MORT (voir, par exemple, Knox et Eicher, 1992).
Le diagramme MORT est un outil d’analyse utilisé dans les enquêtes menées après un accident et dans l’évaluation des programmes de prévention. Au sommet de l’arbre représenté dans la figure 57.8 (Johnson, 1980), on trouve les diverses pertes (réelles ou possibles) occasionnées par un accident. Au niveau suivant, trois branches principales font mention des négligences et omissions spécifiques (S), des négligences et omissions dans la gestion (M) et des risques assumés (R). La branche R regroupe les risques assumés, c’est-à-dire les situations et les événements connus de la direction qui ont été évalués et acceptés au niveau hiérarchique compétent. Les autres situations et événements révélés par l’analyse et appartenant aux branches S et M sont considérés comme «non adéquats» (NA).
La branche S concerne les événements et les situations de l’accident réel ou potentiel (en général, les temps se lisent horizontalement, de gauche à droite, et les causes, verticalement, de bas en haut). Les stratégies de Haddon (1980) jouent ici un rôle clé. Un événement est qualifié d’accident lorsqu’une cible (une personne ou un objet) est exposée à un transfert d’énergie non maîtrisé et subit des dommages (corporels ou matériels). Dans la branche S du diagramme MORT, la prévention est assurée par des barrières; il en existe trois grandes catégories: 1) celles qui entourent et isolent la source d’énergie (le risque); 2) celles qui protègent la cible; et 3) celles qui séparent le risque de la cible, physiquement, dans le temps ou dans l’espace. Ces différents types de barrières se retrouvent dans les branches inférieures de l’arbre. La case «Amélioration» désigne les mesures prises après l’accident pour limiter les pertes. Le niveau inférieur de la branche S a trait aux facteurs qui ont un rapport avec les différentes phases du cycle de vie d’un système industriel. Ce sont les phases de conception (information, études et plans), de mise en service (entrée en activité) et d’exploitation (maintenance, surveillance et haute surveillance).
La branche M sous-tend un processus de généralisation des conclusions spécifiques de l’enquête ou de l’évaluation du programme de prévention. Les situations et les événements de la branche S ont souvent leur contrepartie dans la branche M. Lorsqu’ils abordent la branche M, les analystes étendent leur raisonnement à l’ensemble du système de management. Ainsi, leurs recommandations pourront s’appliquer également à d’autres scénarios d’accidents. C’est dans la branche M que l’on trouve les fonctions les plus importantes de la gestion de la sécurité: la définition de la stratégie, sa mise en œuvre et son suivi. Ces mêmes éléments de base se retrouvent dans les principes d’assurance qualité des normes de la série ISO 9000 (ISO, 1993-1997) publiées par l’Organisation internationale de normalisation (ISO).
Lorsque les branches du diagramme MORT ont une ramification plus poussée, on y trouve des éléments relevant de domaines très différents comme l’analyse des risques, l’analyse des facteurs humains, l’analyse organisationnelle et les systèmes d’information sur la sécurité. Dans sa totalité, le diagramme MORT couvre environ 1 500 facteurs élémentaires.
Rappelons que le diagramme MORT a deux applications immédiates (Knox et Eicher, 1992): 1) analyser le rôle du management et les facteurs organisationnels après un accident; et 2) évaluer un programme de sécurité ou procéder à son audit en vue de prévenir un accident. C’est un outil de dépistage dans la planification des analyses et des évaluations. Il sert également de grille de recueil de données pour comparer un système existant à un système idéal. Dans ce cas, le diagramme MORT permet de s’assurer que l’analyse est complète et d’écarter les a priori et les préjugés personnels.
La méthode MORT repose essentiellement sur un ensemble de questions. Les critères qui permettent de déterminer si tel ou tel événement ou situation sont satisfaisants ou non sont dérivés de ces questions. Malgré le caractère directif des questions, le jugement des analystes est en partie subjectif. Il importe donc de veiller à ce qu’il y ait un niveau de qualité et de subjectivité commun et adéquat entre les analyses MORT faites par des personnes différentes. Aux Etats-Unis, il existe un programme de certification pour les analystes MORT.
Il existe peu de publications sur l’évaluation de la méthode MORT. Johnson fait état d’améliorations importantes constatées dans la qualité des enquêtes après accidents suite à l’apparition de cette méthode (Johnson, 1980). Les carences qui se situent au niveau des cadres et de la direction sont mises en évidence de façon plus systématique. Des évaluations sur les applications de la méthode dans l’industrie finlandaise (Ruuhilehto, 1993) ont également apporté de nombreux enseignements et permis d’identifier certaines limites. Ainsi, la méthode MORT ne permet pas de reconnaître les risques immédiats entraînés par les défaillances et les perturbations; de plus, elle ne permet pas d’ordonner les priorités. Les résultats des analyses MORT requièrent par conséquent une analyse supplémentaire pour pouvoir être traduits en actions correctives. Enfin, l’expérience montre que c’est un exercice qui prend beaucoup de temps et qui est réservé à des spécialistes.
En dehors du fait qu’elle met l’accent sur le management et les facteurs organisationnels, la méthode MORT a l’avantage d’associer la sécurité aux activités ordinaires de production et de gestion. En facilitant la planification et le contrôle d’ensemble, elle contribue à réduire la fréquence des perturbations dans le processus de production.
Un programme de développement a été lancé aux Etats-Unis dès l’introduction du concept MORT au début des années soixante-dix. Le Centre de recherche sur la sécurité des systèmes (System Safety Development Center), à Idaho Falls, a été l’élément moteur de ce programme, qui a donné naissance à différentes méthodes et techniques inspirées de MORT dans des domaines comme l’analyse des facteurs humains, les systèmes d’information sur la sécurité et l’analyse de la sécurité. Le programme de préparation opérationnelle (Nertney, 1975) en est un exemple. Ce programme est appliqué dans l’étude des nouveaux systèmes industriels et des modifications à apporter aux systèmes existants. Son but est de veiller à ce que, du point de vue de la gestion de la sécurité, tout système nouvellement créé ou modifié soit prêt à fonctionner sans aléas au moment de sa mise en service. Il faut pour cela que les barrières et mécanismes de contrôle nécessaires aient été intégrés au niveau des matériels, des opérateurs et des procédures. Un autre exemple de programme inspiré par MORT est l’analyse des causes profondes (Cornelison, 1989), qui sert à identifier les problèmes fondamentaux d’une entreprise en matière de gestion de la sécurité. Pour ce faire, les conclusions des analyses MORT sont ramenées à 27 problèmes génériques de sécurité.
Bien que la méthode MORT ne soit pas destinée à servir directement la collecte d’informations à l’occasion des enquêtes sur les accidents et des audits de sécurité, les questions qui en forment l’ossature ont été utilisées en Scandinavie pour créer un outil de diagnostic utilisé dans ce but précis: SMORT (Safety Management and Organization Review Technique); il s’agit d’une technique d’examen de la gestion et de l’organisation de la sécurité (Kjellén et Tinmannsvik, 1989). Une analyse SMORT suit un ordre inverse: elle part du cas d’espèce pour remonter jusqu’au niveau du management. Le point de départ (niveau 1) est un accident ou un risque potentiel. L’organisation, la planification et les facteurs techniques relatifs aux activités quotidiennes sont examinés au niveau 2. Les autres niveaux concernent la conception des nouveaux systèmes (niveau 3) et les fonctions de management aux échelons supérieurs (niveau 4). Les données recueillies à chaque niveau sont étendues aux niveaux situés en amont. Ainsi, les observations relatives au déroulement de l’accident et aux activités quotidiennes de l’entreprise servent à analyser les méthodes appliquées au stade des projets (niveau 3). Les conclusions tirées à ce niveau 3 n’auront pas d’incidence sur la sécurité des systèmes existants, mais elles pourront orienter la planification des nouveaux systèmes et conduire à la modification de ceux qui sont en place. SMORT se distingue également de MORT par le mode de reconnaissance des données. Au niveau 1, celles-ci portent sur les événements et les situations qui révèlent des écarts. Lorsque les facteurs organisationnels et de gestion sont introduits dans l’analyse aux niveaux 2 à 4, les conclusions sont formulées sur la base des jugements de valeur portés par un groupe d’analystes et vérifiés par une procédure de contrôle qualité. Le but est de faire en sorte que tous les acteurs aient la même vision des problèmes organisationnels.
La méthode MORT a joué un rôle clé dans l’évolution de la gestion de la sécurité depuis les années soixante-dix. On retrouve son influence dans les études sur la sécurité, les ouvrages consacrés à la gestion de la sécurité, les outils d’audit et la législation sur l’autoréglementation et le contrôle interne. En dépit de l’impact qu’elle a pu avoir, ses limites ne sauraient être ignorées. MORT et les méthodes qui s’en inspirent sont normatives dans le sens où elles indiquent comment les programmes de gestion de la sécurité devraient être organisés et mis en œuvre. L’idéal consiste évidemment en une organisation bien structurée, avec des objectifs précis et réalistes et des lignes de responsabilité et d’autorité bien définies. De ce fait, MORT convient surtout aux entreprises de grande taille.
L’audit a été défini comme un «processus structuré de collecte d’informations indépendantes sur la performance, l’efficacité et la fiabilité d’un système global de gestion de la sécurité et de planification des actions correctives» (Health and Safety Executive, 1991).
L’inspection des lieux de travail n’est donc pas seulement la dernière étape d’un programme de gestion de la sécurité, mais également un moyen de veiller constamment à sa bonne marche. Elle ne peut s’exercer en l’absence d’un système structuré de gestion de la sécurité. Un tel système doit reposer sur un énoncé officiel de la politique et des orientations définies par la direction en vue de créer un milieu de travail offrant des conditions de sécurité et de santé satisfaisantes et de mettre sur pied au sein de l’entreprise les structures et les mécanismes qui permettront d’appliquer cette politique de manière efficace. La direction doit par ailleurs être prête à fournir les ressources, tant humaines que financières, indispensables au bon fonctionnement de ces structures et de ces mécanismes. Il faudra encore dresser des plans détaillés en matière de sécurité et de santé et définir des objectifs qui soient mesurables. Il faudra en effet pouvoir évaluer les résultats par rapport à des normes établies et aux résultats antérieurs. Ce n’est que lorsque ces moyens seront en place et opérationnels, et après cela seulement, qu’un système d’audit pourra être mis sur pied.
Dans le cas d’entreprises d’une certaine importance, des programmes satisfaisants de gestion de la sécurité pourront être conçus, précisés et mis en œuvre avec les moyens internes. Des programmes de cette nature pourront aussi être proposés par des sociétés de conseil, des compagnies d’assurances, des organismes publics, des associations et des firmes spécialisées. Il appartiendra à chaque entreprise de décider si elle veut définir son propre programme ou faire appel à des concours extérieurs. Les deux options pourront donner d’excellents résultats si les dirigeants s’engagent réellement à appliquer avec diligence celle qu’ils auront choisie. Le succès dépendra largement de la qualité du système d’audit.
Le contrôle de la gestion du programme de sécurité doit être aussi minutieux et objectif que celui exercé dans le domaine financier. Il faut déterminer en premier lieu si la politique et les orientations définies en matière de sécurité et de santé se reflètent bien dans les structures et les mécanismes créés pour leur mise en œuvre; dans le cas contraire, les principes et les objectifs énoncés doivent être revus, et des ajustements apportés le cas échéant aux structures et aux mécanismes existants. Une approche similaire doit être suivie en ce qui concerne les plans établis, la validité des critères de définition des objectifs et la mesure de la performance. Les résultats des contrôles seront transmis à la direction de l’entreprise, qui devra les étudier et prendre ou approuver toutes les mesures correctives qui s’imposent et veiller à ce qu’elles soient appliquées.
Il est souvent impossible en pratique et parfois même peu souhaitable de procéder simultanément à un examen exhaustif de tous les éléments d’un programme de sécurité et d’en vérifier l’application. Le plus souvent, les contrôles porteront soit sur un certain aspect du programme au niveau de l’entreprise, soit sur l’application de l’ensemble du programme dans un seul service, l’objectif général étant cependant de contrôler tous les éléments du programme dans l’ensemble des services au cours d’une période raisonnable, afin de valider les résultats obtenus.
Envisagé sous cet angle, le contrôle devrait être considéré comme un processus continu. Il est essentiel qu’il soit toujours objectif. S’il est assuré par l’entreprise elle-même, il faut prévoir une procédure standard. L’opération devrait être confiée à des personnes ayant reçu une formation spécifique; on ne leur demandera pas de contrôler leur propre service ou tout autre service avec lesquels elles pourraient avoir des liens personnels. Cette dernière condition disparaît généralement lorsque le contrôle est confié à des consultants extérieurs.
Nombre de grandes entreprises ont adopté un programme de ce type, qu’elles ont mis au point elles-mêmes ou emprunté à l’extérieur. L’application judicieuse et rigoureuse de ses divers éléments devrait se traduire par une réduction importante du nombre d’accidents — ce qui est l’objectif premier de l’exercice — et par une amélioration de la rentabilité — qui en est un effet secondaire.
Le cadre juridique destiné à assurer la protection des travailleurs sur les lieux de travail doit évidemment être géré et appliqué efficacement pour que la législation atteigne son but. La plupart des pays ont instauré à cette fin des services d’inspection chargés de veiller au respect de la législation de sécurité et de santé au travail. Dans plusieurs pays, ces questions relèvent des conventions collectives régissant les relations professionnelles, les salaires, les congés ou les prestations sociales. Dans de nombreux cas, le contrôle des conditions de sécurité fait partie des tâches confiées aux inspecteurs des services officiels, mais il peut aussi être assuré par des inspecteurs spécialisés. D’autres différences apparaissent dans la répartition des tâches entre les services centraux et les services régionaux. En Italie et au Royaume-Uni, les tâches relèvent des deux. Quel que soit le modèle adopté, la principale fonction d’un service officiel d’inspection est de veiller au respect de la législation par une série d’enquêtes et de contrôles menés sur les lieux de travail.
Aucun service d’inspection ne saurait être efficace si ses agents ne disposent pas des pouvoirs nécessaires pour mener leur mission à bien. On constate beaucoup de points communs entre ces services quant aux pouvoirs qui leur sont conférés par le législateur. Ils ont le droit de pénétrer sans préavis dans les entreprises, ce qui est évidemment essentiel pour tout contrôle digne de ce nom. Ils ont également le droit d’examiner les documents, registres et rapports pertinents, d’interroger les travailleurs individuellement ou collectivement, de s’entretenir librement avec les responsables syndicaux, de prélever des échantillons de matières et de produits, de prendre des photographies et, le cas échéant, de recueillir sur place des déclarations écrites émanant du personnel.
Les inspecteurs sont souvent dotés de pouvoirs additionnels leur permettant de remédier à des situations susceptibles de constituer un danger imminent et grave pour la vie ou la santé des travailleurs. Là encore, les méthodes utilisées sont très diverses. Lorsque la situation est si dégradée qu’elle présente un danger imminent, l’inspecteur peut ordonner l’arrêt immédiat de la machine, de l’installation ou de l’opération incriminée jusqu’à ce que le risque ait été éliminé. Lorsque la situation est moins critique, il peut avoir recours à une notification formelle demandant l’application de mesures correctives dans un délai fixé. Il existe, pour améliorer les conditions de travail, des moyens plus efficaces et plus rapides que le recours à une procédure juridique, souvent complexe et lente à déployer ses effets.
Les procédures de ce type occupent une place importante dans la hiérarchie des mesures coercitives. D’aucuns considèrent que ces procédures, strictement punitives, n’entraînent pas nécessairement un changement d’attitude positif à l’égard de la sécurité et devraient dès lors n’être envisagées qu’en dernier ressort, après l’échec des autres actions possibles. D’autres affirment en revanche que l’on doit tenir compte du fait que, lorsque des obligations légales ont été ignorées ou négligées et que la sécurité ou la santé des personnes ont été mises en danger, la loi doit être appliquée et les tribunaux doivent intervenir. Pour certains, enfin, les entreprises qui n’appliquent pas les prescriptions en vigueur sont avantagées par rapport à ceux de leurs concurrents qui se donnent les moyens de le faire. Sanctionner les entreprises qui enfreignent la loi devrait donc dissuader celles qui ne sont pas scrupuleuses et encourager celles qui respectent la loi.
Il convient de réaliser un juste équilibre entre le rôle consultatif et le rôle répressif de tout service officiel d’inspection. Les petites entreprises posent un problème particulier. Les économies locales, parfois même nationales, vivent souvent de l’activité d’entreprises employant moins de 20 personnes; dans l’agriculture, l’effectif moyen est bien inférieur. Dans ces conditions, il appartient aux services d’inspection de profiter de leur présence sur place pour dispenser des informations et des conseils non seulement sur la teneur et la portée des obligations légales, mais aussi sur les méthodes et les moyens d’en assurer l’application. Il faut encourager et stimuler plutôt que sanctionner. L’équilibre, il faut le reconnaître, n’est pas facile à trouver. Les salariés ont le droit de travailler dans de bonnes conditions de sécurité et de santé, quelle que soit la taille de leur entreprise; il serait peu judicieux pour un service d’inspection d’ignorer ou de minimiser les risques et de renoncer à exiger l’application de la loi simplement pour protéger l’existence d’une petite entreprise financièrement fragile.
Le métier d’inspecteur est complexe: il exige de bonnes connaissances juridiques, techniques et scientifiques et une parfaite ob-jectivité. Il n’est pas possible de remplir convenablement cette mission en adoptant une approche mécaniste. La nécessité de trouver un équilibre délicat entre les fonctions consultative et répressive pose le problème de la cohérence de l’action des services d’inspection. Les employeurs, les syndicats et les travailleurs ont le droit d’attendre que les prescriptions légales et les spécifications techniques soient appliquées de façon cohérente par les inspecteurs du travail, ce qui n’est pas toujours facile dans la pratique.
Plusieurs conditions doivent être remplies pour assurer la cohérence des contrôles. Les inspecteurs doivent formuler aussi clairement que possible leurs critères techniques et les règles d’application de la loi. Grâce à leur formation, et en se référant aux instructions internes de leur service et à l’expérience de leurs collègues, ils devraient être en mesure de reconnaître un problème et d’y apporter une solution. Enfin, la procédure devrait permettre aux entreprises et aux salariés de déposer un recours s’ils ont des griefs légitimes quant au bon déroulement d’une inspection et à la cohérence de ses conclusions.
Quelle doit être la fréquence des inspections? Ici encore, les réponses varient sensiblement. L’Organisation internationale du Travail (OIT) considère que chaque lieu de travail devrait être contrôlé par l’autorité compétente au moins une fois par an. Rares sont en pratique les pays qui peuvent se targuer d’atteindre cet objectif. En effet, depuis la crise économique de la fin des années quatre-vingt, certains gouvernements ont réduit le budget des services d’inspection, ce qui a eu pour conséquence de diminuer leurs effectifs.
Il existe plusieurs façons d’établir la fréquence des inspections. On peut adopter une démarche purement cyclique: les ressources disponibles seront déployées de manière à inspecter chaque entreprise tous les deux ans ou, plus vraisemblablement, tous les quatre ans. Cette méthode, en apparence équitable, a l’inconvénient de mettre sur le même pied toutes les entreprises, quels que soient leur taille et les risques qu’elles présentent. Il existe de toute évidence de grandes disparités entre les entreprises en termes de risques professionnels et l’on peut donc considérer que cette approche mécaniste est imparfaite.
On peut aussi adopter une autre méthode consistant à établir un programme de contrôle basé sur la nature et la gravité des risques: les inspections seront d’autant plus fréquentes que les risques sont plus importants. On concentrera donc les ressources sur les risques potentiels les plus élevés. Séduisante à première vue, cette approche pose quand même des problèmes considérables. Tout d’abord, il est difficile d’évaluer les risques de manière précise et objective. La méthode conduit à trop espacer les contrôles dans les entreprises où les risques, à tort ou à raison, sont jugés plutôt faibles; leurs salariés n’auront plus le même sentiment de sécurité et de protection. Par ailleurs, cette méthode présume que les risques, une fois évalués, ne changent pas radicalement. C’est loin d’être le cas. Une entreprise jugée sûre pourra modifier ses méthodes de travail ou intensifier ses activités, créant des risques nouveaux ou augmentant les risques existants, et cela sans que les services d’inspection aient connaissance de cette évolution.
La périodicité des inspections peut également être fixée en fonction de taux d’accidents supérieurs à la moyenne nationale dans l’industrie considérée. Enfin, des contrôles spéciaux sont effectués après des accidents mortels ou des catastrophes majeures. Il n’y a donc pas de réponse toute prête dans ce domaine. En tout état de cause, les services d’inspection semblent manquer en permanence de moyens dans de nombreux pays, de sorte que la protection qu’ils assurent s’érode peu à peu.
Les techniques de contrôle varient selon la taille et la complexité de l’entreprise. Dans les PME, le contrôle pourra être exhaustif et déterminera l’ensemble des risques potentiels ainsi que les précautions correspondantes. Il permettra de voir si l’employeur est informé des problèmes de sécurité et de santé et s’il bénéficie de conseils appropriés sur la façon d’y remédier. Il importe toutefois que, même dans les entreprises les plus modestes, l’inspecteur ne donne pas l’impression que la recherche des défaillances et l’application de mesures appropriées relèvent de sa responsabilité et non de celle de l’employeur. Les entreprises doivent être incitées à reconnaître et à gérer efficacement les risques sans abdiquer leurs responsabilités et sans attendre d’y être poussées par les services d’inspection.
Dans les grandes entreprises, le but des contrôles est quelque peu différent. Elles ont les moyens techniques et financiers de faire face aux problèmes rencontrés, et il leur appartient de mettre sur pied des structures efficaces et des procédures aptes à en vérifier le bon fonctionnement. Dans ces conditions, les contrôles consisteront essentiellement à vérifier et à valider les systèmes de gestion existants; il ne s’agit pas de s’assurer en détail de la sécurité offerte par chaque machine et chaque installation, mais bien plutôt de tester l’efficacité et la fiabilité des systèmes de gestion mis en place pour assurer les meilleures conditions possibles de sécurité et de santé.
Dans toute entreprise, l’un des éléments essentiels du contrôle est le contact avec les travailleurs. Dans beaucoup de PME, il n’existe pas de syndicat officiel, ni même de syndicat tout court. Le contact avec les salariés n’en demeure pas moins indispensable si l’on veut que le contrôle soit objectif et bien accepté. Dans les grandes entreprises, les inspecteurs devraient toujours se mettre en rapport avec les représentants syndicaux ou les organisations locales de travailleurs. La législation de certains pays (Suède et Royaume-Uni, notamment) donne un statut officiel et des pouvoirs aux délégués des travailleurs à la sécurité et leur reconnaît le droit d’inspecter les lieux de travail, d’enquêter sur les accidents et les situations dangereuses et, dans certains cas exceptionnels, d’arrêter une machine, une installation ou un processus de production s’il présente un danger imminent. Des informations très utiles peuvent être obtenues auprès des salariés. Il importe de les contacter à l’occasion de chaque inspection et, en tout cas, chaque fois qu’un accident grave est survenu ou qu’une plainte a été déposée.
La dernière étape d’un contrôle est l’examen de ses conclusions avec le représentant de la direction qui se trouve sur place et qui occupe le rang le plus élevé. C’est à lui qu’il incombe de veiller au respect des prescriptions de sécurité et de santé. Aucune inspection ne saurait être complète sans que la direction sache dans quelle mesure elle a honoré cette obligation et ce qu’elle doit encore faire pour atteindre ou maintenir un niveau satisfaisant dans ce domaine. En cas d’injonction prononcée ou de procédure juridique engagée à la suite d’une inspection, la direction doit naturellement en être informée dans les meilleurs délais.
Les contrôles internes jouent également un rôle important, quelle que soit la taille de l’entreprise considérée. Dans les grandes entreprises, ils peuvent être intégrés à la procédure de contrôle de la gestion. Il est indispensable, même dans les entreprises plus petites, d’adopter une forme de contrôles réguliers, sans se fier exclusivement aux visites des services officiels, qui sont bien trop peu fréquents et qui servent davantage à encourager l’adoption de mesures appropriées qu’à en évaluer l’efficacité. Des contrôles peuvent également être réalisés par des consultants ou des associations ou sociétés spécialisées, mais nous nous limiterons ici à ceux qui sont effectués par les entreprises elles-mêmes.
Quelle doit être la fréquence de ces contrôles? La réponse dépend, dans une certaine mesure, des risques inhérents à la nature et à la complexité des installations. Même lorsque ces risques sont faibles, il doit y avoir un contrôle régulier (mensuel, trimestriel, etc.), sous une forme ou une autre. Si l’entreprise emploie un ingénieur ou un agent de sécurité, l’organisation et la conduite du contrôle doivent faire partie intégrante de ses fonctions. En règle générale, l’inspection sera confiée à une équipe composée du spécialiste de la sécurité, du responsable de l’unité ou du contremaître, ainsi que d’un représentant syndical ou d’un travailleur qualifié, le délégué à la sécurité par exemple. Le contrôle devrait être exhaustif; tous les matériels devraient faire l’objet d’un examen minutieux (systèmes, procédures, consignes, autorisations de travail, dispositifs de protection, équipement anti-incendie, ventilation des locaux, vêtements et accessoires de protection, etc.). Une attention particulière sera portée aux «quasi-accidents», c’est-à-dire aux incidents dangereux qui n’ont pas provoqué de dommages corporels ou matériels, mais qui sont une source potentielle d’accidents graves. On s’attend, après un accident entraînant un arrêt de travail, à ce qu’une enquête soit immédiatement ouverte sur les circonstances de cet accident, et cela en dehors du cycle normal des contrôles. L’équipe d’inspection devrait cependant noter, à l’occasion des contrôles de routine, les dommages corporels mineurs enregistrés depuis la dernière inspection.
Il est important que ces contrôles n’apparaissent pas comme systématiquement négatifs; s’il y a des fautes, il faut qu’elles soient identifiées et rectifiées. Il est tout aussi important de féliciter les travailleurs qui ont des ateliers propres et en bon ordre et qui sont respectueux des consignes de sécurité. Il faut les encourager à utiliser les équipements de protection individuelle mis à leur disposition. Au terme du contrôle, ses conclusions devraient être consignées par écrit, et les carences significatives notées. On relèvera en particulier les défauts déjà constatés lors des contrôles précédents et qui persistent. S’il existe un comité de sécurité ou une commission paritaire direction-personnel pour la sécurité, le rapport d’inspection sera inclus dans l’ordre du jour de leurs réunions. Il sera transmis à la direction et débattu avec elle afin qu’elle détermine les mesures à prendre et, éventuellement, les autorise et les appuie.
Les contrôles sont importants même pour les petites entreprises qui n’ont ni agent de sécurité ni syndicat. Beaucoup de services officiels d’inspection ont publié des directives exposant de manière simple les concepts de base de la sécurité et de la santé et fournissent des conseils sur leur application. Par ailleurs, de nombreux organismes ou associations de prévention diffusent (souvent gratuitement) des notices et des brochures d’information spécialement destinées aux petites entreprises et qui indiquent comment instaurer de bonnes conditions de sécurité et de santé. Muni de ces informations et en y consacrant un peu de temps, tout chef d’entreprise — aussi petite soit-elle — peut aisément élaborer des consignes satisfaisantes et contribuer ainsi à éviter les accidents et les atteintes à la santé qui peuvent se produire dans son établissement.
Il est paradoxal de constater que la prévention des accidents liés au travail ne soit pas apparue très tôt comme une impérieuse nécessité, alors que la sécurité est à l’origine même du travail, celui-ci s’étant développé pour assurer la survie de la communauté. Il faudra en effet attendre le début du XXe siècle pour que l’accident du travail perde son caractère fatal et que sa causalité devienne un objet d’analyse et l’une des bases de la prévention. Toutefois, cette pratique est restée longtemps très sommaire et très empirique. Historiquement, l’accident a d’abord été perçu comme un phénomène simple, c’est-à-dire résultant d’une cause unique (ou principale) puis d’un petit nombre de causes. L’efficacité de l’analyse des accidents, dont l’objectif est de mettre en évidence les causes du phénomène pour éviter son renouvellement, dépend à la fois de la conception qui sous-tend cette analyse et de la complexité de la situation à laquelle elle s’applique.
Il est vrai que dans les situations les plus précaires, l’accident se résume la plupart du temps à un enchaînement assez simple de quelques causes renvoyant vite à des problèmes techniques fondamentaux qu’une analyse même sommaire peut faire apparaître (matériel mal conçu, mode opératoire non défini, etc.). En revanche, lorsque les éléments matériels (machines, installations, disposition des lieux) tendent à être conformes aux exigences réglementaires, la situation de travail devient de plus en plus sûre et l’accident ne peut alors se produire que lorsque sont réunies un ensemble de conditions exceptionnelles de plus en plus nombreuses. Dans de tels cas, la lésion apparaît comme le terme ultime d’un réseau de causes souvent complexe. Cette complexité témoigne des progrès de la prévention et exige alors des méthodes d’analyse adaptées. Le tableau 57.5 recense les principales conceptions du phénomène accident, leurs caractéristiques et leurs conséquences essentielles pour la prévention.
|
Conception du phénomène accident |
Eléments significatifs |
Principales conséquences pour la prévention |
|
Conception élémentaire (accident comme phénomène paucicausal, voire unicausal) |
L’objectif est d’identifier la cause unique ou principale |
Mesures de prévention simples concernant l’antécédent immédiat de la blessure (protection individuelle, consigne de prudence, protection des mécanismes dangereux) |
|
Conception focalisée sur les aspects réglementaires |
Accent mis sur la recherche de responsabilité; |
Prévention généralement limitée au rappel des dispositions réglementaires existantes ou à des consignes formelles |
|
Conception linéaire (ou quasi linéaire) (modèle des dominos) |
Identification d’une succession chronologique de «conditions dangereuses» et d’«actions dangereuses» |
Conclusions portant en général sur les actes dangereux |
|
Conception multifactorielle |
Recherche de l’exhaustivité dans le recueil des faits |
Conception n’incitant pas à la recherche de solutions cas par cas (analyse clinique) mieux adaptées à la mise en évidence d’aspects statistiques |
|
Conception systématique (ADC, STEP) |
Mise en évidence du réseau des facteurs de chaque accident |
Méthodes centrées sur l’analyse clinique |
Actuellement, l’accident du travail est généralement considéré comme l’indice (le symptôme) de dysfonctionnements d’un système constitué par une unité de production — usine, atelier, équipe ou poste de travail. La notion de système conduit l’analyste à examiner non seulement les éléments qui composent le système, mais aussi leurs relations. Dans une perspective systémique, l’analyse de l’accident vise à retrouver, jusqu’à leurs origines, l’enchaînement des dysfonctionnements élémentaires ayant abouti à la lésion et, plus généralement, le réseau des antécédents de l’événement non désiré (accident, quasi-accident ou incident).
L’application des méthodes de ce type, telles que la méthode STEP (Sequentially Timed Events Plotting Procedures) ou celle de «l’arbre des causes» (ADC), permet de visualiser le processus accidentel sous la forme d’un graphe fléché qui rend bien compte de la multicausalité du phénomène. La proximité de ces deux méthodes nous dispensera d’un double exposé; on se centrera donc sur la méthode dite de «l’arbre des causes» (ADC), en indiquant les principales différences qu’elle présente avec la méthode STEP.
Point de départ de l’analyse, la collecte des informations doit permettre de décrire le déroulement de l’accident en termes concrets, précis et objectifs. L’analyse s’applique donc à recueillir des faits tangibles en se gardant de les interpréter ou d’émettre une opinion à leur sujet: ce sont les antécédents de l’accident. Les antécédents recueillis peuvent être de deux types:
Ainsi, la protection insuffisante d’une machine (antécédent permanent) se révèle être un facteur d’accident en permettant à l’opérateur de se placer dans une zone dangereuse pour pallier un incident (antécédent inhabituel).
La collecte des informations s’effectue sur les lieux mêmes de l’accident et le plus tôt possible après sa survenue. Elle est réalisée de préférence par une personne connaissant bien l’entreprise et qui s’attache à obtenir une description précise du travail sans se limiter aux circonstances immédiates de la lésion. Cette collecte d’informations se fait surtout par interviews, si possible de la victime, puis des témoins oculaires, des coéquipiers et des responsables hiérarchiques. Il est complété, le cas échéant, par des expertises techniques.
L’analyste s’efforce alors de repérer, en priorité, les antécédents inhabituels et de détecter leurs liaisons logiques. Ce faisant, il décèle du même coup les antécédents permanents qui ont permis que l’accident survienne. Ainsi, il est amené à remonter bien en amont des antécédents immédiats de la blessure. Ces antécédents peuvent concerner les individus (ce qu’ils sont), leurs tâches (ce qu’ils font), le matériel qu’ils utilisent et le milieu où ils évoluent. En procédant comme il vient d’être indiqué, on peut généralement établir une liste d’antécédents nombreux dont il est difficile de tirer parti d’emblée. Cela deviendra possible grâce à une représentation graphique de l’ensemble des antécédents concernant la genèse de l’accident: il s’agit de l’arbre des causes.
L’arbre des causes présente l’ensemble des antécédents recueillis ayant engendré l’accident, avec l’indication des liaisons logiques et chronologiques qui relient ces antécédents; c’est une représentation du réseau des antécédents qui ont provoqué directement ou indirectement la lésion. L’arbre des causes se construit à partir du fait ultime de l’histoire, c’est-à-dire la lésion, en se posant systématiquement, pour chaque antécédent recueilli, les questions ci-après:
Ce jeu de questions peut faire apparaître trois types de liaisons logiques entre les antécédents résumés dans la figure 57.9.
La cohérence logique de l’arbre se contrôle en posant pour chaque antécédent les questions suivantes:
La construction même de l’arbre des causes incite d’ailleurs le praticien à poursuivre et à compléter, si nécessaire, la collecte des informations, donc l’analyse souvent très en amont de la lésion. Une fois terminé, l’arbre représente le réseau des antécédents ayant engendré la lésion et qui sont en fait autant de facteurs de l’accident. A titre d’exemple, l’accident dont le résumé suit donne lieu à l’arbre des causes de la figure 57.10.
Compte rendu résumé de l’accident: un apprenti mécanicien récemment embauché est amené à travailler seul en urgence. Il utilise alors une élingue détériorée pour suspendre le moteur qu’il doit remettre en place. Au cours de l’opération, l’élingue se rompt et la chute du moteur lui blesse le bras.
Dans cette méthode (voir figure 57.11), chaque événement est disposé dans un tableau en respectant l’ordre chronologique de son apparition et en réservant une ligne par «acteur» concerné (c’est-à-dire la personne ou la chose qui détermine le cours des événements constituant le processus de l’accident). Chaque événement est décrit avec précision en indiquant son début, sa durée, le lieu, etc. Lorsqu’il existe plusieurs hypothèses plausibles, l’analyse peut les faire figurer dans le réseau des événements en utilisant la relation logique «ou».
L’exploitation de l’arbre des causes à des fins de prévention répond à deux objectifs:
Etant donné la structure logique de l’arbre, l’absence d’un seul antécédent aurait empêché la réalisation de l’accident. Une mesure de prévention judicieuse suffirait donc, en principe, à éviter le retour du même accident. Toutefois, le second objectif exigerait que tous les facteurs découverts soient supprimés mais, dans la pratique, les antécédents ne sont pas tous d’égal intérêt pour la prévention. Aussi convient-il d’établir la liste des antécédents appelant des actions de prévention concevables et réalistes. Si cette liste est étoffée, un choix s’impose. Ce choix a d’autant plus de chance d’être pertinent qu’il se réalise dans le cadre d’un débat entre les partenaires concernés par l’accident. De plus, le débat gagne en clarté dans la mesure où il est possible d’estimer le rapport efficacité/coût de chaque mesure proposée.
L’efficacité d’une mesure de prévention peut être appréciée à l’aide de plusieurs critères:
La stabilité de la mesure. Les effets d’une mesure de prévention ne doivent pas disparaître avec le temps: l’information des opérateurs (le rappel des consignes, en particulier) est une mesure peu stable, car ses effets sont souvent fugitifs. Il en est d’ailleurs de même de certaines protections matérielles lorsqu’elles sont facilement amovibles.
La possibilité d’intégrer la sécurité. Lorsqu’une mesure de prévention est surajoutée, c’est-à-dire lorsqu’elle ne concourt pas direc-tement à la production, on dit alors que la sécurité n’est pas intégrée. Dès qu’il en est ainsi, on observe que la mesure tend à disparaître. D’une façon générale, toute mesure de prévention entraînant un coût supplémentaire pour l’opérateur doit être évitée, qu’il s’agisse d’un coût physiologique (augmentation de la charge physique ou nerveuse), d’un coût financier (dans le cas du salaire au rendement), voire d’une simple perte de temps.
Le non-déplacement du risque. Certaines mesures de prévention peuvent avoir des effets indirects préjudiciables à la sécurité. Il faut donc toujours envisager les répercussions éventuelles d’une mesure de prévention sur le système (poste, équipe, atelier) où elle s’insère.
La possibilité d’application générale (la notion de facteur potentiel d’accidents) . Ce critère reflète le souci qu’une même action de prévention puisse concerner d’autres postes de travail que celui concerné par l’accident analysé. Chaque fois que cela est possible, il faut s’efforcer de dépasser le cas particulier qui a donné lieu à l’analyse, ce qui exige souvent une reformulation des problèmes découverts. Par exemple, il ne faut pas se contenter de remplacer une élingue cassée mais, dans ce cas, il faut envisager le problème, plus général, du matériel désaffecté restant disponible. L’enseignement tiré d’un accident peut alors entraîner des actions de prévention concernant des facteurs ignorés, mais présents dans d’autres situations de travail où ils n’ont pas encore provoqué d’accidents. Pour cette raison, ils sont appelés «facteurs potentiels d’accident». Cette notion ouvre la voie à la détection précoce des risques abordée plus loin.
L’action sur les «causes» profondes. En règle générale, la prévention de facteurs d’accident proches de la lésion supprime certains effets des situations dangereuses, tandis que la prévention qui agit très en amont tend à supprimer l’existence même de telles situations. L’analyse approfondie des accidents trouve sa raison d’être dans la mesure où l’action de prévention concerne également les facteurs en amont.
Les délais d’application. La nécessité d’agir le plus rapidement possible après la survenue d’un accident pour en éviter le retour se traduit souvent par l’application d’une mesure de prévention simple (une consigne, par exemple), mais celle-ci ne doit pas dispenser d’autres actions plus durables et plus efficaces. Tout accident doit donc donner lieu à un ensemble de propositions dont la réalisation fait l’objet d’un suivi.
Les critères qui viennent d’être énumérés sont destinés à mieux apprécier la qualité des actions de prévention proposées à la suite de chaque analyse d’accident. Cependant, le choix définitif ne se fait pas uniquement sur ces bases; d’autres considérations, économiques ou sociales, peuvent également entrer en ligne de compte. Enfin, les mesures retenues doivent évidemment respecter les dispositions réglementaires en vigueur.
Les enseignements tirés de l’analyse de chaque accident méritent d’être consignés de façon systématique dans le but de faciliter le passage de la connaissance à l’action. Ainsi, la figure 57.12 se compose de trois colonnes. Dans celle de gauche, on note les facteurs d’accident justiciables de mesures de prévention. Les mesures de prévention possibles sont décrites dans la colonne centrale en regard de chaque facteur retenu. Après la discussion évoquée précédemment, les actions retenues sont cochées dans ce même document.
La colonne de droite comprend les facteurs potentiels d’accident suggérés par les facteurs inscrits dans la colonne de gauche: on considère que chaque facteur d’accident découvert n’est souvent qu’un cas particulier d’un facteur plus général appelé facteur potentiel d’accident. Le passage du cas particulier au cas plus général est souvent fait spontanément. Cependant, chaque fois qu’un facteur d’accident est exprimé de telle façon qu’il n’est pas possible de le rencontrer ailleurs que dans la situation où il est apparu, il faut réfléchir à une formulation plus générale. Ce faisant, il faut éviter deux écueils opposés pour utiliser efficacement la notion de facteur potentiel d’accident dans la détection précoce des risques réalisée par la suite: une formulation trop circonscrite ne permet pas un dépistage systématique, tandis qu’une formulation trop large rend la notion non opérationnelle et ne présente plus d’intérêt pratique. Le dépistage des facteurs potentiels d’accident repose donc sur une bonne formulation de ces facteurs. Ce dépistage peut alors être réalisé de deux façons, d’ailleurs complémentaires:
L’intérêt . Les méthodes d’analyse des accidents issues d’une conception systémique présentent de nombreux avantages dont les trois principaux sont mentionnés ci-après:
L’efficacité. En contrepartie, l’efficacité de la pratique des analyses d’accidents implique que les quatre conditions suivantes soient réunies:
Les limites. Même si elle est très bien réalisée, l’analyse des accidents connaît cependant une double limitation:
La collecte et l’analyse de données sur les accidents du travail ont comme premier but de réunir des informations qui serviront à prévenir les lésions, les accidents mortels et les autres formes de dommages corporels, comme les maladies chroniques dues à l’exposition à des substances toxiques. Ces données sont également utiles pour décider des prestations à accorder aux victimes d’accidents. La collecte de ce type de données a d’autres fins plus spécifiques, parmi lesquelles on peut citer:
Il est souvent souhaitable d’avoir des chiffres concernant l’ensemble des accidents survenus au cours d’une année. A cette fin, on compare le nombre d’accidents à une mesure liée au groupe de risque et exprimée, par exemple, par centaine de milliers de salariés ou d’heures de travail. Ce décompte annuel révèle les écarts dans les taux d’accidents d’une année sur l’autre. Toutefois, si ces chiffres peuvent indiquer le type d’accidents qui requièrent une action préventive urgente, ils ne donnent aucune indication sur la forme qu’elle devrait revêtir.
Les informations concernant les accidents sont nécessaires à trois niveaux:
Dans de nombreux pays, les entreprises sont légalement tenues de dresser des statistiques sur les accidents du travail entraînant des dommages corporels, des décès ou des maladies professionnelles. Cette obligation a pour but d’attirer l’attention sur les risques et les circonstances qui ont donné lieu à ces accidents et d’inciter les entreprises à concentrer sur eux leurs efforts de prévention. En général, les données sont le plus souvent collectées de manière systématique, fonction correspondant généralement à un niveau hiérarchique élevé.
Les circonstances de la plupart des accidents étant particulières, il est rare qu’il se produise plusieurs accidents exactement identiques; de ce fait, la prévention basée sur l’analyse des accidents au cas par cas a rarement une portée générale. En analysant systématiquement les informations sur les accidents, on peut avoir une image plus large des activités comportant des risques spécifiques et découvrir des facteurs secondaires de causalité. Un procédé de production particulier, un poste de travail donné ou une tâche particulière peuvent provoquer des accidents très particuliers eux aussi. Mais un examen approfondi des types d’accidents associés à un type de travail donné peut faire apparaître d’autres facteurs causals comme des procédés mal conçus, une utilisation erronée des matières mises en œuvre, des conditions de travail difficiles ou l’absence d’instructions précises. L’analyse des accidents récursifs devrait révéler les causes fondamentales à traiter dans le cadre d’une action préventive.
La législation concernant la déclaration des accidents du travail et des cas de maladies professionnelles aux autorités compétentes varie considérablement d’un pays à l’autre, notamment en ce qui concerne les catégories d’employeurs assujettis à la loi. Les pays qui accordent une grande place à la sécurité exigent généralement que les informations sur les accidents soient communiquées à l’autorité responsable de l’application de la législation en la matière; dans certains cas, la loi exige que soient signalés les accidents du travail entraînant un arrêt de un à trois jours après le jour de l’accident. La plupart des législations associent la déclaration et la notification en vue d’une réparation.
Pour fournir des bases saines aux efforts de prévention, il importe de réunir des informations concernant tous les secteurs d’activité et tous les types de métiers. Une base de comparaison doit exister au niveau national pour classer les actions préventives par ordre de priorité et pour que la connaissance des risques inhérents aux tâches spécifiques à telle ou telle industrie puisse servir à la prévention. La collecte des informations sur les accidents du travail au niveau national devrait donc s’étendre à tous les accidents présentant un certain degré de gravité, qu’ils concernent des salariés, des artisans, des travailleurs temporaires ou permanents, le secteur public ou le secteur privé.
Si les employeurs, en règle générale, sont tenus de déclarer les accidents, ils ne le font pas toujours avec la même diligence. Le degré de respect de cette obligation dépend de l’intérêt qu’ils y trouvent. Dans certains pays, par exemple, les employeurs se voient rembourser le salaire versé à la victime pendant l’arrêt de travail, une disposition qui leur donne une bonne raison de déclarer les accidents. D’autres pays pénalisent les entreprises qui ne signalent pas les accidents survenus chez elles. Lorsqu’il n’existe pas d’encouragements ou de sanctions de ce genre, les employeurs ne respectent pas toujours leurs obligations légales. Il est bon par ailleurs que les informations destinées à des actions de prévention soient communiquées aux organismes responsables de ces actions et soient séparées de celles qui s’adressent à l’institution chargée de la réparation.
Trois types d’informations générales peuvent être tirées de la déclaration des accidents:
Il faut recueillir un ensemble de données de base pour déterminer exactement quand et où un accident se produit et en analyser les modalités. Les données rassemblées par les entreprises sont plus détaillées que celles collectées au niveau national, mais les rapports locaux contiennent des informations qui seront utiles à tous les niveaux. Le tableau 57.6 illustre les différents types d’informations pouvant être réunies lors de la description d’un accident donné. Les éléments qui intéressent plus spécialement les statisticiens sont indiqués ci-après.
|
Actions |
Eléments |
|
Etape 1 |
|
|
Activité de la victime: conduite d’une machine, maintenance, conduite d’un véhicule, marche, etc. |
Elément lié à l’activité de la victime: presse mécanique, outil, véhicule, sol, etc. |
|
Etape 2 |
|
|
Déviation: explosion, défaillance structurelle, faux pas, perte de contrôle, etc. |
Elément lié à la déviation: récipient sous pression, mur, câble, véhicule, machine, outil, etc. |
|
Etape 3 |
|
|
Action ayant entraîné la lésion: choc, écrasement, contact, morsure, etc. |
Agent de la lésion: brique, sol, machine, etc. |
Numéro de référence de l’accident . Un numéro de référence unique doit être attribué à chaque accident du travail. Il est préférable d’utiliser un code d’identification numérique pour faciliter l’informatisation des données et leur traitement ultérieur.
Numéro d’identification personnel et date . Il est essentiel que la victime soit reliée à l’accident qui la concerne par un numéro d’identification personnel qui peut être sa date de naissance, son numéro de sécurité sociale ou tout autre identificateur qui lui soit propre. Enregistrer à la fois le numéro d’identification personnel et la date de l’accident permet d’éviter que le même accident soit enregistré deux fois et également de vérifier qu’il l’a bien été. Le lien entre les informations figurant dans le rapport d’accident et le numéro d’identification personnel peut être protégé pour des raisons de sécurité.
Nationalité . La nationalité de la victime peut être une information particulièrement importante dans les pays comptant une forte main-d’œuvre étrangère. On peut choisir un numéro de code à deux chiffres dans la liste de la norme ISO 3166-1 (ISO, 1997).
Profession . Un numéro de référence peut être choisi dans la liste des codes internationaux à quatre chiffres figurant dans la Classification internationale type des professions (CITP) (BIT, 1990).
Entreprise. Le nom, l’adresse et le numéro d’identification de l’entreprise sont inclus dans les dossiers d’accidents au niveau national (mais le nom et l’adresse ne peuvent figurer dans le fichier informatique). Généralement, le secteur production de l’entreprise est enregistré en précisant le nom de l’assureur couvrant les accidents du travail ou le numéro d’immatriculation des opérateurs. Un numéro d’identification peut être attribué selon le système international de classification à cinq chiffres NACE.
Opération (tâche effectuée au moment de l’accident) . Une description de l’opération effectuée au moment où l’accident s’est produit est essentielle. Son identification précise est indispensable pour bien cibler les actions de prévention. Dans ce contexte, l’opération est la tâche que la victime était en train d’exécuter au moment de l’accident; elle ne se confond pas nécessairement avec le processus industriel correspondant.
Accident . Un accident est généralement le résultat d’une chaîne ou séquence d’événements. Les enquêteurs ont souvent tendance à se concentrer sur la partie de la chaîne où se situent les dommages corporels. Du point de vue de la prévention, toutefois, il est tout aussi important de préciser à quel moment de la chaîne la situation a commencé à se dégrader et ce que faisait la victime au moment de l’accident.
Conséquences de l’accident . Après avoir situé de façon précise l’emplacement et décrit la nature des lésions (en partie à l’aide de codes portés sur une grille de recueil de données et en partie par la description de la chaîne d’événements), on précise la gravité de ces lésions, si elles ont entraîné un arrêt de travail (de quelle durée), une invalidité ou le décès de la victime. Des informations détaillées sur les arrêts de travail de longue durée, les durées d’hospitalisation et le type et le degré d’invalidité sont généralement disponibles auprès des institutions de sécurité sociale.
Pour compléter le dossier, on retient généralement les trois points ci-après:
Les exemples qui suivent illustrent l’application de ces points:
Les informations à réunir pour chaque accident peuvent être présentées sous une forme semblable à celle de la figure 57.13.
Les informations ainsi rassemblées pourront être saisies sur ordinateur à l’aide de codes de classification (lorsqu’il existe des systèmes internationaux de classification, ils sont mentionnés dans les données individuelles décrites plus haut). Le Service danois d’étude du milieu de travail a mis au point des modes de classification concernant d’autres variables utilisées pour documenter les accidents du travail; les principes d’établissement d’un système de documentation uniforme font partie d’un projet préparé par l’Union européenne.
Les statistiques d’accidents sont un instrument précieux à plusieurs titres: cartographie des accidents, surveillance et alerte, ciblage des actions de prévention, mesures de prévention, recherche d’informations. Un domaine peut empiéter sur l’autre, mais les principes d’applications varient.
Pour dresser une carte des accidents du travail, il faut extraire certains types d’informations de la masse des données accumulées et de l’analyse des liens qui existent entre ces données. Quelques exemples illustreront l’utilité de cette application.
La surveillance est un processus continu qui se double d’un système d’alerte en cas de risques majeurs et, notamment, de variation significative de ces risques. On parle de risque majeur lorsque la fréquence des accidents est élevée, les lésions occasionnées sévères et les groupes d’individus exposés nombreux. Les rapports d’accidents peuvent révéler une modification des procédures de notification ou, ce qui est plus grave, une évolution inquiétante des facteurs de risque.
L’établissement de priorités permet de sélectionner les secteurs de risques ou les problèmes les plus importants aux fins d’actions préventives. En partant des cartes et des activités de surveillance et d’alerte, on peut dresser une liste des priorités qui tienne compte:
Les données figurant dans un registre des accidents du travail peuvent servir à établir des priorités à plusieurs niveaux, celui de l’entreprise ou celui du pays tout entier. Les analyses et les évaluations pourront, dans chaque cas, être conduites selon les mêmes principes.
Les analyses et la documentation servant à orienter les actions de prévention sont généralement très spécifiques et concentrées sur des secteurs précis qui peuvent être étudiés en profondeur. La campagne contre les accidents mortels menée au Danemark par le Service national d’inspection du travail en offre un bon exemple. Des cartes avaient été dressées en vue d’identifier les professions et les activités où l’on avait enregistré des accidents mortels. Les tracteurs agricoles ont été sélectionnés comme cible d’analyse visant à déterminer ce qui rendait ces engins aussi dangereux. Il fallait savoir qui les conduisait, où ils étaient utilisés, quand les accidents se produisaient et, en particulier, quels types de situations ou de conditions conduisaient à un accident. L’étude a permis de reconnaître sept situations typiques qui généraient le plus grand nombre d’accidents et d’élaborer un programme de prévention fondé sur ces conclusions.
Le nombre des accidents du travail survenus dans une entreprise donnée est souvent trop faible pour permettre d’en tirer des indications valables pour la prévention. L’analyse des accidents déclarés peut contribuer à une réduction des accidents similaires, mais demeure sans effet dès lors qu’il s’agit d’éviter des accidents différents. A moins que l’étude ne porte sur une grande entreprise, il vaut mieux travailler sur un groupe d’entreprises similaires appartenant à la même branche d’activité économique.
L’une des utilisations les plus courantes des dossiers d’accidents et des archives qui s’y rapportent est le rappel d’informations spécifiques aux fins de recherche. Ainsi, une étude devant servir à préparer un projet de règlement sur les travaux en toiture a permis, en analysant les types d’accidents liés à cette activité, de réfuter l’opinion générale selon laquelle les couvreurs se blessent rarement en tombant d’un toit.