GISEH 2010

AMDEC+ : Une extension de la méthode AMDEC

comme interface entre la qualité et la sécurité du SIH

Buri Michel, Gnaegi Alex, Fumeaux Yann

Clermont-Ferrand – 3 septembre 2010

Contexte

• « Qualité » et « Sécurité » : Un objectif commun, mais…

- Assurer qu’une activité soit sûre malgré la présence de menaces
internes ou externes, mais elles se différencient au niveau de leur nature
Qualité : Menaces internes exercées de manière non
non--intentionnelle et issues
d’erreurs de jugement ou d’exécution
Sécurité : Menaces internes ou externes exercées de manière intentionnelle
et issues d’erreurs
erreurs non-
non-intentionnelles ou intentionnelles
La sécurité-innocuité – ou « Safety » – concerne l’aptitude d’un système à ne pas
connaître d’événements
événements critiques de nature aléatoire → Qualité

La sécurité-confidentialité – ou « Security » – concerne l’aptitude d’un système à se

prémunir de la manipulation volontaire non autorisée de l’information à des fins
malveillante → Sécurité

« Safety » et « Security » : Dans le secteur de la santé…

- Prise en charge des patients → Sécurité-innocuité (« Safety »)
La sécurité-confidentialité est liée à la sécurité-confidentialité du SIH
« Degré Informatisation Hôpitaux » → « Lien Safety – Security »
[IATAC : Software security assurance, 2007] [A. Desroches et al. : La gestion des risques – Principes et pratiques, Hermes Sciences, 2007]

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 2

Objectifs

• Modélisation de la sûreté de fonctionnement (informatique)

Spécificité : Nature intangible de l’information

Disponibilité : Aptitude d’un système à

être en état d’accomplir une mission
spécifique à un instant t donné

Intégrité : Aptitude d’un système à prévenir

non-autorisée de son état
une altération non-
informationnel

Confidentialité : Aptitude d’un système à

prévenir une divulgation non-
non-autorisée
d’information

Auditabilité : Aptitude d’un système à être

audité

→ Méthode d’analyse ?

[A. Desroches et al. : La gestion des risques – Principes et pratiques, Hermes Sciences, 2007]

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 3

Méthode AMDEC+ : Une extension de AMDEC

Méthode AMDEC
- AMDEC = Analyse des Modes de Défaillance, de leurs Effets et de leur
Criticité
Synonyme : FMECA = Failure Mode, Effects and Criticality Analysis
But : Optimaliser la fiabilité d’un produit, d’un processus, d’un service, … en
prévenant l’apparition de risques

- Définitions
La défaillance est définie comme la non-réalisation d’une fonction attendue
d’un système
Le mode de défaillance est défini par la manière avec laquelle une fonction
subit une défaillance. Chaque mode de défaillance est qualifié par sa gravité
(G), son occurrence (O) et sa détectabilité (D)
L’effet
effet défini comme les conséquences de la défaillance
La criticité traduit le niveau de danger résultant de la défaillance. Cette criticité
est mesurée par l’indice de priorité du risque (IPR = G x O x D)

Méthode d’analyse inductive (cause → mode de défaillance → effets) combinant les

évaluations qualitative et quantitative
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 4
 Méthode AMDEC+ : Une extension de AMDEC

Déroulement d’une analyse AMDEC

Critères de fiabilité

Indice de priorité du risque

Mode de défaillance

Causes du mode

IPR = G x O x D)
Détectabilité (D)
Occurrence (O)
Effets du mode
de défaillance

de défaillance

Gravité (G)
Activité

(IPR
… … … … … … … …
… …
1… … … … … …
… …2 … … … … … …

Qualitatif Quantitatif

Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 5

Méthode AMDEC+ : Une extension de AMDEC

Méthode AMDEC+
- La méthode AMDEC+ est dérivée de la méthode AMDEC, à laquelle elle
ajoute les critères de sécurité de l’information
AMDEC : Critères de fiabilité
Gravité / Occurrence / Détectabilité (processus)

AMDEC+ : Critères de fiabilité + Critères de sécurité de l’information

Gravité / Occurrence / Détectabilité
Disponibilité / Intégrité / Confidentialité / Auditabilité (information)

But : Optimaliser la fiabilité et la sécurité – et donc la sûreté de fonctionnement

– du SIH en prévenant l’apparition de risques

- Principe d’analyse
Explicitation des critères de fiabilité en termes de critères de sécurité
Exemple : La gravité d’un mode de défaillance est notée 9/10
Cette gravité est-elle liée à la disponibilité de l’information ? A son intégrité ? A sa
non-divulgation ?

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 6

 Méthode AMDEC+ : Une extension de AMDEC

Déroulement d’une analyse AMDEC+

Interface « Qualité – Sécurité »

Indice de priorité du

Indice de priorité du
Mode de défaillance

(IPR = D x I x C x A)
Confidentialité (C)

risque de sécurité
risque de fiabilité
(IPR = G x O x D)
Causes du mode

Disponibilité (D)
Détectabilité (D)
Occurrence (O)
Effets du mode

Auditabilité (A)
de défaillance

de défaillance

Intégrité (I)
Gravité (G)
Activité

… … … … … … … … … … … … …
… … 1
… … … … … … … … … … …
… 2
… … … … … … … … … … … …

Qualitatif Quantitatif

Qualité Sécurité
Etape 1 Etape 2
Echelles typiques d’évaluation de la fiabilité : 10 niveaux (1 = non-significatif, 10 = vital, certain, non détectable)
Echelles typiques d’évaluation de la sécurité : 5 niveaux (1 = non-significatif, 5 = critique)

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 7

AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Contexte

- Mandat : Dans le contexte de la médecine de laboratoire…
…évaluer l’adéquation
adéquation de la méthode AMDEC+ aux besoins de l’institution
…évaluer la valeur ajoutée de la méthode AMDEC+ pour les parties prenantes

- Objectifs
Qualité : Evaluation des dysfonctionnements critiques potentiels et
identification des mesures d’amélioration

Sécurité : Evaluation des risques potentiels liés à l’information et identification

des éléments d’alignement « Business – IT »

- Périmètre : Processus de traitement des demandes d’analyse médicale

- Equipe de projet : Equipe multidisciplinaire – Centralisation, Chimie,
Hématologie, Bactériologie, Qualité, Informatique et Sécurité SI

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 8

AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Déroulement

- Principales étapes
Présentation des travaux AMDEC réalisés aux Hôpitaux Universitaires de
Genève
Description précise du périmètre et formalisation des processus à analyser

Définition et validation des échelles de notation et critères d’acceptation des

risques de fiabilité
Identification (metaplan) et évaluation des modes de défaillance

Sélection des risques de fiabilité « non-acceptables »

Identification et évaluation de l’efficacité des mesures de réduction des risques

- Planification
Durée du projet : 6 mois
Charge de travail :
6 séance de pilotage du projet (1 heure/séance)
11 séances de travail (2 heures/séance)
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 9
 AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Résultats

- Statistiques
83 dysfonctionnements ont été identifiés, dont 17 (14%) ont été retenus sur la base
des critères d’acceptation des risques
36 mesures de réduction de risque ont été proposées
Les mesures technologiques (2) permettent de réduire la criticité de 11
dysfonctionnements majeurs

- Top5 : Les modes de défaillances les plus critiques

Criticité Criticité Support
Id Activité Sous-Activité Mode de défaillance
Fiabilité Sécurité IT ?

1 Enregistrer la demande Contrôler les enregistrements Erreur de contrôle 486 1 Non

Erreur de tube durant la
2 Traitement de l’échantillon Décanter 486 1 Non
décantation
3 Enregistrer la demande Identifier les échantillons Erreur d’étiquetage 432 1 Non

Erreur d’étiquetage des tubes

4 Traitement de l’échantillon Décanter 432 1 Non
secondaires

5 Enregistrer la demande Enregistrer la demande Erreur de saisie dans logiciel 360 15 Oui

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 10

 AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Résultats

- Top5 : Les modes de défaillances les plus critiques et plan de
traitement (extrait)
Criticité Criticité
Fiabilité Fiabilité
Id Activité / Sous-Activité Mode de défaillance Mesure de réduction
« avant » « après »

[G/O/D] [G/O/D]
324 Prescription connectée et contrôle
Enregistrer la demande
486 [9/4/9] simple
1 Erreur de contrôle
Contrôler les 135
[9/6/9] Prescription connectée et contrôle
enregistrements
[9/3/5] double
216
Enregistrer la Lien avec le logiciel des cabinets
demande 360 [9/4/6] privés
Erreur de saisie
5
dans logiciel Le traitement du mode de
Enregistrer la [9/5/8]
- défaillance nécessite la mise en
demande
place d’un groupe de travail
- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une prescription papier
- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes secondaires au lieu d’une
décantation et d’une gestion des tubes manuelles faite dans chaque laboratoire
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 11
AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Interprétation des résultats

- Les dysfonctionnements de criticité élevée sont relatifs à des erreurs de
manipulation (e.g. erreur de tri, erreur de saisie)

- En général, les dysfonctionnements portés par des moyens

informatiques n’obtiennent pas une haute criticité (stabilité de
WinDMLab/LIS, procédure de panne en place)

- Les mesures de réduction de risques basées sur des moyens

informatiques réduisent de manière significative la criticité de certains
dysfonctionnements, mais elles introduisent de nouveaux risques
technologiques

- Les mesures de réduction n’ont pas permis de réduire la gravité des

dysfonctionnements

Ce constat est relativement souvent fait dans les secteurs d’activités où la

sécurité de personnes est engagée (e.g. santé, aviation civile, industrie
nucléaire)

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 12

AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Principales difficultés rencontrées

- Le périmètre initial était trop large,

large nécessitant une nouvelle définition
- L’évaluation
évaluation de la gravité des modes de défaillance a été relativement
difficile
La participation d’un médecin clinicien/requérant au groupe de travail est
requise

- Le manque d’expérience et la complexité du sujet initial ont mené à

modifier certaines notations d’une séance à l’autre
- L’évaluation quantitative des dysfonctionnements n’est pas facile, car
sujette aux biais cognitifs

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 13

AMDEC+ : Validation de la méthode

Projet-pilote « AMDEC+ » – Retour sur expériences

- Le projet pilote a suscité un intérêt certain auprès de l’équipe de projet
- La méthode permet de passer au dessus des réactions émotionnelles
face à un dysfonctionnement en portant l’attention sur les erreurs, et non
sur les fautes
- L’analyse
analyse commune et la critique positive ont permis de mettre en
évidence des dysfonctionnements et d’identifier des pistes d’amélioration
du processus analysé

Projet-pilote « AMDEC+ » – Valeurs ajoutées

- Promotion d’une approche métier globale
- Création d’un levier important d’alignement
alignement « Business – IT »
- Mise en commun et partage des connaissances entre parties prenantes
- Promotion d’une culture d’entreprise consciente des risques
- Promotion d’une démarche consolidée entre la qualité et la sécurité
basée sur les risques → sûreté de fonctionnement du SIH
GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 14
Conclusions

Première itération « AMDEC+ »

Expérience positive et probante

Prochaines étapes « AMDEC+ »

Validations dans le domaine clinique (base : activités à risques, CIRS)
Prescription et distribution des médicaments
Préparation et administration des chimiothérapies

Principales valeurs ajoutées

1. Démarche intégrée « Qualité » (processus) et « Sécurité » (information)
basée sur le risque
→ Amélioration continue de la sûreté de fonctionnement du SIH
2. Culture d’entreprise consciente des risques
→ Problèmes de fiabilité et de sécurité thématisés ouvertement
3. Partage de connaissances entre parties prenantes
→ Organisation apprenante

CIRS : Critical Incident Reporting System

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 15

 Merci de votre attention !

GISHE 2010 – Clermont-Ferrand RSV – 3 septembre 2010 | 16

AMDEC+ : Une extension de la méthode AMDEC comme interface
entre la qualité et la sécurité du système d’information hospitalier
Buri Michela, Gnaegi Alexa, Fumeaux Yanna

aService d’informatique médicale et administrative, Institut Central des Hôpitaux Valaisans, Réseau Santé
Valais, Av. Grand-Champsec 86, 1950 Sion, Suisse. Tél +41 27 603 49 80. michel.buri@ichv.ch.

Résumé
Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et
de la communication dans le système d’information hospitalier des établissements de santé trouve
aujourd’hui une justification médicale et économique. Un des corollaires de cette stratégie est la création
d’une dépendance critique des activités principales des hôpitaux vis-à-vis de ces technologies. Cette
dépendance soulève une problématique centrale de sûreté de fonctionnement du système d’information
hospitalier, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques et
organisationnels. Pour gérer ces nouveaux risques, une nouvelle méthode d’analyse AMDEC+ a été définie
dans le but d’identifier les points d’interface – ou de collaboration – entre les domaines de la qualité et de la
sécurité du système d’information. Si un projet-pilote, mené dans le domaine de la médecine du laboratoire,
a permis d’effectuer une première validation probante de la méthode AMDEC+, celle-ci devra encore être
affinée et validée à plus large échelle, et notamment dans le domaine clinique.

Mots clés : Interopérabilité et sécurité des systèmes d’information, sûreté de fonctionnement, évaluation
des risques, AMDEC

1. Introduction
Une stratégie d’innovation basée sur un engagement massif des nouvelles technologies de l’information et
de la communication (NTIC ci-après) dans le système d’information hospitalier (SIH ci-après) des
établissements de santé trouve aujourd’hui une justification médicale et économique. La justification
médicale est liée au besoin fondamental de l’activité médicale de disposer d’une quantité importante
d’information d’une part et, d’autre part, au fait que les connaissances dans ce domaine augmentent
exponentiellement, élargissant notre compréhension scientifique des maladies, des traitements et des plans
de soins. Pour répondre à ces besoins croissants de partage de l’information et de la connaissance,
(Fieschi, 2003) suggère que le but de l’utilisation des NTIC dans le secteur de la santé est de favoriser la
coordination des professionnels de la santé et leur coopération étroite pour améliorer la prise en charge des
malades. La justification économique est, quant à elle, liée à la spécificité du secteur de la santé d’être très
intensif en main d’œuvre. Selon (Fieschi, 2003), la mise en place du partage de données de santé
médicales devrait permettre aux hôpitaux de réaliser des économies que certains experts évaluent entre 20
et 30% des coûts totaux.

Les corollaires de cet engagement important des NTIC dans le secteur de la santé sont de plusieurs ordres.
D’une part, il y a la création d’une dépendance critique des activités principales des hôpitaux vis-à-vis de
ces technologies. Cette dépendance soulève une problématique centrale de sûreté de fonctionnement du
SIH, avec une incidence directe sur l’exposition à de nouveaux risques iatrogènes, technologiques,
logistiques et organisationnels liés à son exploitation. D’autre part, avec les évolutions à venir (e.g.
interconnexion des acteurs de la santé, introduction de la carte du professionnel de la santé et de la carte
d’assuré), les organes de régulation et les patients vont probablement encore accentuer la pression sur les
établissements de santé afin de garantir la protection des données personnelles.

Dans ce contexte, la maîtrise des risques liés à une introduction massive des NTIC dans la chaîne de
valeur des hôpitaux devient un enjeu critique dans la gestion de la sûreté de fonctionnement du SIH. Une
gestion appropriée des points d’interface entre la qualité et la sécurité du SIH – et ainsi la collaboration
entres les professionnels de la qualité et de la sécurité de l’information – prend ainsi, dans une perspective
de sécurité du patient, une importance croissante.

Notre travail a porté sur l’étude de la sûreté de fonctionnement d’un SIH basée sur l’analyse de deux de ses
paramètres fondamentaux : la fiabilité du système et la sécurité de l’information. Pour réaliser cette étude,
une nouvelle méthode d’analyse AMDEC+ a été définie. L’objectif poursuivi dans ce travail exploratoire est
d’identifier les points d’interface entre deux notions étroitement liées dans le domaine des systèmes
d’information de santé, à savoir la sécurité-innocuité (« Safety ») et la sécurité-confidentialité (« Security »)
(Kluge et al., 2001). Plus largement, il s’agit d’identifier les points d’interface – ou points de collaboration –
entre les domaines de la qualité et de la sécurité sur lesquels les efforts de réduction de risques devraient
être engagés dans une perspective d’amélioration continue de la sûreté de fonctionnement du SIH.

2. Objectifs
Le Réseau Santé Valais (RSV), qui regroupe l’ensemble des hôpitaux publics du Canton du Valais (Suisse),
a entrepris, dès 2004, un important projet d’informatisation des activités hospitalières, avec le
remplacement des dossiers médicaux et administratifs par des dossiers informatisés. Actuellement, ce sont
quelque 2500 médecins et soignants et 1000 collaborateurs administratifs qui réalisent leur mission
quotidienne à l’aide de systèmes de traitement de transactions cliniques et administratives. Un certain
nombre d’autres projets d’informatisation ont été menés, tant au niveau opérationnel (e.g. informatisation de
la saisie des prestations, imagerie médicale) qu’au niveau stratégique (e.g. tableau de bord prospectif),
accroissant encore le niveau de dépendance des métiers de l’hôpital par rapport au SIH.

Parallèlement à cette informatisation massive des activités de l’hôpital, le RSV a initié, dès 2008, une
démarche intégrée d’analyse des risques d’entreprise. La première étape de cette démarche a abouti, fin
2009, avec la publication d’une série de rapports de risques, et notamment celui relatif aux risques
d’entreprise liés au SIH. C’est dans cette étape initiale de la démarche d’analyse des risques que le projet-
pilote AMDEC+ a été mené, avec le mandat d’évaluer la valeur ajoutée de cette nouvelle méthode pour les
parties prenantes et son adéquation aux besoins de l’organisation. Les buts poursuivis avec la réalisation
de ce projet-pilote ont été déclinés selon deux axes :
- Qualité : Il s’agit d’évaluer les dysfonctionnements critiques du processus étudié et d’identifier les
mesures d’amélioration à apporter ;
- Sécurité de l’information : Il s’agit d’évaluer les risques liés à l’information et d’identifier les
éléments d’alignement des prestations informatiques aux besoins des métiers.
Le champ d’application du projet-pilote a été limité au processus de traitement des demandes d’analyses
médicales dont les activités sont détaillées dans le Tableau 1.
Tableau 1 Processus de traitement des demandes d’analyses
Légende :
- Check-Out : Transfert d’un échantillon vers un autre site d’analyse
- Check-In : Réception d’un échantillon provenant d’un autre site d’analyse

Activité Sous-activité
Réception des caisses, cartouches, pochettes
Réception du matériel
Tri du contenu
Enregistrer la demande
Enregistrer la demande Identifier les échantillons
Contrôler les enregistrements
Répartition des échantillons
Traitement de l’échantillon Centrifuger
Décanter
 Activité Sous-activité
Distribution dans les places de travail
Imprimer les listes
Préparation des échantillons
Vérifier que les analyses soient terminées sur le site courant
Effectuer le Check-Out
Effectuer le Check-Out
Préparation des caisses
Vérifier que tout le matériel a bien été envoyé
Effectuer le Check-In
Effectuer le Check-In
Imprimer les nouvelles étiquettes

3. Méthode d’analyse de la sûreté de fonctionnement : AMDEC+

Une nouvelle méthode d’analyse a été définie pour répondre à l’objectif fixé pour le projet-pilote : la
méthode AMDEC+. Fondamentalement, AMDEC+ reprend les principes et concepts de la méthode
AMDEC, elle-même dérivée de la méthode AMDE normalisée (NF EN 60’812). Toutefois, elle étend les
critères de fiabilité du processus définis par AMDEC avec des attributs fondamentaux de la sécurité de
l’information. Leur champ d’application est l’analyse de fiabilité, et, plus spécifiquement, l’étude des risques
de fiabilité des systèmes.

3.1 Méthode d’analyse de fiabilité AMDEC

Historiquement, la méthode AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité)
a été développée, dès la fin des années 1950, par l’armée américaine pour identifier, dans les domaines de
l’armement nucléaire et de l’aéronautique, l’impact des défaillances sur le personnel et sur la réussite des
missions. Dans les années 1960, la NASA a utilisé cette méthode dans le cadre de ses programmes Apollo.
Puis, dès les années 1970, l’usage de cette méthode est devenu fréquent dans d’autres secteurs
industriels, telles l’industrie chimique, l’industrie automobile ou encore l’aérospatiale (Faucher, 2009). La
déclinaison sectorielle spécifique au domaine de la santé de la méthode AMDEC est connue sous les
termes anglais « HFMEA » ou « HFMECA ».

D’un point de vue analytique, AMDEC est une méthode d’analyse inductive, essentiellement qualitative, de
risques a priori de fiabilité. Elle est basée sur le principe de détection des défauts à un stade précoce dans
le but d’éliminer, ou de minimiser, les conséquences négatives pour le système, l’environnement et les
personnes. Elle repose sur les quatre concepts suivants :
- La défaillance qui est définie comme la non-réalisation, ou la cessation, d’une fonction attendue
d’un système ;
- Le mode de défaillance qui est défini par la manière avec laquelle une fonction subit une
défaillance. Chaque mode de défaillance est qualifié par sa gravité (G), son occurrence (O) et sa
détectabilité (D) ;
- L’effet qui est défini comme les conséquences de la défaillance ;
- La criticité qui traduit le niveau de danger résultant de la défaillance. Cette criticité est mesurée par
l’indice de priorité du risque (IPR). Plusieurs méthodes d’évaluation existent pour déterminer cet
indice, la plus fréquente étant une simple multiplication (IPR = G x O x D).
Dans le secteur de la santé, un certain nombre de travaux ont été menés sur les méthodes de gestion des
risques a priori. Il ressort de ces travaux (Erbault et al., 2000 ; Vanura et al., 2002) que la méthode AMDEC
est l’une des méthodes industrielles qui peut être appliquée dans le secteur de la santé. Un certain nombre
d’applications pratiques de la méthode AMDEC (Bonnabry et al., 2008 ; Govaerts et al., 2008) ont
également démontré sa pertinence dans l’amélioration de la fiabilité de processus critiques des hôpitaux.
Le Tableau 2 présente une fiche d’analyse typique utilisée dans une démarche AMDEC processus.
Tableau 2 Fiche d’analyse typique AMDEC-processus

Indice de priorité
Causes du mode

Effets du mode
de défaillance

de défaillance

Détectabilité
Occurrence
défaillance

du risque
Mode de
Activité

Gravité

(IPR)
(G)

(O)

(D)
[1] [2] [3] [4] [5] [6] [7] [8]
… … … … … … … …

La fiche d’analyse AMDEC comporte une première zone de description qualitative des modes de
défaillance étudiée (cf. colonnes [1] à [4] ci-dessus) et une seconde zone pour leur évaluation quantitative
(cf. colonnes [5] à [8] ci-dessus).

3.2 Méthode d’analyse de sûreté AMDEC+

L’innovation introduite par la méthode AMDEC+ tient à l’extension des critères de fiabilité du processus
définis par AMDEC avec ceux de la sécurité de l’information, à savoir la disponibilité, l’intégrité, la
confidentialité de l’information, ainsi que l’auditabilité du système d’information hospitalier. Le Tableau 3
présente la fiche d’évaluation utilisée dans une démarche AMDEC+ processus. Cette fiche se différencie de
la fiche AMDEC avec l’ajout des quatre critères de sécurité de l’information dans la seconde zone dédiée à
l’évaluation quantitative du mode de défaillance (cf. colonnes [5] à [13]).
Tableau 3 Fiche d’évaluation AMDEC+ processus

Confidentialité (C)
Indice de priorité

Indice de priorité
Causes du mode

Disponibilité (D)
Détectabilité (D)
Occurrence (O)
Effets du mode

Auditabilité (A)
de défaillance

de défaillance

(IPR sécurité)
(IPR fiabilité)
Gravité (G)

Intégrité (I)
défaillance

du risque

du risque
Mode de
Activité

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
… … … … … … … … … … … …

Concrètement, les notations des critères de fiabilité (i.e. gravité, occurrence, détectabilité) d’un mode de
défaillance devront être explicitées en termes de critères de sécurité de l’information (i.e. disponibilité,
intégrité, confidentialité, auditabilité). Un exemple de cette déclinaison est présenté dans le Tableau 4. Dans
ce tableau, la ligne 1 met en évidence un mode de défaillance « Erreur de saisie du patient » qualifié d’une
criticité de 360/1000 (G=9, O=5, D=8) pour la fiabilité, et de 15/75 pour la sécurité de l’information (cf.
section 4). La gravité obtient une notation de 9/10 (complication avec séquelles graves) basée sur le risque
iatrogène important induit par le mode de défaillance. Au niveau de l’occurrence, celle-ci est notée 5/10
(occurrence peu fréquente, documentée), avec une cause liée à l’intégrité informationnelle du SIH, qui
obtient une notation maximale de 5/5 (certification a priori). Enfin, la détectabilité est notée 8/10 (probabilité
modérée de détecter l’erreur après qu’elle ait atteint le patient, pendant ou après l’hospitalisation), avec une
cause liée à la qualité de la traçabilité applicative, qui obtient une notation de 3/5 (SIH auditable). On notera
que ni la disponibilité, ni la confidentialité de l’information ne sont des facteurs aggravant la criticité du mode
de défaillance. La ligne 2 du tableau met en évidence que le mode de défaillance « Erreur de saisie du code
d’analyse » justifierait la définition d’une mesure de réduction du risque au niveau de la qualité du
processus (IPR « fiabilité » = 210/1000), mais pas au niveau de la sécurité de l’information (IPR « sécurité »
= 3/75). Le constat inverse peut être fait pour le mode de défaillance « Panne des postes d’enregistrement
(PC) » (cf. ligne 3).

Tableau 4 Exemple d’utilisation de la fiche d’évaluation AMDEC+

Légende :
- G : Gravité D : Disponibilité
- O : Occurrence I : Intégrité
- D : Détectabilité C : Confidentialité
- IPR : Indice de priorité du risque A : Auditabilité

Critère de Critères de sécurité

Activités Mode de défaillance
fiabilité de l’information
Ligne
Résultats
Description Description G O D IPR D I C A IPR
attendus
1 Erreur de saisie du patient 9 5 8 360 1 5 1 3 15
Erreur de saisie du code
2 Enregistrer la Demande 6 5 7 210 1 3 1 1 3
d’analyse
demande enregistrée
Panne des postes
3 7 1 1 7 5 1 1 1 5
d’enregistrement (PC)

Ces exemples d’utilisation de la méthode AMDEC+ montrent que les critères étendus d’évaluation (cf.
colonnes [5] à [13], Tableau 3) constitue une zone d’interface entre la sécurité-innocuité (« Safety ») et la
sécurité-confidentialité (« Security ») du SIH, respectivement entre la qualité et la sécurité du système
d’information hospitalier. La mise en œuvre de la méthode AMDEC+ est également génératrice d’une
quantité importante d’information et de connaissances relatives à la sûreté de fonctionnement du SIH. En
effet, les questions auxquelles le professionnel de la santé sera amené à réfléchir sont typiquement : «Vous
avez évalué la gravité de ce mode de défaillance à 9/10. Est-ce parce qu’il y a des problèmes de
disponibilité de l’information ? Ou est-ce parce que l’intégrité des données n’est pas garantie dans tel
cas d’utilisation ? », ou encore « Vous avez évalué la gravité de ce mode de défaillance à 7/10. Quel serait
cette gravité si la durée maximale d’indisponibilité de l’information passait de 4 heures à 8 heures ?». Tous
ces éléments pourront être exploités par les professionnels de la qualité et de la sécurité de l’information
dans leur domaine respectif, et notamment dans la définition cohérente de plans de traitement des risques.

4. Validation de la méthode AMDEC+

Pour mener ce projet-pilote de validation de la méthode AMDEC+, une équipe de projet multidisciplinaire a
été constituée. Avec une dotation de dix personnes, cette équipe comprenait des professionnels des
laboratoires d’analyses médicales, de la qualité, de l’informatique médicale et de la sécurité des systèmes
d’information. Le projet-pilote s’est déroulé sur une période de six mois, avec une charge de travail
individuelle de quelque 30 heures.

Les échelles d’évaluation des critères de fiabilité (i.e. gravité, occurrence, détectabilité) utilisées dans le
projet-pilote ont été établies sur la base de travaux menés dans ce domaine (Bonnabry et al., 2008 ; Vanura
et al., 2002), ainsi que sur les recommandations émises par le centre national américain pour la sécurité
des patients (NCPS) dépositaire de la marque « HFMEA ». Chacune des trois échelles comportant un
classement à dix niveaux (1 = non-significatif, 10 = vital, certain, non détectable), l’indice de priorité du
risque de fiabilité (IPR) maximal est de 1'000 (G=10 x O=10 x D=10).

Quant aux échelles d’évaluation des critères de sécurité de l’information (i.e. disponibilité, intégrité,
confidentialité, auditabilité), elles ont été établies sur la base de recommandations spécifiques au secteur
de la santé (GMSIH-PFS, 2004 ; DFE-AEP, 2007), ainsi que sur la base de la politique générale de gestion
 des risques du RSV. Chacune des quatre échelles comporte un classement à cinq niveaux (1 = non-
significatif, 5 = critique, vital, catastrophique). L’indice de priorité du risque de sécurité (IPR) maximal
théorique est de 625 (D=5 x I=5 x C=5 x A=5). Toutefois, comme il est relativement peu vraisemblable
qu’un mode de défaillance ne soit induit par un incident de sécurité impactant plus que trois des quatre
paramètres de sécurité de l’information, l’indice de priorité du risque maximal a été artificiellement fixé à 75.

5. Résultats de l’étude AMDEC+

Le Tableau 5 présente les cinq modes de défaillances les plus critiques du processus de traitement des
demandes d’analyses, ainsi que le plan de traitement proposé par l’équipe de projet. Les valeurs de la
colonne « Criticité Avant » représentent la criticité du mode de défaillance analysé avant la mise en œuvre
de la mesure de réduction du risque. La colonne « Criticité Après » donne la valeur de la criticité avec le
plan de traitement.
Tableau 5 Top 5 – Les modes de défaillance les plus critiques et les mesures de réduction du risque

Légende :
- Prescription connectée : Prescription électronique de l’examen par le requérant au lieu d’une
prescription sur un support papier
- Chaîne pré-analytique : Automatisation et centralisation de la décantation et de la gestion des tubes
secondaires au lieu d’une décantation et d’une gestion des tubes manuelles faite dans chaque
laboratoire

IPR IPR IPR

Mode de fiabilité sécurité fiabilité
Id Activité / Sous-Activité Plan de traitement
défaillance « avant » « avant » « après »
[G/O/D] [D/I/C/A] [G/O/D]
324 Prescription connectée
Enregistrer la demande /
Erreur de 486 [9/4/9] et contrôle simple
1 Contrôler les 1
contrôle [9/6/9] 135 Prescription connectée
enregistrements
[9/3/5] et contrôle double
405 Travailler avec les tubes
Traitement de Erreur de tube [9/5/9] primaires, si possible
486
2 l’échantillon / durant la 1 Chaîne pré-analytique –
[9/6/9] 9
Décanter décantation Automatisation des
[9/1/1]
décantations
Eviter de coller le code-
360 barres du laboratoire sur
[9/5/8] l’étiquette des données
patient
Chaîne pré-analytique -
288
Automatisation de la gestion
[9/4/8]
Erreur des tubes secondaires
Enregistrer la demande / 432
3 d’identification 1 Prescription connectée –
Identifier les échantillons [9/6/8] 144
de l’échantillon Etiquetage des tubes sur le
[9/2/8]
site de prélèvement
Prescription connectée pour
le tube primaire et
72
identification forte du patient
[9/1/8]
lors du prélèvement (e.g.
bracelet)
Erreur 360 Travailler avec les tubes
Traitement de
d’étiquetage des 432 [9/5/8] primaires, si possible
4 l’échantillon / 1
tubes [9/6/8] 9 Chaîne pré-analytique –
Décanter
secondaires [9/1/1] Automatisation des
 IPR IPR IPR
Mode de fiabilité sécurité fiabilité
Id Activité / Sous-Activité Plan de traitement
défaillance « avant » « avant » « après »
[G/O/D] [D/I/C/A] [G/O/D]
décantations
216 Lien avec le logiciel des
[9/4/6] cabinets médicaux
Enregistrer la demande / Erreur de saisie 360 Le traitement du mode de
5 15
Enregistrer la demande dans logiciel [9/5/8] défaillance nécessite la mise
-
en place d’un groupe de
travail

5.1 Analyse quantitative des résultats

L’analyse AMDEC+ du processus de traitement des demandes d’analyses a permis d’identifier 83 modes
de défaillances, dont 17 (20%) ont été traités sur la base des critères d’acceptation des risques. Le plan de
traitement comprend 36 mesures de réduction des risques, dont 16 (44%) permettent de réduire la criticité
des modes de défaillance concernés de 50% au moins.

Les résultats de cette étude (cf. Tableau 5) montrent que les modes de défaillance de criticité élevée sont
principalement liés à des erreurs humaines (e.g. erreur de tri, erreur de saisie). En effet, et de manière
surprenante pour les professionnels des laboratoires, cette analyse AMDEC+ a mis en évidence que les
modes de défaillance portés par des moyens informatiques n'obtiennent pas, d’une manière en générale,
une criticité haute. Ce constat peut certainement être expliqué par le fait que l'application informatique de
support du processus d’analyses médicales (WinDMLab de Datamed SA) est relativement stable et connue
depuis de nombreuses années par les professionnels des laboratoires. Avec des rapports de réduction de
risques allant de 150 à 500%, le second constat est relatif à l’efficacité des mesures basées sur la mise en
œuvre d’une prescription connectée (prescription électronique de l’examen par le requérant au lieu d’une
prescription sur un support papier) et d’une chaîne pré-analytique (automatisation et centralisation de la
décantation et de la gestion des tubes secondaires au lieu d’une décantation et d’une gestion des tubes
manuelles faite dans chaque laboratoire). En effet, ces deux mesures permettent de réduire de manière
significative la criticité de six, respectivement cinq modes de défaillances majeurs liés à des erreurs
humaines. Si ces solutions permettent d’atténuer substantiellement les risques de manipulation, elles
introduiront toutefois un certain nombre de nouveaux risques liés à ces nouvelles technologies. Il y a donc
un transfert de l’origine humaine du risque vers une source technologique. Les résultats de l’analyse
AMDEC+ montrent ainsi qu’en l’état, le processus de traitement des demandes d’analyses est exposé
essentiellement à des risques de fiabilité, sans risques majeurs de sécurité de l’information. Il est probable
qu’avec la mise en œuvre de la prescription connectée et de la chaîne pré-analytique, un certain nombre de
nouveaux risques de sécurité de l’information apparaissent. Enfin, d’un point de vue analytique, les
mesures de réduction des risques identifiées n’ont pas permis de diminuer la gravité des modes de
défaillances. Ce constat est relativement fréquent dans les secteurs d’activité où la sécurité des personnes
est engagée (e.g. santé, aviation civile, nucléaire). En effet, dans ces domaines d’activités, il est
relativement difficile de limiter – ou confiner – la propagation des conséquences négatives liées à la
réalisation d’un événement lorsque les mesures de prévention en place n’ont pas permis d’empêcher sa
survenance.

5.2 Analyse qualitative des résultats

Les bénéfices de la démarche AMDEC+ au sein du RSV sont essentiellement de deux ordres. En termes
d’organisation apprenante, le projet-pilote AMDEC+ a constitué une plateforme de partage d’information et
de connaissances entre des représentants de différents métiers, et un lieu de promotion d’une culture
d’entreprise consciente des risques où les problèmes de fiabilité et de sécurité ont pu être ouvertement
thématisés. L’expérience AMDEC+ a été appréciée par l’équipe de projet qui a travaillé dans un esprit de
critique constructive. Ensuite, en termes de performances organisationnelles, l’analyse AMDEC+ a permis
de réaliser une première étape de consolidation – basée sur la gestion des risques – des domaines de la
qualité et de la sécurité de l’information. L’analyse du processus de traitement des demandes d’analyses a
ainsi permis de mettre en évidence des modes de défaillance critiques et d’amener ce processus à un
niveau de standardisation et de maturité supérieur.

5.3 Principales difficultés rencontrées

Les principales difficultés rencontrées dans le projet-pilote AMDEC+ ont été liées d’une part à un périmètre
d’étude défini initialement de manière trop large, introduisant un niveau de complexité d’analyse trop
important. D’autre part, l’évaluation qualitative de la gravité des modes de défaillance est relativement
difficile et nécessite une approche relativement systématique pour minimiser les biais cognitifs propres au
jugement humain. Dans le contexte d’évaluation de la gravité, il est important de souligner la nécessité
d’avoir un médecin clinicien (cf. requérant) dans l’équipe de projet. Cela n’a pas été le cas au début du
projet-pilote.

6. Conclusion
La démarche AMDEC+ a permis d’identifier un certain nombre de modes de défaillance critiques dans le
processus de traitement des demandes d’analyses liés à des erreurs humaines. Cette étude montre que, en
l’état, les principaux risques portent essentiellement sur la fiabilité du processus, sans risques majeurs de
sécurité de l’information. Toutefois, il est probable que cette tendance s’inverse avec une informatisation
accrue du processus (cf. prescription connectée, une chaîne pré-analytique). L’apport principal de la
méthode AMDEC+ est de proposer une analyse combinée des risques de fiabilité et de sécurité, en mettant
en évidence les points d’interface – ou points de collaboration – entre les domaines de la qualité et de la
sécurité. Si ce projet-pilote a permis de faire une première validation probante de cette méthode d’analyse,
elle devra encore être affinée et validée à plus large échelle, et notamment dans le domaine clinique.

7. Références
Bonnabry, P., Despont-Gros, C., & Gauser, D. (2008). A risk analysis method to evaluate the impact of a
computerized provider order entry system on patient safety. JAMIA , 1-27.
DFE-AEP. (2007). Analyse de risques dans la santé publique - Rapport final. Berne: Confédération suisse.
Erbault, M., Glikman, J., & Ravineau, M.-J. (2000). Méthodes et outils des démarches qualité pour les
établissements de santé. Paris: ANAES.
Faucher, J. (2009). Pratique de l'AMDEC. Paris: Dunod.
Fieschi, M. (2003). Les données du patient partagées : La culture du partage et de la qualité des
informations pour améliorer la qualité des soins. Marseille: Faculté de médecine - Université de Marseille.
GMSIH-PFS. (2004). Domaine de sécurité : Système d'information hospitalier. Paris: Groupement pour la
Modernisation du Système d'Information Hospitalier.
Govaerts, D., Courbe, A., & Lequeu, R. (2008). Application de l'AMDEC aux processus du laboratoire
d'analyses de biologie clinique de l'hôpital André Vésale. Gestion et ingénierie des systèmes hospitaliers
(pp. 431-439). Lausanne: EPFL.
Kluge, E.-H., Allaert, F.-A., & Barber, B. (2001). Info-vigilance or safety in health information systems.
MedInfo , 1229-1233.
Vanura, A., Marmet, E., & Donjon, A. (2002). Modèle de gestion des risques en établissements de santé.
Paris: Cap Gemini et Ernst & Young / DHOS - Ministère de l'emploi et de la solidarité.