Safety and autonomy: a contradiction forever?

📖📖📖📖 Un très bon article par une auteure renommée, avec une polarité résilience, mais un contenu très pédagogique.
 

Notre synthèse

L’article fait le point sur l’opposition apparente entre « sécurité du processus et des installations » (process safety), plutôt normative, et « autonomie et sécurité des acteurs » (personal safety), souvent nécessaire pour gérer l’incertain et l’inattendu. 

Quand on parle de sécurité du processus, on pense d’abord à la conception, la maintenance, la formation, et aux risques d’erreurs et à de violations des opérateurs.

Quand on parle de sécurité au travail, on pense d’abord aux risques dans le travail, liés à l’exécution du travail lui-même ou aux risques présents sur les lieux du travail.

On sait que sécurité du processus et sécurité du travail interfèrent d’une façon négative quand l’une des deux composantes prend le pas sur l’autre. Mais d’une façon générale, le lien entre ces deux sécurités n’est pas très explicite. Les indicateurs de sécurité au travail, relatant incidents et accidents du personnel, sont forcément plus parlants (chiffrés) que les indicateurs de sécurité du processus, particulièrement dans les systèmes industriels sûrs. Au point que ces indicateurs de sécurité du processus sont considérés bons quand ils sont à zéro (Weick parle de dynamic non-event) : quand on audite/surveille un système, on présume que rien n’est arrivé et que rien d’arrivera (non event) si l’industriel en charge fait bien ce qu’il faut (dynamic actions). 

Quels systèmes de management de la sécurité et quel lien à l’autonomie des acteurs ? 

Perrow en 1984 avait montré que les systèmes complexes très couplés font face à un dilemme irréconciliable entre centralisation et décentralisation dans les prises de décision. Plus le système est complexe, moins les opérateurs ont une vue globale et il est donc logique de centraliser la décision, mais plus ce système est complexe avec des couplages forts entre les composants, plus aussi surviennent des aléas et problèmes inattendus qui ne peuvent être traités que par des décisions locales. D’une certaine façon ce dilemme est celui qui oppose stabilité (lié à un contrôle strict des actions autorisées) à flexibilité (une autonomie de proximité). 

Ce sont les HRO (High-Reliability Organizations), et plus récemment la résilience (Resilience Engineering, RE) qui ont ouvert les pistes les plus crédibles pour résoudre cette contradiction. Weick (HRO) propose cinq attitudes bien connues pour gérer ce conflit : rester attentif aux aléas, ne pas tomber dans des simplifications excessives du monde et des causes des problèmes, rester attentif aux actions en cours, s’engager dans la résilience, et reconnaître l’expertise qui nous entoure.

Les HRO suggèrent aussi de concevoir le système comme dynamique entre un mode centralisé top-down pour le travail normal, et une bascule en deux temps dans un mode décentralisé pour le travail en conditions imprévues : un premier temps où on décentralise la compétence en envoyant localement des experts ; et un second temps, uniquement dans le cas de crise avérée, où on laisse tous les opérateurs prendre de l’autonomie réelle. Le déclenchement et l’organisation de ces glissements vers la décentralisation peuvent être prévus à l’avance dans leur principe, de même que le retour en condition centralisée dès la fin de l’incident. Weick propose alors ce mot clé de « couplage lâche » ou « loose coupling » qui s’appliquerait à des systèmes industriels devant à la fois faire face à des imprévus et surprises, et à la fois devoir rendre compte rationnellement de ce qu’ils font pour leur sécurité.

A noter que les HRO misent beaucoup sur une très forte culture de sécurité pour réguler les mouvements constants entre ces niveaux centralisés et décentralisés. 

Côté sécurité du travail, la contradiction entre autonomie et éléments imposés de la sécurité procède d’une autre logique et d’une autre histoire. La tension vient surtout de la phase de conception et de la place qu’on a réservé à l’opérateur. Les résultats sur le bon réglage restent contradictoires : quelques études montrent qu’un niveau plus grand d’autonomie engage l’opérateur et sert la sécurité, mais beaucoup d’autres montrent que l’autonomie peut être source de déviances au détriment de la sécurité.  

La bonne balance serait à la fois d’imposer le suivi des règles clés, mais de préserver une qualité et une autonomie de pensée qui en retour est essentielle à la motivation et à l’engagement dans le travail, typiquement par une organisation et un management de type participatif (Simard, 1995) y compris lors de la conception de la tâche, des règles et la modification des procédures. On parle alors d’ « autonomie de niveau supérieur » (Klein 1991 ;  Bourrier 1996). 

Quel rôle de l’incertitude dans cette polarité autonomie-sécurité ? 

La centralisation est supposée neutraliser l’incertitude par l’anticipation et la stabilité des conditions d’exécution du processus. Inversement, la décentralisation plaide pour une flexibilité capable de gérer l’imprévu avec des mécanismes adaptatifs locaux.  Si l’on croise ce problème avec celui de la « qualité de management continue », on doit distinguer une « qualité continue de l’apprentissage » (total quality learning) et une « qualité continue du contrôle » (total quality control). La qualité d’apprentissage est bien meilleure pour la gestion des aléas que la qualité du contrôle.  

Sur la base de cette littérature, l’auteure propose un cadre de réflexion qui régule les relations entre sécurité du procédé et des personnes, autonomie (de base, ou de niveau supérieur — voir précédemment), et niveau d’incertitude. L’autonomie est un driver de motivation à instiller dans toute construction de sécurité. L’incertitude va régler cependant ce niveau d’autonomie souhaitée : quand le système est en conditions normales, prévisibles, c’est une autonomie de niveau supérieur qu’on privilégiera, sans déroger au suivi des règles, alors qu’on laissera plus d’autonomie de base s’installer en cas de conditions anormales. 

Quels liens entre autonomie et règles de sécurité ? 

Les règles ne couvrent jamais tout. Rasmussen (1997) disait qu’il valait mieux dans ces conditions décrire explicitement les frontières de ce qui est permis, et développer des savoir-faire à l’approche de ces limites, plutôt que de vouloir décrire toutes les règles d’un système et de s’épuiser dans la chasse à leurs violations et déviations. Les (bonnes) règles dans ce contexte seraient surtout celles qui clarifient les limites et donnent des clés de gestion à leur approche. La définition de ces règles aux limites serait du ressort de la direction centrale quand il s’agit de règles mettant en jeu une vision globale des interactions possibles (haut niveau) et du ressort local des équipes et des sites quand il s’agit de règles mettant en jeu une forte expertise locale (Hale & Swuste 1998). Cette approche concerne autant la sécurité du processus que la sécurité du travail. 

Quels liens entre sécurité et leadership ? 

La plus grande partie de la littérature porte sur le « transformational leadership » qui motive les employés à travers une vision participative et résulte dans une meilleure sécurité. Les méta-analyses les plus récentes sont plus réservées sur cette vision managériale car certes le résultat est bon pour le moral et la motivation des employés, mais (bien) plus modeste sur le suivi des règles et l’observance (Clarke, 2013). On parle même d’une relation en U inversé entre ce style managérial et la sécurité mesurée. Ce qui reste important, voire incontournable est de donner et préserver un sens aux directives de sécurité pour les employés. Un autre point important est de raisonner en acteurs managériaux, et glissement de rôle dans cette capacité à transmettre de la motivation qui peut aller jusqu’à des membres reconnus de l’équipe, pas nécessairement managers. Le très bon leadership de proximité peut alors paradoxalement être porté par des non-managers, mais avec une organisation et chaîne managériale complice et à l’écoute, jouant ouvertement ce partage entre leadership formel et partagé, et jouant évidemment aussi son rôle et ses responsabilités. 

Quels liens entre sécurité et climat de sécurité ? 

Le climat de sécurité reflète le degré de partage des pratiques de sécurité dans l’entreprise ; il apparaît dans la littérature comme un prérequis important pour la sécurité du travail en augmentant le partage et la connaissance des risques et la motivation des personnels. Ceci dit, cette littérature (sur le climat de sécurité) parle peu d’autonomie, d’autant que les domaines étudiés sont plutôt des situations de travail assez basiques et contraintes. On peut toutefois penser à un lien existant entre autonomie et climat de sécurité via le niveau d’engagement des opérateurs.  

Autre point important, le climat de sécurité n’est pas au sens propre la culture de sécurité ; il est proche, mais le terme recouvre une entité moins forte, plus fluctuante. Le trait le plus commun est celui d’une culture consciente des risques (Mindful culture de Weick) ou informée (Informed culture de Reason) qui prônent une information constante sur les attentes et les contextes, de sorte à détecter les changements à opérer, les ajustements à réaliser. C’est précisément ce côté dynamique de la culture qui associe climat et culture de sécurité. Ces éléments dynamiques concernent aussi les aspects organisationnels de la culture, mais ces derniers sont plus difficiles à faire évoluer car ils s’appuient sur un socle partagé d’affirmations et de valeurs (Edgar Shein, 1992) qui représente une partie importante de la stabilité de l’entreprise, et de ce qui est appris aux nouveaux pour s’intégrer.