Sous la pression...
Publié le 15 Novembre 2020
Il existe de nombreux livres consacrés au « nouveau paradigme » de la sécurité, la « Safety II »… (trop peu sont disponibles en langue française). Celui de Gareth Lock a le grand mérite d’être riche en récits inspirants et haletants, qui illustrent très concrètement les principes de ces nouvelles approches. Des récits du monde de la plongée qui passionneront, bien sûr, les praticiens amateurs ou spécialistes, mais aussi tous ceux qui, en ces jours d’un automne si particulier, se sentent eux aussi parfois comme au cœur des profondeurs, dans l’obscurité…
Face aux accidents, et dans la prévention de ceux-ci, il existe une multitude d’approches, de pratiques. Mais au-delà des méthodes qui peuvent donner lieu à des débats rudes entre spécialistes, et en particulier entre acteurs du monde académique, on peut résolument considérer qu’il existe en la matière deux « paradigmes », deux visions du monde et des rapports humains.
Le premier est l’approche classique : celle qui pense pouvoir atteindre le « zéro accident », le « zéro risque ». C’est le paradigme de la rationalisation absolue du monde, de la maîtrise de l’homme sur le monde qui l’entoure.
Cette vision s’appuie sur des procédures toujours plus nombreuses, plus détaillées, et sur leur mise en œuvre toujours plus rigoureuse. Sur la recherche de « coupables », aussi. Car les accidents seraient toujours causés par une « erreur humaine ». On contraint donc les hommes. On les exclut aussi, autant que possible (en oubliant au passage que les systèmes, même « auto-apprenants » sont toujours créés, à un moment donné, par des hommes, avec leurs biais, leurs faiblesses, leurs erreurs »…). Dans ce référentiel, le « facteur humain » est une menace…
Alors, bien sûr, cette recherche permanente de l’exigence et de la sécurité, et ses résultats dans de nombreux domaines d’activité, témoigne de la puissance de nos cultures d’ingénieurs. Ces savoirs et cette rigueur ont permis le développement de nos sociétés industrielles, il ne faut pas l’oublier. Mais en matière de sécurité, et lorsqu’il s’agit d’appréhender les systèmes ultra-complexes de notre modernité socio-technique, cette approche rencontre des limites, qu’il faut accepter. C’est une affaire de modestie, quand l’hubris demeure le moteur important de nombreux décideurs.
Safety I / Safety II
L’autre paradigme s’est développé, dans le monde de la sécurité et depuis la fin des années 80, avec les HRO (High reliability organizations) et la Resilience Engineering. On pourra se référer, pour en découvrir quelques illustrations, aux livres de Christian Morel sur les « erreurs absurdes ».
La faiblesse perçue de ces approches, en particulier face aux approches rigoureuses des ingénieurs et de notre société du « risque zéro » et de la procédure pénale appliquée aux accidents, est de s’appuyer sur des approches jugées « sociologiques »… Des sciences « molles » contre les habituelles science « dures ». Quand il s’agit de générer des changements radicaux dans des univers industriels ou réglementaires, c’est partir avec un sacré handicap…
Et en effet, elles peuvent être ainsi qualifiées, puisqu’elles intègrent le facteur humain, avec ses biais, ses émotions…Mais pour prendre en compte, au regard d’accidents majeurs, les enjeux de nos systèmes socio-techniques complexes.
On remarquera que ces années sont aussi celles de l’émergence, dans de nombreux des théories du « chaos » et de la « complexité »… Une convergence des approches, ou au moins des centres d’intérêt.
Et si les HRO étaient des approches modestes, mettant notamment en avant la nécessité de mieux communiquer, de mieux travailler ensemble, de se doter de moyens redondants aussi plutôt que de rechercher des organisations « maigres » (« lean »), la Resilience Engineering a proposé des approches d’ingénieurs, a priori plus rassurantes pour des contextes d’actions habitués à plus de rationalité.
Et cette nouvelle approche, la « Safety-II », a convaincu des professionnels dans des domaines dans lesquels la sécurité n’est pas seulement affaire de performances, mais de vie et de mort : la sécurité nucléaire, les pompiers, les plateformes pétrolières, les opérations militaires sous-marines…
Et c’est un attrait de ce livre que d’être écrit par un praticien des risques réels. Ancien militaire, plongeur professionnel… Ce ne sont donc pas seulement des théories académiques, même appuyées d’exemples que certains pourraient juger biaisés, devant la difficulté d’accepter le changement de paradigme proposé. Là, ce sont des histoires vécues, racontées minute par minute, avec un vrai talent de « storytelling ».
Il contribue donc, en présentant nombre de concepts clés, à convaincre par l’exemple de tout l’intérêt du nouveau paradigme de la sécurité – et donc de la gestion des risques.
Les plongeurs amateurs ou professionnels se délecteront. Les autres frissonneront à la lecture des nombreux cas d’étude dans lesquels on se prend à être en compagnie des plongeurs, dans les profondeurs obscures. Obscurités réelles, mais bien sûr transposables aux obscurités plus cognitives auxquelles l’arrivée de l’hiver – mais pas seulement…- nous confronte.
Sully, ou la limite de toute procédure en situation périlleuse
Le livre commence par rappeler l’épisode de « Sully » : la gestion de la défaillance des deux moteurs d’un Airbus juste après son décollage de NewYork, en 2009…
Si vous n’avez pas vu le film avec Tom Hanks, n’attendez pas, c’est une formidable illustration de « l’enfer des procédures », de l’importance du facteur humain.
Comme le rappelle Gareth Lock, « le problème des checklists (et des procédures), c’est qu’elles ne correspondent pas aux situations auxquelles les équipages et les opérateurs doivent faire face »…
Car pour faire face à la situation, Sully fit appel bien sûr à ses compétences techniques, celles d’un pilote très expérimenté, mais aussi – et surtout – à ses compétences « non techniques » : évaluation de la situation, prise de décision, communication avec tous, assurance mais aussi reconnaissance des faiblesses de chacun, sous le stress des événements.
Des compétences « non techniques » (ou soft skills) que l’on retrouvera tout au long du livre, et qui manque naturellement aux approches « techniciennes » (ou « bureaucratiques »).
Et ce film est aussi une illustration des questions posées par la « Just Culture » (un des thèmes de la Safety II) car, malgré l’issue heureuse de l’accident (aucun mort, quelques blessés légers), Sully dut faire face à une procédure judiciaire – car ses décisions avaient conduit à la perte de l’avion…
Le biais retrospectif
Le « Hindsight bias » est un des concepts clés à retenir dans ces nouvelles approches.
Beaucoup d’accidents (et, plus largement, d’événements passés) sont analysés à la lumière des connaissances actuelles. « Ils auraient du savoir »…
C’est un biais psychologique très répandu, ne croyez-vous pas ? Auquel nous cédons sans doute souvent, par réflexe. Mais que nous pouvons réprimer, avec plus ou moins de facilité. C’est aussi un biais organisationnel… car pour des raisons diverses, autant de responsabilité financière autant que d’autorité et de stabilité institutionnelle, il est plus simple de chercher une responsabilité et mieux, une culpabilité, que d’admettre que le système n’était pas infaillible. Ou mieux, que s’il n’était pas infaillible, c’est que ses concepteurs doivent être considérés comme coupables…
Quand la Safety I considère qu’on ne doit pas échouer, la Safety II accepte l’échec et l’accident, mais recherche les moyens « d’échouer en sécurité » - « to fail safely ».
Et on est là, évidemment, au cœur du concept de « résilience », un mot tant évoqué depuis des mois…
Car la Safety I recherche la « résistance ». Elle monte des murs, toujours plus hauts, toujours plus résistants… Mais se retrouve naturellement débordée lorsque la « vague » est plus haute, plus puissante, ou qu’elle s’infiltre dans les branches, ou contourne les lignes Maginot…
Tandis que la Safety II recherche à préserver la pérennité du système, y compris lorsqu’il est submergé ; la vie après l’accident ; la résilience.
Le pilier ou le réseau ?
Dans le paradigme de la « nouvelle sécurité », l’enjeu est donc moins de résister au danger – en considérant qu’il existera toujours un danger plus « fort » que les défenses – que de concevoir des systèmes permettant de s’adapter après le choc (adaptive capacity building).
Et les cas recueillis par Gareth Lock illustrent ces approches.
Dans le monde de la plongée – qui confronte les pratiquants à un univers hostile, puisque sans oxygène - , tous les éléments « rationnels » sont rassemblés pour garantir la sécurité de tous. Des procédures de qualification professionnelle des acteurs, des règles d’organisation hiérarchiques, des checklists permettant de s’assurer du bon fonctionnement des matériels, une redondance de ces matériels… Et pourtant, vous frémirez à la lecture de ces histoires qui pourraient mériter, pour plus de pédagogie, une reconstitution plus visuelle…
Car malgré ces constituants d’un pilier de sécurité solide, les accidents arrivent… Et dès lors, on voit que les réponses relèvent plus du « toujours plus de la même chose », de l’obstination bureaucratique, que d’une pratique agile, se reposant sur les autres, sur une approche globale.
Et sur une confiance renouvelée en l’homme : car « l’erreur humaine » (quel affreux terme, chargé d’un jugement de valeur a priori), est considérée, dans la Safety-II, non pas comme la cause de la défaillance du système, mais comme le symptôme de dysfonctionnements plus globaux, organisationnels, culturels… Un vrai changement de paradigme, n’est-ce pas ?
Alors, bien sûr, une des réticences à rechercher la cohésion et l’apprentissage des erreurs (des fondamentaux de la « Just Culture ») est la « nécessaire » punition des fautes. C’est une question clé de ces approches, et dont le pivot est la question de l’erreur « délibérée ». Un sujet complexe évidemment pour les organisations…
Mais « l’erreur humaine » est-elle la cause de la défaillance organisationnelle ou le symptôme ? Qui condamner ? L’opérateur ou l’organisation ? Et s’il ne fallait condamner personne, mais seulement travailler à ce que le système devienne plus résilient, demain ?
Développer sa vision périphérique
Un terme traditionnellement employé par la « Safety II » est la « situational awareness »… ou la conscience des situations… En lisant ces mots, le rationaliste classique peut, on le sent bien, avoir un haut le cœur…
Voilà encore des approches particulièrement molles… la conscience élargie, la conscience globale… Tout ça a du être inventé dans les années 80-90 par des anciens des années 70… hippies au cerveau abimé par des expériences chimiques… Ou en tous cas par des « psychologues », pas par des ingénieurs (ce qui est vrai, en tous cas pour l’origine du concept chez les psychologues).
Alors, proposons une alternative. Et par exemple, l’adoption d’une des recommandations des soldats au combat : développer sa vision périphérique à la fois pour identifier des menaces inattendues, et ne pas susciter l’attention de l’ennemi, et donc accroître le danger… C’est mieux ?
Quelque soit le terme retenu, il s’agit en tous cas de ne pas se focaliser sur le danger immédiat mais d’élargir, « en même temps », ses perceptions, de considérer les autres conséquences de décisions prises dans l’urgence, dans le silo. De reconnaître que, sous stress, on réagit selon des biais connus, avec des faiblesses. Et de se contraindre, malgré la menace qui obsède, gérer la crise globalement : pas comme une urgence, qui ne dure que quelques minutes ou quelques jours, mais comme une crise, qui s’établit dans la durée.
Gérer une urgence peut en effet justifier un management directif, ponctuel, qui détruit inévitablement la cohésion et la confiance. Gérer une crise nécessite un travail collectif, une cohésion sociale pérenne, fondé sur la confiance. Entre les deux, il faut choisir, et l’échelle du temps est un paramètre clé dans cette décision complexe.
Accepter l’incertitude
Pour prendre des décisions en situation de danger immédiat, plusieurs pistes sont proposées par les approches de la Safety II et le livre de Gareth Lock.
L’une d’entre elles est l’acceptation des incertitudes. Le risque ne doit pas toujours être pris comme un calcul, même compliqué. Car on ne mesure que ce que l’on connaît. Ce qui n’est pas le cas, par définition, des situations complexes, et de l’émergence de situations imprévisibles, par nature ou par combinaison de facteurs agrégés (un plus un fait parfois autre chose que deux…)
Face au risque, on peut prendre des décisions « logiques » basées sur les statistiques. Face à l’incertain, dans lequel certains risques sont inconnus, on ne peut se fier qu’à son intuition – un concept qui repose aussi sur l’expérience personnelle et l’apprentissage – des compétences « molles ».
Alors, ce qui est terrible, mais humain, c’est qu’on cherche toujours à se rassurer avec les chiffres… qui nous donnent des « certitudes », y compris lorsque la situation est complexe, et donc incertaine.
C’est le paradoxe de la dinde de Noël… A chaque jour qui passe, la probabilité que le fermier la nourrisse s’accroit, puisqu’il le fait tous les jours… Et c’est lorsque la probabilité est la plus élevée de la série statistique considérée (elle a été nourrie 99 jours sur 100) que le soir de Noël arrive…
Recourir à l’intuition ?
La perception du risque n’est donc pas qu’affaire de chiffres, c’est aussi une affaire d’expérience, d’environnement, d’émotions…
Dès lors, le recours aux travaux de Gary Klein, et à sa « prise de décision naturelle », est bienvenue dans le livre. Et ceci d’autant que, jusqu’à ce jour, cette approche n’était pas encore prise formellement en compte dans les travaux de la Resilience Engineering. Jusqu’à ce jour, puisque l’association qui fait vivre la Safety II a consacré un « webinar » en ce début novembre à ces approches croisées…
Le recours à l’intuition est plus complexe qu’il n’y paraît.
Car l’intuition est nourrie de l’expérience – et on le sait aussi dans le « drill » militaire -, qui permet de s’orienter « automatiquement » entre plusieurs scénarios dont on connaît, si ce n’est l’issue, au moins les quelques « coups » suivants.
Mais au-delà de l’intuition, lorsqu’on est dans l’imprévisible d’une situation complexe, il faut savoir aussi s’inspirer du « système 2 » de Daniel Kahneman, en prenant notamment le temps de développer un esprit critique collectif. La force du collectif, de l’esprit d’équipe plutôt que le « leadership » autoritaire, ou l’action bureaucratique… L’esprit d’équipe et la confiance plutôt que cette culture de l’imposition et de la défiance systématique qui, dit-on, caractérise le monde de « l’Absurdistan »…
Accepter d’avoir recours à cette « intuition », c’est aussi reconnaître toutes ses limites en situation de stress majeur ou tout simplement, et s’y préparer.
Un exemple ? Répondez vite à la question : « si une balle et une batte valent 11 euros, et que la batte vaut 10 euros de plus que la balle, quel est le prix de la balle ? » Puis vérifiez… il est fort probable que vos réflexes mentaux aient pris le dessus…
Et sous stress, Daniel Kahneman rappelle que « ce que vous voyez est tout ce qui importe » (« What you see is all there is »).
Alors, en situation d’incident de plongée comme au cœur des événements critiques que nous connaissons, de nombreux biais s’imposent à notre pensée « rationnelle », et notamment : une vision limitée de l’environnement, le danger possible imminent, une complexité due à des facteurs techniques et des facteurs humains… la peur…
Si on vous posait la même question sous une menace immédiate, que répondriez-vous ?
La sécurité psychologique aussi
Face à ces contraintes, les « rationalistes » de la Safety I et les partisans de la bureaucratie infaillible recommandent de « retrouver ses esprits »… c’est parfois possible.
Quand les praticiens de la Safety II recommandent de faire appel au collectif, à l’esprit d’équipe.
Car nous sommes tous soumis – et y compris les « meilleurs d’entre nous » - aux émotions, parfois refoulées mais toujours influentes. Dès lors, la seule régulation possible est celle du collectif. A condition que ce « collectif » puisse prendre la parole librement. C’est ce qui se trouve au cœur des approches de la sécurité psychologique (« psychological safety »).
La sécurité psychologique, c’est la possibilité de parler librement. C’est donc aussi le sentiment de faire vraiment partie d’une équipe, dont on attend plus de solidarité et d’écoute que de menaces ou de contraintes. Car la peur nuit à la capacité d’analyse des situations, de perception et de prise de décision. Elle empêche aussi la prise de parole, dès lors qu’elle constitue une prise de risque, au moins morale.
L’enjeu de créer de la sécurité psychologique dans une équipe est donc crucial pour affronter des situations de crise.
Comment imaginer alors l’efficacité de la gestion d’une crise brutale par une équipe dans laquelle la confiance n’existe pas, et dont les membres sont mus soit par la compétition, soit par le contrôle, la peur, la verticalité ? Dans un contexte de concurrence (électorale par exemple) et sous la menace de poursuites judiciaires, ou au moins d’orgueil écorné médiatiquement par exemple, la question de la confiance collective peut se poser.
Mais quand il s’agit de vie et de mort en opérations, pour soi et pour les autres, c’est une condition de succès indispensable, qui dépasse les égos.
Un des bénéfices de la sécurité psychologique est la qualité de la communication, des échanges. On parle, et on écoute. Interviennent là d’autres facteurs. Le verbal, bien sûr, avec la nécessaire explicitation de l’intention, des ressentis, au-delà des barrières de langage, de culture. Le non-verbal également – et les contraintes du « travail à distance » mettent cette question au cœur de l’actualité.
Le passé aussi. Si les relations sont mauvaises ou la confiance a été rompue, la qualité de la communication, y compris bien sûr en situation de crise, ne sera pas de bonne qualité. Si vous avez le temps de reconstruire la confiance, c’est un préalable. Mais en situation d’urgence, vous pouvez ne pas être, pour ces raisons, le bon messager – et il faut alors considérer la nécessité de « passer la main ».
Proche de la « sécurité psychologique », le livre évoque aussi les effets des gradients d’autorité… et là encore de l’importance de pouvoir parler. On retrouve ici les inconvénients du pouvoir « sur » (l’approche bureaucratique wébérienne), alors qu’il faut penser « pouvoir avec » (l’approche d’Hanna Arendt). Il y a donc évidemment un chapitre dédié au « leadership », mais associé à un « followership » très original – même si la référence à Arendt manque ici, car ses réflexions sur le pouvoir, les « leaders » et les « suiveurs » est fondatrice. Sachant que le « followership » se traduit aussi par la capacité à prendre la parole, pour améliorer la performance et la sécurité collectives.
En tous cas, Lock propose une très belle formule sur le leadership : « le leadership, ce n’est pas d’être ‘en charge de’… C’est de prendre soin de ceux qui sont ‘en charge de’, de les développer et de les motiver d’une façon qui réponde aux besoins des membres de l’équipe, pour leur permettre d’atteindre les objectifs de l’équipe ».
S’appuyer sur ce qui fonctionne, et sur ceux qui y contribuent
Au cœur de la Resilience engineering, il y a le « débriefing », le « retour sur expérience », REX ou RETEX des opérations militaires. Mais ce débriefing n’est pas la recherche exclusive de ce qui n’a pas fonctionné comme prévu…
Là encore, nous avons des biais…
L’évolution humaine nous a poussé, depuis des millénaires, à nous concentrer sur ce qui ne fonctionnait pas, pour prévenir d’autres accidents. Au quotidien, d’ailleurs, ne répondez-vous jamais « je n’ai rien à dire » quand on vous demande ce que vous avez pensé de l’exécution parfaite d’un exercice, ou d’un morceau de piano, d’un mouvement de danse, d’un de vos enfants ? Et évidemment aussi dans le monde professionnel.
Alors que vous pourriez répondre (et peut-être le faites-vous) « c’était parfait ! », ou même « ce moment-là était très bien réalisé ».
Car en recherchant uniquement les défaillances, on n’apprend pas de ce qui a bien fonctionné – et qui pourtant est essentiel dans une démarche de « résilience » -. Et on place l’autre dans une situation d’accusation, de défiance et de peur… qui ne contribue pas non plus à la résilience collective.
Et ceci d’autant que, dans le paradigme de la Safety I – l’application des règles plutôt que la résilience, on privilégie toujours la contention, l’imposition – toujours plus de la même chose – plutôt que l’extension, apprendre aussi ce qui marche, et s’appuyer sur celles et ceux qui contribuent à l’objectif partagé.
Enfin, la mobilisation du collectif – et son adhésion à un projet commun - ne peut jamais se faire au moyen d’une procédure trop détaillée, mais seulement autour d’un objectif partagé (de sécurité, dans ce cas précis). Plus on détaille, plus les « détails » sont susceptibles d’être remis en cause, parce qu’inadaptés, ou infantilisants et donc irrespectueux… C’est ce qu’on appelle, dans les méthodes de conduite de changements complexes, les « minspecs », les spécifications minimales… Toute ressemblance avec une situation actuelle serait bien entendu totalement fortuite.
Au moment de conclure, une mise en garde enfin : lorsque vous aurez gouté à ces nouvelles approches, vous ne pourrez peut-être plus vous en passer… et votre regard sur la gestion des crises s’en trouvera, selon votre point de départ initial, soit conforté, soit radicalement changé. Vous aurez basculé dans le « nouveau paradigme »…
Vous trouverez dans l’ouvrage de Gareth Lock, et à chaque chapitre, les références de nombreux livres qui font autorité dans le domaine, dans un style académique ou plus narratif, et qui permettront à ceux qui le souhaitent de prolonger leur « plongée » dans ces nouvelles approches…
Et puis il y a une autre façon de prolonger cette lecture : en parler ensemble ! N’hésitez pas…
Gareth Lock, « Under pressure »
The Human Diver, 2019