The ‘new view’ of human error

📖📖📖📖 Un article de belle qualité, pédagogique, écrit par Jean-Christophe Le Coze, notre confrère de l’Ineris, et expert associé aux analyses stratégiques de la Foncsi.
 

Notre synthèse

Les recherches sur l’erreur humaine conduites entre 1970 et 2000 nous ont permis d’améliorer notre compréhension de cet élément important pour la sécurité des grands systèmes à risque d’accident majeur.

Plusieurs courants de pensée ont traversé cette période et ont été largement débattues dans de grands congrès dédiés au sujet. Mais depuis 2000, la tension est encore plus forte ; on parle d’une  « nouvelle vision » sur l’erreur humaine qui cristallise des oppositions encore plus grandes — au point d’amener leurs défenseurs à ne plus fréquenter les mêmes congrès — entre ceux qui plaident pour une rupture théorique et pratique (comme par exemple Sidney Dekker, et plus généralement le courant de la résilience) et ceux qui n’y voient qu’une simple continuité avec les 50 ans précédents (comme par exemple Dominic Cooper, très critique de la fausse innovation de la résilience, particulièrement quand on en arrive aux solutions à déployer pour réduire le risque, ce qui reste l’objectif de tous).

L’article propose à la fois une reconstruction historique de cette vague de la pensée « nouvelle », et un regard critique plus personnel sur ce qu’il faut retenir concernant son évolution dans le temps. Cinq auteurs sont particulièrement contributifs à cette nouvelle vision sur l’erreur : Rasmussen, Reason, Woods, Hollnagel, Dekker, et sont l’objet de l’analyse la plus approfondie dans cet article.

La naissance de la « nouvelle vision »

Il faut remonter aux années 1970 pour retrouver les débuts de la nouvelle vision, largement construite en réponse à la complexité croissante du travail au sein des systèmes à risques en lien avec l’arrivée de l’ère numérique.

Jens Rasmussen

Jens Rasmussen a été dans les années 1970 la figure de proue de cette révolution des idées sur la sécurité en poussant une vision socio-systémique des accidents, largement déconnectée de l’idée que l’accident trouvait sa cause et son explication dans les seules erreurs des acteurs de première ligne (souvent accusés à tort à cause d’une règle d’arrêt commode et implicite de beaucoup d’analyses d’accident qui s’arrêtent au premier coupable identifié). L’erreur humaine pour Rasmussen s’inscrivait plus dans un processus normal d’apprentissage et d’ajustement d’une capacité adaptative au travail. L’étude des erreurs exigeait dans cette logique leur remise en contexte, en comprenant les migrations de pratiques et les différentes couches du système (des politiques jusqu’aux acteurs de premières lignes) qui produisent chacun leurs erreurs, favorisent les erreurs des autres et construisent aussi de la connaissance sur la sécurité.

Jim Reason

A la même période, Jim Reason écrivait son fameux livre sur l’erreur humaine dans la lignée des acquis en psychologie cognitive pour en faire une véritable théorie de l’erreur humaine. On pourrait penser que lui et Jens Rasmussen étaient en parfaite entente (Jim va passer plus d’un an dans le laboratoire de Jens) et qu’ils partageaient une position novatrice conjointe sur l’origine systémique des accidents ; en fait, c’est plutôt le contraire malgré leur lien d’amitié. Par rapport à Rasmussen, Jim Reason est resté très classique dans son positionnement sur l’erreur et son lien direct à l’accident. Ses idées de taxonomie des erreurs et de défenses en profondeur ne convaincront pas Rasmussen, qui n’a jamais adhéré ni à une taxonomie des erreurs qui ne serait que cognitive et découplée du contexte ni à l’indépendance des défenses en profondeur.

Erik Hollnagel et Dave Woods

Dans les années 1980, Erik Hollnagel et Dave Woods vont impulser un virage encore plus fort dans la « nouvelle vision » de l’erreur. Leur contribution additionnelle à Rasmussen se résume dans les deux idées associées au concept de Joint Cognitive Systems (JCS) : dans le couple formé par l’homme et la machine, il n’est pas pertinent de les étudier séparément, pas plus qu’on ne peut attribuer une erreur à l’un ou à l’autre séparément car l’erreur (de l’un ou de l’autre) suppose toujours des attendus de conception, de formation, et d’hypothèses sur la sécurité lourds de conséquences (par exemple que l’homme interviendra en cas de panne de l’automate) qui impliquent forcément les deux parties et leurs dynamiques d’interaction. Ces auteurs veulent aussi arrêter de considérer les automates/systèmes informatiques de nouvelle génération comme des systèmes qui reprendraient plus ou moins par copie des caractéristiques cognitives humaines. Au-delà de la métaphore simpliste, ces machines sont au contraire conçues avec des logiques programmées et une autonomie qui leur est propre (souvent liées au modèle qui habite l’ingénieur de conception et pas l’utilisateur), et qui en font des partenaires difficiles dans la coopération et dans l’autorité réciproque exercée entre les deux partenaires (l’homme et la machine).

Sur cette base, Hollnagel a proposé plusieurs cadres novateurs d’analyse des accidents (CREAM, puis FRAM) qui focalisent l’analyse sur la recherche des défauts de coopération et de couplage entre homme et machine ayant conduit à des résultats surprenants pour le couple H-M, et parfois à la perte de contrôle. Il utilise aussi l’idée de détection de « résonance » entre les perturbations provoquées par les aléas et les barrières en profondeur qui finiraient par s’annuler réciproquement ou au minimum à interagir négativement (nda : FRAM n’a pas eu un grand succès dans l’industrie ; l’idée est souvent restée tentante, mais son application limitée à des cas d’école ; le bénéfice par rapport aux méthodes traditionnelles n’apparaît qu’avec un déploiement long et exhaustif alors que les versions raccourcies, prisées des utilisateurs, se sont révélées triviales et sans valeur ajoutée).

Woods, quant à lui, a beaucoup insisté sur la cognition en contexte, étudiée dans des situations réelles et pas en laboratoire (primauté de l’approche ethnographique). L’erreur devient pour Woods une production cognitive distribuée de la triade « système & interface/homme/monde & environnement » plus qu’une production uniquement « de et dans la tête » de l’homme. Cette approche :

1. questionne beaucoup en retour les attributions causales trop simples,
2. souligne l’existence de conflits cognitifs itératifs qui peuvent être réduits mais jamais supprimés et qui sont résolus par des rationalités locales qu’il faut comprendre,
3. exige un vrai travail expert sur la conception d’interface pour en faire un partenaire compris et efficace,
4. alerte sur une stratégie de sécurité qui miserait tout sur l’évitement et la prévention des erreurs,
5. demande de comprendre la vraie contribution des opérateurs de première ligne à la sécurité,
6. et à comprendre comment ces opérateurs de première ligne sont en interaction avec tous les opérateurs des lignes managériales.

Sidney Dekker

Ancien thésard de Dave Woods parti occuper un poste de professeur en Australie au début des années 2000, Sidney Dekker fait un pas de plus en mettant en exergue les différences entre une ancienne vision sur l’erreur et une nouvelle vision (la « new view » du titre de l’article).

L’ancienne vision part du constat de l’inhérente non-fiabilité humaine et justifie la nécessité de s’en protéger par toutes mesures ad hoc (sélection, procéduralisation, automatisation, formation, sanctions).

La nouvelle vision considère l’erreur comme un simple symptôme d’un problème situé ailleurs que chez l’opérateur. C’est ce problème qu’il faut trouver par l’enquête. Par la suite, les critiques de Dekker vont se faire de plus en plus incisives et radicales sur le modèle de fromage suisse de Reason : trop de termes négatifs (erreurs latentes, violations, défenses en profondeur) et aussi le fait que ce n’est qu’une pure vision externe et arbitraire de ce qui est erreur. Pour Dekker, l’erreur cognitive n’existe pas, elle n’est qu’une construction externe, une reconstruction des observateurs. L’idée même de défenses en profondeur est également simpliste (trop linéaire, trop mécanique) dans un monde complexe. Du coup, la posture de Dekker est quasiment philosophique et radicale, en opposition frontale avec Reason, en considérant que l’accident est le résultat d’une dérive ponctuelle ou longue dans l’échec (d’adaptation) émergeant dynamiquement chez les partenaires (homme, machine, contexte et environnement) qui essaient de s’adapter intelligemment à des situations continuellement changeantes.

Quelles ambiguïtés dans cette « vision nouvelle » ?

Cette nouvelle vision de l’erreur s’est incarnée dans plusieurs mouvements et noms aujourd’hui bien connus, notamment le courant de la résilience, ou encore la « sécurité autrement » (safety differently).

La résilience et ses développements

Le livre fondateur de Hollnagel, Woods et Leveson sur la résilience date de 2006. Il réunissait déjà les principaux penseurs, y compris les idées de Dekker. Il a été d’une grande influence, et pourtant il souligne aussi une multiplicité de vues et de priorités pas forcément convergentes sur la question d’une nouvelle approche : Hollnagel soulignait surtout l’importance de regarder ce « qui est bien fait », ce qui explique les succès habituels des opérateurs à gérer des situations difficiles, en compensant les déficits de tous ordres. Ce faisant, il a surtout proposé des nouvelles méthodes d’analyse d’accident (CREAM, FRAM…). Woods est toujours resté beaucoup plus théoricien, avec l’ambition de fournir une théorie des comportements des systèmes complexes adaptatifs (theory of graceful extensibility – TGE). Dekker est resté de loin le plus provocateur (safety differently) et a poursuivi en étendant notamment ses positions radicales à la bureaucratisation (en ouvrant au passage sur un monde très différent des industries à risques, ce qui reste un pari théorique), dans une vision presque plus politique que scientifique. Ce sont donc trois perspectives assez différentes plus qu’une vision unique qui se cachent derrière la « vision nouvelle » sur l’erreur, dont deux restent plus ou moins compatibles avec Reason, et la troisième radicalement séparée avec une croisade contre toutes les sciences du comportement (et qui a justifié aussi l’extension des idées de Dekker à la bureaucratisation).

Quels succès pour la « vision nouvelle » ?

Indéniablement, cette vision nouvelle a été très influente, trustant les conférences et soulevant un enthousiasme mondial pour échapper ou en tout cas donner des clés pour dépasser les limites des modèles préexistants face à la complexité croissante des environnements professionnels que tout le monde constate. L’idée de produire autre chose qu’un discours sempiternellement négatif sur les erreurs et les actes dangereux pour parler de sécurité a aussi beaucoup convaincu les acteurs de terrain, et même les acteurs de la sécurité.

La santé a sans doute été (de loin) le secteur le plus réceptif à cette « vision nouvelle », avec la crise de la Covid comme accélérateur ; sans oublier quelques travaux importants réalisés dans le contrôle aérien, notamment par Steven Shorrock.

Quelles limites ?

La principale critique est sans doute la question de la provenance des données qui supportent les idées proposées. Autre sujet, quelle compatibilité entre ancienne et nouvelle vision ? Peut-on totalement rejeter les anciennes approches plus traditionnelles, ou faut-il en retenir une partie et laquelle ?

Il faut reconnaître que ces questions sont toujours plutôt sans réponses. L’absence d’application réelle (car même si la nouvelle vision a pu inspirer des responsables sécurité dans certaines entreprises qui ont pu conduire à des changements opérationnels et organisationnels, elle a été peu adoptée par les autorités de contrôle des secteurs industriels à risque d’accident majeur, et encore moins par le monde judiciaire) et de recherche indépendante pour attester sur le terrain des résultats rend difficile une certitude sur la capacité de cette nouvelle vision à transformer réellement les pratiques. La certitude d’un gain à changer radicalement d’approche est d’autant plus difficile à défendre que le modèle ancien reste incontestablement à l’origine de l’excellent niveau de sécurité atteint par la majorité des secteurs industriels dans les pays développés.

Par exemple, le livre de Don Harris (Human factors on the flight deck), très complet sur la sécurité aérienne, souligne combien les critiques radicales de Dekker se heurtent à cette réalité, et explique sans doute pourquoi une vision radicale n’a pas franchi les esprits des décideurs de la sécurité aérienne.

De même, Andrew Hopkins, le très connu sociologue des organisations, est aussi très critique envers Dekker et plus généralement envers la résilience. Il avance deux critiques majeures. La première est qu’il est quasi inconcevable — comme le suggère souvent la résilience — de laisser des opérateurs de systèmes à risques largement autonomes décider selon le contexte perçu et les surprises du terrain, de l’emploi de procédures chacun dans leur coin. La seconde critique d’Hopkins est l’ignorance récurrente du courant de la résilience de l’apport (bien mieux démontré par les données du terrain) des HRO (High Reliability Organizations) qui sont totalement compatibles avec le modèle du fromage suisse de Reason.

Alors oui, la vision ancienne sur l’erreur et la sécurité est sans doute en butée d’efficacité, mais cela renvoie à deux stratégies d’usage de la nouvelle vision dans ce contexte : simplement actualiser et essayer d’optimiser les modèles anciens en bénéficiant des nouvelles idées (ce qui semble possible), versus changer radicalement de modèle en prenant des positions plutôt outrancières, ce qui semble plus difficile.

Sur le fond, le débat ‒ comme souvent en sciences ‒ a le mérite d’avoir fait bouger les idées sur les fondements de la sécurité, réinterroger les modèles, même s’il n’a permis in fine que quelques évolutions plutôt qu’une révolution.