Vous êtes sur la page 1sur 338

Doc 9859

AN/460

Manuel de gestion
de la sécurité (MGS)

Approuvé par le Secrétaire général


et publié sous son autorité

Première édition — 2006

Organisation de l’aviation civile internationale


Publié séparément, en français, en anglais, en arabe, en chinois, en espagnol et en russe, par l’Organisation de l’aviation
civile internationale. Prière d’adresser toute correspondance, à l’exception des commandes et des abonnements, au
Secrétaire général.

Envoyer les commandes à l’une des adresses suivantes en y joignant le montant correspondant (par chèque, chèque bancaire ou mandat) en
dollars des États-Unis ou dans la monnaie du pays d’achat. Les commandes par carte de crédit (American Express, Mastercard ou Visa) sont
acceptées au Siège de l’OACI.

Organisation de l’aviation civile internationale. Groupe de la vente des documents, 999, rue University, Montréal, Québec, Canada H3C 5H7
Téléphone: +1 (514) 954-8022; Fax: +1 (514) 954-6769; Sitatex: YULCAYA; Courriel: sales@icao.int; Web: http://www.icao.int
Afrique du Sud. Avex Air Training (Pty) Ltd., Private Bag X102, Halfway House, 1685, Johannesburg
Telephone: +27 (11) 315-0003/4; Facsimile: +27 (11) 805-3649; E-mail: avex@iafrica.com
Allemagne. UNO-Verlag GmbH, August-Bebel-Allee 6, 53175 Bonn / Telephone: +49 (0) 228-94 90 2-0; Facsimile: +49 (0) 228-94 90 2-22;
E-mail: info@uno-verlag.de; Web: http://www.uno-verlag.de
Cameroun. KnowHow, 1, Rue de la Chambre de Commerce-Bonanjo, B.P. 4676, Douala / Téléphone: +237 343 98 42; Fax: +237 343 89 25;
Courriel: knowhow_doc@yahoo.fr
Chine. Glory Master International Limited, Room 434B, Hongshen Trade Centre, 428 Dong Fang Road, Pudong, Shanghai 200120
Telephone: +86 137 0177 4638; Facsimile: +86 21 5888 1629; E-mail: glorymaster@online.sh.cn
Égypte. ICAO Regional Director, Middle East Office, Egyptian Civil Aviation Complex, Cairo Airport Road, Heliopolis, Cairo 11776
Telephone: +20 (2) 267 4840; Facsimile: +20 (2) 267 4843; Sitatex: CAICAYA; E-mail: icaomid@cairo.icao.int
Espagne. A.E.N.A. — Aeropuertos Españoles y Navegación Aérea, Calle Juan Ignacio Luca de Tena, 14, Planta Tercera, Despacho 3. 11,
28027 Madrid / Teléfono: +34 (91) 321-3148; Facsímile: +34 (91) 321-3157; Correo-e: sscc.ventasoaci@aena.es
Fédération de Russie. Aviaizdat, 48, Ivan Franko Street, Moscow 121351 / Telephone: +7 (095) 417-0405; Facsimile: +7 (095) 417-0254
Inde. Oxford Book and Stationery Co., Scindia House, New Delhi 110001 or 17 Park Street, Calcutta 700016
Telephone: +91 (11) 331-5896; Facsimile: +91 (11) 51514284
Inde. Sterling Book House – SBH, 181, Dr. D. N. Road, Fort, Bombay 400001
Telephone: +91 (22) 2261 2521, 2265 9599; Facsimile: +91 (22) 2262 3551; E-mail: sbh@vsnl.com
Japon. Japan Civil Aviation Promotion Foundation, 15-12, 1-chome, Toranomon, Minato-Ku, Tokyo
Telephone: +81 (3) 3503-2686; Facsimile: +81 (3) 3503-2689
Kenya. ICAO Regional Director, Eastern and Southern African Office, United Nations Accommodation, P.O. Box 46294, Nairobi
Telephone: +254 (20) 7622 395; Facsimile: +254 (20) 7623 028; Sitatex: NBOCAYA; E-mail: icao@icao.unon.org
Mexique. Director Regional de la OACI, Oficina Norteamérica, Centroamérica y Caribe, Av. Presidente Masaryk No. 29, 3er Piso,
Col. Chapultepec Morales, C.P. 11570, México D.F. / Teléfono: +52 (55) 52 50 32 11; Facsímile: +52 (55) 52 03 27 57;
Correo-e: icao_nacc@mexico.icao.int
Nigéria. Landover Company, P.O. Box 3165, Ikeja, Lagos
Telephone: +234 (1) 4979780; Facsimile: +234 (1) 4979788; Sitatex: LOSLORK; E-mail: aviation@landovercompany.com
Pérou. Director Regional de la OACI, Oficina Sudamérica, Apartado 4127, Lima 100
Teléfono: +51 (1) 575 1646; Facsímile: +51 (1) 575 0974; Sitatex: LIMCAYA; Correo-e: mail@lima.icao.int
Royaume-Uni. Airplan Flight Equipment Ltd. (AFE), 1a Ringway Trading Estate, Shadowmoss Road, Manchester M22 5LH
Telephone: +44 161 499 0023; Facsimile: +44 161 499 0298; E-mail: enquiries@afeonline.com; Web: http://www.afeonline.com
Sénégal. Directeur régional de l’OACI, Bureau Afrique occidentale et centrale, Boîte postale 2356, Dakar
Téléphone: +221 839 9393; Fax: +221 823 6926; Sitatex: DKRCAYA; Courriel: icaodkr@icao.sn
Slovaquie. Air Traffic Services of the Slovak Republic, Letové prevádzkové sluzby Slovenskej Republiky, State Enterprise,
Letisko M.R. Stefánika, 823 07 Bratislava 21 / Telephone: +421 (7) 4857 1111; Facsimile: +421 (7) 4857 2105
Suisse. Adeco-Editions van Diermen, Attn: Mr. Martin Richard Van Diermen, Chemin du Lacuez 41, CH-1807 Blonay
Telephone: +41 021 943 2673; Facsimile: +41 021 943 3605; E-mail: mvandiermen@adeco.org
Thaïlande. ICAO Regional Director, Asia and Pacific Office, P.O. Box 11, Samyaek Ladprao, Bangkok 10901
Telephone: +66 (2) 537 8189; Facsimile: +66 (2) 537 8199; Sitatex: BKKCAYA; E-mail: icao_apac@bangkok.icao.int

2/06

Le Catalogue des publications


et des aides audiovisuelles de l’OACI
Publié une fois par an, le Catalogue donne la liste des publications et des aides audiovisuelles
disponibles. Des suppléments au Catalogue annoncent les nouvelles publications et
aides audiovisuelles, les amendements, les suppléments, les réimpressions, etc.

On peut l’obtenir gratuitement auprès du Groupe de la vente des documents, OACI.


Doc 9859
AN/460

Manuel de gestion
de la sécurité (MGS)

Approuvé par le Secrétaire général


et publié sous son autorité

Première édition — 2006

Organisation de l’aviation civile internationale


AMENDEMENTS

La parution des amendements est annoncée dans le Journal de l’OACI ainsi que dans
les suppléments au Catalogue des publications et des aides audiovisuelles de
l’OACI, que les détenteurs de la présente publication sont priés de vouloir bien
consulter. Le tableau ci-dessous est destiné à rappeler les divers amendements.

INSCRIPTION DES AMENDEMENTS ET DES RECTIFICATIFS

AMENDEMENTS RECTIFICATIFS

No Date Inséré par No Date Inséré par

II
TABLE DES MATIÈRES

Page

SIGLES ET ABRÉVIATIONS........................................................................................................ XIII

er
Chapitre 1 . PRÉSENTATION GÉNÉRALE ............................................................................ 1-1

1.1 Généralités............................................................................................................... 1-1


1.2 Le concept de sécurité............................................................................................. 1-1
1.3 Nécessité de la gestion de la sécurité ..................................................................... 1-2
1.4 Exigences de l’OACI ................................................................................................ 1-2
Niveau de sécurité acceptable .......................................................................... 1-3
1.5 Les intervenants dans le domaine de la sécurité .................................................... 1-6
1.6 Approches de la gestion de la sécurité.................................................................... 1-7
La perspective traditionnelle.............................................................................. 1-7
La perspective moderne.................................................................................... 1-7
1.7 Utilisation du manuel................................................................................................ 1-8
Finalité ............................................................................................................... 1-8
Public cible ....................................................................................................... 1-8
Sommaire .......................................................................................................... 1-9
Remerciements ................................................................................................. 1-9
Liens avec d’autres documents de l’OACI ........................................................ 1-9

Chapitre 2. PARTAGE DE LA RESPONSABILITÉ DE LA GESTION


Chapitre 2. DE LA SÉCURITÉ .................................................................................................. 2-1

2.1 Parties responsables de la gestion de la sécurité ................................................... 2-1


L’OACI ............................................................................................................... 2-1
Les États............................................................................................................ 2-2
Les Administrations de l’aviation civile (AAC) ................................................... 2-4
Les constructeurs ............................................................................................. 2-4
Les exploitants d’aéronefs................................................................................. 2-4
Les fournisseurs de services............................................................................. 2-4
Les entrepreneurs tiers ..................................................................................... 2-5
Les associations commerciales et professionnelles ......................................... 2-5
2.2 La responsabilité particulière de la direction en matière de sécurité....................... 2-6
2.3 Responsabilités et obligations redditionnelles ......................................................... 2-7
2.4 Coopération mondiale.............................................................................................. 2-7

Chapitre 3. PROGRAMME DE SÉCURITÉ DE L’ÉTAT........................................................... 3-1

3.1 Généralités............................................................................................................... 3-1


3.2 Responsabilités en matière de réglementation........................................................ 3-2
3.3 Les Administrations de l’aviation civile (AAC).......................................................... 3-2
3.4 La performance de l’État en matière de sécurité ..................................................... 3-4

III
IV Manuel de gestion de la sécurité (MGS)

Page

Chapitre 4. COMPRENDRE LA SÉCURITÉ ............................................................................. 4-1

4.1 Généralités............................................................................................................... 4-1


4.2 Le concept de risque................................................................................................ 4-1
4.3 Distinction entre accidents et incidents.................................................................... 4-2
4.4 Causalité des accidents ........................................................................................... 4-3
Conception traditionnelle de la causalité des accidents ................................... 4-4
Conception moderne de la causalité des accidents.......................................... 4-4
Incidents : précurseurs des accidents ............................................................... 4-6
4.5 Contexte des accidents et des incidents ................................................................. 4-7
Conception du matériel ..................................................................................... 4-8
Infrastructure d’appui......................................................................................... 4-8
Facteurs humains .............................................................................................. 4-9
Facteurs culturels .............................................................................................. 4-13
Culture d’entreprise de la sécurité..................................................................... 4-14
4.6 Erreur humaine ........................................................................................................ 4-19
Types d’erreur ................................................................................................... 4-19
Maîtrise de l’erreur humaine.............................................................................. 4-21
4.7 Cycle de la sécurité.................................................................................................. 4-22
4.8 Aspects financiers.................................................................................................... 4-23
Coûts des accidents .......................................................................................... 4-25
Coûts des incidents ........................................................................................... 4-26
Coûts de la sécurité........................................................................................... 4-26

Chapitre 5. PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ .............................. 5-1

5.1 Philosophie de la gestion de la sécurité .................................................................. 5-1


Fonction de gestion essentielle ......................................................................... 5-1
Approche systémique ........................................................................................ 5-1
Sécurité du système.......................................................................................... 5-2
5.2 Facteurs affectant la sécurité du système ............................................................... 5-2
Défaillances actives et conditions latentes........................................................ 5-2
Défectuosités des équipements ........................................................................ 5-2
Erreur humaine.................................................................................................. 5-3
Conception du système..................................................................................... 5-3
5.3 Concepts de gestion de la sécurité.......................................................................... 5-4
Pierres angulaires de la gestion de la sécurité ................................................. 5-4
Stratégies de gestion de la sécurité .................................................................. 5-4
Activités principales de gestion de la sécurité................................................... 5-6
Processus de gestion de la sécurité ................................................................. 5-7
Supervision de la sécurité ................................................................................. 5-9
Indicateurs et objectifs de performance de sécurité.......................................... 5-10

Appendice 1. Trois pierres angulaires de la gestion de la sécurité............................................ 5-APP 1-1

Chapitre 6. GESTION DES RISQUES ...................................................................................... 6-1

6.1 Généralités............................................................................................................... 6-1


6.2 Identification des dangers ........................................................................................ 6-1
Table des matières V

Page

6.3 Évaluation du risque ................................................................................................ 6-3


Définition du problème ...................................................................................... 6-4
Probabilité de conséquences négatives............................................................ 6-5
Gravité des conséquences des événements .................................................... 6-6
Acceptabilité du risque ...................................................................................... 6-6
6.4 Atténuation du risque ............................................................................................... 6-8
Analyse des moyens de défense ...................................................................... 6-8
Stratégies d’atténuation du risque..................................................................... 6-9
Recherche d’idées............................................................................................. 6-10
Évaluer les options d’atténuation du risque ...................................................... 6-10
6.5 Communication du risque ........................................................................................ 6-11
6.6 Aspects de la gestion des risques pour les administrations publiques ................... 6-12
Situations justifiant une gestion des risques par les administrations
publiques ........................................................................................................... 6-12
Avantages de la gestion des risques pour les administrations publiques......... 6-13

Chapitre 7. COMPTES RENDUS DE DANGERS ET D’INCIDENTS ....................................... 7-1

7.1 Introduction aux systèmes de comptes rendus ....................................................... 7-1


Valeur des systèmes de comptes rendus en matière de sécurité .................... 7-1
Exigences de l’OACI ......................................................................................... 7-2
7.2 Types de systèmes de comptes rendus d’incidents ................................................ 7-2
Systèmes obligatoires de comptes rendus d’incidents ..................................... 7-2
Systèmes volontaires de comptes rendus d’incidents ...................................... 7-3
Systèmes confidentiels de comptes rendus ..................................................... 7-3
7.3 Principes pour des systèmes efficaces de comptes rendus d’incidents.................. 7-3
Confiance .......................................................................................................... 7-4
Non punitif ......................................................................................................... 7-4
Large base de compte rendu ............................................................................ 7-4
Indépendance.................................................................................................... 7-5
Facilité de compte rendu ................................................................................... 7-5
Accusé de réception .......................................................................................... 7-5
Publicité ............................................................................................................. 7-5
7.4 Systèmes internationaux de comptes rendus d’incidents........................................ 7-5
Système de comptes rendus d’accident/incident de l’OACI (ADREP).............. 7-5
Centre européen de coordination des systèmes de comptes rendus
d’incidents en navigation aérienne (ECCAIRS) ................................................ 7-6
7.5 Systèmes nationaux volontaires de comptes rendus d’incidents ............................ 7-6
Système de compte rendu pour la sécurité de l’aviation (ASRS) ..................... 7-7
Programme confidentiel de comptes rendus sur les incidents
liés aux facteurs humains (CHIRP) ................................................................... 7-7
7.6 Systèmes de comptes rendus des compagnies ...................................................... 7-8
7.7 Mise en œuvre des systèmes de comptes rendus d’incidents ................................ 7-8
Que signaler ? ................................................................................................... 7-8
Qui devrait faire rapport ?.................................................................................. 7-9
Méthode et format des comptes rendus............................................................ 7-9

Appendice 1. Restrictions d’utilisation des données provenant des systèmes volontaires


Appendice 1. de comptes rendus d’incidents ............................................................................. 7-APP 1-1
VI Manuel de gestion de la sécurité (MGS)

Page

Chapitre 8. ENQUÊTES DE SÉCURITÉ ................................................................................... 8-1

8.1 Introduction .............................................................................................................. 8-1


Enquêtes de l’État ............................................................................................. 8-1
Enquêtes internes ............................................................................................. 8-2
8.2 Portée des enquêtes de sécurité ............................................................................. 8-2
8.3 Sources d’informations ............................................................................................ 8-3
8.4 Entretiens ................................................................................................................. 8-4
Conduite des entretiens ................................................................................... 8-4
Mise en garde quant aux entretiens avec des témoins..................................... 8-5
8.5 Méthodologie d’enquête........................................................................................... 8-5
8.6 Enquêtes sur les aspects de la performance humaine............................................ 8-5
8.7 Recommandations de sécurité ................................................................................ 8-8

Appendice 1. Techniques d’entretien ......................................................................................... 8-APP 1-1

Chapitre 9. ANALYSE DE LA SÉCURITÉ ET ÉTUDES SUR LA SÉCURITÉ......................... 9-1

9.1 Introduction .............................................................................................................. 9-1


Exigence de l’OACI ........................................................................................... 9-1
Analyse de la sécurité — de quoi s’agit-il ? ...................................................... 9-1
Objectivité et parti pris ....................................................................................... 9-1
9.2 Méthodes et outils analytiques ................................................................................ 9-2
9.3 Études sur la sécurité .............................................................................................. 9-3
Sélectionner les sujets des études.................................................................... 9-4
Collecte d’informations ...................................................................................... 9-4
9.4 Listes de questions de sécurité prioritaires (SIL)..................................................... 9-5

Appendice 1. Comprendre les partis pris ................................................................................... 9-APP 1-1

Chapitre 10. CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ................. 10-1

10.1 Introduction .............................................................................................................. 10-1


10.2 « État de santé » de la sécurité .............................................................................. 10-2
Évaluer l’« état de santé » de la sécurité .......................................................... 10-3
10.3 Supervision de la sécurité........................................................................................ 10-4
Inspections ........................................................................................................ 10-5
Enquêtes ........................................................................................................... 10-6
Assurance de la qualité ..................................................................................... 10-7
Audits de sécurité .............................................................................................. 10-7
10.4 Programme universel OACI d’audits de supervision de la sécurité (USOAP) ........ 10-8
10.5 Audits de sécurité conduits par les autorités de réglementation ............................. 10-9
10.6 Auto-vérification ....................................................................................................... 10-9

Appendice 1. Exemples d’indicateurs de l’état de santé de la sécurité ..................................... 10-APP 1-1


Appendice 2. Auto-vérification de la direction ........................................................................... 10-APP 2-1
Table des matières VII

Page

Chapitre 11. PLANIFICATION DES INTERVENTIONS EN CAS D’URGENCE ..................... 11-1

11.1 Introduction .............................................................................................................. 11-1


11.2 Exigences de l’OACI ................................................................................................ 11-2
11.3 Contenu d’un ERP ................................................................................................... 11-2
11.4 Responsabilités de l’exploitant d’aéronefs............................................................... 11-6
11.5 Listes de vérification ................................................................................................ 11-7
11.6 Formation et exercices............................................................................................. 11-8

Chapitre 12. MISE EN PLACE D’UN SYSTÈME DE GESTION DE LA SÉCURITÉ ............... 12-1

12.1 Introduction .............................................................................................................. 12-1


12.2 Culture de la sécurité ............................................................................................... 12-1
12.3 Les dix étapes de la mise en place d’un SGS ......................................................... 12-2

Appendice 1. Modèle de déclaration de politique de sécurité .................................................... 12-APP 1-1


Appendice 2. Suggestions de points à inclure dans une déclaration du directeur général
Appendice 2. sur l’engagement de l’entreprise à garantir la sécurité .................................... 12-APP 2-1

Chapitre 13. ÉVALUATIONS DE LA SÉCURITÉ ..................................................................... 13-1

13.1 Généralités............................................................................................................... 13-1


13.2 Le processus d’évaluation de la sécurité................................................................. 13-2

Appendice 1. Éléments indicatifs sur la conduite des sessions de groupes de travail


Appendice 1. sur l’identification et l’évaluation des dangers ..................................................... 13-APP 1-1

Chapitre 14. RÉALISATION D’AUDITS DE SÉCURITÉ .......................................................... 14-1

14.1 Introduction .............................................................................................................. 14-1


14.2 Audits de sécurité .................................................................................................... 14-1
14.3 L’équipe d’audit de sécurité ..................................................................................... 14-3
Le rôle du chef de l’équipe d’audit .................................................................... 14-3
Le rôle des auditeurs ......................................................................................... 14-4
14.4 Planification et préparation ...................................................................................... 14-4
Activité préalable à l’audit.................................................................................. 14-4
Le plan d’audit ................................................................................................... 14-5
14.5 Conduite de l’audit ................................................................................................... 14-5
Réunion préaudit ............................................................................................... 14-6
Procédures d’audit ............................................................................................ 14-6
Interviews d’audit............................................................................................... 14-6
Constatations de l’audit ..................................................................................... 14-7
Réunion postaudit ............................................................................................. 14-7
Plan d’action correctrice .................................................................................... 14-7
Rapports d’audit ................................................................................................ 14-8
14.6 Suivi d’audit.............................................................................................................. 14-8
14.7 Normes de qualité ISO............................................................................................. 14-10
VIII Manuel de gestion de la sécurité (MGS)

Page

Chapitre 15. CONSIDÉRATIONS PRATIQUES POUR APPLIQUER


Chapitre 15. UN SYSTÈME DE GESTION DE LA SÉCURITÉ ................................................ 15-1

15.1 Introduction .............................................................................................................. 15-1


15.2 Le bureau de la sécurité .......................................................................................... 15-1
Fonctions du bureau de la sécurité ................................................................... 15-1
15.3 Directeur de la sécurité (DS).................................................................................... 15-3
Critères de sélection du DS............................................................................... 15-3
Rôle de leadership ............................................................................................ 15-4
Le DS dans de grandes organisations ou des organisations en expansion ..... 15-5
Les relations du DS ........................................................................................... 15-5
15.4 Comités de sécurité ................................................................................................. 15-5
Président du comité........................................................................................... 15-6
Membres............................................................................................................ 15-6
Ordre du jour ..................................................................................................... 15-7
Procès-verbal .................................................................................................... 15-7
Suivi................................................................................................................... 15-7
15.5 Formation à la gestion de la sécurité....................................................................... 15-7
Besoins de formation......................................................................................... 15-7
15.6 Conduite d’une enquête de sécurité ........................................................................ 15-10
Principes............................................................................................................ 15-11
Fréquence des enquêtes................................................................................... 15-11
Domaines à examiner ....................................................................................... 15-12
Conclusion de l’enquête .................................................................................... 15-12
15.7 Diffusion des informations liées à la sécurité........................................................... 15-12
Informations cruciales pour la sécurité.............................................................. 15-13
Informations « bonnes à savoir » ...................................................................... 15-13
Comptes rendus adressés à la direction........................................................... 15-13
15.8 Communications écrites........................................................................................... 15-14
15.9 Promotion de la sécurité .......................................................................................... 15-14
Méthodes de promotion..................................................................................... 15-15
15.10 Gestion des informations liées à la sécurité ............................................................ 15-17
Généralités ........................................................................................................ 15-17
Besoins en systèmes d’information................................................................... 15-18
Compréhension des bases de données............................................................ 15-18
Gestion d’une base de données........................................................................ 15-20
Considérations relatives à la sélection des bases de données ........................ 15-21
15.11 Manuel de gestion de la sécurité ............................................................................. 15-22

Appendice 1. Exemple de description des fonctions d’un directeur de la sécurité ................... 15-APP 1-1

Chapitre 16. EXPLOITATION TECHNIQUE DES AÉRONEFS ............................................... 16-1

16.1 Généralités............................................................................................................... 16-1


16.2 Comptes rendus de dangers et d’incidents ............................................................. 16-1
Avantages.......................................................................................................... 16-1
Encourager la libre circulation des informations liées à la sécurité .................. 16-2
Systèmes disponibles sur le marché................................................................. 16-2
Table des matières IX

Page

16.3 Programme d’analyse des données de vol (FDA) .................................................. 16-3


Introduction........................................................................................................ 16-3
Qu’est-ce qu’un programme FDA ? .................................................................. 16-4
Avantages des programmes FDA ..................................................................... 16-4
Exigence de l’OACI ........................................................................................... 16-5
Utilisation d’un programme FDA ....................................................................... 16-5
Équipement FDA ............................................................................................... 16-8
Application pratique de l’analyse des données de vol ...................................... 16-10
Conditions d’efficacité des programmes FDA ................................................... 16-11
Mise en œuvre d’un programme FDA............................................................... 16-13
16.4 Programme d’audit de sécurité en service de ligne (LOSA) ................................... 16-16
Introduction........................................................................................................ 16-16
Rôle de l’OACI................................................................................................... 16-17
Terminologie...................................................................................................... 16-18
Définition des caractéristiques du LOSA........................................................... 16-19
Processus de changement pour la sécurité ...................................................... 16-21
Application du LOSA ......................................................................................... 16-22
16.5 Programme de sécurité en cabine........................................................................... 16-23
Généralités ........................................................................................................ 16-23
Exigences de l’OACI ......................................................................................... 16-24
Gestion de la sécurité en cabine ....................................................................... 16-25

Appendice 1. Exemple de politique d’entreprise concernant les comptes rendus


non punitifs de dangers ........................................................................................ 16-APP 1-1
Appendice 2. Exemples de points à signaler à un système de comptes rendus
d’événements d’une compagnie aérienne............................................................ 16-APP 2-1
Appendice 3. Exemple de protocole d’accord entre une compagnie aérienne et
une association de pilotes pour l’application d’un programme
d’analyse des données de vol (FDA).................................................................... 16-APP 3-1
Appendice 4. Aspects de la performance humaine concernant la sécurité en cabine .............. 16-APP 4-1

CHAPITRE 17. SERVICES DE LA CIRCULATION AÉRIENNE (ATS) .................................... 17-1

17.1 Sécurité des ATS ..................................................................................................... 17-1


Généralités ........................................................................................................ 17-1
Exigences de l’OACI ......................................................................................... 17-2
Fonctions de l’autorité de réglementation de la sécurité des ATS.................... 17-2
Directeur de la sécurité (DS) ............................................................................. 17-2
17.2 Systèmes de gestion de la sécurité des ATS .......................................................... 17-3
Indicateurs de performance en matière de sécurité et objectifs
de sécurité ......................................................................................................... 17-3
Organisation de la sécurité................................................................................ 17-5
Gestion des risques........................................................................................... 17-5
Systèmes de comptes rendus d’incidents ......................................................... 17-5
Intervention en cas d’urgence ........................................................................... 17-6
Enquêtes de sécurité......................................................................................... 17-6
Supervision de la sécurité ................................................................................. 17-6
Gestion du changement .................................................................................... 17-7
X Manuel de gestion de la sécurité (MGS)

Page

17.3 Modification des procédures ATS ........................................................................... 17-8


17.4 Gestion des menaces et des erreurs....................................................................... 17-9
17.5 Enquête sur la sécurité des vols normaux (NOSS) ................................................. 17-10

Appendice 1. Aspects des facteurs humains relatifs à la performance humaine


Appendice 1. dans les services de la circulation aérienne ....................................................... 17-APP 1-1
Appendice 2. Évaluation des risques des procédures ATS ........................................................ 17-APP 2-1
Appendice 3. Gestion des menaces et des erreurs (TEM) dans les ATS................................... 17-APP 3-1

Chapitre 18. EXPLOITATION TECHNIQUE DES AÉRODROMES ......................................... 18-1

18.1 Sécurité des aérodromes – Généralités ................................................................. 18-1


18.2 Cadre réglementaire ................................................................................................ 18-3
Exigences de l’OACI en matière de gestion de la sécurité
des aérodromes................................................................................................. 18-3
Responsabilités des États ................................................................................. 18-3
Modalités de respect des obligations légales.................................................... 18-4
18.3 Gestion de la sécurité des aérodromes ................................................................... 18-4
Portée de la gestion de la sécurité des aérodromes......................................... 18-5
Le SGS de l’exploitant d’aérodrome.................................................................. 18-5
Directeur de la sécurité et comité(s) de sécurité............................................... 18-6
Système de comptes rendus d’occurrences liées à la sécurité ........................ 18-6
Supervision de la sécurité ................................................................................. 18-7
Audits de sécurité .............................................................................................. 18-7
18.4 Planification des mesures d’urgence aéroportuaire ................................................ 18-7
Intervention coordonnée.................................................................................... 18-8
Exercices d’intervention en cas d’urgence aéroportuaire ................................. 18-9
18.5 Sécurité des aires de trafic des aérodromes ........................................................... 18-10
Environnement de travail sur les aires de trafic ................................................ 18-10
Causes d’accidents sur les aires de trafic ......................................................... 18-10
Gestion de la sécurité sur les aires de trafic ..................................................... 18-11
Circulation des véhicules................................................................................... 18-12
18.6 Rôle des directeurs de la sécurité des aérodromes dans la sécurité
au sol........................................................................................................................ 18-13

Appendice 1. Exemple de politique de sécurité d’un exploitant d’aérodrome............................ 18-APP 1-1


Appendice 2. Facteurs de dangers dans l’environnement de travail des aires
Appendice 2. de trafic ................................................................................................................. 18-APP 2-1

Chapitre 19. MAINTENANCE DES AÉRONEFS...................................................................... 19-1

19.1 Sécurité de la maintenance – Généralités .............................................................. 19-1


19.2 Gestion de la sécurité de la maintenance................................................................ 19-2
Approche unifiée de la sécurité au niveau de l’entreprise ................................ 19-2
Principaux outils de gestion de la sécurité de la maintenance ......................... 19-4
Supervision de la sécurité et évaluation du programme ................................... 19-4
19.3 Gestion des écarts par rapport aux procédures de maintenance ........................... 19-5
Système d’aide à la décision pour les erreurs de maintenance (MEDA).......... 19-6
Table des matières XI

Page

19.4 Préoccupations du directeur de la sécurité ............................................................. 19-7

Appendice 1. Conditions de travail dans le domaine de la maintenance................................... 19-APP 1-1


Appendice 2. Système d’aide à la décision pour les erreurs de maintenance (MEDA)............. 19-APP 2-1

RÉFÉRENCES ............................................................................................................................. Réf. 1-1


Page blanche
SIGLES ET ABRÉVIATIONS

AAC Administration de l’aviation civile [Civil Aviation Authority (CAA)]


ACARS Système embarqué de communications, d’adressage et de compte rendu
[Aircraft Communications Addressing and Reporting System]
ACI Conseil international des aéroports [Airports Council International]
ADREP Système de comptes rendus d’accident/incident (OACI)
[Accident/Incident Data Reporting (ICAO)]
AEP Plan d’urgence d’aérodrome [Aerodrome Emergency Plan]
AESA Agence européenne de la sécurité aérienne
[European Aviation Safety Agency (EASA)]
AIRS Système de comptes rendus d’incidents pour les équipages d’aéronefs
[Aircrew Incident Reporting System]
ALARP Le plus faible que l’on puisse raisonnablement atteindre
[As Low As Reasonably Practicable]
AME Technicien de maintenance d’aéronef [Aircraft Maintenance Engineer]
Note.— Aux fins du présent manuel, AME sera utilisé pour représenter
Technicien/Mécanicien de maintenance d’aéronef
AMJ Éléments consultatifs associés aux Codes communs de l’aviation (JAR)
[Advisory Material Joint]
ASECNA Agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar
[Agency for Air Navigation Safety in Africa and Madagascar]
ASR Rapport de sécurité aérienne [Air Safety Report]
ASRS Système de compte rendu pour la sécurité de l’aviation (États-Unis)
[Aviation Safety Reporting System (U.S.)]
ATA Association américaine du transport aérien [Air Transport Association of America]
ATC Contrôle de la circulation aérienne [Air Traffic Control]
ATCO Contrôleur de la circulation aérienne [Air Traffic Controller]
ATM Gestion du trafic aérien [Air Traffic Management]
ATS Service de la circulation aérienne [Air Traffic Service(s)]
ATSB Bureau de la sécurité des transports australiens [Australian Transport Safety Bureau]
BASIS Système d’informations sur la sécurité de la compagnie British Airways
[British Airways Safety Information System]
CANSO Organisation des services de navigation aérienne civile
[Civil Air Navigation Services Organisation]
CAP Publication de l’aviation civile (Royaume-Uni) [Civil Air Publication (U.K.)]
CAST Équipe pour la sécurité de l’aviation commerciale [Commercial Aviation Safety Team]
CEO Directeur général [Chief Executive Officer]
CHIRP Programme confidentiel de comptes rendus sur les incidents liés aux facteurs humains
(Royaume-Uni) [Confidential Human Factors Incident Reporting Programme (U.K.)]
CMC Centre de gestion des crises [Crisis Management Centre]
CNS Communications, navigation et surveillance
[Communications, Navigation and Surveillance]
CRM Gestion des ressources en équipage [Crew Resource Management]
CVR Enregistreur de conversations du poste de pilotage [Cockpit Voice Recorder]
DASS Direction des normes et de la sécurité des aérodromes
[Directorate of Aerodromes Standards and Safety]
DGAC Direction générale de l’aviation civile (France)

XIII
XIV Manuel de gestion de la sécurité (MGS)

DME Dispositif de mesure de distance [Distance Measuring Equipment]


DS Directeur de la sécurité [Safety Manager (SM)]
EBAA Association européenne de l’aviation d’affaires
[European Business Aviation Association]
ECCAIRS Centre européen de coordination des systèmes de comptes rendus d’incidents en
navigation aérienne
[European Co-ordination Centre for Aviation Incident Reporting Systems]
EGPWS Dispositif renforcé d’avertissement de proximité du sol
[Enhanced Ground Proximity Warning System]
ERP Plan d’intervention en cas d’urgence [Emergency Response Plan]
EUROCONTROL Organisation européenne pour la sécurité de la navigation aérienne
[European Organisation for the Safety of Air Navigation]
FAA Administration fédérale de l’aviation des États-Unis
[Federal Aviation Administration (U.S.)]
FCO Ordre de l’équipage de conduite [Flight Crew Order]
FDA Analyse des données de vol [Flight Data Analysis]
FDR Enregistreur de données de vol [Flight Data Recorder]
FIR Région d’information de vol [Flight Information Region]
FMEA Analyse des modes et des effets des pannes [Failure Modes and Effects Analysis]
FMS Système de gestion de vol [Flight Management System]
FOD Dommages causés par un corps étranger [Foreign Object Damage]
FOQA Assurance de la qualité des opérations aériennes
[Flight Operations Quality Assurance]
FPD Base de données d’un programme d’analyse des données de vol
[FDA Programme Database]
FSF Fondation pour la sécurité aérienne [Flight Safety Foundation]
FSO Responsable de la sécurité aérienne [Flight Safety Officer]
GAIN Réseau mondial d’information aéronautique [Global Aviation Information Network]
GASP Plan (OACI) pour la sécurité de l’aviation dans le monde
[Global Aviation Safety Plan (ICAO)]
GPS Système mondial de localisation [Global Positioning System]
GPWS Dispositif avertisseur de proximité du sol [Ground Proximity Warning System]
HAZid Identification des dangers [Hazard Identification]
HST Hygiène et sécurité au travail [Occupational Safety and Health (OSH)]
IATA Association du transport aérien international [International Air Transport Association]
IBAC Conseil international de l’aviation d’affaires (société de capitaux)
[International Business Aviation Council, Ltd.]
IFALPA Fédération internationale des associations de pilotes de ligne
[International Federation of Air Line Pilots’ Associations]
IFATCA Fédération internationale des associations de contrôleurs de la circulation aérienne
[International Federation of Air Traffic Controllers’ Associations]
ILS Système d’atterrissage aux instruments [Instrument Landing System]
INDICATE Identification des moyens de défense nécessaires dans l’environnement du transport
aérien civil [Identifying Needed Defences in the Civil Aviation Transport Environment]
ISASI Association internationale des enquêteurs de la sécurité aérienne
[International Society of Air Safety Investigators]
ISIM Méthodologie intégrée d’enquête de sécurité
[Integrated Safety Investigation Methodology]
ISO Organisation internationale de normalisation
[International Organization for Standardization]
JAA Autorités conjointes de l’aviation [Joint Aviation Authorities]
JAR Codes communs de l’aviation (JAA) [Joint Aviation Requirement(s) (JAA)]
Sigles et abréviations XV

LOSA Audit de sécurité en service de ligne [Line Operations Safety Audit]


MEDA Système d’aide à la décision pour les erreurs de maintenance (Société Boeing)
[Maintenance Error Decision Aid (The Boeing Company)]
MGS Manuel de gestion de la sécurité [Safety Management Manual (SMM)]
MNPS Spécifications de performances minimales de navigation
[Minimum Navigation Performance Specifications]
MRM Gestion des ressources de maintenance [Maintenance Resource Management]
MSAW Avertissement d’altitude minimale de sécurité [Minimum Safe Altitude Warning]
NASA Administration nationale de l’aéronautique et de l’espace (États-Unis)
[National Aeronautics and Space Administration (U.S.)]
NBAA Association nationale de l’aviation d’affaires (société de capitaux)
[National Business Aviation Association, Inc.]
NOSS Enquête de sécurité sur les opérations normales
[Normal Operations Safety Survey]
NTSB Conseil national de la sécurité des transports (États-Unis)
[National Transportation Safety Board (U.S.)]
OACI Organisation de l’aviation civile internationale
[International Civil Aviation Organization (ICAO)]
OFSH Manuel de sécurité de vol de l’exploitant [Operator’s Flight Safety Handbook]
OIRAS Systèmes opérationnels de compte rendu et d’analyse d’incident
[Operational Incident Reporting and Analysis Systems]
OMA Organisme de maintenance agréé [Approved Maintenance Organization (AMO)]
PANS Procédures pour les services de navigation aérienne
[Procedures for Air Navigation Services]
PANS-ATM Procédures pour les services de navigation aérienne — Gestion du trafic aérien
[Procedures for Air Navigation Services — Air Traffic Management]
PANS-OPS Procédures pour les services de navigation aérienne — Exploitation technique
des aéronefs [Procedures for Air Navigation Services — Aircraft Operations]
QAR Enregistreur à accès rapide [Quick Access Recorder]
RA Avis de résolution [Resolution Advisory]
RNP Qualité de navigation requise [Required Navigation Performance]
RVSM Minimum de séparation verticale réduit [Reduced Vertical Separation Minimum]
SAQ Système d’assurance de la qualité [Quality Assurance System (QAS)]
SARP Normes et pratiques recommandées [Standards and Recommended Practices]
SDCPS Systèmes de collecte et de traitement des données sur la sécurité
[Safety Data Collection and Processing Systems]
SDR Compte rendu de difficultés constatées en service [Service Difficulty Reporting]
SDR Demande de données liées à la sécurité [Safety Data Request]
SGS Système de gestion de la sécurité [Safety Management System(s) (SMS)]
SHEL Documentation/Matériel/Environnement/Être humain
[Software/Hardware/Environment/Liveware]
SID Départ normalisé aux instruments [Standard Instrument Departure]
SIL Liste de questions de sécurité prioritaires [Safety Issues List]
SIN Numéro d’instruction permanente [Standing Instruction Number]
SOP Procédures d’exploitation normalisées [Standard Operating Procedures]
STAR Arrivée normalisée aux instruments [Standard Instrument Arrival]
STCA Avertissement de conflit à court terme [Short-term Conflict Alert]
TCAS Système d’alerte de trafic et d’évitement de collision
[Traffic Alert and Collision Avoidance System]
TEM Gestion des menaces et des erreurs [Threat and Error Management]
TOR Acceptabilité du risque [Tolerability of Risk]
TRM Gestion des ressources en équipe [Team Resource Management]
XVI Manuel de gestion de la sécurité (MGS)

UE Union européenne [European Union (EU)]


USOAP Programme universel (OACI) d’audits de supervision de la sécurité
[Universal Safety Oversight Audit Programme (ICAO)]
Chapitre 1er

PRÉSENTATION GÉNÉRALE

1.1 GÉNÉRALITÉS

Au cours du siècle dernier, des progrès technologiques gigantesques ont été accomplis dans le domaine de
l’aviation. Ces progrès n’auraient pas été possibles sans des réalisations parallèles en matière de maîtrise
et d’atténuation des dangers qui mettent en péril la sécurité aérienne. Étant donné les nombreuses causes
possibles de dommages tant matériels que corporels en aviation, les responsables de l’aviation se sont
depuis toujours souciés de la prévention des accidents. Grâce au respect rigoureux de bonnes pratiques
de gestion de la sécurité, la fréquence et la gravité des événements liés à la sécurité aérienne ont
considérablement diminué.

1.2 LE CONCEPT DE SÉCURITÉ

1.2.1 Pour comprendre ce qu’est la gestion de la sécurité, il est nécessaire d’examiner ce que l’on
entend par « sécurité ». Selon le point de vue que l’on adopte, le concept de sécurité aérienne peut prendre
différentes acceptions, notamment :

a) zéro accident (ou incident grave), un point de vue largement partagé par les voyageurs ;

b) l’absence de danger ou de risque, c’est-à-dire de facteurs qui causent ou risquent de causer des
dommages ;

c) l’attitude du personnel face à des actes et situations dangereux (reflet d’une culture d’entreprise
« valorisant la sécurité ») ;

d) la mesure dans laquelle les risques inhérents à l’aviation sont « acceptables » ;

e) le processus d’identification des dangers et de gestion des risques ;

f) la limitation des pertes dues aux accidents (pertes humaines, pertes matérielles et dégâts à
l’environnement).

1.2.2 Il est souhaitable d’éliminer entièrement les accidents (et incidents graves), mais un taux de
sécurité de 100 % n’est pas un objectif réalisable. Malgré tous les efforts consentis pour éviter les
défaillances et les erreurs, il s’en produira toujours. Aucune activité humaine ni aucun système créé par
l’homme ne peut être garanti comme absolument sûr, c’est-à-dire exempt de risques. La notion de sécurité
est relative, les risques inhérents étant acceptables dans un système « sûr ».

1.2.3 La sécurité est de plus en plus considérée sous l’angle de la gestion des risques. Aux fins du
présent manuel, on donnera donc à la sécurité la définition suivante :

1-1
1-2 Manuel de gestion de la sécurité (MGS)

La sécurité est la situation dans laquelle les risques de lésions corporelles ou de


dommages matériels sont limités à un niveau acceptable et maintenus à ce niveau ou
sous ce niveau par un processus continu d’identification des dangers et de gestion des
risques.

1.3 NÉCESSITÉ DE LA GESTION DE LA SÉCURITÉ

1.3.1 Même si les catastrophes aériennes sont rares, des accidents moins graves et toutes sortes
d’incidents se produisent plus fréquemment. Ces incidents mineurs qui touchent à la sécurité peuvent
toutefois présager des problèmes de sécurité sous-jacents. Ne pas tenir compte de ces dangers sous-
jacents pour la sécurité reviendrait à ouvrir la voie à une augmentation du nombre d’accidents plus graves.

1.3.2 Les accidents (et les incidents) coûtent cher. Même si les assurances permettent d’en répartir le
coût dans le temps, les accidents ne sont pas bons pour les affaires. Les assurances peuvent couvrir
certains risques, mais de nombreux coûts ne sont pas assurés. Il y a, en outre, des coûts moins tangibles
(mais non moins importants) comme la perte de confiance des voyageurs. Une connaissance des coûts
totaux d’un accident est essentielle pour comprendre les aspects économiques de la sécurité.

1.3.3 La viabilité future de l’industrie du transport aérien pourrait bien dépendre de sa capacité à
conforter le public dans sa perception de la sécurité des vols. La gestion de la sécurité est dès lors une
condition préalable à la pérennité de l’industrie aéronautique.

1.4 EXIGENCES DE L’OACI

1.4.1 La sécurité a toujours été la préoccupation majeure de toutes les activités de l’aviation. Elle
figure dans les buts et objectifs de l’OACI tels qu’énoncés à l’Article 44 de la Convention relative à l’aviation
civile internationale (Doc 7300), appelée communément Convention de Chicago, qui charge l’OACI d’assurer
le développement ordonné et sûr de l’aviation civile internationale dans le monde entier.

1.4.2 En établissant les conditions que doivent remplir les États en matière de gestion de la sécurité,
l’OACI établit la distinction suivante entre programmes de sécurité et systèmes de gestion de la sécurité (SGS) :

• un programme de sécurité est un ensemble intégré de règlements et d’activités visant à améliorer


la sécurité ;

• un système de gestion de la sécurité (SGS) est une approche structurée de gestion de la sécurité,
qui englobe les structures, responsabilités, politiques et procédures organisationnelles nécessaires.

1.4.3 Les normes et pratiques recommandées de l’OACI (SARP) (voir les Annexes suivantes à
la Convention relative à l’aviation civile internationale : l’Annexe 6 — Exploitation technique des aéronefs,
re e
1 Partie — Aviation de transport commercial international — Avions, et 3 Partie — Vols internationaux
d’hélicoptères ; l’Annexe 11 — Services de la circulation aérienne ; et l’Annexe 14 — Aérodromes) font
obligation aux États d’établir un programme de sécurité afin d’atteindre un niveau de sécurité acceptable
de l’exploitation aérienne. Le niveau de sécurité acceptable sera établi par l’État (les États) concerné(s).
Tandis que les concepts de programmes de sécurité et de SGS se limitent actuellement aux Annexes 6, 11
et 14, il est possible qu’ils soient élargis pour inclure à l’avenir des Annexes supplémentaires relatives à
l’exploitation.
er
Chapitre 1 . Présentation générale 1-3

1.4.4 Un programme de sécurité aura une large portée qui englobera de nombreuses activités de
sécurité visant à atteindre les objectifs du programme. Le programme de sécurité d’un État comprend les
règlements et directives régissant la conduite d’opérations sûres du point de vue des exploitants d’aéronefs,
des fournisseurs de services de la circulation aérienne (ATS), des aérodromes et des services de maintenance
des aéronefs. Le programme de sécurité peut comprendre des dispositions se rapportant à des activités aussi
diverses que les comptes rendus d’incidents, les enquêtes et les audits de sécurité et la promotion de la
sécurité. Une mise en œuvre intégrée de ces activités de sécurité requiert un SGS cohérent.

1.4.5 Par conséquent, conformément aux dispositions des Annexes 6, 11 et 14, les États exigeront des
différents opérateurs, organisations de maintenance, fournisseurs ATS et exploitants certifiés d’aérodromes
qu’ils mettent en œuvre un SGS accepté par l’État. Ce SGS devra, au minimum :

a) identifier les dangers pour la sécurité ;

b) veiller à ce que des mesures correctives nécessaires d’atténuation des risques/dangers soient
mises en œuvre ;

c) prévoir un contrôle continu et une évaluation régulière du niveau de sécurité atteint.

1.4.6 Le SGS d’une organisation approuvé par l’État définira également clairement les obligations
redditionnelles en matière de sécurité, y compris la responsabilité directe de la haute direction en matière de
sécurité.

1.4.7 L’OACI fournit des éléments indicatifs spécifiques, parmi lesquels le présent manuel sur la
gestion de la sécurité, pour l’application des SARP. Ce manuel propose un cadre conceptuel pour gérer la
sécurité et mettre en place un SGS, ainsi que quelques-uns des processus et activités systémiques utilisés
pour réaliser les objectifs d’un programme de sécurité de l’État.

Niveau de sécurité acceptable

1.4.8 Dans tout système, il est nécessaire de fixer des niveaux de performance et de mesurer les
résultats atteints afin de déterminer si le système fonctionne conformément aux attentes. Il convient éga-
lement d’identifier les aspects qui appellent des mesures pour améliorer les niveaux de performance et
répondre à ces attentes.

1.4.9 L’introduction du concept de niveau de sécurité acceptable répond à la nécessité de compléter


l’approche actuelle de la gestion de la sécurité basée sur le respect des réglementations en y ajoutant une
approche basée sur la performance. Le niveau de sécurité acceptable exprime les objectifs (ou les attentes)
de sécurité d’une autorité de supervision, d’un exploitant ou d’un fournisseur de services. Du point de vue
des relations entre les autorités de supervision et les exploitants/fournisseurs de services, il fournit un
objectif de performance de sécurité que les exploitants/fournisseurs de services devraient atteindre dans la
conduite de leurs activités de base et qui serait un minimum acceptable pour l’autorité de supervision. Il
s’agit d’une référence en regard de laquelle l’autorité de supervision peut mesurer la performance de
sécurité. Pour déterminer un niveau de sécurité acceptable, il faut prendre en considération des facteurs tels
que le niveau de risque applicable, les coûts-avantages des améliorations à apporter au système et les
attentes du public en termes de sécurité de l’industrie aéronautique.

1.4.10 Dans la pratique, le concept de niveau de sécurité acceptable s’exprime à l’aide de deux mesures/
paramètres (les indicateurs de performance de sécurité et les objectifs de performance de sécurité) et il est
mis en œuvre au moyen de différentes exigences de sécurité. Dans le présent manuel, ces termes ont les
significations suivantes :
1-4 Manuel de gestion de la sécurité (MGS)

• Les indicateurs de performance de sécurité sont une mesure de la performance de sécurité


d’une organisation aéronautique ou d’un secteur de l’industrie. Les indicateurs de performance de
sécurité devraient être faciles à mesurer et être liés aux principaux éléments du programme de
sécurité d’un État ou au SGS d’un exploitant/fournisseur de services. Les indicateurs de
performance de sécurité différeront dès lors d’un segment de l’industrie aéronautique à l’autre,
notamment entre les exploitants d’aéronefs, les exploitants d’aérodrome ou les fournisseurs ATS.

• Les objectifs de performance de sécurité (parfois appelés buts) sont déterminés en fonction
de niveaux de performance de sécurité souhaitables et réalistes, à atteindre par les différents
exploitants/fournisseurs de services. Les objectifs de sécurité devraient être mesurables, accep-
tables pour les parties intéressées et compatibles avec le programme de sécurité de l’État.

• Les exigences de sécurité servent à atteindre les indicateurs de performance de sécurité et les
objectifs de performance de sécurité. Elles comprennent les procédures, la technologie, les
systèmes et les programmes d’exploitation, qui peuvent être assortis de mesures de fiabilité, de
disponibilité, de performance et/ou de précision. Comme exemple d’exigence de sécurité, citons le
déploiement d’un système radar dans les trois aéroports les plus importants d’un État dans les
12 mois qui suivent, avec une disponibilité de 98 % du matériel crucial.

1.4.11 Un ensemble de plusieurs indicateurs et objectifs de performance de sécurité donnera un


meilleur aperçu du niveau de sécurité acceptable d’une organisation ou d’un secteur de l’aviation que
l’utilisation d’un seul indicateur ou objectif.

1.4.12 Le rapport existant entre le niveau de sécurité acceptable, les indicateurs de performance de
sécurité, les objectifs de performance de sécurité et les exigences de sécurité est le suivant : le niveau
acceptable de sécurité est le concept dominant ; les indicateurs de performance de sécurité sont les
mesures/paramètres utilisés pour déterminer si le niveau acceptable de sécurité a été atteint ; les objectifs
de performance de sécurité sont les objectifs quantifiés en rapport avec le niveau acceptable de sécurité ;
les exigences de sécurité sont les outils ou moyens nécessaires pour réaliser les objectifs de sécurité. Le
présent manuel porte principalement sur les exigences de sécurité, c’est-à-dire sur les moyens mis en
œuvre pour atteindre les niveaux de sécurité acceptables.

1.4.13 Les indicateurs de sécurité et les objectifs de sécurité peuvent être différents (par ex., l’indi-
cateur de sécurité est de 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies
aériennes, et l’objectif de sécurité est une réduction de 40 % du taux d’accidents mortels pour les vols), ou
ils peuvent être identiques (par ex., l’indicateur de sécurité est de 0,5 accident mortel par 100 000 heures
pour les exploitants de compagnies aériennes, et l’objectif de sécurité est pas plus de 0,5 accident mortel
par 100 000 heures pour les exploitants de compagnies aériennes).

1.4.14 Il y aura rarement un niveau de sécurité acceptable à l’échelle nationale. Le plus souvent, il y
aura dans chaque État différents niveaux de sécurité acceptables sur lesquels se seront mis d’accord
l’autorité de supervision et de réglementation et les différents exploitants/fournisseurs de services. Chaque
niveau de sécurité acceptable convenu devrait être à la mesure de la complexité du contexte opérationnel
des différents exploitants/fournisseurs de services.

1.4.15 L’établissement d’un ou de plusieurs niveaux de sécurité acceptables pour le programme de


sécurité ne remplace pas les exigences légales, réglementaires ou autres qui ont été établies, ni ne libère
les États de leurs obligations découlant de la Convention relative à l’aviation civile internationale (Doc 7300)
et de ses dispositions connexes. De même, l’établissement d’un ou de plusieurs niveaux de sécurité
acceptables pour le SGS ne libère pas les exploitants/fournisseurs de services de leurs obligations
découlant de réglementations nationales pertinentes, ni de celles résultant de la Convention relative à
l’aviation civile internationale (Doc 7300).
er
Chapitre 1 . Présentation générale 1-5

Exemples de mise en œuvre

1.4.16 Programme de sécurité de l’État. Une autorité de supervision établit un niveau de sécurité
acceptable que doit réaliser son programme de sécurité et qui sera exprimé comme suit :

a) 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes (indicateur de
sécurité) avec une réduction de 40 % en cinq ans (objectif de sécurité) ;

b) 50 incidents d’aéronefs par 100 000 heures de vol effectuées (indicateur de sécurité) avec une
réduction de 25 % en trois ans (objectif de sécurité) ;

c) 200 incidents graves dus à une défectuosité de l’aéronef par 100 000 heures de vol effectuées
(indicateur de sécurité) avec une réduction de 25 % par rapport à la moyenne des trois dernières
années (objectif de sécurité) ;

d) 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs (indicateur de sécurité) avec une réduction
de 50 % en cinq ans (objectif de sécurité) ;

e) pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) avec
une réduction de 40 % sur une période de 12 mois (objectif de sécurité) ;

f) 40 incidents aériens par 100 000 heures de vol effectuées (indicateur de sécurité) avec une
réduction de 30 % sur la moyenne mobile de cinq ans (objectif de sécurité).

1.4.17 Les exigences de sécurité permettant d’atteindre ces objectifs de sécurité et indicateurs de
sécurité comprennent :

a) le programme de prévention des accidents élaboré par l’autorité de supervision ;

b) un système de compte rendu obligatoire des occurrences ;

c) un système de compte rendu volontaire des occurrences ;

d) un programme d’impact d’oiseau ;

e) le déploiement de systèmes radar dans les trois plus grands aéroports de l’État dans les 12 prochains
mois.

1.4.18 SGS d’un exploitant de compagnie aérienne. Une autorité de supervision et un exploitant de
compagnie aérienne se mettent d’accord sur un niveau de sécurité acceptable à atteindre par le SGS de
l’exploitant, dont une mesure — mais non la seule — est 0,5 accident mortel par 100 000 départs (indicateur
de sécurité) ; une réduction de 40 % en cinq ans (objectif de sécurité) et — notamment — le développement
d’approches GPS pour les aérodromes sans approches ILS (exigence de sécurité).

1.4.19 SGS d’un fournisseur de services et d’un exploitant d’aérodrome. Une autorité de
supervision, un fournisseur ATS et un exploitant d’aérodrome se mettent d’accord sur un niveau de sécurité
acceptable à atteindre par le SGS du fournisseur et de l’exploitant, dont un élément — mais pas le seul —
est pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) ; une
réduction de 40 % en 12 mois (objectif de sécurité) et — notamment — l’établissement de procédures de
circulation à la surface par faible visibilité (exigence de sécurité).

1.4.20 Le Chapitre 5 contient plus d’informations sur les indicateurs de performance de sécurité et les
objectifs de performance de sécurité.
1-6 Manuel de gestion de la sécurité (MGS)

1.5 LES INTERVENANTS DANS LE DOMAINE DE LA SÉCURITÉ

1.5.1 Compte tenu des coûts totaux des accidents d’aviation, de nombreux groupes différents sont
concernés par l’amélioration de la gestion de la sécurité. On trouvera ci-après une liste des principaux inter-
venants concernés par la sécurité :

a) les professionnels de l’aviation (par ex. les équipages de conduite et de cabine, les contrôleurs de la
1
circulation aérienne [ATCO], les techniciens de maintenance d’aéronef [AME] ) ;

b) les propriétaires et exploitants d’aéronefs ;

c) les constructeurs (en particulier les constructeurs de cellules et de moteurs) ;

d) les autorités de réglementation de l’aviation (par ex. les AAC, l’AESA et l’ASECNA) ;

e) les groupements professionnels de l’industrie (par ex. l’IATA, l’ATA et l’ACI) ;

f) les fournisseurs ATS régionaux (par ex. EUROCONTROL) ;

g) les unions et associations professionnelles (par ex. l’IFALPA et l’IFATCA) ;

h) les organisations internationales de l’aviation (par ex. l’OACI) ;

i) les organismes d’enquête (par ex. le NTSB des États-Unis) ;

j) les voyageurs.

1.5.2 Des événements graves liés à la sécurité aérienne touchent invariablement d’autres groupes qui
ne partagent pas toujours un objectif de promotion de la sécurité aérienne, par ex. :

a) les proches, victimes ou personnes blessées dans un accident ;

b) les compagnies d’assurances ;

c) l’industrie des voyages ;

d) les instituts d’enseignement et de formation à la sécurité (par ex. la FSF) ;

e) d’autres agences et services gouvernementaux ;

f) les mandataires publics élus ;

g) les investisseurs ;

h) les médecins légistes et la police ;

i) les médias ;

1. D’après l’Annexe 1 — Licences du personnel, il est également possible de désigner ces personnes sous le terme de « mécanicien
de maintenance d’aéronef ». Dans le présent manuel, c’est le terme « technicien de maintenance d’aéronef » (AME) qui sera utilisé.
er
Chapitre 1 . Présentation générale 1-7

j) le grand public ;

k) les avocats et consultants ;

l) différents groupes d’intérêts.

1.6 APPROCHES DE LA GESTION DE LA SÉCURITÉ

1.6.1 Compte tenu de la poursuite escomptée de l’augmentation des activités aéronautiques dans le
monde, il est à craindre que les méthodes traditionnelles de réduction des risques à un niveau acceptable
ne soient pas suffisantes. De nouvelles méthodes permettant de mieux comprendre et de gérer la sécurité
voient dès lors le jour.

1.6.2 On peut ainsi considérer la gestion de la sécurité selon deux perspectives différentes : la
perspective traditionnelle et la perspective moderne.

La perspective traditionnelle

1.6.3 Historiquement, la sécurité aérienne se concentrait sur le respect d’exigences réglementaires de


plus en plus complexes. Cette approche a donné de bons résultats jusqu’à la fin des années 1970, lorsque
le taux d’accidents a cessé de baisser. Des accidents ont continué à se produire en dépit de tout un arsenal
de règles et réglementations.

1.6.4 Selon cette approche de la sécurité, on réagissait à des événements indésirables en prescri-
vant des mesures visant à empêcher leur répétition. Plutôt que de définir les meilleures pratiques ou les
normes souhaitées, on cherchait à s’assurer le respect des normes minimales.
–6
1.6.5 Le taux global d’accidents mortels avoisinant 10 (soit un accident mortel par million de vols), il
devenait de plus en plus difficile d’améliorer davantage la sécurité en suivant cette approche.

La perspective moderne

1.6.6 Afin de maintenir les risques de sécurité à un niveau acceptable, compatible avec les niveaux
croissants d’activité, les pratiques modernes de gestion de la sécurité évoluent, délaissant une approche
purement réactive en faveur d’une approche plus proactive. Outre un solide cadre de législations et
d’exigences réglementaires reposant sur les SARP de l’OACI, et l’application de ces exigences, on estime
qu’un certain nombre d’autres facteurs, dont certains sont énumérés ci-dessous, concourent à une gestion
efficace de la sécurité. Il faut souligner que cette approche complète ou s’ajoute à l’obligation des États et
d’autres organisations de se conformer aux SARP de l’OACI et/ou aux règlements nationaux. Parmi ces
facteurs, citons :

a) l’application de méthodes de gestion des risques reposant sur des fondements scientifiques ;

b) l’engagement de la haute direction envers la gestion de la sécurité ;

c) une culture de la sécurité au sein de l’entreprise, qui favorise des pratiques sûres, encourage les
communications relatives à la sécurité et gère activement la sécurité en portant autant d’attention
aux résultats que ne le fait la gestion financière ;
1-8 Manuel de gestion de la sécurité (MGS)

d) la mise en œuvre efficace de Procédures d’exploitation normalisées (SOP), y compris l’utilisation de


listes de vérification et de briefings ;

e) un environnement non punitif (ou culture juste) pour promouvoir des comptes rendus efficaces de
dangers et d’incidents ;

f) des systèmes de collecte, d’analyse et de partage des données liées à la sécurité provenant de
l’exploitation normale ;

g) des enquêtes sur les accidents et les incidents graves effectuées par du personnel compétent et
permettant de faire apparaître les carences systémiques en matière de sécurité (plutôt que de
chercher uniquement à condamner des responsables) ;

h) l’intégration de la formation à la sécurité (comprenant les facteurs humains) pour le personnel


d’exploitation ;

i) le partage des enseignements tirés et des meilleures pratiques observées en rapport avec la
sécurité par l’échange actif d’informations sur la sécurité (entre compagnies et États) ;

j) la supervision systématique de la sécurité et le contrôle méthodique des performances de sécurité


en vue d’évaluer les performances de sécurité et de réduire ou éliminer les problèmes naissants.

1.6.7 Aucun élément pris isolément ne permettra de répondre aux attentes actuelles en matière de
gestion des risques. En revanche, une application intégrée de la plupart de ces éléments permettra
d’accroître la résistance du système de l’aviation aux circonstances et actes dangereux. Néanmoins, même
des processus efficaces de gestion de la sécurité n’offrent pas la garantie que tous les accidents puissent
être évités.

1.7 UTILISATION DU MANUEL

Finalité

1.7.1 Le présent manuel a pour objectif d’aider les États à se conformer aux exigences des Annexes 6,
11 et 14 dans l’optique de la mise en œuvre de SGS par les exploitants et les fournisseurs de services.

Public cible

1.7.2 Les méthodes et procédures décrites dans le présent manuel ont été élaborées à partir de
l’expérience acquise dans le domaine du développement et de la gestion efficaces d’activités de sécurité
aérienne par des exploitants d’aviation, des fournisseurs ATS, des aérodromes et des organisations de
maintenance. Ce manuel intègre également les meilleures pratiques provenant de diverses sources telles
que les gouvernements, les constructeurs et d’autres organisations aéronautiques reconnues.

1.7.3 La mise en pratique des éléments indicatifs repris ci-après ne se limite pas au personnel
d’exploitation mais devrait, au contraire, concerner l’éventail complet des parties intéressées par la sécurité,
y compris la haute direction.

1.7.4 Le présent manuel s’adresse en particulier aux responsables de la conception, de la mise en


œuvre et de la gestion effectives des activités de sécurité, à savoir :
er
Chapitre 1 . Présentation générale 1-9

a) les fonctionnaires du gouvernement assumant des responsabilités de réglementation du système de


l’aviation ;

b) les instances de direction d’organisations d’exploitation aérienne telles que les exploitants, les
fournisseurs ATS, les aérodromes et les organisations de maintenance ;

c) les praticiens de la sécurité, tels que les directeurs de la sécurité et les conseillers en sécurité.

1.7.5 Les utilisateurs devraient y trouver suffisamment d’informations pour les guider dans la justifi-
cation, l’introduction et l’exploitation d’un SGS viable.

1.7.6 Ce manuel n’est pas normatif. Toutefois, en se fondant sur une compréhension de la philo-
sophie, des principes et des pratiques examinés ci-après, les organisations devraient être à même de
mettre au point une approche de la gestion de la sécurité adaptée à leurs circonstances locales.

Sommaire

1.7.7 Le présent manuel s’adresse à un large public, allant des organismes de réglementation
aérienne des États aux exploitants et fournisseurs de services. Il est également destiné à tous les niveaux
de personnel au sein de ces organisations, de la haute direction aux agents de première ligne. Les
Chapitres 1 à 3 contiennent une introduction à la gestion de la sécurité. Les Chapitres 4 à 11 traitent de la
gestion de la sécurité. Les systèmes de gestion de la sécurité sont abordés dans les Chapitres 12 à 15. Les
Chapitres 16 à 19 étudient la gestion de la sécurité appliquée.

1.7.8 Ce manuel n’est pas destiné à être lu du début à la fin. On conseille plutôt aux utilisateurs de se
concentrer sur leurs centres d’intérêt, selon leur niveau de connaissance et d’expérience dans le domaine
de la gestion de la sécurité aérienne.

1.7.9 Dans le présent manuel, le masculin est utilisé pour désigner à la fois les hommes et les
femmes.

Remerciements

1.7.10 Pour élaborer le présent manuel, l’OACI s’est inspirée dans une large mesure des travaux,
écrits et meilleures pratiques de nombreuses personnes et organisations. S’il est vrai que l’on ne peut citer
toutes les références utilisées, l’OACI voudrait remercier pour leur contribution notamment les États
suivants : l’Australie, le Canada, les États-Unis, la Nouvelle-Zélande et le Royaume-Uni ; les constructeurs
suivants : Airbus Industrie et la société Boeing ; la société de conseil Integra ; les fournisseurs de
services suivants : l’Organisation européenne pour la sécurité de la navigation aérienne (EUROCONTROL)
et le Conseil international des aéroports (ACI) ; Richard W. Wood, auteur indépendant ; ainsi que le Réseau
mondial d’information aéronautique (GAIN) et la Fondation pour la sécurité aérienne (FSF).

Liens avec d’autres documents de l’OACI

1.7.11 Le présent manuel fournit des orientations permettant de se conformer aux exigences des
SARP des Annexes 6, 11 et 14 en ce qui concerne la mise en œuvre de programmes de sécurité et de
SGS. Certaines de ces exigences sont développées dans les Procédures pour les services de navigation
aérienne — Exploitation technique des aéronefs (PANS-OPS, Doc 8168), les Procédures pour les services
1-10 Manuel de gestion de la sécurité (MGS)

de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444), et le Manuel sur la certification
des aérodromes (Doc 9774).

1.7.12 Ce manuel devrait également aider les États à satisfaire aux SARP de l’Annexe 13 — Enquêtes
sur les accidents et incidents d’aviation — en ce qui concerne les enquêtes sur les accidents et les
incidents, y compris les recommandations aux États visant à promouvoir la sécurité par l’analyse des
données sur les accidents et les incidents et par un échange rapide de renseignements sur la sécurité.

1.7.13 Le présent manuel de gestion de la sécurité devrait également accompagner d’autres documents
de l’OACI, parmi lesquels :

a) le Manuel de navigabilité (Doc 9760), qui fournit des éléments indicatifs pour la conduite d’un
programme de maintien de la navigabilité ;

b) les Facteurs humains — Étude n° 16 — Facteurs transculturels dans la sécurité de l’aviation


(Cir 302), qui traitent de l’importance des facteurs transculturels pour la sécurité de l’aviation ;

c) les Lignes directrices sur les facteurs humains dans la maintenance aéronautique (Doc 9824), qui
fournissent des informations sur la réduction des erreurs humaines et la mise au point de contre-
mesures dans la maintenance aéronautique ;

d) les Lignes directrices sur les facteurs humains et les systèmes de gestion du trafic aérien (ATM)
(Doc 9758), destinées à aider les États dans l’examen des questions liées aux facteurs humains
lors de l’achat et de la mise en œuvre de systèmes CNS/ATM ;

e) les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), qui
fournissent des éléments indicatifs pour la préparation et l’exécution d’un audit de supervision de la
sécurité qui tienne compte de la performance et des limites humaines ;

f) le Manuel d’instruction sur les facteurs humains (Doc 9683), qui décrit de façon plus détaillée une
grande partie de l’approche sous-jacente des aspects de la performance humaine en rapport avec
la gestion de la sécurité développée dans le présent manuel ;

g) l’Audit de sécurité en service de ligne (LOSA) (Doc 9803), qui présente des informations sur la
réduction et la gestion de l’erreur humaine et la mise au point de contre-mesures dans les contextes
d’exploitation ;

h) le Manuel d’investigations techniques sur les accidents et incidents d’aviation (Doc 9756), qui fournit
aux États des informations et des orientations sur les procédures, pratiques et techniques qui
peuvent être utilisées dans les enquêtes sur les accidents d’aviation ;

i) le Manuel sur la certification des aérodromes (Doc 9774), qui décrit les caractéristiques essentielles
d’un SGS à inclure dans le manuel des aérodromes pour la certification des aérodromes ;

j) la Rédaction d’un manuel d’exploitation (Doc 9376), qui fournit aux exploitants des éléments
indicatifs détaillés dans des domaines tels que la formation et la supervision des opérations et qui
comprend des consignes sur la nécessité de mettre en place un programme de prévention des
accidents ;

k) le Manuel d’audits de la supervision de la sécurité (Doc 9735), qui fournit des éléments indicatifs et
des informations sur les procédures d’audit normalisées pour l’exécution d’audits de l’OACI de la
supervision de la sécurité ;
er
Chapitre 1 . Présentation générale 1-11

l) le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord à la
sécurité, qui fournit des éléments indicatifs pour la formation des équipages de cabine telle que
2
prescrite par l’Annexe 6 .

____________________

2. À la suite d’un changement de terminologie intervenu en 1999 (voir l’Annexe 6 — Exploitation technique des aéronefs), le terme
« membre de l’équipage de cabine » est dorénavant utilisé à la place du terme « membre du personnel commercial de bord ». Le
terme « agent de bord » est parfois utilisé dans l’industrie aéronautique.
Page blanche
Chapitre 2

PARTAGE DE LA RESPONSABILITÉ DE LA GESTION


DE LA SÉCURITÉ

2.1 PARTIES RESPONSABLES DE LA GESTION DE LA SÉCURITÉ

2.1.1 La responsabilité de la sécurité et de la gestion effective de la sécurité est partagée entre un


large éventail d’organisations et d’institutions, dont des organisations internationales, les organismes nationaux
de réglementation de l’aviation civile, les propriétaires et exploitants, les fournisseurs de services de navi-
gation aérienne et d’aérodromes, les grands constructeurs d’aéronefs et de groupes motopropulseurs, les
organisations de maintenance, les associations professionnelles et sectorielles et les instituts d’éducation et
de formation aéronautique. En outre, les tiers qui fournissent des services d’appui à l’aviation (y compris des
services sous contrat) partagent également cette responsabilité de la gestion de la sécurité. D’une façon
générale, ces responsabilités relèvent des domaines suivants :

a) la définition de politiques et de normes touchant à la sécurité ;

b) l’affectation de ressources pour soutenir les activités de gestion des risques ;

c) l’identification et l’évaluation des dangers pour la sécurité ;

d) l’application de mesures visant à éliminer les dangers ou à réduire le risque connexe à un niveau
reconnu comme acceptable ;

e) l’intégration des progrès techniques dans la conception et la maintenance du matériel ;

f) l’évaluation de la supervision de la sécurité et du programme de sécurité ;

g) la réalisation d’enquêtes sur les accidents et les incidents graves ;

h) l’adoption des meilleures pratiques les plus appropriées de l’industrie ;

i) la promotion de la sécurité de l’aviation (y compris l’échange d’informations liées à la sécurité) ;

j) la mise à jour des réglementations régissant la sécurité de l’aviation civile.

2.1.2 Les procédures et pratiques systématiques de gestion de la sécurité sont généralement désignées
par l’expression « système de gestion de la sécurité » (SGS) ;

L’OACI

2.1.3 Du point de vue de la réglementation, le rôle de l’OACI est de fournir des procédures et
indications pour une exploitation internationale sûre des aéronefs, et de promouvoir la planification et le
développement du transport aérien. L’OACI s’acquitte de cette tâche principalement par l’élaboration des

2-1
2-2 Manuel de gestion de la sécurité (MGS)

normes et pratiques recommandées (SARP), qui sont contenues dans les Annexes à la Convention de
Chicago et qui illustrent les meilleures pratiques opérationnelles des États. Les procédures pour les services
de navigation aérienne (PANS) contiennent des pratiques qui dépassent le champ d’application des SARP,
là où une certaine uniformité internationale est souhaitable pour des raisons de sécurité et d’efficacité. Les
plans régionaux de navigation aérienne décrivent de façon détaillée les besoins en installations et services
propres aux régions de l’OACI. Essentiellement, ces documents définissent le cadre international pour
promouvoir la sécurité et l’efficacité en aviation.

2.1.4 Outre ce cadre réglementaire, l’OACI contribue à la gestion de la sécurité par la promotion des
meilleures pratiques de sécurité. Plus spécifiquement, l’OACI :

a) fournit aux États et exploitants des éléments indicatifs couvrant la plupart des aspects de la sécurité
aérienne (notamment les opérations aériennes, la navigabilité, les services de la circulation aérienne,
les aérodromes et la sécurité des aéroports). De manière générale, ces éléments indicatifs se
présentent sous la forme de manuels ou de circulaires ;

b) a élaboré le présent manuel, qui décrit les principes de gestion de la sécurité et fournit des orien-
tations pour la réalisation de programmes efficaces de gestion de la sécurité ;

c) définit des procédures internationales de compte rendu et d’enquête sur les accidents et les
1
incidents ;

d) promeut la sécurité aérienne en :

1) diffusant des informations sur les accidents et les incidents via le système de comptes rendus
d’accident/incident (ADREP) ainsi que par d’autres moyens ;

2) diffusant des informations sur la sécurité aérienne dans des publications et, plus récemment,
sous forme électronique ;

3) participant à des colloques, séminaires, etc., pour y aborder des aspects spécifiques de la
sécurité aérienne (comme les enquêtes sur les accidents, la prévention des accidents et les
facteurs humains) ;

e) mène des audits dans le cadre du Programme universel d’audits de supervision de la sécurité
(USOAP) ;

Les États

2.1.5 Il incombe tout particulièrement aux États de créer un environnement propice à des opérations
aériennes sûres et efficaces. Quelles que soient les méthodes de gestion des risques qu’ils emploient, telles
que celles décrites dans le présent manuel, les États, en tant que signataires de la Convention de Chicago,
ont l’obligation de mettre en œuvre les SARP de l’OACI. À cette fin, chaque État doit :

a) prévoir les dispositions législatives et réglementaires nécessaires pour administrer le système


d’aviation de l’État. Parmi les domaines qui demandent un cadre juridique pour une gestion efficace
de la sécurité, on peut citer :

1. On les trouvera dans l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation, dans le Manuel d’investigations techniques
sur les accidents et incidents d’aviation (Doc 9756) et dans le Manuel de compte rendu d’accident/incident (Manuel ADREP)
(Doc 9156).
Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-3

1) la législation aéronautique, qui fixe les objectifs de l’État pour l’aviation — à la fois commerciale
et privée. En règle générale, cette législation traduit la conception qu’a l’État de la sécurité
aérienne, et elle délimite les responsabilités, obligations redditionnelles et pouvoirs principaux
en vue d’atteindre ces objectifs ;

2) les lois sur la production industrielle et le commerce, qui régissent la production et la vente de
matériel et de services aéronautiques sûrs ;

3) la législation du travail, y compris la législation relative à l’hygiène et la sécurité au travail (HST),


qui fixe les règles du cadre de travail dans lequel le personnel d’aviation est censé s’acquitter
de ses fonctions en toute sécurité ;

4) les lois sur la sécurité, qui contribuent à la sécurité sur le lieu de travail ; elles régissent par ex.
l’accès aux aires opérationnelles (qui peut y accéder et sous quelles conditions). Elles peuvent
aussi protéger les sources d’informations liées à la sécurité ;

5) les lois environnementales influant sur l’implantation des aéroports et des aides à la navigation
qui ont des incidences sur les opérations aériennes (telles que les procédures antibruit) ;

b) créer un organisme public approprié, appelé généralement Administration de l’aviation civile (AAC),
doté des pouvoirs nécessaires lui permettant d’assurer la conformité avec les réglementations. Dans
ce cadre, il appartiendra notamment à l’État :

1) d’instituer l’autorité et les délégations statutaires nécessaires pour réglementer l’industrie


aéronautique ;

2) de veiller à ce que cette autorité soit dotée d’un nombre suffisant de techniciens compétents ;

3) d’administrer un système efficace de supervision de la sécurité destiné à évaluer l’application


des exigences réglementaires ;

c) mettre en place des mécanismes appropriés de supervision de la sécurité pour s’assurer que les
exploitants et fournisseurs de services maintiennent un niveau de sécurité acceptable dans leurs
opérations.

2.1.6 Une aviation sûre et efficace exige une importante infrastructure et de nombreux services
aéronautiques, parmi lesquels des aéroports, des aides à la navigation, une gestion du trafic aérien, des
services météorologiques et des services d’information de vol. Certains États sont propriétaires de services
de navigation aérienne et des principaux aéroports, dont ils assurent l’exploitation ; d’autres sont proprié-
taires de la compagnie aérienne nationale et l’exploitent. Toutefois, beaucoup d’États ont transféré ces
opérations à des sociétés qui exercent leurs activités sous la supervision de l’État. Quelle que soit l’approche
adoptée, les États doivent veiller à ce que l’infrastructure et les services d’appui à l’aviation soient gérés de
façon à répondre aux obligations internationales et à satisfaire aux besoins de l’État.

2.1.7 Lorsque la fonction de réglementation et la fourniture de services particuliers sont toutes deux
placées sous le contrôle direct du même organisme public (tel que l’AAC), une distinction claire doit être faite
entre ces deux fonctions, c’est-à-dire celle de fournisseur de services et celle d’organisme de réglementation.

2.1.8 Enfin, il incombe aux États d’être de « bons citoyens » de la communauté de l’aviation inter-
nationale. Le meilleur moyen pour eux d’y parvenir est de veiller à respecter la Convention de Chicago et les
SARP de l’OACI. Quand un État ne peut pas adapter sa législation et ses règlements nationaux aux SARP,
il est tenu de notifier la « différence ». L’OACI publie ces divergences de sorte que les autres États puissent
2-4 Manuel de gestion de la sécurité (MGS)

être informés des dérogations à des normes acceptées internationalement. L’USOAP de l’OACI est utilisé
pour déterminer la conformité des États avec les SARP cruciales pour la sécurité.

Les Administrations de l’aviation civile (AAC)

2.1.9 Après avoir élaboré la législation aéronautique appropriée, l’État doit établir une AAC chargée de
fixer les règles, règlements et procédures par lesquels l’État met en œuvre son programme de sécurité. Le
Chapitre 3 du présent manuel (Programme de sécurité de l’État) décrit les fonctions et activités principales
de l’AAC relatives à l’application d’un programme de sécurité efficace. Le rôle de l’AAC consiste essentiel-
lement à assurer la supervision nécessaire afin de vérifier la conformité avec les lois et réglementations de
l’État relatives à la sécurité aérienne, et la réalisation des objectifs de l’État en matière de sécurité.

Les constructeurs

2.1.10 Chaque nouvelle génération de matériel comporte des améliorations basées sur les techniques
les plus avancées et l’expérience opérationnelle la plus récente. Les constructeurs fabriquent du matériel
conforme aux normes de navigabilité et autres normes des gouvernements nationaux et étrangers et qui
répond aux critères économiques et de performance des acheteurs.

2.1.11 Les constructeurs produisent également des manuels et autre documentation technique
concernant leurs produits. Dans certains États, ces documents peuvent être les seuls éléments indicatifs
disponibles pour comprendre le fonctionnement d’un certain type d’aéronef ou d’appareil. Il importe dès lors
que la documentation fournie par le constructeur soit de bonne qualité. En outre, de par leur responsabilité
de fournir le support technique, la formation, etc., les constructeurs peuvent communiquer le dossier de
sécurité d’un certain appareil ou les dossiers de service d’un composant.

2.1.12 En outre, les grands constructeurs d’aéronefs ont des départements de sécurité actifs qui ont
notamment pour tâche de suivre le fonctionnement en service de leurs produits, de fournir des retours
d’information aux processus de construction et de diffuser des informations de sécurité aux compagnies
aériennes clientes.

Les exploitants d’aéronefs

2.1.13 Les grandes compagnies aériennes réalisent généralement bon nombre des activités de
gestion de la sécurité décrites dans le présent manuel. Ces activités sont souvent menées par un bureau de
la sécurité, qui contrôle l’ensemble de l’exploitation et fournit à la direction de l’entreprise des conseils
indépendants sur l’action à mener pour éliminer ou éviter les dangers identifiés, ou réduire le risque
connexe à un niveau acceptable.

2.1.14 Les concepts de gestion de la sécurité décrits dans le présent manuel s’ajoutent à l’obligation
existante de se conformer aux SARP de l’OACI et/ou réglementations nationales.

Les fournisseurs de services

2.1.15 Des opérations aériennes sûres et efficaces dépendent aussi de la fourniture efficace d’un
ensemble de services distincts de ceux fournis par les exploitants d’aéronefs, par ex. :

a) la gestion du trafic aérien ;


Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-5

b) l’exploitation technique des aérodromes, y compris les services d’urgence d’aéroport ;

c) la sûreté aéroportuaire ;

d) les aides à la navigation et à la communication.

2.1.16 Ces services étaient traditionnellement fournis par l’État — généralement par son Autorité de
l’aviation civile ou militaire. Toutefois, les Autorités de l’aviation civile de certains États ont découvert les
conflits d’intérêts potentiels résultant du double rôle joué par l’État en tant qu’organisme de réglementation
et fournisseur de services. En outre, certains États estiment que transférer bon nombre de ces services à
des sociétés (ou les privatiser), notamment les ATS et l’exploitation des aérodromes, permet d’accroître
l’efficacité opérationnelle et de réaliser des économies d’exploitation. En conséquence, un nombre croissant
d’États ont délégué la responsabilité de la fourniture de bon nombre de ces services.

2.1.17 Quels que soient le mode de propriété ou la structure de gestion de tout service aéronautique,
les dirigeants responsables sont tenus d’élaborer et de mettre en œuvre un SGS dans leur domaine de
compétences. Les éléments indicatifs présentés dans le présent manuel s’appliquent indistinctement aux
opérations aériennes et aux services aéronautiques, qu’ils soient assurés par l’État ou par une entreprise
privée.

Les entrepreneurs tiers

2.1.18 La fourniture de services d’appui aux opérations aériennes fait souvent intervenir des entre-
prises privées dans des domaines tels que l’avitaillement en carburant, le ravitaillement et autres services
d’escale, la maintenance et la révision d’aéronefs, la construction et la réparation de pistes et voies de
circulation, la formation des équipages, la planification des vols, la régulation des vols et le contrôle en vol.

2.1.19 Qu’elle ait affaire à une grosse entreprise ou à un petit entrepreneur, l’autorité contractante
(par ex. une compagnie aérienne, un exploitant d’aérodrome ou un fournisseur de services de navigation
aérienne) est globalement responsable de la gestion des risques encourus par le fournisseur en matière de
sécurité. Le contrat doit spécifier les normes de sécurité à respecter. Il incombe donc à l’autorité contractante
de s’assurer que le fournisseur se conforme aux normes de sécurité prescrites dans le contrat.

2.1.20 Un SGS doit garantir que le niveau de sécurité d’une organisation n’est pas fragilisé par les
apports et fournitures des organisations externes.

Les associations commerciales et professionnelles

2.1.21 Les associations commerciales et professionnelles jouent également un rôle essentiel dans la
gestion de la sécurité.

2.1.22 Les associations d’intervenants internationales, nationales et régionales sont généralement


formées pour défendre des intérêts commerciaux ; néanmoins, leurs membres reconnaissent de plus en
plus les liens étroits qui existent entre sécurité aérienne et rentabilité. Ils se rendent compte qu’un accident
affectant une compagnie aérienne peut compromettre leurs propres opérations. C’est ainsi que des asso-
ciations de compagnies aériennes, par exemple, suivent de près les progrès de l’industrie en matière de
technologie, procédures et pratiques. Leurs membres collaborent à l’identification des dangers pour la
sécurité et aux mesures requises pour réduire ou éliminer les carences. Par l’intermédiaire de ces
associations, de nombreuses compagnies aériennes partagent maintenant les données liées à la sécurité
en vue d’améliorer la gestion de la sécurité.
2-6 Manuel de gestion de la sécurité (MGS)

2.1.23 De la même manière, des associations professionnelles représentant les intérêts de différents
groupes professionnels (par ex. pilotes, ATCO, AME et équipages de cabine) jouent un rôle actif dans les
efforts consentis pour assurer la gestion de la sécurité. À travers des études et analyses et par un travail de
sensibilisation, ces groupes fournissent les compétences spécifiques permettant d’identifier les dangers
pour la sécurité et d’améliorer la prévention.

2.1.24 De plus en plus, les compagnies aériennes forment des partenariats ou des alliances avec
d’autres compagnies aériennes pour élargir leur structure effective de routes par des accords de partage de
codes. C’est ainsi qu’un tronçon de vol peut être exploité par une compagnie aérienne différente de celle à
laquelle s’attend le passager. Ces dispositions peuvent avoir des incidences sur la sécurité. Aucune
compagnie aérienne ne souhaite être associée à un partenaire peu sûr. Pour protéger leurs propres intérêts,
les partenaires d’une alliance procèdent à des audits de sécurité mutuels — améliorant ainsi la sécurité des
compagnies aériennes.

2.1.25 La communauté de l’aviation générale a un système d’associations nationales et internationales


qui ont été créées pour promouvoir la sécurité et défendre leurs intérêts au sein de la communauté
aéronautique. Le secteur de l’aviation d’affaires joue également un rôle actif dans les SGS et suit de près
les questions de sécurité pour ses membres.

2.2 LA RESPONSABILITÉ PARTICULIÈRE DE LA DIRECTION


2
EN MATIÈRE DE SÉCURITÉ

2.2.1 Les équipes de direction des exploitants et des fournisseurs de services ont une responsabilité
particulière en matière de gestion de la sécurité. Une grande enquête réalisée auprès de compagnies
aériennes du monde entier a montré que les compagnies aériennes les plus sûres étaient celles qui avaient
une mission claire sur le plan de la sécurité, commençant au sommet de l’organisation et orientant les
actions à tous les niveaux jusqu’au niveau opérationnel. Lautman et Gallimore ont découvert que dans les
compagnies aériennes les plus sûres :

« …Les responsables de l’exploitation des vols et de la formation au pilotage, conscients de leurs


responsabilités en la matière, s’emploient à élaborer et à faire appliquer des lignes de conduite axées
sur la sécurité. ... Il existe une méthode qui permet de transmettre rapidement des informations aux
équipages de conduite et une politique qui encourage les retours d’expérience confidentiels des pilotes
à la direction. ... Cette attitude de la direction … est une force dynamique qui suscite l’uniformisation et
la discipline dans le poste de pilotage, préparées par un programme de formation axé sur les questions
de sécurité. »

2.2.2 Les organisations les plus sûres sont souvent les plus efficaces. Bien que des arbitrages entre
gestion de la sécurité et coûts puissent se produire, la direction doit prendre conscience des coûts cachés
des accidents et reconnaître que la sécurité est bonne pour les affaires. L’adoption d’une approche
systématique du processus décisionnel et de la gestion des risques dans l’entreprise permet de réduire les
pertes dues aux accidents.

2.2.3 La direction a le pouvoir et la responsabilité de gérer les risques pour la sécurité au sein de
l’entreprise. À cette fin, une méthode systématique destinée à déceler les dangers, évaluer les risques et
assigner des priorités à ces risques sera établie, et les dangers qui présentent la plus grande menace de

2. Le Manuel d’instruction sur les facteurs humains (Doc 9683), 1re Partie, Chapitre 2, étudie plus en détail l’importance du rôle de la
direction dans la mise en place d’une culture positive de la sécurité.
Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-7

perte potentielle seront réduits ou éliminés. Seule la direction a la capacité de modifier la structure, la
dotation en personnel, les installations, les politiques et procédures de l’organisation.

2.2.4 Surtout, c’est la direction qui détermine la culture de la sécurité de l’organisation. Sans son
adhésion sans réserve à la cause de la sécurité, la gestion de la sécurité restera en grande partie sans
effet. En renforçant positivement les actions en faveur de la sécurité, les dirigeants adressent un message à
tout le personnel, message par lequel ils montrent qu’ils se préoccupent vraiment de la sécurité et s’attendent
à une attitude similaire de la part du personnel.

2.2.5 La direction doit faire de la sécurité une valeur fondamentale de l’organisation. À cet effet, elle
fixera des buts et objectifs en matière de sécurité et demandera des comptes aux gestionnaires et au
personnel au sujet de la réalisation de ces objectifs. Le personnel attend de la direction :

a) des orientations claires sous la forme de politiques, buts, objectifs, normes, etc., crédibles ;

b) des ressources suffisantes, y compris suffisamment de temps, pour s’acquitter, de manière sûre
et efficace, des tâches qui lui ont été assignées ;

c) des compétences sur le plan de l’accès à l’expérience par le biais de publications, de participations
à des formations et séminaires, etc., sur la sécurité.

2.2.6 Cette responsabilité qui incombe aux dirigeants s’applique indépendamment de la taille ou du
type d’organisation fournissant le service aéronautique. Le rôle de la direction à l’égard de la gestion de la
sécurité est un leitmotiv du présent manuel.

2.3 RESPONSABILITÉS ET OBLIGATIONS REDDITIONNELLES

2.3.1 Les concepts de responsabilité et d’obligation redditionnelle sont étroitement liés. Tandis que
chaque membre du personnel est responsable de ses actes, il doit aussi rendre compte de l’exécution sûre
de ses fonctions à son supérieur hiérarchique ou à son directeur et il peut être amené à justifier ses actes.
Mais tandis que les individus doivent rendre compte de leurs propres actes, les directeurs et supérieurs
hiérarchiques doivent en outre rendre compte des prestations générales du groupe placé sous leur autorité.
L’obligation de rendre compte n’est pas à sens unique. Les directeurs ont également la responsabilité de
s’assurer que leurs subordonnés ont les ressources, la formation, l’expérience, etc., nécessaires pour
accomplir en toute sécurité les tâches qui leur ont été confiées.

2.3.2 Un énoncé formel des responsabilités et obligations redditionnelles est souhaitable, même dans
de petites organisations. Cet énoncé clarifie les liens hiérarchiques formels et informels dans l’organi-
gramme et précise les obligations redditionnelles liées à des activités spécifiques, sans double emploi ni
omission. La teneur de cet énoncé variera en fonction de la taille de l’organisation, de sa complexité et de
ses relations.

2.4 COOPÉRATION MONDIALE

2.4.1 Bien que les éléments organisationnels décrits ci-dessus aient des rôles et responsabilités
spécifiques en rapport avec la gestion de la sécurité, le caractère international de l’aviation exige que leurs
efforts individuels soient intégrés dans un système de sécurité aéronautique mondial cohérent, nécessitant
coopération et collaboration à tous les niveaux.
2-8 Manuel de gestion de la sécurité (MGS)

2.4.2 Cette collaboration mondiale se fait dans les forums internationaux tels que :

a) les associations professionnelles (par ex. l’IATA, l’ACI, l’ATA, et CANSO) ;

b) les associations nationales et internationales de l’aviation (par ex. la NBAA, l’EBAA, l’IBAC) ;

c) les fédérations internationales d’associations nationales (par ex. I’IFALPA et I’IFATCA) ;

d) les organismes internationaux de sécurité (par ex. la FSF et l’ISASI) ;

e) les groupements industrie/gouvernement (par ex. CAST et GAIN) ;

f) les forums sur la sécurité organisés par les grands constructeurs.

2.4.3 Ces organisations peuvent fournir des experts pour des réunions et des études. Par exemple,
les constructeurs peuvent inviter des groupes d’utilisateurs à leur faire part de suggestions, tandis que les
utilisateurs eux-mêmes peuvent consulter les constructeurs afin de mieux comprendre certaines pratiques
d’exploitation. Il se crée ainsi un fructueux échange d’informations et de connaissances sur la sécurité. Ces
efforts de collaboration ne servent toutefois pas uniquement les intérêts de la sécurité ; ils sont également
économiquement avantageux, pour les raisons suivantes :

a) les différents segments de l’industrie du transport aérien sont fortement interdépendants. Les
conséquences d’une catastrophe aérienne de grande envergure peuvent porter préjudice à de
nombreux intervenants. L’inquiétude mutuelle que suscitent les atteintes à la réputation de l’indus-
trie, à son image et à la confiance du public tend à privilégier l’action collective par rapport à la
poursuite des seuls intérêts particuliers ;

b) l’action collective a plus de poids ;

c) la mondialisation de l’économie a transcendé les frontières et l’autorité des États.

2.4.4 Une collaboration mondiale peut améliorer l’efficacité et la portée des actions de gestion de la
sécurité de diverses manières, dont voici quelques exemples :

a) l’harmonisation, la cohérence et l’interopérabilité par l’adoption de normes de conception, de SOP et


d’une terminologie universelles ;

b) le partage mondial d’informations liées à la sécurité ;

c) une identification et une résolution précoces des dangers systémiques mondiaux ;

d) un appui et un renforcement mutuel par le chevauchement des efforts et le partage de ressources


spécialisées.
Chapitre 3

PROGRAMME DE SÉCURITÉ DE L’ÉTAT

3.1 GÉNÉRALITÉS

3.1.1 Comme exposé au Chapitre 2, les États ont l’importante responsabilité de créer un environ-
nement propice à des activités aériennes sûres et efficaces. En tant que signataire de la Convention de
Chicago, l’État est responsable de la mise en œuvre des SARP de l’OACI qui concernent les opérations
aériennes, les services de la navigation et de l’espace aériens, et les aérodromes dont il a la responsabilité.
D’une façon générale, ces responsabilités comprennent des fonctions à la fois de réglementation (octroi de
licences, certification, etc.) et de supervision de la sécurité pour assurer la conformité avec les dispositions
réglementaires.

3.1.2 Chaque État doit prendre des dispositions pour garantir la sécurité du système d’aviation qui
relève de sa compétence. Toutefois, chaque État n’est qu’une composante du vaste système d’aviation
mondial. En ce sens, les États ont également la responsabilité de répondre aux exigences du système
international plus vaste.

3.1.3 L’approche systémique du programme de sécurité de l’aviation de l’État préconisée dans le


présent manuel englobe tous les niveaux organisationnels, toutes les disciplines et toutes les phases du
cycle de vie du système. Des facteurs se rapportant à la météorologie, aux cartes aéronautiques, à
l’exploitation des aéronefs, à la navigabilité, aux informations aéronautiques, au transport de marchan-
dises dangereuses, etc., pourraient tous avoir des incidences sur la sécurité de l’ensemble du système.
Pour s’acquitter efficacement de ses différentes responsabilités en matière de sécurité, un État a besoin
d’un « programme de sécurité » afin d’intégrer ses activités multidisciplinaires de sécurité dans un tout
cohérent.

3.1.4 Les responsabilités de l’État à l’égard de la gestion de la sécurité peuvent aller au-delà des
fonctions de réglementation et de supervision. Beaucoup d’États assument les fonctions à la fois d’orga-
nisme de réglementation de la sécurité et de fournisseur de services. Malgré la tendance à la privatisation et
à la conversion en société que connaissent de nombreux États, bon nombre d’États fournissent toujours des
services de gestion du trafic aérien et des services aéroportuaires. Lorsqu’un État est à la fois autorité de
réglementation et fournisseur de services d’exploitation, une distinction claire doit être faite entre ces deux
fonctions.

3.1.5 L’OACI exige des exploitants et fournisseurs de services qu’ils mettent en œuvre un système de
gestion de la sécurité (SGS) pour atteindre des niveaux de sécurité acceptables dans leurs opérations.
D’une façon générale, un État n’a pas besoin d’un SGS pour ses fonctions de réglementation et de super-
vision. Toutefois, les États qui gèrent des opérations aériennes, exploitent des aérodromes ou fournissent
des services d’exploitation (comme les ATS, les services d’informations aéronautiques et les services
météorologiques) auront besoin d’un SGS tout à fait distinct du programme de sécurité mis en œuvre dans
le cadre de la fonction de réglementation de l’AAC. Les relations entre l’autorité de réglementation et
l’organisme réglementé devraient être identiques, que l’organisme réglementé soit une entité extérieure ou
qu’il fasse partie de l’organisation de l’État.

3-1
3-2 Manuel de gestion de la sécurité (MGS)

3.2 RESPONSABILITÉS EN MATIÈRE DE RÉGLEMENTATION

3.2.1 Par leurs actions en tant qu’autorité de réglementation, les États donnent le ton à la conduite
d’opérations aéronautiques sûres et efficaces relevant de leur compétence, par ex. :

a) les SARP : l’État, en tant que signataire de la Convention de Chicago, est responsable de la mise
en œuvre des SARP de l’OACI ;

b) les Administrations de l’aviation civile (AAC) : les États doivent instituer un organe approprié,
appelé généralement Administration de l’aviation civile (AAC), doté des pouvoirs nécessaires lui
permettant de veiller à la conformité avec les réglementations de l’aviation ;

c) la supervision de la sécurité : les États doivent mettre en place des mécanismes appropriés
de supervision de la sécurité pour garantir que les exploitants et les fournisseurs de services
maintiennent un niveau de sécurité acceptable dans leurs opérations.

3.2.2 Pour acquitter les responsabilités de réglementation de l’État, l’autorité de réglementation peut
adopter soit un rôle actif, comprenant la surveillance étroite du déroulement de toutes les activités liées à
l’aviation, soit un rôle passif, aux termes duquel une plus grande part de responsabilité est déléguée aux
exploitants et aux fournisseurs de services.

3.2.3 Beaucoup d’États renoncent progressivement à jouer un rôle très actif dans la supervision des
activités d’aviation. Parmi les raisons de cette évolution, le grand nombre d’inspecteurs que requiert cette
fonction, la confusion qui règne quant aux responsabilités de sécurité et la nécessité de disposer d’un grand
organisme d’exécution sont autant de facteurs qui dénient la culture de la sécurité que promeuvent les
pratiques modernes de gestion de la sécurité.

3.2.4 Dans un rôle plus passif, l’État laisse l’interprétation et l’application des règlements à l’exploitant
ou au fournisseur de services, se reposant sur leurs compétences techniques et encourageant la conformité
en brandissant la menace de mesures d’exécution.

3.2.5 Un système de réglementation de l’État qui se situerait entre ces deux pôles que sont un rôle
actif et un rôle passif présenterait un intérêt considérable. Ce système devrait :

a) proposer une répartition équilibrée des responsabilités de sécurité entre l’État et l’exploitant ou le
fournisseur de services ;

b) pouvoir se justifier d’un point de vue économique dans les limites des ressources de l’État ;

c) permettre à l’État d’assurer la réglementation et la supervision continues des activités de l’exploi-


tant ou du fournisseur de services sans trop entraver la gestion et l’administration effectives de
l’organisation ;

d) permettre d’encourager et d’entretenir des relations harmonieuses entre l’État et les exploitants et
fournisseurs de services.

3.3 LES ADMINISTRATIONS DE L’AVIATION CIVILE (AAC)

3.3.1 L’AAC est l’organe de l’État chargé de mettre en œuvre les dispositions législatives et
réglementaires relatives à la sécurité aérienne. En pratique, l’AAC élabore et exécute le programme de
sécurité de l’État. Ce faisant, les AAC efficaces s’inspirent des éléments suivants :
Chapitre 3. Programme de sécurité de l’État 3-3

a) une affirmation claire de leur conception de la sécurité et de leur mission en matière de sécurité ;

b) un ensemble bien compris et accepté :

1) de principes directeurs, tels que la prestation d’un service sûr et efficace, compatible avec les
attentes du public et d’un coût raisonnable, tout en traitant les organisations réglementées (les
clients) et le personnel avec respect ;

2) de valeurs de l’organisation telles que la compétence, l’ouverture, l’équité, l’intégrité, le respect


et l’aptitude à répondre aux besoins des clients ;

c) une affirmation des objectifs de sécurité de l’Administration, comme par ex. réduire la probabilité et
les conséquences d’événements d’aviation dangereux, et améliorer, dans l’ensemble de l’industrie
aéronautique et du grand public, la compréhension de la performance de sécurité réelle de l’État ;

d) l’adoption de stratégies en vue d’atteindre leurs objectifs, comme par ex. la réduction des risques de
sécurité pour l’aviation par l’identification des opérations qui ne satisfont pas aux niveaux acceptés,
en encourageant leur retour à un niveau de sécurité acceptable ou, s’il y a lieu, en annulant leur
certification.

3.3.2 Sur la base de ces orientations générales, les Administrations des États assument généralement
la responsabilité de la totalité ou de certaines des fonctions suivantes :

a) l’établissement et la mise en œuvre des règles, réglementations et procédures pour une aviation
sûre et efficace. Par ex. :

1) la délivrance des licences du personnel ;

2) l’établissement de procédures d’obtention et de renouvellement :

— des certificats d’exploitation ;

— des certificats de navigabilité ;

— des certifications d’aéroport ;

3) l’exploitation des services de la circulation aérienne ;

4) (dans beaucoup d’États) la conduite d’enquêtes sur les accidents et incidents ;

b) la mise en place d’un système de supervision de la sécurité de tout le système d’aviation civile par
la surveillance, des inspections et des audits de sécurité, etc. ;

c) l’application de mesures coercitives s’il y a lieu ;

d) le contrôle des progrès technologiques et des meilleures pratiques de l’industrie en vue d’améliorer
la performance du système d’aviation de l’État ;

e) la tenue à jour d’un système de registres de l’aviation recensant, entre autres, les licences et
certificats, les infractions ainsi que les accidents et incidents signalés ;
3-4 Manuel de gestion de la sécurité (MGS)

f) la réalisation d’analyses des tendances en matière de sécurité, y compris des données sur les
accidents/incidents et des rapports de difficultés en service ;

g) la promotion de la sécurité par la diffusion d’une documentation spécifique sur la sécurité, l’orga-
nisation de séminaires sur la sécurité, etc.

3.3.3 Beaucoup d’États délèguent la responsabilité des enquêtes sur les accidents et incidents graves
(conformément à l’Annexe 13) à leur AAC. Toutefois, cette pratique génère un conflit d’intérêts potentiel
dans la mesure où les enquêteurs peuvent être amenés à faire rapport sur des lacunes de la performance
de supervision de la sécurité de l’État (peut-être même sur leur propre performance comme autorité de
réglementation). Les États créent de plus en plus des organismes d’enquête spécialisés, indépendants des
autorités de réglementation.

3.4 LA PERFORMANCE DE L’ÉTAT EN MATIÈRE DE SÉCURITÉ

3.4.1 Le Programme universel d’audits de supervision de la sécurité de l’OACI a permis d’identifier


des faiblesses fondamentales dans les programmes de sécurité de nombreux États, faiblesses qui
engendrent d’importantes différences dans les normes de sécurité à travers le monde. Sans préjudice de
l’obligation des États contractants de satisfaire aux exigences des SARP de l’OACI, les États doivent être
soucieux des performances de sécurité de leur système d’aviation national. On trouvera ci-après quelques
indicateurs de carences possibles dans le programme de sécurité de l’État :

a) une législation et des réglementations inadaptées (incomplètes, dépassées, etc.) ;

b) des conflits d’intérêts potentiels (entre organisme de réglementation et fournisseur de services,


entre éducateur et autorité d’exécution, au sein de l’organisme même de réglementation qui
enquête sur des événements liés à des défaillances dont il est à l’origine, etc.) ;

c) des infrastructures et des systèmes de l’aviation civile inadaptés (aides à la navigation et à la


communication, aérodromes, gestion de l’espace aérien, etc.) ;

d) l’exercice inadéquat des fonctions de réglementation, comme l’octroi de licences, la surveillance et


l’application des règlements (on s’en acquitte de manière incomplète, dépassée, incohérente) par
manque de ressources, en raison de la situation politique, de l’état d’urgence national, etc. ;

e) des ressources et une organisation insuffisantes pour l’ampleur et la complexité des exigences
réglementaires (pénurie de personnel qualifié et compétent, manque de compétences administratives,
de technologies de l’information, etc.) ;

f) instabilité et incertitude au sein de l’AAC qui compromettent la qualité et l’opportunité de la fonction


de réglementation (moral du personnel, ingérence politique, ressources limitées, etc.) ;

g) absence de programmes officiels de sécurité (programme volontaire de comptes rendus d’incidents,


audits de sécurité réglementaires, etc.) ;

h) stagnation de la réflexion sur la sécurité (taux d’occurrences en hausse, culture de la sécurité peu
développée au niveau national, réticence à adopter les meilleures pratiques éprouvées, etc.).

3.4.2 D’autre part, la présence des éléments suivants dans le programme de sécurité de l’État permet
de penser que le programme constitue une base solide pour préserver les marges de sécurité souhaitées :
Chapitre 3. Programme de sécurité de l’État 3-5

a) l’appareil administratif nécessaire pour coordonner et intégrer tous les aspects du programme de
sécurité de l’État en un tout cohérent ;

b) un contrôle des performances pour toutes les fonctions de sécurité de l’État (octroi des licences,
certification, exécution des dispositions, etc.) ;

c) la mise en place par l’État de programmes d’identification des dangers (communication obligatoire
de comptes rendus d’occurrences, communication volontaire [non punitive] de comptes rendus
d’incidents, de comptes rendus de difficultés constatées en service, etc.) ;

d) des équipes compétentes d’enquête sur les accidents (indépendantes de l’autorité de réglementation) ;

e) une affectation des ressources en fonction des risques, pour toutes les fonctions de réglementation
(en orientant de manière proactive les efforts de réglementation vers les secteurs connus pour être
à haut risque) ;

f) des programmes actifs et passifs de promotion de la sécurité pour aider les exploitants à diffuser
largement les informations relatives à la sécurité (parmi lesquelles des bases de données, l’analyse
des tendances, le contrôle des meilleures pratiques de l’industrie, etc., en rapport avec la sécurité) ;

g) des programmes nationaux de contrôle de la sécurité (contrôle et analyse des tendances,


inspection de la sécurité, enquêtes sur les incidents et surveillance de la sécurité) ;

h) des audits réglementaires réguliers de sécurité pour garantir la conformité de tous les exploitants et
fournisseurs de services.
Page blanche
Chapitre 4

COMPRENDRE LA SÉCURITÉ

4.1 GÉNÉRALITÉS
er
4.1.1 Comme le décrit le Chapitre 1 , la sécurité est la situation dans laquelle le risque de lésions
corporelles ou de dommages matériels est limité à un niveau acceptable. Les dangers pour la sécurité
engendrant un risque peuvent devenir apparents à la suite d’un non-respect manifeste des consignes de
sécurité comme lors d’un accident ou d’un incident, ou ils peuvent être identifiés de manière proactive par le
biais de programmes officiels de gestion de la sécurité avant que ne se produise un événement réel lié à la
sécurité. Une fois un danger pour la sécurité identifié, les risques qui y sont associés doivent être évalués.
Une bonne compréhension de la nature des risques permet de déterminer « l’acceptabilité » de ces risques.
Les risques évalués comme inacceptables doivent ensuite faire l’objet de mesures.

4.1.2 La gestion de la sécurité est basée sur ce type d’approche systématique de l’identification des
dangers et de la gestion des risques afin de réduire au minimum les pertes humaines et les dommages
matériels ainsi que les pertes financières, environnementales et sociétales.

4.2 LE CONCEPT DE RISQUE

4.2.1 Étant donné que la sécurité est définie par rapport au risque, toute considération relative à la
sécurité doit nécessairement faire intervenir le concept de risque.

4.2.2 La sécurité absolue n’existe pas. Avant de pouvoir évaluer si un système est sûr ou pas, il faut
d’abord déterminer le niveau de risque acceptable pour ce système.

4.2.3 Les risques sont souvent exprimés en termes de probabilités ; toutefois, le concept de risque fait
intervenir d’autres éléments. Pour illustrer cela par un exemple hypothétique, imaginons que la probabilité
que le câble porteur d’un téléphérique transportant 100 passagers lâche et entraîne la chute de la nacelle ait
été jugée la même que celle de la chute d’un ascenseur pouvant contenir 12 personnes. Bien que les proba-
bilités que de tels événements se produisent soient identiques, les conséquences éventuelles de l’accident
de téléphérique sont bien plus graves. Le risque est donc bidimensionnel. L’évaluation de l’acceptabilité
d’un risque donné, associé à un danger déterminé, doit toujours prendre en considération tant la probabilité
que le risque se concrétise que la gravité de ses conséquences éventuelles.

4.2.4 La perception du risque peut découler des trois grandes catégories suivantes :

a) les risques tellement élevés qu’ils sont inacceptables ;

b) les risques tellement minimes qu’ils sont acceptables ;

c) les risques situés entre ces deux catégories, pour lesquels il faut envisager des arbitrages entre
risques et avantages.

4-1
4-2 Manuel de gestion de la sécurité (MGS)

4.2.5 Si le risque ne satisfait pas aux critères d’acceptabilité prédéterminés, il faut toujours tenter de le
réduire à un niveau acceptable en utilisant des procédures d’atténuation appropriées. Si le risque ne peut
pas être réduit à un niveau égal ou inférieur au niveau acceptable, il peut être considéré comme tolérable à
condition que :

a) ce risque soit en dessous de la limite prédéterminée de ce qui est inacceptable ;

b) le risque ait été réduit au niveau le plus faible que l’on puisse raisonnablement atteindre ;

c) les avantages du système ou des changements proposés soient suffisants pour justifier l’acceptation
du risque.

Note.— Pour qu’un risque soit classé comme tolérable, il faut qu’il satisfasse aux trois critères
susmentionnés.

4.2.6 Si des mesures susceptibles d’entraîner une réduction supplémentaire du risque sont identifiées
et que leur application demande peu d’efforts ou de ressources, ces mesures devraient être appliquées
même à un risque classé comme acceptable (tolérable).

4.2.7 L’acronyme ALARP (as low as reasonably practicable) est utilisé pour décrire un risque qui a été
réduit au niveau le plus faible que l’on puisse raisonnablement atteindre. Lorsque l’on détermine « ce
que l’on peut raisonnablement atteindre » dans ce contexte, il faut tenir compte tant de la faisabilité technique
de la réduction supplémentaire du risque que du coût, ce qui peut nécessiter une étude coûts-avantages.

4.2.8 Montrer que le risque d’un système est le plus faible que l’on puisse raisonnablement atteindre
signifie que toute réduction supplémentaire du risque est soit irréalisable soit beaucoup trop coûteuse.
Toutefois, il faut se rappeler que quand un individu ou la société « accepte » un risque, cela ne signifie pas
que ce risque ait été éliminé. Un certain niveau de risque subsiste mais l’individu ou la société a reconnu
que ce risque résiduel était suffisamment faible pour que les avantages l’emportent sur le risque.

4.2.9 Ces concepts sont illustrés sous forme de diagramme dans le triangle de l’acceptabilité du
risque (TOR, Tolerability of Risk) à la Figure 4-1. (Dans cette figure, le degré de risque est représenté par la
largeur du triangle.)

4.2.10 Le Chapitre 6 contient de plus amples indications sur la gestion des risques.

4.3 DISTINCTION ENTRE ACCIDENTS ET INCIDENTS

4.3.1 Les définitions des accidents et des incidents telles qu’elles figurent dans l’Annexe 13 peuvent
se résumer comme suit :

a) Un accident est un événement se produisant lors de l’utilisation d’un aéronef et entraînant les
conséquences suivantes :

1) un décès ou une blessure grave ;

2) des dommages considérables pour l’aéronef, qui s’accompagnent d’une rupture structurelle ou
nécessitent une réparation importante de l’aéronef ;

3) la disparition de l’aéronef ou sa totale inaccessibilité.


Chapitre 4. Comprendre la sécurité 4-3

b) Un incident est un événement, autre qu’un accident, lié à l’utilisation d’un aéronef, qui compromet
ou pourrait compromettre la sécurité de l’exploitation. Un incident grave est un incident dont les
circonstances indiquent qu’un accident à failli se produire.

4.3.2 Les définitions de l’OACI emploient le terme « événement » pour décrire un accident ou un
incident. Du point de vue de la gestion de la sécurité, il est dangereux de se focaliser sur la différence entre
accidents et incidents par le biais de définitions pouvant être arbitraires et restrictives. Chaque jour se
produisent de nombreux incidents, qui donnent lieu ou non à l’envoi d’un compte rendu au service d’enquête,
mais qui sont quasiment des accidents — et font souvent courir des risques importants. Parce qu’ils n’ont
occasionné aucune blessure, ou pas ou peu de dommages, de tels incidents peuvent ne pas faire l’objet
d’une enquête, ce qui est regrettable car l’enquête sur un incident peut donner plus de résultats en termes
d’identification des dangers que celle qui porte sur un accident. La différence entre un accident et un
incident peut simplement être due au hasard. En effet, un incident peut être considéré comme un
événement indésirable qui, dans des circonstances légèrement différentes, aurait pu causer des lésions
corporelles ou des dommages matériels et aurait donc pu être classé parmi les accidents.

4.4 CAUSALITÉ DES ACCIDENTS

4.4.1 La manifestation la plus probante d’un non-respect des consignes de sécurité d’un système est
l’accident. Puisque la gestion de la sécurité vise à réduire la probabilité et les conséquences des accidents,
il est primordial de comprendre les causes des accidents et des incidents pour appréhender la gestion de la
sécurité. Les accidents et les incidents étant étroitement liés, on n’essaie pas de distinguer les causes des
accidents de celles des incidents.

Risque

Inacceptable

Tolérable
(ALARP)

Acceptable

Risque
négligeable

Figure 4-1. Triangle de l’acceptabilité du risque (TOR)


4-4 Manuel de gestion de la sécurité (MGS)

Conception traditionnelle de la causalité des accidents

4.4.2 Après un accident grave, les questions suivantes peuvent être posées :

a) Comment et pourquoi des membres du personnel compétents ont-ils commis les erreurs ayant
entraîné l’accident ?

b) Semblable situation pourrait-elle se reproduire ?

4.4.3 Traditionnellement, les enquêteurs examinent un enchaînement d’événements ou de circons-


tances qui, à terme, mènent quelqu’un à poser un acte inapproprié qui aboutit à l’accident. Ce comportement
inapproprié peut être une erreur de jugement (comme un écart par rapport aux SOP), une erreur d’inattention
ou une transgression délibérée des règles.

4.4.4 Dans cette optique traditionnelle, l’enquête se concentrait le plus souvent sur la recherche d’une
personne à qui imputer la responsabilité de l’accident (et à sanctionner). Dans le meilleur des cas, les efforts
en matière de gestion de la sécurité visaient principalement à trouver des moyens de réduire le risque que
se commettent de tels actes dangereux. Toutefois, les erreurs ou infractions déclenchant des accidents
semblent se produire de façon aléatoire. Sans méthode particulière à appliquer, de tels efforts de gestion de
la sécurité peuvent se révéler inefficaces pour réduire ou éliminer des événements aléatoires.

4.4.5 L’analyse des données d’un accident révèle trop souvent que la situation précédant l’accident
était « mûre pour un accident ». Il se peut même que des personnes sensibilisées à la sécurité aient dit que
ce n’était qu’une question de temps avant que ces circonstances ne débouchent sur un accident. Lorsque
l’accident se produit, ce sont trop souvent des membres du personnel en bonne santé, qualifiés, expéri-
mentés, motivés et bien équipés qui s’avèrent avoir commis des erreurs ayant provoqué l’accident. Il se
peut qu’ils aient (de même que leurs collègues) commis ces erreurs ou utilisé ces pratiques dangereuses de
nombreuses fois auparavant sans conséquences néfastes. En outre, certaines des conditions dangereuses
dans lesquelles ils travaillaient étaient peut-être présentes depuis des années sans, ici non plus, causer
d’accident. Autrement dit, une part de hasard est présente.

4.4.6 Parfois, ces conditions dangereuses sont la conséquence de décisions prises par les dirigeants :
ceux-ci ont reconnu les risques mais d’autres priorités imposaient un arbitrage. De fait, le personnel de
première ligne travaille fréquemment dans un contexte défini par des facteurs d’organisation et de gestion
sur lesquels il n’a aucune prise. Ce personnel n’est qu’une des composantes d’un système plus vaste.

4.4.7 Pour être efficaces, les systèmes de gestion de la sécurité (SGS) requièrent une autre façon
d’appréhender les causes des accidents, une conception qui se base sur l’examen du contexte (c.-à-d. du
système) global dans lequel les personnes travaillent.

Conception moderne de la causalité des accidents

4.4.8 Selon la conception moderne, pour qu’un accident se produise, il faut qu’il y ait convergence de
facteurs favorables, dont chacun est nécessaire mais pas suffisant en soi pour percer les défenses du
système. D’importantes pannes de matériel ou des erreurs commises par le personnel d’exploitation sont
rarement la cause unique de défaillances des dispositifs de sécurité. Ces failles sont souvent dues à des
défaillances humaines lors de la prise de décision. Ces failles peuvent résulter soit de défaillances actives
au niveau opérationnel, soit de conditions latentes facilitant l’ouverture d’une brèche dans les moyens de
défense inhérents au système. La plupart des accidents résultent de conditions tant actives que latentes.

4.4.9 La Figure 4-2 représente un modèle de causes d’accidents qui aide à comprendre l’interaction
entre les facteurs organisationnels et les facteurs de gestion (c.-à-d. les facteurs du système) dans les
Chapitre 4. Comprendre la sécurité 4-5

Organisation Lieu de travail Équipage/ Moyens Résultat


Équipe de défense

Conditions
Décisions génératrices Erreurs Moyens
organisationnelles et Accident
d’erreurs et de défense
et de gestion d’infractions infractions

Défenses mises en place par


le système aéronautique

Figure 4-2. Modèle d’enchaînement causal menant à un accident


(D’après le Professeur James Reason)

causes des accidents. Divers « moyens de défense » sont intégrés dans le système aéronautique afin de le
protéger contre les performances inappropriées ou les mauvaises décisions à tous les niveaux du système
(c.-à-d. le personnel de première ligne, les responsables de la supervision et la haute direction). Cet
exemple montre que si les facteurs organisationnels, y compris les décisions de gestion, peuvent créer des
conditions latentes, susceptibles de provoquer un accident, ils peuvent également jouer un rôle dans les
moyens de défense du système.

4.4.10 Les erreurs et les infractions ayant un effet négatif immédiat peuvent être considérées comme
des actes dangereux, ceux-ci étant généralement associés au personnel de première ligne (pilotes, ATCO,
AME, etc.) Ces actes dangereux peuvent percer les diverses défenses mises en place par la direction de la
compagnie, les autorités de réglementation, etc., afin de protéger le système aéronautique, et peuvent ainsi
provoquer un accident. Ils peuvent être le résultat d’erreurs normales ou de transgressions délibérées des
procédures et des pratiques prescrites. Le modèle reconnaît que dans l’environnement de travail, de
nombreuses circonstances génératrices d’erreurs ou d’infractions peuvent affecter le comportement des
individus ou de l’équipe.

4.4.11 Ces actes dangereux sont commis dans un contexte opérationnel comportant des conditions
dangereuses latentes. Une condition latente est le résultat d’une action ou d’une décision nettement
antérieure à un accident. Ses conséquences peuvent prendre beaucoup de temps à se manifester. Prises
séparément, ces conditions latentes ne sont généralement pas néfastes puisqu’elles ne sont même pas
perçues comme des défaillances.

4.4.12 Les conditions dangereuses latentes peuvent ne se manifester qu’une fois les défenses du
système percées. Elles peuvent avoir été présentes dans le système bien avant un accident et sont généra-
lement créées par les décideurs, les autorités de réglementation et d’autres personnes très éloignées dans
4-6 Manuel de gestion de la sécurité (MGS)

le temps et dans l’espace de l’accident. Le personnel d’exploitation de première ligne peut « hériter » des
défauts du système, comme ceux dus à du mauvais matériel ou à une mauvaise conception des tâches, à
des objectifs contradictoires (par ex. ponctualité du service par opposition à la sécurité), à une organisation
déficiente (par ex. des communications internes médiocres) ou à des décisions de gestion inappropriées
(par ex. le report d’une tâche de maintenance). Une gestion efficace de la sécurité vise à identifier et à
atténuer ces conditions dangereuses latentes dans tout le système plutôt qu’à mener des efforts localisés
en vue de réduire au minimum les actes dangereux posés par des individus. De tels actes ne sont peut-être
que les symptômes de problèmes de sécurité, non pas les causes.

4.4.13 Même dans les organisations les mieux gérées, c’est auprès des décideurs qu’il faut chercher
l’origine de la plupart des conditions dangereuses latentes. Ces décideurs peuvent avoir des opinions
préconçues et ont des limites humaines normales ; ils sont soumis à des contraintes très réelles de temps,
de budget, de politique, etc. Comme certaines de ces décisions dangereuses sont inévitables, il faut prendre
des mesures pour les détecter et limiter leurs conséquences négatives.

4.4.14 Les décisions potentiellement erronées prises par les cadres hiérarchiques peuvent prendre la
forme de procédures inadéquates, de mauvaise planification ou de non-prise en compte de dangers identi-
fiables. Elles peuvent être la cause de connaissances et de compétences inadaptées ou engendrer des
procédures d’exploitation inappropriées. Les conditions génératrices d’erreurs ou d’infractions sont fonction
de la qualité du travail des cadres hiérarchiques et de l’organisation dans son ensemble. Avec quel degré
d’efficacité, par exemple, les cadres hiérarchiques fixent-ils des objectifs de travail réalistes, organisent-ils
les tâches et les ressources, gèrent-ils les affaires courantes, assurent-ils la communication interne et
externe ? Les décisions potentiellement erronées prises par la direction de la compagnie et les autorités de
réglementation sont trop souvent dues à un manque de ressources. Or, renoncer aux coûts du renforcement
de la sécurité du système peut faciliter la survenance d’accidents suffisamment coûteux pour provoquer la
faillite de l’exploitant.

Incidents : précurseurs des accidents

4.4.15 Quel que soit le modèle de causalité des accidents utilisé, il existe habituellement des signes
avant-coureurs manifestes précédant l’accident. Cependant, bien trop souvent, ces signes n’apparaissent
que rétrospectivement. Des conditions dangereuses latentes peuvent avoir été présentes au moment de
l’événement. L’identification et la validation de ces conditions dangereuses latentes requièrent une analyse
des risques objective et approfondie. Bien qu’il soit important d’enquêter de façon approfondie sur les
accidents faisant un nombre élevé de victimes, ce n’est peut-être pas le meilleur moyen pour identifier des
carences en matière de sécurité. Il faut veiller à ce que l’aspect émotionnel (souvent prédominant dans les
médias lorsque les pertes humaines sont lourdes) ne nuise pas à une analyse rationnelle des risques
associés aux conditions dangereuses latentes en aviation. Même si les enquêtes sur les accidents sont
importantes pour identifier les dangers, elles constituent une méthode réactive et onéreuse d’amélioration
de la sécurité.

La règle 1/600

4.4.16 En 1969, la recherche en matière de sécurité du travail a montré que pour 600 rapports
d’événements sans blessure ni dommages matériels, on observe :

• 30 incidents avec dommages matériels,

• 10 accidents avec blessures graves,

• 1 accident où une personne est très grièvement ou mortellement blessée.


Chapitre 4. Comprendre la sécurité 4-7

4.4.17 Comme le montre le rapport 1-10-30-600 présenté à la Figure 4-3, concentrer uniquement les
efforts d’enquête sur les rares événements entraînant blessures graves ou dommages matériels importants
revient à gaspiller des opportunités. Les facteurs contribuant à provoquer de tels accidents peuvent être
présents dans des centaines d’incidents et pourraient être identifiés avant que des blessures graves ou des
dommages importants ne se produisent. Une gestion efficace de la sécurité exige que le personnel et la
direction identifient et analysent les dangers avant que ceux-ci n’entraînent des accidents.

4.4.18 Comparés aux accidents d’aviation, les incidents d’aviation provoquent en général des
blessures et des dommages matériels moins importants et sont dès lors moins médiatisés. En principe,
davantage d’informations devraient être disponibles pour de tels événements (par ex. témoins directs et
enregistreurs de bord intacts). En outre, sans la menace de poursuites importantes en dommages et
intérêts, l’enquête se passe en général dans un climat moins conflictuel. Il devrait ainsi être plus aisé de
comprendre pourquoi les incidents se sont produits et également comment les moyens de défense existants
les ont empêchés de devenir des accidents. Idéalement, on devrait pouvoir identifier toutes les carences
sous-jacentes en matière de sécurité et prendre des mesures préventives afin de remédier à ces conditions
dangereuses avant qu’un accident ne se produise.

4.5 CONTEXTE DES ACCIDENTS ET DES INCIDENTS

4.5.1 Les accidents et les incidents surviennent quand plusieurs circonstances et conditions déter-
minées sont réunies. Celles-ci sont notamment liées à l’aéronef et à d’autres équipements, aux conditions

Accident mortel

1
Accidents
graves

10

Accidents

30

Incidents

600

Figure 4-3. La règle 1/600


4-8 Manuel de gestion de la sécurité (MGS)

météorologiques, aux services d’aéroport et de vol ainsi qu’à l’environnement opérationnel au sein de la
société, aux réglementations en vigueur et au climat régnant dans l’industrie aéronautique. Elles englobent
aussi les changements et les combinaisons de comportements humains. À tout moment, certains de ces
facteurs peuvent converger de manière à créer des conditions susceptibles de provoquer un accident. Il est
fondamental pour la gestion de la sécurité de comprendre le contexte dans lequel se produisent les
accidents. Parmi les principaux facteurs qui déterminent un contexte favorable aux accidents et aux
incidents on peut citer la conception du matériel, les infrastructures d’appui, les facteurs humains et
culturels, la culture de sécurité de l’entreprise et les facteurs de coûts. Tous ces facteurs sont évoqués dans
cette section sauf les facteurs de coûts, qui sont abordés à la section 4.8.

Conception du matériel

4.5.2 La conception du matériel (et des tâches) est essentielle à la sécurité de l’exploitation aérienne.
Pour simplifier, le concepteur doit répondre à des questions telles que :

a) Le matériel fonctionne-t-il comme prévu ?

b) Le matériel dispose-t-il d’une bonne interface utilisateur ? Est-il convivial ?

c) Le matériel est-il adapté à l’espace imparti ?

4.5.3 Du point de vue de l’utilisateur, le matériel doit « fonctionner comme prévu ». Sa conception
ergonomique doit réduire le risque d’erreurs (et leurs conséquences) au minimum. Tous les commutateurs
sont-ils accessibles ? L’utilisation est-elle intuitive ? Les cadrans et les affichages sont-ils adaptés à toutes
les conditions d’utilisation ? Le matériel est-il résistant aux erreurs ? (Par ex., « Êtes-vous certain de vouloir
supprimer ce fichier? »)

4.5.4 Le concepteur doit également penser à la personne chargée de la maintenance. Il faut prévoir
suffisamment de place pour qu’une personne de force normale puisse, dans les limites de la portée de ses
mouvements, avoir accès au matériel pour en effectuer la maintenance prévue dans des conditions de
travail normales. La conception doit aussi prévoir des retours d’informations adéquats pour signaler un
assemblage incorrect.

4.5.5 Face aux progrès de l’automatisation, les considérations relatives à la conception gagnent
encore en importance. Qu’il s’agisse du pilote dans son poste de pilotage, des ATCO à leurs consoles ou de
l’AME utilisant du matériel de diagnostic automatisé, le nombre de nouvelles possibilités d’erreurs humaines
a considérablement augmenté. Bien que le renforcement de l’automatisation ait réduit l’éventualité de
nombreux types d’accidents, les directeurs de la sécurité sont aujourd’hui confrontés à de nouveaux défis
générés par cette automatisation, comme un manque de conscience de la situation et l’ennui.

Infrastructure d’appui

4.5.6 Du point de vue de l’exploitant ou du fournisseur de services, pour garantir une exploitation sûre
des aéronefs, il est indispensable de disposer d’une infrastructure d’appui adaptée et donc de pouvoir
compter, entre autres, sur une performance adéquate de l’État en matière de :

a) délivrance de licences au personnel ;

b) certification des aéronefs, des exploitants, des fournisseurs de services et des aérodromes ;
Chapitre 4. Comprendre la sécurité 4-9

c) garantie de la fourniture des services requis ;

d) enquête sur les accidents et les incidents ;

e) organisation de la supervision de la sécurité opérationnelle.

4.5.7 Du point de vue du pilote, l’infrastructure d’appui couvre notamment :

a) un aéronef en bon état de navigabilité et convenant au type d’exploitation ;

b) des services de communication, de navigation et de surveillance (CNS) adaptés et fiables ;

c) des services d’aérodrome, d’escale et de planification des vols adaptés et fiables ;

d) un soutien effectif de l’organisation mère en ce qui concerne la formation initiale et périodique,


l’établissement des horaires, le système de régulation des vols ou de surveillance des vols, etc.

4.5.8 Un ATCO se soucie des éléments suivants :

a) la disponibilité de matériel CNS en bon état de marche et convenant pour la tâche opérationnelle
concernée ;

b) l’existence de procédures efficaces permettant de s’occuper de manière sûre et rapide des aéronefs ;

c) l’apport du soutien efficace de l’organisation mère en ce qui concerne la formation initiale et


périodique, l’établissement des horaires de travail et les conditions générales de travail.

1,2
Facteurs humains

4.5.9 Dans un secteur de technologie de pointe comme l’aviation, la résolution des problèmes
s’intéresse souvent à la technologie. Cependant, les rapports sur les accidents ont montré à maintes
reprises qu’au moins trois accidents sur quatre sont dus à des erreurs de performance commises par des
individus apparemment en bonne santé et possédant les qualifications appropriées. Dans la course aux
nouvelles technologies, il est fréquent que les personnes devant s’adapter au matériel et l’utiliser soient trop
peu prises en compte.

4.5.10 On constate que certains problèmes provoquant ces accidents ou y contribuant trouvent leur
origine dans une mauvaise conception du matériel ou des procédures, ou encore dans une formation ou des
consignes d’utilisation inadéquates. Quelle que soit cette origine, il est essentiel, pour comprendre la gestion
de la sécurité, de connaître les capacités de performance, les limites et les comportements normaux de
l’homme dans le contexte de l’exploitation. Il ne convient plus d’adopter une approche intuitive des facteurs
humains.

4.5.11 L’élément humain est la composante la plus souple et la plus adaptable du système aéronau-
tique mais elle est également la plus vulnérable face aux influences pouvant avoir des effets négatifs sur
ses performances. Comme la majorité des accidents résultent de performances humaines loin d’être

1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), Chapitre 2.
2. Voir le Manuel d’instruction sur les facteurs humains (Doc 9683) pour un tratiement plus détaillé des aspects théoriques et pratiques
des facteurs humains.
4-10 Manuel de gestion de la sécurité (MGS)

optimales, on a eu tendance à ne les attribuer qu’à des erreurs humaines. Toutefois, l’expression « erreur
humaine » n’est pas d’un grand secours dans la gestion de la sécurité. Bien qu’il signale où la défaillance a
eu lieu dans le système, il ne donne aucune indication quant aux raisons de cette défaillance.

4.5.12 Une erreur attribuée à des êtres humains peut avoir été induite par la conception ou avoir été
encouragée par une formation ou du matériel inadéquats, des procédures mal conçues ou une présentation
médiocre des listes de vérification ou des manuels. En outre, l’expression « erreur humaine » permet de
dissimuler les facteurs sous-jacents devant être mis en évidence si l’on veut éviter des accidents. L’approche
moderne en matière de sécurité considère l’erreur humaine comme un point de départ plutôt que comme un
point d’arrivée. Les initiatives concernant la gestion de la sécurité cherchent des moyens de prévenir les
erreurs humaines qui pourraient menacer la sécurité et de réduire au minimum les conséquences négatives
qu’auront sur la sécurité les erreurs qui se produiront inévitablement. Pour cela, il faut bien comprendre le
contexte d’exploitation dans lequel les êtres humains commettent des erreurs (c.-à-d. comprendre les
facteurs et les conditions affectant la performance humaine sur le lieu de travail).

Le modèle SHEL

4.5.13 Un ensemble complexe de facteurs et de conditions étroitement liés, pouvant avoir des réper-
cussions sur les performances humaines, sont généralement associés au lieu de travail. Le modèle SHEL
(parfois appelé modèle SHELL) peut être utilisé pour permettre de visualiser les liens existant entre les divers
éléments du système aéronautique. Ce modèle constitue une amélioration du système « homme-machine-
environnement » traditionnel. Il met l’accent sur l’être humain et sur ses interactions avec les autres éléments
du système aéronautique. Le nom du modèle SHEL est tiré des initiales de ses quatre composantes :

a) Liveware (L) = être humain (élément humain sur le lieu de travail),

b) Hardware (H) = matériel (machines et équipement),

c) Software (S) = documentation/aides (procédures, formation, support, etc.),

d) Environment (E) = environnement (les conditions d’exploitation dans lesquelles le reste du


système L-H-S doit fonctionner).

4.5.14 La Figure 4-4 représente le modèle SHEL. Ce schéma modulaire vise à faire comprendre les
rudiments des liens entre les facteurs humains et les autres facteurs sur le lieu de travail.

4.5.15 Être humain. Au centre du modèle SHEL se trouvent les personnes en première ligne des
opérations. Bien que les êtres humains aient de remarquables facultés d’adaptation, ils sont sujets à de
considérables variations de performance. Ils ne sont pas standardisés comme l’est le matériel, ce qui
explique que les bords de ce cube ne soient pas simples et rectilignes. Les êtres humains n’interagissent
pas de façon parfaite avec les différents éléments du monde dans lequel ils travaillent. Afin d’éviter les
tensions pouvant compromettre la performance humaine, il faut comprendre les effets des irrégularités se
produisant aux interfaces entre les divers cubes du modèle SHEL et le cube central « Être humain ». Si l’on
veut prévenir les tensions dans le système, il est impératif d’assurer une concordance minutieuse entre les
humains et les autres composantes.

4.5.16 Plusieurs facteurs permettent d’expliquer les irrégularités des faces du cube « Être humain ».
Les facteurs les plus importants affectant la performance individuelle sont notamment :

a) les facteurs physiques : ils englobent les capacités physiques de la personne pour s’acquitter des
tâches requises (par ex. force, taille, portée des mouvements, vision et audition) ;
Chapitre 4. Comprendre la sécurité 4-11

H
S L E
L
S = Software = Documentation Dans ce modèle, une bonne
S = (procédures, symboles, concordance entre les cubes
S = logiciels, etc.) (interfaces) est tout aussi
H = Hardware = Matériel importante que les caractéristiques
E = Environnement des cubes eux-mêmes. Une
L = Liveware = Être humain inadéquation peut être source
d’erreur humaine.

Figure 4-4. Le modèle SHEL

b) les facteurs physiologiques : ils englobent les facteurs qui influencent les processus physiques
internes de l’être humain et peuvent compromettre les performances physiques et cognitives d’une
personne. Exemples : la disponibilité en oxygène, l’état de santé et de forme physique général, la
maladie, le tabagisme, la consommation de drogue ou d’alcool, le stress personnel, la fatigue ou
une grossesse ;

c) les facteurs psychologiques : ils englobent les facteurs influant sur la capacité psychologique de
la personne à faire face à toutes les situations pouvant se présenter. Le niveau de formation, de
connaissances et d’expérience ainsi que la charge de travail y contribuent. L’état de santé psycholo-
gique englobe la motivation et le sens critique, l’attitude vis-à-vis des comportements dangereux, la
confiance en soi et le stress ;

d) les facteurs psychosociaux : ils englobent tous les facteurs externes du contexte social de l’individu
qui font peser des pressions sur celui-ci dans son environnement professionnel et personnel. Ce
sont par ex. un différend avec un supérieur hiérarchique, des conflits sociaux au sein de l’entreprise,
un décès dans la famille, des problèmes financiers personnels ou d’autres tensions familiales.

4.5.17 Le modèle SHEL est particulièrement utile pour visualiser les interfaces entre les divers éléments
du système aéronautique. Il s’agit notamment des interfaces suivantes :

• Humain-Matériel (L-H). L’interface entre l’homme et la machine (ergonomie) est celle qui est le
plus souvent envisagée lorsqu’on parle de facteurs humains. Elle détermine comment l’homme
interagit avec le milieu physique de travail et concerne, par ex. la conception de sièges adaptés aux
caractéristiques du corps humain en position assise, des affichages répondant aux caractéristiques
4-12 Manuel de gestion de la sécurité (MGS)

sensorielles de l’usager et à ses possibilités de traitement de l’information, des commandes bien


étudiées en termes de mouvements à faire, de codage et d’emplacement. Toutefois, l’homme a
naturellement tendance à s’adapter aux décalages entre L et H. Cette tendance peut masquer des
carences graves qui n’apparaissent qu’après un accident.

• Humain-Documentation (L-S). L’interface L-S est la relation entre la personne et les systèmes de
soutien se trouvant sur le lieu de travail, par ex. les règlements, les manuels, les listes de vérifi-
cation, les publications, les SOP et les logiciels informatiques. Elle touche à des questions relatives
à la « convivialité », comme l’actualité, la précision, le format et la présentation, le vocabulaire, la
clarté et la symbologie.

• Humain-Humain (L-L). L’interface L-L est la relation entre une personne et les autres individus sur
le lieu de travail. Les équipages de conduite, les ATCO, les AME et d’autres membres du personnel
d’exploitation ont un fonctionnement de groupe, et les influences du groupe jouent un rôle déter-
minant dans les performances et le comportement humains. Cette interface englobe le leadership,
la coopération, le travail d’équipe et les interactions des personnalités. L’apparition de la gestion des
ressources en équipage (CRM) a suscité un grand intérêt pour cette interface. La formation à la
CRM et son extension aux ATS (gestion des ressources en équipe — TRM) et à la maintenance
(gestion des ressources de maintenance — MRM) encouragent le travail en équipe et se concentrent
sur la gestion d’erreurs humaines normales. Les relations entre le personnel et la direction se
situent également à cette interface, tout comme la culture d’entreprise, le climat de l’entreprise et les
pressions opérationnelles qu’exercent la compagnie, tous ces éléments pouvant avoir une influence
considérable sur la performance humaine.

• Humain-Environnement (L-E). Cette interface concerne la relation qui existe entre l’individu et les
environnements externe et interne. L’environnement interne du lieu de travail comporte des consi-
dérations physiques telles la température, la lumière ambiante, le bruit, les vibrations et la qualité de
l’air. L’environnement externe (pour les pilotes) comprend, entre autres, la visibilité, les turbulences
et le relief. De plus en plus, l’environnement de travail de l’aviation de 24 heures, 7 jours par
semaine, entraîne des troubles des rythmes biologiques normaux, par ex. des rythmes du sommeil.
En outre, le système aéronautique fonctionne dans un contexte de contraintes politiques et écono-
miques importantes qui ont à leur tour des incidences sur l’environnement général de l’entreprise. Il
s’agit ici de facteurs tels que le caractère adéquat des installations fixes et de l’infrastructure
d’appui, la situation financière locale et l’efficacité de la réglementation. Tout comme l’environnement
de travail immédiat peut générer des pressions poussant à prendre des raccourcis, une infrastructure
de soutien inadaptée peut aussi compromettre la qualité de la prise de décision.

4.5.18 Il faut veiller à ce que des problèmes (des dangers) ne « passent pas à travers les mailles du
filet » au niveau des interfaces. La plupart des irrégularités de ces interfaces peuvent être gérées, par ex. :

a) Le concepteur peut garantir la fiabilité des performances du matériel sous certaines conditions
d’exploitation.

b) Au cours du processus de certification, l’autorité de réglementation peut définir les conditions dans
lesquelles le matériel peut être utilisé.

c) La direction de l’organisation peut préciser les SOP et offrir une formation initiale et périodique à
une utilisation sûre du matériel.

d) Les utilisateurs du matériel peuvent veiller à entretenir leur connaissance de l’utilisation sûre de ce
matériel et leur maniement assuré de ce même matériel dans toutes les conditions d’exploitation
requises.
Chapitre 4. Comprendre la sécurité 4-13

3
Facteurs culturels

4.5.19 La culture influence les valeurs, les croyances et les comportements que nous partageons avec
les autres membres de nos divers groupes sociaux. La culture sert à nous unir en tant que membres de
groupes et à nous indiquer comment nous comporter dans les situations tant habituelles qu’inhabituelles.
Certains considèrent la culture comme « une programmation collective de l’esprit ». Il s’agit de la dynamique
sociale complexe qui fixe les règles du jeu, c’est-à-dire le cadre de toutes nos interactions interpersonnelles.
La culture est le résultat de la façon dont les personnes conduisent leurs affaires dans un milieu social
déterminé. Elle offre un contexte dans lequel les choses se produisent. Pour la gestion de la sécurité, une
bonne compréhension de ce contexte appelé culture constitue un facteur déterminant important de la
performance humaine et de ses limites.

4.5.20 Dans le monde occidental, l’approche de la gestion est souvent basée sur une rationalité
détachée de toute émotion, considérée comme reposant sur des bases scientifiques. Une telle approche
présuppose que les cultures humaines sur le lieu de travail ressemblent aux lois de la physique et de la
mécanique, dont l’application est universelle. Cette hypothèse reflète un préjugé culturel de l’Occident.

4.5.21 La sécurité de l’aviation doit transcender les frontières nationales et toutes les cultures. Au
niveau mondial, l’industrie aéronautique a atteint un niveau remarquable de normalisation entre les
différents types d’avions ainsi qu’entre les différents pays et peuples. Toutefois, il n’est pas difficile de
détecter des différences dans la manière dont les personnes réagissent dans des situations identiques.
Quand des personnes de ce secteur entrent en contact (interface Humain-Humain [L-L]), leurs échanges
sont influencés par leurs origines culturelles diverses. Chaque culture a sa manière de résoudre des
problèmes courants.

4.5.22 Les organisations ne sont pas imperméables aux influences culturelles. Le comportement
d’une organisation est exposé à ces influences à tous les niveaux. Les trois niveaux de culture suivants sont
pertinents en matière d’initiatives de gestion de la sécurité :

a) La culture nationale reconnaît et identifie les caractéristiques nationales et les systèmes de


valeurs des différents pays. Par ex., des personnes de nationalités différentes n’auront pas la même
façon de réagir à l’autorité, de faire face à l’incertitude et à l’ambiguïté, ni d’exprimer leur individualité.
Elles ne sont pas toutes à l’écoute des besoins collectifs du groupe (équipe ou organisation) de la
même manière. Dans les cultures collectivistes, l’inégalité des statuts et la déférence envers les
chefs sont acceptées. De tels facteurs peuvent avoir des répercussions sur la propension des
individus à remettre en question des décisions ou des mesures — ce qui est important dans la
CRM. Une affectation du personnel mélangeant les cultures nationales peut également avoir une
influence sur les performances de l’équipe en générant des malentendus.

b) La culture professionnelle reconnaît et identifie les comportements et les caractéristiques de


différents groupes professionnels (par ex. le comportement typique des pilotes par rapport à celui
des ATCO ou des AME). Par la sélection du personnel, leurs études et leur formation, leur
expérience acquise en cours d’emploi, etc., les spécialistes (par ex. médecins, avocats, pilotes et
ATCO) ont tendance à adopter le système de valeurs de leurs pairs et à développer des modèles
de comportement qui sont en accord avec ceux de leurs pairs ; ils apprennent « à agir et parler » de
la même façon. Habituellement, ils partagent la même fierté d’exercer leur profession et sont
motivés pour y exceller. D’un autre côté, ils ont souvent un sentiment d’invulnérabilité personnelle ;
ils pensent, par ex., que leurs problèmes personnels n’influent pas sur leur performance, et qu’ils ne
commettent pas d’erreurs dans des situations de stress intense.

3. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806).
4-14 Manuel de gestion de la sécurité (MGS)

c) La culture d’organisation reconnaît et identifie le comportement et les valeurs des différentes


organisations (par ex. le comportement des membres d’une entreprise par rapport à celui des
membres d’une autre, ou le comportement du secteur public par rapport à celui du secteur privé).
Les organisations constituent un creuset de cultures nationales et professionnelles. Dans une
compagnie aérienne, par ex., les pilotes peuvent avoir des parcours professionnels différents
(expérience militaire ou civile et vols à bord d’un avion de brousse ou d’un avion de transport de
troisième niveau par rapport à la progression au sein d’une grande compagnie aérienne). Ils
peuvent également venir de cultures d’organisation diverses à la suite de fusions et acquisitions ou
de plans de licenciement.

Dans le secteur de l’aviation, les membres du personnel éprouvent généralement un sentiment


d’appartenance. Leur comportement quotidien est influencé par les valeurs de leur organisation.
L’organisation reconnaît-elle le mérite ? Favorise-t-elle les initiatives individuelles ? Encourage-t-elle
la prise de risques ? Tolère-t-elle des transgressions des SOP ? Promeut-elle une communication
franche et réciproque, etc. ? L’organisation représente donc un facteur déterminant important du
comportement des membres du personnel.

La marge de manœuvre la plus large pour créer et entretenir une culture de la sécurité se trouve au
niveau de l’organisation. C’est ce que l’on appelle communément la culture d’entreprise de la
sécurité, abordée ci-dessous.

4.5.23 Les trois milieux culturels décrits ci-dessus déterminent, par ex., les relations hiérarchiques, la
manière dont les informations sont échangées, la façon dont le personnel fera face au stress, comment
telles technologies seront adoptées, l’attitude face à l’autorité, la manière dont les organisations réagiront
aux erreurs humaines (par ex. sanctionner les coupables ou tirer des leçons de l’expérience). La culture
jouera un rôle dans l’application de l’automatisation, l’élaboration des procédures (SOP), la préparation, la
présentation et la réception de la documentation, la mise au point et le déroulement de la formation,
l’attribution des tâches, les relations entre les pilotes et le contrôle du trafic aérien (ATC), les relations avec
les syndicats, etc. En d’autres termes, la culture exerce une influence sur pratiquement tous les types
d’interactions entre les personnes. En outre, les considérations culturelles se fraient même un chemin dans
la conception du matériel et des outils. La technologie peut sembler culturellement neutre mais elle reflète
les partis pris des constructeurs (par ex. le parti pris de la langue anglaise, implicite dans la plupart des
logiciels du monde entier). Cependant, il n’existe pas de bonne ou de mauvaise culture ; les cultures sont ce
qu’elles sont et toutes ont leurs forces et faiblesses respectives.

4
Culture d’entreprise de la sécurité

4.5.24 Comme mentionné ci-dessus, de nombreux facteurs créent le contexte du comportement


humain sur le lieu de travail. La culture d’organisation ou d’entreprise pose les limites du comportement
humain accepté sur le lieu de travail en fixant les normes et les limites comportementales. La culture
d’organisation ou d’entreprise constitue donc une pierre angulaire du processus décisionnel de la direction
et du personnel : « Voilà comment nous travaillons ici. »

4.5.25 La culture de la sécurité est un sous-produit naturel de la culture d’entreprise. L’attitude de


l’entreprise en matière de sécurité déteint sur l’approche collective du personnel vis-à-vis de la sécurité. La
culture de la sécurité se compose de convictions, de pratiques et d’attitudes communes. Le ton en est
donné et entretenu par les paroles et les actes de la haute direction. La culture d’entreprise de la sécurité
est donc l’ambiance créée par la direction, qui façonne l’attitude des travailleurs vis-à-vis de la sécurité.

4. Voir les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) pour un examen plus complet de la
culture de la sécurité.
Chapitre 4. Comprendre la sécurité 4-15

4.5.26 Cette culture de la sécurité est influencée par des facteurs tels que :

a) les priorités et les mesures adoptées par la direction ;

b) les politiques et les procédures ;

c) les pratiques de supervision ;

d) la planification de la sécurité et les objectifs de sécurité ;

e) les mesures prises en réaction à des comportements dangereux ;

f) la formation et la motivation du personnel ;

g) la participation du personnel ou son ralliement au projet collectif.

4.5.27 La responsabilité finale en matière de sécurité revient aux directeurs et aux cadres supérieurs
de l’organisation — qu’il s’agisse d’une compagnie aérienne, d’un prestataire de services (par ex. aéroports
et ATS) ou d’un organisme de maintenance agréé (OMA). La philosophie de sécurité d’une organisation est
établie dès le début en fonction de la mesure dans laquelle les dirigeants acceptent la responsabilité de la
sécurité des opérations et de la gestion des risques.

4.5.28 La manière dont les cadres hiérarchiques gèrent les activités quotidiennes est un facteur
fondamental d’une saine culture de la sécurité. Les bonnes leçons ont-elles été tirées des expériences
réelles « de première ligne » et des mesures appropriées ont-elles été prises ? Le personnel concerné est-il
associé de façon constructive au processus ou se sent-il victime de mesures unilatérales prises par la
direction ?

4.5.29 Les relations entre les cadres hiérarchiques et les représentants de l’autorité de réglementation
sont également révélatrices de l’existence ou de l’absence d’une saine culture de la sécurité. Ces relations
devraient être empreintes de courtoisie professionnelle mais avec suffisamment de distance pour ne pas
compromettre l’obligation de rendre des comptes. L’ouverture mènera à de meilleures communications sur
la sécurité que la stricte application des règlements. La première approche encourage un dialogue constructif
tandis que la deuxième pousse à dissimuler ou à ignorer les véritables problèmes de sécurité.

Culture positive de la sécurité

4.5.30 Bien que le respect de la réglementation sur la sécurité soit fondamental pour la sécurité, le
point de vue actuel est qu’il faut faire beaucoup plus. Les organisations qui se contentent d’appliquer les
normes minimales fixées par la réglementation ne sont pas bien placées pour identifier les problèmes de
sécurité naissants.

4.5.31 Une manière efficace de promouvoir une exploitation sûre est de s’assurer que l’exploitant a
développé une culture positive de la sécurité. En résumé, tous les membres du personnel doivent être
responsables de la sécurité et tenir compte de son influence sur tous leurs actes. Cette façon de penser doit
être ancrée tellement profondément qu’elle devient véritablement une « culture ». Toutes les décisions,
qu’elles proviennent par exemple du conseil d’administration, d’un chauffeur sur l’aire de trafic ou d’un AME,
doivent tenir compte des conséquences sur la sécurité.

4.5.32 Une culture positive de la sécurité doit être générée par un processus descendant. Elle repose sur
un degré élevé de confiance et de respect entre le personnel et la direction. Le personnel doit être convaincu
4-16 Manuel de gestion de la sécurité (MGS)

qu’il sera soutenu dans toutes ses décisions prises dans l’intérêt de la sécurité. Il doit aussi comprendre que les
manquements intentionnels à la sécurité mettant l’exploitation en péril ne seront pas tolérés.

4.5.33 Il existe également un haut degré d’interdépendance entre la culture de la sécurité et d’autres
aspects d’un SGS. Une culture positive de la sécurité est essentielle pour qu’un SGS puisse fonctionner de
manière efficace. Toutefois, la culture d’une organisation est aussi modelée par la présence d’un SGS
officiel. Une organisation ne devrait donc pas attendre d’avoir fini de développer une culture de la sécurité
idéale pour introduire un SGS. La culture évoluera au fur et à mesure que l’exposition à la gestion de la
sécurité et l’expérience qu’on en a s’amplifieront.

Signes d’une culture positive de la sécurité

4.5.34 Une culture positive de la sécurité est révélée par les caractéristiques suivantes :

a) la haute direction accorde une place primordiale à la sécurité comme élément de la stratégie de
maîtrise des risques (c.-à-d. la réduction des pertes au minimum) ;

b) les décideurs et le personnel d’exploitation ont une vision réaliste des dangers à court et à long
terme, inhérents aux activités de l’organisation ;

c) les dirigeants :

1) favorisent un climat où règne une attitude positive à l’égard des critiques, des commentaires et des
retours d’informations en matière de sécurité provenant des niveaux inférieurs de l’organisation ;

2) n’utilisent pas leur influence pour imposer leurs opinions à leurs subordonnés ;

3) mettent en œuvre des mesures visant à maîtriser les conséquences des carences identifiées en
sécurité ;

d) la haute direction favorise un environnement de travail non punitif. Certaines organisations parlent
de « culture juste » au lieu d’utiliser le terme « non punitif ». Comme mentionné au § 4.5.35 alinéa d),
ce terme « non punitif » ne signifie pas une immunité totale ;

e) tous les niveaux de l’organisation sont conscients de l’importance de la communication des


informations pertinentes en matière de sécurité (tant à l’intérieur qu’à l’extérieur des entités) ;

f) des règles réalistes et applicables existent en ce qui concerne les dangers, la sécurité et les sources
potentielles de dommages ;

g) le personnel est bien formé et comprend les conséquences des actes dangereux ;

h) la fréquence des comportements à risque est faible et il existe une éthique de sécurité
décourageant de tels comportements.

4.5.35 Généralement, les cultures positives de la sécurité sont :

a) Des cultures éclairées. La direction promeut une culture où les personnes comprennent les dangers
et les risques inhérents à leurs domaines d’exploitation. Le personnel se voit offrir la possibilité
d’acquérir les connaissances, les compétences et l’expérience professionnelle nécessaires pour
travailler en toute sécurité ; il est encouragé à identifier les menaces qui mettent en danger sa
sécurité et à demander les changements nécessaires pour y remédier.
Chapitre 4. Comprendre la sécurité 4-17

b) Des cultures de l’apprentissage. L’apprentissage est considéré comme un processus de toute


une vie plutôt que seulement comme une exigence de la formation initiale. Les personnes sont
incitées à développer et à appliquer leurs propres compétences et connaissances pour améliorer la
sécurité de l’organisation. Le personnel est mis au courant des questions de sécurité par la direction
et les rapports de sécurité sont transmis au personnel afin que tout le monde puisse tirer les leçons
de sécurité pertinentes.

c) Des cultures de compte rendu. Les directeurs et le personnel opérationnel échangent librement
des informations cruciales liées à la sécurité sans la menace de mesures punitives. C’est ce que
l’on appelle fréquemment créer une culture de compte rendu au sein de l’entreprise. Le personnel
est à même de rendre compte des dangers et des préoccupations liées à la sécurité lorsqu’il en
prend conscience, sans embarras ou crainte de sanction ;

d) Des cultures justes. Alors qu’un environnement non punitif est fondamental pour avoir une bonne
culture de compte rendu, la définition de ce qui constitue un comportement acceptable ou non doit
être connue du personnel et avoir fait l’objet d’un accord. La négligence ou les infractions délibérées
ne doivent pas être tolérées par les dirigeants (même dans un environnement non punitif). Une
culture juste admet que, dans certaines circonstances, il peut s’avérer nécessaire de recourir à des
mesures punitives, et elle tente de définir la ligne de démarcation entre les actes ou les activités
acceptables et inacceptables.

4.5.36 Le Tableau 4-1 ci-dessous résume trois réactions d’entreprises face aux questions de sécurité,
allant d’une culture de la sécurité médiocre à la culture positive idéale de la sécurité en passant par
l’approche indifférente ou bureaucratique (qui ne fait que respecter les exigences minimales acceptables).

Tableau 4-1. Caractéristiques de différentes cultures de la sécurité

Culture de la sécurité Médiocre Bureaucratique Positive

Caractéristiques

Les informations sur les supprimées ignorées recherchées


dangers sont : délibérément activement

Les messagers de la découragés ou tolérés formés et


sécurité sont : sanctionnés encouragés

La responsabilité de la évitée fragmentée partagée


sécurité est :
La diffusion des découragée autorisée mais récompensée
informations sur découragée
la sécurité est :
Les défaillances des des rectifications des enquêtes et
conduisent à : dissimulations locales des réformes
systémiques
Les nouvelles idées sont : étouffées considérées comme les bienvenues
de nouveaux
problèmes (non des
occasions)
4-18 Manuel de gestion de la sécurité (MGS)

Responsabilité et sanction

4.5.37 Une fois qu’une enquête a identifié la cause d’un événement, le responsable est généralement
connu. Habituellement, le coupable pouvait alors être désigné (et sanctionné). Tandis que la législation varie
considérablement d’un État à un autre, de nombreux États concentrent toujours leurs enquêtes sur la
détermination de la faute et l’attribution de la responsabilité. Pour eux, la sanction demeure un outil de
sécurité essentiel.

4.5.38 Philosophiquement, cette sanction est attrayante pour plusieurs raisons, notamment pour :

a) chercher à réprimer un abus de confiance ;

b) protéger la société des récidivistes ;

c) modifier le comportement d’un individu ;

d) faire un exemple pour les autres.

4.5.39 La sanction peut avoir un rôle à jouer quand des personnes enfreignent délibérément les
« règles ». On peut avancer que de telles sanctions peuvent dissuader l’auteur de l’infraction (ou d’autres
dans des circonstances similaires).

4.5.40 Si l’accident est le résultat d’une erreur de jugement ou d’une défaillance technique, il est
pratiquement impossible de vraiment sanctionner cette erreur. On pourrait alors modifier les processus de
sélection ou de formation, ou rendre le système plus tolérant vis-à-vis de ce type d’erreur. Une sanction
dans de tels cas aboutira presque certainement à deux résultats : premièrement, plus aucun rapport ne sera
transmis pour ce genre d’erreurs ; deuxièmement, puisque rien n’a été fait pour remédier à la situation, le
même accident pourrait se reproduire.

4.5.41 Peut-être la société a-t-elle besoin de sanctions pour rendre justice. Cependant, toute l’expé-
rience montre que la sanction n’a que peu de valeur systémique sur la sécurité, voire aucune. À l’exception
de cas de négligence intentionnelle avec transgression délibérée des normes, la sanction n’a qu’un effet
limité en termes de sécurité.

4.5.42 Dans une grande partie de la communauté internationale de l’aviation, on voit se dégager une
approche plus éclairée du rôle de la sanction. Celle-ci va en partie de pair avec une meilleure compré-
hension des causes des erreurs humaines (par opposition aux infractions). Les erreurs sont désormais
considérées comme le résultat d’une situation ou d’une circonstance et pas nécessairement comme leur
cause. En conséquence, les dirigeants commencent à chercher à identifier les conditions dangereuses qui
contribuent à l’apparition de telles erreurs. Ils commencent à comprendre que l’identification systématique
des faiblesses organisationnelles et des carences en matière de sécurité est bien plus rentable pour la
gestion de la sécurité que des sanctions à l’égard d’individus. (Cela ne signifie pas que ces organisations
éclairées ne doivent pas prendre des mesures contre les personnes n’arrivant pas à s’améliorer après avoir
reçu des conseils et/ou une formation supplémentaire.)

4.5.43 Alors que de nombreuses opérations de l’aviation choisissent cette approche positive de la
gestion de la sécurité, d’autres sont plus lentes à adopter et mettre en œuvre des « politiques non punitives »
efficaces. D’autres encore ont tardé à étendre leurs politiques non punitives à l’échelle de l’entreprise. (cf. les
commentaires au § 4.5.35, alinéa d), concernant une culture juste.)
Chapitre 4. Comprendre la sécurité 4-19

4.6 ERREUR HUMAINE

4.6.1 L’erreur humaine est citée comme étant un facteur causal ou contributif dans la majorité des
événements aéronautiques. Bien trop souvent, des membres compétents du personnel commettent des
erreurs bien qu’ils n’aient clairement pas eu l’intention de provoquer un accident. Les erreurs ne sont pas
une forme de comportement aberrant mais un sous-produit naturel de pratiquement toute activité humaine.
L’erreur doit être acceptée comme un élément normal de tout système où interagissent les êtres humains et
la technologie. « L’erreur est humaine ».

4.6.2 Les facteurs évoqués à la section 4.5 créent le contexte dans lequel les hommes commettent
des erreurs. Étant donné les interfaces irrégulières du système de l’aviation (telles que décrites dans le
modèle SHEL), les possibilités d’erreurs humaines en aviation sont énormes. Il est fondamental pour la
gestion de la sécurité de comprendre comment des personnes normales commettent des erreurs. Ce n’est
qu’alors que des mesures efficaces pourront être mises en œuvre pour réduire au minimum les effets des
erreurs humaines sur la sécurité.

4.6.3 Même si elles ne sont pas complètement évitables, les erreurs humaines sont gérables grâce à
l’application d’une meilleure technologie, de formations pertinentes et d’une réglementation et de procé-
dures appropriées. La plupart des mesures de gestion des erreurs concernent le personnel de première
ligne. Toutefois, la performance des pilotes, des ATCO, des AME, etc., peut être fortement influencée par
des facteurs organisationnels, réglementaires, culturels et environnementaux affectant le lieu de travail. Par
exemple, les processus organisationnels constituent un véritable terreau pour de nombreuses erreurs humaines
prévisibles : infrastructures de télécommunication inadéquates, procédures ambiguës, planification insatis-
faisante, ressources insuffisantes, budget irréaliste, qui sont en réalité autant de processus que l’organisation
peut contrôler. La Figure 4-5 résume certains des facteurs contribuant aux erreurs humaines — et aux
accidents.

Types d’erreur

4.6.4 Des erreurs peuvent se produire au stade de la planification ou lors de l’exécution du plan. Les
erreurs de planification entraînent des fautes : soit la personne suit une procédure inadéquate pour régler
un problème de routine, soit elle établit un plan d’action inapproprié pour faire face à une nouvelle situation.
Même lorsque l’action prévue est appropriée, des erreurs peuvent apparaître dans l’exécution du plan. Les
publications sur les facteurs humains traitant de ces erreurs d’exécution opèrent généralement une
distinction entre oublis et méprises. Un oubli est une action qui n’est pas réalisée comme prévu. Elle sera
donc toujours observable. Une méprise est une défaillance de la mémoire, qui peut n’être perçue que par la
personne qui a eu ce trou de mémoire.

Erreurs de planification (fautes)

4.6.5 Lors de la résolution de problèmes, nous recherchons intuitivement un ensemble de règles


connues (SOP, démarche empirique, etc.) qui ont été utilisées auparavant et qui conviendront pour
résoudre le problème en question. Les fautes peuvent survenir de deux manières : par l’application d’une
règle inadaptée à la situation ou par l’application correcte d’une règle imparfaite.

4.6.6 Mauvaise application de bonnes règles. Cette erreur se produit généralement lorsqu’un opé-
rateur est confronté à une situation qui présente de nombreuses similitudes avec des circonstances pour
lesquelles la règle a été élaborée, mais également quelques différences considérables. Si l’opérateur ne se
rend pas compte de l’importance de ces différences, il peut appliquer une règle inappropriée.
4-20 Manuel de gestion de la sécurité (MGS)

Culture

Accidents
Formation

Facteurs Incidents
personnels

Autres ERREURS HUMAINES


facteurs

Procédures

Conception
du matériel Facteurs
organisationnels

Figure 4-5. Facteurs contribuant à l’erreur humaine

4.6.7 Application de mauvaises règles. Cette erreur suppose le recours à une procédure qui s’était
avérée efficace pas le passé, mais qui contient des lacunes non identifiées. Si une telle solution a fonctionné
dans les circonstances dans lesquelles elle a été appliquée une première fois, une personne peut y recourir
de manière habituelle pour résoudre ce type de problème.

4.6.8 Lorsqu’une personne ne dispose pas d’une solution toute faite fondée sur la pratique et/ou la
formation, elle se base sur ses connaissances et son expérience personnelles. Il faudra inévitablement plus
de temps pour élaborer une solution à un problème en utilisant cette méthode qu’en appliquant une solution
basée sur une règle, puisque cette démarche fait appel à un raisonnement qui s’appuie sur la connaissance
de principes de base. Des fautes peuvent se produire par manque de connaissances ou à cause d’un
raisonnement erroné. Il sera particulièrement difficile pour une personne très occupée de résoudre un
problème par un raisonnement basé sur les connaissances, puisque son attention sera probablement
détournée du processus de raisonnement pour régler d’autres questions. La probabilité qu’une faute soit
commise dans de telles circonstances est plus grande.

Erreurs d’exécution (oublis et méprises)

4.6.9 Les actions du personnel expérimenté et compétent ont tendance à relever de la routine et d’une
longue pratique. Elles sont réalisées de manière principalement automatique à l’exception des vérifications
occasionnelles de leur déroulement. Les oublis et méprises peuvent résulter :
Chapitre 4. Comprendre la sécurité 4-21

a) De relâchements de l’attention. Ils sont causés par l’absence de suivi du déroulement d’une action
de routine à un moment critique. Ils sont particulièrement susceptibles de se produire lorsque le
plan d’action prévu ressemble à une procédure de routine, sans y être identique. Si la personne
relâche son attention ou est distraite par quelque chose au moment critique où l’action diffère de la
procédure habituelle, il se peut qu’elle applique la procédure de routine plutôt que celle qu’elle
comptait utiliser pour le cas donné.

b) De trous de mémoire. Ils se présentent soit lorsque nous oublions ce que nous avions prévu de
faire, soit lorsque nous omettons un élément dans une série d’actions planifiées.

c) D’erreurs de perception. Ce sont des erreurs d’identification. Elles se produisent quand nous
pensons voir ou entendre quelque chose d’autre que l’information réelle.

Distinction entre erreurs et infractions

4.6.10 Les erreurs (qui constituent une activité humaine normale) sont clairement distinctes des
infractions. Toutes deux peuvent mener à une défaillance du système. Toutes deux peuvent entraîner une
situation dangereuse. La différence se trouve dans l’intention.

4.6.11 Une infraction est un acte délibéré alors qu’une erreur n’est pas intentionnelle. Prenons, par
exemple, une situation dans laquelle un ATCO autorise un aéronef à descendre en traversant le niveau d’un
aéronef en croisière lorsque la distance DME entre eux est de 18 NM alors que les circonstances exigent un
minimum de séparation de 20 NM. Si l’ATCO s’est trompé en calculant la différence entre les distances
DME communiquées par les pilotes, il s’agit d’une erreur. S’il a bien calculé la distance et autorisé l’aéronef
en descente à traverser le niveau de l’aéronef en croisière en sachant que le minimum de séparation requis
n’est pas respecté, il s’agit d’une infraction.

4.6.12 Certaines infractions sont le résultat de procédures imparfaites ou irréalistes, qui ont amené
des personnes à élaborer des moyens de tourner la difficulté pour accomplir leur tâche. Dans de tels cas, il
est très important qu’elles soient signalées dès qu’elles sont observées afin que l’on puisse rectifier les
procédures. Quoi qu’il arrive, ces infractions ne devraient pas être tolérées. Lors de certains accidents, on a
constaté qu’une culture d’entreprise qui tolérait, voire encourageait, les raccourcis plutôt que le respect des
procédures officielles avait contribué à l’accident.

Maîtrise de l’erreur humaine

4.6.13 Heureusement, peu d’erreurs entraînent des conséquences néfastes et encore moins des
accidents. Généralement, les erreurs sont identifiées et corrigées sans résultat indésirable, comme en cas
de réglage incorrect d’une fréquence ou du curseur d’altitude. Sachant que les erreurs font partie du
comportement humain, l’élimination totale des erreurs humaines constituerait un objectif irréaliste. La
difficulté n’est alors pas de simplement prévenir les erreurs mais d’apprendre à gérer en toute sécurité
celles qui sont inévitables.

4.6.14 Trois stratégies de gestion des erreurs dans la maintenance des aéronefs sont brièvement
5
exposées ci-dessous .

a) Les stratégies de réduction de l’erreur interviennent directement à la source de l’erreur en réduisant


ou en éliminant les facteurs contribuant à l’erreur. Il s’agit par ex. de faciliter l’accès à un élément de

5. Tiré du Manuel d’instruction sur les facteurs humains (Doc 9683).


4-22 Manuel de gestion de la sécurité (MGS)

l’aéronef pour maintenance, d’améliorer l’éclairage dans lequel une tâche doit être exécutée, de
réduire les distractions liées à l’environnement et de dispenser une meilleure formation. La plupart des
stratégies de gestion de l’erreur employées dans la maintenance entrent dans cette catégorie.

b) La capture de l’erreur suppose que l’erreur a déjà été commise. L’intention est de la « capturer »
avant que des conséquences négatives ne se fassent sentir. La capture de l’erreur diffère de la
réduction de l’erreur en ce qu’elle ne sert pas directement à réduire ou à éliminer l’erreur. Des
exemples de cette stratégie sont la vérification par recoupement de la bonne exécution des tâches
ou les vols d’essai de fonctionnement.

c) La tolérance à l’erreur concerne l’aptitude d’un système à accepter une erreur sans conséquences
sérieuses. Parmi les exemples de mesures destinées à accroître la tolérance aux erreurs, citons
l’installation à bord de circuits hydrauliques ou électriques multiples afin d’assurer la redondance et
un programme d’inspection des structures qui donnera de multiples opportunités de déceler une
crique de fatigue avant que celle-ci n’atteigne une longueur critique.

4.7 CYCLE DE LA SÉCURITÉ

4.7.1 Étant donné le nombre de relations qui peuvent exister entre les facteurs susceptibles d’affecter
la sécurité, un SGS efficace est nécessaire. La Figure 4-6 montre un exemple du type de processus
systématique requis. Elle est suivie d’une brève description du cycle de la sécurité.

4.7.2 L’identification des dangers est la première étape critique de la gestion de la sécurité. Des
preuves de dangers sont nécessaires et peuvent être glanées de différentes manières, auprès de sources
diverses, comme :

a) les systèmes de comptes rendus des dangers et des incidents ;

b) les enquêtes sur les dangers et les incidents signalés dans des comptes rendus, et leur suivi ;

c) les analyses de tendances ;

d) les retours d’informations après formation ;

e) l’analyse des données de vol ;

f) les enquêtes de sécurité et les audits de supervision de la sécurité opérationnels ;

g) la surveillance de l’exploitation normale ;

h) les enquêtes de l’État sur les accidents et les incidents graves ;

i) les systèmes d’échange d’informations.

4.7.3 Chaque danger identifié doit être évalué et se voir attribuer un niveau de priorité. Cette évaluation
requiert la compilation et l’analyse de toutes les données disponibles. Celles-ci sont alors évaluées afin de
déterminer l’étendue du danger : est-il isolé ou systémique ? Une base de données peut être nécessaire pour
faciliter le stockage et l’extraction des données. Il faut des outils adaptés pour analyser ces données.

4.7.4 Une fois que la carence en matière de sécurité a été validée, des décisions doivent être prises
quant aux mesures les plus appropriées à prendre pour éviter ou éliminer le danger ou réduire les risques
Chapitre 4. Comprendre la sécurité 4-23

Identifier
les dangers

Suivre Évaluer
la situation les risques

Cycle de
la sécurité

Prendre Vérifier
des mesures les possibilités

Communiquer
les risques

Figure 4-6. Cycle de la sécurité

qui y sont liés. La solution doit tenir compte des conditions locales car une solution uniforme ne convient pas
à toutes les situations. Il faut veiller à ce que la solution adoptée ne génère pas de nouveaux dangers. Tel
est le processus de la gestion des risques.

4.7.5 Une fois qu’une mesure de sécurité appropriée a été mise en œuvre, la performance doit être
contrôlée afin de s’assurer que le résultat souhaité a été atteint. Par ex. :

a) le danger a été éliminé (ou au moins l’éventualité ou la gravité des risques qui y sont liés ont été
réduites) ;

b) les mesures adoptées permettent de faire face au danger de manière satisfaisante ;

c) aucun nouveau danger n’a été introduit dans le système.

4.7.6 Si les résultats ne sont pas satisfaisants, tout le processus doit être recommencé.

4.8 ASPECTS FINANCIERS

4.8.1 L’exploitation rentable et néanmoins sûre d’une compagnie aérienne ou d’une société de
prestation de services exige un équilibre permanent entre le besoin d’atteindre les objectifs de production
4-24 Manuel de gestion de la sécurité (MGS)

(comme la ponctualité des départs) et celui de satisfaire aux objectifs de sécurité (notamment en prenant du
temps supplémentaire pour s’assurer qu’une porte est bien sécurisée). Dans l’aviation, le lieu de travail est
truffé de conditions potentiellement dangereuses qui ne seront pas toutes éliminées. Pourtant, l’exploitation
doit continuer.

4.8.2 Certaines opérations adoptent un objectif de « zéro accident » et affirment que « la sécurité est
leur priorité numéro un ». En réalité, les exploitants (et les autres organisations de l’aviation commerciale)
doivent dégager un bénéfice pour survivre. Les bénéfices ou les pertes indiquent immédiatement si une
entreprise a réussi à atteindre ses objectifs de production ou non. Cependant, la sécurité est une condition
indispensable pour assurer la durabilité d’une entreprise aéronautique, comme finira par le comprendre
toute compagnie tentée de rogner sur les coûts. Pour la plupart des compagnies aériennes, l’absence de
pertes accidentelles est le meilleur moyen d’évaluer la sécurité. Ce n’est parfois qu’après un accident ou
une perte grave, que certaines compagnies comprennent qu’elles ont un problème de sécurité, en partie
parce que cela aura des incidences sur leur compte de profits et pertes. Toutefois, une compagnie peut
exercer ses activités pendant des années en maintenant de nombreuses conditions potentiellement
dangereuses sans subir de conséquences négatives. Faute d’une gestion efficace de la sécurité pour
identifier et corriger ces conditions dangereuses, la compagnie peut penser qu’elle réalise ses objectifs de
sécurité, comme le prouve « l’absence de pertes ». En fait, elle a juste eu de la chance.

4.8.3 Sécurité et profit ne sont pas incompatibles. En effet, les organisations de qualité savent que les
dépenses consenties pour remédier à des conditions dangereuses représentent un investissement de
rentabilité à long terme. Les pertes coûtent de l’argent. En consacrant de l’argent à des mesures de
réduction des risques, on réduit les pertes onéreuses (comme le montre la Figure 4-7). Toutefois, si l’on
consacre de plus en plus de moyens à la réduction des risques, les gains issus de la réduction des pertes
ne seront peut-être pas proportionnels aux dépenses. Les compagnies doivent équilibrer les coûts des
pertes et les dépenses effectuées pour les mesures de réduction des risques. Un certain niveau de pertes
financières peut être acceptable d’un point de vue purement comptable. Cependant, peu d’organisations
sont capables de survivre aux conséquences financières d’un accident grave. Il existe donc de bonnes
raisons économiques de disposer d’un SGS efficace pour gérer les risques.

Coûts totaux

Réduction
Coûts

Pertes
des risques

Protection

Figure 4-7. Sécurité par rapport aux coûts


Chapitre 4. Comprendre la sécurité 4-25

Coûts des accidents

4.8.4 On trouve deux grands types de coûts liés aux accidents et aux incidents graves : les coûts
directs et les coûts indirects.

Coûts directs

4.8.5 Il s’agit des coûts évidents, assez simples à déterminer. La plupart d’entre eux découlent des
dommages physiques et sont liés aux réparations, remplacements ou indemnisations pour les blessures,
l’équipement aéronautique et les dommages matériels. Les coûts élevés d’un accident peuvent être réduits
par le biais d’une couverture d’assurance (certaines grandes organisations s’auto-assurent de facto en
constituant des réserves pour couvrir leurs risques).

Coûts indirects

4.8.6 Si une assurance peut couvrir des coûts spécifiques d’un accident, il existe de nombreux coûts
non couverts. Il est essentiel de bien comprendre ces coûts non couverts (ou indirects) pour bien saisir les
aspects économiques de la sécurité.

4.8.7 Les coûts indirects comprennent tout ce qui n’est pas directement couvert par une assurance et
dont le total est habituellement bien plus élevé que celui des coûts directs résultant de l’accident. Ces coûts
ne sont pas toujours patents et se manifestent souvent plus tard. Voici quelques exemples de coûts non
couverts pouvant découler d’un accident :

a) La perte de clientèle et l’atteinte à l’image de l’organisation. De nombreuses organisations


n’autorisent pas leur personnel à voler avec une compagnie ayant un bilan douteux en matière de
sécurité.

b) La privation de jouissance de matériel. Ceci équivaut à une perte de revenus. Le matériel de


remplacement peut devoir être acheté ou loué. Pour les compagnies exploitant un aéronef d’un type
peu courant, il est possible que leur stock de pièces détachées et leur personnel spécialement
formé pour un tel appareil deviennent inutiles.

c) La perte de productivité du personnel. Si certaines personnes sont blessées lors d’un accident et
sont en incapacité de travail, de nombreux États exigent qu’elles continuent à être payées. En outre,
elles devront être remplacées au moins à court terme, ce qui augmentera les coûts salariaux, les
heures supplémentaires (voire la formation), et entraînera une charge de travail supplémentaire
pour les travailleurs expérimentés.

d) Les frais d’enquête et de remise en état. Ce sont souvent des coûts non assurés. Les exploitants
peuvent subir des frais suite à l’enquête, notamment les coûts de la participation de leur personnel à
l’enquête ainsi que les coûts des tests et analyses, de la récupération de la carcasse et de la remise
en état des lieux de l’accident.

e) Les franchises des assurances. Pour tout accident, l’assuré doit prendre à sa charge la première
tranche du coût de tout accident. De plus, une demande d’indemnisation fera passer la compagnie
dans une catégorie de risque plus élevée à des fins d’assurance, ce qui peut entraîner une
augmentation des primes (et inversement, la mise en œuvre d’un SGS global pourrait aider un
exploitant à négocier une réduction de prime).
4-26 Manuel de gestion de la sécurité (MGS)

f) Les actions en justice et en dommages-intérêts. Les frais de justice peuvent croître rapidement.
Bien qu’il soit possible de s’assurer en responsabilité civile et contre les actions en dommages et
intérêts, il est pratiquement impossible de rentrer dans ses frais pour le temps perdu dans une
action en justice et en poursuites en dommages-intérêts.

g) Les amendes et citations à comparaître. Les pouvoirs publics peuvent réclamer des amendes et
adresser des citations à comparaître, voire, éventuellement imposer l’arrêt d’opérations dangereuses.

Coûts des incidents

4.8.8 Des incidents aériens graves causant des dommages matériels ou des lésions corporelles
mineures peuvent également entraîner de nombreux coûts indirects ou non couverts. Les facteurs de coûts
types résultant de tels incidents sont notamment :

a) les retards et annulations de vols ;

b) une solution de rechange pour le transport des passagers, leur logement, les plaintes, etc. ;

c) le changement d’équipage et son affectation ;

d) le manque à gagner et l’atteinte à l’image de la compagnie ;

e) la récupération et la réparation de l’aéronef, le vol d’essai ;

f) l’enquête sur l’incident.

Coûts de la sécurité

4.8.9 Les coûts de la sécurité sont encore plus difficiles à quantifier que le coût total des accidents —
en partie parce qu’il est difficile d’évaluer les accidents qui ont été évités. Néanmoins, certains exploitants
ont tenté d’évaluer les coûts et les avantages de l’introduction d’un SGS. Ils ont conclu que les économies
étaient considérables. La réalisation d’une analyse coûts-avantages est complexe. Cependant, comme les
dirigeants sont peu enclins à dépenser de l’argent sans perspective d’un bénéfice quantifiable, cette analyse
devrait être entreprise. Une façon de résoudre cette question est de séparer les coûts du SGS des frais
encourus pour remédier aux carences en matière de sécurité, en imputant les coûts de la gestion de la
sécurité au département sécurité et les coûts des carences de sécurité aux cadres hiérarchiques ayant les
plus grandes responsabilités. Cet exercice exige que la haute direction s’engage à réfléchir aux coûts et aux
avantages d’un SGS.
Chapitre 5

PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ

5.1 PHILOSOPHIE DE LA GESTION DE LA SÉCURITÉ

Fonction de gestion essentielle

5.1.1 Dans les organisations aéronautiques efficaces, la gestion de la sécurité est une fonction de
gestion essentielle — au même titre que la gestion financière. Une gestion efficace de la sécurité requiert un
équilibre réaliste entre les objectifs de sécurité et ceux de production. Par conséquent, une approche
coordonnée, basée sur l’analyse des objectifs et des ressources de l’organisation, contribue à garantir que
les décisions concernant la sécurité sont réalistes et complémentaires aux besoins opérationnels de
l’organisation. Les limites du financement et de la performance opérationnelle doivent être acceptées dans
tous les secteurs. Il est donc important pour une gestion rentable de la sécurité de définir les risques
acceptables et inacceptables. Correctement mises en œuvre, les mesures de gestion de la sécurité non
seulement renforcent la sécurité mais améliorent aussi l’efficacité des opérations d’une organisation.

5.1.2 L’expérience d’autres secteurs et les leçons tirées des enquêtes sur les accidents d’aéronefs ont
souligné qu’il était important de gérer la sécurité de manière systématique, proactive et explicite. Ces termes
revêtent ici les acceptions suivantes :

• Systématique signifie que les activités de gestion de la sécurité seront exécutées conformément à
un plan prédéterminé et réalisées de façon cohérente dans toute l’organisation.

• Proactive désigne l’adoption d’une approche qui met l’accent sur la prévention grâce à l’identifi-
cation des dangers et à l’introduction de mesures d’atténuation des risques avant que l’événement
dangereux ne se produise et ait des conséquences négatives sur les performances en matière de
sécurité.

• Explicite signifie que toutes les activités de gestion de la sécurité devraient être documentées,
visibles et exécutées indépendamment d’autres activités de gestion.

5.1.3 Une gestion systématique, proactive et explicite de la sécurité garantit qu’à long terme, la
sécurité fera partie intégrante des opérations quotidiennes de l’organisation et que les activités liées à la
sécurité menées par l’organisation seront dirigées vers les domaines où les avantages seront les plus
grands.

Approche systémique

5.1.4 Les approches contemporaines de la gestion de la sécurité ont été façonnées par les concepts
introduits au Chapitre 4 et, en particulier, par le rôle des questions organisationnelles en tant que facteurs
contribuant aux accidents et aux incidents. La sécurité ne peut pas être atteinte par la seule instauration de
règles ou de directives concernant les procédures à suivre par le personnel d’exploitation.

5-1
5-2 Manuel de gestion de la sécurité (MGS)

5.1.5 La portée de la gestion de la sécurité englobe la plupart des activités de l’organisation. Elle doit
donc commencer à l’échelon de la haute direction et les effets sur la sécurité doivent être examinés à tous
les niveaux de l’organisation.

Sécurité du système

5.1.6 La sécurité du système a été élaborée dans les années 1950 en tant que discipline d’ingénierie
pour les systèmes aérospatiaux et de défense antimissile. Ses praticiens étaient des ingénieurs de la
sécurité et non des spécialistes opérationnels. Par conséquent, ils avaient tendance à se concentrer sur la
conception et la construction de systèmes à sûreté intégrée. D’autre part, l’aviation civile avait pour habitude
de s’occuper surtout des opérations aériennes et les directeurs de la sécurité étaient souvent issus des
rangs des pilotes. Pour améliorer la sécurité, il est devenu nécessaire de ne plus limiter la sécurité de
l’aviation aux seuls aéronefs et à leurs pilotes. L’aviation est un système global qui inclut tout ce qui est
nécessaire à la sécurité des opérations aériennes. Le « système » englobe l’aéroport, le contrôle de la
circulation aérienne, la maintenance, les équipages de cabine, le soutien opérationnel au sol, la régulation
des vols, etc. Une gestion saine de la sécurité doit couvrir tous les aspects du système.

5.2 FACTEURS AFFECTANT LA SÉCURITÉ DU SYSTÈME

5.2.1 Les facteurs affectant la sécurité au sein du système donné peuvent être étudiés sous deux
angles : premièrement, par l’analyse des facteurs pouvant aboutir à des situations dans lesquelles la
sécurité est compromise et, deuxièmement, par l’examen de la manière dont une connaissance de ces
facteurs peut être appliquée à la conception de systèmes afin de réduire la probabilité que surviennent des
événements pouvant mettre la sécurité en péril.

5.2.2 La recherche de facteurs qui pourraient compromettre la sécurité doit couvrir tous les niveaux de
l’organisation responsable des opérations et de la prestation de services de soutien. Comme décrit au
Chapitre 4, la sécurité commence au niveau le plus élevé de l’organisation.

Défaillances actives et conditions latentes

5.2.3 Les défaillances actives sont généralement le résultat de défauts du matériel ou d’erreurs
commises par le personnel opérationnel. Les conditions latentes, elles, contiennent toujours un élément
humain. Elles peuvent découler de défauts de conception non détectés. Elles peuvent être liées à des
conséquences non identifiées de procédures approuvées officiellement. Dans un certain nombre de cas, les
conditions latentes ont également été le résultat direct de décisions prises par la direction de l’organisation.
Par exemple, des conditions latentes sont présentes lorsque la culture de l’organisation encourage la prise
de raccourcis plutôt que l’application systématique des procédures approuvées. La conséquence directe
d’une condition liée à l’utilisation de raccourcis se concrétiserait au niveau opérationnel en cas de non-
respect des procédures correctes. Toutefois, si ce genre de comportement est largement admis par le
personnel opérationnel et que la direction n’en est pas consciente ou ne prend aucune mesure pour y
remédier, alors une condition latente existe dans le système au niveau de la direction.

Défectuosités des équipements

5.2.4 La probabilité de défaillances du système dues à des défectuosités des équipements relève de
l’ingénierie de la fiabilité. Cette probabilité est déterminée en analysant les taux de défaillance des différents
éléments du matériel. Les causes de défaillance des éléments peuvent notamment inclure des défauts
électriques, mécaniques et logiciels.
Chapitre 5. Principes de base de la gestion de la sécurité 5-3

5.2.5 Une analyse de sécurité est requise pour évaluer tant la probabilité des défaillances au cours
des opérations normales que les effets de l’indisponibilité continue d’un quelconque élément sur les autres
parties du système. L’analyse devrait couvrir les conséquences de toute perte de fonctionnalité ou de
redondance due à la mise hors service du matériel pour maintenance. Il est donc important que la portée de
l’analyse et la délimitation du système aux fins de l’analyse soient suffisamment larges pour que tous les
services et activités de soutien nécessaires soient couverts. Une analyse de sécurité devrait au minimum
examiner les éléments du modèle SHEL décrit au Chapitre 4.

5.2.6 Les techniques concernant l’estimation de la probabilité d’une défaillance générale du système
en raison de défectuosités du matériel et l’estimation des paramètres tels que la disponibilité et la continuité
du service sont bien établies et sont décrites dans des ouvrages de référence relatifs à l’ingénierie de la
fiabilité et de la sécurité. Ces questions ne seront pas abordées plus avant dans le présent manuel.

Erreur humaine

5.2.7 On parle d’erreur lorsque le résultat d’une tâche exécutée par une personne n’est pas celui qui
était voulu. La manière dont un opérateur humain aborde une tâche dépend de la nature de celle-ci et de
l’expérience que l’opérateur en a. La performance humaine peut être basée sur des compétences, sur des
règles ou sur des connaissances. Les erreurs peuvent résulter de trous de mémoire, d’oublis au cours de la
réalisation de la tâche prévue, ou bien de fautes qui sont des erreurs de jugement conscientes. Une
distinction devrait également être opérée entre les erreurs normales ou erreurs commises de bonne foi dans
l’exécution des fonctions assignées et les infractions délibérées aux procédures prescrites ou aux pratiques
de sécurité acceptées. Comme il a été mentionné au Chapitre 4, certaines organisations utilisent le concept
de « culture juste » pour aider à déterminer quelles erreurs sont « acceptables ».

Conception du système

5.2.8 Étant donné l’interaction complexe entre les facteurs humains, matériels et environnementaux
dans les opérations, l’élimination totale du risque est impossible à atteindre. Même dans les organisations
disposant des meilleurs programmes de formation et d’une culture positive de la sécurité, les opérateurs
humains commettront de temps en temps des erreurs. Le matériel le mieux conçu et le mieux entretenu
connaîtra occasionnellement des défaillances. Les concepteurs du système doivent donc tenir compte de
l’inévitabilité des erreurs et des défaillances. Il est important que le système soit conçu et mis en œuvre de
manière à ce que, dans la mesure du possible, les erreurs et les défaillances du matériel ne se soldent pas
par un accident. En d’autres mots, le système est « tolérant à l’erreur ».

5.2.9 Les éléments matériels et logiciels d’un système sont généralement conçus pour répondre à
des niveaux spécifiques de disponibilité, de continuité et d’intégrité. Les techniques d’estimation des perfor-
mances du système par rapport à ces paramètres sont bien établies. Si nécessaire, une redondance peut
être intégrée au système afin d’offrir des solutions de rechange en cas de défaillance d’un ou de plusieurs
éléments du système.

5.2.10 Les performances de l’élément humain ne peuvent pas être précisées avec autant de détail,
mais il est essentiel que la possibilité d’une erreur humaine soit considérée comme faisant partie de la
conception générale du système. Dès lors, une analyse sera nécessaire afin d’identifier les faiblesses
potentielles des aspects procéduraux du système en prenant en considération les lacunes normales des
performances humaines. Cette analyse devrait également tenir compte du fait que les accidents n’ont que
rarement, voire jamais, de cause unique. Comme nous l’avons dit plus haut, ceux-ci s’inscrivent généra-
lement dans une séquence d’événements au sein d’un contexte situationnel complexe. Par conséquent,
l’analyse doit se pencher sur les combinaisons d’événements et de circonstances afin d’identifier les
séquences qui pourraient déboucher sur une mise en danger de la sécurité.
5-4 Manuel de gestion de la sécurité (MGS)

5.2.11 Pour que le système élaboré soit sûr et tolérant à l’erreur, il faut qu’il contienne des moyens de
défense multiples pour garantir que, dans la mesure du possible, aucune défaillance ou erreur ne puisse à
elle seule entraîner un accident et que, quand une défaillance ou une erreur survient, elle soit identifiée et
corrigée avant l’éventuelle apparition d’une séquence d’événements menant à un accident. Le besoin de
disposer d’un ensemble de défenses plutôt que d’une seule couche de défense découle de la possibilité que
les moyens de défense eux-mêmes ne fonctionnent pas toujours à la perfection. Cette philosophie de
conception est appelée « défenses en profondeur ».

5.2.12 Pour qu’un accident se produise dans un système bien conçu, il faut que des brèches
apparaissent dans chaque couche de défense du système au moment critique où les moyens de défense
auraient dû être capables de détecter l’erreur où la défaillance préalable. La Figure 5-1 illustre la manière
dont un accident doit pénétrer toutes les couches de défense.

5.3 CONCEPTS DE GESTION DE LA SÉCURITÉ

Pierres angulaires de la gestion de la sécurité

5.3.1 Sous sa forme la plus simple, la gestion de la sécurité se compose de l’identification des
dangers et du comblement des éventuelles brèches dans les défenses du système. Une gestion efficace de
la sécurité est multidisciplinaire et exige l’application systématique de diverses techniques et activités à tout
l’éventail des activités aéronautiques. Elle est fondée sur trois pierres angulaires déterminantes, à savoir :

a) Une approche d’entreprise globale de la sécurité. Celle-ci donne le ton en matière de gestion de la
sécurité. L’approche d’entreprise prolonge la culture de la sécurité de l’organisation et couvre les
politiques, buts et objectifs de sécurité de l’organisation et, surtout, l’engagement de la haute
direction à garantir la sécurité.

b) Des outils organisationnels efficaces afin d’appliquer les normes de sécurité. Il faut disposer d’outils
organisationnels efficaces afin de mettre en œuvre les activités et les processus nécessaires pour
améliorer la sécurité. Cette pierre angulaire concerne entre autres la façon dont l’organisation gère
ses affaires en vue de réaliser ses politiques, buts et objectifs de sécurité et la manière dont elle fixe
les normes et affecte les ressources. On se concentre principalement sur les dangers et leurs effets
potentiels sur les activités cruciales pour la sécurité.

c) Un système formel de supervision de la sécurité. Un tel système est nécessaire pour confirmer
que l’organisation satisfait en permanence à sa politique, à ses buts, objectifs et normes de l’entre-
prise relatifs à la sécurité. L’expression « supervision de la sécurité » couvre tout particulièrement
les activités menées par l’État dans le cadre de son programme de sécurité. Le concept de
« contrôle des performances en matière de sécurité », lui, est souvent utilisé pour décrire les
activités exécutées par un exploitant ou un fournisseur de services, en application de son système
de gestion de la sécurité (SGS).

5.3.2 Un examen plus détaillé de chacune de ces trois pierres angulaires figure à l’Appendice 1 de ce
chapitre.

Stratégies de gestion de la sécurité

5.3.3 La stratégie qu’adopte une organisation pour son SGS reflétera sa culture de la sécurité et peut
aller de la simple réaction aux seuls accidents à des mesures extrêmement proactives dans la recherche
Chapitre 5. Principes de base de la gestion de la sécurité 5-5

Ac
cid
en
t
Défenses en profondeur

Brèches ou
faiblesses dans
les moyens
de défense

Tr
aje
cto
ire
Figure 5-1. Défenses en profondeur

des problèmes de sécurité. Le processus traditionnel ou réactif est dominé par les réparations rétroactives
(c.-à-d. réparer la porte de l’étable après que le cheval s’est échappé). Avec l’approche plus moderne ou
proactive, ce sont les réformes proactives qui sont au premier plan (c.-à-d. construire une étable dont aucun
cheval ne pourra ni ne voudra s’échapper). En fonction de la stratégie adoptée, des méthodes et des outils
différents doivent être employés.

Stratégie réactive en matière de sécurité : enquêter sur les accidents et sur les incidents à signaler

5.3.4 Cette stratégie est utile pour les situations caractérisées par des défaillances technologiques ou
des événements inhabituels. L’intérêt de l’approche réactive pour la gestion de la sécurité dépend de la
mesure dans laquelle l’enquête dépasse la détermination des causes pour examiner tous les facteurs
contributifs. L’approche réactive a tendance à se distinguer par les caractéristiques suivantes :

a) en matière de sécurité, la direction privilégie le respect des exigences minimales ;

b) l’évaluation de la sécurité se base sur des accidents et des incidents à signaler dans les limites
suivantes :

1) toute analyse est restreinte à l’examen des défaillances réelles ;

2) les données disponibles pour déterminer précisément les tendances sont insuffisantes, surtout
celles qui sont imputables aux erreurs humaines ;

3) les causes profondes et les conditions latentes dangereuses, qui facilitent l’erreur humaine, sont
méconnues.
5-6 Manuel de gestion de la sécurité (MGS)

c) un « rattrapage permanent » est nécessaire pour s’adapter à l’inventivité humaine quant aux nouveaux
types d’erreurs.

Stratégie proactive en matière de sécurité : recherche agressive d’informations auprès de diverses


sources pouvant indiquer l’émergence de problèmes de sécurité

5.3.5 Les organisations appliquant une stratégie proactive de gestion de la sécurité pensent qu’il est
possible de réduire au minimum le risque d’accidents en identifiant les faiblesses avant une défaillance et en
arrêtant les mesures nécessaires pour réduire ce risque. Par conséquent, elles s’emploient à détecter les
conditions dangereuses systémiques grâce à des outils comme :

a) des systèmes de comptes rendus des dangers et des incidents favorisant l’identification des
conditions dangereuses latentes ;

b) des enquêtes de sécurité pour susciter un retour d’informations de la part du personnel de première
ligne sur les causes de doléances et les conditions insatisfaisantes recelant un potentiel d’accident ;

c) une analyse de l’enregistreur de données de vol pour identifier les dépassements opérationnels et
confirmer les procédures d’exploitation normales ;

d) des inspections ou des audits opérationnels portant sur tous les aspects de l’exploitation, afin
d’identifier les domaines vulnérables avant que des accidents, des incidents ou des événements de
sécurité mineurs confirment l’existence d’un problème ;

e) une politique de prise en compte et de concrétisation des bulletins de service des constructeurs.

Activités principales de gestion de la sécurité

5.3.6 Les organisations qui réussissent le mieux à gérer la sécurité se distinguent par la mise en
œuvre de plusieurs activités. Certaines de ces activités spécifiques sont exposées ci-dessous :

a) Organisation. Elles font en sorte d’instaurer une culture de la sécurité et de réduire leurs pertes
accidentelles. Elles disposent normalement d’un SGS officiel tel que décrit aux Chapitres 12 à 15.

b) Évaluations de la sécurité. Elles analysent systématiquement les changements de matériel ou de


procédures proposés afin d’identifier et d’atténuer les faiblesses avant que les changements ne
soient effectués.

c) Comptes rendus d’événements liés à la sécurité. Elles ont instauré des procédures officielles
pour rendre compte des événements liés à la sécurité et des autres conditions dangereuses.

d) Mécanismes d’identification des dangers. Elles emploient des mécanismes à la fois réactifs et
proactifs d’identification des dangers pour la sécurité dans toute leur structure, comme des comptes
rendus volontaires d’incidents, des enquêtes sur la sécurité, des audits de sécurité des opérations
aériennes et des évaluations de la sécurité. Les Chapitres 16 et 17 exposent divers processus de
sécurité efficaces pour identifier des dangers pour la sécurité, par ex. l’analyse des données de vol
(FDA), les audits de sécurité en service de ligne (LOSA) et les enquêtes de sécurité sur les
opérations normales (NOSS).

e) Enquête et analyse. Elles assurent le suivi des comptes rendus d’événements liés à la sécurité et
de conditions dangereuses, si nécessaire en initiant des enquêtes de sécurité et des analyses de
sécurité réalisées par du personnel compétent.
Chapitre 5. Principes de base de la gestion de la sécurité 5-7

f) Contrôle des performances. Elles cherchent activement à obtenir un retour d’informations pour
boucler la boucle de la gestion de la sécurité en employant des techniques telles que le contrôle des
tendances et les audits internes de sécurité.

g) Promotion de la sécurité. Elles diffusent activement les résultats des enquêtes et des analyses de
sécurité, partageant ainsi les leçons tirées tant à l’intérieur de l’organisation qu’à l’extérieur si cela
se justifie.

h) Supervision de la sécurité. L’État (autorité de réglementation) et l’organisation réglementée


disposent tous deux de systèmes de contrôle et d’évaluation des performances en matière de sécurité.

Toutes ces activités sont décrites de façon plus détaillée ailleurs dans ce manuel.

Processus de gestion de la sécurité

5.3.7 D’un point de vue conceptuel, le processus de gestion de la sécurité coïncide avec le cycle de la
sécurité décrit à la Figure 4-6. Dans les deux cas, il s’agit d’un processus en boucle, comme le représente la
Figure 5-2.

5.3.8 La gestion de la sécurité est basée sur les faits puisqu’elle requiert l’analyse des données pour
identifier les dangers. Lors de l’utilisation de techniques d’évaluation des risques, des priorités sont établies
afin de réduire les conséquences potentielles de ces dangers. Des stratégies destinées à réduire ou à
éliminer les dangers sont ensuite élaborées et mises en œuvre avec des responsabilités clairement établies.
La situation est réévaluée en permanence et des mesures supplémentaires sont appliquées le cas échéant.

5.3.9 Les étapes du processus de gestion de la sécurité exposées à la Figure 5-2 sont brièvement
décrites ci-dessous :

a) Collecter les données. La première étape du processus de gestion de la sécurité est l’acquisition
de données pertinentes en matière de sécurité, c’est-à-dire des éléments nécessaires pour déter-
miner les performances en matière de sécurité ou identifier les conditions dangereuses latentes
(dangers pour la sécurité). Ces données peuvent être tirées de n’importe quelle composante du
système : le matériel utilisé, les personnes participant aux opérations, les procédures de travail, les
interactions homme/matériel/procédures, etc.

b) Analyser les données. L’analyse de toutes les informations pertinentes permet d’identifier les
dangers pour la sécurité. Les conditions dans lesquelles les dangers présentent de véritables
risques, leurs conséquences potentielles et la probabilité d’un événement lié à la sécurité peuvent
être déterminés. Il s’agit, en d’autres termes, de répondre aux questions : Que peut-il se passer ?
Comment ? Et quand ? Cette analyse peut être à la fois qualitative et quantitative.

c) Classer les conditions dangereuses par ordre de priorité. Un processus d’évaluation du risque
détermine la gravité de ces dangers. Des mesures de sécurité sont envisagées pour les dangers
posant les plus gros risques. Ceci peut nécessiter une analyse coûts-avantages.

d) Élaborer des stratégies. En commençant par les risques dont la priorité est la plus élevée, on peut
réfléchir à diverses options de gestion des risques, par ex. :

1) Répartir la prise de risques sur une palette d’individus aussi large que possible. (Telle est la
base de l’assurance.)
5-8 Manuel de gestion de la sécurité (MGS)

Collecter les données

Collecter des données


Réévaluer la situation supplémentaires Analyser les données

Classer les conditions


Mettre en œuvre Processus dangereuses par
les stratégies de gestion ordre de priorité
de la sécurité

Attribuer
les responsabilités Élaborer des stratégies

Approuver les stratégies

Figure 5-2. Processus de gestion de la sécurité

2) Éliminer entièrement le risque (éventuellement en cessant l’opération ou la pratique).

3) Accepter le risque et poursuivre les opérations sans rien changer.

4) Atténuer le risque en mettant en œuvre des mesures de réduction du risque ou au moins


faciliter la prise en charge du risque.

En sélectionnant une stratégie de gestion des risques, il faut s’assurer que l’on évite d’introduire de
nouveaux risques entraînant un niveau de sécurité inacceptable.

e) Adopter des stratégies. Après avoir analysé les risques et décidé d’un plan d’action approprié,
l’accord de la direction est nécessaire pour aller de l’avant. À ce stade, la difficulté réside dans la
formulation d’arguments convaincants pour justifier des changements (parfois coûteux).

f) Attribuer les responsabilités et mettre en œuvre les stratégies. Suite à la décision de mettre les
choses en route, il faut arrêter les détails pratiques. Il s’agit entre autres de fixer la répartition des
ressources, de répartir les responsabilités, de déterminer le calendrier, de revoir les procédures
d’exploitation, etc.

g) Réévaluer la situation. La réussite de la mise en œuvre est rarement à la hauteur des prévisions. Un
retour d’informations est requis pour boucler la boucle. Quels nouveaux problèmes ont éventuellement
Chapitre 5. Principes de base de la gestion de la sécurité 5-9

été introduits ? Dans quelle mesure la stratégie convenue pour réduire les risques répond-elle aux
attentes en termes de performance ? Quelles modifications du système ou du processus peuvent
s’avérer nécessaires ?

h) Collecter des données supplémentaires. En fonction des résultats de la réévaluation, il faudra


peut-être obtenir de nouvelles informations et recommencer tout le cycle afin de peaufiner l’action
en matière de sécurité.

5.3.10 La gestion de la sécurité requiert des compétences analytiques qui peuvent ne pas être
exercées habituellement par la direction. Plus l’analyse est complexe, plus il est important d’utiliser les outils
analytiques les plus adaptés. Le processus en boucle de la gestion de la sécurité exige également un retour
d’informations pour garantir que les dirigeants puissent tester la validité de leurs décisions et évaluer
l’efficacité de la mise en œuvre de celles-ci. (Le Chapitre 9 fournit des indications en matière d’analyse de la
sécurité.)

Supervision de la sécurité

5.3.11 Comme mentionné au § 5.3.1 c), l’expression « supervision de la sécurité » fait référence aux
activités d’un État relevant de son programme de sécurité, alors que le contrôle des performances de
sécurité renvoie aux activités d’un exploitant ou d’un fournisseur de services dans le cadre de son SGS.

5.3.12 En matière de sécurité, les activités de supervision ou de contrôle des performances consti-
tuent un élément essentiel de la stratégie de gestion de la sécurité d’une organisation. La supervision de la
sécurité donne à un État les moyens de vérifier dans quelle mesure l’industrie aéronautique atteint ses
objectifs de sécurité.

5.3.13 Une partie des exigences s’appliquant à un système de contrôle des performances de sécurité
sont déjà respectées dans de nombreuses organisations. Par exemple, les États disposent normalement
d’une réglementation relative à l’obligation de rendre compte des accidents et des incidents.

5.3.14 L’identification des faiblesses des défenses du système exige plus que la simple collecte de
données rétrospectives et l’élaboration de statistiques sommaires. Les causes sous-jacentes des événe-
ments signalés peuvent ne pas sauter immédiatement aux yeux. Les enquêtes sur les comptes rendus
d’événements liés à la sécurité ou sur toute autre information concernant d’éventuels dangers devraient
donc aller de pair avec le contrôle des performances de sécurité.

5.3.15 La mise en œuvre d’un programme efficace de supervision de la sécurité requiert que l’État et
les organisations :

a) déterminent des indicateurs de performances de sécurité pertinents (voir les § 5.3.17 à 5.3.21) ;

b) établissent un système de comptes rendus d’événements liés à la sécurité ;

c) mettent en place un système d’enquête sur ces mêmes événements ;

d) élaborent des procédures d’intégration des données de sécurité provenant de toutes les sources
disponibles ;

e) mettent au point des procédures d’analyse des données et de rédaction de rapports périodiques sur
les performances de sécurité.
5-10 Manuel de gestion de la sécurité (MGS)

5.3.16 Le Chapitre 10 fournit des indications sur la fonction de supervision de la sécurité.

Indicateurs et objectifs de performance de sécurité

5.3.17 Comme décrit aux § 5.3.7 à 5.3.10, le processus de gestion de la sécurité est une boucle
fermée. Il requiert un retour d’informations qui permettra d’établir une base d’évaluation des performances
du système afin que les ajustements nécessaires puissent être réalisés pour atteindre les niveaux de
sécurité souhaités. À cette fin, il convient de bien comprendre la manière dont les résultats doivent être
évalués. Par exemple, quels seront les indicateurs quantitatifs ou qualitatifs utilisés pour déterminer si le
système fonctionne ? Après avoir décidé des facteurs à l’aune desquels la réussite du système peut être
mesurée, il faut fixer des buts et des objectifs de sécurité spécifiques. Aux fins du présent manuel, la
terminologie suivante est utilisée :

• Indicateur de performance de sécurité. Mesure (ou paramètre) employée pour exprimer le niveau
des performances de sécurité obtenues par un système.

• Objectif de performance de sécurité. Niveau de performance de sécurité requis pour un système.


Un objectif de performance de sécurité comporte un ou plusieurs indicateurs de performance de
sécurité ainsi que les résultats souhaités, exprimés en fonction de ces indicateurs.

5.3.18 Une distinction doit être faite entre les critères utilisés pour évaluer la performance de sécurité
opérationnelle par le biais de contrôles et les critères employés pour évaluer les nouveaux systèmes ou les
nouvelles procédures planifiés. Le processus requis pour ce deuxième cas de figure est connu sous le nom
d’évaluations de la sécurité (voir le Chapitre 13).

Indicateurs de performance de sécurité

5.3.19 Pour fixer des objectifs de performance de sécurité, il faut d’abord décider d’indicateurs de
performance de sécurité appropriés. Ces indicateurs sont généralement exprimés en termes de fréquence
d’un événement causant des dommages. Des mesures typiques pourraient être, par ex. :

a) le nombre d’accidents d’avion par 100 000 heures de vol ;

b) le nombre d’accidents d’avion par 10 000 mouvements ;

c) le nombre d’accidents d’avion mortels par an ;

d) le nombre d’incidents graves par 10 000 heures de vol.

5.3.20 Il n’existe pas d’indicateur de performance de sécurité qui convienne à lui seul à tous les cas
de figure. L’indicateur choisi pour exprimer un objectif de performance de sécurité doit être adapté à
l’application qui lui est réservée, afin qu’il soit possible de réaliser une évaluation sérieuse de la sécurité
selon les mêmes critères que ceux utilisés pour la fixation de l’objectif de performance de sécurité.

5.3.21 En général, les indicateurs de performance de sécurité retenus pour exprimer des objectifs
mondiaux, régionaux et nationaux ne sont pas appropriés pour être appliqués à des organisations
spécifiques. Dans la mesure où les accidents sont des événements relativement rares, ils ne donnent pas
une idée fidèle de la performance de sécurité, surtout au niveau local. Même à l’échelle mondiale, les taux
d’accidents varient considérablement d’une année à l’autre. Une hausse ou une baisse des accidents d’une
année à l’autre n’est pas forcément le reflet d’un changement du niveau sous-jacent de sécurité.
Chapitre 5. Principes de base de la gestion de la sécurité 5-11

Objectifs de performance de sécurité

5.3.22 Après avoir déterminé des indicateurs de sécurité appropriés, il faut décider de ce qui constitue
un résultat ou un objectif acceptable. Par exemple, l’OACI a fixé des objectifs mondiaux de performance de
sécurité dans son plan pour la sécurité de l’aviation dans le monde (GASP). Il s’agit de :

a) réduire le nombre d’accidents mortels ou non à l’échelle mondiale quel que soit le volume du trafic
aérien ;

b) diminuer de façon significative les taux d’accidents, surtout dans les régions où ils restent élevés.

5.3.23 Le résultat visé peut être exprimé en termes absolus ou relatifs. Les objectifs mondiaux de
l’OACI sont des exemples d’objectifs relatifs. Un objectif relatif pourrait également prévoir un pourcentage
souhaité de réduction des accidents ou de certains types d’événements, et ce dans un délai défini. Par
exemple, dans le cadre du programme de sécurité d’un État, une autorité de supervision réglementaire peut
établir qu’un niveau de sécurité acceptable sera atteint en spécifiant les objectifs de performance suivants :

a) pour les exploitants aériens : moins de 0,2 accident mortel par 100 000 heures. Un autre objectif peut
être la réduction de 30 % du nombre d’avertissements EGPWS au cours des 12 prochains mois ;

b) pour les organisations de maintenance des aéronefs : moins de 200 défectuosités majeures par
100 000 heures de vol :

c) pour les exploitants d’aérodromes : moins de 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs ;

d) pour les fournisseurs de services ATS : moins de 40 incidents aériens par 100 000 vols.

Dans chaque branche de l’industrie, en matière de sécurité, différentes exigences seront utilisées pour
atteindre les performances requises, telles que mesurées par les indicateurs.

5.3.24 Les graphiques des Figures 5-3 à 5-5 peuvent contribuer à expliquer la relation entre les
indicateurs de performance de sécurité et les objectifs de performance de sécurité. La Figure 5-3 illustre le
taux d’incidents aériens (indicateurs de sécurité) de deux catégories d’aéronefs sur une période définie.
Aucun objectif n’est fixé dans ce graphique mais celui-ci indique une légère diminution des deux taux sur la
période concernée.

5.3.25 Le graphique de la Figure 5-4 pourrait présenter le nombre d’impacts d’oiseau (ou tout autre
paramètre) au cours d’une période définie. Il affiche une tendance. Dans ce cas, la tendance et le chiffre
final sont restés en-dessous de la limite établie, ce qui correspond à une situation souhaitable.

5.3.26 Le graphique de la Figure 5-5 est semblable à celui de la Figure 5-4 à la différence près que la
tendance se situe au-dessus de la limite établie, ce qui correspond à une situation indésirable. Pire, ce
graphique indique qu’au cours des derniers trimestres, la tendance à la baisse s’est inversée et est
désormais à la hausse. En fonction de la période contrôlée, cela pourrait avoir comme résultat de rendre
l’indicateur de performance de sécurité considérablement plus mauvais que l’objectif de sécurité visé.
5-12 Manuel de gestion de la sécurité (MGS)

60

50
100 000 heures de vol
Incidents aériens par

40

30

20

10

0
02/2 02/3 02/4 03/1 03/2 03/3 03/4 04/1 04/2 04/3 04/4 05/1
Trimestre

Figure 5-3. Taux d’incidents aériens (indicateurs de sécurité)


Moyenne mobile sur 12 mois

20

15

Limite établie
11,0
10 Tendance
4
3

0
00/3 01/1 01/3 02/1 02/3 03/1 03/3 04/1 04/3 05/1

Trimestre

Figure 5-4. Taux d’événements correspondant à une tendance


évoluant en-dessous de la limite établie — une situation souhaitable
Chapitre 5. Principes de base de la gestion de la sécurité 5-13

100

80

60
Tendance
récente
40
Tendance

Limite établie
20
25,0

0
00/3 01/1 01/3 02/1 02/3 03/1 03/3 04/1 04/3 05/1
Trimestre

Figure 5-5. Taux d’événements correspondant à une tendance récente évoluant


au-dessus de la limite établie — une situation indésirable

————————
Appendice 1 au Chapitre 5

TROIS PIERRES ANGULAIRES DE LA GESTION


DE LA SÉCURITÉ

1. Une gestion efficace de la sécurité comporte trois pierres angulaires. Celles-ci sont décrites
ci-dessous, de même que leurs caractéristiques :

a) Une approche d’entreprise globale en matière de sécurité — Elle prévoit notamment :

1) que la responsabilité ultime de la sécurité dans l’entreprise incombe au conseil d’administration


et au directeur général (CEO), ce qui montre l’engagement de l’entreprise envers la sécurité pris
aux plus hauts niveaux de l’organisation ;

2) une philosophie de la sécurité clairement formulée, accompagnée de politiques d’entreprise,


dont une politique non punitive pour les questions disciplinaires ;

3) des objectifs de l’entreprise relatifs à la sécurité, assortis d’un plan de gestion pour atteindre ces
objectifs ;

4) des rôles et des responsabilités bien définis, assortis d’obligations redditionnelles spécifiques en
matière de sécurité, publiées et disponibles pour tous les membres du personnel concernés par
la sécurité ;

5) l’obligation d’avoir un directeur de la sécurité indépendant ;

6) des preuves tangibles d’une culture positive de la sécurité dans toute l’organisation ;

7) un engagement à appliquer un processus de supervision de la sécurité qui soit indépendant des


cadres hiérarchiques ;

8) un système de documentation sur les politiques, principes, procédures et pratiques commerciaux


ayant des incidences sur la sécurité ;

9) un examen régulier des projets d’amélioration de la sécurité ;

10) des processus officiels d’examen de la sécurité.

b) Des outils organisationnels efficaces pour appliquer les normes de sécurité, notamment :

1) une affectation des ressources basée sur les risques ;

2) une sélection, un recrutement, un perfectionnement et une formation efficaces du personnel ;

3) une mise en œuvre des SOP élaborées en coopération avec le personnel concerné ;

5-APP 1-1
5-APP 1-2 Manuel de gestion de la sécurité (MGS)

4) la définition par l’entreprise des compétences spécifiques (et des critères de formation à la
sécurité) pour tous les membres du personnel ayant des tâches liées à la performance en
matière de sécurité ;

5) des normes définies et des audits pour l’achat de biens et les marchés de services ;

6) des contrôles destinés à permettre une détection précoce de toute détérioration des perfor-
mances du matériel, des systèmes et des services importants pour la sécurité et à assurer la
prise de mesures correctrices ;

7) des contrôles pour vérifier et enregistrer les normes de sécurité générales de l’organisation ;

8) la mise en œuvre de processus appropriés d’identification des dangers, d’évaluation des risques
et de gestion efficace des ressources afin de maîtriser les risques identifiés ;

9) des mesures de gestion des changements importants dans des domaines tels que l’introduction
de matériel, procédures ou types d’opérations nouveaux, la rotation de membres du personnel
occupant des postes clés, des licenciements collectifs ou une expansion rapide, des fusions et
des acquisitions ;

10) des accords permettant au personnel de communiquer d’importants problèmes de sécurité


au niveau de gestion approprié afin d’obtenir une résolution du problème ainsi qu’un retour
d’informations sur les mesures prises ;

11) une planification des interventions d’urgence et des exercices de simulation pour tester l’effica-
cité de cette planification ;

12) une évaluation des politiques commerciales du point de vue de leur incidence sur la sécurité.

c) Un système officiel de supervision de la sécurité — Il comporte entre autres comme éléments :

1) un système d’analyse des données de l’enregistreur de bord en vue de contrôler les opérations
de vols et de détecter les événements liés à la sécurité n’ayant pas fait l’objet d’un compte
rendu ;

2) un système à l’échelle de l’organisation pour la saisie de comptes rendus sur des événements
liés à la sécurité ou sur des conditions dangereuses ;

3) un système planifié et global d’audit de sécurité, suffisamment souple pour se concentrer sur
des problèmes de sécurité spécifiques dès leur apparition ;

4) un système pour mener des enquêtes de sécurité internes, mettre en œuvre des actions
correctrices et diffuser des informations relatives à la sécurité à tous les membres du personnel
concernés ;

5) des systèmes d’utilisation efficace des données sur la sécurité à des fins d’analyse des
performances et de contrôle des changements de l’organisation dans le cadre du processus de
gestion des risques ;

6) un examen et une assimilation systématiques des meilleures pratiques issues des autres
opérations ;
Chapitre 5. Principes de base de la gestion de la sécurité — Appendice 1 5-APP 1-3

7) un examen périodique du maintien de l’efficacité du SGS par un organisme indépendant ;

8) un suivi par les cadres hiérarchiques du travail en cours dans toutes les activités cruciales pour
la sécurité en vue de confirmer le respect des exigences réglementaires, des normes et des
procédures de l’entreprise, avec une attention particulière aux usages locaux ;

9) un système global servant à documenter toutes les réglementations en matière de sécurité


aérienne en vigueur, les politiques d’entreprise, les objectifs de sécurité, les normes, les SOP,
les comptes rendus de sécurité, etc., et à rendre cette documentation facilement disponible pour
tous les membres du personnel concernés ;

10) des dispositions destinées à promouvoir la sécurité de manière continue sur la base de
l’évaluation des performances internes de sécurité.

2. Il est important que la portée du SGS soit adaptée à la taille et à la complexité de la compagnie. De
grandes compagnies requerront un SGS plus complexe alors qu’un SGS plus sommaire devrait très bien
convenir à des compagnies plus petites, aux structures moins complexes.
Page blanche
Chapitre 6

GESTION DES RISQUES

La gestion des risques sert à concentrer les efforts de sécurité


sur les dangers présentant les plus gros risques.

6.1 GÉNÉRALITÉS

6.1.1 L’industrie aéronautique est quotidiennement confrontée à une multitude de risques, dont beaucoup
sont susceptibles de compromettre la viabilité d’un exploitant, certains représentant même une menace pour
toute l’industrie. En fait, le risque est un sous-produit de l’exploitation. Tous les risques ne peuvent pas être
éliminés et toutes les mesures imaginables d’atténuation des risques ne sont pas financièrement réalisables.
Les risques et coûts inhérents à l’aviation exigent un processus décisionnel rationnel. Tous les jours, il faut
prendre des décisions en temps réel, en mettant en balance, d’une part, la probabilité et la gravité de toute
conséquence négative induite par le risque et, d’autre part, l’avantage que l’on espère tirer de la prise de ce
risque. Ce processus est connu sous le nom de « gestion des risques ». Aux fins du présent manuel, la
gestion des risques peut être définie comme suit :

• La gestion des risques est l’identification, l’analyse et l’élimination (et/ou l’atténuation jusqu’à un
niveau acceptable ou tolérable) des dangers, ainsi que des risques ultérieurs, qui menacent la viabilité
d’une organisation.

6.1.2 En d’autres termes, la gestion des risques facilite la recherche d’un équilibre entre risques évalués
et atténuation viable des risques. Elle fait partie intégrante de la gestion de la sécurité. Elle s’appuie sur un
processus logique d’analyse objective, surtout dans l’évaluation des risques.

6.1.3 Un aperçu du processus de gestion des risques est présenté dans l’organigramme de la
Figure 6-1. Comme le montre celle-ci, la gestion des risques se compose de trois éléments fondamentaux :
l’identification des dangers, l’évaluation des risques et l’atténuation des risques. Les concepts de la gestion
des risques s’appliquent de la même manière à la prise de décisions concernant les opérations aériennes,
le contrôle de la circulation aérienne, la maintenance, la gestion des aéroports et l’administration publique.

6.2 IDENTIFICATION DES DANGERS

6.2.1 Le concept d’identification des dangers a été introduit au Chapitre 5. Étant donné qu’un danger
peut concerner toute situation ou condition pouvant avoir des conséquences négatives, l’éventail des
dangers en aviation est vaste. Voici quelques exemples :

a) les facteurs conceptuels, y compris la conception du matériel et des tâches ;

6-1
6-2 Manuel de gestion de la sécurité (MGS)

IDENTIFICATION
Identifier les dangers pour le matériel, DES DANGERS
les biens, le personnel ou l’organisation

Évaluer la gravité des conséquences ÉVALUATION DU RISQUE


d’une concrétisation du danger Gravité / Criticité

ÉVALUATION DU RISQUE
Quelle est la probabilité qu’il se concrétise?
Probabilité de concrétisation

Le risque qui en résulte est-il acceptable et ÉVALUATION DU RISQUE


rentre-t-il dans les critères de performance Acceptabilité
de sécurité de l’organisation?

Oui Non

Prendre des mesures


Accepter le risque de réduction du risque ATTÉNUATION DU RISQUE
à un niveau acceptable

Figure 6-1. Processus de gestion des risques

b) les procédures et les pratiques d’exploitation, y compris leur documentation et listes de vérification,
ainsi que leur validation dans les conditions d’exploitation réelles ;

c) les communications, y compris le moyen, la terminologie et la langue ;

d) les facteurs relatifs au personnel, comme les politiques de la compagnie en matière de recrutement,
de formation et de rémunération ;

e) les facteurs organisationnels, tels que la compatibilité entre les objectifs de production et les
objectifs de sécurité, la répartition des ressources, les pressions opérationnelles et la culture de la
sécurité de l’entreprise ;

f) les facteurs relatifs à l’environnement de travail, comme le bruit ambiant et les vibrations, la
température, l’éclairage et la mise à disposition de matériel et de vêtements de protection ;

g) les facteurs concernant la supervision réglementaire, y compris l’applicabilité et la force exécutoire


des réglementations, la certification du matériel, du personnel et des procédures et le caractère
adéquat des audits de surveillance ;

h) les moyens de défense, y compris des facteurs tels que la mise à disposition de systèmes de
détection et d’alerte adéquats, la résistance du matériel à l’erreur et la mesure dans laquelle le
matériel est rendu plus résistant aux défaillances.
Chapitre 6. Gestion des risques 6-3

6.2.2 Comme nous l’avons vu aux Chapitres 4 et 5, les dangers peuvent être reconnus au travers de
véritables événements de sécurité (accidents ou incidents) ou via des processus proactifs d’identification
avant que ces dangers ne déclenchent un événement. Dans la pratique, tant les mesures réactives que les
processus proactifs constituent un moyen efficace d’identifier les dangers.

6.2.3 Les événements de sécurité sont la preuve flagrante de l’existence de problèmes dans le système
et sont donc une occasion de tirer de précieuses leçons en matière de sécurité. Ils devraient par conséquent
faire l’objet d’enquêtes afin d’identifier les dangers qui menacent le système. Ces enquêtes devraient porter
sur tous les facteurs intervenus dans l’événement, y compris les facteurs organisationnels et humains. Le
Chapitre 8 contient des conseils concernant les enquêtes sur les événements de sécurité. Plusieurs méthodes
proactives d’identification des dangers sont évoquées aux Chapitres 16 et 17.

6.2.4 Dans un système de gestion de la sécurité qui a déjà fait ses preuves, l’identification des dangers
devrait se faire à partir d’une multitude de sources dans le cadre d’un processus permanent. Toutefois, dans
la vie d’une organisation, il arrive qu’il soit justifié d’accorder une attention particulière à l’identification des
dangers. Les évaluations de la sécurité (traitées au Chapitre 13) offrent un processus structuré et systémique
d’identification des dangers quand :

a) on observe une augmentation inexpliquée des événements ou des infractions liées à la sécurité ;

b) de grands changements sont prévus en matière d’exploitation, y compris des changements relatifs
aux membres principaux du personnel ou à du matériel ou des systèmes importants ;

c) l’organisation subit une transformation importante, comme une croissance ou une contraction rapide ;

d) une fusion de sociétés, une acquisition ou une réduction des effectifs est planifiée.

6.3 ÉVALUATION DU RISQUE

6.3.1 Une fois que la présence d’un danger pour la sécurité est confirmée, il faut une certaine forme
d’analyse pour évaluer sa capacité à causer des lésions corporelles ou des dommages matériels. Généra-
lement, cette évaluation du danger comporte trois aspects :

a) la probabilité que le danger précipite un événement dangereux (c.-à-d. la probabilité de consé-


quences négatives si on laissait persister les conditions dangereuses sous-jacentes ) ;

b) la gravité des éventuelles conséquences négatives ou les effets d’un événement dangereux ;

c) le taux d’exposition aux dangers. La probabilité des conséquences négatives s’accroît avec
l’augmentation de l’exposition aux conditions dangereuses. L’exposition peut donc être considérée
comme une autre dimension de la probabilité. Toutefois, certaines méthodes de définition de la
probabilité peuvent aussi inclure l’élément d’exposition, par ex., un taux de 1 par 10 000 heures.

6.3.2 Le risque est le potentiel de conséquences négatives qui, selon les estimations, découlerait d’un
danger. C’est la probabilité que se concrétise la capacité du danger à causer des dommages.

6.3.3 L’évaluation du risque concerne tant la probabilité que la gravité des conséquences négatives ;
en d’autres termes, le potentiel de perte est déterminé. Lors de l’évaluation des risques, il est important de
faire la distinction entre les dangers (la capacité à causer des dommages) et le risque (la probabilité que ces
dommages se concrétisent dans un délai donné). Une matrice d’évaluation des risques (comme celle
6-4 Manuel de gestion de la sécurité (MGS)

présentée au Tableau 6-1) constitue un outil utile pour établir l’ordre de priorité des dangers auxquels il faut
être le plus attentif.

6.3.4 Il existe de nombreuses manières — certaines plus formelles que d’autres — d’aborder les
aspects analytiques de l’évaluation des risques. Pour certains risques, le nombre de variables et la
disponibilité de données pertinentes ainsi que de modèles mathématiques peuvent permettre de dégager
des résultats crédibles via des méthodes quantitatives (nécessitant l’analyse mathématique de données
spécifiques). Néanmoins, en aviation, peu de dangers se prêtent à une analyse crédible par les seules
méthodes numériques. Généralement, ces analyses sont complétées au niveau qualitatif par une analyse
critique et logique des faits connus et des rapports qui existent entre eux.

6.3.5 De nombreuses publications sont disponibles sur les différents types d’analyses utilisés dans
l’évaluation des risques. Des méthodes sophistiquées ne sont pas indispensables pour les évaluations des
risques évoquées dans le présent manuel. Une connaissance de base de quelques méthodes suffit.

6.3.6 Quelles que soient les méthodes utilisées, les risques peuvent être exprimés de plusieurs
manières, comme :

a) le nombre de morts, la perte de revenus ou de parts de marché (c.-à-d. des nombres absolus) ;

b) les taux de perte (par ex. le nombre de morts par 1 000 000 sièges-kilomètres parcourus) ;

c) la probabilité d’accidents graves (par ex. 1 tous les 50 ans) ;

d) la gravité des conséquences (par ex. la gravité des blessures) ;

e) le montant des pertes prévisibles estimé en dollars par rapport aux recettes annuelles d’exploitation
(par ex. 1 million de dollars US de pertes pour 200 millions de dollars US de recettes).

Définition du problème

6.3.7 Dans tout processus analytique, il faut tout d’abord définir le problème. Même lorsque l’on a
identifié un danger, il n’est pas toujours aisé de traduire ses caractéristiques en un problème à résoudre.
Des personnes aux origines et expériences diverses percevront probablement les mêmes éléments sous
des angles différents. Une situation présentant un risque significatif reflétera ces origines diverses,
exacerbées par les préjugés humains normaux. Ainsi, les problèmes auront tendance à être perçus par les
ingénieurs comme des défauts d’ingénierie, par les médecins comme des défauts médicaux, par les
psychologues comme des problèmes comportementaux, etc. L’anecdote relatée dans l’encadré ci-dessous
illustre les nombreuses facettes de la définition d’un problème.

L’accident de Charlie

Charlie se dispute avec sa femme et se rend au bar du coin où il boit plusieurs verres. Il
quitte le bar, monte dans sa voiture et démarre à vive allure. Quelques minutes plus tard, il
perd le contrôle de son véhicule sur l’autoroute et est mortellement blessé. Nous
connaissons la SÉQUENCE des événements. Nous devons maintenant en déterminer le
POURQUOI.
Chapitre 6. Gestion des risques 6-5

L’équipe d’enquêteurs est composée de six spécialistes ayant chacun un point de vue
complètement différent sur la carence de sécurité fondamentale.

Le sociologue identifie une rupture de la communication entre les conjoints. Un policier


chargé du contrôle de la vente d’alcool constate la vente illégale de deux boissons alcoolisées
pour le prix d’une. Le médecin légiste établit que la concentration d’alcool dans le sang de
Charlie dépassait la limite légale. L’ingénieur des autoroutes estime que les dévers et les
barrières de sécurité sont inadaptés à la vitesse autorisée. Un ingénieur en mécanique
automobile constate que la voiture de Charlie avait un pare-chocs mal fixé et des pneus
lisses. Le policier souligne que le véhicule roulait à une vitesse excessive étant donné les
conditions du moment.

Chacun de ces points de vue peut déboucher sur une définition différente du danger sous-
jacent.

6.3.8 Tous les facteurs cités dans cet exemple peuvent être valables, qu’ils soient pris individuel-
lement ou globalement, ce qui montre bien la complexité de la causalité. Cependant, la manière de définir le
problème de sécurité aura une incidence sur le type de mesure prise pour réduire ou éliminer les dangers.
Lors de l’évaluation des risques, toutes les possibilités valables doivent être évaluées et seules les plus
appropriées doivent être retenues.

Probabilité de conséquences négatives

6.3.9 Quelles que soient les méthodes analytiques utilisées, il faut évaluer la probabilité de lésions
corporelles ou de dommages matériels. Cette probabilité dépendra des réponses apportées à des questions
telles que :

a) Un tel événement s’est-il déjà produit ou s’agit-il d’un cas isolé ?

b) Quel autre matériel ou élément similaire pourrait présenter des défauts semblables ?

c) Combien de membres du personnel d’exploitation ou de maintenance suivent les procédures en


question ou y sont soumis ?

d) Pendant quel pourcentage du temps le matériel suspect ou la procédure douteuse sont-ils utilisés ?

e) Dans quelle mesure existe-t-il des conséquences au niveau de l’organisation, de la gestion ou de la


réglementation, pouvant refléter des menaces plus importantes pour la sécurité publique ?

6.3.10 À partir de ces questions, la probabilité qu’un événement se produise peut être évaluée
comme, par ex. :

a) Peu probable. Parmi les défaillances « peu probables », on trouve les événements isolés et les
risques où le taux d’exposition est très faible ou l’échantillon petit. La complexité des circonstances
nécessaires pour générer une situation d’accident peut être telle qu’il est peu probable que la même
suite d’événements se reproduise. Par ex., il est peu probable que des systèmes indépendants
connaissent une défaillance simultanée. Cependant, même si cette possibilité est très mince, les
conséquences de défaillances simultanées peuvent justifier un suivi.
6-6 Manuel de gestion de la sécurité (MGS)

Note.— On a naturellement tendance à attribuer des événements peu probables à une


« coïncidence ». La prudence est de mise. Alors qu’une coïncidence est statistiquement possible,
elle ne devrait pas être utilisée comme excuse pour justifier l’absence d’une analyse.

b) Possible. Des défaillances « possibles » découlent de dangers assortis d’une probabilité raison-
nable qu’il faille s’attendre à des modèles similaires de performance humaine dans des conditions
de travail semblables ou que les mêmes défauts du matériel existent ailleurs dans le système.

c) Probable. De tels événements reflètent un modèle (ou un modèle potentiel) de défaillances maté-
rielles n’ayant pas encore été rectifiées. Étant donné la conception ou la maintenance du matériel,
sa résistance dans des conditions d’exploitation connues, etc., une exploitation continue mènerait
certainement à une défaillance. De même, étant donné les preuves empiriques de certains aspects
des performances humaines, on peut s’attendre selon toute probabilité à ce que des personnes
normales travaillant dans des conditions similaires commettent les mêmes erreurs ou soient
susceptibles d’arriver au même résultat de performance indésirable.

Gravité des conséquences des événements

6.3.11 Après avoir déterminé la probabilité de l’événement, il faut évaluer la nature des conséquences
négatives si cet événement se réalisait. Ces conséquences potentielles déterminent le degré d’urgence lié à
la mesure de sécurité requise. S’il existe un risque considérable de conséquences catastrophiques ou si le
risque de blessures, de dommages matériels ou environnementaux graves est élevé, une mesure de suivi
urgente se justifie. L’évaluation de la gravité des conséquences d’un événement pourrait s’appuyer sur les
types de questions suivants :

a) Combien de vies sont menacées ? (Membres du personnel, passagers, passants et grand public.)

b) Quelle est l’ampleur probable des dommages matériels ou financiers ? (Perte directe de biens
pour l’exploitant, dommage à l’infrastructure aérienne, dommages collatéraux à des tiers, incidences
financières et impact économique pour l’État.)

c) Quelle est la probabilité d’un impact environnemental ? (Déversement de carburant ou d’autres


produits dangereux et perturbation physique de l’habitat naturel.)

d) Selon toute probabilité, quels seront les conséquences politiques et/ou l’intérêt des médias ?

Acceptabilité du risque

6.3.12 L’évaluation des risques permet de classer les risques par ordre d’importance par rapport à
d’autres dangers non résolus. Cette étape est cruciale pour décider de façon rationnelle comment répartir
des ressources limitées pour lutter contre les dangers présentant les plus gros risques pour l’organisation.

6.3.13 Établir un ordre de priorité des risques requiert une base rationnelle pour classer un risque par
rapport aux autres. Des critères ou des normes sont nécessaires pour définir ce qu’est un risque acceptable
et ce qu’est un risque inacceptable. En comparant la probabilité de conséquences indésirables à la gravité
potentielle de ces conséquences, il est possible de classer le risque dans une catégorie à l’intérieur d’une
matrice d’évaluation des risques. De nombreuses versions de ce type de matrices sont disponibles dans
des publications. Bien que la terminologie ou les définitions utilisées pour les diverses catégories puissent
varier, ces tableaux reflètent généralement les idées résumées au Tableau 6-1.
Chapitre 6. Gestion des risques 6-7

Tableau 6-1. Matrice d’évaluation des risques

GRAVITÉ DES CONSÉQUENCES PROBABILITÉ DE L’ÉVÉNEMENT

Définition
dans Définition
l’aviation Signification Valeur qualitative Signification Valeur

Catastrophique Matériel détruit. 5 Fréquente Se produira 5


Nombreux morts. probablement
souvent

Dangereuse Forte réduction des 4 Occasionnelle Se produira 4


marges de sécurité, probablement de
souffrance physique temps en temps
ou charge de travail
telle qu’on ne peut
plus être sûr que les
opérateurs fourniront
un travail précis ni
complet. Blessures
graves ou décès de
plusieurs personnes.
Importants dégâts
matériels.

Majeure Forte réduction des 3 Faible Peu probable, mais 3


marges de sécurité, possible
perte de capacité des
opérateurs à faire
face à des conditions
d’exploitation
négatives suite à une
augmentation de la
charge de travail en
raison de conditions
limitant leur efficacité.
Incident grave.
Personnes blessées.

Mineure Désagrément. 2 Improbable Très peu probable 2


Limitation de
l’exploitation.
Recours à des
procédures
d’urgence. Incident
mineur.

Négligeable Peu de 1 Extrêmement Presque impensable 1


conséquences improbable que l’événement se
produise
6-8 Manuel de gestion de la sécurité (MGS)

6.3.14 Dans cette version de matrice d’évaluation des risques :

a) La gravité du risque est déclinée en catastrophique, dangereuse, majeure, mineure ou négligeable,


avec chaque fois une description de la gravité potentielle des conséquences. Comme mentionné au
§ 6.3.13, on peut utiliser d’autres définitions reflétant la nature de l’opération analysée.

b) La probabilité d’un événement est également ventilée en cinq niveaux de définitions qualitatives, et
des descriptions sont fournies pour chaque degré de probabilité.

c) Des valeurs numériques peuvent être attribuées pour pondérer l’importance relative de chaque
niveau de gravité et de probabilité. On peut alors déduire une évaluation composite des risques afin
de faciliter leur comparaison en multipliant les valeurs de gravité et de probabilité.

6.3.15 Après avoir utilisé une matrice des risques pour attribuer des valeurs aux risques, il est possible
de donner plusieurs valeurs pour classer les risques comme acceptables, indésirables et inacceptables. Ces
termes sont expliqués ci-dessous :

• Acceptable signifie qu’aucune mesure ne doit être prise (à moins que le risque puisse être réduit
davantage à peu de frais ou avec peu d’efforts).

• Indésirable (ou tolérable) signifie que les personnes concernées sont prêtes à vivre avec ce risque
afin de jouir de certains avantages, à condition que le risque soit atténué le plus possible.

• Inacceptable signifie qu’étant donné les circonstances présentes, l’exploitation doit cesser jusqu’à
ce que le risque soit ramené au moins au niveau tolérable.

6.3.16 Dans une approche moins numérique de détermination de l’acceptabilité de certains risques,
on examine notamment les facteurs suivants :

a) La gestion. Le risque correspond-t-il à la politique et aux normes de l’entreprise en matière de sécurité ?

b) Les implications financières. La nature du risque fait-elle échec à tout mode de résolution rentable ?

c) L’aspect juridique. Le risque est-il conforme aux normes réglementaires en vigueur et aux moyens
d’exécution ?

d) L’aspect culturel. Comment le personnel de l’organisation et d’autres parties prenantes percevra-t-il


ce risque ?

e) Le marché. La compétitivité et le bien-être de l’organisation vis-à-vis d’autres organisations seront-ils


compromis si le risque n’est ni réduit ni éliminé ?

f) L’aspect politique. Y aura-t-il un prix politique à payer si le risque n’est ni réduit ni éliminé ?

g) L’opinion publique. Quelle sera l’influence des médias ou de groupements d’intérêts sur l’opinion
publique concernant ce risque ?

6.4 ATTÉNUATION DU RISQUE

6.4.1 En matière de risque, la sécurité absolue n’existe pas. Les risques doivent être ramenés au
niveau « le plus faible que l’on puisse raisonnablement atteindre » (ALARP). Cela signifie qu’il faut faire la
part des choses entre, d’un côté, le risque et, d’un autre côté, le temps, le coût et la difficulté liés à l’adoption
de mesures visant à réduire ou éliminer le risque.
Chapitre 6. Gestion des risques 6-9

6.4.2 Lorsque le risque a été jugé indésirable ou inacceptable, des mesures de contrôle doivent être
prises : l’urgence sera à la mesure de l’ampleur du risque. Le niveau de risque peut être diminué en réduisant
la gravité des conséquences potentielles, en limitant la probabilité d’un événement ou l’exposition à ce risque.

6.4.3 La solution optimale dépendra des circonstances et des exigences locales. Pour élaborer une
mesure de sécurité adéquate, il faut comprendre la pertinence des moyens de défense existants.

Analyse des moyens de défense

6.4.4 Les moyens de défense mis en place pour protéger les personnes, les biens ou l’environnement
constituent un élément important de tout système de sécurité. Ces moyens de défense peuvent être utilisés
pour :

a) réduire la probabilité d’événements non désirés ;

b) réduire la gravité des conséquences liées à tout événement non désiré.

6.4.5 Les moyens de défense peuvent être classés en deux catégories, à savoir :

a) Les moyens de défense physiques. Ceux-ci recouvrent entre autres des objets qui découragent
ou empêchent un acte inapproprié ou encore atténuent les conséquences des événements (par ex.
des contacteurs d’interdiction de rentrée du train au sol, des cache-interrupteurs, des cloisons pare-feu,
du matériel de survie, des avertissements et des alarmes).

b) Les moyens de défense administratifs. Il s’agit notamment des procédures et des pratiques
atténuant la probabilité d’un accident (par ex., la réglementation en matière de sécurité, les SOP, la
supervision et l’inspection ainsi que les compétences personnelles).

6.4.6 Avant de choisir des stratégies appropriées d’atténuation des risques, il est important de
comprendre pourquoi le système de défense existant était inadapté. À cette fin, il peut être intéressant de se
poser la série de questions que voici :

a) Existait-il des moyens de défense contre de tels dangers ?

b) Ont-ils fonctionné comme prévu ?

c) Étaient-ils faciles à utiliser dans les conditions de travail réelles ?

d) Le personnel concerné était-il conscient des risques et des moyens de défense existants ?

e) Faut-il davantage de mesures d’atténuation des risques ?

Stratégies d’atténuation du risque

6.4.7 En matière d’atténuation du risque, il existe un éventail de stratégies disponibles. Par ex. :

a) Éviter l’exposition. Les tâches, pratiques, opérations ou activités présentant un risque sont évitées
parce que ce risque dépasse les avantages.

b) Réduire les pertes. Des mesures sont prises pour réduire la fréquence des événements dangereux
ou l’ampleur de leurs conséquences.
6-10 Manuel de gestion de la sécurité (MGS)

c) Isoler l’exposition (séparation ou duplication). Des mesures sont prises pour isoler les effets du
risque ou instaurer une redondance afin de se protéger contre les risques, c.-à-d. de réduire la gravité
de ceux-ci (par ex., se prémunir contre les dommages collatéraux en cas de défaillance du matériel
ou prévoir des systèmes de secours visant à réduire la probabilité d’une défaillance totale du
système).

Recherche d’idées

6.4.8 Il n’est pas simple de trouver les idées nécessaires à l’élaboration de mesures appropriées
d’atténuation des risques. Cela requiert souvent de la créativité, de l’ingéniosité et, surtout, une ouverture
d’esprit permettant d’envisager toutes les solutions possibles. La réflexion de ceux qui sont les plus proches
du problème (habituellement ceux qui ont la plus grande expérience) est souvent teintée d’habitudes et de
préjugés naturels. Une large participation, avec des représentants des différentes parties concernées, aide
à vaincre des attitudes rigides. Pour résoudre efficacement les problèmes dans un monde complexe, il est
essentiel d’être innovant. Il faudrait soigneusement peser le pour et le contre de toutes les nouvelles idées
avant de les rejeter.

Évaluer les options d’atténuation du risque

6.4.9 L’évaluation des options d’atténuation des risques montre qu’elles n’ont pas toutes le même
potentiel de réduction des risques. Il faut évaluer l’efficacité de chaque option avant de pouvoir prendre une
décision. Pour trouver une solution optimale, il est important de prendre en considération tout l’éventail des
mesures de contrôle possibles et d’envisager des compromis entre différentes mesures. Chaque option
d’atténuation des risques devrait être examinée sous les angles suivants :

a) Efficacité. Va-t-elle réduire ou éliminer les risques identifiés ? Jusqu’à quel point les autres options
atténuent-elles les risques ? L’efficacité peut être considérée comme se situant dans une réalité à
divers degrés, ces degrés étant :

1) le niveau un (mesures d’ingénierie) : la mesure de sécurité élimine le risque, par ex. en


prévoyant des dispositifs de verrouillage pour empêcher l’activation de l’inverseur de poussée
en vol ;

2) le niveau deux (mesures de contrôle) : la mesure de sécurité accepte le risque mais modifie le
système pour l’atténuer en le réduisant à un niveau gérable, par ex. en imposant des conditions
d’exploitation plus restrictives ;

3) le niveau trois (mesures relatives au personnel) : la mesure de sécurité adoptée accepte que le
danger ne puisse être ni éliminé (niveau un) ni contrôlé (niveau deux), de telle sorte qu’il faut
apprendre au personnel comment y faire face, notamment en ajoutant un avertissement, une
liste de vérification révisée ou une formation supplémentaire ;

b) Coûts/avantages. Les avantages que semble présenter l’option l’emportent-ils sur son coût ? Les
bénéfices potentiels seront-ils proportionnels aux incidences du changement requis ?

c) Faisabilité. Est-ce faisable et approprié technologiquement, financièrement et administrativement


ainsi que du point de vue de la législation et des réglementations en vigueur, de la volonté politique,
etc. ?

d) Mise en question. La mesure d’atténuation du risque peut-elle résister à l’examen critique de


toutes les personnes concernées (personnel, direction, actionnaires/pouvoirs publics, etc.) ?
Chapitre 6. Gestion des risques 6-11

e) Acceptabilité pour chaque partie concernée. Quel degré d’acceptation (ou de résistance) peut être
attendu de la part des parties concernées ? (Des discussions avec celles-ci au cours de la phase
d’évaluation des risques peuvent indiquer quelle est leur option préférée d’atténuation des risques.)

f) Caractère exécutoire. Si de nouvelles règles (SOP, règlements, etc.) sont appliquées, ont-elles un
caractère exécutoire ?

g) Durabilité. La mesure résistera-t-elle à l’épreuve du temps ? Sera-t-elle bénéfique temporairement


ou aura-t-elle une utilité à long terme ?

h) Risques résiduels. Après la mise en œuvre de la mesure d’atténuation des risques, quels seront
les risques résiduels associés au danger initial ? Quelle est la capacité d’atténuer tout risque résiduel ?

i) Nouveaux problèmes. Quels nouveaux problèmes ou nouveaux risques (peut-être plus importants)
seront introduits par le changement proposé ?

6.4.10 Il est évident qu’il faut accorder la préférence aux mesures correctrices qui élimineront
complètement le risque. Malheureusement, ces solutions sont souvent les plus onéreuses. Dans l’autre cas
extrême, lorsque la volonté ou les ressources de l’organisation sont insuffisantes, le problème est souvent
transmis au service en charge de la formation pour apprendre au personnel comment faire face aux risques.
Dans de tels cas, il se peut que la direction évite de prendre des décisions difficiles en déléguant la
responsabilité du risque à des subordonnés.

6.5 COMMUNICATION DU RISQUE

6.5.1 La communication des risques englobe tous les échanges de renseignements relatifs aux
risques, c.-à-d. toutes les communications publiques ou privées informant d’autres personnes quant à
l’existence, la nature, la forme, la gravité ou l’acceptabilité des risques. Les besoins en information des
groupes suivants peuvent requérir une attention particulière :

a) la direction doit être avertie de tous les risques présentant un potentiel de pertes pour l’organi-
sation ;

b) les personnes exposées aux risques identifiés doivent être avisées de leur gravité et de la probabi-
lité qu’ils se concrétisent ;

c) ceux qui ont identifié le danger ont besoin d’un retour d’informations sur la mesure proposée ;

d) les personnes concernées par toute modification prévue doivent être informées à la fois des
dangers et du raisonnement qui sous-tend la mesure prise ;

e) les autorités de réglementation, les fournisseurs, les associations de l’industrie aéronautique, le


grand public, etc., peuvent avoir besoin d’informations sur des risques spécifiques ;

f) les parties prenantes peuvent aider le(s) décideur(s) si les risques sont communiqués rapidement
de manière honnête, objective et compréhensible. Une communication efficace des risques (et des
projets destinés à les résoudre) ajoute de la valeur au processus de gestion des risques.

6.5.2 Si les leçons tirées en matière de sécurité ne sont pas communiquées clairement et en temps
utile, la politique de la direction visant à promouvoir une culture positive de la sécurité s’en trouvera
6-12 Manuel de gestion de la sécurité (MGS)

décrédibilisée. Pour que les messages de sécurité soient crédibles, il faut qu’ils correspondent aux faits, aux
déclarations précédentes de la direction et aux messages des autres autorités. Ces messages doivent être
exprimés dans un langage compréhensible pour les parties concernées.

6.6 ASPECTS DE LA GESTION DES RISQUES


POUR LES ADMINISTRATIONS PUBLIQUES

6.6.1 Les techniques de gestion des risques ont des conséquences pour les administrations publiques
dans des domaines allant de l’élaboration de politiques aux décisions « acceptation/refus » auxquelles sont
confrontés les inspecteurs de première ligne de l’aviation civile, notamment en ce qui concerne :

a) La politique générale. Jusqu’à quel point un État doit-il accepter les formalités administratives de
certification d’un autre État ?

b) La modification de la réglementation. Comment les décisions sont-elles prises à partir de toutes


les recommandations (souvent contradictoires) en matière de changement de réglementation ?

c) La fixation des priorités. Comment détermine-t-on les domaines de sécurité auxquels il faut
accorder une importance particulière lors des audits de supervision de la sécurité ?

d) La gestion opérationnelle. Comment les décisions sont-elles prises lorsque les ressources dispo-
nibles sont insuffisantes pour mener à bien toutes les activités prévues ?

e) Les inspections opérationnelles. En première ligne, comment les décisions sont-elles prises
quand des erreurs cruciales sont découvertes en dehors des heures de travail normales ?

Situations justifiant une gestion des risques par les administrations publiques

6.6.2 Certaines situations devraient alerter les administrations publiques de l’aviation quant au besoin
éventuel d’appliquer des méthodes de gestion des risques, par ex. :

a) les jeunes entreprises ou les entreprises à croissance rapide ;

b) les fusions d’entreprises ;

c) les entreprises au bord de la faillite ou en proie à d’autres difficultés financières ;

d) les entreprises confrontées à de graves conflits sociaux ;

e) l’introduction de nouveau matériel important par un exploitant ;

f) la certification d’un nouveau type d’aéronef, d’un nouvel aéroport, etc. ;

g) l’introduction d’un nouveau matériel ou de nouvelles procédures de communication, navigation ou


surveillance ;

h) des modifications considérables du Règlement de l’Air ou d’autres lois pouvant avoir des incidences
sur la sécurité de l’aviation.
Chapitre 6. Gestion des risques 6-13

6.6.3 La gestion du risque par les administrations publiques sera influencée par des facteurs tels que :

a) le temps disponible pour prendre la décision (d’immobiliser un aéronef, de révoquer un permis


d’exploitation, etc.) ;

b) les ressources disponibles pour appliquer les mesures nécessaires ;

c) le nombre de personnes touchées par les mesures requises (toute la société, toute la flotte, le
niveau régional, national, international, etc.) ;

d) l’impact potentiel de la décision d’action (ou d’inaction) de l’administration publique ;

e) la volonté culturelle et politique de prendre la mesure requise.

Avantages de la gestion des risques pour les administrations publiques

6.6.4 Le recours à des techniques de gestion des risques lors de la prise de décisions présente des
avantages pour les administrations publiques. En voici quelques exemples :

a) éviter des fautes coûteuses au cours du processus décisionnel ;

b) garantir que tous les aspects du risque sont identifiés et pris en considération lors de la prise de
décisions ;

c) garantir que les intérêts légitimes des parties prenantes concernées sont pris en compte ;

d) donner aux décideurs une base solide pour défendre le bien-fondé de leurs décisions ;

e) faciliter l’explication des décisions aux parties prenantes et au grand public ;

f) permettre d’importantes économies de temps et d’argent.


Page blanche
Chapitre 7

COMPTES RENDUS DE DANGERS ET D’INCIDENTS

7.1 INTRODUCTION AUX SYSTÈMES DE COMPTES RENDUS

7.1.1 Les systèmes de gestion de la sécurité englobent l’identification réactive et proactive des
dangers pour la sécurité. Les enquêtes sur les accidents permettent d’en apprendre beaucoup sur les
dangers pour la sécurité. Mais, heureusement, les accidents d’aviation sont des événements rares.
Cependant, ils font généralement l’objet d’une enquête plus approfondie que les incidents. Lorsque des
initiatives de sécurité ne se basent que sur des données d’accidents, elles pâtissent de la petitesse de
l’échantillon de cas. Par conséquent, ce sont peut-être les mauvaises conclusions qui seront tirées ou des
mesures correctives inappropriées qui seront prises.

7.1.2 Les recherches qui ont abouti à la règle 1/600 ont montré que les incidents étaient nettement
plus nombreux que les accidents pour des types d’événements comparables. Les causes et facteurs
contributifs liés aux incidents peuvent également déboucher sur des accidents. Souvent, seule la chance
empêche un incident de se transformer en accident. Malheureusement, ces incidents ne sont pas toujours
connus des personnes responsables de la réduction et de l’élimination des risques associés, peut-être
parce qu’il n’existe pas de systèmes de comptes rendus ou parce que le personnel n’est pas suffisamment
encouragé à faire rapport sur les incidents.

Valeur des systèmes de comptes rendus en matière de sécurité

7.1.3 Les leçons tirées d’incidents peuvent aider à bien comprendre les dangers pour la sécurité. Une
fois cette réalité admise, plusieurs types de systèmes de comptes rendus d’incidents ont été mis au point.
Certaines bases de données sur la sécurité contiennent une grande quantité d’informations détaillées. Les
systèmes contenant les informations tirées des enquêtes sur les accidents et les incidents peuvent être
regroupés avec les bases de données sur la sécurité sous le concept général de « systèmes de collecte et
de traitement des données sur la sécurité » (SDCPS). Le concept SDCPS fait référence aux systèmes de
traitement et de comptes rendus, aux bases de données, aux systèmes d’échanges d’informations ainsi
qu’aux informations enregistrées et il inclut les dossiers d’enquêtes sur les accidents et les incidents, les
systèmes obligatoires de comptes rendus d’incidents, les systèmes volontaires de comptes rendus
d’incidents et les systèmes d’auto-divulgation (y compris les systèmes automatiques et manuels de saisie
de données). Bien que les incidents ne fassent pas l’objet d’enquêtes approfondies, les informations
empiriques qu’ils fournissent peuvent s’avérer très utiles pour bien comprendre les perceptions et les
réactions des pilotes, des équipages de cabine, des AME, des ATCO et du personnel d’aérodrome.

7.1.4 Les systèmes de comptes rendus sur la sécurité ne devraient pas se limiter aux seuls incidents
mais devraient pouvoir couvrir les dangers, c.-à-d. les conditions dangereuses qui n’ont pas encore causé
d’incident. Par exemple, certaines organisations disposent de programmes de comptes rendus de
conditions jugées insatisfaisantes du point de vue du personnel expérimenté (les Rapports d’état non
satisfaisant, sur des défectuosités techniques potentielles). Dans certains États, des systèmes de comptes
rendus de difficultés constatées en service (SDR) identifient efficacement les dangers pour la navigabilité.
Le regroupement des données de tels rapports sur les dangers et les incidents constitue une source
importante d’expérience pour étayer d’autres activités de gestion de la sécurité.

7-1
7-2 Manuel de gestion de la sécurité (MGS)

7.1.5 Les données provenant des systèmes de comptes rendus d’incidents peuvent faciliter la
compréhension des causes des dangers, aider à définir des stratégies d’intervention et à vérifier l’efficacité
de ces interventions. Les incidents peuvent, en fonction du degré de détail des enquêtes menées à leur
sujet, constituer un moyen unique d’obtenir des personnes concernées des preuves originales sur les
facteurs liés aux incidents. Les auteurs des comptes rendus peuvent décrire les relations entre les stimuli et
leurs actions. Ils peuvent donner leur interprétation des effets des divers facteurs affectant leur performance,
comme la fatigue, les interactions interpersonnelles et les distractions. En outre, nombre d’entre eux sont à
même de faire de bonnes suggestions en matière de mesures correctives. Des données d’incidents ont
également été utilisées pour améliorer les procédures d’exploitation, la conception des affichages et des
commandes ainsi que pour mieux comprendre les performances humaines associées à l’exploitation de
l’aéronef, à l’ATC et aux aérodromes.

1
Exigences de l’OACI

7.1.6 L’OACI exige des États qu’ils établissent un système obligatoire de comptes rendus d’incidents
pour faciliter la collecte de renseignements sur les insuffisances réelles ou éventuelles en matière de sécu-
rité. De plus, les États sont encouragés à créer un système volontaire de comptes rendus d’incidents et à
adapter leurs lois, règlements et politiques afin que le programme volontaire :

a) facilite la collecte de renseignements qui peuvent ne pas être recueillis au moyen d’un système
obligatoire de comptes rendus d’incidents ;

b) soit non punitif ;

c) assure la protection des sources d’information.

7.2 TYPES DE SYSTÈMES DE COMPTES RENDUS D’INCIDENTS

7.2.1 En général, un incident suppose une condition ou un événement dangereux ou potentiellement


dangereux sans blessure grave ni dommage matériel important, c.-à-d. ne remplissant pas les critères de
définition d’un accident. Lorsqu’un incident se produit, les personnes concernées peuvent être tenues ou
non de remettre un compte rendu. Les exigences de compte rendu varient selon la législation de l’État où
l’incident a eu lieu. Même si la loi ne l’impose pas, les exploitants peuvent exiger la remise d’un compte
rendu de l’événement à l’organisation.

Systèmes obligatoires de comptes rendus d’incidents

7.2.2 Dans un système obligatoire, les individus sont tenus de faire rapport sur certains types
d’incidents. Pour cela, il faut une réglementation détaillée indiquant qui doit rédiger les comptes rendus et
quels incidents doivent en faire l’objet. Dans l’exploitation aérienne, le nombre de variables est tellement
élevé qu’il est difficile de fournir une liste complète des éléments ou conditions justifiant un compte rendu.
Par exemple, la perte d’un système hydraulique sur un aéronef n’en comportant qu’un seul est critique, alors
qu’elle ne l’est peut-être pas sur un aéronef équipé de trois ou quatre de ces systèmes. Ce qui constitue un

1. Cf. l’Annexe 13, Chapitre 8.


Chapitre 7. Comptes rendus de dangers et d’incidents 7-3

problème relativement mineur dans certaines circonstances peut entraîner une situation dangereuse dans
d’autres circonstances. Toutefois, la règle devrait être : « Dans le doute, signalez-le ».

7.2.3 Dans la mesure où les systèmes obligatoires concernent principalement les questions de
« matériel », ils tendent à collecter plus d’informations sur les défaillances techniques que sur les perfor-
mances humaines. Pour permettre de surmonter ce problème, les États disposant de systèmes obligatoires
de comptes rendus bien développés mettent en place des systèmes volontaires de comptes rendus
d’incidents visant à obtenir plus d’informations sur les aspects des facteurs humains liés à ces événements.

Systèmes volontaires de comptes rendus d’incidents

7.2.4 L’Annexe 13 recommande que les États introduisent des systèmes volontaires de comptes
rendus d’incidents afin de compléter les informations obtenues grâce aux systèmes obligatoires de comptes
rendus. Dans de tels systèmes, la personne faisant rapport rédige un compte rendu volontaire d’incident
sans qu’il n’existe la moindre obligation légale ou administrative de le faire. Dans un système volontaire de
comptes rendus, les autorités de réglementation peuvent prévoir des mesures d’incitation à faire rapport.
Par exemple, une mesure coercitive peut être levée si des infractions involontaires sont signalées. Les
informations signalées ne devraient pas être utilisées contre les auteurs des comptes rendus, c.-à-d. que de
tels systèmes doivent être non punitifs pour encourager le signalement de ces informations.

Systèmes confidentiels de comptes rendus

7.2.5 Les systèmes confidentiels de comptes rendus visent à protéger l’identité de l’auteur du compte
rendu. C’est une manière de garantir que les systèmes volontaires de comptes rendus soient non punitifs.
La confidentialité est habituellement réalisée par désidentification, souvent en n’enregistrant aucune
information identifiante concernant l’événement. Un système de ce type renvoie à l’utilisateur la partie
identifiante du formulaire de compte rendu et aucune trace de ces renseignements n’est conservée. Les
systèmes confidentiels de comptes rendus d’incidents facilitent la révélation des erreurs humaines sans
embarras ou crainte de sanctions et permettent aux autres de tirer des leçons d’erreurs passées.

7.3 PRINCIPES POUR DES SYSTÈMES EFFICACES


DE COMPTES RENDUS D’INCIDENTS

7.3.1 Les individus hésitent bien évidemment à faire rapport sur leurs erreurs auprès de l’organisation
qui les emploie ou de leur ministère de tutelle. Trop souvent, les enquêteurs apprennent à la suite d’un
événement que de nombreuses personnes étaient conscientes de l’existence des conditions dangereuses
avant que l’événement ne se produise. Toutefois, pour diverses raisons, elles n’avaient pas fait rapport sur
ces dangers perçus, peut-être pour les motifs suivants :

a) embarras vis-à-vis des pairs ;

b) auto-incrimination, surtout si elles étaient responsables d’avoir créé la condition dangereuse ;

c) mesures de rétorsion de leur employeur pour s’être exprimé ;

d) sanction (telle qu’une mesure coercitive) infligée par l’autorité de réglementation.

7.3.2 L’application des principes décrits aux § 7.3.3 à 7.3.12 aide à surmonter la résistance naturelle à
déposer des comptes rendus de sécurité.
7-4 Manuel de gestion de la sécurité (MGS)

Confiance

7.3.3 Les personnes rendant compte d’incidents doivent avoir la certitude que l’organisation (État
ou compagnie) n’utilisera pas les informations contre elles de quelque manière que ce soit. Sans cette
confiance, elles ne seront pas enclines à rendre compte de leurs fautes ou d’autres dangers qu’elles ont
observés.

7.3.4 La confiance se construit dès la conception et la mise en œuvre du système de comptes rendus.
La contribution du personnel à l’élaboration d’un système de comptes rendus est donc vitale. Une culture
positive de la sécurité au sein de l’organisation génère la confiance nécessaire à la réussite d’un système
de comptes rendus d’incidents. Cette culture doit surtout être tolérante à l’erreur et juste. En outre, les
systèmes de comptes rendus d’incidents doivent être perçus comme équitables dans la manière dont ils
traitent les erreurs ou les fautes involontaires. (La plupart des individus n’attendent pas d’un système de
comptes rendus d’incidents qu’il exempte les actes criminels ou les infractions délibérées de poursuites
judiciaires ou de mesures disciplinaires.) Certains États considèrent un tel processus comme un exemple de
« culture juste ».

Non punitif

7.3.5 Les systèmes non punitifs de comptes rendus reposent sur la confidentialité. Avant que les
membres du personnel rendent librement compte d’incidents, ils doivent avoir reçu de l’autorité de
réglementation ou de la direction l’engagement que les informations signalées ne seront pas utilisées contre
eux à des fins punitives. La personne faisant rapport de l’incident (ou de la condition dangereuse) doit avoir
la certitude que tout ce qu’elle dit restera confidentiel. Dans certains États, les lois relatives à « l’accès à
l’information » rendent la confidentialité de plus en plus difficile à garantir. Dans de tels cas, les informations
signalées tendent à se limiter au minimum pour remplir les exigences de compte rendu obligatoire.

7.3.6 Il est parfois fait référence aux systèmes anonymes de comptes rendus. Les comptes rendus
anonymes sont différents des comptes rendus confidentiels. Les systèmes de comptes rendus qui
fonctionnent le mieux disposent de l’une ou l’autre possibilité de rappel afin de confirmer les détails ou
d’obtenir une meilleure compréhension de l’événement. Faire rapport de manière anonyme ne permet pas
de « rappeler » l’auteur pour s’assurer que ses informations ont bien été comprises et sont complètes. Le
danger existe, en outre, que les comptes rendus anonymes soient utilisés à des fins autres que la sécurité.

Large base de compte rendu

7.3.7 Les premiers systèmes volontaires de comptes rendus s’adressaient aux équipages de conduite.
Les pilotes sont bien placés pour observer un large spectre du système aéronautique et sont donc à même
de faire des remarques sur la santé de ce système. Néanmoins, les systèmes de comptes rendus
d’incidents se concentrant uniquement sur le point de vue des équipages de conduite tendent à renforcer
l’idée que tout se résume à des erreurs de pilotage. Adopter une approche systémique de la gestion de la
sécurité requiert que les informations sur la sécurité soient obtenues auprès de toutes les parties associées
à l’exploitation.

7.3.8 Dans les systèmes de comptes rendus d’incidents gérés par l’État, la collecte d’informations sur
le même événement à partir de différents points de vue aide à se forger une idée plus complète des
événements. Par exemple, l’ATC commande à un aéronef de « remettre les gaz » parce qu’un véhicule de
maintenance se trouve sur la piste sans autorisation. Il est certain que le pilote, l’ATCO et le conducteur du
véhicule n’auront pas vu la situation de la même façon. S’appuyer sur une seule manière de voir les choses
peut ne pas donner une vue d’ensemble de l’événement.
Chapitre 7. Comptes rendus de dangers et d’incidents 7-5

Indépendance

7.3.9 Idéalement, les systèmes volontaires de comptes rendus d’incidents de l’État devraient être
gérés par une organisation distincte de l’administration de l’aviation responsable de l’application des régle-
mentations aériennes. L’expérience de plusieurs États a montré que les comptes rendus volontaires tirent
avantage de l’attribution de la gestion du système à une « tierce partie » de confiance. Cette tierce partie
reçoit, traite et analyse les comptes rendus d’incidents et fournit les résultats à l’administration de l’aviation
et à la communauté de l’aviation. Avec les systèmes obligatoires de comptes rendus, il peut être impossible
de recourir à une tierce partie. Néanmoins, il est souhaitable que l’administration de l’aviation s’engage
clairement à ce que toute information reçue ne soit utilisée qu’à des fins de sécurité. Le même principe
s’applique à une compagnie ou à tout autre exploitant du secteur aéronautique qui utilise les comptes
rendus d’incidents dans le cadre de son système de gestion de la sécurité.

Facilité de compte rendu

7.3.10 La procédure de dépôt de comptes rendus d’incidents devrait être la plus facile possible. Des
formulaires de compte rendu devraient être faciles à obtenir afin que toute personne qui le souhaite puisse
faire rapport sans difficulté. Ces formulaires devraient être faciles à remplir, offrir suffisamment d’espace
pour une description de l’événement et encourager les suggestions quant aux manières d’améliorer la
situation ou d’éviter que l’événement ne se répète. Pour simplifier le travail de compte rendu, on peut utiliser
un système de cases à cocher pour classer les informations comme le type d’opération, les conditions de
luminosité, le type de plan de vol et les conditions météorologiques.

Accusé de réception

7.3.11 Rendre compte d’un événement demande du temps et de l’énergie et il faudrait donc envoyer un
accusé de réception approprié. Afin de favoriser la transmission d’autres comptes rendus, un État joint un
formulaire vierge à son accusé de réception. En outre, l’auteur attend bien naturellement des informations en
retour quant aux mesures prises en réaction aux préoccupations de sécurité contenues dans son rapport.

Publicité

7.3.12 Les informations (désidentifiées) reçues via un système de comptes rendus d’incidents
devraient être mises à la disposition de la communauté de l’aviation dans les meilleurs délais. Ceci pourrait
se faire sous forme de bulletins mensuels ou de résumés périodiques. L’idéal serait d’employer diverses
méthodes afin d’assurer la plus grande diffusion possible. De telles activités de publicité peuvent aider à
motiver les individus à faire rapport sur d’autres incidents.

7.4 SYSTÈMES INTERNATIONAUX DE COMPTES RENDUS D’INCIDENTS

Système de comptes rendus d’accident/incident de l’OACI (ADREP)

7.4.1 En vertu de l’Annexe 13, les États font rapport à l’OACI sur tous les accidents d’avion impliquant
un aéronef dont la masse maximale certifiée au décollage est supérieure à 2 250 kg. L’OACI collecte
également des informations sur les incidents d’aéronefs (concernant les aéronefs de plus de 5 700 kg)
considérés comme importants en matière de sécurité et de prévention des accidents. Ce système de comptes
7-6 Manuel de gestion de la sécurité (MGS)

rendus est connu sous le nom d’ADREP. Les États transmettent des données spécifiques à l’OACI dans un
format prédéterminé (et codé). Une fois les rapports ADREP reçus, les informations sont vérifiées et stockées
sur support informatique pour constituer une banque de données des événements de par le monde.

7.4.2 L’OACI n’exige pas des États qu’ils enquêtent sur les incidents. Cependant, si un État mène une
enquête sur un incident grave, il est tenu de transmettre les données formatées à l’OACI. Les types
d’incidents graves intéressant l’OACI sont :

a) les défaillances multiples des systèmes ;

b) les incendies ou fumées à bord d’un aéronef ;

c) les incidents relatifs au dégagement du terrain ou à l’évacuation des obstacles ;

d) les problèmes de commandes et de stabilité de vol ;

e) les incidents au décollage et à l’atterrissage ;

f) l’incapacité soudaine de l’équipage de conduite ;

g) la décompression ;

h) les quasi-collisions et autres incidents graves de la circulation aérienne.

Centre européen de coordination des systèmes de comptes rendus d’incidents


2
en navigation aérienne (ECCAIRS)

7.4.3 Plusieurs autorités européennes de l’aviation ont collecté des informations sur les accidents et
les incidents aériens. Toutefois, le nombre d’événements importants dans les différents États n’était généra-
lement pas suffisant pour donner une indication rapide des dangers potentiellement graves ou pour identifier
des tendances pertinentes. Étant donné que de nombreux États disposaient de formats incompatibles de
stockage des informations, la mise en commun des informations de sécurité était presque impossible. Pour
améliorer cette situation, l’Union européenne (UE) a adopté des exigences en matière de compte rendu
d’événements et mis en place la base de données de sécurité ECCAIRS. L’objectif de ces décisions était de
renforcer la sécurité aérienne en Europe grâce à une détection précoce des situations potentiellement
dangereuses. ECCAIRS dispose notamment de capacités d’analyse et de présentation des informations
dans une multitude de formats. Il est compatible avec certains autres systèmes de comptes rendus d’incidents,
comme l’ADREP. Plusieurs États non européens ont également choisi de mettre en œuvre ECCAIRS pour
profiter de taxonomies communes, etc.

7.5 SYSTÈMES NATIONAUX VOLONTAIRES DE COMPTES RENDUS D’INCIDENTS

7.5.1 Plusieurs États gèrent avec succès des systèmes volontaires de comptes rendus d’incidents
utilisant des caractéristiques communes. Deux de ces systèmes sont décrits aux § 7.5.2 à 7.5.5.

2. Pour plus d’informations sur ECCAIRS, voir leur site web à l’adresse http://eccairs-www.jrc.it.
Chapitre 7. Comptes rendus de dangers et d’incidents 7-7

3
Système de compte rendu pour la sécurité de l’aviation (ASRS)

7.5.2 Les États-Unis gèrent un vaste système de comptes rendus des événements de l’aviation connu
sous le nom d’Aviation Safety Reporting System (ASRS, ou Système de compte rendu pour la sécurité de
l’aviation). L’ASRS fonctionne indépendamment de l’Administration fédérale de l’aviation (FAA) et est géré
par l’Administration nationale de l’aéronautique et de l’espace (NASA). Les pilotes, les ATCO, les équipages
de cabine, les AME, le personnel au sol et d’autres personnes participant à l’exploitation aérienne peuvent
faire rapport lorsque la sécurité de l’aviation est considérée comme menacée. Des exemples de formulaires
de compte rendu sont disponibles sur le site web de l’ASRS.

7.5.3 Les comptes rendus envoyés à l’ASRS sont tout à fait confidentiels. Ils sont tous désidentifiés
avant d’être intégrés à la base de données. Tous les noms des personnes et des organisations sont
supprimés. Les dates, les heures et les informations connexes, qui pourraient révéler une identité, sont soit
généralisées soit retirées. Les données ASRS sont utilisées pour :

a) identifier les dangers systémiques du système national d’aviation pour que les autorités compétentes
prennent des mesures correctives ;

b) appuyer l’élaboration et la planification de politiques au sein du système national d’aviation ;

c) soutenir la recherche et les études dans le domaine de l’aviation, y compris la recherche sur la
sécurité concernant les facteurs humains ;

d) communiquer des informations afin de promouvoir la prévention des accidents.

7.5.4 La FAA reconnaît l’importance des comptes rendus volontaires d’incidents pour la sécurité
de l’aviation et offre à leurs auteurs qui les envoient à l’ASRS une certaine immunité par rapport aux
mesures coercitives en levant les sanctions pour les infractions involontaires. Avec actuellement plus de
300 000 comptes rendus disponibles, cette base de données aide la recherche sur la sécurité de l’aviation
— surtout en ce qui concerne les facteurs humains.

Programme confidentiel de comptes rendus sur les incidents liés


4
aux facteurs humains (CHIRP)

7.5.5 Le CHIRP (Confidential Human Factors Incident Reporting Programme) contribue à renforcer la
sécurité des vols au Royaume-Uni en fournissant un système confidentiel de comptes rendus pour toutes
les personnes travaillant dans l’aviation. Il complète le système obligatoire de comptes rendus des événe-
ments qui existe au Royaume-Uni. Les caractéristiques importantes du CHIRP sont entres autres :

a) l’indépendance par rapport à l’autorité de réglementation ;

b) une grande accessibilité (équipages de conduite, ATCO, AME titulaires d’une licence, équipages de
cabine et communauté générale de l’aviation) ;

3. L’adresse du site web de l’ASRS est http://asrs.arc.nasa.gov.


4. Le site web du CHIRP peut être consulté à l’adresse suivante : http://www.chirp.co.uk
7-8 Manuel de gestion de la sécurité (MGS)

c) la confidentialité des informations relatives à l’identité des auteurs des comptes rendus ;

d) une analyse par des responsables de la sécurité expérimentés ;

e) l’existence de bulletins largement diffusés afin d’améliorer les normes de sécurité en échangeant
des informations sur la sécurité ;

f) la participation de représentants du CHIRP à différents organes de sécurité de l’aviation pour aider


à résoudre les questions systémiques de sécurité.

7.6 SYSTÈMES DE COMPTES RENDUS DES COMPAGNIES

En plus des systèmes (obligatoires et volontaires) de comptes rendus d’incidents gérés par l’État, nombre
de compagnies aériennes, de fournisseurs de services ATS et d’exploitants d’aérodromes utilisent des
systèmes « internes » de comptes rendus de dangers et d’incidents. Si tous les membres du personnel (pas
seulement les équipages de conduite) peuvent rédiger des comptes rendus, les systèmes internes
contribuent à la promotion d’une culture positive de la sécurité à l’échelle de la compagnie. Le Chapitre 16
comporte un examen plus approfondi des systèmes internes de comptes rendus de dangers et d’incidents.

7.7 MISE EN ŒUVRE DES SYSTÈMES DE COMPTES RENDUS D’INCIDENTS

7.7.1 S’il est mis en œuvre dans un environnement de travail non punitif, un système de comptes
rendus d’incidents peut largement contribuer à créer une culture positive de la sécurité. En fonction de la
taille de l’organisation, la méthode de comptes rendus d’incidents et de dangers la plus opportune est
d’utiliser les « documents » existants, comme les rapports de sécurité et de maintenance. Cependant, le
volume des rapports augmentant, il faudra recourir à l’un ou l’autre système informatisé pour gérer cette
tâche.

Que signaler ?

7.7.2 Tout danger susceptible de causer des dommages matériels ou des lésions corporelles ou
menaçant la viabilité de l’organisation devrait faire l’objet d’un compte rendu. Dangers et incidents devraient
être signalés si on pense que :

a) quelque chose peut être fait pour renforcer la sécurité ;

b) d’autres membres du personnel de l’aviation pourraient en tirer des leçons ;

c) le système et ses moyens inhérents de défense n’ont pas fonctionné « comme prévu ».

7.7.3 Bref, un événement doit être signalé même en cas de doute sur son importance pour la sécurité.
(Les incidents et les accidents devant faire l’objet d’un compte rendu en vertu des lois et des
réglementations nationales régissant ce sujet devraient également être intégrés dans la base de données
de comptes rendus d’un exploitant.) L’Appendice 2 au Chapitre 16 donne des exemples des types
d’événements qui devraient être signalés dans le cadre du système de comptes rendus d’incidents d’un
exploitant.
Chapitre 7. Comptes rendus de dangers et d’incidents 7-9

Qui devrait faire rapport ?

7.7.4 Pour être efficaces, les systèmes de comptes rendus d’incidents devraient s’appuyer sur un
large éventail de membres du personnel. Pour des événements spécifiques, les perceptions de divers
participants ou témoins peuvent être très différentes les unes des autres — mais toutes pertinentes. Les
systèmes nationaux volontaires de comptes rendus d’incidents devraient encourager la participation des
équipages de conduite et de cabine, des ATCO, du personnel des aéroports et des AME.

Méthode et format des comptes rendus

7.7.5 La méthode et le format choisis pour un système de comptes rendus n’ont que peu d’importance
tant qu’ils encouragent le personnel à signaler tous les dangers et incidents. Le processus de compte rendu
devrait être le plus simple possible et bien documenté, avec entre autres des détails expliquant sur quoi, où
et quand faire rapport.

7.7.6 Dans la conception des formulaires de compte rendu, la mise en page devrait faciliter la trans-
mission des informations. Il faudrait prévoir suffisamment d’espace pour encourager les auteurs à décrire
les mesures correctrices suggérées. Voici quelques autres facteurs à prendre en considération dans la
conception d’un système et de formulaires de compte rendu :

a) comme les membres du personnel d’exploitation ne sont généralement pas très prolixes, le
formulaire devrait être aussi court que possible ;

b) les auteurs des comptes rendus n’étant pas des analystes de la sécurité, les questions devraient
être posées avec des mots simples et usuels ;

c) des questions non directives devraient être utilisées plutôt que des questions orientant les
réponses. (Des questions non directives sont par ex. : Que s’est-il passé ? Pourquoi ? Quelle solution
a été apportée ? Qu’est-ce qui devrait être fait ?) ;

d) il faut parfois des questions incitatives pour amener les auteurs à réfléchir aux « défaillances du
système » (par ex. leur proximité par rapport à un accident) et à leurs stratégies de gestion des
erreurs ;

e) l’accent devrait être mis sur la détection et la résolution d’une situation ou d’une condition dangereuse ;

f) les auteurs devraient être encouragés à tirer les leçons générales de sécurité inhérentes au compte
rendu, comme la manière dont l’organisation et le système aéronautique pourraient en tirer profit.

7.7.7 Quelle que soit la source ou la méthode de dépôt du compte rendu, une fois l’information reçue,
elle doit être stockée de manière à pouvoir être facilement extraite et analysée.

7.7.8 L’Appendice 1 au présent chapitre contient des indications relatives aux restrictions d’utilisation
des données provenant des systèmes volontaires de comptes rendus d’incidents.

————————
Appendice 1 au Chapitre 7

RESTRICTIONS D’UTILISATION DES DONNÉES


PROVENANT DES SYSTÈMES VOLONTAIRES
DE COMPTES RENDUS D’INCIDENTS

Il faut faire attention en utilisant les données provenant de comptes rendus volontaires d’incidents. Quand ils
tirent des conclusions basées sur ces données, les analystes devraient tenir compte des restrictions suivantes :

a) Informations non validées. Dans certains États, les comptes rendus confidentiels peuvent faire
l’objet d’une enquête complète et des informations issues d’autres sources peuvent être utilisées
pour faire la lumière sur l’incident. Cependant, vu les dispositions relatives à la confidentialité
contenues dans les petits programmes (comme les systèmes de comptes rendus des compagnies),
il est difficile d’assurer un suivi adéquat d’un compte rendu sans compromettre l’identité de son
auteur. Une grande partie des informations signalées ne peuvent donc pas être validées.

b) A priori des auteurs. Deux facteurs peuvent fausser les comptes rendus volontaires d’incidents :
l’auteur et le sujet du compte rendu. Divers facteurs alimentant la subjectivité des comptes rendus
volontaires d’incidents sont répertoriés ci-dessous :

1) les auteurs doivent bien connaître le système de comptes rendus et avoir accès aux formulaires
ou aux numéros de téléphone adéquats ;

2) la motivation des auteurs à faire rapport peut varier en raison des facteurs suivants :

— le niveau d’engagement envers la sécurité ;

— la sensibilisation au système de comptes rendus ;

— la perception des risques associés (conséquences locales ou systémiques) ;

— les conditions d’exploitation (certains types d’incidents mobilisent davantage l’attention que
d’autres) ;

— le déni ou l’ignorance des effets sur la sécurité, le souhait de cacher le problème ou la peur
de reproches voire d’une mesure disciplinaire (malgré les garanties certifiant le contraire) ;

3) les divers groupes professionnels voient tous les choses différemment, tant pour interpréter le
même événement que pour décider de ce qui est important ;

4) les auteurs doivent avoir conscience d’un incident pour transmettre un compte rendu. Les
erreurs non détectées ne sont pas signalées.

c) Formulaires de compte rendu. Généralement, les formulaires de compte rendu d’incidents génèrent
des partis pris (y compris des préjugés contre le principe même du compte rendu). En voici
quelques exemples :

7-APP 1-1
7-APP 1-2 Manuel de gestion de la sécurité (MGS)

1) Un formulaire de compte rendu doit être suffisamment succinct et simple à remplir pour
encourager le personnel opérationnel à l’utiliser. Le nombre de questions doit donc être limité.

2) Des questions totalement ouvertes (c.-à-d. uniquement narratives) peuvent faire obstacle à
l’obtention de données utiles.

3) Les questions peuvent guider l’auteur mais elles peuvent également déformer ses perceptions
en l’amenant à des conclusions partiales.

4) L’éventail des événements possibles est tellement large qu’un formulaire structuré et normalisé
ne peut pas contenir toutes les informations. (Les analystes peuvent donc être amenés à
prendre contact avec l’auteur pour obtenir des informations spécifiques.)

d) Bases de données des comptes rendus d’incidents. Les informations doivent être classées
selon une structure prédéterminée de mots clés ou de définitions pour être intégrées dans la base
de données et en être extraites ultérieurement. Habituellement, ce travail introduit des partis pris
dans les bases de données, ce qui en compromet l’utilité. Exemples :

1) contrairement aux paramètres objectifs et physiques de vol, les descriptions des événements et
les attributions causales sont plus subjectives ;

2) la classification requiert un système de mots clés ou de définitions prédéterminés, faussant ainsi


la base de données, par ex. :

— les comptes rendus sont analysés pour « correspondre » aux mots clés. Les détails ne
correspondant pas sont ignorés ;

— il est impossible de créer une liste exhaustive des mots clés servant à classer les
informations ;

— les mots clés sont présents ou non, donnant une médiocre approximation du monde réel ;

— les informations étant extraites en fonction de la manière dont elles sont stockées, la classi-
fication détermine les paramètres de sortie. Par ex., si « défaillance technique » n’apparaît
pas parmi les mots clés, ce terme ne sera jamais trouvé comme cause d’incidents dans la
base de données ;

— le système de classification engendre une « prédiction autoréalisatrice ». Par ex., de


nombreux systèmes de comptes rendus d’incidents faussent la classification par mots clés
pour la CRM. Par conséquent, la CRM est souvent citée comme étant à la fois la cause du
problème et sa solution (une formation supplémentaire en CRM remédiera à la carence
perçue en CRM) ;

3) une grande partie des informations de la base de données n’est jamais extraite après avoir été
saisie ;

4) étant donné le caractère général des mots clés, l’analyste doit souvent revenir au compte rendu
original pour comprendre les détails contextuels.

e) Fréquence relative des événements. Comme les systèmes volontaires de comptes rendus
d’incidents ne reçoivent pas le type d’informations nécessaire au calcul de taux utiles, toute tenta-
tive de considérer l’incident du point de vue de sa fréquence par rapport à d’autres événements
ChapItre 7. Comptes rendus de dangers et d’incidents — Appendice 1 7-APP 1-3

sera au mieux une hypothèse émise en connaissance de cause. Pour établir des comparaisons
valables quant à la fréquence, trois types de données sont nécessaires : le nombre de personnes
faisant réellement l’expérience d’incidents similaires (pas seulement les incidents signalés), le
pourcentage de population risquant de vivre des événements semblables et la mesure de la période
examinée.

f) Analyse des tendances. On n’a pas vraiment réussi à réaliser des analyses sérieuses de
tendances des paramètres les plus subjectifs enregistrés dans les bases de données des comptes
rendus d’incidents En voici quelques raisons :

1) difficultés d’utilisation d’informations structurées ;

2) limites de saisie du contexte de l’incident via des mots clés ;

3) niveaux inadéquats de détails et de précision des données enregistrées ;

4) problèmes de fiabilité d’un compte rendu par rapport à l’autre ;

5) difficultés de fusionner des données provenant de différentes bases de données ;

6) difficultés à formuler des requêtes pertinentes pour la base de données.


Page blanche
Chapitre 8

ENQUÊTES DE SÉCURITÉ

Enquête. Activités menées en vue de prévenir les accidents, qui comprennent la


collecte et l’analyse de renseignements, l’exposé des conclusions, la détermina-
tion des causes et, s’il y a lieu, l’établissement de recommandations de sécurité.

Annexe 13

8.1 INTRODUCTION

8.1.1 L’efficacité des systèmes de gestion de la sécurité dépend de la réalisation d’enquêtes et


d’analyses sur les questions de sécurité. La valeur d’un accident, d’un danger ou d’un incident en termes de
sécurité est largement proportionnelle à la qualité du travail d’enquête.

Enquêtes de l’État

Accidents

8.1.2 Les accidents fournissent des preuves éclatantes et irréfutables de la gravité des dangers. Trop
souvent, il faut qu’une organisation ait fait l’expérience de la nature catastrophique et extrêmement coûteuse
des accidents pour qu’elle se décide à allouer des ressources en vue de réduire ou d’éliminer les conditions
dangereuses jusqu’à un niveau qu’elle n’aurait pas atteint en d’autres circonstances.

8.1.3 Par définition, les accidents causent des dommages matériels et/ou des lésions corporelles. Se
limiter à enquêter sur les seuls résultats des accidents et non sur les dangers et les risques qui les
provoquent, c’est être réactif. Les enquêtes réactives ne sont guère efficaces du point de vue de la sécurité
car elles sont susceptibles de négliger des conditions dangereuses latentes présentant des risques
considérables pour la sécurité.

8.1.4 Une enquête sur un accident devrait donc cibler une maîtrise efficace des risques. Si l’enquête
est dirigée non plus sur « la chasse au coupable » mais sur une réelle atténuation des risques, elle
encouragera la coopération entre les personnes concernées par l’accident, ce qui facilitera la découverte
des causes sous-jacentes. L’intérêt à court terme de trouver un coupable est préjudiciable à l’objectif à long
terme de prévenir de futurs accidents.

Incidents graves

8.1.5 Le terme « incident grave » est employé pour les incidents que la chance a empêchés de
devenir des accidents, par exemple une quasi-collision ou un quasi-abordage. Vu leur gravité, de tels
incidents devraient faire l’objet d’une enquête approfondie. Certains États traitent ces incidents graves

8-1
8-2 Manuel de gestion de la sécurité (MGS)

comme des accidents. Ils recourent donc à une équipe d’enquête sur les accidents pour mener une enquête
comprenant la publication d’un rapport final et la transmission à l’OACI d’un compte rendu de données
d’incident ADREP. Ce type d’enquête exhaustive sur les incidents présente l’avantage de fournir la même
qualité d’informations sur les dangers que les enquêtes sur les accidents.

Enquêtes internes

8.1.6 La plupart des événements liés à la sécurité ne justifient pas la tenue d’enquêtes par les
autorités nationales d’enquête ou de réglementation. Bon nombre d’incidents ne doivent même pas être
signalés à l’État. Néanmoins, de tels incidents peuvent indiquer l’existence de dangers potentiellement
graves — peut-être des problèmes systémiques qui ne seront révélés que si l’événement fait l’objet d’une
véritable enquête.

8.1.7 Pour chaque accident ou incident grave, il se produira certainement des centaines d’événements
mineurs dont beaucoup sont susceptibles de provoquer un accident. Il est important d’examiner tous les
dangers et incidents signalés, de décider lesquels devraient faire l’objet d’une enquête et de déterminer le
niveau d’enquête qui leur sera appliqué.

8.1.8 Pour les enquêtes internes, l’équipe d’enquêteurs peut requérir l’aide de spécialistes en fonction
de la nature de l’événement concerné, par ex. :

a) des spécialistes de la sécurité en cabine pour des turbulences en vol, de la fumée ou des émanations
dans la cabine, un incendie dans les offices, etc. ;

b) des experts en services de la circulation aérienne en cas de perte de séparation, de quasi-


collisions, d’encombrement des fréquences, etc. ;

c) des techniciens de maintenance pour des incidents impliquant des défaillances du matériel ou du
système, de la fumée ou un incendie, etc. ;

d) des experts capables de donner des conseils en gestion des aéroports pour des incidents avec
dommages causés par un corps étranger (FOD), pour le déneigement et le dégivrage, l’entretien du
terrain d’aviation, la circulation des véhicules, etc.

8.2 PORTÉE DES ENQUÊTES DE SÉCURITÉ

8.2.1 Jusqu’à quel point faut-il enquêter sur les comptes rendus d’incidents mineurs et de dangers ?
L’étendue de l’enquête devrait dépendre des conséquences réelles ou potentielles de l’événement ou du
danger. Les comptes rendus de dangers ou d’incidents indiquant un potentiel de risque élevé devraient faire
l’objet d’enquêtes plus approfondies que ceux qui présentent un faible potentiel de risque.

8.2.2 L’enquête devrait aller jusqu’au niveau de détail requis pour identifier clairement les dangers
sous-jacents et les valider. Pour comprendre pourquoi quelque chose s’est produit, il faut bien saisir tout le
contexte de l’événement. Pour acquérir cette compréhension des conditions dangereuses, l’enquêteur
devrait adopter une approche systémique, éventuellement en se basant sur le modèle SHEL décrit au
Chapitre 4. Comme les ressources sont généralement limitées, l’effort déployé devrait être proportionnel à
l’avantage que l’on pense en tirer en matière de potentiel d’identification des dangers et des risques
systémiques pour l’organisation.
Chapitre 8. Enquêtes de sécurité 8-3

8.2.3 Bien que l’enquête doive se concentrer sur les facteurs ayant le plus probablement influencé les
actions, la frontière entre pertinence et non-pertinence est souvent floue. Des données qui ne semblent pas
de prime abord liées à l’enquête peuvent ensuite s’avérer pertinentes une fois que l’on comprend mieux les
liens entre les différents éléments de l’événement.

8.3 SOURCES D’INFORMATIONS

Les informations pertinentes pour une enquête de sécurité peuvent être obtenues auprès d’une multitude de
sources, dont :

a) Un examen physique du matériel employé lors de l’événement lié à la sécurité. Il peut porter sur le
matériel de première ligne utilisé, ses composants, les postes de travail et le matériel employé par
le personnel d’appui (par ex. les ATCO, le personnel de maintenance et d’entretien courant).

b) Les documents couvrant un large éventail d’aspects de l’exploitation, par ex. :

1) les états et les journaux de maintenance ;

2) les dossiers personnels/les carnets de route ;

3) les permis et les licences ;

4) les dossiers du personnel interne et les dossiers de formation ainsi que les horaires de travail ;

5) les manuels et les SOP de l’exploitant ;

6) les manuels et les programmes de formation ;

7) les données et les manuels des constructeurs ;

8) les dossiers des autorités de réglementation ;

9) les prévisions, données et informations météorologiques ;

10) les documents de planification des vols.

c) Les enregistrements (des enregistreurs de bord, radars et cassettes audio ATC, etc.). Ils peuvent
apporter des informations utiles pour déterminer la chronologie des événements. Outre les enregis-
trements traditionnels des données de vol, les enregistreurs de maintenance dans les aéronefs de
nouvelle génération sont une éventuelle source supplémentaire d’informations.

d) Les entretiens avec des personnes directement ou indirectement mêlées à l’événement lié à la
sécurité. Ils peuvent constituer une source principale d’informations pour toutes les enquêtes. En
l’absence de données mesurables, les entretiens sont parfois la seule source d’informations.

e) Les observations directes d’actions réalisées par des membres du personnel opérationnel ou de
maintenance dans leur environnement de travail. Elles peuvent apporter des informations sur des
conditions dangereuses potentielles. Néanmoins, les personnes observées doivent être conscientes
de l’objectif de ces observations.

f) Les simulations. Elles permettent la reconstitution d’un événement et peuvent aider à mieux
comprendre la succession des faits ayant conduit à l’événement et la manière dont le personnel a
8-4 Manuel de gestion de la sécurité (MGS)

réagi à cet événement. On peut avoir recours à des simulations informatiques pour reconstituer
les événements sur la base de données extraites d’enregistreurs de bord, de cassettes ATC,
d’enregistrements radar et d’autres preuves matérielles.

g) Les conseils de spécialistes. Les enquêteurs ne peuvent pas être experts dans tous les domaines
liés à l’environnement opérationnel. Il est important qu’ils prennent conscience de leurs limites. Le
cas échéant, ils doivent être prêts à consulter d’autres professionnels au cours d’une enquête.

h) Les bases de données sur la sécurité. On peut trouver des informations complémentaires utiles
dans des bases de données sur les accidents/incidents, les systèmes internes de comptes rendus
des dangers et des incidents, les programmes confidentiels de comptes rendus, les systèmes de
surveillance des services de ligne (par ex. analyse des données de vol, programmes LOSA et
NOSS), les bases de données des constructeurs, etc.

8.4 ENTRETIENS

8.4.1 Les informations obtenues grâce à des entretiens peuvent contribuer à clarifier le contexte des
conditions et actes dangereux. Ils peuvent être utilisés pour corroborer, clarifier ou étoffer les informations
provenant d’autres sources. Les entretiens peuvent servir à déterminer « ce qui s’est passé ». Plus
important encore, ils sont souvent le seul moyen de répondre aux importantes questions du « pourquoi », ce
qui, à son tour, peut faciliter la formulation de recommandations de sécurité appropriées et efficaces.

8.4.2 Lors de la préparation de l’entretien, la personne qui conduira l’entretien doit s’attendre à ce que
les personnes interviewées aient perçu les choses et se les rappellent de manière différente. Les détails
d’une défectuosité du système signalée par le personnel d’exploitation peuvent ne pas être les mêmes que
ceux observés par le personnel de maintenance au cours d’une vérification longue escale. Les supérieurs
hiérarchiques et les directeurs peuvent avoir une perception des choses différente de celle du personnel
opérationnel. La personne qui conduit l’entretien doit accepter tous les points de vue comme étant dignes
d’une analyse plus approfondie. Toutefois, même des témoins qualifiés, expérimentés et bien intentionnés
pourraient avoir des souvenirs erronés des événements. En fait, il pourrait y avoir lieu de douter de la
validité des informations reçues si plusieurs personnes interrogées au sujet du même événement ne
présentaient pas des points de vue différents.

Conduite des entretiens

8.4.3 Un enquêteur efficace s’adapte à ces divergences de points de vue, en restant objectif et en
évitant d’évaluer trop tôt le contenu de l’entretien. Un entretien est une situation dynamique et l’enquêteur
compétent sait quand il doit insister dans une approche et quand il doit changer son fusil d’épaule.

8.4.4 Pour atteindre les meilleurs résultats, les enquêteurs recourront certainement au processus
suivant :

a) une préparation et planification minutieuses de l’entretien ;

b) la conduite de l’entretien selon une structure logique et bien planifiée ;

c) l’évaluation des informations recueillies dans le contexte de toutes les autres informations connues.

L’Appendice 1 au présent chapitre donne des indications supplémentaires pour mener des entretiens
efficaces.
Chapitre 8. Enquêtes de sécurité 8-5

Mise en garde quant aux entretiens avec des témoins

8.4.5 Les entretiens avec des témoins livrent souvent des versions divergentes des faits. Il faut donc
être prudent lorsqu’on en établit une synthèse. Intuitivement, un enquêteur peut juger de la valeur d’un entretien
en fonction de l’histoire personnelle et de l’expérience de la personne interrogée. Toutefois, les personnes
considérées comme « de bons témoins » peuvent se laisser influencer par leur expérience (c.-à-d. qu’elles
voient et entendent ce à quoi elles « s’attendent »). Par conséquent, leur description des événements peut
être déformée. D’un autre côté, des personnes n’ayant aucune connaissance sur un événement auquel
elles ont assisté sont souvent capables de décrire avec précision la chronologie des faits. Elles peuvent
s’avérer plus objectives dans leurs observations.

8.4.6 L’enquêteur compétent ne se fie pas exagérément à un seul témoin — même si celui-ci est un
expert. Il faut plutôt intégrer des informations provenant du plus grand nombre de sources possible pour se
forger une idée précise de la situation.

8.5 MÉTHODOLOGIE D’ENQUÊTE

8.5.1 La phase de l’enquête qui se déroule sur le terrain sert à identifier et à valider les dangers
perçus pour la sécurité. Il faut une analyse de la sécurité de qualité pour évaluer les risques et des
communications efficaces pour maîtriser ces risques. En d’autres termes, une gestion efficace de la sécurité
requiert une approche intégrée des enquêtes de sécurité.

8.5.2 Certains événements et dangers proviennent de défaillances du matériel et apparaissent dans


des conditions environnementales très particulières. Cependant, la majorité des conditions dangereuses
sont le produit d’erreurs humaines. Quand on examine l’erreur humaine, il faut bien comprendre les
conditions qui peuvent avoir influencé les performances ou les décisions humaines. Ces conditions
dangereuses peuvent être le signe de dangers systémiques faisant peser un risque sur tout le système
aéronautique. Conformément à l’approche systémique de la sécurité, une approche intégrée des enquêtes
de sécurité examine tous les aspects pouvant avoir contribué au comportement dangereux ou créé des
conditions dangereuses.

8.5.3 La Figure 8-1 décrit le déroulement logique d’un processus intégré d’enquêtes de sécurité — la
Méthodologie intégrée d’enquête de sécurité (ISIM). L’utilisation de ce type de modèle peut guider les
enquêteurs depuis la notification initiale d’un danger ou d’un incident jusqu’à la communication des leçons
tirées en matière de sécurité.

8.5.4 Les enquêtes efficaces ne suivent pas un processus simple par étapes depuis le début de ce
processus jusqu’à son terme en progressant directement de phase en phase. Elles suivent plutôt un
processus itératif pouvant exiger des retours en arrière et la répétition de certaines phases après la collecte
de nouvelles données et/ou l’aboutissement à des conclusions.

8.6 ENQUÊTES SUR LES ASPECTS DE LA PERFORMANCE HUMAINE

8.6.1 Les enquêteurs ont relativement bien réussi à analyser les données mesurables concernant la
performance humaine, par ex. les exigences de force pour déplacer un manche à balai, les exigences
d’éclairage pour lire un affichage et les exigences de température ambiante et de pression. Malheureu-
sement, la majorité des carences de sécurité découlent de problèmes qui ne sont pas simples à mesurer et
8-6 Manuel de gestion de la sécurité (MGS)

Évaluer la notification et décider


Notification et évaluation du
de mener une enquête ou non
danger ou de l’événement

Processus de collecte des données Identifier les événements et


les facteurs sous-jacents

Succession de faits Reconstituer la suite logique des faits


ayant mené à l’événement

Analyser les faits et déterminer


Enquête intégrée les conclusions concernant
les facteurs et les dangers
sous-jacents

Estimer le risque et
déterminer l’acceptabilité Processus d’évaluation des risques
de chaque danger

Identifier les moyens


de défense manquants Analyse des moyens de défense
ou inadéquats

Identifier et évaluer
les possibilités de Analyse de la maîtrise des risques
maîtrise des risques

Communiquer aux parties


prenantes les messages Processus de communication sur la sécurité
relatifs à la sécurité

Figure 8-1. Méthodologie intégrée d’enquête de sécurité (ISIM)


Chapitre 8. Enquêtes de sécurité 8-7

ne sont donc pas entièrement prévisibles. En conséquence, les informations disponibles ne permettent pas
toujours à un enquêteur de tirer des conclusions irréfutables.

8.6.2 Divers facteurs réduisent généralement l’efficacité de l’analyse de la performance humaine. Il


s’agit notamment :

a) du manque de données normatives sur la performance humaine, à utiliser comme référence pour
évaluer le comportement individuel observé ;

Note.— Les données FDA, LOSA et NOSS fournissent une base permettant de mieux
comprendre les performances quotidiennes normales dans l’exploitation aérienne.

b) du manque de méthodologie pratique pour établir une généralisation à partir des expériences d’un
individu (membre de l’équipage ou de l’équipe) afin de comprendre les effets probables sur une
grande population exécutant des tâches similaires ;

c) de l’absence d’une base commune d’interprétation des données sur la performance humaine dans
les nombreuses disciplines (par ex. ingénierie, exploitation et gestion) représentées dans la commu-
nauté de l’aviation ;

d) de la facilité avec laquelle les êtres humains s’adaptent à différentes situations, ce qui complique
encore la détermination de ce qui constitue une défaillance de la performance humaine.

8.6.3 La logique nécessaire à une analyse convaincante de certains des phénomènes les moins
tangibles de la performance humaine diffère de celle qui est requise pour d’autres aspects d’une enquête.
Les méthodes déductives sont relativement faciles à présenter et mènent à des conclusions probantes. Par
ex., un cisaillement du vent mesuré a causé une perte calculée de performance d’un aéronef et on pourrait
conclure que ce cisaillement du vent a dépassé la capacité de performance de l’aéronef. De tels liens
directs de cause à effet ne sont pas si aisés à établir pour certains aspects de la performance humaine
comme le relâchement de la vigilance, la fatigue, la distraction ou le jugement. Par ex., si une enquête
révélait qu’un membre de l’équipage a commis une erreur ayant entraîné un événement dans des conditions
particulières (comme le relâchement de la vigilance, la fatigue ou la distraction), on ne pourrait pas néces-
sairement en déduire que l’erreur a été commise à cause de ces conditions préalables. Une telle conclusion
reposerait inévitablement sur une part d’hypothèses. La viabilité de ce genre de conclusions empiriques est
à la mesure de la qualité du processus de raisonnement utilisé et de la solidité des preuves disponibles.

8.6.4 Un raisonnement inductif s’appuie sur des probabilités. Des conclusions peuvent être tirées des
explications les plus probables ou les plus plausibles des événements comportementaux. Les conclusions
inductives peuvent toujours être contestées et leur crédibilité dépend du poids des preuves qui les étayent.
Par conséquent, elles doivent être fondées sur une méthode de raisonnement cohérente et acceptée.

8.6.5 L’analyse des aspects de la performance humaine doit prendre en compte l’objectif de l’enquête
(c.-à-d. comprendre pourquoi quelque chose s’est produit). Les événements liés à la sécurité sont rarement
le résultat d’une cause unique. Bien que des facteurs individuels puissent sembler insignifiants quand ils
sont pris isolément, une fois combinés, ils peuvent déclencher une série de faits ou de conditions aboutissant
à un accident. Le modèle SHEL offre une approche systématique pour examiner les éléments constitutifs du
système ainsi que les interfaces entre eux.

8.6.6 Il est fondamental de saisir le contexte dans lequel les personnes commettent des erreurs afin
de comprendre les conditions dangereuses pouvant avoir influencé leur comportement et leurs décisions.
Ces conditions dangereuses peuvent être des signes de risques systémiques présentant un potentiel
d’accident considérable.
8-8 Manuel de gestion de la sécurité (MGS)

8.7 RECOMMANDATIONS DE SÉCURITÉ

8.7.1 Lorsqu’une enquête identifie des dangers ou des risques non atténués, des mesures de sécurité
sont requises. Le besoin d’agir doit être communiqué au moyen de recommandations de sécurité aux
personnes disposant du pouvoir d’allouer les ressources nécessaires. Si aucune recommandation de
sécurité appropriée n’est formulée, il est possible qu’aucune mesure ne soit prise pour contrer ces risques.
Les personnes chargées de formuler les recommandations de sécurité pourraient s’inspirer des considé-
rations suivantes :

a) Organisme compétent pour prendre des mesures. Qui est le mieux placé pour prendre des
mesures correctrices ? Qui a le pouvoir et les ressources nécessaires pour intervenir ? Idéalement,
les problèmes devraient être abordés au niveau décisionnel le moins élevé possible, comme celui
du département ou de la compagnie par opposition à celui de l’État ou de l’autorité de réglemen-
tation. Toutefois, si plusieurs organisations sont exposées aux mêmes conditions dangereuses, il
peut être justifié d’étendre les mesures recommandées. L’État et les autorités internationales ou les
sociétés multinationales des constructeurs peuvent être les plus aptes à engager les mesures de
sécurité nécessaires.

b) L’objectif et non la manière. Les recommandations de sécurité devraient clairement établir


l’objectif à atteindre et pas la manière d’y arriver. L’important est de communiquer la nature des
risques exigeant des mesures de maîtrise. Il faut éviter les recommandations de sécurité détaillées
exposant avec précision la manière de résoudre le problème. Le directeur responsable devrait être
le mieux placé pour juger des caractéristiques des mesures les plus appropriées dans les conditions
opérationnelles existantes. L’efficacité de toute recommandation sera évaluée à l’aune du degré de
réduction des risques plutôt que du strict respect de leur libellé.

c) Termes généraux ou spécifiques. Étant donné que l’objectif des recommandations de sécurité est
de convaincre les autres qu’une condition dangereuse menace le système en tout ou en partie, des
termes spécifiques devraient être employés pour résumer l’étendue et les conséquences des
risques identifiés. De plus, vu que la recommandation doit préciser l’objectif à atteindre (et non la
manière d’y arriver), il est préférable que la formulation soit concise.

d) Point de vue du destinataire. En matière de recommandation de mesures de sécurité, les


considérations suivantes ont trait au point de vue du destinataire :

1) la recommandation de sécurité s’adresse à l’autorité d’intervention la plus appropriée (c.-à-d.


celle qui dispose de la compétence et du pouvoir pour procéder au changement nécessaire) ;

2) il n’y a pas de surprise (c.-à-d. qu’un dialogue préalable a eu lieu au sujet de la nature des
risques évalués) ;

3) la recommandation explique l’objectif à atteindre tout en laissant à l’autorité d’intervention la


latitude nécessaire pour déterminer la manière d’atteindre au mieux cet objectif.

8.7.2 Les recommandations officielles de sécurité justifient des communications écrites. Un écrit
garantit que les recommandations ne seront pas mal comprises et fournit la base nécessaire à l’évaluation
de l’efficacité de la mise en œuvre. Toutefois, il est important de se rappeler que les recommandations de
sécurité ne sont efficaces que si elles sont appliquées.

————————
Appendice 1 au Chapitre 8

TECHNIQUES D’ENTRETIEN

Des conseils supplémentaires pour la conduite d’entretiens efficaces sont énumérés ci-dessous :

a) le rôle de l’enquêteur est d’obtenir de la personne interviewée des informations aussi précises,
complètes et détaillées que possible ;

b) les entretiens, particulièrement ceux faisant intervenir des facteurs de performance humaine,
doivent aller au-delà de la description des faits et de la chronologie de l’événement pour tenter de
découvrir aussi « comment » et « pourquoi » il s’est produit ;

c) la réussite de l’entretien dépendra fortement de la préparation personnelle. Il faut adapter les prépa-
rations à l’entretien ;

d) dans le cadre du suivi d’un incident ou d’un événement de sécurité, les entretiens devraient être
réalisés le plus tôt possible. S’il est impossible de procéder immédiatement à un entretien, demander
une déclaration écrite afin que les informations soient consignées pendant qu’elles sont encore
fraîches dans l’esprit de la personne interviewée ;

e) la réussite de l’entretien dépendra du moment choisi pour poser les questions et de la structure de
celles-ci. Commencez l’entretien par une question de « rappel libre », en laissant la personne parler
de ce qu’elle sait de l’événement ou du sujet concerné. Au fur et à mesure que l’entretien avance,
utilisez un mélange d’autres types de questions, par ex. :

1) Des questions ouvertes ou sous la forme de phrases « non finies ». Ce type de question
suscite des descriptions rapides et précises des événements et débouche sur une participation
accrue de la personne interviewée (par ex., « Vous avez dit tout à l’heure que vous aviez une
formation de... ? »).

2) Des questions spécifiques. Ce type de question est indispensable pour obtenir des informations
détaillées et peut également amener la personne à se souvenir de plus de détails.

3) Des questions fermées. Ce type de question appelle des réponses sous forme de « oui » ou de
« non » (donnant peu d’informations au-delà de la réponse).

4) Des questions indirectes. Ce type de question peut être utile dans des situations délicates (par
ex., « Vous avez dit que le copilote était inquiet à l’idée d’utiliser cette approche. Pourquoi ? ») ;

f) en interrogeant, évitez les questions suggestives, c.-à-d. celles qui contiennent la réponse. Utilisez
plutôt des phrases neutres ;

g) ne prenez aucune information issue de l’entretien pour argent comptant. Servez-vous-en pour
confirmer, éclaircir ou compléter des informations provenant d’autres sources ;

8-APP 1-1
8-APP 1-2 Manuel de gestion de la sécurité (MGS)

h) dans certaines circonstances, il peut y avoir beaucoup de témoins à interviewer. Les informations
(souvent contradictoires) qui en résultent doivent être résumées, triées et rassemblées dans un
format utile ;

i) pour bien mener un entretien, il faut savoir bien écouter ;

j) il faut garder des traces de tous les entretiens pour consultation future. Ces traces peuvent être des
transcriptions, des résumés d’entretiens, des notes et/ou des enregistrements sur bande magnétique.
Chapitre 9

ANALYSE DE LA SÉCURITÉ ET ÉTUDES


SUR LA SÉCURITÉ

9.1 INTRODUCTION

9.1.1 Seule une analyse de la sécurité permettra de tirer des conclusions valables des grandes
quantités de données de sécurité recueillies et enregistrées grâce à des enquêtes de sécurité et à divers
programmes d’identification des dangers. Pour que la réduction des données à des statistiques devienne utile,
il faut évaluer la signification pratique de ces statistiques afin de définir un problème que l’on puisse résoudre.

1
Exigence de l’OACI

9.1.2 L’OACI a conscience des liens existant entre analyse et gestion de la sécurité et elle encourage
l’analyse des données sur les accidents et les incidents ainsi que l’échange d’informations sur la sécurité.
Après avoir créé des bases de données sur la sécurité et des systèmes de comptes rendus d’incidents, les
États devraient analyser les informations qui figurent dans leurs comptes rendus d’accident/d’incident et
leurs bases de données pour déterminer les mesures préventives qui peuvent être nécessaires. L’OACI
reconnaît également que les études sur la sécurité sont précieuses pour aider à élaborer des recomman-
dations de sécurité.

Analyse de la sécurité — de quoi s’agit-il ?

9.1.3 L’analyse est le processus consistant à classer des faits en utilisant des méthodes, des outils ou
des techniques spécifiques. Elle peut entre autres être utilisée pour :

a) aider à décider quels faits supplémentaires sont nécessaires ;

b) établir les facteurs déterminants et contributifs ;

c) aider à dégager des conclusions valables.

9.1.4 L’analyse de la sécurité est fondée sur des informations factuelles, provenant éventuellement de
plusieurs sources. Les données pertinentes doivent être collectées, classées et stockées. Les méthodes et
les outils analytiques convenant à l’analyse sont ensuite sélectionnés et utilisés. L’analyse de la sécurité est
souvent itérative, requérant des cycles multiples. Elle peut être quantitative ou qualitative. Faute de données
quantitatives de base, on peut être obligé de s’appuyer sur des méthodes d’analyse qualitatives.

Objectivité et parti pris

9.1.5 Il faut tenir compte de toutes les informations pertinentes. Cependant, toutes les informations sur
la sécurité ne sont pas fiables. Les contraintes de temps ne permettent pas toujours la collecte et l’évaluation

1. Voir l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation.

9-1
9-2 Manuel de gestion de la sécurité (MGS)

de données en suffisance pour garantir l’objectivité. Parfois, des conclusions intuitives peuvent être tirées
qui ne répondent pas au degré d’objectivité requis pour que l’analyse de la sécurité soit crédible.

9.1.6 Nous sommes tous susceptibles de partialité dans nos jugements. Des expériences passées
vont souvent influencer notre jugement, de même que notre créativité, lors de la formulation d’hypothèses.
Une des formes les plus fréquentes d’erreur de jugement est connue sous le nom de « biais de confirmation ».
Il s’agit de la tendance à chercher à retenir les informations confirmant ce que nous tenons déjà pour vrai.
L’Appendice 1 à ce chapitre fournit davantage d’informations permettant de comprendre les partis pris et
leur rôle dans la formulation des conclusions d’une analyse de la sécurité.

9.2 MÉTHODES ET OUTILS ANALYTIQUES

Différentes méthodes sont employées dans l’analyse de la sécurité, certaines étant automatisées et d’autres
pas. En outre, il existe plusieurs outils informatiques (exigeant divers niveaux de compétences pour être
utilisés efficacement). Une partie des méthodes et outils analytiques disponibles sont énumérés ci-dessous :

a) L’analyse statistique. Nombre de méthodes et d’outils analytiques employés dans l’analyse de la


sécurité se basent sur des procédures et des concepts statistiques. Par ex., l’analyse des risques
se sert des concepts de la probabilité statistique. Les statistiques jouent un rôle important dans
l’analyse de la sécurité en contribuant à quantifier les situations, ce qui permet une meilleure
compréhension grâce aux chiffres. Cela donne des résultats plus crédibles, sur lesquels baser une
argumentation convaincante en faveur de la sécurité.

Le type d’analyse de la sécurité réalisé au niveau des systèmes de gestion de la sécurité d’une
compagnie requiert un minimum de compétences pour analyser les données numériques, identifier
les tendances et faire des calculs statistiques élémentaires comme les moyennes arithmétiques, les
percentiles et les médianes. Les méthodes statistiques sont également utiles pour les représen-
tations graphiques des analyses.

Les ordinateurs peuvent traiter de gros volumes de données. La plupart des procédures d’analyse
statistique sont disponibles dans des progiciels commerciaux (par ex. Microsoft Excel). Avec ces
applications, les données peuvent être directement intégrées dans une procédure préprogrammée.
S’il n’est pas nécessaire d’avoir une compréhension détaillée de la théorie statistique sous-tendant
la technique, l’analyste doit saisir le fonctionnement de la procédure et ce que les résultats sont
censés traduire.

Bien que les statistiques soient un outil puissant pour l’analyse de la sécurité, elles peuvent aussi
être utilisées de manière abusive et ainsi mener à des conclusions erronées. Il faut sélectionner et
employer les données avec beaucoup de soin dans l’analyse statistique. Pour s’assurer que les
méthodes plus complexes sont bien appliquées, l’aide d’un spécialiste en analyse statistique peut
s’avérer nécessaire.

b) L’analyse de tendances. En surveillant les tendances des données de sécurité, il est possible
d’émettre des prévisions quant aux événements à venir. Les tendances émergentes peuvent mettre
en évidence des dangers embryonnaires. Les méthodes statistiques peuvent servir à évaluer l’impor-
tance des tendances observées. Il est possible de définir les limites inférieures et supérieures de
performance acceptable auxquelles comparer les performances observées. L’analyse des tendances
peut être employée pour tirer la « sonnette d’alarme » lorsque les performances sont sur le point de
sortir des limites autorisées.
Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-3

c) Les comparaisons normatives. Les données disponibles peuvent être insuffisantes pour fournir
une base factuelle permettant de comparer les circonstances de l’événement ou de la situation
examinés avec l’expérience quotidienne. L’absence de données normatives crédibles compromet
souvent l’utilité des analyses de la sécurité. Dans de tels cas, il peut s’avérer nécessaire d’inclure
dans l’échantillon des expériences réelles ayant eu lieu dans des conditions opérationnelles
semblables. Les programmes FDA, LOSA et NOSS offrent des données normatives précieuses
pour l’analyse de l’exploitation aérienne. Ils sont traités aux Chapitres 16 et 17.

d) Les simulations et tests. Dans certains cas, les dangers sous-jacents pour la sécurité peuvent
devenir manifestes grâce à des tests. Ainsi, des essais en laboratoire peuvent être requis pour
analyser les défauts du matériel. Pour les procédures opérationnelles suspectes, une simulation sur
le terrain dans les conditions réelles d’exploitation ou dans un simulateur peut se justifier.

e) Les groupes d’experts. Étant donné la diversité des dangers pour la sécurité et les différents
points de vue possibles apparaissant dans l’évaluation de toute condition dangereuse particulière, il
faudrait demander l’avis d’autres personnes, notamment de pairs et de spécialistes. Une équipe
multidisciplinaire formée pour examiner les preuves d’une condition dangereuse peut également
aider à l’identification et à l’évaluation des mesures correctrices les plus appropriées.

f) L’analyse coûts/avantages. Il se peut que l’acceptation des mesures recommandées de maîtrise


des risques dépende de l’existence d’analyses coûts/avantages crédibles. Les coûts de la mise en
œuvre des mesures proposées sont comparés aux avantages escomptés au fil du temps. Parfois, il
peut ressortir d’un analyse coûts/avantages qu’il vaut mieux accepter le risque que consacrer du
temps, des efforts et de l’argent à la mise en œuvre de mesures correctrices.

9.3 ÉTUDES SUR LA SÉCURITÉ

9.3.1 C’est grâce à un examen du plus large contexte possible que l’on peut le mieux comprendre
certaines questions de sécurité complexes ou très répandues. Les questions de sécurité à caractère global
peuvent être traitées au niveau de l’industrie aéronautique ou de l’État. Par exemple, l’industrie s’est
inquiétée de la fréquence et de la gravité des accidents à l’approche et à l’atterrissage et elle a entrepris des
études importantes, élaboré de nombreuses recommandations de sécurité et mis en œuvre des mesures
globales de réduction des risques d’accidents pendant les phases de vol critiques que sont l’approche et
l’atterrissage. Pour avancer des arguments convaincants en faveur de changements à grande échelle ou
globaux, il faut des données significatives, une analyse appropriée et une communication efficace. Les
arguments de sécurité fondés sur des événements isolés et des informations empiriques ne passeront pas.

9.3.2 Dans ce manuel, ces analyses de sécurité plus vastes et plus complexes sont appelées « études
sur la sécurité ». Cette dénomination recouvre beaucoup de types d’études et d’analyses menées par les
autorités publiques, les compagnies aériennes, les constructeurs et les associations professionnelles et
sectorielles. L’OACI reconnaît que les recommandations de sécurité peuvent provenir non seulement des
2
enquêtes sur les accidents et les incidents graves mais aussi d’études sur la sécurité . Celles-ci s’appliquent
à l’identification et à l’analyse des dangers dans les opérations aériennes, la maintenance, la sécurité en
cabine, le contrôle de la circulation aérienne, l’exploitation des aérodromes, etc.

9.3.3 Les études sur la sécurité concernant des préoccupations à l’échelle de l’industrie requièrent
généralement un promoteur important. La Fondation pour la sécurité aérienne, en collaboration avec de
grands avionneurs, l’OACI, la NASA et d’autres acteurs clés de l’industrie, a endossé un rôle de premier

2. Cf. l’Annexe 13, Chapitre 8.


9-4 Manuel de gestion de la sécurité (MGS)

plan dans beaucoup de ces études. Les autorités de l’aviation civile de différents États ont également
réalisé des études importantes sur la sécurité et ont ainsi identifié des risques pour la sécurité présentant un
intérêt général. En outre, diverses autorités publiques ont utilisé ces études sur la sécurité pour identifier les
dangers dans leurs systèmes nationaux d’aviation et y remédier. S’il est peu probable que des exploitants
de petite taille ou de taille moyenne entreprennent une vaste étude sur la sécurité, les grands exploitants et
les autorités de réglementation peuvent être associés à l’identification des problèmes de sécurité systémiques.

Sélectionner les sujets des études

9.3.4 Il se peut que les grands exploitants, les constructeurs, les organismes de prévention des
accidents et les autorités de réglementation tiennent des listes de questions de sécurité prioritaires (significant
safety issues lists, ou SIL). (La tenue de ces listes est abordée à la section 9.4.) Ces listes peuvent se baser
sur les taux d’accidents et incidents dans des domaines tels que les incursions sur piste, les avertissements
de proximité du sol, les recommandations du système d’alerte du trafic et d’évitement de collision (TCAS).
Les problèmes de sécurité peuvent être classés par ordre de priorité en fonction des risques qu’ils présentent
pour l’organisation ou l’industrie.

9.3.5 Étant donné le degré de collaboration et d’échanges d’informations nécessaire à la réalisation


d’une enquête efficace sur la sécurité, les problèmes sélectionnés pour être étudiés doivent être largement
approuvés par les participants et les donateurs.

Collecte d’informations

9.3.6 Les méthodes décrites ci-dessous permettent d’obtenir les informations sur lesquelles baser une
étude sur la sécurité :

a) Examen des comptes rendus d’événements. Il est possible d’examiner les événements faisant
l’objet d’une enquête en sélectionnant ceux qui répondent à des caractéristiques prédéfinies, comme
les incursions sur piste ou la fatigue de l’équipage. En passant en revue tout le matériel classé
disponible, on peut identifier des éléments spécifiques intéressants à analyser plus en détail.

b) Interviews structurées. Des informations utiles peuvent être obtenues grâce à des interviews
structurées. Certes, les interviews peuvent prendre du temps mais elles offrent la possibilité de
recueillir des informations de qualité, même si l’échantillon n’est pas statistiquement représentatif.
Leur réussite dépendra de la capacité de l’analyste à tirer des données utiles des grandes quantités
d’informations empiriques.

c) Enquêtes de terrain dirigées. Les enquêtes sur des événements relativement mineurs (pouvant
normalement ne pas faire l’objet d’une enquête) peuvent révéler suffisamment d’informations
supplémentaires pour permettre une analyse plus approfondie. Bien que peu de ces enquêtes,
prises individuellement, contribuent vraiment à la connaissance collective des facteurs concourant
à de tels événements, ensemble, elles peuvent mettre au jour des modèles de comportement
compromettant la sécurité de l’exploitation.

d) Étude documentaire. Que les problèmes de sécurité à l’examen concernent certains éléments du
matériel, de la technologie, de la maintenance, des aspects de la performance humaine, des
facteurs environnementaux ou des questions d’organisation et de gestion, beaucoup de choses ont
sans aucun doute déjà été écrites sur le sujet. Avant d’entamer une étude sur la sécurité, il peut être
opportun d’effectuer une étude documentaire sur la question concernée. Une utilisation prudente
d’Internet peut apporter des informations à profusion.
Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-5

e) Témoignage d’experts. Il peut être justifié de nouer un contact direct avec des experts reconnus.
Ceux-ci peuvent être contactés de façon informelle ou être invités à fournir une contribution plus
officielle par le biais de participations à une audition ou à une enquête publique.

f) Enquêtes publiques. Pour les grandes questions de sécurité devant être considérées sous
plusieurs angles, les autorités publiques peuvent organiser une sorte d’enquête publique. Cela
permet à toutes les parties prenantes (individuellement ou en tant que représentants de groupes
d’intérêts particuliers) de faire connaître leur opinion au cours d’un processus ouvert et impartial.

g) Auditions. Des réunions moins officielles que les enquêtes publiques peuvent être programmées
en vue d’entendre les points de vue différents (et souvent divergents) des acteurs importants de
l’aviation. Contrairement à ce qui se passe pour les enquêtes publiques, les parties intéressées sont
entendues à huis clos car il se peut qu’ainsi leur point de vue soit exprimé plus franchement.

9.4 LISTES DE QUESTIONS DE SÉCURITÉ PRIORITAIRES (SIL)

9.4.1 Parmi les autorités publiques de réglementation, les organismes d’enquête et les grands
exploitants, certains estiment que tenir une liste des questions de sécurité hautement prioritaires est un
moyen efficace de mettre en lumière les domaines justifiant une étude et une analyse supplémentaires. Ces
listes sont connues sous le nom de « listes de questions de sécurité prioritaires » (SIL) ; elles sont
cependant parfois appelées listes « top dix » ou, en anglais, « Most Wanted » (problèmes prioritaires). De
telles listes accordent la priorité aux problèmes de sécurité menaçant le système aéronautique (ou
l’organisation). Par conséquent, elles peuvent être utiles pour identifier des problèmes devant faire l’objet
d’évaluations, d’enquêtes ou d’études sur la sécurité. Pour que ces listes puissent utilement guider le travail
des personnes associées à la gestion de la sécurité, elles ne doivent pas mentionner tous les dangers
perçus. Elles ne devraient pas comporter plus de dix problèmes.

9.4.2 Voici quelques exemples des questions pouvant être incluses dans une telle liste :

a) fréquence des avertissements du dispositif avertisseur de proximité du sol (GPWS) ;

b) fréquence des avertissements du TCAS ;

c) incursions sur piste ;

d) écarts d’altitude (dépassement des limites) ;

e) confusion d’indicatifs d’appel ;

f) approches non stabilisées ;

g) proximités aériennes (quasi-collisions) à certains aérodromes.

9.4.3 Les SIL devraient être révisées et mises à jour chaque année, avec adjonction de nouveaux
problèmes à haut risque et suppression des problèmes présentant un risque moindre.

————————
Appendice 1 au Chapitre 9

COMPRENDRE LES PARTIS PRIS1

Le jugement de chacun est influencé par l’expérience personnelle. Malgré la quête d’objectivité, le temps ne
permet pas toujours la collecte et l’évaluation minutieuse de données suffisantes pour garantir l’objectivité.
Sur la base des expériences de notre vie, nous élaborons tous des schémas mentaux qui nous aident
généralement à évaluer des situations de tous les jours de manière « intuitive », sans disposer de toutes
les données factuelles. Malheureusement, bon nombre de ces schémas mentaux reflètent des partis pris
personnels. Un parti pris est la tendance à adopter une réaction bien précise indépendamment de la
situation. Voici quelques exemples de partis pris courants pouvant influencer la validité des analyses de la
sécurité :

a) Partis pris de fréquence. Nous avons tendance à surestimer ou à sous-estimer la probabilité d’un
événement donné parce que notre évaluation est uniquement fondée sur notre expérience person-
nelle. Nous supposons que notre expérience limitée est représentative de la situation globale.

b) Partis pris de sélectivité. Nos préférences personnelles engendrent une tendance à sélectionner
les choses sur la base d’un noyau restreint de faits. Nous sommes enclins à ignorer les faits ne
correspondant pas entièrement au modèle auquel nous nous attendons. Il se peut que nous
concentrions notre attention sur des caractéristiques importantes d’un point de vue physique ou sur
des preuves concrètes (par ex. bruit, luminosité et caractère récent) et ignorions des indices
pouvant apporter des informations plus pertinentes sur la nature de la situation.

c) Parti pris de familiarité. Quelle que soit la situation donnée, nous avons tendance à choisir les
solutions et les schémas auxquels nous sommes le plus habitués. Ces faits et ces processus qui
correspondent à nos modèles mentaux propres (ou idées préconçues) sont plus faciles à assimiler.
Nous avons tendance à faire les choses conformément aux schémas de nos expériences passées,
même si celles-ci n’offrent pas la meilleure solution à la situation donnée. Par ex., la route que nous
choisissons d’emprunter pour aller quelque part n’est peut-être pas toujours la plus judicieuse dans
des circonstances différentes.

d) Partis pris de conformité. Nous sommes enclins à rechercher des résultats qui étayent notre
décision plutôt que des informations qui la contrediraient. Plus notre modèle mental se renforce,
moins nous sommes disposés à accepter les faits qui ne correspondent pas parfaitement à ce que
nous « savons » déjà. Les contraintes de temps peuvent mener à des suppositions erronées qui ne
reflètent pas la réalité présente avec précision.

e) Parti pris de conformité au groupe ou de « pensée de groupe ». Une des déclinaisons du parti
pris de conformité est la « pensée de groupe ». La plupart d’entre nous tendent à être d’accord avec
les décisions de la majorité ; nous cédons aux pressions du groupe pour modeler notre propre
pensée sur celle du groupe. Nous ne voulons pas briser l’harmonie du groupe en remettant en
cause le modèle mental dominant. Il s’agit d’un comportement naturel adopté par commodité.

1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806)

9-APP 1-1
9-APP 1-2 Manuel de gestion de la sécurité (MGS)

f) Partis pris d’excès de confiance. Les individus ont tendance à surestimer leur connaissance de la
situation et de ses conséquences. Dès lors, ils concentrent leur attention uniquement sur les
informations qui confirment leur choix et ne tiennent pas compte des preuves qui contredisent leur
point de vue.
Chapitre 10

CONTRÔLE DES PERFORMANCES EN MATIÈRE


DE SÉCURITÉ

10.1 INTRODUCTION

10.1.1 Pour pouvoir boucler le cycle de la gestion de la sécurité, il faut recueillir des retours d’infor-
mations sur les performances en matière de sécurité. Ces retours d’informations permettent d’évaluer la
performance du système et de mettre en œuvre tout changement nécessaire. De plus, tous les intervenants
doivent avoir une indication du niveau de sécurité qui règne au sein d’une organisation, et ce pour diverses
raisons, dont voici quelques exemples :

a) Le personnel peut avoir besoin d’être rassuré quant à la capacité de son organisation à offrir un
environnement de travail sûr.

b) Les cadres hiérarchiques ont besoin de retours d’informations sur les performances en matière de
sécurité afin de pouvoir répartir les ressources entre les objectifs souvent contradictoires de la
production et de la sécurité.

c) Les passagers craignent pour leur vie.

d) La haute direction tente de protéger l’image de la société (et sa part de marché).

e) Les actionnaires souhaitent protéger leur investissement.

10.1.2 Si les acteurs du processus de sécurité d’une organisation souhaitent des retours d’infor-
mations, leurs conceptions de la sécurité varient considérablement. Or, le choix d’indicateurs fiables
permettant de qualifier d’acceptable la performance en matière de sécurité dépend en grande partie de la
conception que l’on a de la sécurité. Par ex. :

a) La haute direction peut viser l’objectif irréaliste de « zéro accident ». Malheureusement, comme les
risques sont inhérents à l’aviation, il y aura toujours des accidents, même si le taux d’accidents peut
être très bas.

b) Les exigences réglementaires définissent normalement des paramètres minimums d’exploitation


« sûre », par ex. des limites de plafond nuageux et de visibilité en vol. Le respect de ces paramètres
contribue à la « sécurité », sans toutefois la garantir.

c) Des mesures statistiques sont souvent utilisées pour indiquer un niveau de sécurité, par ex. le
nombre d’accidents par cent mille heures, ou de morts par millier de secteurs parcourus. Bien que
sans grande valeur intrinsèque, ces indicateurs quantitatifs sont utiles pour évaluer si la sécurité
s’améliore ou se dégrade au fil du temps.

10-1
10-2 Manuel de gestion de la sécurité (MGS)

10.2 « ÉTAT DE SANTÉ » DE LA SÉCURITÉ

10.2.1 Reconnaissant les interactions complexes qui influent sur la sécurité et la difficulté de définir
les pratiques sûres et les pratiques dangereuses, certains experts en sécurité parlent de l’« état de santé
de la sécurité » d’une organisation. L’expression « état de santé de la sécurité » indique le degré de
résistance de l’organisation à des circonstances inattendues ou à des actes imprévus d’individus. Elle
reflète les mesures systémiques mises en œuvre par l’organisation pour se protéger de l’inconnu. De
plus, elle traduit la capacité de l’organisation à s’adapter à l’inconnu. En fait, elle reflète la culture de la
sécurité de l’organisation.

10.2.2 Bien que l’absence d’événements liés à la sécurité (accidents et incidents) ne prouve pas
nécessairement que l’exploitation soit « sûre », certaines opérations sont considérées comme plus « sûres »
que d’autres. La sécurité s’emploie à réduire le risque à un niveau acceptable (ou tout au moins tolérable). Il
est cependant peu probable que le niveau de sécurité d’une organisation soit statique. À mesure qu’une
organisation ajoute des défenses contre des dangers pour la sécurité, on peut considérer que l’ « état de
santé » de sa sécurité s’améliore. Toutefois, divers facteurs (dangers) peuvent compromettre cet « état de
santé » de la sécurité et peuvent exiger l’adoption de mesures supplémentaires pour renforcer la résistance
de l’organisation à l’adversité. La variation du concept d’ « état de santé » de la sécurité d’une organisation
tout au long de son cycle de vie est illustrée à la Figure 10-1.

e
n

tèm
t io

es e
ita

n
c

sé s sys
tio
n
plo

de rie

cu e
rité

vo se
de ndu ’un
la tèm
’ex

l
et pé

c ia

rité
g

de aly
« État de santé » de la sécurité

nts s re e d
lle ’ex
td

l
de sys
so

cu

es ’an
on
op cum tifica

ide pte uvr


(Résistance à l’adversité)

flit

cti

né d
on ion

on un

d’i com n œ
on

ire

on me
sti d’
er

ati lat
e

tc

ed
uc

s d am
ge ion
ér u

de ise e
ne

ell
id

de ogr
de opt
uv
sio
tro

nc
Ac

Ad

Pr
No
Fu
Oc

Zone de « bonne santé »


de la sécurité

Respect des réglementations

(Niveau minimum acceptable)

Zone de « mauvaise santé » de la sécurité

Temps

Figure 10-1. Variation de l’« état de santé » de la sécurité


Chapitre 10. Contrôle des performances en matière de sécurité 10-3

Évaluer l’« état de santé » de la sécurité

10.2.3 En principe, il est possible d’identifier les caractéristiques et la performance en matière de


sécurité des organisations « les plus sûres ». Ces caractéristiques, qui reflètent les bonnes pratiques du
secteur, peuvent servir de valeurs de référence pour évaluer la performance en matière de sécurité.

Symptômes d’un mauvais « état de santé » de la sécurité

10.2.4 Un mauvais état de la sécurité peut être révélé par des symptômes qui mettent en danger des
éléments de l’organisation. L’Appendice 1 à ce chapitre cite des exemples de symptômes pouvant être
révélateurs d’un mauvais « état de santé » de la sécurité. Une faiblesse dans un domaine peut être
tolérable, mais des faiblesses dans de nombreux domaines traduisent de graves risques systémiques, qui
compromettent l’ « état de santé » de la sécurité de l’organisation.

Indicateurs de l’amélioration de l’ « état de santé » de la sécurité

10.2.5 L’Appendice 1 mentionne aussi des indicateurs de l’amélioration de l’ « état de santé » de la


sécurité. Ceux-ci reflètent les meilleures pratiques de l’industrie aéronautique et une bonne culture de la
sécurité. Les organisations qui ont la meilleure cote de sécurité tendent à « entretenir ou améliorer l’état de
leur sécurité » en appliquant des mesures destinées à accroître leur résistance aux imprévus. Elles
s’emploient en permanence à dépasser le stade du simple respect des exigences réglementaires minimales.

10.2.6 Si l’identification des symptômes peut donner une idée valable de l’ « état de santé » de la
sécurité de l’organisation, elle ne fournira peut-être pas assez d’informations pour garantir une prise de
décisions efficace. Des outils supplémentaires sont nécessaires pour mesurer la performance en matière de
sécurité d’une façon systématique et convaincante.

Indicateurs statistiques de la performance en matière de sécurité

10.2.7 Les indicateurs statistiques de la performance en matière de sécurité illustrent les réalisations
en matière de sécurité engrangées au fil des années ; ils donnent donc un « aperçu » des événements
passés. Présentés sous forme chiffrée ou graphique, ils dressent un bilan simple et facile à comprendre du
niveau de sécurité d’un secteur donné de l’aviation, en termes de nombre ou de taux d’accidents,
d’incidents ou de victimes sur une période de temps déterminée. Au niveau le plus élevé, il pourrait s’agir du
nombre d’accidents mortels par an sur les dix dernières années. Au niveau le plus bas (ou le plus
spécifique), les indicateurs de performance en matière de sécurité pourraient inclure des facteurs tels que le
taux d’événements techniques spécifiques (par ex. les pertes de séparation, les pannes de moteurs, les
avertissements du TCAS et les incursions sur piste).

10.2.8 Les indicateurs statistiques de performance en matière de sécurité peuvent cibler soit des
domaines spécifiques des opérations afin de contrôler les résultats en matière de sécurité, soit des domaines
méritant attention. Cette approche « rétrospective » est utile pour l’analyse des tendances, l’identification
des dangers, l’évaluation des risques, ainsi que pour le choix des mesures de maîtrise des risques.

10.2.9 Comme les accidents (et les incidents graves) sont des événements relativement rares et
fortuits en aviation, une évaluation de l’ « état de santé » de la sécurité basée sur les seuls indicateurs
statistiques de performance en matière de sécurité pourrait ne pas fournir un indicateur prévisionnel valable
de la performance en matière de sécurité, surtout en l’absence de données de risque fiables. L’examen du
10-4 Manuel de gestion de la sécurité (MGS)

passé n’aide guère les organisations dans leur quête d’approche proactive ni dans la mise en place des
systèmes les plus susceptibles de protéger contre l’inconnu.

Niveaux acceptables de sécurité

10.2.10 Les organisations de l’aviation doivent respecter des exigences réglementaires pour garantir
des niveaux acceptables de sécurité. Toutefois, les organisations qui se limitent à respecter ces exigences
minimales peuvent ne pas être saines si on les considère sous l’angle de la sécurité. Bien qu’elles aient
réduit leur vulnérabilité aux actes et circonstances dangereux le plus susceptibles d’entraîner des accidents,
elles n’ont pris qu’un minimum de mesures de précaution.

10.2.11 Les organisations « faibles » qui ne satisfont pas aux niveaux acceptables de sécurité seront
éliminées du système aéronautique soit de façon proactive, via une révocation de leur certificat d’exploi-
tation par l’autorité de réglementation, soit de façon réactive, en réaction à des pressions commerciales
telles que le coût élevé d’accidents ou d’incidents graves ou la résistance des consommateurs. Les
Chapitres 1, 4 et 5 contiennent des informations supplémentaires sur les niveaux acceptables de sécurité.

10.3 SUPERVISION DE LA SÉCURITÉ

10.3.1 Une des pierres angulaires d’une gestion efficace de la sécurité est l’existence d’un système
formel de supervision de la sécurité. La supervision de la sécurité consiste en une surveillance régulière (si
pas continue) de tous les aspects de l’exploitation d’une organisation. À première vue, la supervision de la
sécurité prouve le respect des règles, réglementations, normes, procédures, etc., de l’État et de l’organi-
sation mais elle a une valeur beaucoup plus profonde. Cette surveillance constitue un autre moyen proactif
d’identifier les dangers, de valider l’efficacité des mesures de sécurité prises et d’évaluer en continu la
performance en matière de sécurité.

10.3.2 Comme indiqué au § 5.3.1, alinéa c), la supervision de la sécurité est considérée comme une
fonction à assumer par l’État dans son rôle d’autorité de réglementation, tandis que le contrôle de la
performance en matière de sécurité est à mener par les exploitants et les prestataires de services. Les
fonctions de « surveillance » de la supervision de la sécurité peuvent revêtir de nombreuses formes,
assorties de degré de formalisme divers.

Niveau international

10.3.3 Au niveau international, le Programme universel OACI d’audits de supervision de la sécurité


(USOAP) (décrit au § 10.4) surveille la performance en matière de sécurité de tous les États contractants.
Des organisations internationales, telles que l’IATA, supervisent aussi la sécurité des compagnies aériennes
par le biais d’un programme d’audit.

Niveau national

10.3.4 Au niveau national, une supervision efficace de la sécurité peut être assurée par une combi-
naison de plusieurs activités, dont voici quelques exemples :

a) mener des inspections surprises pour sonder la performance réelle de divers aspects du système
aéronautique national ;
Chapitre 10. Contrôle des performances en matière de sécurité 10-5

b) mener des inspections formelles (prévues) qui suivent un protocole clairement compris par
l’organisation soumise à inspection ;

c) décourager les comportements non conformes par la prise de mesures d’exécution (sanctions ou
amendes) ;

d) contrôler la qualité de la performance associée à toutes les demandes de permis et de certification ;

e) assurer le suivi de la performance en matière de sécurité des divers secteurs de l’aviation ;

f) intervenir dans des cas justifiant une vigilance supplémentaire au niveau de la sécurité (notamment
en cas de graves conflits du travail, de faillites de transporteurs aériens, d’expansion ou de contraction
rapide des activités) ;

g) mener des audits formels de supervision de la sécurité des compagnies aériennes ou des
prestataires de services tels que l’ATC, les organismes agréés de maintenance, les centres de
formation et les autorités aéroportuaires.

Niveau organisationnel

10.3.5 La taille et la complexité de l’organisation détermineront les meilleures méthodes à appliquer


pour mettre en place et maintenir un programme efficace de contrôle de la performance en matière de
sécurité. Les organisations offrant une supervision adéquate de la sécurité emploient les méthodes
suivantes, en tout ou en partie :

a) Leurs contrôleurs de première ligne entretiennent la vigilance (du point de vue de la sécurité) en
surveillant les activités quotidiennes.

b) Elles mènent régulièrement des inspections (formelles ou informelles) des activités quotidiennes
dans tous les domaines cruciaux pour la sécurité.

c) Elles recueillent les avis du personnel sur la sécurité (d’un point de vue tant général que spécifique)
par le biais d’enquêtes sur la sécurité.

d) Elles assurent un examen et un suivi systématiques de tous les comptes rendus de problèmes de
sécurité identifiés.

e) Elles saisissent systématiquement les données qui reflètent la performance quotidienne réelle (au
moyen de programmes tels que la FDA, le LOSA et le NOSS).

f) Elles effectuent des macro-analyses de la performance en matière de sécurité (études sur la sécurité).

g) Elles appliquent un programme régulier d’audits opérationnels (comprenant des audits de sécurité
internes et externes).

h) Elles communiquent les résultats relatifs à la sécurité à l’ensemble du personnel concerné.

Inspections

10.3.6 La forme la plus simple de supervision de la sécurité consiste peut-être à mener des « rondes »
informelles de toutes les aires opérationnelles de l’organisation. S’entretenir avec le personnel et les
10-6 Manuel de gestion de la sécurité (MGS)

responsables, voir les pratiques de travail réelles, etc., d’une façon non structurée permet d’obtenir une idée
précieuse de la performance en matière de sécurité « sur le terrain ». Les informations ainsi obtenues
devraient permettre d’affiner le système de gestion de la sécurité (SGS).

10.3.7 Pour qu’une inspection soit utile à l’organisation, il faut qu’elle soit axée sur la qualité du
« produit fini ». Malheureusement, beaucoup d’inspections se limitent à suivre un formulaire avec cases à
cocher. Bien qu’utile pour vérifier le respect d’exigences spécifiques, ce type de formulaire est moins
efficace pour évaluer des risques systémiques pour la sécurité. Par contre, une liste de vérification peut être
utilisée comme guide pour éviter d’omettre des parties des opérations.

10.3.8 La direction et les cadres hiérarchiques peuvent aussi mener des inspections de la sécurité afin
d’évaluer le respect des exigences, plans et procédures de l’organisation. Toutefois, de telles inspections ne
peuvent fournir qu’une vérification par sondage des opérations, n’offrant que peu de potentiel de supervision
systémique de la sécurité.

Enquêtes

10.3.9 Les enquêtes sur les opérations et les installations peuvent donner à la direction une indication
sur les niveaux de sécurité et d’efficacité au sein de l’organisation. La compréhension des dangers
systémiques et des risques inhérents aux activités quotidiennes permet à une organisation de réduire au
minimum les actes dangereux et de réagir de façon proactive en améliorant les processus, les conditions et
autres questions systémiques qui mènent à des actes dangereux. Les enquêtes sur la sécurité constituent
une des formes d’examen systématique d’éléments organisationnels spécifiques ou des processus utilisés
pour effectuer une opération particulière, que cet examen soit général ou mené sous un angle de sécurité
déterminé. Elles sont particulièrement utiles pour évaluer les attitudes de populations déterminées, par ex.
les pilotes de ligne pour un type d’aéronef spécifique, ou les ATCO travaillant à un poste particulier.

10.3.10 Lorsqu’elles tentent de déterminer les dangers sous-jacents d’un système, les enquêtes sont
habituellement indépendantes des inspections de routine menées par les gouvernements ou par la direction
des compagnies. Les enquêtes effectuées par le personnel opérationnel peuvent révéler des informations
diagnostiques importantes sur les opérations quotidiennes. Elles peuvent fournir des mécanismes peu
coûteux pour obtenir des informations importantes sur de nombreux aspects de l’organisation, dont :

a) les perceptions et opinions du personnel opérationnel ;

b) le niveau de travail en équipe et de coopération entre les divers groupes constituant le personnel ;

c) les domaines posant problème ou les blocages dans les opérations quotidiennes ;

d) la culture de la sécurité au sein de l’entreprise ;

e) les points actuels de désaccord ou de confusion.

10.3.11 Les enquêtes sur la sécurité sont généralement menées au moyen de listes de vérification, de
questionnaires et d’interviews confidentielles informelles. Les enquêtes, surtout celles qui font usage
d’interviews, peuvent susciter la révélation d’informations qu’il est impossible d’obtenir par d’autres moyens.

10.3.12 En général, des données spécifiques appropriées pour évaluer la performance en matière de
sécurité peuvent être acquises au moyen d’enquêtes bien structurées et gérées. Toutefois, il se peut que la
validité de toutes les informations obtenues au terme de l’enquête doive être vérifiée avant que ne soient
prises des mesures correctrices. Étant similaires aux systèmes volontaires de comptes rendus d’incidents,
Chapitre 10. Contrôle des performances en matière de sécurité 10-7

les enquêtes sont subjectives et reflètent les perceptions des individus. Par conséquent, elles souffrent des
mêmes limites, entre autres les préjugés de l’auteur, des répondants et les partis pris qui orientent l’interpré-
tation des données.

10.3.13 Les activités liées aux enquêtes sur la sécurité peuvent couvrir l’ensemble du cycle de gestion
des risques, depuis l’identification des dangers jusqu’à la supervision de la sécurité, en passant par
l’évaluation des risques. Elles seront plus que probablement menées par des organisations qui sont passées
d’une culture réactive de la sécurité à une culture proactive. Le Chapitre 15 comporte des indications sur la
conduite des enquêtes de sécurité.

Assurance de la qualité

10.3.14 Un système d’assurance de la qualité (SAQ) définit et fixe la politique et les objectifs de
l’organisation en matière de qualité. Il veille à ce que l’organisation ait mis en place les éléments néces-
saires pour améliorer l’efficacité et réduire les risques. S’il est mis en œuvre de façon adéquate, un SAQ
garantit une exécution systématique des procédures dans le respect des exigences en vigueur, l’identifi-
cation et la résolution des problèmes, ainsi que l’application par l’organisation d’une politique continue de
révision et d’amélioration de ses procédures, produits et services. Un SAQ devrait identifier les problèmes et
améliorer les procédures en vue de réaliser les objectifs de l’entreprise.

10.3.15 Un SAQ contribue à garantir que les mesures systémiques requises ont été prises afin de
satisfaire aux objectifs de sécurité de l’organisation. Cependant, l’assurance de la qualité « ne garantit pas
la sécurité ». Les mesures d’assurance de la qualité aident la direction à assurer la normalisation nécessaire
des systèmes au sein de son organisation afin de réduire les risques d’accidents.

10.3.16 Un SAQ contient des procédures de contrôle de la performance de tous les aspects de
l’organisation. Il vérifie notamment :

a) l’existence de procédures (par ex. des SOP) bien conçues et documentées ;

b) les méthodes d’inspection et d’essai ;

c) le contrôle des équipements et des opérations ;

d) les audits internes et externes ;

e) le suivi des mesures correctrices prises ;

f) l’utilisation d’analyses statistiques appropriées, le cas échéant.

10.3.17 Plusieurs normes d’assurance de la qualité acceptées à l’échelon international sont actuel-
lement en usage. Le choix du système le plus approprié dépend de la taille, de la complexité et du produit
de l’organisation. Les normes ISO 9000 constituent un des systèmes internationaux utilisés par beaucoup
d’organisations pour l’application d’un système interne d’assurance de la qualité. L’utilisation de tels systèmes
garantit en outre que les fournisseurs de l’organisation appliquent des systèmes d’assurance de la qualité
appropriés.

Audits de sécurité

10.3.18 La réalisation d’audits de sécurité est une activité clé de la gestion de la sécurité. Similaires
aux audits financiers, les audits de sécurité offrent un moyen d’évaluer de façon systématique dans quelle
10-8 Manuel de gestion de la sécurité (MGS)

mesure l’organisation atteint ses objectifs de sécurité. Le programme d’audits de sécurité, ainsi que d’autres
activités de supervision de la sécurité (contrôle des performances en matière de sécurité), donne aux
directeurs des différentes unités et à la haute direction des retours d’informations sur la performance de
l’organisation en matière de sécurité. Ces retours d’informations apportent des preuves du niveau de
performance en matière de sécurité atteint par l’organisation. En ce sens, les audits de sécurité constituent
une activité proactive de gestion de la sécurité et offrent un moyen d’identifier des problèmes potentiels
avant que ceux-ci n’aient une incidence sur la sécurité.

10.3.19 Les audits de sécurité peuvent être menés en interne par l’organisation ou être confiés à un
auditeur externe. La forme la plus courante d’audit externe de sécurité a pour objectif de prouver la
performance en matière de sécurité aux autorités de réglementation de l’État. Toutefois, de plus en plus,
d’autres intervenants peuvent exiger un audit indépendant en tant que condition préalable à l’octroi d’une
approbation spécifique, qu’il s’agisse de financement, d’assurance, de partenariats avec d’autres transporteurs
aériens ou d’entrée dans un espace aérien étranger. Quelle que soit la raison de l’audit, les activités et
produits des audits internes et externes sont similaires. Des audits de sécurité devraient être conduits de façon
régulière et systématique conformément au programme d’audits de sécurité de l’organisation. Des éléments
indicatifs sur la conduite des audits de sécurité sont mentionnés au Chapitre 14.

10.4 PROGRAMME UNIVERSEL OACI D’AUDITS DE SUPERVISION


DE LA SÉCURITÉ (USOAP)

10.4.1 L’OACI reconnaît la nécessité pour les États d’exercer une supervision effective de la sécurité
de leurs secteurs aéronautiques. C’est pourquoi l’OACI a mis sur pied le Programme universel d’audits de
1
supervision de la sécurité (USOAP) . Voici les objectifs principaux de l’USOAP :

a) déterminer le degré de conformité des États dans la mise en œuvre des normes de l’OACI ;

b) observer et évaluer le respect par les États des pratiques recommandées de l’OACI, des procédures
connexes, des éléments indicatifs et des pratiques liées à la sécurité ;

c) déterminer si l’instauration par les États de législations, réglementations, autorités et inspections de


la sécurité et moyens d’audit appropriés assurent une mise en œuvre efficace de leurs systèmes de
supervision de la sécurité ;

d) donner aux États contractants des conseils afin d’améliorer leurs capacités de supervision de la
sécurité.

10.4.2 Un premier cycle d’audits USOAP de la plupart des États contractants de l’OACI concernant
l’Annexe 1 — Licences du personnel, l’Annexe 6 — Exploitation technique des aéronefs et l’Annexe 8 —
Navigabilité des aéronefs est terminé. Des rapports sommaires d’audits contenant un résumé des consta-
tations, recommandations et mesures correctrices proposées par les États sont publiés et diffusés par
l’OACI afin de permettre aux autres États contractants de se faire une idée de la qualité de la sécurité de
l’aviation dans l’État audité. Les futurs cycles d’audits USOAP utiliseront une approche systémique, centrée
sur les SARP cruciales pour la sécurité de toutes les Annexes liées à la sécurité. Les constatations des
audits menés à ce jour ont révélé de nombreuses lacunes dans le respect des SARP de l’OACI par les États.

1. Des éléments indicatifs peuvent être obtenus auprès de l’OACI pour aider les États à préparer les audits USOAP. Voir le Manuel
d’audits de la supervision de la sécurité (Doc 9735) et les Éléments d’orientation sur les facteurs humains dans les audits de
sécurité (Doc 9806).
Chapitre 10. Contrôle des performances en matière de sécurité 10-9

10.5 AUDITS DE SÉCURITÉ CONDUITS PAR LES AUTORITÉS DE RÉGLEMENTATION

Pour certains États, les audits USOAP de l’OACI sont la seule évaluation de leur performance en matière de
supervision de la sécurité de leur aviation. Toutefois, beaucoup d’États appliquent un programme d’audits
de sécurité afin de garantir l’intégrité de leur système national d’aviation. Les audits conduits par une
autorité de réglementation de la sécurité devraient effectuer un examen général des procédures de gestion
de la sécurité de l’organisation considérée dans son ensemble. Les points clés de tels audits sont énumérés
ci-dessous :

a) Surveillance et conformité. Avant d’octroyer une licence ou une approbation, l’autorité de réglemen-
tation doit s’assurer que les normes locales, nationales ou internationales requises sont respectées et
que la situation sera maintenue à ce niveau pendant toute la durée de validité de la licence ou de
l’approbation. L’autorité de réglementation détermine un moyen acceptable de prouver la conformité.
L’organisation soumise à audit est alors tenue de fournir les documents prouvant que les exigences
réglementaires peuvent être respectées et le seront.

b) Domaines et degré de risque. Un audit de sécurité mené par une autorité de réglementation
devrait garantir que le SGS de l’organisation repose sur des principes et procédures solides. Des
systèmes organisationnels doivent être mis en place pour réexaminer régulièrement les procédures
afin de garantir le respect permanent de toutes les normes de sécurité. Il faudrait évaluer les
procédures d’identification des risques et de mise en œuvre des changements requis. L’audit devrait
confirmer que les diverses parties de l’organisation fonctionnent en tant que système intégré. Par
conséquent, les audits de sécurité menés par l’autorité de réglementation doivent avoir un degré de
détail et une portée suffisants pour garantir que l’organisation a envisagé les diverses interdépen-
dances dans son processus de gestion de la sécurité.

c) Compétence. L’organisation devrait avoir un personnel formé suffisant pour garantir que le SGS
fonctionne comme prévu. Non seulement l’autorité de réglementation doit confirmer la compétence
de tous les membres du personnel mais elle doit aussi évaluer les capacités du personnel occupant
des postes clés. La détention d’une licence octroyant des privilèges spécifiques ne donne pas
nécessairement d’indications quant à la compétence du titulaire pour assumer des tâches de gestion.
Ainsi, la compétence en tant qu’ATCO n’est pas synonyme de clairvoyance en matière de gestion.
En cas de lacunes à court terme au niveau des compétences, l’organisation devra convaincre
l’autorité de réglementation qu’elle dispose d’un plan viable pour résoudre le problème le plus
rapidement possible. En outre, l’autorité de réglementation devrait désigner le directeur qui assumera
la responsabilité de la sécurité.

d) Gestion de la sécurité. Un SGS doit être en vigueur pour garantir une gestion efficace des
problèmes de sécurité et la capacité générale de l’organisation de respecter ses objectifs de
performance en matière de sécurité.

10.6 AUTO-VÉRIFICATION

10.6.1 Une auto-évaluation critique (ou auto-vérification) est un outil que la direction peut utiliser pour
évaluer les marges de sécurité. Un questionnaire global destiné à aider la direction à mener une auto-
vérification des facteurs qui ont une incidence sur la sécurité est inclus à l’Appendice 2 à ce chapitre. Cette
liste d’auto-vérification est destinée à permettre à la haute direction d’identifier les événements, politiques,
procédures ou pratiques de l’organisation susceptibles de révéler des dangers pour la sécurité.
10-10 Manuel de gestion de la sécurité (MGS)

10.6.2 Il n’existe pas de bonnes ou de mauvaises réponses pour toutes les situations et toutes les
questions ne sont pas pertinentes pour tous les types d’opérations. Toutefois, la réaction à un certain type
de questionnement peut contribuer à déterminer si la sécurité de l’organisation est saine.

10.6.3 Bien que l’auto-vérification de l’Appendice 2 ait été conçue à l’origine pour être utilisée dans le
cadre des opérations aériennes, ce type de questionnement est valable pour la gestion de la plupart des
aspects opérationnels de l’aviation civile. Dès lors, cette liste d’auto-vérification peut être adaptée à tout un
éventail de situations.

————————
Appendice 1 au Chapitre 10

EXEMPLES D’INDICATEURS DE L’ÉTAT DE SANTÉ


DE LA SÉCURITÉ

MAUVAIS ÉTAT DE SANTÉ ÉTAT DE SANTÉ DE LA SÉCURITÉ


DE LA SÉCURITÉ EN VOIE D’AMÉLIORATION

AAC AAC

▪ Lois et réglementations en vigueur inadaptées ; ▪ Programmes nationaux de comptes rendus d’incidents


▪ Risque de conflits d’intérêts (par ex. l’autorité de (tant obligatoires que volontaires) ;
réglementation est aussi prestataire de services) ; ▪ Programmes nationaux de contrôle de la sécurité, y
▪ Infrastructure et systèmes de l’aviation civile inadaptés ; compris enquêtes sur des incidents, bases de données
▪ Insuffisances au niveau des fonctions de réglementation sur la sécurité accessibles et analyses des tendances ;
(telles que l’octroi de licences, la surveillance et ▪ Supervision réglementaire, y compris surveillance de
l’exécution) ; routine, audits de sécurité réguliers et suivi des bonnes
▪ Ressources et organisation insuffisantes pour l’ampleur pratiques du secteur ;
et la complexité des exigences réglementaires ; ▪ Répartition des ressources basée sur le risque pour toutes
▪ Instabilité et incertitude au sein de l’AAC compromettent les fonctions de réglementation ;
la qualité et l’opportunité de la fonction de ▪ Programmes de promotion de la sécurité pour aider les
réglementation ; exploitants.
▪ Absence de processus formels de sécurité tels que
des processus de comptes rendus d’incidents et de
supervision de la sécurité ;
▪ Stagnation de la réflexion sur la sécurité (par ex. réticence
à adopter les meilleures pratiques éprouvées).

Organisation opérationnelle Organisation opérationnelle

▪ Organisation et ressources insuffisantes pour les ▪ Culture proactive de la sécurité au sein de l’entreprise ;
opérations actuelles ; ▪ Investissement dans les ressources humaines dans des
▪ Instabilité et incertitude dues à de récents changements domaines tels que la formation non obligatoire ;
organisationnels ; ▪ Processus formels de sécurité pour la tenue à jour d’une
▪ Mauvaise situation financière ; base de données concernant la sécurité, les comptes
▪ Conflits sociaux non résolus ; rendus d’incidents, les enquêtes sur les incidents, les
▪ Réputation de non-respect des réglementations ; communications relatives à la sécurité, etc. ;
▪ Faibles niveaux d’expérience opérationnelle pour le type ▪ Application d’un système global de gestion de la sécurité
d’équipement ou d’opérations concerné ; (à savoir approche appropriée de l’entreprise, outils
▪ Déficiences de la flotte, notamment en termes d’âge et organisationnels et supervision de la sécurité) ;
de composition ; ▪ Système de communications internes bidirectionnelles fort
▪ Fonction de sécurité au sein de l’entreprise mal définie en termes d’ouverture, de retours d’informations, de
ou absence d’une telle fonction ; culture du compte rendu et de diffusion des
▪ Programmes de formation inadéquats ; enseignements tirés ;
▪ Relâchement de la vigilance de l’entreprise en ce qui ▪ Éducation et sensibilisation à la sécurité via des échanges
concerne la sécurité, les pratiques de travail actuelles, de données, la promotion de la sécurité, la participation à
etc. ; des forums de sécurité et l’élaboration de matériel
▪ Mauvaise culture de la sécurité. pédagogique.

————————

10-APP 1-1
Appendice 2 au Chapitre 10

AUTO-VÉRIFICATION DE LA DIRECTION

1. OBJECTIF

Cette liste d’auto-vérification peut être utilisée par la direction pour identifier les processus administratifs,
opérationnels et autres, ainsi que les exigences de formation susceptibles de révéler des dangers pour la
sécurité. Les résultats peuvent servir à attirer l’attention de la direction sur les points qui pourraient générer
un risque pour la sécurité.

2. GESTION ET ORGANISATION

Structure de gestion

1) L’organisation a-t-elle une déclaration écrite formelle des politiques et objectifs de sécurité de
l’entreprise ?

2) Les politiques et objectifs de sécurité de l’entreprise sont-ils suffisamment diffusés dans toute
l’organisation ? La haute direction soutient-elle visiblement ces politiques de sécurité ?

3) L’organisation a-t-elle un département de la sécurité ou un directeur de la sécurité (DS) ?

4) Ce département ou ce DS est-il efficace ?

5) Le DS du département relève-t-il directement de la haute direction de l’entreprise ?

6) L’organisation soutient-elle la publication périodique d’un rapport ou d’un bulletin d’information sur la
sécurité ?

7) L’organisation distribue-t-elle des rapports ou des bulletins d’information sur la sécurité provenant
d’autres sources ?

8) Existe-t-il un système formel de communication régulière des informations liées à la sécurité entre la
direction et le personnel ?

9) Des réunions sur la sécurité se tiennent-elles régulièrement ?

10) L’organisation participe-t-elle à des activités et initiatives de sécurité de l’industrie aéronautique ?

11) L’organisation mène-t-elle des enquêtes formelles sur les incidents et les accidents ? Les résultats
de ces enquêtes sont-ils communiqués aux directeurs et au personnel opérationnel ?

12) L’organisation a-t-elle un programme confidentiel, non punitif, de comptes rendus de dangers et
d’incidents ?

10-APP 2-1
10-APP 2-2 Manuel de gestion de la sécurité (MGS)

13) L’organisation tient-elle à jour une base de données sur les incidents ?

14) La base de données sur les incidents est-elle analysée régulièrement pour déterminer les tendances ?

15) L’organisation applique-t-elle un programme d’analyse des données de vol (FDA) ?

16) L’organisation applique-t-elle un programme d’audits de sécurité en service de ligne (LOSA) ?

17) L’organisation mène-t-elle des études sur la sécurité ?

18) L’organisation utilise-t-elle des sources extérieures pour conduire des évaluations ou des audits de
la sécurité ?

19) L’organisation sollicite-t-elle le concours des groupes de soutien technique des constructeurs
d’aéronefs ?

Stabilité de la direction et de l’entreprise

1) Y a-t-il eu des changements importants ou fréquents au niveau de la propriété ou de la haute


direction durant les trois dernières années ?

2) Y a-t-il eu des changements importants ou fréquents au niveau de la direction des départements


opérationnels durant les trois dernières années ?

3) Des directeurs des départements opérationnels ont-ils démissionné en raison de litiges au sujet des
questions de sécurité, des procédures ou pratiques d’exploitation ?

4) Les progrès technologiques liés à la sécurité sont-ils mis en œuvre avant d’être imposés par les
exigences réglementaires, autrement dit l’organisation se montre-t-elle proactive dans l’utilisation de
la technologie pour atteindre ses objectifs en matière de sécurité ?

Stabilité financière de l’organisation

1) L’organisation a-t-elle récemment connu une instabilité financière, une fusion, une acquisition ou
toute autre grande réorganisation ?

2) Une attention a-t-elle été portée aux questions de sécurité pendant ou après la période d’instabilité,
la fusion, l’acquisition ou la réorganisation ?

Sélection et formation de la direction

1) Existe-t-il des critères bien définis de sélection des directeurs ?

2) Le passé et l’expérience opérationnels font-ils partie des exigences de la sélection du personnel de


direction ?

3) Les directeurs d’exploitation de première ligne sont-ils sélectionnés parmi les candidats ayant des
qualifications opérationnelles ?
Chapitre 10. Contrôle des performances en matière de sécurité — Appendice 2 10-APP 2-3

4) Le nouveau personnel de direction reçoit-il une initiation et une formation formelles à la sécurité ?

5) Existe-t-il un développement de carrière bien défini pour les directeurs d’exploitation ?

6) Existe-t-il un processus formel d’évaluation annuelle des directeurs ?

Personnel

1) L’organisation a-t-elle procédé à des licenciements récemment ?

2) Une grande partie du personnel est-elle employée à temps partiel ou sur une base contractuelle ?

3) La société a-t-elle des règles ou politiques formelles pour gérer l’utilisation de personnel contractuel ?

4) Existe-t-il une communication franche entre la direction, le personnel et les syndicats au sujet des
questions de sécurité ?

5) Existe-t-il un taux élevé de rotation du personnel dans les départements de l’exploitation ou de la


maintenance ?

6) Le niveau général d’expérience du personnel de l’exploitation et de la maintenance est-il bas ou en


recul ?

7) Est-il tenu compte de la répartition des niveaux d’âge ou d’expérience au sein de l’organisation dans
le cadre de la planification organisationnelle à long terme ?

8) Les compétences professionnelles des candidats à des postes d’exploitation ou de maintenance


sont-elles évaluées de façon formelle pendant le processus de sélection ?

9) Les processus et questions de diversité culturelle sont-ils envisagés pendant la sélection et la


formation du personnel ?

10) Une attention particulière est-elle accordée aux questions de sécurité pendant des périodes de
désaccords ou de conflits sociaux ?

11) Des changements récents ont-ils été appliqués aux salaires, aux règles de travail ou aux pensions ?

12) L’organisation a-t-elle un programme propre de suivi médical du personnel ?

13) L’organisation a-t-elle un programme d’aide au personnel couvrant notamment le traitement de


l’alcoolisme et de la toxicomanie ?

Relations avec l’autorité de réglementation

1) Les normes de sécurité sont-elles fixées essentiellement par l’organisation ou par l’autorité de
réglementation appropriée ?

2) L’organisation fixe-t-elle des normes plus élevées que celles que lui impose l’autorité de régle-
mentation ?
10-APP 2-4 Manuel de gestion de la sécurité (MGS)

3) L’organisation a-t-elle une relation constructive, de coopération avec l’autorité de réglementation ?

4) L’organisation a-t-elle été soumise à une récente mesure d’exécution de la sécurité par l’autorité de
réglementation ?

5) L’organisation tient-elle compte des différents niveaux d’expérience et de normes d’octroi de licence
d’autres États lorsqu’elle examine les demandes d’emploi ?

6) L’autorité de réglementation évalue-t-elle régulièrement si l’organisation respecte les normes de


sécurité requises ?
Chapitre 11

PLANIFICATION DES INTERVENTIONS


EN CAS D’URGENCE

11.1 INTRODUCTION

11.1.1 C’est peut-être parce que les accidents d’aviation sont rares que peu d’organisations sont
prêtes pour y faire face. Beaucoup d’organisations n’ont pas mis en place de plans efficaces pour gérer les
événements pendant ou après une situation d’urgence ou une crise. Or, la façon dont une organisation s’en
sort après un accident ou une autre situation d’urgence peut dépendre de la qualité de sa gestion des
premières heures ou jours suivant un grave événement lié à la sécurité. Un plan d’urgence énonce par écrit
ce qu’il faut faire après un accident et qui est responsable de chaque action. Dans les opérations aéro-
portuaires, un tel plan s’intitule Plan d’urgence d’aérodrome (AEP). Toutefois, ce chapitre utilise le terme
générique Plan d’intervention en cas d’urgence (ERP).

11.1.2 S’il est normal d’associer la planification des interventions en cas d’urgence aux opérations
aériennes et aéroportuaires dans le cas d’un accident d’aéronef, le concept peut tout aussi bien s’appliquer
à d’autres prestataires de services. La planification des interventions en cas d’urgence est nécessaire pour
les fournisseurs de services ATS afin de leur permettre de faire face à une importante coupure de courant, à
une perte de couverture radar, à une défaillance des communications ou d’autres installations majeures,
etc. Un organisme de maintenance a besoin d’une planification des interventions en cas d’urgence pour
gérer l’incendie d’un hangar, un gros déversement de carburant, etc. Dans ce contexte, une situation
d’urgence est considérée comme un événement susceptible de faire subir un grave préjudice ou de sérieuses
perturbations à l’organisation.

11.1.3 À première vue, la planification des interventions en cas d’urgence peut paraître peu liée à la
gestion de la sécurité. Néanmoins, une planification efficace des interventions en cas d’urgence offre une
occasion d’apprendre, ainsi que d’appliquer les leçons de sécurité visant à réduire au minimum les dommages
matériels ou les lésions corporelles.

11.1.4 Pour pouvoir gérer avec succès une urgence, il faut commencer par élaborer une planification
efficace. Un ERP fournit la base d’une approche systématique de la gestion des activités de l’organisation à
la suite d’un événement imprévu important qui, dans le pire des cas, peut être un accident grave.

11.1.5 Un ERP vise à garantir :

a) une transition ordonnée et efficace des opérations normales aux opérations d’urgence ;

b) une délégation de l’autorité en cas d’urgence ;

c) une attribution des responsabilités en situation d’urgence ;

d) une autorisation du personnel clé pour l’application des mesures prévues dans le plan ;

e) une coordination des efforts pour faire face à la situation d’urgence ;

11-1
11-2 Manuel de gestion de la sécurité (MGS)

f) une poursuite des opérations en toute sécurité ou le retour le plus rapide possible aux opérations
normales.

11.2 EXIGENCES DE L’OACI

11.2.1 Toute organisation qui effectue ou soutient des opérations aériennes devrait avoir un ERP. Les
documents suivants stipulent les exigences de l’OACI ou fournissent des éléments indicatifs concernant la
planification des interventions en cas d’urgence :

a) L’Annexe 14 — Aérodromes stipule qu’un plan d’urgence sera établi pour tout aérodrome en
proportion des opérations aériennes et autres activités pour lesquelles il est utilisé. Le plan d’urgence
d’aérodrome permettra d’assurer la coordination des mesures à prendre dans une situation d’urgence
survenant sur l’aérodrome ou dans son voisinage.

b) La Rédaction d’un manuel d’exploitation (Doc 9376) recommande que les compagnies incluent
dans leurs manuels d’exploitation des instructions et indications sur les tâches et obligations du
personnel à la suite d’un accident. Le manuel d’exploitation devrait comporter des éléments
indicatifs sur l’installation et le fonctionnement d’un centre d’intervention en cas d’urgence/accident,
qui sera le centre nerveux d’où sera gérée la crise. Outre les éléments indicatifs sur les accidents
concernant les aéronefs de la compagnie, des indications devraient aussi être données sur les
accidents concernant des aéronefs dont la compagnie est l’agent de services d’escale (par ex. en
raison d’accords de partage de codes ou de contrats de sous-traitance de services). Les grandes
compagnies peuvent choisir de consolider toutes ces informations relatives à la planification des
interventions en cas d’urgence dans un volume distinct de leur manuel d’exploitation.

e
c) Le Manuel des services d’aéroport (Doc 9137), 7 Partie — Planification des mesures d’urgence aux
aéroports, donne des indications tant aux autorités aéroportuaires qu’aux exploitants d’aéronefs
quant à la planification préliminaire des interventions en cas d’urgence ainsi qu’à la coordination
entre les différents organismes aéroportuaires, exploitant compris.

11.2.2 Pour être efficace, un ERP devrait :

a) être pertinent et utile pour les personnes qui sont susceptibles d’être de service au moment où
survient un accident ;

b) comporter des listes de vérification et un aide-mémoire reprenant les coordonnées du personnel


adéquat ;

c) être testé régulièrement par le biais d’exercices ;

d) être mis à jour lorsque surviennent des changements.

11.3 CONTENU D’UN ERP

L’ERP sera normalement conçu sous la forme d’un manuel. Il devrait exposer les responsabilités, rôles et
actions des divers organismes et personnels qui devront gérer les situations d’urgence. L’ERP devrait tenir
compte des éléments suivants :
Chapitre 11. Planification des interventions en cas d’urgence 11-3

a) Les politiques en vigueur. L’ERP devrait donner des indications sur les interventions en cas
d’urgence, notamment les lois et réglementations régissant les enquêtes, les accords passés avec
les autorités locales et les politiques et priorités de la compagnie.

b) L’Organisation. L’ERP devrait décrire les intentions de la direction quant aux organismes d’inter-
vention en :

1) désignant qui sera affecté aux équipes d’intervention et en spécifiant qui dirigera ces équipes ;

2) définissant les rôles et responsabilités du personnel affecté aux équipes d’intervention ;

3) clarifiant les liens hiérarchiques ;

4) donnant des instructions pour la mise sur pied d’un Centre de gestion des crises (CMC) ;

5) instaurant des procédures pour la réception d’un grand nombre de demandes d’informations,
surtout pendant les premiers jours suivant un grave accident ;

6) désignant le porte-parole de la compagnie qui assurera le contact avec les médias ;

7) définissant les ressources qui seront disponibles, y compris les autorisations financières pour
les activités immédiates ;

8) désignant le représentant de la compagnie pour toute enquête officielle qui serait entreprise par
des agents de l’État ;

9) définissant un plan de rappel au travail du personnel clé.

Un organigramme ou un ordinogramme pourrait être utilisé pour montrer les fonctions au sein de
l’organisation et les flux de communications entre ces fonctions.

c) Notifications. L’ERP devrait spécifier à quelle(s) personne(s) au sein de l’organisation il faut


signaler une situation d’urgence et qui en enverra notification à l’extérieur et par quel(s) moyen(s). Il
faudrait envisager de signaler l’événement aux personnes ci-dessous :

1) la direction ;

2) les autorités nationales (services de recherche et de sauvetage, autorité de réglementation,


bureau d’enquête sur les accidents, etc.) ;

3) les services locaux d’intervention en cas d’urgence (autorités aéroportuaires, pompiers, police,
services d’ambulance, organismes médicaux, etc.) ;

4) les proches des victimes (une question sensible qui est gérée par la police dans de nombreux
États) ;

5) le personnel de la compagnie ;

6) les médias ;

7) les représentants légaux, les mandataires comptables et représentants des assurances.


11-4 Manuel de gestion de la sécurité (MGS)

d) Première intervention. En fonction des circonstances, une équipe de première intervention peut
être envoyée sur le site de l’accident pour renforcer les ressources locales et surveiller les intérêts
de l’organisation. Voici quelques facteurs à envisager lors de la constitution d’une équipe de première
intervention :

1) Qui doit diriger l’équipe de première intervention ?

2) Qui doit faire partie de l’équipe de première intervention ?

3) Qui doit parler au nom de l’organisation sur le site de l’accident ?

4) Quels seraient les besoins en termes d’équipements spéciaux, de vêtements, de documentation,


de moyens de transport, de logement, etc. ?

e) Aide supplémentaire. Les membres du personnel ayant la formation et l’expérience appropriées


peuvent offrir un soutien utile pendant l’élaboration, les exercices de test et la mise à jour de l’ERP
de l’organisation. Leur savoir-faire peut être utile pour planifier et exécuter les tâches suivantes :

1) tenir le rôle de passagers dans des exercices de secours ;

2) aider les survivants ;

3) gérer le contact avec les familles des victimes.

f) Le Centre de gestion des crises (CMC). Un CMC devrait être installé au siège de l’organisation
lorsque la situation répond aux critères d’activation. En outre, le poste de commandement peut être
installé sur le site de l’accident ou à proximité de ce site. L’ERP devrait préciser comment
l’organisation répondra aux besoins en termes de :

1) dotation en personnel (éventuellement pour un service assuré 24 heures sur 24, 7 jours sur 7,
pendant la période de première intervention) ;

2) équipements de communication (téléphones, fax, Internet, etc.) ;

3) tenue des registres d’activités d’intervention ;

4) saisie des états de la compagnie qui concernent la situation d’urgence ;

5) mobilier et fournitures de bureau ;

6) documents de référence (tels que les listes de vérification et procédures d’intervention en cas
d’urgence, les manuels de la compagnie, les plans d’urgence d’aérodrome et les listes de
numéros de téléphone).

Il se peut que l’exploitant, qu’il s’agisse d’une compagnie aérienne ou d’une autre organisation
spécialisée, doive sous-traiter les services d’un centre de crise pour veiller à ses intérêts lorsque la
situation d’urgence s’est produite loin de l’aéroport d’attache. Du personnel de la compagnie viendrait
normalement renforcer dès que possible le centre assurant le service en sous-traitance.

g) États. Non seulement l’organisation doit tenir à jour des registres des événements et activités, mais
elle sera aussi tenue de fournir des informations à l’équipe d’enquête de l’État. L’ERP devrait
permettre la mise à disposition des types d’informations suivantes aux enquêteurs :
Chapitre 11. Planification des interventions en cas d’urgence 11-5

1) tous les états pertinents concernant l’aéronef, l’équipage de conduite, le vol, etc. ;

2) les listes de points de contact et de tous les membres du personnel associés à l’événement ;

3) les notes prises lors des interviews de toute personne associée à l’événement et les déclarations
de telles personnes ;

4) les preuves photographiques ou autres.

h) Site de l’accident. Après un grave accident, des représentants de nombreuses autorités ont des
raisons légitimes d’accéder au site, notamment la police, les pompiers, le corps médical, les
autorités aéroportuaires, les médecins légistes, les enquêteurs de l’État, les organismes de secours
(par ex. la Croix Rouge) et les médias. Bien que la coordination des activités de ces intervenants
relève de la responsabilité de la police de l’État et/ou de l’autorité en charge de l’enquête,
l’exploitant de l’aéronef devrait clarifier certains aspects des activités sur le site de l’accident. Il
devrait prévoir :

1) la nomination d’un haut représentant de la compagnie sur le site de l’accident (quel que soit le
lieu de cet accident) ;

2) la gestion des passagers survivants ;

3) comment répondre aux besoins des proches des victimes ;

4) les moyens d’assurer la sûreté de l’épave ;

5) le traitement des restes humains et des objets personnels des décédés ;

6) comment préserver les preuves ;

7) la fourniture d’assistance aux autorités d’enquête (le cas échéant) ;

8) comment enlever et éliminer l’épave.

i) Médias d’information. La réaction de la compagnie vis-à-vis des médias peut avoir une incidence
sur la façon dont la compagnie se remet de l’événement. Des instructions claires sont nécessaires
concernant entre autres :

1) les informations protégées par la loi (données de l’enregistreur de données de vol [FDR],
enregistrements de l’enregistreur de conversations du poste de pilotage [CVR] et enregistre-
ments ATC, déclarations de témoins, etc.) ;

2) la personne habilitée à s’exprimer au nom de l’organisation parente tant au siège que sur le site
de l’accident (Directeur des Relations publiques, Directeur général ou autre cadre dirigeant,
directeur ou propriétaire) ;

3) les instructions relatives à une déclaration préparée pour pouvoir répondre immédiatement aux
demandes des médias ;

4) les informations qui peuvent ou ne peuvent pas être divulguées ;

5) le choix du moment et du contenu de la première déclaration de la compagnie ;

6) la fourniture de mises à jour régulières aux médias.


11-6 Manuel de gestion de la sécurité (MGS)

j) Enquêtes officielles. Des indications pour le personnel de la compagnie qui entrera en contact
avec les enquêteurs de l’État et la police devraient être fournies dans l’ERP.

k) Aide aux familles. L’ERP devrait aussi comporter des éléments indicatifs sur la façon dont la
compagnie aidera les familles des victimes de l’accident (équipages et passagers). Ces indications
pourraient couvrir des matières telles que :

1) les exigences de l’État concernant la fourniture de services d’aide aux familles ;

2) les dispositions relatives au voyage et au logement pour visiter le lieu de l’accident et voir les
survivants ;

3) la désignation d’un coordinateur du programme et d’un ou plusieurs points de contact pour


chaque famille ;

4) la fourniture d’informations actualisées ;

5) l’assistance aux personnes en deuil ;

6) l’aide financière immédiate aux victimes et à leurs familles ;

7) les services à la mémoire des défunts.

Certains États définissent les types d’aide à fournir par les exploitants.

l) Conseils en gestion du stress à la suite d’un incident critique. L’ERP devrait donner des
indications au personnel travaillant dans des situations stressantes. Il peut notamment spécifier les
limites de temps de service et fournir des conseils en gestion du stress à la suite d’un incident
critique.

m) Évaluation après l’occurrence. Des indications devraient être données pour garantir qu’à la suite
de la situation d’urgence, le personnel clé effectue un débriefing complet et consigne toutes les
leçons importantes tirées de cette occurrence. Il se peut que des amendements soient ensuite
apportés à l’ERP et aux listes de vérification connexes.

11.4 RESPONSABILITÉS DE L’EXPLOITANT D’AÉRONEFS

11.4.1 L’ERP de l’exploitant d’aéronefs devrait être coordonné avec le plan d’urgence d’aérodrome
(AEP) afin que le personnel de l’exploitant sache quelles sont les responsabilités que l’aéroport assumera et
1
quel type d’intervention est requis de l’exploitant . Dans le cadre de leur planification des interventions en
2
cas d’urgence, les exploitants d’aéronefs, ainsi que l’exploitant de l’aéroport, sont tenus de :

a) fournir une formation pour préparer le personnel à faire face aux situations d’urgence ;

b) prendre des dispositions pour gérer les demandes téléphoniques de renseignements concernant la
situation d’urgence ;

1. Voir le Chapitre 18 pour des informations supplémentaires sur la planification des interventions en cas d’urgence aéroportuaire.
2. Voir aussi le Manuel des services d’aéroport (Doc 9137), 7e Partie — Planification des mesures d’urgence aux aéroports.
Chapitre 11. Planification des interventions en cas d’urgence 11-7

c) désigner une aire d’attente appropriée pour les passagers indemnes et les « parents et amis » ;

d) fournir une description des tâches du personnel de la compagnie (par ex. qui commande, qui
accueille les passagers dans les aires d’attente) ;

e) recueillir les informations essentielles sur les passagers et coordonner la réponse à leurs besoins ;

f) élaborer des arrangements avec d’autres exploitants et organismes pour fournir un soutien mutuel
pendant une situation d’urgence ;

g) préparer et tenir à jour un kit d’urgence contenant :

1) les fournitures administratives nécessaires (formulaires, papier, insignes nominatifs, ordinateurs,


etc.) ;

2) les numéros de téléphone cruciaux (de médecins, hôtels locaux, interprètes, restaurateurs,
compagnies de transport aérien, etc.).

11.4.2 Lorsqu’un accident d’aéronef se produit sur un aéroport ou à proximité de celui-ci, l’exploitant
d’aéronefs sera tenu de prendre certaines mesures, notamment :

a) se référer au poste de commandement de l’aéroport pour coordonner les activités de l’exploitant


aérien ;

b) aider à la localisation et à la récupération de tout enregistreur de vol ;

c) aider les enquêteurs à identifier les composants de l’aéronef et garantir que les composants
dangereux soient rendus inoffensifs ;

d) fournir des informations concernant les passagers, les membres d’équipage et l’existence de toute
marchandise dangereuse à bord ;

e) transporter les personnes indemnes jusqu’à l’aire d’attente désignée ;

f) prendre des dispositions pour toute personne indemne qui souhaiterait poursuivre son voyage ou
qui aurait besoin d’un logement ou de toute autre forme d’aide ;

g) diffuser les informations aux médias en parfaite coordination avec le responsable des relations
publiques de l’aéroport et la police ;

h) enlever l’aéronef et/ou l’épave sur autorisation de l’autorité d’enquête.

Bien que les informations de ce paragraphe concernent surtout les accidents d’aéronefs, certains de ces
concepts sont aussi valables pour guider les exploitants d’aérodromes et les fournisseurs de services ATS
dans leur processus de planification des interventions en cas d’urgence.

11.5 LISTES DE VÉRIFICATION

Toute personne participant à la première intervention à la suite d’un grave accident d’aéronef subira un
certain choc. Dès lors, le processus d’intervention en cas d’urgence se prête à l’utilisation de listes de
11-8 Manuel de gestion de la sécurité (MGS)

vérification. Ces listes de vérification peuvent faire partie intégrante des Manuels d’exploitation ou
d’intervention en cas d’urgence de la compagnie. Pour être efficaces, ces listes doivent être régulièrement :

a) revues et mises à jour (par ex., les listes de rappel et coordonnées de contact) ;

b) testées au cours d’exercices réalistes.

11.6 FORMATION ET EXERCICES

L’ERP est une déclaration d’intention écrite. Il est à espérer qu’une grande partie de l’ERP ne sera jamais
testée en conditions réelles. Dès lors, une formation est nécessaire pour garantir que les intentions énoncées
dans l’ERP soient soutenues par des capacités opérationnelles. Comme la formation a une courte « durée
utile », il est à conseiller de prévoir des exercices réguliers. Certaines parties de l’ERP, telles que les plans
de rappel et de communication, peuvent être testées au moyen d’exercices sur table. D’autres aspects, tels
que les activités « sur site » auxquelles participent d’autres organismes, doivent faire l’objet d’exercices
réguliers. La tenue d’exercices présente l’avantage de révéler les carences du plan, qui peuvent être
corrigées avant que ne se produise une réelle situation d’urgence.
Chapitre 12

MISE EN PLACE D’UN SYSTÈME DE GESTION


DE LA SÉCURITÉ

12.1 INTRODUCTION

12.1.1 Une gestion efficace de la sécurité requiert une approche systémique de l’élaboration des
politiques, procédures et pratiques relatives à la sécurité afin de permettre à l’organisation d’atteindre ses
objectifs de sécurité. Comme d’autres fonctions de management, la gestion de la sécurité exige planifi-
cation, organisation, communications et fixation d’orientations. La gestion de la sécurité intègre diverses
activités dans un tout cohérent. Un suivi sera nécessaire pour évaluer et valider l’opportunité et l’efficacité
des pratiques de l’organisation en matière de gestion de la sécurité afin de boucler le cycle de la sécurité.

12.1.2 Les besoins de gestion de la sécurité d’une organisation peuvent être satisfaits de plusieurs
manières. Il n’existe pas de modèle unique et universel. La taille, la complexité et le type d’opérations, ainsi
que la culture de l’entreprise en matière de sécurité et l’environnement opérationnel, sont autant de facteurs
qui détermineront la structure la plus adaptée à chaque organisation et à ses circonstances particulières.
Certaines organisations auront besoin d’un système formel de gestion de la sécurité (SGS) (tel que décrit au
Chapitre 5). D’autres requerront l’exécution de la plupart des mêmes fonctions mais selon une approche
moins structurée. Il se peut aussi que des organisations doivent tenir compte des limites de leurs ressources
et ne puissent dès lors mettre en œuvre que quelques activités de gestion de la sécurité.

12.1.3 Le présent chapitre examine les facteurs à prendre en considération lors de la mise en place
d’un SGS. Le choix du degré de formalisme et de rigidité du SGS devrait s’inspirer des besoins de
l’organisation et non d’un respect aveugle de la doctrine. Il est important que la taille et la complexité du
SGS soient adaptées à chaque organisation. Le Chapitre 15 examine quelques-uns des aspects les plus
pratiques de la mise en œuvre d’un SGS.

12.1.4 L’existence d’une culture appropriée de la sécurité au sein de l’organisation est une condition
préalable à la mise en œuvre d’un SGS efficace. Les aspects culturels sont évoqués au Chapitre 4.
Toutefois, comme la culture de la sécurité revêt une importance capitale pour la réussite d’un SGS, les
aspects pertinents d’une culture de la sécurité sont examinés plus en détail à la section 12.2.

12.2 CULTURE DE LA SÉCURITÉ

12.2.1 Une gestion efficace de la sécurité requiert plus que la mise en place d’une structure organi-
sationnelle appropriée et la promulgation de règles et de procédures à appliquer. Elle exige un véritable
engagement de la haute direction à garantir la sécurité. Les attitudes, décisions et méthodes de
fonctionnement au niveau de l’élaboration des politiques révèlent la priorité donnée à la sécurité. La
première indication de l’engagement de l’entreprise à garantir la sécurité apparaît dans la politique et les
objectifs de sécurité énoncés par l’organisation et dans la propension du personnel à croire que les
préoccupations relatives à la sécurité pourraient, le cas échéant, passer avant les objectifs de production.

12-1
12-2 Manuel de gestion de la sécurité (MGS)

12.2.2 Un indicateur clé de l’engagement de la direction à garantir la sécurité réside dans l’octroi de
ressources suffisantes. La mise en place d’une structure de gestion appropriée, l’attribution des responsa-
bilités et obligations redditionnelles et l’affectation de ressources adéquates doivent correspondre aux
objectifs de sécurité explicites de l’organisation. Une dotation suffisante en personnel expérimenté, des
formations pertinentes, données en temps utile, et le financement des équipements et installations
nécessaires sont autant d’éléments indispensables pour créer un environnement de travail dans lequel
chacun prend la sécurité au sérieux.

12.2.3 Des cultures effectives de la sécurité se caractérisent par des liens hiérarchiques clairs, des
tâches bien définies et des procédures bien comprises. Le personnel comprend pleinement ses
responsabilités et sait que signaler, à qui et quand. La haute direction évalue non seulement la performance
financière de l’organisation mais aussi sa performance en matière de sécurité.

12.2.4 Dès lors, la culture de la sécurité relève autant de l’attitude que de la structure et concerne
autant les individus que les organisations. Elle entraîne l’obligation non seulement de percevoir les
problèmes de sécurité mais aussi de les résoudre par l’adoption des mesures appropriées. La culture de la
sécurité porte sur des notions abstraites telles que les attitudes personnelles et le style de l’organisation.
Elle est donc difficile à évaluer, surtout lorsque le principal critère d’évaluation de la sécurité est l’absence
d’accidents et d’incidents. Toutefois, les attitudes personnelles et le style de l’entreprise permettent ou
facilitent les actes et circonstances dangereux qui sont les précurseurs d’accidents et d’incidents.

12.3 LES DIX ÉTAPES DE LA MISE EN PLACE D’UN SGS

12.3.1 Lancer un processus efficace de gestion de la sécurité et en assurer le fonctionnement peut


constituer un énorme défi. L’adoption d’une approche systémique contribuera à garantir la présence des
éléments nécessaires à l’élaboration d’un système efficace. La présente section décrit les dix étapes de
l’intégration des divers éléments dans un SGS cohérent. Une mise en œuvre simultanée de toutes les
fonctions d’un SGS représenterait une tâche titanesque, voire impossible. Il est donc préférable de réaliser
ces étapes progressivement afin de permettre à l’organisation de s’adapter et de se familiariser aux
exigences et résultats de chaque étape, avant d’aller plus loin.

12.3.2 Bien que l’ordre des étapes décrit ci-dessous réponde à une certaine logique, il n’est pas
normatif. Certaines étapes peuvent être retardées, dans l’attente d’un moment plus opportun. La liste type de
vérification et de confirmation fournie permet d’assurer le suivi des progrès en mettant en évidence les
initiatives à prendre à mesure que l’on avance dans la mise en œuvre des diverses étapes.

ÉTAPE 1 : PLANIFICATION

S’inscrivant dans la logique des pratiques générales de gestion, la gestion de la sécurité commence par une
planification rigoureuse. Une organisation qui s’efforce d’améliorer ses processus de gestion de la sécurité
serait bien avisée de désigner un groupe de cadres hiérarchiques principaux et la personne la plus
susceptible d’être nommée directeur de la sécurité (DS) de l’organisation pour mener à bien cette phase de
planification.

Analyse

Le groupe de la planification (ou de la mise en place) pourra peut-être s’appuyer sur des atouts existants
en réalisant l’inventaire des capacités actuelles de gestion de la sécurité de l’organisation (y compris
l’expérience, la connaissance, les processus, procédures, ressources, etc.). Il faut identifier les lacunes
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-3

dans l’expérience acquise en matière de gestion de la sécurité et déterminer les ressources nécessaires
pour contribuer à l’élaboration et à la mise en œuvre d’un SGS. De nombreuses unités opérationnelles
disposent peut-être déjà de procédures internes pour les enquêtes sur les incidents, l’identification des
dangers, le contrôle de la sécurité, etc. Il conviendrait d’examiner ces dispositifs et d’éventuellement les
modifier pour les intégrer dans le SGS. Il est important que l’organisation recycle le plus de procédures
existantes possible, car il n’est pas nécessaire de remplacer des procédures et processus connus et
efficaces. En s’appuyant sur un tel acquis, la création d’un SGS engendrera moins de perturbations.
Pendant ce processus d’analyse, le groupe de la planification devrait aussi étudier les bonnes pratiques du
secteur dans le domaine de la gestion de la sécurité en consultant d’autres organisations ayant une taille et
une mission similaires.

Évaluation de la sécurité

La conception et la mise en œuvre d’un SGS représenteront probablement pour l’organisation un grand
changement, qui est susceptible de générer de nouveaux dangers pour la sécurité. L’outil qui pourrait
utilement aider le groupe de la planification à résoudre ce problème est l’évaluation de la sécurité (telle que
décrite au Chapitre 13). La synergie d’un groupe de gestionnaires expérimentés qui, de façon systématique,
remettent en question tous les aspects de l’approche tant actuelle que planifiée de la gestion de la sécurité de
l’organisation devrait réduire le risque de surprises lors de la mise en œuvre du SGS, améliorer la connais-
sance qu’a le groupe de la situation actuelle et des besoins et préparer la voie pour la mise en œuvre effective
du changement.

Indicateurs de performance en matière de sécurité et objectifs de sécurité

En matière de sécurité, le groupe de la planification devrait définir des indicateurs de performance pour
l’organisation et fixer à celle-ci des objectifs de performance (comme décrit aux Chapitres 1 et 5). Ces
indicateurs et objectifs doivent être réalistes, c’est-à-dire qu’ils doivent tenir compte de la taille et de la
complexité de l’organisation, ainsi que du type d’exploitation, des ressources disponibles, etc. Il faut aussi
convenir d’un calendrier réaliste pour la réalisation des objectifs. Même si ces indicateurs et ces objectifs
peuvent s’avérer difficiles à établir, ce sont eux qui serviront de base pour évaluer le succès d’un SGS.

Stratégie de sécurité

En se basant sur les objectifs de sécurité convenus, le groupe de la planification peut élaborer une stratégie
réaliste pour répondre aux besoins. Cette stratégie devra probablement combiner des éléments réactifs et
proactifs (comme le décrit le Chapitre 5). Elle devrait aussi tenir compte des types de processus et
d’activités de sécurité qui seront utilisés (tels qu’esquissés dans les étapes suivantes). En fonction du
nombre de nouvelles initiatives à l’étude et de la disponibilité des ressources, il pourrait être souhaitable
d’adopter une approche graduelle. La stratégie peut aussi définir le degré de formalisme qu’une organi-
sation doit donner à son « système de gestion de la sécurité ». Une participation de la haute direction à
l’élaboration de la stratégie sera nécessaire.

Le plan

La phase de planification devrait aboutir à un plan détaillé pour l’élaboration et la mise en œuvre du SGS.
Généralement, la planification portera sur une durée d’un à trois ans. Le plan devrait aborder des aspects tels
que les objectifs de sécurité, la stratégie de sécurité, les processus et activités de gestion de la sécurité, les
implications en termes de ressources et les échéanciers.
12-4 Manuel de gestion de la sécurité (MGS)

Liste type de vérification et de confirmation n° 1


PLANIFICATION

¾ Un groupe de la planification de la sécurité et un directeur de la sécurité


ont été désignés.

¾ Le groupe de la planification :

— dispose d’une base d’expérience appropriée ;


— rencontre régulièrement la haute direction ;
— reçoit des ressources (y compris du temps pour les réunions).

¾ Le groupe de la planification élabore une stratégie et un plan de mise en


œuvre réalistes pour instaurer un SGS qui répondra aux besoins de
sécurité de l’organisation.

¾ La haute direction approuve le plan.

ÉTAPE 2 : ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ

La responsabilité ultime de la sécurité incombe aux directeurs et aux cadres dirigeants de l’organisation.
Tout le système de valeurs qui sous-tend l’attitude d’une organisation vis-à-vis de la sécurité — autrement
dit toute sa culture de la sécurité — est déterminé dès le départ par la mesure dans laquelle les cadres
dirigeants acceptent la responsabilité de la sécurité des opérations et en particulier de la gestion proactive
des risques.

Indépendamment des notions de taille, de complexité ou de type d’opérations, le succès d’un SGS dépendra
de la mesure dans laquelle les instances de direction consacrent le temps, les ressources et l’attention
nécessaires à la sécurité en temps que question essentielle de management. Sur ce point, les actes sont
plus éloquents que tous les discours. Ce sont les actes visibles que posera la direction dans le domaine de
la sécurité qui détermineront la culture de la sécurité (et par conséquent la performance en matière de
sécurité) de l’organisation.

Les politiques et objectifs de sécurité énoncent le résultat que l’organisation s’efforce d’atteindre et les
moyens qu’elle mettra en œuvre pour y parvenir. La volonté de la direction de garantir la sécurité est
d’abord communiquée à tout le personnel de l’organisation par la publication d’une politique et d’objectifs
explicites de sécurité.

Politique de sécurité

L’engagement de la direction à garantir la sécurité devrait être exprimé officiellement dans la politique de sécurité
de l’organisation. Celle-ci devrait refléter la philosophie de gestion de la sécurité de l’organisation et devrait
devenir la base sur laquelle l’organisation fondera son SGS. La politique de sécurité expose les méthodes et
processus qu’utilisera l’organisation pour atteindre les objectifs de sécurité souhaités et sert à rappeler « les
bases sur lesquelles nous travaillons ici ». L’instauration d’une culture positive de la sécurité commence par la
publication d’orientations claires, sans équivoque.

Une politique de sécurité peut revêtir plusieurs formes mais inclura généralement des déclarations concernant :

— l’objectif général de sécurité de l’organisation ;


Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-5

— l’engagement de la haute direction à atteindre l’objectif de garantir que tous les aspects des opérations
répondent aux objectifs de performance en matière de sécurité ;

— un engagement de l’organisation à affecter les ressources nécessaires à la gestion efficace de la


sécurité ;

— un engagement de l’organisation à accorder la plus haute priorité à la garantie de la sécurité ;

— la politique de l’organisation concernant la responsabilité et les obligations redditionnelles en matière


de sécurité à tous les niveaux de l’organisation.

Cette politique de sécurité devrait être un document écrit, publié sous l’autorité du niveau de direction le plus
élevé de l’organisation, approuvé par les autorités de réglementation et communiqué à tout le personnel. Un
exemple de déclaration de politique de sécurité d’une entreprise est présenté à l’Appendice 1 à ce chapitre.
Cette déclaration de politique exprime de façon tangible l’engagement de la haute direction à garantir la
sécurité. En lieu et place de ce type de politique de sécurité, il est possible de publier une déclaration par
laquelle le directeur général s’engage à respecter les normes les plus élevées de sécurité. Un exemple de
sujets pouvant être inclus dans une telle déclaration est présenté à l’Appendice 2 à ce chapitre.

Au cours de l’élaboration d’une politique de sécurité, les instances dirigeantes devraient entreprendre une
large consultation des membres clés du personnel responsables de domaines cruciaux pour la sécurité.
Cette consultation garantira que le document présente un intérêt direct pour le personnel, qui aura
l’impression d’y avoir en quelque sorte contribué. La politique de sécurité de l’entreprise doit aussi être
conforme aux réglementations de l’État concerné.

Objectifs de sécurité

La politique de sécurité (et la culture de la sécurité) est étroitement liée à la façon dont une organisation fixe
ses objectifs de sécurité. Des objectifs clairs peuvent générer un engagement à agir qui améliorera la sécurité
de l’organisation. De rares organisations fixent leurs objectifs de façon formelle, exposant clairement leur
philosophie, définissant les résultats souhaités, énonçant les progrès réalisables pour atteindre ces objectifs et
documentant le processus. Elles ont convenu d’indicateurs pertinents de performance en matière de sécurité
et ont adopté des objectifs réalistes de performance en matière de sécurité.

Liste type de vérification et de confirmation n° 2


ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ

¾ La haute direction participe — et souscrit — au SGS.

¾ La haute direction a approuvé la politique et les objectifs de sécurité de l’organisation, le plan


de mise en œuvre du SGS et les normes de sécurité des opérations.

¾ Ces éléments sont communiqués à tout le personnel, avec l’approbation visible des instances
de direction.

¾ La politique de sécurité a été élaborée par la direction et le personnel et a été signée par le
Directeur général. La politique de sécurité :

— bénéficie de l’engagement et de la participation de tout le personnel ;


— est conforme à d’autres politiques opérationnelles ;
— donne des orientations pour mettre en œuvre la politique ;
12-6 Manuel de gestion de la sécurité (MGS)

— stipule les responsabilités et obligations redditionnelles des directeurs, des gestionnaires et


du personnel ;
— est traduite dans les actes et décisions de tout le personnel ;
— a été communiquée à tout le personnel ;
— est réexaminée régulièrement.

¾ Les objectifs et buts de sécurité sont pratiques et réalisables et sont revus régulièrement pour
vérifier leur pertinence.

¾ Des normes de performance (y compris les échéances) sont fixées.

¾ Les responsabilités relatives à l’exécution des mesures sont clairement comprises.

¾ Les directeurs assurent le suivi des mesures et obligent les responsables à rendre compte des
progrès réalisés dans la poursuite des objectifs de sécurité fixés.

¾ Des ressources appropriées sont octroyées pour assister le directeur de la sécurité.

¾ La haute direction engage des ressources pour éliminer les dangers posant des risques
inacceptables.

¾ La haute direction a créé une chaîne appropriée de comptes rendus pour les questions de
sécurité.

¾ La haute direction encourage activement la participation aux divers programmes de sécurité du


SGS.

¾ La haute direction encourage une culture positive de la sécurité en vertu de laquelle :

— les informations relatives à la sécurité sont recherchées activement ;


— le personnel est formé pour assumer ses responsabilités en matière de sécurité ;
— la sécurité est une responsabilité partagée ;
— les informations liées à la sécurité sont diffusées à tout le personnel concerné ;
— les déficiences et dangers potentiels du système mènent promptement à des enquêtes de
la direction et à toute réforme nécessaire ;
— un programme formel est en place pour évaluer régulièrement les performances en matière
de sécurité ;
— de nouvelles idées liées à la sécurité sont accueillies favorablement.

ÉTAPE 3 : ORGANISATION

Les méthodes de fonctionnement et de gestion de la sécurité que choisit une organisation influenceront la
capacité de cette organisation à résister à l’adversité (ou à des situations dangereuses) et sa capacité à
réduire les risques. Plusieurs points doivent impérativement être pris en considération lors de la mise en
place d’une structure efficace de soutien d’un SGS. Il faut notamment :

— désigner un DS ;

— avoir une structure organisationnelle qui facilite la gestion de la sécurité ;

— disposer d’un énoncé des responsabilités et obligations redditionnelles ;

— créer un comité de sécurité ;

— assurer la formation et la compétence.


Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-7

Directeur de la sécurité (DS)

Une des premières tâches à accomplir lors de la mise en place d’un SGS est la désignation d’un DS. Les
activités de gestion de la sécurité requièrent un coordonnateur (ou un ardent défenseur) capable de stimuler
les changements systémiques nécessaires pour rendre la sécurité effective dans toute l’organisation. Dans
la plupart des organisations, la meilleure solution à cette fin est de désigner un DS à temps plein, qui fera
partie de l’équipe directoriale de l’organisation. Ce DS sera notamment chargé de sensibiliser à la sécurité
et de veiller à ce que la gestion de la sécurité reçoive, dans toute l’organisation, le même niveau de priorité
que tout autre processus. Toutefois, dans de petites organisations, la fonction de DS peut faire partie des
compétences du directeur de l’organisation.

La gestion de la sécurité est une responsabilité partagée par chaque cadre hiérarchique et soutenue par le
DS. Les activités spécifiques de sécurité incombent aux cadres hiérarchiques. Les cadres dirigeants ne
doivent pas demander au DS des comptes concernant les responsabilités des cadres hiérarchiques ;
toutefois, il incombe au DS de mettre à la disposition de tous les cadres hiérarchiques du personnel
auxiliaire efficace afin de garantir le succès du SGS de l’organisation. Alors que le DS peut être tenu de
rendre des comptes pour toute lacune dans le SGS même, il ne devrait pas être tenu pour responsable de
la performance de l’organisation en matière de sécurité.

L’idéal serait que le DS ait la sécurité pour seule responsabilité. Ce serait généralement le cas dans de
grandes organisations où un poste de DS à temps plein peut se justifier. Dans de petites organisations, il se
peut que la gestion de la sécurité doive incomber à un directeur ayant d’autres tâches. Dans de tels cas,
pour éviter d’éventuels conflits d’intérêts, il serait préférable que la personne responsable de la gestion de la
sécurité n’ait pas de responsabilité directe dans les domaines des opérations ou de l’ingénierie. Que les
fonctions de DS soient exercées à temps plein ou intégrées aux responsabilités du directeur désigné, les
devoirs et responsabilités liés à ce poste seront les mêmes. Quelle que soit la situation, le DS est un
membre de l’équipe directoriale de l’organisation et doit se situer à un niveau suffisamment élevé dans la
hiérarchie directoriale pour qu’il puisse communiquer directement avec d’autres cadres dirigeants.

Le DS devrait être chargé de gérer tous les aspects du fonctionnement du SGS. Ainsi, il devrait notamment
veiller à ce que la documentation concernant la sécurité reflète exactement l’environnement existant,
contrôler l’efficacité des mesures correctrices, fournir des rapports réguliers sur les performances en matière
de sécurité et donner au Directeur général, aux cadres dirigeants et à d’autres membres du personnel des
conseils indépendants sur des questions liées à la sécurité.

Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 au Chapitre 15.

Structure organisationnelle et énoncé des responsabilités et obligations redditionnelles

Deux approches différentes de la structure organisationnelle d’un exploitant qui répondent aux exigences de
gestion de la sécurité sont décrites aux Figures 12-1 et 12-2. Toutes deux sont conçues pour soutenir un
SGS cohérent.

L’exemple A présenté à la Figure 12-1 se rencontre couramment dans les organisations ayant une bonne
cote de sécurité. Le Responsable de la sécurité aérienne (FSO) relève directement du directeur des
opérations aériennes. Toutefois, le FSO n’a pas de responsabilités de gestion de la sécurité dans d’autres
départements. Pour couvrir les questions de sécurité dans le département de la maintenance, un
responsable de la sécurité de la maintenance, rattaché directement au Directeur de la maintenance, assure
une coordination informelle avec le FSO par le biais du « Bureau de la sécurité ». Bien que, dans cet
organigramme, le Bureau de la sécurité soit placé de façon informelle sous l’autorité de la direction, cette
structure n’encourage pas vraiment une approche systémique de la gestion de la sécurité. Au contraire,
12-8 Manuel de gestion de la sécurité (MGS)

l’organisation s’intéresse aux questions de sécurité uniquement sous l’angle des opérations aériennes et de
la maintenance.

Dans l’exemple B présenté à la Figure 12-2, tant le DS que le gestionnaire de l’assurance qualité assument
des fonctions du SGS. Toutefois, tous deux sont placés sous l’autorité directe du Directeur général. Les
fonctions de sécurité sont distribuées à travers toute l’organisation, aux départements des opérations, de la
maintenance et à d’autres encore. Le DS et le gestionnaire de l’assurance qualité se concertent ensuite
entre eux et avec les chefs de département afin d’aider ceux-ci à assumer leurs fonctions de gestion de la
sécurité. Le modèle B élargit le centre de l’attention par rapport au modèle A et correspond mieux à
l’approche systémique de la gestion de la sécurité.

Les modifications de la structure organisationnelle devraient être évaluées afin de déterminer si elles auront
une quelconque incidence sur les responsabilités et obligations redditionnelles en matière de sécurité. Tout
amendement nécessaire aux responsabilités et obligations redditionnelles précédentes devrait être documenté
de façon appropriée.

Comité de sécurité

Non seulement il est nécessaire qu’un groupe de cadres hiérarchiques effectuent la planification initiale d’un
SGS (Étape 1), mais il peut aussi être souhaitable de créer un comité de sécurité. La nécessité et la
structure d’un comité de sécurité dépendront de la taille de l’organisation. Dans de petites organisations, où
la structure organisationnelle comporte relativement peu d’échelons entre le niveau de travail et le niveau de
la direction, le besoin de créer un comité de sécurité peut être moins impérieux.

Un comité de sécurité sera généralement créé au niveau de la haute direction et comptera comme membres
le DS ainsi que d’autres cadres dirigeants. L’objectif d’un comité de sécurité est de fournir un forum où se
discuteront les questions liées à la performance de l’organisation en matière de sécurité et à la santé du
SGS. Le comité de sécurité émet des recommandations relatives aux décisions portant sur la politique de la
sécurité et examine les résultats de la performance en matière de sécurité. Pendant la phase initiale de
mise en œuvre d’un SGS, le comité de sécurité analysera aussi les progrès réalisés dans le processus de
mise en œuvre. Le mandat du comité de sécurité devrait être documenté dans le manuel de gestion de la
sécurité de l’organisation.

Des éléments indicatifs supplémentaires sur les comités de sécurité sont inclus dans le Chapitre 15.

Formation et compétence

Pour assurer la sécurité, il est fondamental de disposer d’un personnel qui a les compétences nécessaires
pour assumer ses tâches. Les exigences de compétence et, le cas échéant, des exigences en matière de
licences devraient être explicitées dans la description des fonctions de chaque poste lié à la sécurité. Ces
exigences devraient ensuite être intégrées dans les critères de recrutement et dans la formation interne
pour ces postes.

Tous les cadres hiérarchiques devraient être tenus d’assurer le maintien des compétences du personnel
occupant des postes liés à la sécurité dans les domaines qui relèvent de leur responsabilité. Cette obligation
s’étend aussi au respect des exigences en matière de recyclages réguliers.

Tous les programmes de formation devraient proposer des cours sur les aspects du SGS et procédures
connexes qui concernent le poste en question.

Des éléments indicatifs sur la formation à la gestion de la sécurité sont inclus dans le Chapitre 15.
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-9

Liste type de vérification et de confirmation n° 3


ORGANISATION

¾ La structure organisationnelle facilite :

— les lignes de communication entre le DS et le DG et avec les cadres hiérarchiques ;


— une définition claire des pouvoirs, obligations redditionnelles et responsabilités, afin d’éviter
tout malentendu, chevauchement et conflit (par ex. entre le DS et les cadres hiérarchiques) ;
— l’identification des risques et la supervision de la sécurité.

¾ Un DS (disposant des compétences et capacités appropriées) a été désigné.

¾ Les rôles et responsabilités du DS (et de tout membre du personnel) sont clairement définis et
explicités.

¾ Un comité de sécurité se réunit régulièrement pour examiner les résultats en matière de


sécurité et émettre des recommandations à l’attention de la haute direction.

¾ Le DS (et tout membre du personnel) a/ont reçu une formation appropriée à la sécurité.

¾ Le personnel et la direction comprennent et soutiennent les rôles du DS, et le DS bénéficie du


soutien du Directeur général.

ÉTAPE 4 : IDENTIFICATION DES DANGERS

Les risques et coûts inhérents à l’aviation commerciale exigent un processus décisionnel rationnel. Il est
indispensable de mettre en œuvre des processus de gestion des risques pour assurer l’efficacité du
programme de gestion de la sécurité. Non seulement il n’est pas toujours possible d’éliminer les risques
mais, en outre, toutes les mesures de gestion de la sécurité imaginables ne sont pas réalisables d’un point
de vue économique. La gestion des risques facilite la recherche d’une solution de compromis en commençant
par l’identification des dangers.

Comme indiqué au Chapitre 5, la création et l’application de programmes effectifs d’identification des dangers
constituent des éléments fondamentaux d’une gestion efficace de la sécurité. Toute organisation peut
s’inspirer d’un large éventail d’activités de sécurité pour identifier les dangers ou les questions de sécurité
justifiant la prise de mesures supplémentaires. Certaines de ces questions peuvent découler de dangers
spécifiques pour la sécurité qui menacent une partie des opérations. D’autres questions méritant attention
peuvent résulter de lacunes organisationnelles à l’origine du non-fonctionnement des dispositifs systémiques
de sécurité prévus.

L’identification des dangers peut avoir un caractère réactif ou proactif. Le contrôle des tendances, les
comptes rendus d’événements liés à la sécurité et les enquêtes sont essentiellement réactifs. D’autres
processus d’identification des dangers cherchent activement à obtenir des retours d’information en
observant et analysant les opérations quotidiennes de routine. Voici quelques exemples des activités de
sécurité les plus courantes, susceptibles de se prêter à des processus formels au sein de l’organisation :

— évaluations de la sécurité ;

— contrôle des tendances ;


12-10 Manuel de gestion de la sécurité (MGS)

Titulaire d’un certificat


(Gestionnaire supérieur responsable)

Directeurs des opérations Directeur de la maintenance


aériennes

Responsable de la sécurité Responsable de la sécurité


aérienne de la maintenance

Directeur de la sécurité

Liens hiérarchiques officiels


Circuit informel de communication

Figure 12-1. Organigramme de gestion de la sécurité d’un exploitant : Exemple A

Directeur général

Directeur de la sécurité Directeur de l’assurance qualité

Opérations Maintenance Autres

Liens hiérarchiques officiels


Circuit informel de communication

Figure 12-2. Organigramme de gestion de la sécurité d’un exploitant : Exemple B


Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-11

— comptes rendus d’incidents ;

— enquêtes sur la sécurité et audits de sécurité ;

— processus proactifs d’identification des dangers (tels que FDA, LOSA et NOSS).

Les Chapitres 16 et 17 décrivent plusieurs processus de sécurité réputés efficaces pour l’identification des
dangers. La volonté d’utiliser plusieurs processus différents d’identification des dangers témoigne d’un
engagement à assurer la sécurité.

Pour porter ses fruits, le processus d’identification des dangers doit s’inscrire dans une culture de sécurité
non punitive (ou juste). Il est de l’intérêt de la direction d’être informée des faiblesses potentielles du filet de
sécurité du système qui sont susceptibles d’entraîner un accident ou de compromettre d’autre manière
l’efficacité des opérations. Un blâme n’est justifié que lorsque des individus se rendent coupables de
négligences ou d’imprudences. Si les travailleurs opèrent dans un climat de peur ou de sanction en cas de
bévues, inattentions et erreurs normales dans leurs tâches quotidiennes, erreurs et conditions dangereuses
ne seront probablement jamais révélées.

Liste type de vérification et de confirmation n° 4


IDENTIFICATION DES DANGERS

¾ Des mécanismes formels (tels que des évaluations des risques et des audits de sécurité) sont
instaurés pour l’identification systématique des dangers.

¾ Un système de comptes rendus d’événements est en vigueur et comprend un système volontaire


de comptes rendus d’incidents.

¾ La direction a mis des ressources adéquates à disposition pour l’identification des dangers.

¾ Le personnel reçoit la formation nécessaire pour soutenir les programmes d’identification des
dangers.

¾ Un personnel compétent gère les programmes d’identification des dangers et assure leur
adéquation par rapport aux opérations existantes.

¾ Le personnel concerné par tout incident enregistré ou rapporté est conscient qu’il ne sera pas
sanctionné pour des erreurs normales ; un environnement non punitif (juste) est favorisé par la
direction.

¾ Toutes les données sur les dangers identifiés sont systématiquement enregistrées, stockées et
analysées.

¾ Des mesures de sécurité sont en vigueur pour protéger tout élément sensible.

ÉTAPE 5 : GESTION DES RISQUES

La gestion des risques comprend trois éléments essentiels : l’identification des dangers, l’évaluation des
risques et l’atténuation des risques. Elle requiert l’analyse et l’élimination (ou tout au moins une réduction à
un niveau acceptable) des dangers qui menacent la viabilité d’une organisation. La gestion des risques sert
à concentrer les efforts de sécurité sur les dangers les plus graves. Tous les dangers identifiés sont soumis
à une évaluation critique et classés en fonction de leur potentiel de risque. Cette évaluation peut être
12-12 Manuel de gestion de la sécurité (MGS)

réalisée subjectivement par du personnel expérimenté ou effectuée au moyen de techniques plus formelles
requérant souvent des compétences particulières en analyse.

Les facteurs à prendre en considération sont la probabilité que l’événement se produise et la gravité des
conséquences d’un tel événement. Lors de l’évaluation des risques, il faut aussi évaluer les moyens de
défense instaurés pour se protéger des dangers. L’absence de tels moyens de défense, leur utilisation
abusive, leur mauvaise conception ou leur état sont autant de facteurs susceptibles de favoriser une
occurrence ou d’exacerber les risques. Un tel processus d’évaluation des risques permet de déterminer si
les risques sont gérés ou maîtrisés de façon appropriée. Si les risques sont acceptables, les opérations
peuvent se poursuivre. Si les risques sont inacceptables, des mesures doivent être prises pour renforcer les
moyens de défense ou éliminer ou éviter le danger.

Il existe généralement tout un éventail de mesures de maîtrise des risques capables de réduire la vulnéra-
bilité à des risques identifiés. Il faut évaluer chaque option de maîtrise des risques ainsi que les risques
résiduels et réaliser une analyse coûts-avantages. Après avoir arrêté un plan d’action, la direction doit
communiquer ses préoccupations en matière de sécurité et les actions planifiées à toutes les personnes
concernées.

La gestion des risques est examinée plus en détail au Chapitre 6.

Liste type de vérification et de confirmation n° 5


GESTION DES RISQUES

¾ Des critères sont fixés pour l’évaluation des risques.

¾ Les risques sont analysés et classés par du personnel compétent (y compris des représentants
expérimentés du personnel).

¾ Des mesures viables de maîtrise des risques sont évaluées.

¾ La direction prend des mesures pour réduire, éliminer ou éviter les risques.

¾ Le personnel est au courant des mesures prises pour éviter ou éliminer les dangers identifiés.

¾ Des procédures en vigueur permettent de confirmer que les mesures prises donnent les
résultats escomptés.

ÉTAPE 6 : CAPACITÉ D’ENQUÊTE

Les enquêtes sur des événements liés à la sécurité révèlent souvent l’existence préalable de plusieurs
signaux d’alerte ou signes précurseurs. Les enquêtes sur ces événements peuvent identifier de tels signaux
d’alerte, ce qui permettra à l’avenir de reconnaître des signaux similaires avant qu’ils ne provoquent une
occurrence.

Alors que l’État peut enquêter sur des accidents qui doivent obligatoirement être signalés et sur des
incidents graves, un SGS efficace donne la capacité d’enquêter sur de tels événements dans une optique
propre à l’organisation. La valeur de telles enquêtes pour la gestion de la sécurité sera fonction de la qualité
de l’enquête menée. En effet, en l’absence d’une méthodologie structurée, il est difficile d’intégrer et
d’analyser toutes les informations pertinentes livrées par de telles enquêtes en vue de procéder à une
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-13

évaluation efficace, de classer les risques par ordre de priorité et de recommander toute mesure nécessaire
pour promouvoir la sécurité. La détermination des responsabilités n’a pas sa place dans de telles enquêtes
sur la sécurité.

Pour dégager les leçons à tirer d’un événement lié à la sécurité, il faut bien comprendre non seulement ce
qui s’est produit mais aussi pourquoi. Pour bien cerner les causes d’un événement, il faut une enquête qui
dépasse les raisons évidentes et s’applique à repérer tous les facteurs secondaires, dont certains peuvent
être liés aux faiblesses des défenses du système ou à d’autres aspects organisationnels.

Le Chapitre 8 contient de plus amples informations sur les enquêtes de sécurité.

Liste type de vérification et de confirmation n° 6


CAPACITÉ D’ENQUÊTE

¾ Du personnel opérationnel clé a reçu une formation officielle sur les enquêtes de sécurité.

¾ Chaque compte rendu de danger et d’incident est évalué et mène, si nécessaire, à une
enquête de sécurité plus approfondie.

¾ La direction soutient l’acquisition et l’analyse des informations relatives à la sécurité.

¾ La direction s’intéresse activement aux résultats de l’enquête et applique des procédures de


gestion des risques aux dangers repérés.

¾ Les leçons tirées en termes de sécurité sont largement diffusées.

¾ L’autorité de réglementation est informée des préoccupations de sécurité majeures qui sont
susceptibles d’avoir des incidences sur d’autres exploitants, ou qui nécessitent la prise de
mesures par l’autorité de réglementation.

ÉTAPE 7 : CAPACITÉ D’ANALYSE DE LA SÉCURITÉ

L’analyse de la sécurité est le processus qui consiste à organiser et évaluer les faits en toute objectivité.
Suivant les règles fondamentales de la logique et s’appuyant sur des méthodologies et des outils analy-
tiques reconnus, elle examine les faits de façon systématique, de manière à pouvoir tirer des conclusions
valables. L’analyse de la sécurité diffère de la procédure contradictoire utilisée par les tribunaux en ce sens
qu’elle évalue toutes les facettes de toute situation. Si elle est bien faite, d’autres personnes suivant le
même raisonnement arriveront aux mêmes conclusions.

L’analyse de la sécurité s’applique à des domaines tels que :

a) l’analyse des tendances ;

b) les enquêtes sur les événements ;

c) l’identification des dangers ;

d) l’évaluation des risques ;


12-14 Manuel de gestion de la sécurité (MGS)

e) l’évaluation des mesures d’atténuation des risques ;

f) le contrôle de la performance en matière de sécurité.

L’analyse de la sécurité requiert des aptitudes et une expérience particulières. Il faut de solides capacités
d’analyse pour avancer des arguments convaincants en faveur du changement. Le Chapitre 9 contient de
plus amples informations sur l’analyse de la sécurité.

Liste type de vérification et de confirmation n° 7


CAPACITÉ D’ANALYSE DE LA SÉCURITÉ

¾ Le DS a une expérience des méthodes d’analyse ou a été formé à ces méthodes ou a accès à
du personnel compétent en analyse de la sécurité.

¾ Les outils d’analyse (et le soutien de spécialistes) sont disponibles pour soutenir les analyses
de la sécurité.

¾ L’organisation tient à jour une base de données de sécurité crédible.

¾ D’autres sources d’informations sont accessibles.

¾ Les données relatives aux informations sur des dangers et à la performance sont régulièrement
contrôlées (analyse des tendances, etc.).

¾ Les analyses de la sécurité sont soumises à un processus de contrôle par les pairs.

¾ Des recommandations de sécurité sont faites à la direction et des mesures correctives sont
prises et soumises à un suivi afin de garantir leur pertinence et leur efficacité.

ÉTAPE 8 : PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ

L’organisation améliore l’état de sa sécurité en tenant le personnel au courant des questions de sécurité en
cours par le biais de formations judicieuses, de publications sur la sécurité, de participations à des cours et
séminaires sur la sécurité, etc. L’offre de formations judicieuses à tous les membres du personnel (quel que
soit leur domaine professionnel) constitue une indication de l’engagement de la direction à assurer un SGS
efficace. (Une direction moins motivée peut considérer la formation comme un coût plutôt que comme un
investissement dans la viabilité future de l’organisation.)

De nouveaux membres du personnel doivent savoir ce que l’on exige d’eux et comment fonctionne le SGS
de l’organisation. Les cours d’initiation devraient mettre l’accent sur « les bases sur lesquelles nous
travaillons ici ». Il est possible que des agents plus expérimentés aient besoin de recyclages sur des
processus de sécurité spécifiques dans lesquels leur participation directe peut être requise, notamment les
systèmes FDA, LOSA ou NOSS. Indépendamment de leur niveau d’expérience, tous les membres du
personnel reçoivent des informations en retour sur les dangers repérés, les mesures de sécurité prises, les
leçons tirées en termes de sécurité, etc.

Le DS est le conseiller technique logique qui donne le point de vue de l’entreprise sur l’approche de la
gestion de la sécurité adoptée par l’organisation. Toute une gamme d’outils sont disponibles pour aider le
DS dans son rôle de promotion de la sécurité. (Voir le Chapitre 15 pour obtenir des éléments indicatifs dans
ce domaine.)
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-15

Liste type de vérification et de confirmation n° 8


PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ

¾ La direction reconnaît que tous les niveaux de l’organisation requièrent une formation à la gestion
de la sécurité et que les besoins varient d’un service à l’autre.

¾ Les descriptions des fonctions reflètent les exigences en termes de compétences.

¾ Tout le personnel reçoit un cours d’initiation à la sécurité et participe à des formations permanentes
spécifiques à la gestion de la sécurité.

¾ L’organisation dispose d’un programme efficace visant à promouvoir les questions de sécurité en
temps utile.

¾ Le personnel est conscient du rôle qu’il a à jouer dans les éléments du SGS qui concernent ses tâches.

¾ Une formation supplémentaire de sensibilisation à la sécurité est fournie lorsque des changements
sont apportés à l’environnement opérationnel (changements saisonniers, modifications des condi-
tions d’exploitation, des exigences réglementaires, etc.).

¾ Le personnel comprend que la gestion de la sécurité ne vise nullement à incriminer qui que ce soit.

ÉTAPE 9 : DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ ET


GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

Pour assurer une gestion responsable de la sécurité, les organisations performantes suivent une approche
disciplinée de la gestion de la documentation et de l’information. Une documentation officielle est requise
pour constituer la base de référence du SGS. Cette documentation clarifie la relation de la direction de la
sécurité avec les autres fonctions au sein de l’organisation, la façon dont les activités de gestion de la
sécurité s’intègrent à ces autres fonctions et la relation entre les activités de gestion de la sécurité et la
politique de sécurité de l’organisation. Généralement, ces informations sont reprises dans un manuel de
gestion de la sécurité.

L’application d’un SGS génère de grandes quantités d’informations, tantôt sous forme de documents
imprimés, tantôt sous forme de données en format électronique, notamment des comptes rendus d’événe-
ments et des notices d’identification de dangers. Bien gérées, ces informations peuvent bien servir le SGS,
surtout le processus de gestion des risques. Toutefois, en l’absence des outils et compétences nécessaires
pour enregistrer, stocker, sauvegarder et extraire les renseignements requis, de telles informations sont
souvent dénuées d’intérêt et leur collecte se révèle une perte de temps. (Les Chapitres 9 et 15 contiennent
des éléments indicatifs sur l’utilisation et la gestion des données et informations concernant la sécurité.)

Il est important que l’organisation tienne un registre des mesures prises pour atteindre les objectifs du SGS.
Un registre des mesures prises pour maîtriser les risques et garantir le respect de niveaux adéquats de
sécurité sera peut-être requis en cas d’enquête de l’État sur un accident ou un incident grave. Ces registres
devraient être suffisamment détaillés pour assurer la traçabilité de toutes les décisions liées à la sécurité.

Le manuel de gestion de la sécurité de l’organisation devrait fournir les éléments indicatifs nécessaires pour
incorporer les activités de sécurité de l’organisation dans un système cohérent et intégré de sécurité. Il est
l’instrument qui permet à la direction de communiquer l’approche de la sécurité appliquée à l’ensemble de
l’organisation. Ce manuel devrait traiter tous les aspects du SGS, y compris la politique de sécurité, les
obligations redditionnelles de chacun en matière de sécurité, les procédures de sécurité, etc.
12-16 Manuel de gestion de la sécurité (MGS)

Liste type de vérification et de confirmation n° 9


DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ
ET GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

¾ La direction appuie la nécessité d’une documentation et d’un contrôle des données minutieux.

¾ Le SGS est bien explicité dans un manuel de gestion de la sécurité.

¾ Les documents sont mis à jour régulièrement et sont facilement accessibles à ceux qui en ont
besoin.

¾ Des mesures crédibles ont été prises pour la protection des informations sensibles concernant
la sécurité.

¾ Les équipements et le soutien technique appropriés sont disponibles pour gérer les infor-
mations sur la sécurité.

¾ Des bases de données sur la sécurité sont utilisées pour faciliter les analyses de la sécurité et
le contrôle des performances.

¾ Le personnel adéquat a accès aux bases de données sur la sécurité.

¾ Le personnel a reçu la formation nécessaire pour tenir à jour et utiliser le système de gestion
des informations sur la sécurité.

ÉTAPE 10 : SUPERVISION DE LA SÉCURITÉ ET


CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ

Une approche systémique de la gestion de la sécurité requiert que l’on « boucle le cycle de la sécurité ». Il
est indispensable de disposer de retours d’informations pour évaluer le bon fonctionnement des neuf
premières étapes. C’est là qu’interviennent la supervision de la sécurité et le contrôle des performances en
matière de sécurité.

La supervision de la sécurité peut être réalisée au moyen d’inspections, d’enquêtes et d’audits. Les
personnes font-elles ce qu’elles sont censées faire ? Dans beaucoup de grandes organisations, des
audits formels de sécurité sont effectués régulièrement afin de permettre une supervision des opérations
quotidiennes. Des audits de sécurité certifient au personnel et à la direction que les activités de
l’organisation sont exécutées dans les règles (c.-à-d. en toute sécurité). De petites organisations peuvent
obtenir les retours d’informations nécessaires de façon moins formelle, par ex., par le biais d’observations
informelles et de discussions avec le personnel.

Le contrôle des performances en matière de sécurité valide le SGS, en confirmant non seulement que
les personnes font ce qu’elles sont censées faire mais aussi que leurs efforts collectifs ont permis
d’atteindre les objectifs de sécurité de l’organisation. Par des analyses et évaluations régulières, la
direction peut s’efforcer de continuer à améliorer la gestion de la sécurité et garantir que le SGS reste
efficace et en phase avec les opérations de l’organisation.

Le Chapitre 10 fournit des éléments indicatifs sur la pratique de la supervision de la sécurité et sur
l’exécution du contrôle des performances en matière de sécurité.
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-17

Liste type de vérification et de confirmation n° 10


SUPERVISION DE LA SÉCURITÉ ET CONTRÔLE DES PERFORMANCES
EN MATIÈRE DE SÉCURITÉ

¾ Des indicateurs de performance en matière de sécurité sont convenus et des objectifs de


sécurité réalistes, fixés.

¾ Des ressources adéquates sont affectées aux fonctions de supervision de la sécurité et de


contrôle des performances en matière de sécurité.

¾ Une participation active du personnel est recherchée et fournie sans crainte de répercussions.

¾ Des audits de sécurité réguliers sont effectués dans tous les domaines opérationnels de
l’organisation (y compris les activités des sous-traitants).

¾ La supervision de la sécurité comprend l’examen systématique de tous les retours d’infor-


mations disponibles, notamment les évaluations de la sécurité, les résultats du programme
d’assurance de la qualité, les analyses des tendances en matière de sécurité, les enquêtes sur
la sécurité, les audits de sécurité.

¾ Les constatations sont communiquées au personnel et des mesures correctives sont mises en
œuvre si nécessaire pour renforcer le système.

————————
Appendice 1 au Chapitre 12

MODÈLE DE DÉCLARATION DE POLITIQUE


DE SÉCURITÉ

La sécurité reçoit la plus haute priorité dans toutes nos activités. Nous nous engageons à appliquer,
développer et améliorer des stratégies, systèmes de gestion et processus en vue de garantir que toutes nos
activités aéronautiques se maintiennent au plus haut niveau de performance en matière de sécurité et
satisfassent aux normes nationales et internationales.

Nous nous engageons à :

a) développer et ancrer dans toutes nos activités aéronautiques une culture de la sécurité qui reconnaît
l’importance et la valeur d’une gestion efficace de la sécurité de l’aviation et admet à tout moment
que la sécurité est primordiale ;

b) définir clairement les obligations redditionnelles et responsabilités de tous les membres du


personnel dans le développement et la réalisation de la stratégie et de la performance en matière
de sécurité de l’aviation ;

c) réduire les risques liés à l’exploitation aérienne jusqu’au niveau le plus faible que l’on puisse
raisonnablement atteindre ;

d) garantir que les systèmes et services qui sont fournis par des éléments extérieurs et qui ont une
incidence sur la sécurité de nos opérations répondent aux normes de sécurité appropriées ;

e) développer et améliorer activement nos processus de sécurité pour nous conformer aux normes
internationales ;

f) respecter et, si possible, dépasser les exigences et normes législatives et réglementaires ;

g) garantir que tous les membres du personnel reçoivent les informations et formations adéquates et
appropriées sur la sécurité de l’aviation, soient compétents dans les domaines liés à la sécurité et
ne soient affectés qu’à des tâches qui sont à la mesure de leurs aptitudes ;

h) garantir la disponibilité de suffisamment de ressources humaines formées et qualifiées pour mettre


en œuvre la stratégie et la politique de sécurité ;

i) établir et mesurer notre performance en matière de sécurité par rapport à des objectifs et/ou buts
réalistes ;

j) atteindre les niveaux les plus élevés de normes et de performance en matière de sécurité dans
toutes nos activités aéronautiques ;

k) constamment améliorer notre performance en matière de sécurité ;

l) procéder à des examens de la sécurité et de la gestion et veiller à ce que les mesures nécessaires
soient prises ;

12-APP 1-1
12-APP 1-2 Manuel de gestion de la sécurité (MGS)

m) veiller à ce que l’application de systèmes efficaces de gestion de la sécurité de l’aviation fasse


partie intégrante de toutes nos activités aéronautiques, en vue d’atteindre les niveaux les plus
élevés de normes et de performance en matière de sécurité.

————————
Appendice 2 au Chapitre 12

SUGGESTIONS DE POINTS À INCLURE


DANS UNE DÉCLARATION DU DIRECTEUR GÉNÉRAL
SUR L’ENGAGEMENT DE L’ENTREPRISE
À GARANTIR LA SÉCURITÉ

La liste ci-dessous énumère les points fréquemment couverts dans des déclarations sur l’engagement de
l’entreprise à garantir la sécurité. Elle mentionne à la suite de chaque point les sujets habituellement abordés
pour développer la position de l’entreprise sur ce point.

a) Valeurs fondamentales. Parmi nos valeurs fondamentales, nous inclurons :

1) la sécurité, la santé et l’environnement ;

2) le comportement éthique ;

3) l’importance accordée aux personnes.

b) Convictions fondamentales en matière de sécurité. Nos convictions fondamentales en matière


de sécurité sont les suivantes :

1) La sécurité est une activité de base et une valeur personnelle.

2) La sécurité est une des sources de notre avantage concurrentiel.

3) Nous renforcerons notre entreprise en intégrant l’excellence en matière de sécurité dans toutes
nos activités aéronautiques.

4) Tous les accidents et tous les incidents graves sont évitables.

5) Tous les niveaux hiérarchiques sont responsables de notre performance en matière de sécurité,
à commencer par le Directeur général/l’Administrateur délégué.

c) Éléments fondamentaux de notre approche de la sécurité. Les cinq éléments fondamentaux de


notre approche de la sécurité sont :

1) L’engagement de la haute direction :

— L’excellence en matière de sécurité sera une composante de notre mission.

— La haute direction demandera des comptes sur la performance en matière de sécurité aux
cadres hiérarchiques et à tous les membres du personnel.

12-APP 2-1
12-APP 2-2 Manuel de gestion de la sécurité (MGS)

2) La responsabilité et les obligations redditionnelles de tous les membres du personnel :

— La performance en matière de sécurité constituera une partie importante de notre système


d’évaluation de la direction/du personnel.

— Nous reconnaîtrons et récompenserons la performance en matière de sécurité.

— Avant tout travail, chacun sera sensibilisé aux règles et procédures de sécurité ainsi qu’à la
responsabilité de chacun d’observer ces règles et procédures.

3) Objectif « zéro accident » clairement communiqué :

— Nous aurons un objectif de sécurité formel écrit et nous veillerons à ce que chacun
comprenne et accepte cet objectif.

— Nous mettrons en place un système de communication et de motivation afin de maintenir


notre personnel concentré sur l’objectif de sécurité.

4) Réalisation d’audits et d’évaluations pour améliorer la performance :

— La direction veillera à ce que des audits de sécurité réguliers soient réalisés.

— Nous concentrerons nos audits sur le comportement des personnes ainsi que sur l’état des
lieux de travail.

— Nous arrêterons des indicateurs de performance pour nous aider à évaluer notre perfor-
mance en matière de sécurité.

5) Responsabilité de tous les membres du personnel :

— Chacun de nous sera tenu d’accepter d’être responsable et de répondre de ses propres
comportements.

— Chacun de nous aura l’occasion de participer à l’élaboration des normes et procédures de


sécurité.

— Nous communiquerons ouvertement les informations sur les incidents de sécurité et en


partagerons les leçons avec d’autres.

— Chacun de nous se préoccupera de la sécurité des autres membres de notre organisation.

d) Les objectifs du processus de sécurité. Voici nos objectifs :

1) TOUS les niveaux de la direction s’engageront clairement à garantir la sécurité.

2) Nous aurons des paramètres de sécurité clairs pour le personnel, assortis d’obligations reddi-
tionnelles claires.

3) Nous aurons des communications ouvertes sur la sécurité.

4) Nous associerons tous les membres de personnel concernés au processus décisionnel.


Chapitre 12. Mise en place d’un système de gestion de la sécurité — Appendice 2 12-APP 2-3

5) Nous fournirons la formation nécessaire pour développer et maintenir des compétences


efficaces de leadership dans le domaine de la sécurité.

6) La sécurité de notre personnel, de nos clients et fournisseurs fera partie des préoccupations
stratégiques de l’organisation.

Signature :
Directeur général/Administrateur délégué
ou autre selon le cas
Page blanche
Chapitre 13

ÉVALUATIONS DE LA SÉCURITÉ

13.1 GÉNÉRALITÉS

13.1.1 La gestion de la sécurité fournit les moyens qui permettent à des organisations de maîtriser les
processus susceptibles de mener à des événements dangereux, afin de garantir que le risque de lésions
corporelles et de dommages matériels soit limité à un niveau acceptable. Une grande partie de cette activité
se concentre sur les dangers identifiés par le biais de processus et activités tels que les enquêtes sur des
événements liés à la sécurité, les systèmes de comptes rendus d’incidents et les programmes de super-
vision de la sécurité. Les évaluations de la sécurité offrent un autre mécanisme proactif permettant
d’identifier les dangers potentiels et de découvrir des moyens de maîtriser les risques y afférents.

13.1.2 Une évaluation de la sécurité devrait être entreprise avant la mise en œuvre de toute modifi-
cation majeure susceptible d’avoir une incidence sur la sécurité des opérations, afin de prouver que la
modification respecte un niveau acceptable de sécurité. Par exemple, une évaluation de la sécurité peut se
justifier lors de la planification de modifications majeures concernant les procédures opérationnelles,
l’acquisition ou la configuration d’équipements, les relations organisationnelles au sein de l’entreprise, etc.
L’Annexe 11 de l’OACI — Services de la circulation aérienne exige que toute modification importante du
système ATC qui aurait des incidences sur la sécurité ne soit réalisée qu’après qu’il aura été démontré par
1
une évaluation de la sécurité qu’un niveau de sécurité acceptable sera respecté . Des exigences similaires
concernant toute modification de l’environnement d’exploitation d’un aérodrome existent dans l’Annexe 14
— Aérodromes, Volume I — Conception et exploitation technique des aérodromes, ainsi que dans les
éléments indicatifs fournis dans le Manuel sur la certification des aérodromes (Doc 9774). La portée d’une
évaluation de la sécurité doit être suffisamment large pour couvrir tous les aspects du système sur lesquels
cette modification pourrait avoir des incidences soit directes, soit indirectes, et devrait comprendre des
éléments relatifs aux facteurs humains, aux équipements et aux procédures.

13.1.3 Si une évaluation conclut que le système examiné ne satisfait pas aux critères de l’évaluation
de la sécurité, il sera nécessaire de trouver des moyens de modifier le système afin de réduire le risque. Ce
processus est appelé atténuation du risque. L’élaboration de mesures d’atténuation devient partie intégrante
du processus d’évaluation. Il faudrait tester la pertinence des mesures d’atténuation proposées en
réévaluant le niveau de risque une fois les mesures d’atténuation appliquées. (Le Chapitre 6 donne de plus
amples indications sur le processus de gestion des risques.)

13.1.4 Le processus d’évaluation de la sécurité vise à répondre aux trois questions fondamen-
tales suivantes :

a) Quel problème pourrait se produire ?

b) Quelles en seraient les conséquences ?

1. Des informations plus spécifiques sur les circonstances dans lesquelles une évaluation de la sécurité pourrait être requise dans le
domaine des ATS sont données à la section 2.6 du Chapitre 2 des Procédures pour les services de navigation aérienne — Gestion
du trafic aérien (PANS-ATM, Doc 4444).

13-1
13-2 Manuel de gestion de la sécurité (MGS)

c) À quelle fréquence ce problème pourrait-t-il se produire ?

13.1.5 Une fois qu’une évaluation de la sécurité est terminée, elle devrait être signée pour approbation
par le directeur responsable, qui devrait indiquer que le directeur est convaincu que l’évaluation a été
menée avec rigueur et que le niveau de risque est acceptable. Pour que le directeur puisse prendre une
décision en connaissance de cause sur ces points, il faut que l’évaluation de la sécurité soit bien étayée.
Les documents sur lesquels s’appuie cette évaluation devraient être conservés afin de constituer un dossier
qui prouvera sur quelle base la décision d’acceptation a été prise.

13.1.6 La mise en œuvre d’un programme d’évaluations de la sécurité requiert que l’organisation :

a) détermine quand les évaluations de la sécurité doivent impérativement être réalisées ;

b) élabore des procédures pour mener les évaluations de la sécurité ;

c) élabore des critères organisationnels de classification des risques pour les dangers identifiés ;

d) élabore des critères d’acceptation des évaluations de la sécurité ;

e) élabore des exigences de documentation et des procédures de conservation et de diffusion des


informations sur la sécurité recueillies par le biais des évaluations.

13.2 LE PROCESSUS D’ÉVALUATION DE LA SÉCURITÉ

13.2.1 Le Chapitre 6 a présenté un concept bidimensionnel du risque : le risque perçu lié à un


événement dangereux dépend à la foi de la probabilité que cet événement se produise et de la gravité de
ses conséquences. Le processus d’évaluation de la sécurité aborde ces deux facteurs. Les évaluations de
la sécurité s’appuient sur les processus systématiques de gestion des risques décrits au Chapitre 6,
processus dont elles constituent une application spécifique. Le processus d’évaluation de la sécurité peut
être divisé en sept étapes, énumérées dans le Tableau 13-1.

Tableau 13-1. Les sept étapes de l’évaluation de la sécurité

Étape 1 : Élaboration (ou acquisition) d’une description complète du système à


évaluer et de l’environnement dans lequel ce système sera mis en œuvre ;

Étape 2 : Identification des dangers ;

Étape 3 : Estimation de la gravité des conséquences d’un danger si celui-ci se


concrétisait ;

Étape 4 : Estimation de la probabilité qu’un danger se concrétise ;

Étape 5 : Évaluation du risque ;

Étape 6 : Atténuation du risque ;

Étape 7 : Élaboration d’une documentation relative à l’évaluation de la sécurité.


Chapitre 13. Évaluations de la sécurité 13-3

13.2.2 La Figure 13-1 illustre le processus d’évaluation de la sécurité sous forme schématique et
montre qu’il sera éventuellement nécessaire de répéter ce processus plusieurs fois jusqu’à ce qu’une méthode
satisfaisante d’atténuation du risque soit trouvée.

13.2.3 Comme on pouvait s’y attendre, le processus d’évaluation de la sécurité présente de nombreux
parallélismes avec le processus de gestion des risques décrit au Chapitre 6. Le reste de ce chapitre exami-
nera en détail chacune des sept étapes d’une évaluation de la sécurité.

ÉTAPE 1 : ÉLABORATION D’UNE DESCRIPTION COMPLÈTE DU SYSTÈME À ÉVALUER


ET DE L’ENVIRONNEMENT DANS LEQUEL CE SYSTÈME DEVRA FONCTIONNER

Le « système », tel que défini pour les besoins de l’évaluation de la sécurité, sera toujours un sous-
ensemble d’un système plus grand. Ainsi, même si l’évaluation englobe tous les services fournis au sein
d’un aérodrome, cet ensemble peut être considéré comme faisant partie d’un système régional plus vaste,
lui-même sous-ensemble du système d’aviation mondial.

Pour pouvoir identifier tous les dangers potentiels, il faut que les personnes participant à l’évaluation de la
sécurité comprennent bien le nouveau système ou le changement proposé et la manière dont ce nouveau
système ou ce changement interagira avec d’autres composantes du système global dans lequel il s’intègre.
Voilà pourquoi la première étape du processus d’évaluation de la sécurité consiste à rédiger une description
du système ou du changement proposé.

Le processus d’identification des dangers ne peut identifier des dangers que dans les limites du système
décrit. Par conséquent, les limites de ce système doivent être suffisamment larges pour englober toutes les
incidences que le système pourrait avoir. Il est en particulier important que la description comprenne les
interfaces avec le système plus vaste dont fait partie le système soumis à évaluation.

Une description détaillée de ce système devrait comprendre :

a) le but du système ;

b) la manière dont ce système sera utilisé ;

c) les fonctions du système ;

d) les limites du système et les interfaces extérieures ;

e) l’environnement dans lequel le système fonctionnera.

Les incidences qu’une éventuelle perte ou dégradation du système aura sur la sécurité seront déterminées
en partie par les caractéristiques de l’environnement opérationnel dans lequel le système sera intégré. La
description de cet environnement devrait dès lors inclure tous les facteurs susceptibles d’avoir un effet
important sur la sécurité. Ces facteurs varieront selon les cas. Il pourrait s’agir, par exemple, de caractéris-
tiques de trafic, d’infrastructures aéroportuaires et de facteurs météorologiques.

La description du système devrait aussi envisager les procédures d’urgence et autres opérations anormales
telles que, par exemple, une panne des systèmes de communication ou des aides à la navigation.

Pour les projets de grande envergure, la description du système devrait exposer la stratégie qui sera
appliquée lors de la transition de l’ancien système au nouveau. Par exemple, le système existant sera-t-il
désaffecté et remplacé immédiatement par le nouveau système ou les deux fonctionneront-ils en parallèle
pendant un certain temps ?
13-4 Manuel de gestion de la sécurité (MGS)

Décrire le système
à évaluer

Décrire
l’environnement
opérationnel

Identifier les dangers

Identifier
les conséquences

Évaluer le risque

Le risque Non
est-il acceptable?

Oui
Identifier les mesures
d’atténuation du risque

Réévaluer le risque

Oui Le risque
est-il acceptable?

Non

S’agit-il d’un Non


risque ALARP?

Oui

Oui Le risque
est-il tolérable?

Non

Documenter la décision Abandonner le projet


et passer à l’étape ou revoir
suivante de les objectifs originaux
développement ou du projet
de mise en œ uvre

Figure 13-1. Le processus d’évaluation de la sécurité


Chapitre 13. Évaluations de la sécurité 13-5

ÉTAPE 2 : IDENTIFICATION DES DANGERS

L’étape d’identification des dangers devrait envisager toutes les sources possibles de défaillance du
système. En fonction de la nature et de la taille du système examiné, ces sources pourraient comprendre les
éléments suivants :

a) l’équipement (matériel et logiciel) ;

b) l’environnement opérationnel (par ex. les conditions physiques, l’espace aérien et la conception des
routes aériennes) ;

c) les opérateurs humains ;

d) l’interface homme/machine ;

e) les procédures opérationnelles ;

f) les procédures de maintenance ;

g) les services extérieurs.

Toutes les configurations possibles du système devraient être examinées. Il est important d’également analyser
les incidences que tout chantier de construction aura sur les opérations quotidiennes. Le Tableau 13-2
présente une liste des types de questions à envisager au cours de la phase de développement d’un
aérodrome, lorsque des travaux de construction peuvent avoir des incidences sur les opérations quotidiennes.

Tableau 13-2. Exemples d’incidences de la construction d’un aérodrome sur les opérations

Exemples de problèmes d’incidence

▪ Comment les diverses surfaces aéroportuaires et celles des équipements de


navigation et équipements électroniques seront-elles protégées des travaux,
des véhicules et des zones de stockage du chantier de construction ?
▪ Quelles procédures temporaires d’exploitation, d’ATC et d’ingénierie faut-il
instaurer ?
▪ Quelles seront les heures de début, de contrôle et de fin des procédures de
chantier le jour/la nuit ? À cet égard, il faudrait prévoir :
— une inspection du chantier avant la reprise de l’exploitation, le cas échéant,
et la personne qui assumera, au nom de l’aérodrome, la responsabilité de
veiller à ce que cette inspection soit effectuée ;
— la méthode choisie pour les communications entre la tour ATC et le site ;
— combien de temps après le dernier départ et avant la première arrivée les
travaux commenceront et cesseront, respectivement.
▪ Quelles procédures seront adoptées en cas de détérioration du temps et quelles
actions devront être envisagées avant le début des procédures de visibilité
réduite ?
▪ Quelle mesure sera prise en cas de situation d’urgence ?
13-6 Manuel de gestion de la sécurité (MGS)

Toutes les personnes associées au processus d’identification des dangers devraient être conscientes de
l’importance des conditions latentes (décrites au Chapitre 4), car celles-ci ne sont généralement pas
évidentes. Le processus devrait spécifiquement répondre à des questions telles que « comment le personnel
pourrait-il mal interpréter cette nouvelle procédure ? » ou « comment une personne pourrait-elle utiliser de
façon abusive cette nouvelle fonction/ce nouveau système (intentionnellement ou non) ? »

L’étape d’identification des dangers devrait être lancée le plus tôt possible dans le déroulement du projet.
Pour les projets de grande envergure, plusieurs sessions d’identification des dangers peuvent avoir lieu à
des phases différentes du projet. Le degré de précision requis dépendra de la complexité du système à
examiner et de l’étape du cycle de vie du système à laquelle l’évaluation est effectuée. En général, le degré
de précision requis sera plus faible pour une évaluation menée pendant la phase de définition des
exigences opérationnelles que pour une évaluation effectuée pendant la phase de conception détaillée.

Sessions d’identification des dangers

Une approche structurée de l’identification des dangers garantit que, dans la mesure du possible, tous les
dangers potentiels seront identifiés. Des techniques adéquates pour assurer une telle approche structurée
pourraient inclure :

a) Des listes de vérification. Il s’agira d’analyser l’expérience et les données disponibles sur les
accidents, incidents ou systèmes similaires et de dresser une liste de vérification des dangers. Les
domaines potentiellement dangereux requerront une évaluation plus approfondie.

b) Des réunions de groupe. Des réunions de groupe peuvent être utilisées pour examiner les listes
de vérification des dangers, élargir la base de réflexion sur les dangers (séances de brainstorming)
ou mener une analyse détaillée de scénarios.

Les sessions d’identification des dangers requièrent du personnel technique et opérationnel expérimenté de
divers horizons et se pratiquent généralement sous la forme de discussions de groupe dirigées. Un facilitateur
qui connaît bien les techniques devrait diriger les réunions de groupe. Cette fonction serait normalement
attribuée à un directeur de la sécurité (si un tel directeur a été nommé). L’Appendice 1 au présent chapitre
comprend de plus amples indications sur la conduite des réunions de groupe consacrées à l’analyse des
dangers.

Ce facilitateur n’a pas un rôle aisé. Il doit guider les discussions pour parvenir à un consensus mais, dans le
même temps, il doit s’assurer que tous les participants ont l’occasion d’exprimer leur point de vue et permettre
des discussions suffisamment larges pour garantir que tous les dangers potentiels seront identifiés.

Les autres participants du groupe devraient être choisis pour leur compétence dans des domaines concernés
par le projet en cours d’évaluation. La gamme de compétences doit être suffisamment large pour garantir
que tous les aspects du système seront abordés, mais il est aussi important de limiter le groupe à une taille
gérable. Le nombre de participants requis pour les sessions d’identification des dangers dépend de la taille
et de la complexité du système soumis à évaluation. Mis à part le facilitateur, les participants ne doivent pas
nécessairement avoir une expérience préalable de l’identification des dangers.

Note. — L’utilisation de réunions de groupe est évoquée ici dans le contexte de l’identification des
dangers, mais le même groupe procéderait aussi à l’évaluation de la probabilité et de la gravité des dangers
qu’il a identifiés.

L’évaluation des dangers devrait tenir compte de toutes les possibilités, depuis la moins probable jusqu’à
la plus probable. Elle doit tenir suffisamment compte des « scénarios catastrophes », mais il est aussi
Chapitre 13. Évaluations de la sécurité 13-7

important que les dangers à inclure dans l’analyse finale soient des dangers « crédibles ». Il est souvent
difficile de définir la limite entre le pire scénario crédible et un scénario tellement tributaire de coïncidences
qu’il ne devrait pas être pris en considération. Les définitions suivantes peuvent servir d’indications lors de la
prise de telles décisions :

Pire scénario : Les conditions les plus défavorables auxquelles on puisse s’attendre, par
ex. des niveaux extrêmement élevés de trafic, et des perturbations dues à des conditions
météorologiques extrêmes.

Scénario crédible : Ce terme implique qu’il n’est pas irréaliste de s’attendre à ce que
l’hypothèse d’une combinaison de conditions extrêmes se concrétise durant le cycle de vie
opérationnelle du système.

L’évaluation devrait toujours envisager la phase la plus critique du vol pendant laquelle un aéronef pourrait
subir les conséquences d’une défaillance du système en cours d’évaluation, mais il ne devrait généralement
pas être nécessaire de supposer que des défaillances simultanées non liées se produiront.

Toutefois, il est important d’identifier toute défaillance de mode commun potentielle, qui se produit lorsqu’un
seul événement entraîne des défaillances multiples au sein du système.

Il faudrait attribuer un numéro à tous les dangers identifiés et enregistrer ceux-ci dans un répertoire des
dangers.

Ce répertoire des dangers devrait contenir une description de chaque danger, incluant ses conséquences,
la probabilité et la gravité évaluées et toute mesure d’atténuation requise. Il devrait être mis à jour chaque
fois que de nouveaux dangers sont identifiés et que des propositions d’atténuation sont adoptées.

ÉTAPE 3 : ESTIMATION DE LA GRAVITÉ DES CONSÉQUENCES D’UN DANGER SI CELUI-CI SE CONCRÉTISAIT

Avant d’entamer cette étape, il faudrait avoir enregistré dans le répertoire des dangers les conséquences de
chaque danger identifié à l’Étape 2. L’Étape 3 concerne en effet l’évaluation de la gravité de chacune de ces
conséquences.

Des systèmes de classification des risques ont été mis au point pour un grand nombre d’applications où
l’analyse des dangers est régulièrement pratiquée. Citons, à titre d’exemple, les Codes communs de
l’aviation (Joint Aviation Requirements — Large Aeroplanes [JAR-25]), des exigences relatives aux gros
aéronefs élaborées par les Autorités conjointes de l’aviation (JAA).

Les JAR-25 sont reconnues par de nombreuses Autorités de l’aviation civile comme une base acceptable
pour prouver le respect de leurs codes nationaux de navigabilité. La JAR 25.1309 ainsi que les éléments
consultatifs y afférents, AMJ 25.1309, spécifient des critères de classification des risques à utiliser pour
déterminer des niveaux acceptables de risque associés à diverses défaillances des systèmes de bord. Les
niveaux d’acceptabilité tiennent compte des taux d’accidents historiques et de la nécessité d’obtenir une
relation inverse entre la probabilité de la perte d’une ou plusieurs fonctions et la gravité des dangers qu’un
tel événement ferait courir à l’aéronef et à ses occupants.

Les critères spécifiés dans les JAR-25 concernent spécifiquement la navigabilité des systèmes de bord mais
il est possible de les utiliser comme base pour élaborer des systèmes similaires de classification destinés à
d’autres fins. Plusieurs États l’ont déjà fait. Le Tableau 13-3 donne un exemple de système de classification
13-8 Manuel de gestion de la sécurité (MGS)

de la gravité basé sur l’approche des JAR-25 mais adapté aux applications ATS; cet exemple a été tiré des
exigences de sécurité des services de la circulation aérienne publiées par les Autorités britanniques de
l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670.

Le groupe qui a procédé à l’identification des dangers est le mieux placé pour évaluer la gravité des
conséquences. Les lignes directrices présentées à l’Appendice 1 de ce chapitre pour la conduite des
réunions de groupe s’appliquent autant à l’évaluation de la gravité des conséquences qu’à l’identification
des dangers.

Bien que l’évaluation de la gravité des conséquences comporte toujours un certain degré de subjectivité,
des discussions de groupe structurées, guidées par un système standard de classification des risques et
réunissant des participants ayant une grande expérience dans leurs domaines respectifs devraient garantir
l’obtention d’un résultat reposant sur des informations appropriées.

Tableau 13-3. Système de classification de la gravité

Classification de la gravité

Catastrophique Dangereuse Majeure Mineure Négligeable

Entraîne L’ATC émet une Le service ATC de Le service ATC de sépa- Le service ATC de Aucun effet sur le
un ou instruction ou séparation fourni ration fourni aux aéronefs séparation fourni service ATC de
plusieurs une information aux aéronefs en vol en vol ou à l’intérieur d’une aux aéronefs en séparation fourni
des effets susceptible de ou à l’intérieur d’une zone protégée destinée aux vol ou à l’intérieur aux aéronefs.
suivants causer la perte zone protégée des- décollages et atterrissages d’une zone pro-
d’un ou plusieurs tinée aux décollages dans un ou plusieurs tégée destinée Effet minime sur
aéronefs (l’équi- et atterrissages secteurs est brusquement, aux décollages et le service ATC de
page ne dispose dans un ou et pour une durée impor- atterrissages séparation fourni
d’aucun moyen plusieurs secteurs tante, gravement dégradé dans un ou aux aéronefs au
raisonnable pour est brusquement, ou amoindri (par ex. plusieurs secteurs sol à l’extérieur
vérifier cette et pour une durée mesures d’urgence est perturbé d’une zone
information ou importante, tota- requises, ou nette augmen- brusquement et protégée destinée
atténuer les lement indisponible. tation de la charge de pour une durée aux décollages et
dangers). travail des contrôleurs importante. atterrissages.
Fourniture d’ins- de sorte que la probabilité
La poursuite du tructions ou d’infor- d’une erreur humaine Le service ATC de Effet minime sur
vol ou de l’atter- mations pouvant augmente). séparation fourni la capacité ATS
rissage en toute entraîner un quasi- aux aéronefs au de soutien en
sécurité est abordage critique Le service ATC de sépa- sol à l’extérieur cas d’urgence.
impossible. ou une quasi- ration fourni aux aéronefs d’une zone pro-
collision critique au sol à l’extérieur d’une tégée destinée
avec le sol. zone protégée destinée aux aux décollages et
décollages et atterrissages atterrissages est
est brusquement, et pour brusquement, et
une durée importante, pour une durée
totalement indisponible. importante, grave-
ment dégradé.
Fourniture d’instructions ou
d’informations telles que la La capacité ATS
séparation entre aéronefs de soutien en cas
ou entre un aéronef et le d’urgence est
sol peut être inférieure gravement
aux normes habituelles. amoindrie.

Aucune intervention ATS


possible pour venir en aide
à un aéronef en état
d’urgence.
Chapitre 13. Évaluations de la sécurité 13-9

Une fois l’évaluation de la gravité terminée pour tous les dangers identifiés, les résultats ainsi que le
raisonnement ayant mené à la classification de gravité choisie devraient être enregistrés dans le répertoire
des dangers.

ÉTAPE 4 : ESTIMATION DE LA PROBABILITÉ QU’UN DANGER SE CONCRÉTISE

L’estimation de la probabilité qu’un danger se concrétise repose sur une approche similaire à celle des
Étapes 2 et 3, c’est-à-dire des discussions structurées utilisant un système de classification standard comme
guide. Le Tableau 13-4 donne à cette fin un exemple de système de classification basé sur les JAR-25 ; cet
exemple a été tiré des exigences de sécurité des services de la circulation aérienne publiées par les
Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670.

Le Tableau 13-4 précise la probabilité en termes de catégories qualitatives mais donne aussi des valeurs
chiffrées pour les probabilités associées à chaque catégorie. Dans certains cas, des données seront peut-
être disponibles pour permettre des estimations numériques directes de la probabilité d’une défaillance.
Pour les éléments matériels d’un système, par exemple, des données abondantes sur les taux historiques
de défaillance des composants sont souvent disponibles.

L’estimation de la probabilité que des dangers associés à une erreur humaine se concrétisent comportera
généralement un certain degré de subjectivité (et il ne faudrait pas oublier que même pour l’évaluation du
matériel, il faut toujours envisager la possibilité de défaillances dues à une erreur humaine comme, par
exemple, des procédures de maintenance incorrectes). Néanmoins, comme pour l’évaluation de la gravité,
des discussions de groupe structurées, réunissant des participants ayant une longue expérience dans leurs
domaines respectifs, ainsi que l’adoption d’un système standard de classification des risques devraient
garantir l’obtention d’un résultat reposant sur des informations appropriées.

Une fois l’évaluation de la probabilité terminée pour tous les dangers identifiés, les résultats ainsi que le
raisonnement ayant mené à la classification choisie devraient être enregistrés dans le répertoire des dangers.

Tableau 13-4. Système de classification de la probabilité

Définitions de la probabilité d’un événement

Extrêmement Extrêmement Raisonnablement


improbable ténue Ténue probable Fréquente

Définition Ne devrait Il est peu Il est peu Peut se produire Peut se produire
qualitative pratiquement probable qu’il se probable qu’il se une fois durant la une ou plusieurs
jamais se produise si l’on produise pendant durée de vie fois durant la
produire durant envisage la durée de vie opérationnelle durée de vie
toute la vie de la plusieurs opérationnelle totale d’un opérationnelle.
flotte. systèmes du totale de chaque système.
même type, mais système, mais il
il doit néanmoins peut se produire
être considéré plusieurs fois si
comme possible. l’on envisage
plusieurs
systèmes du
même type.

Définition < 10–9 par 10–7 à 10–9 par 10–5 à 10–7 par 10–3 à 10–5 par 1 à 10–3 par
quantitative heure de vol heure de vol heure de vol heure de vol heure de vol
13-10 Manuel de gestion de la sécurité (MGS)

ÉTAPE 5 : ÉVALUATION DU RISQUE

Comme l’acceptabilité d’un risque dépend à la fois de sa probabilité et de la gravité de ses conséquences,
les critères utilisés pour juger de l’acceptabilité seront toujours bidimensionnels. Par conséquent, l’accepta-
bilité repose habituellement sur une comparaison réalisée à l’aide d’une matrice gravité/probabilité.

Le Tableau 13-5 donne un exemple d’une matrice pour l’évaluation de l’acceptabilité des risques dans les
ATS. Cet exemple est tiré des exigences de sécurité des services de la circulation aérienne publiées par les
Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670 et a
été adapté à partir du système de classification des risques des JAR-25.

Comme expliqué au Chapitre 6, il existe entre le risque acceptable et le risque inacceptable une zone qui ne
permet pas de prendre une décision catégorique. Ces risques-là relèvent d’une troisième catégorie, où le
risque peut être tolérable s’il est réduit au niveau le plus faible que l’on puisse raisonnablement atteindre
(ALARP — as low as reasonably practicable). Lorsqu’un risque est classé dans cette catégorie, des
mesures d’atténuation ont toujours été tentées et celles qui ont été classées comme faisables ont été mises
en œuvre.

Dans le Tableau 13-5, les risques de cette catégorie sont assortis de la mention « Examen ». En effet, ces
risques ne sont pas automatiquement classés comme tolérables. Chaque cas doit être jugé pour ce qu’il
vaut, compte tenu tant des avantages qui découleront de la mise en œuvre des modifications proposées
que du risque.

ÉTAPE 6 : ATTÉNUATION DU RISQUE

Comme l’indique l’Étape 5, si le risque ne répond pas aux critères d’acceptabilité prédéterminés, il faut
toujours tenter de le réduire à un niveau acceptable ou, si ce n’est pas possible, au niveau le plus faible que
l’on puisse raisonnablement atteindre, en utilisant des procédures d’atténuation appropriées.

L’identification des mesures appropriées d’atténuation du risque requiert une bonne compréhension du
danger concerné et des facteurs qui contribuent à sa concrétisation car, pour être efficace, un mécanisme
d’atténuation devra nécessairement modifier un ou plusieurs de ces facteurs.

Les mesures d’atténuation du risque peuvent porter sur la réduction soit de la probabilité d’un événement,
soit de la gravité de ses conséquences, soit sur ces deux paramètres. Pour atteindre le niveau souhaité de
réduction du risque, il peut être nécessaire de mettre en œuvre plusieurs mesures d’atténuation.

Tableau 13-5. Système de classification des risques

Probabilité d’un événement

Extrêmement Extrêmement Raisonnablement


improbable ténue Ténue probable Fréquente

Catastrophique Examen Inacceptable Inacceptable Inacceptable Inacceptable


Gravité

Dangereuse Examen Examen Inacceptable Inacceptable Inacceptable

Majeure Acceptable Examen Examen Examen Examen

Mineure Acceptable Acceptable Acceptable Acceptable Examen


Chapitre 13. Évaluations de la sécurité 13-11

Parmi les approches possibles pour atténuer le risque, citons :

a) la révision de la conception du système ;

b) la modification des procédures opérationnelles ;

c) des modifications des dotations en personnel ;

d) la formation du personnel afin que celui-ci puisse faire face au danger.

Plus les dangers sont détectés tôt dans le cycle de vie du système, plus il sera facile de modifier, le cas
échéant, la conception du système. Lorsque le système approche de la phase de mise en œuvre, il devient
plus difficile et plus onéreux de modifier sa conception, ce qui pourrait réduire les options d’atténuation
disponibles pour les dangers qui n’auront été identifiés qu’à un stade avancé du projet.

Pour évaluer l’efficacité de toute mesure proposée pour atténuer le risque, il faut tout d’abord examiner
minutieusement si la mise en œuvre des mesures d’atténuation est susceptible de générer de nouveaux
dangers, puis répéter les Étapes 3, 4 et 5 afin d’évaluer l’acceptabilité du risque lorsque les mesures
d’atténuation proposées sont en vigueur.

Une fois le système mis en œuvre, il faut vérifier avec la plus grande attention si les mesures d’atténuation
fonctionnent comme prévu lorsqu’on évalue les résultats du contrôle des performances en matière de
sécurité. De plus amples indications sur l’atténuation du risque sont données au Chapitre 6.

ÉTAPE 7 : ÉLABORATION D’UNE DOCUMENTATION RELATIVE À L’ÉVALUATION DE LA SÉCURITÉ

L’objectif d’une documentation relative à l’évaluation de la sécurité est de fournir des archives permanentes
des résultats finaux des évaluations de la sécurité et des arguments et preuves démontrant que les risques
liés à la mise en œuvre du système ou du changement proposé ont été éliminés ou ont été maîtrisés de
façon satisfaisante et réduits à un niveau tolérable.

Note.— Cette présentation des arguments et preuves pour démontrer la sécurité est appelée dossier de
sécurité dans de nombreux documents sur la gestion de la sécurité.

Bien que la documentation sur l’évaluation de la sécurité soit mentionnée ici en tant que dernière étape, une
grande quantité de documents auront déjà été produits durant les étapes précédentes.

Cette documentation devrait décrire le résultat de l’évaluation de la sécurité mais aussi contenir un résumé
des méthodes utilisées, des dangers identifiés et des mesures d’atténuation requises pour satisfaire aux
critères d’évaluation de la sécurité. Le répertoire des dangers devrait toujours y être inclus. La documen-
tation devrait être élaborée de façon suffisamment détaillée pour que toute personne qui la lise puisse savoir
non seulement quelles décisions ont été prises mais aussi pour quelles raisons les risques ont été classés
comme acceptables ou tolérables. Elle devrait aussi comprendre les noms des membres du personnel
ayant participé au processus d’évaluation.

En fonction de la taille et de la complexité du projet ainsi que de la politique de l’organisation, ce sera une
personne différente qui sera chargée de garantir la conduite effective des évaluations de la sécurité et de les
signer pour approbation finale. Dans certains cas, le responsable sera le gestionnaire du projet. Lorsqu’aucun
gestionnaire de projet n’a été désigné, le responsable pourrait être le cadre hiérarchique en charge du
système concerné. Dans certaines organisations, l’acceptation peut être subordonnée à l’approbation d’un
13-12 Manuel de gestion de la sécurité (MGS)

niveau hiérarchique supérieur, lorsque le risque résiduel ne peut être réduit à un niveau acceptable mais
doit être accepté comme tolérable ou comme risque réduit au niveau le plus faible que l’on puisse
raisonnablement atteindre (ALARP).

La signature de la documentation sur l’évaluation de la sécurité par le cadre responsable, qui marque ainsi
son acceptation, est l’acte final du processus d’évaluation.

————————
Appendice 1 au Chapitre 13

ÉLÉMENTS INDICATIFS SUR


LA CONDUITE DES SESSIONS DE GROUPES
DE TRAVAIL SUR L’IDENTIFICATION ET
L’ÉVALUATION DES DANGERS

1. RÔLE DU GROUPE D’ÉVALUATION

1.1 Il est habituellement préférable de lancer le processus d’évaluation dans un groupe de travail
réunissant des représentants des diverses organisations participant à la spécification, à l’élaboration et à
l’utilisation du système. Les interactions entre participants ayant des degrés divers d’expérience et de
connaissance ont tendance à mener à une prise en considération plus large, plus globale et plus équilibrée
des questions de sécurité qu’une évaluation effectuée par un seul individu.

1.2 Si les groupes de travail réussissent généralement bien à susciter des idées, identifier des problèmes
et faire une évaluation initiale, ils ne produisent par toujours ces résultats dans un ordre logique. En outre, il
est difficile pour un groupe d’analyser les idées et problèmes en détail. Il est en effet compliqué d’envisager
toutes les implications et rapports mutuels entre des problèmes qui viennent d’être soulevés. C’est pourquoi
il est recommandé de procéder comme suit :

a) le groupe de travail devrait être utilisé uniquement pour générer des idées et entreprendre une
évaluation préliminaire ;

b) les résultats devraient être classés et analysés après la réunion du groupe. Ce travail devrait être
confié à une ou deux personnes ayant à la fois des compétences suffisamment larges pour
comprendre tous les problèmes soulevés et une bonne appréciation des buts de l’évaluation ;

c) les résultats classés devraient être renvoyés au groupe afin de permettre à celui-ci de vérifier si
l’analyse a correctement interprété ses suggestions et de lui donner une occasion de revoir tout
aspect à la lumière d’une « vision globale » de la problématique.

2. PARTICIPANTS AUX GROUPES D’ÉVALUATION

Les groupes doivent comprendre des représentants de toutes les parties principales concernées par le
système et sa sécurité. Généralement, un groupe comptera :

a) des utilisateurs du système — les groupes d’utilisateurs primaires les plus directement concernés
afin d’évaluer les conséquences d’une ou plusieurs défaillances d’un point de vue opérationnel (par
ex. contrôleurs de la circulation aérienne (ATCO) et équipages de conduite) ;

b) des experts techniques du système pour expliquer l’objet, les interfaces et fonctions du système ;

13-APP 1-1
13-APP 1-2 Manuel de gestion de la sécurité (MGS)

c) des experts en sécurité et facteurs humains pour guider l’application de la méthodologie et


apporter une compréhension plus large des causes et effets des dangers ;

d) un modérateur ou facilitateur pour diriger et maîtriser la dynamique du groupe ;

e) un secrétaire de réunion pour prendre note des résultats et aider le facilitateur à garantir que tous
les aspects ont été couverts.

3. PSYCHOLOGIE DU GROUPE

3.1 Il est utile d’accorder une certaine attention à la psychologie individuelle et à la psychologie du
groupe lors de la réunion du groupe d’évaluation afin de comprendre comment gérer une réunion avec fruit.
Les processus mentaux requis pour produire les résultats souhaités peuvent être classés en deux grandes
catégories de pensée :

a) Pensée créative (inductive). Elle est importante pour l’identification de défaillance(s) et de


séquences d’événements ainsi que des dangers susceptibles d’en découler. Le type de question
fondamental que l’on pose est : « Quel problème pourrait se produire ? »

b) Pensée rationnelle (déductive). Elle est importante pour classer les dangers en fonction de leur
gravité et pour fixer des objectifs de sécurité. La question fondamentale que l’on pose est : « Quelle
sera la gravité des conséquences de cette séquence d’événements ? »

3.2 Les processus susmentionnés sont de type cognitifs et sont entrepris par chaque participant mais
la dynamique de groupe d’une réunion est aussi importante pour en assurer le succès.

Le processus créatif — identifier les problèmes qui pourraient survenir

3.3 La pensée créative est nécessaire pour garantir que l’identification des défaillances potentielles et
des éventuels dangers qui en découleraient soit la plus complète possible. Il est important d’encourager les
participants à mener une réflexion large et audacieuse sur le sujet, dans un premier temps sans analyse ou
critique.

3.4 En général, on y parviendra au moyen d’une séance structurée de recherche d’idées. La structure
devrait à la fois assurer l’exhaustivité et encourager (et non limiter) une réflexion large sur le système.

Pensée rationnelle — classer les risques et fixer des objectifs de sécurité

3.5 Le but de cette partie de la session d’évaluation est de susciter des jugements subjectifs de façon
à utiliser au mieux la connaissance et l’expérience des gens et à réduire au minimum — ou tout au moins à
révéler — toute partialité ou incertitude.

3.6 Lorsque les fonctions et dangers sont complexes et étroitement interdépendants, les concepteurs
de la session devraient envisager de lancer la partie rationnelle de la session quelque temps après la partie
créative, afin de dégager du temps pour classer les résultats sous une forme concise. Si ce n’est pas
possible, les chefs de session devraient veiller à se donner une occasion (pendant une pause, par exemple)
de faire un tri préliminaire des résultats.
Chapitre 13. Évaluations de la sécurité — Appendice 1 13-APP 1-3

Dynamique de groupe

3.7 Les indications suivantes s’appliquent tant aux aspects créatifs qu’aux aspects rationnels de la
session :

a) Comprendre le processus et les raisons de la participation. Il est important que les participants
aient un but commun.

b) Taille du groupe. La taille du groupe est principalement déterminée par les domaines de
compétence requis. Toutefois, des groupes de plus de dix personnes peuvent être très difficiles à
gérer.

c) Dominance et réticence. Certains individus peuvent dominer la conversation tandis que d’autres
peuvent éprouver une réticence surtout à marquer leur désaccord par rapport à ce qui apparaît comme
l’opinion générale.

d) Attitude défensive. Les participants étroitement associés à l’élaboration d’un système ou de son
équivalent peuvent éprouver des difficultés à admettre que des problèmes puissent survenir.

e) Retours d’informations. Il est important de donner des retours d’informations positifs pendant la
session. Toutes les interventions devraient être perçues comme extrêmement utiles.

f) Confidentialité. Lorsque des représentants de diverses organisations sont présents, le facilitateur


devrait être conscient d’éventuels points susceptibles d’influer sur ce que les participants estiment
pouvoir dire.
Page blanche
Chapitre 14

RÉALISATION D’AUDITS DE SÉCURITÉ

14.1 INTRODUCTION

Les audits de sécurité sont une des principales méthodes permettant d’assumer les fonctions de contrôle
des performances en matière de sécurité décrites au Chapitre 10. Ils constituent une activité essentielle de
tout système de gestion de la sécurité (SGS). Les audits de sécurité peuvent être réalisés par une autorité
externe d’audit, telle qu’une autorité nationale de réglementation, ou ils peuvent être effectués par du
personnel de l’organisation même, dans le cadre d’un SGS. Les audits réglementaires ont été brièvement
étudiés au Chapitre 10. Le présent chapitre se concentre sur le programme interne d’audits de sécurité.

14.2 AUDITS DE SÉCURITÉ

14.2.1 Les audits de sécurité servent à apporter les garanties suivantes :

a) la structure du SGS est saine sur les plans de la dotation en personnel, du respect des procédures
et instructions approuvées, ainsi que du degré satisfaisant de compétence et de formation pour
utiliser les équipements et les installations et pour maintenir les niveaux de performance ;

b) la performance des équipements est adéquate pour les niveaux de sécurité du service fourni ;

c) des dispositions efficaces existent pour promouvoir la sécurité, contrôler les performances en
matière de sécurité et traiter les problèmes de sécurité ;

d) des dispositions adéquates existent pour traiter les urgences prévisibles.

14.2.2 L’idéal serait d’effectuer des audits de sécurité régulièrement, selon un cycle qui veille à ce que
chaque domaine fonctionnel soit audité dans le cadre du plan de l’organisation visant à évaluer la perfor-
1
mance générale en matière de sécurité . Des audits de sécurité devraient entraîner une réévaluation
périodique détaillée des performances, procédures et pratiques de sécurité de chaque unité ou section
ayant des responsabilités en matière de sécurité. En plus du plan d’audit à l’échelle de l’organisation, un
plan détaillé d’audit devrait donc être préparé pour chaque unité/section distincte.

14.2.3 Les audits de sécurité ne devraient pas se borner à vérifier le respect des exigences régle-
mentaires et la conformité aux normes de l’organisation. L’équipe d’audit devrait évaluer si les procédures
en vigueur sont appropriées et si certaines pratiques de travail sont susceptibles d’avoir des conséquences
imprévues sur la sécurité.

1. Pour les centres ATS, l’organisation devrait élaborer un plan d’audit de sécurité à l’échelle de l’organisation. Ce plan d’audit de
sécurité devrait être revu chaque année et devrait prévoir des audits réguliers pour toutes les unités ou sections. En général, ces
audits se dérouleraient à des intervalles de deux à trois ans.

14-1
14-2 Manuel de gestion de la sécurité (MGS)

14.2.4 La portée des audits de sécurité est variable, allant d’un tour d’horizon de toutes les activités de
l’unité ou de la section à une activité spécifique. Il faudrait spécifier à l’avance les critères sur la base
2
desquels l’audit sera mené . Des listes de vérification peuvent être utilisées pour déterminer les points que
l’audit devra examiner de façon suffisamment détaillée pour garantir une prise en considération de toutes
les tâches et fonctions prévues. La portée et la précision de ces listes de vérification dépendront de la taille
et de la complexité de l’organisation soumise à audit.

14.2.5 Pour qu’un audit soit fructueux, il est essentiel d’obtenir la coopération du personnel de l’unité
ou de la section concernée. Le programme d’audits de sécurité devrait reposer sur les principes suivants :

a) Il ne doit jamais apparaître comme une « chasse aux sorcières ». L’objectif est de développer les
connaissances. Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché.

b) L’audité devrait mettre toute la documentation pertinente à la disposition des auditeurs et prendre
les dispositions nécessaires pour que le personnel soit disponible pour des interviews selon les
besoins.

c) Les faits devraient être examinés de façon objective.

d) Un rapport d’audit écrit décrivant les constatations et recommandations devrait être présenté à
l’unité ou à la section dans un délai spécifié.

e) Le personnel de l’unité ou de la section ainsi que la direction devraient être informés des consta-
tations de l’audit.

f) Il faudrait donner un retour d’information positif en soulignant dans le rapport les points positifs
constatés pendant l’audit.

g) Bien que les carences doivent être repérées, toute critique négative devrait être évitée dans la
mesure du possible.

h) Il devrait être exigé d’élaborer un plan pour remédier aux carences.

14.2.6 À la suite d’un audit, un mécanisme de contrôle peut être mis en œuvre pour vérifier l’efficacité
de toute mesure correctrice nécessaire. Des audits de suivi devraient se concentrer sur les aspects des
opérations épinglés comme nécessitant une mesure correctrice. Il n’est pas toujours possible de programmer
à l’avance à quelle date se dérouleront des audits de suivi d’audits de sécurité précédents qui ont amené à
suggérer des mesures correctrices ou ont détecté une tendance inopportune de la performance en matière
de sécurité. Le programme annuel général d’audits devrait tenir compte de l’éventualité de tels audits non
programmés.

14.2.7 La Figure 14-1 illustre sous forme de diagramme le processus d’audit de sécurité. Les procé-
dures concernées à chaque étape du processus d’audit de sécurité sont examinées en détail plus loin dans
ce chapitre.

2. Pour les audits des unités ATS, ces critères devraient comprendre les éléments énumérés à la section 2.5 des PANS-ATM
(Doc 4444) qui concernent l’unité ou la section soumise à audit.
Chapitre 14. Réalisation d’audits de sécurité 14-3

Des mesures
correctives
Élaborer le plan d’audit Réaliser l’audit
sont-elles
nécessaires?

OUI NON

Déterminer Déterminer le suivi


Soumettre le rapport
les mesures des mesures correctrices

Figure 14-1. Le processus d’audit de sécurité

14.3 L’ÉQUIPE D’AUDIT DE SÉCURITÉ

14.3.1 Les audits de sécurité peuvent être réalisés par une seule personne ou par une équipe, en
fonction de l’ampleur de l’audit. Selon la taille de l’organisation et la disponibilité des ressources, du
personnel expérimenté et formé de l’organisation même peut effectuer des audits de sécurité ou aider des
auditeurs externes. Le personnel sélectionné pour réaliser un audit devrait avoir une expérience pratique
des disciplines présentes dans le domaine à auditer, une bonne connaissance des exigences réglemen-
taires pertinentes et du SGS de l’organisation, et devrait avoir été formé aux procédures et techniques
d’audit. Une équipe d’audit se compose d’un chef d’équipe d’audit et d’un ou plusieurs auditeurs.

14.3.2 Les personnes choisies pour entreprendre un audit doivent être crédibles aux yeux des
audités. En un mot, elles doivent avoir les qualifications et la formation requises pour assumer la fonction
d’auditeur dans les domaines appropriés de compétence. Les membres de l’équipe d’audit devraient,
dans la mesure du possible, être indépendants du domaine audité. Pour autant que la taille de l’organi-
sation et les circonstances le permettent, ces fonctions devraient être assumées par des personnes non
responsables de la conception ou de la réalisation des tâches et fonctions auditées et n’ayant pas
participé à de telles tâches et fonctions. Ainsi, l’évaluation est neutre et indépendante des aspects
opérationnels de l’organisation. Il est en outre préférable que l’équipe d’audit ne soit pas exclusivement
composée de cadres dirigeants. Ce paramètre contribuera à garantir que l’audit ne soit pas perçu comme
menaçant. Du personnel ayant une expérience des opérations actuelles peut aussi être mieux à même de
repérer les éventuels problèmes. Il peut être nécessaire de demander à un spécialiste extérieur à l’auto-
rité d’audit de participer à l’audit.

Le rôle du chef de l’équipe d’audit

14.3.3 Un chef d’équipe d’audit devrait être désigné si l’équipe compte plus d’un auditeur. Le chef
d’équipe d’audit est chargé de la conduite générale de l’audit. En outre, il entreprend certaines des tâches
générales d’un auditeur (voir le § 14.3.4). Le chef de l’équipe d’audit doit aussi être un bon communicateur
et doit être capable de gagner la confiance de l’organisation soumise à audit.
14-4 Manuel de gestion de la sécurité (MGS)

Le rôle des auditeurs

14.3.4 Les tâches à effectuer par chaque membre de l’équipe d’audit seront attribuées par le chef de
l’équipe d’audit. Il s’agira entre autres de réaliser des interviews du personnel de l’unité ou de la section
soumise à audit, d’examiner la documentation, d’observer les opérations et d’écrire des documents pour le
rapport d’audit.

14.4 PLANIFICATION ET PRÉPARATION

14.4.1 Une notification formelle de l’intention de réaliser l’audit devrait être envoyée à l’unité ou à la
section à auditer, suffisamment tôt pour permettre d’effectuer toutes préparations nécessaires. Dans le
cadre du processus de préparation de l’audit, l’autorité d’audit peut consulter les instances de direction de
l’organisation à auditer. Il peut être demandé à l’organisation de fournir des documents préparatoires avant
l’audit proprement dit, par exemple des dossiers sélectionnés, un questionnaire préalable à l’audit dûment
complété et des manuels. L’organisation auditée doit bien comprendre le but, la portée, les exigences en
ressources, les processus d’audit et de suivi, etc., avant l’arrivée des auditeurs.

Activité préalable à l’audit

14.4.2 Un des premiers actes à poser lors de la planification d’un audit sera de vérifier la faisabilité du
programme proposé et de déterminer les informations qui seront nécessaires avant le début de l’audit. Il
faudra aussi préciser les critères sur la base desquels l’audit sera mené et élaborer un plan d’audit détaillé
ainsi que des listes de vérification à utiliser pendant l’audit.

14.4.3 Les listes de vérification comprendront une série exhaustive de questions groupées par thème,
qui seront utilisées pour garantir que tous les thèmes pertinents seront abordés. Aux fins d’un audit de
sécurité, les listes de vérification devraient aborder les domaines suivants d’une organisation :

a) les exigences réglementaires nationales relatives à la sécurité ;

b) les politiques et normes de sécurité de l’organisation ;

c) la structure des obligations redditionnelles en matière de sécurité ;

d) la documentation, notamment :

— le manuel de gestion de la sécurité ;

— la documentation opérationnelle (y compris les instructions locales) ;

e) la culture de la sécurité (réactive ou proactive) ;

f) les processus d’identification des dangers et de gestion des risques ;

g) les capacités de supervision de la sécurité (contrôle, inspections, audits, etc.) ;

h) des dispositions visant à garantir la performance des sous-traitants en matière de sécurité.


Chapitre 14. Réalisation d’audits de sécurité 14-5

Le plan d’audit

14.4.4 Le Tableau 14-1 présente une esquisse d’un plan d’audit type.

14.5 CONDUITE DE L’AUDIT

14.5.1 La conduite de l’audit proprement dit consiste essentiellement en un processus d’inspection ou


de recherche de données. Des informations de pratiquement toute source peuvent être examinées dans le
cadre de l’audit.

14.5.2 Pendant la conduite d’un audit de sécurité, beaucoup tendent à limiter les constatations aux
cas de non-conformité par rapport aux exigences réglementaires. Les auditeurs doivent être bien conscients
du fait que de telles inspections n’ont qu’une valeur limitée pour les raisons suivantes :

a) il est possible que l’organisation compte exclusivement sur l’autorité d’audit pour garantir qu’elle
respecte les normes ;

Tableau 14-1. Exemple d’une structure type de plan d’audit

PLAN D’AUDIT

INTRODUCTION

[Cette section devrait présenter le plan d’audit et le contexte de l’audit.]

OBJET

[Le but, les objectifs, la portée et les critères sur la base desquels l’audit sera effectué
devraient être spécifiés.]

UNITÉ/SECTION À AUDITER

[Cette section devrait clairement spécifier le domaine à soumettre à audit.]

ACTIVITÉS PLANIFIÉES

[Cette section devrait déterminer et décrire les activités à effectuer, les domaines d’intérêt et
la manière dont les différents sujets seront abordés. Elle devrait aussi préciser les
documents qui devraient être mis à la disposition de l’équipe d’audit. Si l’audit comporte des
interviews, les domaines qui seront abordés pendant ces interviews devraient être
mentionnés.]

CALENDRIER

[Cette section devrait présenter un calendrier détaillé pour chacune des activités planifiées.]

ÉQUIPE D’AUDIT

[Cette section devrait présenter les membres de l’équipe d’audit.]


14-6 Manuel de gestion de la sécurité (MGS)

b) il se peut que les normes soient respectées uniquement pendant que l’auditeur effectue l’inspection ;

c) un rapport d’audit ne soulignera que les domaines où des lacunes ont été constatées lors de
l’inspection ;

d) l’audit n’encouragera pas l’organisation à être proactive et, souvent, seules les questions soulevées
par l’auditeur seront vérifiées.

Réunion préaudit

14.5.3 Lors de la réunion préaudit, le chef de l’équipe d’audit présentera brièvement le contexte de
l’audit, son objectif, et toutes questions spécifiques qui seront abordées par l’équipe d’audit. Les dispositions
pratiques, notamment la disponibilité du personnel pour des interviews, devraient être discutées et convenues
avec le directeur de l’unité ou de la section auditée.

Procédures d’audit

14.5.4 Les techniques de collecte des informations sur lesquelles l’équipe d’audit basera son évaluation
comprennent :

a) l’examen de la documentation ;

b) les interviews du personnel ;

c) les constatations de l’équipe d’audit.

14.5.5 L’équipe d’audit devrait passer en revue de façon systématique les points de la liste de vérifi-
cation pertinente. Les constatations devraient être notées sur des feuilles de constatations normalisées.

14.5.6 Si un point particulier de préoccupation est détecté pendant l’audit, il devrait faire l’objet d’un
examen plus approfondi. Toutefois, l’auditeur doit garder à l’esprit la nécessité de terminer le reste de l’audit
dans le délai prévu et doit donc éviter de passer un temps excessif à explorer un seul point au risque de ne
pas remarquer d’autres problèmes.

3
Interviews d’audit

14.5.7 Pour les auditeurs, le principal moyen d’obtenir des informations est de poser des questions.
Cette méthode fournit des informations supplémentaires par rapport à celles contenues dans les documents
écrits et donne au personnel concerné une occasion d’expliquer le système et les pratiques de travail. Des
discussions en face-à-face permettent aussi aux auditeurs d’évaluer dans quelle mesure le personnel de
l’unité ou de la section comprend la gestion de la sécurité et a la volonté de l’appliquer. Les personnes à
interviewer devraient être choisies dans toute une gamme de fonctions de direction, de supervision et de
postes fonctionnels. Le but des interviews d’audit est de générer des informations, pas de se lancer dans
des discussions.

3. Des indications plus complètes sur les techniques d’interview sont présentées au Chapitre 8.
Chapitre 14. Réalisation d’audits de sécurité 14-7

Constatations de l’audit

14.5.8 Une fois que les activités d’audit sont terminées, l’équipe d’audit devrait examiner toutes les
constatations de l’audit et les comparer avec les réglementations et procédures pertinentes pour confirmer
qu’il est bien exact de qualifier les constatations faites de « non-conformités », « carences » ou « lacunes de
sécurité ».

14.5.9 Une évaluation de la gravité devrait être réalisée pour tous les points considérés comme « non-
conformités », « carences » ou « lacunes de sécurité ».

14.5.10 Il faudrait garder à l’esprit que l’audit ne devrait pas se concentrer sur des constatations
négatives. Un objectif important de l’audit de sécurité est aussi de mettre en évidence les bonnes pratiques
dans le domaine audité.

Réunion postaudit

14.5.11 La direction peut exiger des rapports intermédiaires réguliers tout au long de l’audit. Néanmoins,
une réunion postaudit devrait se tenir avec la direction de l’unité ou de la section à la fin des activités d’audit
afin de communiquer les constatations faites pendant l’audit et toute recommandation qui en découle.
L’exactitude factuelle peut être confirmée et des constatations importantes peuvent être mises en évidence.

14.5.12 Avant cette réunion, l’équipe d’audit devra :

a) s’accorder sur les conclusions de l’audit ;

b) rédiger des recommandations, telles que des propositions de mesures correctrices appropriées, si
nécessaire ;

c) examiner l’éventuelle nécessité de mesures de suivi.

14.5.13 Les constatations de l’audit peuvent se répartir en trois catégories :

a) des divergences ou non-conformités graves justifiant une suspension d’une licence, d’un permis ou
d’une autorisation ;

b) toute divergence ou non-conformité qui doit être rectifiée dans un délai convenu ;

c) les constatations sur des questions susceptibles d’avoir une incidence sur la sécurité ou de faire
l’objet d’une réglementation avant le prochain audit.

14.5.14 À la réunion postaudit, le chef de l’équipe d’audit devrait présenter les constatations faites
pendant l’audit et donner aux représentants de l’unité ou de la section auditée l’occasion de lever tout malen-
tendu. Les dates de publication de tout rapport d’audit provisoire et de réception des commentaires sur ce
rapport devraient être fixées par accord mutuel. Un projet de rapport final est souvent donné à la direction.

Plan d’action correctrice

14.5.15 À la fin d’un audit, des actions correctrices planifiées devraient être exposées par écrit pour
tous les domaines identifiés comme sources de préoccupation en termes de sécurité. Il incombe à la
direction de l’unité ou de la section d’élaborer un plan d’action correctrice décrivant la/les mesure(s) à
prendre pour remédier aux carences ou lacunes de sécurité identifiées, et ce dans le délai convenu.
14-8 Manuel de gestion de la sécurité (MGS)

14.5.16 Une fois terminé, le plan d’action correctrice devrait être envoyé au chef de l’équipe d’audit.
Le rapport d’audit final comprendra ce plan d’action correctrice et précisera toute mesure d’audit de suivi
proposée. Il incombe au directeur du domaine audité de veiller à ce que les mesures correctrices appropriées
soient mises en œuvre en temps voulu.

Rapports d’audit

14.5.17 Le rapport d’audit devrait brosser un tableau objectif des résultats de l’audit de sécurité. Après
la fin de l’audit, un rapport d’audit provisoire devrait être envoyé dès que possible au directeur de l’unité ou
de la section pour examen et commentaires. Tout commentaire reçu devrait être pris en considération lors
de la rédaction du rapport final, qui constitue le rapport d’audit officiel.

14.5.18 Voici les principes clés à respecter lors de l’élaboration du rapport d’audit :

a) cohérence des constatations et des recommandations présentées à la réunion postaudit, dans le


rapport d’audit provisoire et dans le rapport final d’audit ;

b) conclusions étayées par des renvois ;

c) énoncé clair et concis des constatations et des recommandations ;

d) absence de généralités et d’observations vagues ;

e) présentation objective des constatations ;

f) emploi de la terminologie aéronautique couramment acceptée, sans acronymes ni jargon ;

g) absence de critiques visant des individus ou des postes particuliers.

14.5.19 Le Tableau 14-2 présente une esquisse d’un rapport d’audit type.

14.6 SUIVI D’AUDIT

14.6.1 Le suivi d’audit concerne la gestion du changement. Dès réception du rapport d’audit final, la
direction doit veiller à ce que l’organisation progresse réellement sur la voie de la réduction ou de
l’élimination des risques détectés. L’objectif principal d’un suivi d’audit est de vérifier la mise en œuvre
effective du plan d’action correctrice. Un suivi est aussi requis pour veiller à ce que toute mesure prise à la
suite de l’audit ne nuise en aucune manière à la sécurité. En d’autres termes, l’audit ne devrait pas avoir
pour conséquence de permettre que de nouveaux dangers, présentant des risques potentiellement plus
élevés, entrent dans le système.

14.6.2 Si l’auditeur n’assure pas le suivi des manquements dans la mise en œuvre de mesures de
sécurité nécessaires (et convenues), la validité de tout le processus d’audit de sécurité s’en trouvera
compromise. Le suivi peut se faire par la surveillance de l’état d’avancement de la mise en œuvre des plans
d’action correctrice convenus ou par des visites d’audit de suivi. Un rapport devrait être rédigé sur toute
visite de suivi effectuée. Il devrait indiquer clairement l’état d’avancement de la mise en œuvre des mesures
correctrices convenues. Dans le rapport de suivi, le chef de l’équipe d’audit devrait mettre en évidence toute
non-conformité, carence ou lacune de sécurité restée non corrigée.
Chapitre 14. Réalisation d’audits de sécurité 14-9

Tableau 14-2. Exemple de contenu d’un rapport d’audit

CONTENU D’UN RAPPORT D’AUDIT

INTRODUCTION

[Cette section devrait identifier l’audit, dont ce rapport est le compte rendu officiel, et
présenter les différents chapitres du rapport.]

LISTE DES DOCUMENTS DE RÉFÉRENCE

[Cette section devrait décrire brièvement tous les documents qui ont été utilisés pendant
l’audit.]

CONTEXTE

[Cette section devrait exposer la raison de l’audit. Il pourrait s’agir d’un audit régulier ou d’un
audit réalisé pour une raison spécifique (par ex. l’identification d’un risque pour la sécurité
ou la constatation d’un incident de sécurité).]

OBJET

[Cette section devrait énoncer l’objectif et la portée de l’audit, tels que décrits dans le plan
d’audit. Tout événement survenu pendant l’audit et ayant posé des problèmes au niveau de
la réalisation de cet objectif devrait être décrit.]

DOTATION EN PERSONNEL

[Cette section devrait énumérer le personnel participant à l’audit.]

CONSTATATIONS

[Cette section devrait exposer les constatations de l’équipe d’audit en termes généraux. Elle
devrait aborder les points positifs et les sources de préoccupation. Les informations
détaillées concernant les constatations devraient être annexées sous la forme de feuilles de
constatations et être assorties des mesures correctrices convenues.]

CONCLUSION GÉNÉRALE

[Cette section devrait présenter les conclusions générales de l’audit. Elle ne devrait pas se
concentrer uniquement sur les problèmes mais devrait aussi mettre en évidence les points
positifs.]

ANNEXES

[Toutes les feuilles de constatations et les feuilles d’actions correctrices y afférentes


devraient être annexées au rapport d’audit.]
14-10 Manuel de gestion de la sécurité (MGS)

14.7 NORMES DE QUALITÉ ISO

De nombreuses organisations aéronautiques ont été certifiées en vertu des normes de produits et services
de l’Organisation internationale de normalisation (ISO) (généralement la série de normes ISO 9000 relatives
à la gestion de la qualité). Dans le cadre du processus de certification ISO, les organisations sont soumises
à des audits de qualité sévères, tant initiaux que continus, réalisés par un organisme d’audit indépendant.
Chapitre 15

CONSIDÉRATIONS PRATIQUES POUR APPLIQUER


UN SYSTÈME DE GESTION DE LA SÉCURITÉ

15.1 INTRODUCTION

Au-delà des considérations théoriques et conceptuelles à envisager lors de la mise en place d’un système
de gestion de la sécurité (SGS), il faut aborder plusieurs aspects pratiques. Le présent chapitre en examine
quelques-uns.

15.2 LE BUREAU DE LA SÉCURITÉ

15.2.1 Dans la plupart des États, les exploitants ne sont soumis à aucune obligation réglementaire de
désigner un directeur de la sécurité (DS). Néanmoins, beaucoup de grands exploitants ou d’exploitants de
taille moyenne choisissent d’employer un DS et de créer un bureau de la sécurité. Le bureau de la sécurité
constitue un point de contact central pour toutes les activités liées à la sécurité ; il sert de dépôt pour les
rapports et informations concernant la sécurité et il met ses compétences en matière de gestion de la sécu-
rité à la disposition des cadres hiérarchiques. La création d’un bureau de la sécurité spécifique serait aussi
bénéfique aux grands fournisseurs de services aéronautiques (tels que l’ATC, les aérodromes et les
organismes de maintenance d’aéronefs) qu’elle ne l’a été aux exploitants d’aéronefs.

15.2.2 Le DS doit disposer d’un bureau équipé de façon appropriée. La présence physique du bureau
de la sécurité (taille et lieu) en dit long sur l’importance que la direction accorde à la gestion de la sécurité et
au rôle du DS.

15.2.3 Le DS devrait être libre de circuler dans l’organisation pour effectuer des coups de sonde,
interroger et observer. Il doit être facilement accessible à toute personne qui souhaite le contacter et il ne
devrait pas s’enfermer dans un bureau et attendre que les informations viennent à lui. Si son bureau se
situe loin des opérations quotidiennes, les communications en souffriront inévitablement.

15.2.4 Comme la principale source d’informations liées à la sécurité au sein d’une organisation est le
personnel opérationnel lui-même, le bureau du DS devrait se situer là où le personnel peut facilement y
accéder. Ce paramètre est particulièrement important pour les questions relatives aux performances
humaines, où les informations concernant un événement lié à la sécurité seront rapportées ou non en
fonction de la facilité avec laquelle un problème peut être discuté, de façon confidentielle si nécessaire,
immédiatement après un incident.

Fonctions du bureau de la sécurité

15.2.5 Indépendamment de son emplacement au sein d’une organisation, un bureau de la sécurité


assume généralement toute une gamme de fonctions de sécurité dans l’entreprise. Parmi les plus courantes,
citons :

15-1
15-2 Manuel de gestion de la sécurité (MGS)

a) conseiller la haute direction sur des matières liées à la sécurité, telles que :

1) établir une politique de sécurité ;

2) définir les responsabilités et obligations redditionnelles en matière de sécurité ;

3) instaurer un SGS efficace dans l’organisation ;

4) émettre des recommandations relatives à la répartition des ressources nécessaires pour soutenir
les initiatives de sécurité ;

5) diffuser des communications publiques sur les questions de sécurité ;

6) organiser la planification des interventions en cas d’urgence ;

b) assister les cadres hiérarchiques dans :

1) l’évaluation des risques identifiés ;

2) la sélection des mesures d’atténuation les plus appropriées pour les risques considérés comme
inacceptables ;

c) superviser les systèmes d’identification des dangers, par exemple :

1) les enquêtes sur les événements ;

2) les systèmes de comptes rendus d’incidents ;

3) les programmes d’analyse des données de vol ;

d) gérer les bases de données de sécurité ;

e) effectuer des analyses de sécurité, par exemple :

1) le contrôle des tendances ;

2) des études sur la sécurité ;

f) former aux méthodes de gestion de la sécurité ;

g) coordonner les comités de sécurité ;

h) promouvoir la sécurité :

1) en assurant la sensibilisation aux processus de gestion de la sécurité de l’organisation et la


compréhension de ces processus dans tous les domaines opérationnels ;

2) en diffusant en interne les leçons tirées en matière de sécurité ;

3) en échangeant des informations liées à la sécurité avec des agences externes et des organi-
sations assurant des opérations similaires ;
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-3

i) contrôler l’évaluation des performances en matière de sécurité :

1) en conduisant des enquêtes de sécurité ;


2) en fournissant des indications sur la supervision de la sécurité ;

j) participer aux enquêtes sur les accidents et incidents ;

k) établir des comptes rendus de sécurité devant satisfaire aux exigences :

1) de la direction (par ex. des rapports annuels/trimestriels sur les tendances en matière de sécurité
et l’identification des questions de sécurité non résolues) ;
2) de l’autorité de réglementation (AAC).

15.3 DIRECTEUR DE LA SÉCURITÉ (DS)

15.3.1 Le DS est le coordinateur de l’élaboration et de la maintenance d’un SGS efficace. Il sera


probablement aussi le principal point de contact avec l’autorité de réglementation pour de nombreuses
questions de sécurité. L’obligation pour le DS de rendre des comptes directement au directeur général
prouve que la sécurité a, dans le processus décisionnel, un niveau d’importance équivalent à celui d’autres
grandes fonctions organisationnelles.

15.3.2 Les fonctions du DS sont examinées brièvement au Chapitre 12. En général, le DS a pour
mission de veiller à ce que la documentation concernant la sécurité reflète exactement la situation existante,
de contrôler l’efficacité des mesures correctrices, de fournir des rapports réguliers sur les performances en
matière de sécurité et de donner des conseils indépendants au directeur général, aux cadres dirigeants et à
d’autres membres du personnel sur des questions liées à la sécurité.

15.3.3 Dans beaucoup d’organisations, le DS occupe une fonction de « cadre fonctionnel » et


conseille la haute direction sur les questions liées à la sécurité. En effet, un conflit d’intérêt pourrait surgir si
le DS détenait aussi des responsabilités de cadre hiérarchique. La gestion de la sécurité est donc une
responsabilité partagée par les cadres hiérarchiques et soutenue par le « cadre fonctionnel », spécialiste de
la sécurité, le DS. La haute direction ne devrait pas faire porter au DS la responsabilité des tâches qui
incombent aux cadres hiérarchiques. Toutefois, il est de la responsabilité du DS d’octroyer aux cadres
hiérarchiques un soutien efficace en personnel afin de garantir le succès de leurs efforts en matière de
gestion de la sécurité.

15.3.4 Il est possible que de grandes organisations aient besoin d’une petite équipe de quelques spécia-
listes en sécurité pour aider le DS. Ces spécialistes assureraient diverses tâches, telles que la tenue à jour de
la documentation de sécurité, l’examen des évaluations de sécurité et la participation à des audits de sécurité.

15.3.5 Indépendamment des dispositions organisationnelles, une déclaration formelle des responsa-
bilités et obligations redditionnelles est souhaitable, même dans de petites organisations. Cette déclaration
clarifie les liens hiérarchiques formels et informels de l’organigramme et précise les obligations reddition-
nelles liées à des activités spécifiques.

Critères de sélection du DS

15.3.6 Quelle que soit la taille de l’organisation, le DS devrait avoir une expérience de la gestion
opérationnelle et des compétences techniques adéquates pour comprendre les systèmes qui sous-tendent
15-4 Manuel de gestion de la sécurité (MGS)

les opérations. Les compétences opérationnelles seules ne suffiront pas. Le DS doit avoir une bonne
compréhension des principes de gestion de la sécurité, acquise par le biais d’une formation officielle et de
son expérience pratique.

15.3.7 Outre sa compétence professionnelle, le DS doit posséder plusieurs atouts. Il devrait avoir :

a) une bonne connaissance de l’aviation et des fonctions et activités de l’organisation ;

b) des aptitudes en relations humaines (telles que le tact, la diplomatie, l’objectivité et l’équité) ;

c) des aptitudes d’analyse et de résolution des problèmes ;

d) des aptitudes à gérer des projets ;

e) des aptitudes en communication orale et écrite.

15.3.8 Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 de ce chapitre.

Rôle de leadership

15.3.9 Dès le départ, le DS doit imposer son image. Le DS est perçu comme un expert spécifique en
gestion de la sécurité. Une des forces du DS est de convaincre les autres de la nécessité de changer. Pour
cela, il faut des aptitudes de leadership. Pour développer le style de leadership le plus approprié à une
organisation déterminée, il faut envisager les éléments suivants :

a) Exemple personnel. Le système de valeurs personnel du DS doit amener celui-ci à donner


l’exemple à tout le personnel, aux fournisseurs de services et à la direction. Le DS doit en tout
temps être perçu comme respectant les normes de sécurité les plus élevées. En aucun cas le DS
ne peut agir selon le principe « Faites ce que je dis, mais pas ce que je fais... ».

b) Courage de ses opinions. Le DS doit être disposé à aller à contre-courant si nécessaire. Dans
certains cas, le DS peut être la seule voix appelant au changement. La nécessité de changer ne
sera pas toujours populaire, ni auprès de la direction ni auprès du personnel concerné.

c) Recherche du consensus. En tant que promoteur du travail en équipe, que ce soit avec le
personnel du bureau ou dans le contexte de comités, le DS doit rechercher le consensus, inspirer la
confiance tout en convainquant les principaux acteurs de la nécessité de changer. Dans ce cadre, il
lui faudra souvent recourir aux compromis et faire preuve d’aptitudes à résoudre les conflits.

d) Adaptabilité. Le DS doit diriger sa barque avec prudence à travers des circonstances et priorités en
constante évolution, en jugeant quand dénoncer des faits et quand renoncer. Il n’y a pas loin de la
persévérance à l’entêtement, ni de la flexibilité au manque de fermeté.

e) Esprit d’initiative. Un DS efficace n’attend pas que les problèmes se présentent. Conformément à
une culture de sécurité proactive, il doit faire preuve d’initiative pour rechercher les dangers, évaluer
les risques y afférents et avancer les arguments en faveur du changement.

f) Innovation. Il existe peu de messages neufs dans le domaine de la sécurité. On a déjà tiré trop de
leçons, parfois à maintes reprises. Le DS doit trouver des approches innovantes pour les éternels
problèmes posés par l’excès de confiance, les raccourcis, les « contournements de règlements ».

g) Fermeté mais équité. Un leadership efficace traite toutes les personnes de façon équitable : il est
ferme sur les exigences mais équitable dans sa sensibilité aux circonstances exceptionnelles.
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-5

Le DS dans de grandes organisations ou des organisations en expansion

15.3.10 À mesure qu’une organisation s’étend, il deviendra de plus en plus difficile pour un DS
d’assumer ses fonctions seul. Ainsi, l’extension du réseau de routes d’un exploitant peut entraîner une
augmentation de la flotte et, peut-être, l’introduction de types d’aéronefs différents. Ces évolutions vont
accroître le nombre d’événements requérant l’attention du DS. Dans ces cas, un service de gestion de la
sécurité disposant d’un personnel minimal ne sera peut-être pas à même d’assumer une fonction adéquate
de contrôle. Pour aider le DS, notamment dans des tâches secondaires, il faudra probablement des
spécialistes supplémentaires. Voici, par exemple, quelques-uns des spécialistes dont une compagnie aérienne
devra peut-être s’adjoindre les services :

a) des responsables de la sécurité aérienne de la flotte (pilotes qualifiés sur type) ;

b) des responsables de la sécurité des services techniques (ingénieurs au sol titulaires d’une licence
et ayant une vaste expérience) ;

c) des responsables de la sécurité des cabines (membres les plus anciens des équipages de cabine
ayant une expérience de la formation des équipages de cabine, des équipements de sécurité et des
procédures opérationnelles).

15.3.11 Ces spécialistes peuvent apporter leur aide pour le contrôle des événements spécifiques à
leur flotte ou à leur discipline et apporter un point de vue technique lors d’enquêtes sur des événements.

Les relations du DS

15.3.12 Les domaines d’intérêt du DS sont très larges, couvrant les relations extérieures avec les
prestataires de services, les sous-traitants, les fournisseurs, les constructeurs et les responsables de
l’autorité de réglementation. Le DS doit encourager des relations de travail efficaces avec tout l’éventail des
personnes ayant une action sur la sécurité et à tous les niveaux. Ces relations devraient être placées sous
le signe de :

a) la compétence et du professionnalisme ;

b) la cordialité et la courtoisie ;

c) l’équité et l’intégrité ;

d) l’ouverture d’esprit.

15.3.13 Le DS devrait être disponible pour discuter des questions de gestion de la sécurité avec toute
personne. Une politique dite « de la porte ouverte » ne suffit pas. Le DS doit être visible et chacun doit
pouvoir s’adresser à lui dans toutes les zones d’opérations et de maintenance, y compris les fournisseurs
extérieurs.

15.4 COMITÉS DE SÉCURITÉ

15.4.1 Selon la taille et la complexité de l’organisation, le DS peut bénéficier du soutien d’un comité de
sécurité. De petites organisations feront bien d’examiner et de résoudre les questions de sécurité de façon
informelle. Tant que la communication est bonne et que le personnel et la direction sont disposés à donner
des conseils et de l’aide au DS, il ne sera pas nécessaire de mettre en place un comité de sécurité officiel.
Dans les organisations où un comité de sécurité distinct n’a pas été créé, les performances en matière de
15-6 Manuel de gestion de la sécurité (MGS)

sécurité et la gestion de la sécurité devraient figurer régulièrement à l’ordre du jour des réunions générales
de la direction. Le DS devrait participer à ces réunions.

15.4.2 Toutefois, dans de grandes organisations comptant plusieurs départements opérationnels, les
communications sont souvent « filtrées » et il s’avère fréquemment nécessaire d’améliorer la coordination
entre les départements. Les questions de sécurité requièrent souvent des données provenant d’un large
éventail de domaines. Les comités de sécurité peuvent constituer un forum pour examiner les questions
liées à la sécurité sous différents angles, surtout lorsque celles-ci nécessitent un éclairage plus large. En
outre, ils garantissent la participation active de la haute direction de l’organisation au SGS. Vu leurs compé-
tences multidisciplinaires, les comités de sécurité constituent la plate-forme naturelle pour la « pollinisation
croisée » des idées et pour une évaluation « systémique » des performances en matière de sécurité.

15.4.3 Les comités de sécurité devraient se concentrer sur « l’action » et non sur le « dialogue ». Le
rôle du comité de sécurité peut couvrir les aspects suivants :

a) mettre ses compétences et conseils sur les questions de sécurité au service de la haute direction ;

b) examiner les progrès réalisés dans la résolution des dangers identifiés et dans l’application des
mesures prises à la suite d’accidents et d’incidents ;

c) émettre des recommandations de sécurité pour faire face aux dangers pour la sécurité ;

d) examiner les rapports d’audits de sécurité internes ;

e) examiner et approuver les réactions qu’a suscitées l’audit et les mesures prises ;

f) encourager une approche indirecte des questions de sécurité ;

g) contribuer à l’identification des dangers et des moyens de défense ;

h) rédiger et examiner des rapports de sécurité à présenter au directeur général.

15.4.4 Les comités de sécurité n’ont normalement pas le pouvoir de donner des ordres à des
départements spécifiques. (Un tel pouvoir interférerait avec les liens hiérarchiques formels.) En réalité, les
comités de sécurité recommandent des actions à mettre en œuvre par les gestionnaires responsables.
Toutefois, en raison de questions d’obligations redditionnelles, certaines organisations ont instauré des
comités de sécurité au niveau du Conseil d’administration, afin de garantir que les mesures correctrices sont
prises.

Président du comité

15.4.5 Le comité de sécurité est souvent présidé par un cadre supérieur, le DS agissant en tant que
secrétaire. Cet arrangement contribue à garantir que les débats n’éludent pas les questions controversées.
Pour être efficace, le comité de sécurité doit jouir du soutien du directeur général et des directeurs de
département. Les directeurs qui ont la capacité de prendre des décisions et d’autoriser des dépenses
devraient participer aux réunions concernant des points spécifiques. Sans la participation des décideurs, les
réunions pourraient devenir des « causeries » entraînant de grosses pertes de temps.

Membres

15.4.6 Les comités de sécurité se composent généralement de représentants de tous les principaux
départements de l’organisation. En fonction de la taille de l’organisation, il peut être nécessaire de créer des
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-7

sous-comités distincts, chargés d’aborder des questions spécifiques. Le DS et le bureau de la sécurité


coordonnent les activités et aident le comité de sécurité et tout sous-comité.

Ordre du jour

15.4.7 Tous les membres du comité devraient avoir l’opportunité de soumettre des points susceptibles
de figurer à l’ordre du jour. S’il n’y a pas suffisamment de points à l’ordre du jour pour justifier une réunion
régulière, celle-ci devrait être annulée. Le DS, en tant que secrétaire de la réunion, devrait finaliser l’ordre
du jour avec le président, en fournissant la documentation nécessaire pour chaque point. Les points requérant
décisions et action ont priorité sur les points (d’information) en cours de discussion.

Procès-verbal

15.4.8 Le DS, en tant que secrétaire de la réunion, devrait rédiger un projet de procès-verbal
immédiatement après la réunion (tant que les souvenirs sont encore frais). Une fois que le président a signé
le procès-verbal, celui-ci devient un document à suivre. Le procès-verbal devrait être distribué dans les
quelques jours ouvrables qui suivent la réunion, lorsque les personnes chargées de prendre des mesures
se souviennent de l’engagement qu’elles ont pris. Des copies du procès-verbal devraient être diffusées
largement dans toute l’organisation, à la fois au personnel opérationnel et aux directeurs.

Suivi

15.4.9 Après la réunion, d’autres priorités sont susceptibles de capter l’attention des personnes
censées exécuter les mesures. Le DS devrait contrôler discrètement les mesures prises (ou non) et évaluer
les progrès avec ceux qui sont tenus d’appliquer les décisions.

15.5 FORMATION À LA GESTION DE LA SÉCURITÉ

15.5.1 La culture de la sécurité de l’organisation est étroitement liée au succès de son programme de
formation à la gestion de la sécurité. Tous les membres du personnel doivent comprendre la philosophie, les
politiques, procédures et pratiques de sécurité de l’organisation et ils doivent avoir une idée claire de leurs
rôles et responsabilités dans ce cadre de gestion de la sécurité. La formation à la sécurité devrait commencer
par un cours d’initiation pour tous les membres du personnel et devrait se poursuivre pendant toute la durée
du contrat d’emploi. Une formation spécifique à la gestion de la sécurité devrait être fournie au personnel
occupant des fonctions assorties de responsabilités particulières en matière de sécurité. Le programme de
formation devrait permettre de garantir que la politique et les principes de sécurité de l’organisation sont
compris et respectés par l’ensemble du personnel et que tous les membres du personnel sont conscients
des responsabilités de sécurité liées à leur fonction.

Besoins de formation

15.5.2 Le DS devrait, en collaboration avec le service du personnel, examiner les descriptions des
fonctions de tous les membres du personnel et identifier celles qui sont assorties de responsabilités en
matière de sécurité. Les responsabilités détaillées concernant la sécurité devraient être ajoutées aux
descriptions des fonctions.

15.5.3 Une fois les descriptions des fonctions mises à jour, le DS, en collaboration avec le directeur de
la formation, devrait analyser les besoins de formation afin de déterminer la formation qui sera requise pour
chaque fonction.
15-8 Manuel de gestion de la sécurité (MGS)

15.5.4 En fonction de la nature de la tâche, le niveau requis de formation à la gestion de la sécurité ira
d’une familiarisation générale à la sécurité jusqu’au niveau d’expert pour les spécialistes de la sécurité. En
voici quelques exemples :

a) formation à la sécurité de l’entreprise pour tout le personnel ;

b) formation visant les responsabilités de sécurité de la direction ;

c) formation pour le personnel opérationnel (tels que pilotes, ATCO, AME, personnel des aires de trafic) ;

d) formation pour les spécialistes de la sécurité de l’aviation (tels que le DS, les analystes des
données de vol).

15.5.5 Pendant la mise en œuvre initiale d’un SGS, une formation spécifique devra être fournie au
personnel existant. Une fois le SGS pleinement mis en œuvre, les membres du personnel non spécialisé en
sécurité devraient voir leurs besoins en formation à la sécurité couverts par l’insertion du contenu de sécurité
approprié dans le programme général de formation à leurs fonctions.

Formation initiale à la sécurité pour tout le personnel

15.5.6 Un des rôles de la formation à la gestion de la sécurité est de sensibiliser aux objectifs du SGS
mis en place par l’organisation et à l’importance de développer une culture de la sécurité. Tout le personnel
devrait recevoir un cours d’initiation de base couvrant :

a) les principes de base de la gestion de la sécurité ;

b) la philosophie ainsi que les politiques et normes de sécurité de l’entreprise (y compris la différence
d’approche appliquée par l’entreprise aux mesures disciplinaires et aux questions de sécurité, la
nature intégrée de la gestion de la sécurité, le processus décisionnel lié à la gestion du risque, la
culture de la sécurité, etc.) ;

c) l’importance de se conformer à la politique de sécurité et aux procédures qui font partie intégrante
du SGS ;

d) l’organisation, les rôles et responsabilités du personnel en matière de sécurité ;

e) la cote de sécurité de l’entreprise, y compris l’examen des domaines de faiblesse systémique ;

f) les buts et objectifs de sécurité de l’entreprise ;

g) les programmes de gestion de la sécurité de l’entreprise (systèmes de comptes rendus d’incidents,


LOSA et NOSS) ;

h) la nécessité d’une évaluation interne continue des performances de l’organisation en matière de


sécurité (par ex. enquêtes auprès des travailleurs, audits de sécurité et évaluations de la sécurité) ;

i) les comptes rendus d’accidents, d’incidents et de dangers perçus ;

j) les lignes de communications pour les questions de sécurité ;

k) les méthodes de communication et de retour d’informations pour la diffusion des informations liées à
la sécurité ;
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-9

l) les programmes destinés à récompenser les efforts consentis en matière de sécurité (le cas
échéant) ;

m) les audits de sécurité ;

n) la promotion de la sécurité et la diffusion des informations.

Formation à la sécurité pour la direction

15.5.7 Il est essentiel que l’équipe de direction comprenne les principes sur lesquels repose le SGS.
La formation devrait permettre de garantir que les directeurs et supérieurs hiérarchiques ont une bonne
connaissance des principes du SGS et de leurs responsabilités et obligations redditionnelles en matière de
sécurité. Il peut aussi être utile de donner aux directeurs une formation qui aborde les questions juridiques
connexes, par exemple, leurs responsabilités juridiques.

Formation spécialisée à la sécurité

15.5.8 Plusieurs tâches liées à la sécurité requièrent un personnel spécialement formé, à savoir :

a) les enquêtes sur les événements liés à la sécurité ;

b) le contrôle des performances en matière de sécurité ;

c) la conduite d’évaluations de la sécurité ;

d) la gestion des bases de données de sécurité ;

e) la conduite d’audits de sécurité.

15.5.9 Il est important que le personnel qui assume ces tâches reçoive une formation adéquate aux
méthodes et techniques spécifiques utilisées à ces fins. Selon le niveau de formation requis et les compé-
tences en gestion de la sécurité existant au sein de l’organisation, il peut être nécessaire de recourir à l’aide
de spécialistes externes pour fournir cette formation.

Formation à la sécurité pour le personnel opérationnel

15.5.10 Outre l’initiation à la sécurité au sein de l’entreprise telle que décrite brièvement ci-dessus, le
personnel participant directement aux opérations de vol (équipages de conduite, ATCO, AME, etc.) aura
besoin d’une formation plus spécifique à la sécurité dans les domaines suivants :

a) procédures de comptes rendus d’accidents et d’incidents ;

b) dangers très spécifiques auxquels est confronté le personnel opérationnel ;

c) procédures de comptes rendus de dangers ;

d) initiatives de sécurité spécifiques, telles que :

1) l’équipement FDA ;
15-10 Manuel de gestion de la sécurité (MGS)

2) le programme LOSA ;

3) le programme NOSS ;

e) comité(s) de sécurité ;

f) dangers et procédures de sécurité saisonniers (opérations en hiver, etc.) ;

g) procédures d’urgence.

Formation pour les directeurs de la sécurité

15.5.11 La personne sélectionnée pour exercer les fonctions de DS doit bien connaître la plupart des
aspects de l’organisation, ses activités et son personnel. Ces exigences peuvent être satisfaites en interne
ou par le biais de cours extérieurs, mais le DS acquerra une bonne partie de ses connaissances en
autodidacte.

15.5.12 Parmi les domaines dans lesquels le DS pourrait avoir besoin d’une formation formelle, citons :

a) une familiarisation aux différentes flottes, types d’opérations, routes, etc. ;

b) une compréhension du rôle des performances humaines dans les causes et la prévention des
accidents ;

c) le fonctionnement du SGS ;

d) les enquêtes sur les accidents et les incidents ;

e) la gestion des crises et la planification des interventions d’urgence ;

f) la promotion de la sécurité ;

g) les aptitudes de communication ;

h) les compétences numériques, notamment le traitement de texte, les tableurs et la gestion de bases
de données ;

i) une formation ou une initiation à des domaines spécialisés (CRM, FDA, LOSA et NOSS, entre autres).

1
15.6 CONDUITE D’UNE ENQUÊTE DE SÉCURITÉ

15.6.1 Les enquêtes sur la sécurité offrent une méthode souple et performante d’identification des
dangers à partir d’un échantillon d’avis d’experts. Elles peuvent être utilisées pour examiner un domaine
particulier de la sécurité où des dangers apparaissent ou sont suspectés, ou en tant qu’instrument de
contrôle visant à confirmer qu’une situation existante est satisfaisante. Dans l’un et l’autre cas, les principes
et procédures sont les mêmes et s’appliquent aussi bien aux grandes enquêtes qu’aux petites.

1. Les principes sous-tendant les enquêtes de sécurité ont été abordés au Chapitre 9.
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-11

Principes

15.6.2 Les objectifs de l’enquête devraient être énoncés clairement à tous les répondants ciblés.

15.6.3 La taille de l’échantillon devrait être suffisante pour permettre de tirer des conclusions valables
à partir des informations obtenues. Le degré de respect des procédures formelles, le nombre de participants,
etc., dépendront de la portée de l’enquête.

15.6.4 Des enquêtes peuvent être menées au moyen de listes de vérification, de questionnaires et
d’interviews. Toutes ces méthodes requièrent une aptitude à formuler des questions qui fourniront un point
de référence valable sans orienter la personne interrogée. Les interviews exigent des aptitudes spécifiques
à maintenir les questions neutres et impartiales, en évitant toute réaction négative, en encourageant la
franchise, etc.

15.6.5 Une sélection au hasard des personnes à interroger réduira les risques de gauchissement
des informations recueillies.

15.6.6 La formulation et l’ordre des questions de l’enquête exigent une rigueur identique à celle
des interviews structurées. Toutefois, à l’inverse des interviews, les enquêtes devraient éviter les questions
ouvertes exigeant des réponses rédigées. Les questions devraient au contraire susciter des réponses
spécifiques (qui peuvent être cotées). Elles peuvent porter sur l’évaluation d’un avis selon une échelle
prédéterminée allant, par exemple, de pas du tout d’accord à tout à fait d’accord en passant par sans avis.

15.6.7 Les enquêtes exigent une coordination préalable avec les autorités exerçant la tutelle sur les
répondants ciblés. Ainsi, une enquête peut être vouée à l’échec dès le départ si elle ne bénéficie pas du
soutien des syndicats et associations professionnelles concernés.

15.6.8 Quelle que soit la méthode utilisée pour mener l’enquête, le répondant doit recevoir une
garantie de confidentialité concernant les déclarations spontanées qu’il fera dans le cadre de l’enquête.

15.6.9 D’autres éléments sont à envisager avant de mener une enquête. Il faut notamment :

a) obtenir la coopération des personnes participant à l’enquête ;

b) éviter toute impression de « chasse aux sorcières » (L’objectif est de développer les connaissances.
Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché.) ;

c) respecter l’expérience des répondants ciblés (Ceux-ci ont souvent plus d’expérience dans leur
domaine de spécialisation que l’enquêteur.) ;

d) savoir que toute critique (réelle ou implicite) peut compromettre le bon contact avec la personne
interviewée ;

e) n’accepter les ouï-dire et les rumeurs que s’ils sont étayés.

Fréquence des enquêtes

15.6.10 Certaines organisations préconisent d’effectuer des enquêtes de sécurité à intervalles réguliers
parce qu’elles considèrent celles-ci comme faisant partie intégrante de leur SGS. Ces enquêtes sont parti-
culièrement utiles lorsqu’une organisation traverse une période de changements importants, par exemple :

a) lors de changements organisationnels rapides dus à la croissance ou à l’expansion ;


15-12 Manuel de gestion de la sécurité (MGS)

b) lorsque des changements majeurs de la nature des opérations de l’organisation sont planifiés (tels
que l’introduction de nouveaux équipements ou des fusions d’entreprises) ;

c) lorsque des différends importants opposent le personnel à la direction (tels que des négociations de
contrats ou des actions de grève en cours) ;

d) à la suite d’un changement de membres principaux du personnel (notamment le chef pilote ou le


chef d’unité) ;

e) pendant l’introduction d’une nouvelle initiative de sécurité importante (telle que le TCAS, la FDA, le
LOSA ou le NOSS).

Domaines à examiner

15.6.11 En général, le personnel sait où rechercher les domaines de risque. Les cadres hiérarchiques
et le personnel de première ligne ont souvent une bonne perception des points qui posent les plus gros
risques dans leur domaine de responsabilité. On peut leur demander leur avis dans le cadre de groupes de
travail, de consultations des représentants des travailleurs et d’interviews avec des sous-directeurs et
supérieurs hiérarchiques.

15.6.12 Les sources d’informations évoquées au Chapitre 9 peuvent aussi permettre de comprendre
les risques potentiels que doit affronter l’organisation. Les rapports d’audit peuvent fournir un dossier
structuré des points à surveiller. Comme la rotation des gestionnaires responsables a tendance à donner la
mémoire courte aux entreprises, des évaluations de suivi des rapports formels d’audit peuvent révéler la
persistance de dangers pour la sécurité.

Conclusion de l’enquête

15.6.13 La collecte et l’analyse des informations, l’élaboration de recommandations et la rédaction du


rapport final d’une enquête prendront du temps. Il est dès lors souhaitable de dresser un bref bilan avec les
responsables dès la fin de l’enquête. Si des conclusions s’imposent de toute évidence, elles devraient être
examinées de façon informelle.

15.6.14 Les recommandations devraient être pratiques et se limiter au domaine d’activités et aux
compétences de l’organisation concernée. Il ne faudrait pas éviter les questions sensibles mais veiller à les
présenter de façon équitable, constructive et diplomate.

15.7 DIFFUSION DES INFORMATIONS LIÉES À LA SÉCURITÉ

15.7.1 Le DS devrait être le point de contact central pour les informations liées à la sécurité : rapports
sur les dangers, évaluations des risques, analyses de sécurité, rapports d’enquêtes, rapports d’audits,
procès-verbaux de réunions, travaux de conférences, etc. Le DS doit dégager de toutes ces informations les
messages à diffuser les plus pertinents pour la sécurité. Certains messages sont urgents (avant le prochain
vol), certains sont directifs, d’autres ont valeur de documentation, d’autres encore sont saisonniers, etc.
Comme la plupart des membres du personnel n’ont pas le temps de lire toutes ces informations, il incombe
au DS de distiller les points importants sous la forme de messages de sécurité faciles à comprendre.
Plusieurs éléments devraient guider le DS dans la diffusion des informations liées à la sécurité, notamment :

a) le caractère crucial de l’information ;


Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-13

b) le public cible ;

c) les meilleurs moyens pour diffuser l’information (par ex. briefings, lettres personnelles, bulletins
d’informations, intranet de l’entreprise, vidéos et affiches) ;

d) le choix stratégique du moment opportun pour maximaliser l’impact du message (par ex. les briefings
d’hiver ne suscitent guère d’intérêt en été) ;

e) le contenu (par ex. quelle quantité d’informations contextuelles donner par rapport au message
principal) ;

f) le libellé (par ex. vocabulaire, style et ton les plus appropriés).

Informations cruciales pour la sécurité

15.7.2 Des informations urgentes sur la sécurité peuvent être diffusées par les canaux suivants :

a) messages directs (oraux ou écrits) aux directeurs responsables ;

b) briefings directs (par ex. pour les équipages de conduite d’une flotte particulière ou pour les contrôleurs
d’un organisme spécifique) ;

c) briefings de relève d’équipes (par ex. pour les AME et les ATCO) ;

d) courrier adressé directement à toutes les personnes concernées (par la poste, par fax ou par courriel) :
surtout pour le personnel en poste en dehors du secteur d’attache.

Informations « bonnes à savoir »

15.7.3 L’industrie aéronautique publie une littérature abondante, dont une partie est destinée à des
opérations particulières. Cette documentation comprend des rapports nationaux sur des accidents/incidents,
des études relatives à la sécurité, des revues d’aéronautique, les travaux de conférences et symposiums,
des rapports de constructeurs, des vidéos de formation, etc. Ces informations sont de plus en plus souvent
disponibles sur support électronique. Quel que soit le type de support, ces informations peuvent être mises
à la disposition du personnel et/ou de la direction par divers moyens :

a) un système de diffusion interne ;

b) une bibliothèque de la sécurité (probablement dans le bureau du DS) ;

c) des résumés (probablement rédigés par le DS) signalant au personnel la réception de ces informations ;

d) la distribution personnelle à des directeurs sélectionnés.

Comptes rendus adressés à la direction

15.7.4 Dans les comptes rendus adressés à la direction, il faut éviter de compliquer les choses. La
direction n’a pas le temps de prendre connaissance de grandes quantités de documents, dont certains sont
probablement hors de propos. La direction veut connaître la réponse à des questions élémentaires telles que :

a) Quel est le problème ?


15-14 Manuel de gestion de la sécurité (MGS)

b) Dans quelle mesure peut-il avoir des conséquences sur l’organisation ?

c) Quelle est la probabilité qu’il survienne ?

d) Quel en sera le coût s’il se produit ?

e) Comment peut-on éliminer ce danger ?

f) Comment peut-on réduire le risque ?

g) Quel sera le coût des mesures à prendre ?

h) Quels sont les inconvénients de telles mesures ?

15.8 COMMUNICATIONS ÉCRITES

15.8.1 L’établissement d’une documentation pour le SGS, l’enregistrement et le suivi des mesures de
sécurité importantes, la formulation de recommandations concrètes de sécurité, la promotion de la sécurité,
etc., tous ces éléments requièrent des communications écrites fortes.

15.8.2 Comme les recommandations de sécurité exigent en général des ressources supplémentaires
(ou une redistribution des ressources existantes), les directeurs concernés seront naturellement peu enclins
à prendre des mesures. Les communications écrites offrent un moyen efficace de faire passer les arguments
nécessaires en faveur du changement car elles réduisent le risque de malentendus.

15.8.3 Quelle que soit la nature de la mesure de sécurité recommandée, de mauvaises communications
écrites ont peu de chances de convaincre le bénéficiaire de changer. Dès lors, les communications écrites
devraient répondre aux critères suivants :

a) clarté de l’objectif ;

b) simplicité de la langue ;

c) attention aux détails, mais concision ;

d) pertinence des mots et des idées ;

e) logique et précision de l’argumentation ;

f) objectivité, impartialité et équité de l’examen des faits et de l’analyse ;

g) neutralité de ton (ton non accusateur) ;

h) opportunité.

15.9 PROMOTION DE LA SÉCURITÉ

15.9.1 Un programme continu de promotion de la sécurité veillera à ce que le personnel bénéficie des
leçons tirées en matière de sécurité et continue à comprendre le SGS de l’organisation. La promotion de la
sécurité est étroitement liée à la formation à la sécurité et à la diffusion des informations liées à la sécurité.
Elle englobe les activités que mène l’organisation pour veiller à ce que le personnel comprenne pourquoi
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-15

des procédures de gestion de la sécurité sont instaurées, ce que signifie la gestion de la sécurité, pourquoi
des mesures de sécurité spécifiques sont prises, etc. La promotion de la sécurité constitue le mécanisme
par lequel les leçons tirées d’enquêtes sur des événements relatifs à la sécurité et d’autres activités liées à
la sécurité sont mises à la disposition de l’ensemble du personnel concerné. Elle fournit également un
moyen d’encourager le développement d’une culture positive de la sécurité et de garantir qu’une fois
installée, cette culture de la sécurité sera entretenue.

15.9.2 La publication des politiques, procédures, bulletins d’information et circulaires relatifs à la sécu-
rité ne créera pas à elle seule une culture positive de la sécurité. S’il est important que le personnel soit bien
informé, il est tout aussi important que ce personnel perçoive les preuves d’un engagement de la direction à
garantir la sécurité. Les attitudes et actions de la direction joueront dès lors un rôle significatif dans la
promotion de pratiques de travail sûres et dans le développement d’une culture positive de la sécurité.

15.9.3 Les activités de promotion de la sécurité sont particulièrement importantes pendant les phases
initiales de la mise en œuvre d’un SGS. Toutefois, la promotion de la sécurité joue aussi un rôle important
dans le maintien de la sécurité, car elle constitue le moyen par lequel les questions de sécurité sont
communiquées au sein de l’organisation. Ces questions peuvent être abordées par le biais de programmes
de formation du personnel ou de mécanismes moins formels.

15.9.4 Pour proposer des solutions à des dangers identifiés, le personnel doit être conscient des
dangers déjà identifiés et des actions correctrices déjà mises en œuvre. Les activités de promotion de la
sécurité et les programmes de formation y afférents devraient donc aborder le raisonnement qui sous-tend
l’introduction de nouvelles procédures. Lorsque les enseignements tirés sont susceptibles de présenter un
intérêt pour d’autres États, exploitants ou fournisseurs de services, il faudrait envisager une diffusion plus
large des informations.

Méthodes de promotion

15.9.5 Pour qu’un message de sécurité soit appris et retenu, il faut tout d’abord donner au destinataire
des motivations positives, sans quoi une grande partie des efforts consentis pour atteindre le but recherché
seront gaspillés en pure perte. Une propagande qui se contente d’exhorter les gens à éviter de commettre
des erreurs, à faire plus attention, etc., est inefficace car elle ne présente aucun argument de fond qui
permette aux individus de se sentir concernés. Cette approche de la sécurité a parfois été qualifiée
d’approche « autocollant pour pare-chocs ».

15.9.6 Les campagnes de promotion de la sécurité devraient reposer sur des sujets sélectionnés pour
leur potentiel de maîtrise et de réduction des pertes. La sélection devrait donc se baser sur l’expérience
d’accidents ou de quasi-collisions passés, sur les sujets identifiés par l’analyse des dangers et sur les
constatations d’audits de sécurité de routine. En outre, le personnel devrait être encouragé à suggérer des
thèmes de campagnes promotionnelles.

15.9.7 Pour être efficaces, toutes les méthodes de diffusion — messages oraux et écrits, affiches,
vidéos, présentation de diapositives, etc., — requièrent talent, compétence et expérience. Une diffusion mal
exécutée peut être pire que l’inaction. Il est dès lors souhaitable de recourir à des professionnels lorsque
l’on diffuse des informations à un public crucial.

15.9.8 Une fois qu’il a été décidé de diffuser des informations liées à la sécurité, il faudrait tenir
compte de plusieurs facteurs importants, dont voici quelques exemples :

a) Le public cible. Le message doit être exprimé dans des termes et un langage qui correspondent aux
connaissances du public cible.
15-16 Manuel de gestion de la sécurité (MGS)

b) La réaction attendue. Quelle action le public cible est-il censé accomplir ?

c) Le support. Si les messages imprimés sont peut-être les plus aisés et les moins chers, ils seront
probablement les moins efficaces.

d) Le style de présentation. Il peut faire appel à l’humour, intégrer des éléments graphiques, des
photographies et recourir à d’autres techniques destinées à attirer l’attention.

15.9.9 L’idéal, c’est qu’un programme de promotion de la sécurité repose sur diverses méthodes de
communication. Les méthodes suivantes sont couramment utilisées à cette fin :

a) Message oral. C’est peut-être la méthode la plus efficace, surtout si elle est complétée par une
présentation visuelle. Cependant, c’est aussi la méthode la plus chère car elle demande temps et
efforts pour rassembler le public, les équipements et le matériel. Certains États emploient des
spécialistes en sécurité qui se rendent dans diverses organisations pour y donner conférences et
séminaires.

b) Message écrit. C’est de loin la méthode la plus populaire en raison de sa rapidité et de son faible
coût. Toutefois, la prolifération des imprimés tend à saturer notre capacité à absorber le tout. Les
documents imprimés de promotion de la sécurité entrent en concurrence avec des quantités considé-
rables d’autres documents écrits qui tentent, eux aussi, d’attirer l’attention. De plus, à l’ère numérique,
l’imprimé fait face à une concurrence encore plus forte. Il peut être souhaitable de recourir aux
conseils ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.

c) Vidéos. L’utilisation de vidéos offre les avantages d’images et sons dynamiques pour renforcer de
façon efficace des messages de sécurité spécifiques. Toutefois, elle présente deux grands incon-
vénients : le coût de production et la nécessité d’un équipement spécial de lecture. Néanmoins, les
vidéos peuvent être efficaces pour diffuser un message particulier dans l’ensemble d’une structure
organisationnelle fort dispersée, ce qui réduit au minimum la nécessité de demander au personnel
de se déplacer. Aujourd’hui, elles peuvent être distribuées par voie électronique ou par disque
compact (CD). Une grande gamme de vidéos de sécurité sont disponibles sur le marché. Beaucoup
sont reprises sur des sites de sécurité sur l’Internet.

d) Stands. Lorsqu’un message doit être montré à une grande assemblée, comme lors d’une conférence,
le stand est une bonne technique d’« auto-information ». Imagination et compétences graphiques
sont requises pour présenter non seulement le message mais aussi l’image de l’organisation. Les
inconvénients d’un stand sont le coût et, à moins qu’une permanence soit assurée au stand, un côté
statique et, d’une certaine manière, peu intéressant. Il peut être souhaitable de recourir aux conseils
ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.

e) Sites Internet. Nombre des méthodes de promotion précitées pourraient ne pas être très attrayantes
pour les générations qui ont grandi dans un contexte d’ordinateurs, de jeux numériques et d’accès à
l’Internet. La croissance exponentielle de l’Internet offre un énorme potentiel d’amélioration de la
promotion de la sécurité. Même les petites entreprises peuvent créer et tenir à jour un site Internet
pour diffuser des informations liées à la sécurité.

f) Conférences, symposiums, séminaires, ateliers, etc. L’utilisation de cette méthode fournit des
forums idéaux pour promouvoir les questions de sécurité. L’organisation, l’autorité de réglemen-
tation, les associations du secteur, les instituts de sécurité, les universités, les constructeurs, etc.
peuvent parrainer ces événements. La valeur de ces forums dépasse souvent de loin la promotion
de la sécurité en permettant de nouer des contacts avec d’autres personnes actives dans le
domaine de la sécurité.
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-17

15.9.10 Lorsqu’on envisage de lancer un programme de promotion important, il est sage de demander
les conseils de spécialistes en communication et de représentants bien informés des groupes cibles concernés.

15.10 GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ

Les bases de données contiennent quantités d’informations


sur la sécurité ; toutefois, sans les outils et compétences
nécessaires pour accéder aux données et les analyser, ces
informations ne sont en fait d’aucune utilité.

Généralités

15.10.1 Des données de qualité sont vitales pour la gestion de la sécurité. Une gestion efficace de la
sécurité est « guidée par les données ». Les renseignements recueillis dans les rapports sur les activités et
la maintenance, les rapports de sécurité, les audits, les évaluations des pratiques de travail, etc., génèrent
une grande quantité de données, mais toutes ne sont pas pertinentes pour la gestion de la sécurité. Tant
d’informations liées à la sécurité sont recueillies et stockées que les directeurs responsables risquent d’être
submergés, ce qui compromettrait l’utilité des données. Une bonne gestion des bases de données de
l’organisation est fondamentale pour assurer des fonctions efficaces de gestion de la sécurité (telles que le
contrôle des tendances, l’évaluation des risques, les analyses coûts-avantages et les enquêtes sur des
occurrences).

15.10.2 Les arguments prônant un changement des pratiques de sécurité doivent reposer sur
l’analyse de données de qualité consolidées. La création et la tenue à jour d’une base de données de
sécurité procurent un outil essentiel aux gestionnaires de l’entreprise, aux directeurs de la sécurité et aux
autorités de réglementation qui contrôlent les questions de sécurité du système. Malheureusement, nombre
de bases de données n’atteignent pas le niveau de qualité des données nécessaire pour offrir une base
fiable pour affûter les priorités en matière de sécurité, évaluer l’efficacité des mesures d’atténuation des
risques et lancer des recherches relatives à la sécurité. Une compréhension des données, des bases de
données et de l’utilisation des outils appropriés est requise pour prendre des décisions valables et opportunes.

15.10.3 De plus en plus, des logiciels sont utilisés pour faciliter l’enregistrement, le stockage, l’analyse
et la présentation des informations liées à la sécurité. Il est maintenant possible de mener facilement une
analyse sophistiquée des informations contenues dans les bases de données. Une vaste gamme de bases
de données électroniques, relativement peu onéreuses et capables de répondre aux exigences de gestion
des données de l’organisation, sont disponibles dans le commerce, pour des ordinateurs de bureau. Ces
systèmes autonomes présentent l’avantage de ne pas utiliser le système informatique principal de l’orga-
nisation, ce qui améliore la sécurité des données.

Recommandations de l’OACI

15.10.4 L’Annexe 13 recommande que les États établissent une base de données sur les accidents et
incidents pour faciliter l’analyse efficace des renseignements obtenus, notamment ceux qui sont issus de
leurs systèmes de comptes rendus d’incidents. Les systèmes de bases de données devraient utiliser des
formats normalisés de façon à faciliter les échanges de données.
15-18 Manuel de gestion de la sécurité (MGS)

Système de comptes rendus d’accident/incident de l’OACI (ADREP)

15.10.5 Pour aider les États à obtenir des données relatives à la sécurité, l’OACI tient à jour le
système ADREP. L’ADREP est une base de données contenant des informations sur les accidents et graves
incidents d’aviation dans le monde.
2
15.10.6 Le système ADREP utilise le logiciel ECCAIRS . Le programme de cette base de données est
mis à la disposition des États qui souhaitent créer leurs propres bases de données pour soutenir la gestion
de la sécurité. Le système ADREP offre aux États :

a) une importante base de données des comptes rendus internationaux d’accidents et d’incidents pour
analyse et recherche en matière de sécurité ;

b) un système élaboré à l’échelon international pour coder les données liées à la sécurité afin de faciliter
l’échange de ces données ;

c) un service d’analyse pour répondre à des demandes spécifiques, relatives à la sécurité, émises par
des États.

Besoins en systèmes d’information

15.10.7 Selon la taille de leur organisation, les utilisateurs ont besoin d’un système offrant une gamme
de capacités et de sorties pour gérer leurs données relatives à la sécurité. En général, il faut aux utilisateurs :

a) un système capable de transformer de grandes quantités de données liées à la sécurité en infor-


mations utiles au processus décisionnel ;

b) un système qui réduira la charge de travail des directeurs et du personnel de sécurité ;

c) un système automatisé, adaptable à leur propre culture ;

d) un système qui peut fonctionner à relativement peu de frais.

Compréhension des bases de données

15.10.8 Pour exploiter les avantages potentiels de bases de données de sécurité, il faut comprendre
les fondements de leur fonctionnement.

Qu’est-ce qu’une base de données ?

15.10.9 Tout ensemble d’informations regroupées d’une manière organisée peut être considéré comme
constituant une base de données. Des documents imprimés peuvent être tenus à jour dans un simple
système de classement (c.-à-d. une « base de données » manuelle), mais ce genre de système ne suffira

2. Le Centre européen de coordination des systèmes de comptes rendus d’incidents en navigation aérienne (ECCAIRS) est décrit au
Chapitre 7.
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-19

que pour les plus petites opérations. Le stockage, l’enregistrement, le rappel et l’extraction des données
sont des tâches lourdes. Il est préférable que les données de sécurité, quelle qu’en soit l’origine, soient
stockées dans une base de données électronique qui facilite l’extraction des renseignements sous divers
formats.

15.10.10 La capacité de manipuler les informations, de les analyser et de les extraire sous diverses
formes est appelée gestion de base de données. La plupart des logiciels de gestion de bases de données
comprennent les éléments organisationnels suivants, qui permettent de définir une base de données :

a) Enregistrement : Un groupe de données considéré comme un tout (par ex. toutes les données
concernant une occurrence) ;

b) Zone : Chaque élément d’information distinct à l’intérieur d’un enregistrement (tel que la date ou le
lieu d’une occurrence) ;

c) Fichier : Groupe d’enregistrements présentant la même structure et ayant un rapport entre eux
(comme toutes les occurrences liées au moteur dans une année spécifique).

15.10.11 Les bases de données sont dites « structurées » lorsque chaque zone de données a une
longueur fixe et que son type de format est clairement défini par un chiffre, une date, une réponse
« oui/non », un caractère ou un texte. Souvent, l’utilisateur ne dispose que d’un choix prédéterminé de
valeurs. Ces valeurs sont stockées dans des fichiers de référence, souvent appelés table de valeurs ; par
exemple, une sélection de marques et de modèles d’aéronefs dans une liste prédéterminée. Pour faciliter
l’analyse quantitative et les recherches systématiques, les bases de données structurées réduisent au
minimum les saisies simples en format libre en les limitant à des longueurs de zones fixes. Souvent, ces
informations sont catégorisées par un système de mots clés.

15.10.12 Les bases de données sont dites « alphanumériques » lorsque les banques d’informations
sont essentiellement constituées de documents écrits (par exemple, résumés des rapports sur les accidents
et incidents ou correspondance écrite). Les données sont indexées et stockées dans des zones de texte en
format libre. Certaines bases de données contiennent de grandes quantités de données structurées et de
données documentaires mais les bases de données modernes sont bien plus que des classeurs électroniques.

Limites d’une base de données

15.10.13 Lorsque l’on crée, tient à jour ou utilise des bases de données, il faut tenir compte de leurs
limites. Certaines de ces limites sont inhérentes au système de la base de données, tandis que d’autres
découlent de l’usage qui est fait des données. Pour éviter des conclusions et décisions injustifiables, les
utilisateurs de bases de données doivent comprendre les limites de l’outil. Les utilisateurs de bases de
données devraient aussi savoir dans quel but la base de données a été constituée et connaître la crédibilité
des informations saisies par l’organisation qui a créé la base de données et la tient à jour.

Intégrité d’une base de données

15.10.14 Les bases de données de sécurité constituent un élément stratégique du SGS d’une
organisation. Les données sont vulnérables aux altérations provenant de multiples sources et il faut veiller à
préserver leur intégrité. Beaucoup de membres du personnel peuvent avoir accès à la base de données
pour y entrer des données. D’autres auront besoin d’un accès aux données pour exécuter leurs tâches de
sécurité. L’accès à partir de sites multiples d’un système en réseau peut accroître la vulnérabilité de la base
de données.
15-20 Manuel de gestion de la sécurité (MGS)

15.10.15 L’utilité d’une base de données sera compromise si une attention suffisante n’est pas
accordée à la tenue à jour des données. Des données manquantes, des retards dans la saisie de données
actuelles, des saisies de données inexactes, etc., altèrent la base de données. Même l’application des
meilleurs outils d’analyse ne peut compenser de mauvaises données.

Gestion d’une base de données

Protection des données de sécurité

15.10.16 Comme les données liées à la sécurité, recueillies strictement aux fins de faire progresser la
sécurité de l’aviation, présentent un grand potentiel d’usages abusifs, la gestion d’une base de données doit
commencer par la protection de ces données. Les gestionnaires de bases de données doivent trouver un
juste équilibre entre le besoin de protéger les données et celui de rendre les données accessibles à ceux
qui peuvent faire progresser la sécurité de l’aviation. Parmi les aspects à prendre en considération pour la
protection des données, citons :

a) l’efficacité des lois sur « l’accès à l’information » face aux exigences de la gestion de la sécurité ;

b) les politiques de l’organisation en matière de protection des données liées à la sécurité ;

c) la dépersonnalisation des données par l’élimination de toutes les informations qui pourraient
amener une tierce partie à déduire l’identité d’individus (par exemple, numéros de vol, dates/heures,
lieux et type d’aéronef) ;

d) la sécurité des systèmes d’information, du stockage des données et des réseaux de communication ;

e) la limitation de l’accès aux bases de données à ceux qui « ont besoin de savoir » ;

f) les interdictions d’usages non autorisés des données.

Capacités des bases de données de sécurité

15.10.17 Comme les divers systèmes de gestion de bases de données varient dans leurs propriétés
et attributs fonctionnels, il faudrait les étudier tous avant de décider du système le plus apte à répondre aux
besoins d’un exploitant. L’expérience a montré que l’usage d’une base de données sur PC est le meilleur
moyen pour enregistrer et retrouver les incidents aériens liés à la sécurité. Le nombre de caractéristiques
disponibles dépend du type de système sélectionné. Les caractéristiques de base devraient permettre à
l’utilisateur d’exécuter des tâches telles que :

a) entrer des événements de sécurité sous diverses catégories ;

b) lier les événements aux documents connexes (par ex. des rapports et photographies) ;

c) contrôler les tendances ;

d) compiler des analyses, des graphiques et des rapports ;

e) vérifier les dossiers historiques ;

f) partager des données avec d’autres organisations ;


Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-21

g) suivre les enquêtes sur les événements ;

h) signaler des retards dans la prise de mesures à l’aide d’un repère.

Considérations relatives à la sélection des bases de données

15.10.18 La sélection d’un type de base de données parmi les systèmes disponibles sur le marché
dépendra des attentes de l’utilisateur, des données requises, du système d’exploitation de l’ordinateur et de
la complexité des requêtes à traiter. Toute une gamme de programmes dotés de diverses capacités et
exigences en matière de compétences sont disponibles. Pour choisir, il faudra trouver un juste équilibre entre
les aspects suivants :

a) Convivialité. Le système devrait être facile à utiliser de façon intuitive. Certains programmes offrent
une vaste gamme de caractéristiques mais requièrent une importante formation. Malheureusement,
il faut souvent trouver un compromis entre la puissance du moteur de recherche et la convivialité ;
plus l’outil est convivial, moins il sera susceptible d’être à même de traiter des requêtes complexes.

b) Accès. Bien que l’accès à toutes les informations stockées dans la base de données soit la situation
idéale, tous les utilisateurs n’ont pas besoin d’un accès aussi large. La structure et la complexité de
la base de données influenceront le choix d’outils particuliers de requête.

c) La performance permet de mesurer l’efficacité du système. Elle dépend d’éléments tels que :

1) la qualité de la saisie, de la tenue à jour et du contrôle des données ;

2) la pertinence du format de stockage des données pour faciliter des contrôles de tendance ou
d’autres analyses ;

3) la complexité de la structure de la base de données ;

4) la conception du système (ou réseau) informatique hôte.

d) La flexibilité dépend de la capacité du système à :

1) traiter une diversité de requêtes ;

2) filtrer et trier les données ;

3) utiliser la logique binaire (c’est-à-dire la capacité du système à traiter des conditions « ET/OU »
telles que « tous les pilotes qui sont commandants de bord et ont 15 000 heures de vol » ou
« tous les pilotes qui sont commandants de bord ou ont 15 000 heures de vol ») ;

4) effectuer une analyse de base (comptages et tableaux à entrées multiples) ;

5) produire des données de sortie définies par l’utilisateur ;

6) se connecter à d’autres bases de données pour importer ou exporter des données.

15.10.19 Les coûts varient selon les exigences de chaque organisation. Chez certains vendeurs de
systèmes, le prix demandé est un forfait, qui autorise de multiples utilisateurs sur une licence unique. Chez
15-22 Manuel de gestion de la sécurité (MGS)

d’autres, le tarif augmente selon le nombre d’utilisateurs autorisés. L’acheteur devrait tenir compte de
facteurs de coûts connexes tels que :

a) les frais d’installation ;

b) les frais de formation ;

c) les coûts de mise à jour des logiciels ;

d) les frais de maintenance et d’assistance technique ;

e) d’autres frais de licence de logiciels qui pourraient être nécessaires.

15.11 MANUEL DE GESTION DE LA SÉCURITÉ

15.11.1 Un manuel de gestion de la sécurité donne à la direction un instrument clé pour communiquer
l’approche de la sécurité appliquée à l’ensemble de l’organisation. Ce manuel devrait traiter tous les aspects
du SGS, y compris la politique de sécurité, les procédures de sécurité et les obligations redditionnelles de
chacun en matière de sécurité.

15.11.2 Le manuel de gestion de la sécurité devrait aborder, entre autres :

a) les procédures de contrôle des documents ;

b) la portée du SGS ;

c) la politique de sécurité ;

d) les obligations redditionnelles en matière de sécurité ;

e) les mécanismes d’identification des dangers ;

f) le contrôle des performances en matière de sécurité ;

g) l’évaluation de la sécurité ;

h) les audits de sécurité ;

i) la promotion de la sécurité ;

j) la structure de l’organisation de la sécurité.

15.11.3 Le manuel de gestion de la sécurité devrait être un document de type évolutif, reflétant l’état
actuel du SGS. Le DS sera sans doute chargé de l’élaboration du manuel de gestion de la sécurité. Ce
manuel devrait être rédigé de façon à expliciter la finalité et les processus du SGS. Dès lors, toute
modification significative du SGS requerra une mise à jour du manuel de gestion de la sécurité.

15.11.4 Le manuel de gestion de la sécurité devrait être aussi court et concis que possible. Toute
information qui change régulièrement devrait être incluse dans des appendices. Ce sera notamment le cas
des noms des membres du personnel chargés de responsabilités de sécurité spécifiques.

————————
Appendice 1 au Chapitre 15

EXEMPLE DE DESCRIPTION DES FONCTIONS


D’UN DIRECTEUR DE LA SÉCURITÉ

Mission générale

1. Le directeur de la sécurité (DS) est chargé de donner des indications et des instructions pour
assurer le fonctionnement du système de gestion de la sécurité de l’organisation.

Qualités

2. Cette fonction requiert la capacité de faire face, sans réelle supervision, à des circonstances et
situations en constante évolution. Le DS agit indépendamment des autres directeurs de l’organisation.

3. Le DS est chargé de fournir des informations et des conseils à la haute direction sur des questions
relatives à la sécurité des opérations. Tact, diplomatie et un haut degré d’intégrité sont indispensables.

4. Cette fonction requiert de la flexibilité car des tâches peuvent être entreprises à bref délai, voire au
pied levé et en dehors des heures de travail normales.

Nature et portée

5. Le DS doit interagir avec le personnel opérationnel, les cadres dirigeants et les chefs de dépar-
tement de toute l’organisation. Le DS devrait aussi favoriser des relations positives avec les autorités, les
services de réglementation et les fournisseurs de services extérieurs à l’organisation. D’autres contacts
seront noués au niveau opérationnel, s’il y a lieu.

Qualifications

6. Les qualités et qualifications préconisées sont notamment :

a) une connaissance et une expérience opérationnelles larges des fonctions de l’organisation (par ex.
les opérations de navigation aérienne, la gestion du trafic aérien et les opérations aéroportuaires) ;

b) une bonne connaissance des principes et pratiques de gestion de la sécurité ;

c) de bonnes aptitudes en communication orale et écrite ;

d) une excellente aptitude à nouer des relations interpersonnelles ;

e) des connaissances en informatique ;

15-APP 1-1
15-APP 1-2 Manuel de gestion de la sécurité (MGS)

f) la capacité d’entretenir des rapports harmonieux à tous les niveaux, à la fois à l’intérieur et à
l’extérieur de l’organisation ;

g) le sens de l’organisation ;

h) la capacité de travailler de façon autonome ;

i) un bon esprit d’analyse ;

j) avoir des aptitudes de leadership et de l’autorité ;

k) être digne du respect de ses pairs et de la direction.

Pouvoirs

7. Pour les questions de sécurité, le DS a un accès direct au directeur général et aux directions
appropriées.

8. Le DS est autorisé à procéder à des audits de sécurité sur tout aspect des opérations.

9. Le DS a le pouvoir de diligenter une enquête sur un accident ou un incident conformément aux


procédures spécifiées dans le manuel de gestion de la sécurité.
Chapitre 16

EXPLOITATION TECHNIQUE DES AÉRONEFS

16.1 GÉNÉRALITÉS
re
16.1.1 L’Annexe 6 — Exploitation technique des aéronefs, 1 Partie — Aviation de transport commercial
e
international — Avions, et 3 Partie — Vols internationaux d’hélicoptères, exige que les États mettent en
place un programme de sécurité en vue d’atteindre un niveau acceptable de sécurité dans l’exploitation des
aéronefs. Dans le cadre de leur programme de sécurité, les États exigent que les exploitants mettent en
œuvre un système accepté de gestion de la sécurité (SGS).

16.1.2 Un SGS permet aux exploitants d’intégrer leurs diverses activités liées à la sécurité en un
système cohérent. Parmi les activités liées à la sécurité qui pourraient être intégrées dans le SGS des
exploitants, citons :

a) les comptes rendus de dangers et d’incidents ;

b) l’analyse des données de vol (FDA) ;

c) le programme d’audit de sécurité en service de ligne (LOSA) ;

d) la sécurité en cabine.

Chacun de ces points est décrit plus en détail ci-dessous.

16.2 COMPTES RENDUS DE DANGERS ET D’INCIDENTS

16.2.1 Les principes et le fonctionnement d’un système efficace de comptes rendus d’incidents sont
décrits au Chapitre 7. Pour une organisation, la mise en œuvre d’un système non punitif de comptes rendus
d’incidents constitue un des meilleurs moyens — si pas le meilleur — d’exprimer son engagement à garantir
la sécurité et d’encourager une culture positive de la sécurité. Aujourd’hui, nombre d’exploitants ont pris cet
engagement envers la sécurité et, en conséquence, ont bénéficié non seulement de l’amélioration de
l’identification des risques, mais aussi d’un renforcement de l’efficacité des opérations aériennes.

Avantages

16.2.2 Les systèmes de comptes rendus d’incidents sont un des outils les plus efficaces dont disposent
les exploitants pour réaliser une étape clé d’une gestion efficace de la sécurité, à savoir l’identification
proactive des risques. Les politiques, procédures et pratiques élaborées au sein des organisations introduisent
parfois des dangers imprévus dans les opérations aériennes. Ces facteurs latents (dangers) peuvent ne pas
se manifester pendant des années. Ils sont habituellement les conséquences imprévues de modifications
qui ont été apportées souvent avec les meilleures intentions du monde. Ils trouvent notamment leur origine
dans une mauvaise conception des équipements, des décisions de gestion inappropriées, des ambiguïtés

16-1
16-2 Manuel de gestion de la sécurité (MGS)

dans les procédures écrites et une mauvaise communication entre la direction et le personnel opérationnel.
Les cadres hiérarchiques sont aussi susceptibles d’introduire de tels dangers en instaurant des procédures
opérationnelles qui ne fonctionnent pas comme prévu en conditions « réelles ». Bref, des dangers peuvent
avoir une origine très éloignée dans le temps et l’espace des incidents qu’ils finiront peut-être par entraîner.

16.2.3 Il se peut que ces dangers n’entraînent pas immédiatement un accident ou un incident parce
que le « personnel de première ligne » (qu’il s’agisse des pilotes, des ATCO ou des AME) crée souvent des
techniques d’adaptation à ces dangers, techniques parfois qualifiées de « moyens de tourner la difficulté ».
Toutefois, si les dangers ne sont pas identifiés et traités, tôt ou tard, les mécanismes d’adaptation échoueront
et un accident ou un incident se produira.

16.2.4 Un système interne de comptes rendus bien géré peut aider les compagnies à identifier nombre
de ces dangers. Grâce à la collecte, au regroupement, puis à l’analyse des comptes rendus de dangers et
d’incidents, les directeurs de la sécurité peuvent mieux comprendre les problèmes rencontrés pendant
l’exploitation. Armés de ces connaissances, ils peuvent mettre en place des solutions systémiques plutôt
que des solutions « bouche-trous » qui ne feront peut-être que cacher les vrais problèmes.

Encourager la libre circulation des informations liées à la sécurité

16.2.5 Il est fondamental que le personnel ait confiance dans le système de comptes rendus d’incidents
pour garantir la qualité, la précision et l’intérêt des renseignements signalés. Dans un climat d’entreprise où
le personnel se sent libre de partager ouvertement les informations liées à la sécurité, les renseignements
recueillis sur des dangers et des incidents contiendront beaucoup de détails utiles. Comme les comptes
rendus refléteront l’environnement réel, il sera intéressant de déterminer les facteurs en jeu et les domaines
où la sécurité suscite des préoccupations.

16.2.6 Toutefois, si la compagnie utilise les comptes rendus d’incidents à des fins disciplinaires, son
système de comptes rendus d’incidents ne recevra que les renseignements minimums requis pour respecter
les règles qu’elle a édictées. On ne pourra en attendre que peu d’informations utiles pour la sécurité.

16.2.7 La confiance nécessaire à la libre circulation des informations liées à la sécurité est très fragile.
Elle mettra peut-être des années à s’installer, mais il suffira d’un abus de confiance pour saper l’efficacité du
système pour longtemps. Pour gagner la nécessaire confiance du personnel, la compagnie devra commencer
par publier une déclaration officielle énonçant sa politique de franchise et de liberté en matière de comptes
rendus d’incidents. Un exemple de politique d’entreprise relative à ces comptes rendus non punitifs de
dangers est présenté à l’Appendice 1 de ce chapitre.

16.2.8 Tout nouveau système de comptes rendus d’incidents soulève l’éternelle question : « Que
signaler ? ». Comme indiqué au Chapitre 7, le principe directeur devrait être : « Dans le doute, signalez-
le ». Une liste illustrative de types d’occurrences ou d’événements à signaler dans le cadre d’un système de
comptes rendus d’exploitant figure à l’Appendice 2 de ce chapitre. Pour être efficaces, les programmes de
comptes rendus des exploitants devraient au minimum comprendre les comptes rendus de dangers et
d’incidents émanant du personnel des opérations aériennes, des AME et des équipages de cabine.

Systèmes disponibles sur le marché

16.2.9 Un nombre croissant de systèmes de comptes rendus d’incidents fonctionnant sur ordinateurs
individuels sont disponibles sur le marché à un coût relativement faible et se sont avérés bien adaptés aux
besoins des systèmes de comptes rendus des compagnies. Ces logiciels de série recueillent et enregistrent les
Chapitre 16. Exploitation technique des aéronefs 16-3

données, produisent des rapports et peuvent être utilisés pour effectuer des analyses de tendances et un suivi
des performances en matière de sécurité. Le Chapitre 15 fournit de plus amples informations sur les systèmes
de bases de données.

16.2.10 Voici trois exemples de tels systèmes :

a) British Airways Safety Information System (BASIS) (Système d’informations sur la sécurité de la
compagnie British Airways) a été créé en tant que programme interne de comptes rendus d’incidents
pour les équipages de conduite. Ce programme informatique a évolué pour devenir une quasi
norme de l’industrie aéronautique pour la collecte et la gestion des informations liées à la sécurité. Il
est actuellement utilisé par plus de 100 compagnies aériennes et organisations aéronautiques. Les
systèmes élaborés en ligne sont fréquemment conçus pour être compatibles avec BASIS. Plusieurs
modules de BASIS couvrent un large spectre d’activités concernant la gestion de la sécurité. De
plus amples informations sur BASIS sont disponibles sur le site web http://www.winbasis.com.

b) INDICATE (Identifying Needed Defences in the Civil Aviation Transport Environment) (Identification
des moyens de défense nécessaires dans l’environnement du transport aérien civil) est un programme
de gestion de la sécurité élaboré en Australie pour offrir un moyen simple, rentable et fiable permettant
la saisie, le suivi et le signalement des renseignements sur des dangers pour la sécurité.

Le logiciel INDICATE utilise le programme Access de Microsoft et est facile à installer sur un
ordinateur compatible avec Windows. Il donne une méthodologie logique et cohérente pour
enregistrer et classer les dangers, un moyen d’enregistrement rapide et aisé des recommandations
et des interventions, une base de données permettant l’enregistrement et l’extraction des dangers
pour la sécurité, ainsi qu’un système automatique d’élaboration de rapports sur les dangers
permettant une diffusion rapide des informations. Il constitue en outre un outil utile pour les audits
de sécurité. Le Bureau de la sécurité des transports australiens (ATSB) fournit le logiciel INDICATE
gratuitement. De plus amples informations sur INDICATE sont disponibles sur le site web
http://www.atsb.gov.au.

c) Airbus Industrie a élaboré le Aircrew Incident Reporting System (AIRS) (Système de comptes
rendus d’incidents pour les équipages d’aéronefs) afin d’aider ses clients à mettre en place leurs
propres systèmes confidentiels de comptes rendus. AIRS met l’accent sur la collecte et la compréhen-
sion des implications systémiques des incidents signalés ainsi que sur les aspects comportementaux.
La partie analytique d’AIRS entend éclaircir la manière dont un incident s’est produit et les causes
de cet incident. AIRS vise en particulier à améliorer la compréhension des facteurs humains sous-
jacents ayant joué un rôle dans des événements. Le logiciel AIRS, qui est compatible avec BASIS,
permet de stocker des données normalisées émanant tant des opérations du poste de pilotage que
des opérations de cabine.

16.3 PROGRAMME D’ANALYSE DES DONNÉES DE VOL (FDA)

Introduction

16.3.1 Les programmes d’analyse des données de vol (FDA), parfois appelés programme d’assurance
de la qualité des opérations aériennes (FOQA), offrent un autre instrument permettant une identification
proactive des dangers. Les programmes FDA constituent un complément logique aux comptes rendus de
dangers et d’incidents et au LOSA.
16-4 Manuel de gestion de la sécurité (MGS)

Qu’est-ce qu’un programme FDA ?

16.3.2 À l’origine, les enregistreurs de bord servaient principalement à aider les enquêteurs, surtout
lors d’accidents ayant entraîné la mort de tous les membres d’équipage. L’analyse des données enre-
gistrées s’est très tôt révélée également utile pour mieux comprendre les incidents graves. En consultant
régulièrement les paramètres de vol enregistrés, il était possible d’en apprendre beaucoup sur la sécurité
des opérations aériennes et sur la performance des cellules et des moteurs. De précieuses données sur le
déroulement normal des choses dans les opérations quotidiennes étaient ainsi disponibles, ce qui a permis
de replacer dans leur contexte les données relatives à des accidents et à des incidents. De plus, l’analyse
de ces données désidentifiées pouvait aussi être utile pour identifier les dangers pour la sécurité avant
qu’un incident grave ou un accident ne se produise.

16.3.3 Afin de tirer le meilleur parti possible de ces avantages, plusieurs compagnies aériennes ont
mis en place des systèmes visant à analyser régulièrement les données de vol enregistrées. Malgré
quelques problèmes initiaux, l’industrie aéronautique analyse de plus en plus les données enregistrées au
cours des opérations normales afin de soutenir les programmes de sécurité des compagnies. Les programmes
FDA ont donné à la direction un outil de plus pour identifier de façon proactive les dangers pour la sécurité
et atténuer les risques connexes.

16.3.4 Aux fins du présent manuel, un programme FDA peut être défini comme suit :

• Un programme proactif et non punitif destiné à recueillir et analyser des données enregistrées
pendant des vols de routine en vue d’améliorer la performance des équipages de conduite, les
procédures opérationnelles, la formation des équipages, les procédures de contrôle de la circulation
aérienne, les services de navigation aérienne ou la maintenance et la conception des aéronefs.

16.3.5 Tout programme FDA requiert la coopération des pilotes. Avant d’instaurer un programme
FDA, il est essentiel de conclure un accord sur les processus à suivre, en particulier sur les aspects non
punitifs d’un tel programme. Ces détails sont normalement inclus dans un accord formel entre la direction et
ses équipages de conduite. Un exemple de ce type d’accord figure à l’Appendice 3 du présent chapitre.

Avantages des programmes FDA

16.3.6 Les programmes FDA sont de plus en plus souvent utilisés pour assurer le suivi et l’analyse
des opérations aériennes et des performances techniques. Les programmes FDA sont une composante
logique d’un SGS, surtout chez de grands exploitants. Des programmes efficaces encouragent le respect
des SOP, préviennent les comportements hors norme et renforcent ainsi la sécurité des vols. Ils peuvent
détecter des tendances inopportunes dans toute partie du régime de vol et ainsi faciliter les enquêtes sur
des événements n’ayant pas eu de graves conséquences.

16.3.7 L’analyse des données de vol peut servir à détecter des dépassements des paramètres de vol
et à repérer des procédures non normalisées ou déficientes, des faiblesses du système ATC et des
anomalies dans la performance des aéronefs. Elle permet de suivre les divers aspects d’un profil de vol, tels
que le respect des SOP prescrites pour le décollage, la montée, la croisière, la descente, l’approche et
l’atterrissage. Des aspects spécifiques des vols peuvent être étudiés, soit rétrospectivement, pour repérer
les points problématiques, ou de façon proactive avant l’instauration d’un changement opérationnel, pour
ensuite confirmer l’efficacité de ce changement.

16.3.8 Lors de l’analyse d’un incident, les données de l’enregistreur de bord du vol sur lequel l’incident
s’est produit peuvent être comparées avec les données du profil de la flotte, ce qui facilite l’analyse des
aspects systémiques d’un incident. Il se peut que les paramètres d’un vol avec incident ne varient que
Chapitre 16. Exploitation technique des aéronefs 16-5

légèrement par rapport à bien d’autres vols, ce qui indique peut-être une nécessité de modifier la technique
opérationnelle ou la formation. Il serait par exemple possible de déterminer si un incident ayant entraîné un
contact queue-sol à l’atterrissage est un incident isolé ou s’il est symptomatique d’un problème plus large de
fausse manœuvre, telle qu’un arrondi trop haut au toucher des roues ou une mauvaise gestion de la poussée.

16.3.9 Les programmes de surveillance des moteurs peuvent utiliser l’analyse automatisée des données
des enregistreurs de bord pour obtenir une analyse de tendance fiable, car les données relatives aux moteurs
qui sont codées manuellement ont une précision, une opportunité et une fiabilité limitées. Il est aussi possible
de surveiller d’autres aspects de la cellule et des systèmes.

16.3.10 En résumé, les programmes FDA offrent un large spectre d’applications pour la gestion de la
sécurité ainsi que pour l’amélioration de l’efficacité et de la rentabilité opérationnelles. Les données
cumulées de nombreux vols peuvent être utiles pour :

a) déterminer les normes d’exploitation quotidienne ;

b) repérer les tendances dangereuses ;

c) identifier les dangers dans les procédures d’exploitation, les flottes, les aéroports, les procédures
ATC, etc. ;

d) surveiller l’efficacité des mesures de sécurité spécifiques prises ;

e) réduire les coûts d’exploitation et de maintenance ;

f) optimaliser les procédures de formation ;

g) constituer un outil d’évaluation des performances pour les programmes de gestion des risques.

Exigence de l’OACI
re
16.3.11 L’Annexe 6, 1 Partie, contient des dispositions exigeant l’intégration des programmes FDA
dans les SGS des exploitants. Les exploitants de gros aéronefs assurant des vols commerciaux
internationaux sont tenus d’avoir un programme FDA non punitif contenant des garanties adéquates pour
protéger la/les source(s) de données. Ils peuvent recourir aux services d’un sous-traitant spécialisé pour
gérer ce programme.

er
À compter du 1 janvier 2005, les exploitants d’avions dont la
masse maximale certifiée au décollage excède 27 000 kg établiront
et maintiendront un programme d’analyse des données de vol dans
le cadre de leur système de gestion de la sécurité des vols.
re
Annexe 6, 1 Partie, Chapitre 3

Utilisation d’un programme FDA

16.3.12 Généralement, les renseignements FDA sont utilisés pour :

a) la détection de dépassements ;
16-6 Manuel de gestion de la sécurité (MGS)

b) des mesures de routine ;

c) les enquêtes sur les incidents ;

d) le maintien de la navigabilité ;

e) le chaînage des bases de données (ou l’analyse intégrée de la sécurité).

Détection de dépassements

16.3.13 Les programmes FDA peuvent être utilisés pour détecter des dépassements ou des événe-
ments liés à la sécurité, tels que des écarts par rapport aux limites spécifiées dans le manuel de vol, aux
SOP ou aux bonnes pratiques aéronautiques. Un ensemble d’événements clés (habituellement fourni par le
vendeur de logiciel FDA en consultation avec l’exploitant/le constructeur) fixe les principaux centres d’intérêt
des exploitants.

Exemples : Vitesse de rotation élevée au décollage, avertissement de décrochage, avertissement GPWS,


dépassement de la vitesse maximale volets sortis, approche rapide, position trop basse/élevée par
rapport à la trajectoire de descente, atterrissage dur.

16.3.14 L’analyse des données de vol fournit des renseignements utiles qui peuvent compléter les
informations données dans les comptes rendus des équipages.

Exemples : Atterrissage avec volets réduits, descente d’urgence, panne de moteur, décollage interrompu,
remise des gaz, avertissement du TCAS ou du GPWS, défaillances des systèmes.

16.3.15 Les compagnies peuvent aussi modifier l’ensemble standard d’événements clés (en fonction
de l’accord passé avec leurs pilotes), pour tenir compte de situations exceptionnelles auxquelles les pilotes
sont confrontés régulièrement, ou les SOP qu’elles utilisent.

Exemple : Pour éviter des comptes rendus de nuisance liés au non-respect d’un départ normalisé aux
instruments (SID).

16.3.16 Elles peuvent aussi définir de nouveaux événements (avec l’accord des pilotes) pour résoudre
des problèmes spécifiques.

Exemple : Restrictions portant sur l’utilisation de certains braquages des volets en vue d’accroître la
durée de vie des composants.

16.3.17 Il faut veiller à ce que, pour éviter un dépassement, les équipages de conduite ne tentent de voler
selon le profil FDA plutôt que de suivre les SOP. Ce genre de réaction pourrait rapidement aggraver la situation.

Mesures de routine

16.3.18 On tend de plus en plus à conserver les données de tous les vols et pas seulement celles des
vols ayant connu des événements majeurs. Un ensemble de paramètres sont sélectionnés en vue d’offrir
une base suffisante pour pouvoir caractériser chaque vol et effectuer une analyse comparative d’un large
spectre de variantes opérationnelles. Des tendances peuvent être mises en évidence avant l’obtention d’un
nombre d’événements statistiquement significatif. Les tendances plus ou moins fortes qui émergent sont
surveillées avant qu’elles n’aient atteint les seuils de déclenchement associés à des dépassements.
Chapitre 16. Exploitation technique des aéronefs 16-7

Exemples de paramètres surveillés : la masse au décollage ; le braquage des volets ; la température ;


les vitesses de rotation et de décollage par rapport aux vitesses types ; le taux et l’assiette de tangage
pendant la rotation ; les vitesses, hauteurs et moments de rentrée du train.

Exemples d’analyses comparatives : comparaison des taux de tangage des avions à masse au décol-
lage élevée et à masse au décollage basse ; approches dans de bonnes conditions météorologiques
par rapport aux approches dans de mauvaises conditions ; touchers des roues sur piste longue par
rapport aux touchers sur piste courte.

Enquêtes sur les incidents

16.3.19 Les données enregistrées fournissent de précieux renseignements pour assurer le suivi des
incidents qui doivent être obligatoirement signalés et d’autres comptes rendus techniques. Des données
enregistrées quantifiables ont été des compléments utiles à ajouter aux impressions et informations dont se
souvenaient les équipages de conduite. Les données enregistrées donnent aussi une indication précise de
l’état et de la performance des systèmes, ce qui peut constituer une aide pour déterminer les relations de
cause à effet.

Exemples d’incidents où des données enregistrées pourraient être utiles :

a) des urgences, telles que :

1) décollages interrompus à vitesse élevée ;


2) problèmes de commandes de vol ;
3) défaillances des systèmes ;

b) une charge de travail élevée dans le poste de pilotage, corroborée par les indicateurs suivants :

1) une descente tardive ;


2) une interception tardive du radiophare d’alignement et/ou de la pente de descente ;
3) un important changement de cap sous une hauteur spécifique ;
4) une configuration d’atterrissage tardive ;

c) des approches non stabilisées et précipitées, écarts d’alignement de descente, etc. ;

d) des dépassements par rapport aux limites opérationnelles prescrites (telles que les vitesses maximales
volets sortis, les surchauffes des moteurs, les vitesses aérodynamiques, les conditions d’amorce de
décrochage) ;

e) des rencontres de turbulences de sillage, un cisaillement du vent à bas niveau, des rencontres de
turbulences ou d’autres accélérations verticales.

Maintien de la navigabilité

16.3.20 Les données de routine et les données d’événements peuvent servir à soutenir la fonction de
maintien de la navigabilité. Par exemple, les programmes de surveillance des moteurs tiennent compte des
mesures de performance des moteurs pour déterminer l’efficacité opérationnelle et prédire les pannes imminentes.

Exemples d’utilisations pour le maintien de la navigabilité : mesures du niveau de poussée du moteur et


de la traînée de la cellule ; avionique et autres modes de surveillance du fonctionnement des systèmes ;
performance des commandes de vol ; utilisation des freins et du train d’atterrissage.
16-8 Manuel de gestion de la sécurité (MGS)

Analyse intégrée de la sécurité

16.3.21 Toutes les données recueillies dans le cadre d’un programme FDA devraient être conservées
dans une base de données centrale, consacrée à la sécurité. En reliant cette base de données FDA à
d’autres bases de données de sécurité (telles que les systèmes de comptes rendus d’incidents et les
systèmes de comptes rendus de défectuosités techniques), il est possible d’obtenir une compréhension plus
complète des événements par le recoupement de renseignements provenant de diverses sources. Il
convient toutefois de veiller à garantir la confidentialité des renseignements FDA lorsqu’on relie ceux-ci à
des données identifiées.

Exemple d’intégration : Un atterrissage dur donne lieu à un compte rendu d’équipage, ainsi qu’à un
compte rendu d’événement FDA et à un rapport technique. Le compte rendu d’équipage fournit le
contexte, l’événement FDA donne la description quantitative, et le rapport technique décrit le résultat.

16.3.22 L’intégration de toutes les sources disponibles de données concernant la sécurité donne au
SGS de l’exploitant des informations viables sur le niveau général de sécurité de l’exploitation.

Équipement FDA

16.3.23 Les programmes FDA font généralement appel à des systèmes qui saisissent les données de
vol, les transforment en un format approprié pour l’analyse et génèrent des rapports et représentations
visuelles qui sont autant d’aides pour évaluer les données. Le niveau de sophistication des équipements
est très variable. En général, toutefois, les capacités suivantes d’équipements sont requises pour garantir
l’efficacité des programmes FDA :

a) un système embarqué de saisie et d’enregistrement des données sur une vaste gamme de
paramètres en vol (tels que l’altitude, la vitesse anémométrique, le cap, l’assiette de l’aéronef et la
configuration de l’aéronef) ;

b) un moyen de transférer les données enregistrées à bord de l’aéronef à une station de traitement
des données au sol. Par le passé, ce transfert entraînait souvent le déplacement physique de l’unité
de mémoire de l’enregistreur à accès rapide (QAR) (bande magnétique, disque optique ou semi-
conducteurs). Pour réduire l’effort physique requis, des méthodes ultérieures de transfert ont fait
appel aux technologies sans fil ;

c) un système informatique au sol (utilisant un logiciel spécialisé) pour analyser les données (de vols
spécifiques et/ou les données consolidées de plusieurs vols), détecter les écarts par rapport aux
performances attendues, produire des rapports pour faciliter l’interprétation des données de sortie, etc. ;

d) un logiciel facultatif offrant une capacité d’animation des vols afin d’intégrer toutes les données et de
les présenter sous la forme d’une simulation en conditions de vol, ce qui facilite la visualisation des
événements réels.

Équipements embarqués

16.3.24 Les aéronefs modernes à visualisation d’habitacle et à commandes de vol électriques sont
équipés des bus numériques nécessaires permettant la saisie de données par un enregistreur aux fins
d’analyse ultérieure. Des équipements enregistrant des paramètres supplémentaires peuvent être installés
en rattrapage sur des aéronefs plus anciens. Toutefois, il est peu probable que des aéronefs anciens (non
numériques) permettent l’enregistrement d’un nombre de paramètres suffisants pour soutenir un programme
FDA viable.
Chapitre 16. Exploitation technique des aéronefs 16-9

16.3.25 Le nombre de paramètres enregistrés par le FDR obligatoire peut être déterminant pour la
portée d’un programme FDA. Malheureusement, dans certains cas, le nombre de paramètres à enregistrer
et la capacité d’enregistrement requis par la loi aux fins d’enquêtes sur des accidents peuvent se révéler
insuffisants pour appliquer un programme FDA efficace. C’est pourquoi beaucoup d’exploitants optent pour
une capacité d’enregistrement supplémentaire, capable d’être facilement téléchargée pour analyse.

16.3.26 Enregistreurs à accès rapide (QAR). Des QAR sont installés dans l’aéronef et enregistrent
les données de vol sur un support amovible à faible coût, tel qu’une cassette, un disque optique ou un
support d’enregistrement à semi-conducteurs. L’enregistrement peut être retiré de l’aéronef après plusieurs
vols. Des QAR utilisant de nouvelles technologies sont à même de traiter plus de 2 000 paramètres à des
cadences d’échantillonnage beaucoup plus élevées que celles des FDR. Cette extension du cadre de
données accroît sensiblement la résolution et la précision des sorties des programmes d’analyse au sol.

16.3.27 Pour éliminer la nécessité de retirer le support d’enregistrement du QAR afin de transférer les
données de l’aéronef jusqu’à la station au sol, les systèmes plus récents téléchargent automatiquement les
renseignements enregistrés via des systèmes sans fil sécurisés lorsque l’aéronef se trouve à proximité de la
porte. Dans d’autres systèmes encore, les données enregistrées sont analysées à bord pendant le vol. Les
données chiffrées sont ensuite transmises à une station au sol au moyen de communications par satellite.
La composition de la flotte, la structure des routes et des considérations de coûts détermineront la méthode
la plus rentable à utiliser pour retirer les données de l’aéronef.

Équipements de lecture et d’analyse au sol

16.3.28 Les données sont téléchargées du système d’enregistrement de l’aéronef dans une unité de
lecture et d’analyse basée au sol, où elles sont conservées dans un environnement sécurisé afin de
protéger ces informations sensibles. Diverses plates-formes numériques, y compris des ordinateurs individuels
en réseau, sont capables d’héberger les logiciels nécessaires pour lire les données enregistrées. Des logiciels
de lecture sont disponibles sur le marché mais la plate-forme informatique requerra des interfaces frontales
appropriées (habituellement fournies par les fabricants des enregistreurs) pour traiter la variété d’entrées
enregistrées disponibles aujourd’hui.

16.3.29 Les programmes FDA génèrent de grandes quantités de données requérant des outils analy-
tiques spécialisés. Ces outils, disponibles dans le commerce, facilitent l’analyse de routine des données de
vol, qui permet de révéler des situations requérant des mesures correctrices.

16.3.30 Le logiciel d’analyse vérifie les données de vol téléchargées pour y rechercher les anomalies.
Les logiciels de détection de dépassements comprennent généralement un grand nombre d’expressions
logiques de bascule tirées d’une grande variété de sources, telles que les courbes de performances, les
SOP, les données relatives à la performance fournies par le constructeur des moteurs, ainsi que la disposition
de l’aérodrome et les critères d’approche. Les expressions logiques de bascule peuvent être de simples
dépassements, tels que des valeurs critiques, mais il s’agit le plus souvent d’expressions composées qui
définissent un certain régime de vol, une certaine configuration d’aéronef ou une certaine situation concernant
la charge marchande. Les logiciels d’analyse peuvent aussi appliquer des ensembles de règles différents en
fonction de l’aéroport ou de la géographie. Par exemple, des aéroports sensibles au bruit peuvent utiliser
des alignements de descente plus élevés que la normale sur les trajectoires d’approche survolant des zones
habitées.

16.3.31 Événements et mesures peuvent être affichés sur un écran d’ordinateur au sol sous divers
formats. Les données de vol enregistrées sont habituellement affichées sous la forme de traces à codage
en couleurs avec éléments techniques connexes, de simulations de poste de pilotage ou d’animations de la
vue extérieure de l’aéronef.
16-10 Manuel de gestion de la sécurité (MGS)

Application pratique de l’analyse des données de vol

Processus FDA

16.3.32 Généralement, les exploitants suivent un processus en circuit fermé lorsqu’ils appliquent un
programme FDA, par exemple :

a) Établissement d’une ligne de départ. Les exploitants commencent par établir une ligne de départ
précisant les paramètres opérationnels par rapport auxquels des changements peuvent être détectés
et mesurés.

Exemples : Taux d’approches instables ou d’atterrissages durs.

b) Mise en évidence de circonstances inhabituelles ou dangereuses. L’utilisateur détermine lorsque


des circonstances non normalisées, inhabituelles ou essentiellement dangereuses se produisent ;
en les comparant aux marges de sécurité de la ligne de départ, il est possible de quantifier les
changements.

Exemple : Augmentations des approches instables (ou d’autres événements dangereux) en des
endroits spécifiques.

c) Identification des tendances dangereuses. Des tendances peuvent être détectées sur la base de
la fréquence des événements. Outre une estimation du niveau de gravité, les risques sont évalués
afin de déterminer lesquels pourraient devenir inacceptables si la tendance se poursuivait.

Exemple : Une nouvelle procédure a provoqué des vitesses élevées de descente, proches du seuil
de déclenchement d’avertissements GPWS.

d) Atténuation du risque. Une fois qu’un risque inacceptable a été identifié, des mesures appropriées
d’atténuation du risque sont adoptées et mises en œuvre.

Exemple : Après la découverte de vitesses élevées de descente, les SOP sont modifiées afin
d’améliorer la maîtrise de l’aéronef pour garantir des vitesses optimales/maximales de descente.

e) Suivi de l’efficacité. Une fois qu’une mesure correctrice a été mise en œuvre, le suivi de son effi-
cacité permet de confirmer qu’elle a réduit le risque identifié et que ce risque n’a pas été transféré
ailleurs.

Exemple : Confirmer que d’autres mesures de sécurité sur le terrain d’aviation présentant des
vitesses élevées de descente ne pâtissent pas des changements de procédures d’approche.

Analyse et suivi

16.3.33 Les renseignements FDA sont généralement recueillis sur une base mensuelle. Ils devraient
ensuite être examinés par un groupe de travail, qui identifiera les dépassements spécifiques et l’émergence
de tendances inopportunes et diffusera les informations aux équipages de conduite.

16.3.34 En cas de carences manifestes dans la technique de pilotage des pilotes, les informations
sont désidentifiées afin de protéger l’identité de l’équipage de conduite. Les renseignements sur des dépas-
sements spécifiques sont transmis à un représentant convenu des équipages de conduite afin que celui-ci
Chapitre 16. Exploitation technique des aéronefs 16-11

ait une conversation confidentielle avec le pilote. Le représentant des pilotes fournit le contact nécessaire
avec le pilote afin de clarifier les circonstances, d’obtenir des retours d’informations et de donner des conseils
et recommandations sur des mesures appropriées, telles que des cours de recyclage pour le pilote (suivis
dans une optique positive et non punitive), des révisions des manuels d’exploitation et des manuels de vol,
des modifications des procédures ATC et des procédures opérationnelles de l’aéroport, etc.

16.3.35 L’examen des dépassements spécifiques est complété par un archivage de tous les événements
dans une base de données, qui est utilisée pour trier, valider et afficher les données dans des rapports de
gestion faciles à comprendre. Au fil du temps, ces données archivées peuvent brosser un panorama des
tendances et dangers émergents qui, sinon, passeraient inaperçus. Lorsque l’apparition d’une tendance
inopportune devient manifeste (dans une flotte ou lors d’une phase de vol particulière ou dans un aéroport
spécifique), le département de la formation de la flotte peut mettre en œuvre des mesures pour inverser la
tendance en modifiant des exercices de formation et/ou des procédures opérationnelles. Tout comme dans
d’autres parties des opérations requérant des mesures, les données peuvent ensuite être utilisées pour
confirmer l’efficacité de toute mesure adoptée.

16.3.36 Il peut être justifié d’inclure les leçons tirées du programme FDA dans les programmes de
promotion de la sécurité de la compagnie. Toutefois, il faut veiller à ce que tout renseignement acquis via le
programme FDA soit minutieusement désidentifié avant de l’utiliser dans toute initiative de formation ou de
promotion.

16.3.37 Comme dans tout processus en circuit fermé, le contrôle du suivi est requis pour évaluer
l’efficacité de toute mesure correctrice prise. Il est crucial de recevoir des informations en retour des
équipages de conduite pour identifier et résoudre les problèmes de sécurité. Ces retours d’informations
pourraient notamment comprendre des réponses aux questions suivantes :

a) Les résultats escomptés sont-ils obtenus suffisamment tôt ?

b) Les problèmes ont-ils été réellement corrigés ou seulement transférés dans une autre partie du
système ?

c) De nouveaux problèmes ont-ils été introduits ?

16.3.38 Tous les succès et échecs devraient être enregistrés et il faudrait chaque fois comparer les
objectifs planifiés du programme avec les résultats escomptés. Ainsi se crée une base permettant d’évaluer
le programme FDA et de poursuivre le développement du programme.

Conditions d’efficacité des programmes FDA

16.3.39 Plusieurs conditions essentielles à la réussite des programmes FDA sont décrites ci-dessous.

Protection des renseignements FDA

16.3.40 La direction des compagnies aériennes et les pilotes ont des inquiétudes légitimes au sujet de
la protection des renseignements FDA, notamment en ce qui concerne :

a) l’utilisation des renseignements à des fins disciplinaires ;

b) l’utilisation des renseignements pour prendre des mesures coercitives à l’encontre d’individus ou de
la compagnie, sauf en cas d’acte délictueux ou de non-respect intentionnel de la sécurité ;
16-12 Manuel de gestion de la sécurité (MGS)

c) la divulgation de renseignements aux médias et au grand public en vertu des dispositions du droit
national régissant l’accès à l’information ;

d) la divulgation de renseignements pendant un procès au civil.

16.3.41 L’intégrité des programmes FDA repose sur la protection des renseignements FDA. Toute
divulgation à des fins autres que la gestion de la sécurité peut compromettre la fourniture volontaire de
renseignements FDA, ce qui nuirait à la sécurité de l’aviation. Dès lors, il est de l’intérêt commun des États,
des compagnies aériennes et des pilotes de prévenir tout usage abusif des renseignements FDA.

La confiance : un élément essentiel

16.3.42 De même que la confiance établie entre la direction et ses pilotes est la clé de la réussite des
systèmes de comptes rendus d’incidents, elle est aussi la pierre angulaire de la réussite d’un programme
FDA. Cette confiance peut être facilitée par :

a) une participation précoce de l’association des pilotes à la conception, à la mise en œuvre et au


fonctionnement du programme FDA ;

b) un accord formel entre la direction et les pilotes, décrivant les procédures d’utilisation et de protection
des données (À l’Appendice 3 de ce chapitre figure un exemple d’accord entre une compagnie
aérienne et ses équipages.) ;

c) l’optimalisation de la sécurité des données par :

1) le respect d’accords rigoureux passés avec les associations de pilotes ;

2) la limitation stricte de l’accès aux données à des individus sélectionnés au sein de la compagnie ;

3) le maintien d’un contrôle rigoureux afin de garantir que les données identifiantes soient supprimées
dès que possible des enregistrements des données de vol ;

4) la garantie que les problèmes opérationnels soient résolus promptement par la direction ;

5) la destruction, dès que possible, de toutes les données identifiées.

16.3.43 Pendant le suivi, l’accès aux renseignements relatifs à l’identité des membres d’équipage ne
devrait être permis qu’à des personnes dûment autorisées et utilisé uniquement à des fins d’enquête. Après
analyse, les renseignements permettant cette identification devraient être détruits.

Nécessité d’une culture de la sécurité

16.3.44 Les programmes FDA fructueux se distinguent par une gestion cohérente et compétente.
Voici quelques indicateurs d’une culture efficace de la sécurité :

a) la direction a montré son engagement à promouvoir une culture proactive de la sécurité, à vivement
encourager la coopération et la responsabilisation à tous les niveaux de l’organisation et des
associations aéronautiques (pilotes, équipages de cabine, AME, agents techniques d’exploitation,
etc.) ;
Chapitre 16. Exploitation technique des aéronefs 16-13

b) une politique non punitive au sein de la compagnie (Le principal objectif du programme FDA doit
être de détecter des dangers, pas d’identifier les individus qui pourraient avoir commis un acte
dangereux.) ;

c) la gestion du programme FDA est assurée par un membre spécifique du personnel appartenant au
département soit de la sécurité soit de l’exploitation et disposant d’un haut degré de spécialisation et
d’un important soutien logistique ;

d) les risques potentiels sont identifiés par des personnes ayant les compétences appropriées, qui
établissent les corrélations entre les résultats de l’analyse (Par exemple, il faut des pilotes expéri-
mentés sur le type d’aéronef analysé pour réaliser un diagnostic exact des dangers opérationnels
ressortant des analyses des données de vol.) ;

e) l’accent est mis sur le suivi des tendances de la flotte qui émergent des données cumulatives de
nombreux vols plutôt que sur des événements spécifiques. L’identification de problèmes systémiques
est plus intéressante pour la gestion de la sécurité que celle d’événements (parfois isolés) ;

f) un système bien structuré de désidentification des données protège la confidentialité de ces données ;

g) un système de communication efficace permet de diffuser les informations relatives aux dangers (et
les évaluations ultérieures des risques) aux départements et services externes pertinents, afin que
des mesures de sécurité puissent être prises à temps.

Mise en œuvre d’un programme FDA

16.3.45 En général, la mise en œuvre d’un programme FDA requiert l’exécution des étapes suivantes :

a) mise en œuvre d’accords avec les associations de pilotes ;

b) mise en place et vérification des procédures opérationnelles et de sécurité ;

c) installation des équipements ;

d) sélection et formation de membres du personnel dévoués et expérimentés, pour la mise en œuvre


du programme ;

e) lancement de l’analyse et de la validation des données.

16.3.46 Compte tenu du temps requis pour conclure des accords entre direction et équipages et pour
élaborer les procédures, une jeune compagnie aérienne n’ayant aucune expérience en FDA ne pourrait
probablement pas avoir un système opérationnel en moins de douze mois. Il faudra peut-être une deuxième
année avant que n’apparaissent les premiers avantages en termes de sécurité et de coûts. Des amélio-
rations des logiciels d’analyse ou l’utilisation de fournisseurs externes de services spécialisés peuvent
raccourcir ces délais.

16.3.47 L’intégration du programme FDA et d’autres systèmes de contrôle de la sécurité dans un SGS
cohérent accroîtra les retombées positives potentielles. Les informations liées à la sécurité recueillies à
partir d’autres programmes du SGS replacent les renseignements FDA dans leur contexte. Le programme
FDA, quant à lui, peut fournir des informations quantitatives utiles à des enquêtes qui, sinon, se baseraient
sur des rapports subjectifs moins fiables.
16-14 Manuel de gestion de la sécurité (MGS)

Buts et objectifs d’un programme FDA

16.3.48 Définir les objectifs du programme. Comme pour tout projet, il est nécessaire de définir
l’orientation et les objectifs du travail. Il est recommandé d’adopter une approche graduelle afin de jeter les
bases d’éventuelles expansions ultérieures dans d’autres domaines. L’utilisation d’une approche modulaire
permettra expansion, diversification et évolution par l’expérience.

Exemple : Un système modulaire permet de se limiter dans un premier temps aux questions de sécurité
de base. On pourra ajouter le contrôle de l’état des moteurs, etc., au cours de la deuxième phase. Il
faudra veiller à assurer la compatibilité avec d’autres systèmes.

16.3.49 Fixer les objectifs. Un ensemble d’objectifs progressifs, commençant par la lecture des données
de la première semaine pour ensuite passer aux premiers rapports de production puis à l’analyse de routine
régulière, permettra de donner une impression de progression à mesure que les objectifs intermédiaires
seront atteints.

Exemples :

Objectifs à court terme :

a) élaborer les procédures de téléchargement des données, tester les logiciels de lecture et repérer les
défectuosités des aéronefs ;

b) valider et examiner les données relatives aux dépassements ;

c) établir un format de rapport de routine acceptable pour les utilisateurs, qui mette en évidence les
dépassements spécifiques et facilite l’acquisition de statistiques pertinentes.

Objectifs à moyen terme :

a) rédiger un rapport annuel — y inclure les indicateurs clés de performance ;

b) ajouter d’autres modules d’analyse (par ex. le maintien de la navigabilité) ;

c) préparer l’ajout de la prochaine flotte dans le programme.

Objectifs à long terme :

a) mettre en réseau les renseignements FDA avec tous les systèmes d’information sur la sécurité de la
compagnie ;

b) veiller à insérer l’analyse des données de vol dans toute proposition de programme avancé de
formation ;

c) utiliser la surveillance d’état et d’utilisation pour réduire les stocks des rechanges.

16.3.50 Dans un premier temps, le ciblage de quelques aspects intéressants connus permettra de
prouver l’efficacité du système. Par rapport à une approche « tous azimuts », non dirigée, une approche
ciblée sera probablement plus susceptible de porter des fruits rapidement.

Exemples : Des approches précipitées ou des pistes en mauvais état sur certains aérodromes ; une
consommation anormale de carburant sur certains segments de vol ; etc. L’analyse de ce type de
problèmes connus peut générer des informations utiles pour l’analyse d’autres aspects.
Chapitre 16. Exploitation technique des aéronefs 16-15

L’équipe d’analyse des données de vol

16.3.51 L’expérience a montré que la taille de l’« équipe » nécessaire pour gérer un programme FDA
pouvait varier d’une personne pour une petite flotte (cinq aéronefs) à une section spécifique pour de grandes
flottes. Diverses fonctions à remplir sont décrites ci-dessous mais toutes ne nécessitent pas l’affectation d’une
personne à temps plein. Par exemple, le service technique pourrait ne fournir qu’un soutien à temps partiel.

• Chef d’équipe. Les chefs d’équipe doivent gagner la confiance et le soutien total à la fois de la
direction et des équipages de conduite. Ils travaillent indépendamment des cadres hiérarchiques
en vue d’émettre des recommandations qui seront perçues par tous comme ayant un haut degré
d’intégrité et d’impartialité. La personne qui occupe ce poste doit avoir de bonnes compétences en
analyse, présentation et gestion.

• Interprète des données relatives aux opérations aériennes. Cette personne est habituellement
un pilote en fonction (ou un commandant de bord ou un instructeur retraité depuis peu), qui connaît
le réseau de routes et les aéronefs de la compagnie. Sa connaissance approfondie des SOP, des
caractéristiques de conduite des aéronefs, des terrains d’aviation et des routes sera utilisée pour
replacer les renseignements FDA dans un contexte crédible.

• Interprète des données techniques. Cette personne interprète les données FDA relatives aux
aspects techniques de l’exploitation des aéronefs et connaît bien les besoins d’informations des
départements des groupes motopropulseurs, des structures et des systèmes et tous les autres
programmes de suivi technique utilisés par la compagnie aérienne.

• Représentant des équipages de conduite. Cette personne fournit le lien entre les directeurs de la
flotte ou de la formation et les équipages de conduite concernés par les événements mis en
évidence par le programme FDA. Cette fonction requiert de bonnes aptitudes en relations humaines
et une attitude positive vis-à-vis de la formation à la sécurité. Cette personne est normalement un
représentant de l’association des pilotes et elle devrait être la seule personne autorisée à relier les
renseignements d’identification avec l’événement. Le représentant des pilotes doit, par son intégrité
et la sûreté de son jugement, gagner la confiance des membres d’équipage et des directeurs.

• Assistant d’ingénierie et de soutien technique. Cette personne est habituellement un spécialiste


de l’avionique qui participe à la supervision des exigences minimales de fonctionnement des
systèmes FDR. Ce membre de l’équipe doit maîtriser l’analyse des données de vol et les systèmes
connexes, nécessaires pour appliquer le programme.

• Coordonnateur de la sécurité aérienne. Cette personne recoupe les renseignements FDA avec
d’autres programmes de contrôle de la sécurité aérienne (tels que le programme obligatoire ou
confidentiel de comptes rendus d’incidents de la compagnie et le LOSA) afin de replacer toutes les
informations dans un contexte intégré, crédible. Cette fonction peut réduire les répétitions d’enquêtes
de suivi.

• Agent chargé de la gestion et du fonctionnement du programme. Cette personne est chargée


de la gestion quotidienne du système, de l’élaboration des rapports et des analyses. Méthodique et
ayant quelques connaissances de l’environnement opérationnel général, cette personne assure le
bon fonctionnement du programme.

16.3.52 Tous les membres de l’équipe FDA devront avoir la formation ou l’expérience nécessaires
pour leurs domaines respectifs d’analyse des données. Chaque membre de l’équipe doit se voir attribuer un
16-16 Manuel de gestion de la sécurité (MGS)

temps réaliste à consacrer régulièrement à des tâches d’analyse des données de vol. Si les ressources
humaines disponibles sont insuffisantes, l’ensemble du programme produira des résultats décevants, voire
échouera.

Systèmes FDA de série

16.3.53 Les QAR disponibles sur la plupart des gros aéronefs modernes peuvent être analysés sur un
système de lecture et d’analyse présentant la configuration adéquate. Bien que les exploitants eux-mêmes
puissent configurer les diverses équations d’événements et niveaux de dépassement, les fournisseurs de
logiciels de lecture au sol offrent des systèmes de base et des programmes FDA avancés pour toute une
gamme de types d’aéronefs différents. Il n’est généralement pas rentable pour de nouveaux exploitants de
configurer eux-mêmes des systèmes FDA, même si la plupart des fournisseurs sont disposés à étudier la
pertinence et les niveaux des bascules d’événements avec tout nouvel exploitant.

16.3.54 Certains constructeurs d’aéronefs soutiennent activement les programmes FDA concernant
leurs aéronefs. Ils fournissent aux compagnies aériennes des mallettes comprenant outils et logiciels,
manuels d’information sur leurs méthodes et procédures FDA et une aide complémentaire pour les
exploitants qui appliquent leur programme. (Ils considèrent que le partage de données et d’informations
fournies par la compagnie aérienne est un moyen d’améliorer leurs aéronefs, leurs SOP et leur formation.)

16.3.55 La plupart des vendeurs de systèmes offrent une année de maintenance et d’assistance
technique à l’achat du système mais facturent ensuite des frais annuels. En outre, des candidats acheteurs
devront tenir compte d’autres facteurs de coût, tels que :

a) les frais d’installation ;

b) les frais de formation ;

c) les frais de mise à jour des logiciels (souvent inclus dans les contrats de maintenance) ;

d) d’autres frais de licence de logiciels qui pourraient être nécessaires.

16.3.56 Les programmes FDA sont souvent classés parmi les systèmes de sécurité les plus onéreux
en termes d’investissement initial, de licences de logiciels et d’exigences en personnel. En réalité, ils
peuvent épargner à la compagnie des frais énormes grâce à la réduction du risque d’accidents majeurs, à
l’amélioration des normes opérationnelles, à l’identification de facteurs externes ayant une incidence sur
l’exploitation et à l’amélioration des programmes de suivi technique.

16.4 PROGRAMME D’AUDIT DE SÉCURITÉ EN SERVICE DE LIGNE (LOSA)

Introduction

16.4.1 Comme nous l’avons déjà dit, les conséquences négatives du comportement humain peuvent
être gérées de façon proactive. Les dangers peuvent être détectés, analysés et validés sur la base des
renseignements recueillis par le biais de la surveillance des opérations quotidiennes. Les audits de sécurité
en service de ligne (LOSA) constituent une des méthodes de surveillance des opérations aériennes
ordinaires à des fins de sécurité. Les programmes LOSA fournissent donc un autre instrument de gestion
proactive de la sécurité.
Chapitre 16. Exploitation technique des aéronefs 16-17

16.4.2 À l’instar des programmes FDA, le LOSA facilite l’identification des dangers par l’analyse des
performances réelles en vol. Alors que la FDA fournit des données précises sur les dépassements par
rapport aux performances attendues de l’aéronef, le LOSA apporte des informations sur la combinaison des
performances systémiques et humaines. Il facilite la compréhension du contexte dans lequel s’est produite
la performance qui peut avoir précipité un dépassement.

16.4.3 Le LOSA est un outil qui permet de comprendre les erreurs humaines commises au cours
d’opérations aériennes. Il est utilisé pour identifier les menaces pour la sécurité de l’aviation qui mènent à
des erreurs humaines, pour réduire au minimum les risques que de telles menaces pourraient engendrer et
pour mettre en œuvre des mesures destinées à gérer ces erreurs dans le contexte opérationnel. Grâce au
LOSA, les exploitants peuvent évaluer leur résistance aux risques opérationnels et aux erreurs commises
par le personnel de première ligne. En s’appuyant sur une approche guidée par les données, ils peuvent
classer ces risques par ordre de priorité et identifier les mesures à prendre pour réduire le risque
d’accidents.

16.4.4 L’observation des opérations aériennes quotidiennes normales permet de recueillir des données
sur les performances des équipages de conduite et sur les facteurs situationnels. Ainsi, le LOSA facilite la
compréhension à la fois des bonnes performances et des défaillances. Les dangers découlant d’erreurs
opérationnelles peuvent être identifiés et des contre-mesures efficaces peuvent être élaborées.

16.4.5 Le LOSA utilise des observateurs expérimentés et formés spécialement pour recueillir des
données sur les performances des équipages de conduite et sur les facteurs situationnels sur des vols
« normaux ». Pendant les vols audités, les observateurs enregistrent les circonstances induisant des erreurs
et les réactions de l’équipage à ces circonstances. Les audits sont effectués dans des conditions strictement
non punitives, sans crainte que des mesures disciplinaires viennent sanctionner les erreurs détectées. Les
équipages de conduite ne sont pas tenus de justifier leurs actes.

16.4.6 Les données du LOSA fournissent aussi une photographie de l’exploitation du système qui peut
guider des stratégies en matière de gestion de la sécurité, de formation et d’exploitation. Tout comme pour
les programmes FDA, les renseignements recueillis par le biais du LOSA peuvent constituer une riche
source d’informations pour l’identification proactive de dangers systémiques pour la sécurité. Une des grandes
qualités du LOSA réside dans sa capacité à repérer des exemples de performances exceptionnelles qui
peuvent être soulignés et utilisés comme modèles dans le cadre des formations. (Traditionnellement,
l’industrie recueillait des informations sur les comportements humains défaillants et revoyait les programmes
de formation en fonction de ces informations.) Avec le LOSA, les interventions de formation peuvent être
basées sur les meilleures performances opérationnelles. Par exemple, sur la base des données LOSA, la
formation CRM peut être modifiée pour intégrer les meilleures pratiques de gestion de conditions dangereuses
spécifiques et pour gérer des erreurs typiques liées à ces conditions.

Rôle de l’OACI

16.4.7 L’OACI approuve le LOSA en tant que moyen de surveiller les opérations aériennes normales.
Elle soutient les initiatives de l’industrie aéronautique dans le domaine du LOSA en agissant en tant que
partenaire facilitateur du programme. Le rôle de l’OACI couvre les aspects suivants :

a) promouvoir l’importance du LOSA au sein de la communauté de l’aviation civile internationale ;

b) faciliter la recherche dans le but de recueillir les données nécessaires ;

c) agir en tant que médiateur dans les aspects culturellement sensibles de la collecte des données.
16-18 Manuel de gestion de la sécurité (MGS)

16.4.8 L’OACI a publié un manuel, Audit de sécurité en service de ligne (LOSA) (Doc 9803), afin de
donner aux exploitants des éléments indicatifs sur les programmes LOSA.

Terminologie

Menaces

16.4.9 Au cours de vols normaux, les équipages sont régulièrement confrontés à des circonstances
externes qu’ils doivent gérer. Ces circonstances accroissent la complexité opérationnelle de leur tâche et
constituent un certain risque pour la sécurité. La gravité de ces menaces peut varier sur toute la gamme,
depuis les niveaux relativement bénins (par exemple l’encombrement des fréquences) jusqu’aux menaces
majeures (telles qu’une alarme incendie moteur).

16.4.10 Certaines menaces sont prévisibles (telles qu’une importante charge de travail pendant
l’approche) et l’équipage peut s’y préparer à l’avance, par exemple : « Dans le cas d’une remise des
gaz… ». D’autres menaces sont imprévisibles. Comme elles se produisent sans avertissement, aucun
briefing préalable n’est possible (par exemple, un avis TCAS).

Erreurs

16.4.11 L’erreur est une composante normale de tout comportement humain. Les erreurs commises
par les équipages de conduite tendent à réduire la marge de sécurité et à augmenter la probabilité
d’accidents. Heureusement, les humains utilisent généralement très efficacement les mécanismes permettant
d’atteindre un équilibre entre les exigences conflictuelles de la production et de la sécurité.

16.4.12 Toute action ou toute absence d’action de l’équipage de conduite qui entraîne des écarts par
rapport au comportement attendu est considérée comme une erreur. Les erreurs de l’équipage peuvent se
définir en termes de non-conformité aux règlements et aux procédures d’exploitation normalisées (SOP) ou
en termes d’écarts inattendus par rapport aux attentes de la compagnie ou de l’ATC. Les erreurs peuvent
être mineures (afficher une altitude erronée puis la corriger rapidement) ou majeures (omettre un point
essentiel d’une liste de vérification).

16.4.13 Le LOSA repose sur cinq catégories d’erreurs d’équipage, à savoir :

a) Erreur de communication : communication erronée, mauvaise interprétation ou défaut de commu-


niquer des renseignements pertinents entre les membres de l’équipage ou entre l’équipage et un
agent externe (par exemple l’ATC ou le personnel d’exploitation au sol) ;

b) Erreur de compétence : manque de connaissances ou d’aptitudes psychomotrices (pilotage) ;

c) Erreur de décision opérationnelle : erreur dans le processus de décision qui, n’étant pas norma-
lisée par les règlements ou les procédures d’exploitation, compromet cependant inutilement la
sécurité (par exemple, une décision de l’équipage de traverser une zone connue de cisaillement du
vent, lors d’une approche, au lieu de la contourner) ;

d) Erreur de procédure : écart de conformité aux règlements et/ou aux procédures d’exploitation.
L’intention était bonne mais l’exécution mauvaise. Cette catégorie inclut également les erreurs dues
à un oubli de la part de l’équipage ;
Chapitre 16. Exploitation technique des aéronefs 16-19

e) Erreur de non-conformité intentionnelle : écart délibéré par rapport aux règlements et/ou aux
procédures d’exploitation (par ex. infractions).

Gestion des menaces et des erreurs

16.4.14 Comme les menaces et les erreurs font partie intégrante des opérations aériennes quotidiennes,
il faut en acquérir une compréhension systématique pour pouvoir les gérer en toute sécurité. Le LOSA offre
une perspective éclairée sur les menaces et les erreurs, qui permet d’élaborer des stratégies appropriées
d’adaptation. Les données quantifiables du LOSA sont particulièrement utiles pour répondre à des questions
telles que :

a) Quelles menaces les équipages rencontrent-ils le plus fréquemment ? Où et quand se manifestent-


elles et quels sont les types de menaces les plus difficiles à gérer ?

b) Quelles sont les erreurs les plus souvent commises par les équipages et quelles sont celles qui sont
les plus difficiles à gérer ?

c) Quelles sont les répercussions des erreurs mal gérées ? Combien de ces erreurs aboutissent à une
situation d’aéronef « indésirable » (par ex. approche finale rapide/lente) ?

d) Existe-t-il des différences importantes entre les aéroports, les flottes aériennes, les routes ou les
phases des vols en termes de menaces et d’erreurs ?

Contre-mesures systémiques

16.4.15 Partant du principe que l’erreur est inévitable, les contre-mesures les plus efficaces dépassent
la simple tentative de prévenir les erreurs. Elles doivent mettre en évidence les circonstances dangereuses
suffisamment tôt pour permettre aux équipages de conduite de prendre les mesures correctrices avant que
l’erreur n’entraîne des conséquences néfastes. En d’autres termes, elles « piègent » l’erreur.

16.4.16 Les contre-mesures les plus efficaces tentent d’améliorer l’environnement de travail quotidien
dans lequel les équipages de conduite sont confrontés aux menaces inévitables à la sécurité des vols et
elles donnent aux équipages une « deuxième chance » de corriger leurs erreurs. De telles contre-mesures
systémiques comprennent des changements dans la conception des aéronefs, dans la formation des
équipages, dans les procédures opérationnelles de la compagnie, dans les décisions de gestion, etc.

Définition des caractéristiques du LOSA

16.4.17 Les caractéristiques suivantes du LOSA assurent l’intégrité de sa méthodologie et de ses


données :

a) Observations de type « siège de service » au cours de vols ordinaires : les observations LOSA
se limitent aux vols réguliers (contrairement aux vérifications de compétence en route ou à d’autres
vols d’entraînement). Des pilotes inspecteurs ne feraient qu’aggraver le niveau de stress déjà élevé,
ce qui donnerait une image déformée des performances. Les meilleurs observateurs apprennent à
passer inaperçus et à ne pas intimider, n’enregistrant que des détails minimums dans le poste de
pilotage.
16-20 Manuel de gestion de la sécurité (MGS)

b) Soutien combiné de la direction et des pilotes : pour qu’un LOSA soit un succès en tant que
programme de sécurité viable, il est essentiel que la direction et les pilotes appuient le projet. Leur
soutien combiné assure au projet un juste équilibre, qui garantira que tout changement nécessaire
sera effectué sur la base des renseignements LOSA obtenus. Tout comme la mise en œuvre d’un
programme FDA fructueux, un audit LOSA ne pourra être mené sans l’approbation des pilotes,
obtenue via un accord conclu avec la direction. Un comité directeur LOSA, constitué de repré-
sentants des pilotes et de la direction partage la responsabilité de planifier, programmer et soutenir
les observateurs et de vérifier les données.

c) Participation volontaire des équipages : il est extrêmement important de maintenir l’intégrité du


programme LOSA chez un transporteur aérien pour en assurer le succès à long terme. Une façon
d’y arriver consiste à recueillir toutes les observations avec la participation volontaire des équipages.
Avant d’effectuer des observations LOSA, l’observateur doit d’abord obtenir la permission de
l’équipage à observer. Si un transporteur aérien qui effectue un LOSA reçoit un nombre inhabituel
de refus des équipages à observer, il peut en déduire l’existence de problèmes critiques de confiance,
qu’il faudra résoudre en premier lieu.

d) Collecte uniquement de données désidentifiées et confidentielles, relatives à la sécurité : les


observateurs LOSA ne notent ni les noms, ni les numéros de vol, dates ou autres informations
susceptibles de permettre l’identification de l’équipage. Cette discrétion assure un haut niveau de
protection contre les mesures disciplinaires. Les compagnies aériennes ne devraient pas gâcher
une opportunité d’obtenir un aperçu de leurs activités d’exploitation en faisant craindre aux pilotes
qu’une observation LOSA puisse être utilisée contre eux dans des procédures disciplinaires. En
d’autres termes, le LOSA ne doit pas seulement être perçu comme non punitif ; il doit être non punitif.

e) Observations ciblées : toutes les données sont recueillies sur le formulaire d’observation LOSA
spécialement élaboré à cette fin. (Des exemples de formulaires sont inclus dans le Doc 9803.)
Généralement, les types d’informations suivants sont recueillis par l’observateur LOSA :

1) données démographiques sur le vol et l’équipage, par exemple villes reliées, type d’avion, durée
du vol, années d’expérience dans la compagnie et à ce poste et connaissance mutuelle des
membres de l’équipage ;

2) description écrite de ce que l’équipage a bien fait, de ce qu’il a fait médiocrement et de la façon
dont il a géré les menaces ou erreurs au cours de chaque phase du vol ;

3) évaluation des performances en CRM (gestion des ressources en équipage) à l’aide de


marqueurs validés de comportement ;

4) feuille de notes techniques pour les phases de descente/approche/atterrissage, soulignant le


type d’approche suivi, identifiant la piste d’atterrissage et indiquant si l’équipage a bien respecté
les paramètres d’approche stabilisée ;

5) feuille de travail sur la gestion des menaces décrivant en détail chaque menace et la manière
dont elle a été traitée ;

6) feuille de travail sur la gestion des erreurs dressant la liste des erreurs observées et décrivant la
façon dont chaque erreur a été traitée, ainsi que le résultat final ;

7) interview des membres de l’équipage au cours des périodes peu chargées du vol, par exemple,
en croisière, pour demander aux pilotes quelles sont leurs suggestions pour améliorer la sécurité,
la formation et les opérations en vol.
Chapitre 16. Exploitation technique des aéronefs 16-21

f) Des observateurs fiables, entraînés et compétents : avant tout, les observateurs sont des pilotes
de ligne, des pilotes instructeurs, des pilotes de sécurité, des pilotes d’encadrement, etc. Des obser-
vateurs LOSA expérimentés d’une compagnie aérienne n’ayant aucun lien avec le transporteur seront
peut-être plus objectifs et peuvent servir de point d’ancrage aux observateurs du transporteur,
surtout lorsque ce dernier introduit un nouveau programme LOSA. Indépendamment de la source, il
est crucial que les observateurs jouissent du respect et de la confiance nécessaires pour garantir
que le LOSA sera accepté par les pilotes de ligne. Les observateurs doivent être formés aux
concepts de gestion des menaces et des erreurs et à l’utilisation des formulaires d’évaluation LOSA.
Une évaluation normalisée est vitale pour assurer la validité du programme.

g) Centre fiable de conservation des données : pour garantir la confidentialité des données, les
transporteurs aériens doivent disposer d’un centre fiable de conservation des données. Aucune
observation ne peut être détournée ou indûment diffusée dans la compagnie aérienne sans
compromettre l’intégrité du LOSA. Certaines compagnies aériennes recourent à une « tierce partie »
neutre pour assurer une analyse objective des résultats.

h) Tables rondes sur la vérification des données : les programmes fondés sur des données,
comme le LOSA, exigent des procédures de gestion de la qualité des données et des vérifications
d’uniformité. Dans le cas du LOSA, des tables rondes réunissant des représentants de la direction
et des associations de pilotes passent en revue les données brutes, à la recherche d’anomalies. Il
faut valider la cohérence et la précision de la base de données avant de pouvoir procéder à
l’analyse statistique.

i) Objectifs d’améliorations dérivés des données : au fil de la collecte et de l’analyse des données,
des tendances se font jour. Certaines erreurs se produisent plus fréquemment que d’autres,
certains aéroports ou activités présentent plus de problèmes que d’autres, certaines SOP sont
ignorées ou modifiées et certaines manœuvres posent des difficultés spécifiques. Ces tendances
deviennent des objectifs d’améliorations. La compagnie aérienne élabore ensuite un plan d’action et
met en œuvre les stratégies de changement appropriées en recourant aux experts disponibles au
sein de la compagnie. Des audits LOSA ultérieurs permettront de mesurer l’efficacité des
changements.

j) Communication des résultats aux pilotes de ligne : à la clôture d’un LOSA, l’équipe de direction
de la compagnie aérienne et l’association des pilotes ont l’obligation de communiquer les résultats
aux pilotes de ligne. Ceux-ci désireront voir non seulement les résultats mais aussi le plan d’amélio-
ration dressé par la direction.

Processus de changement pour la sécurité

16.4.18 Comme d’autres outils de gestion des risques, un changement pour la sécurité exige un
processus en boucle fermée : détection et analyse des problèmes, élaboration des stratégies, fixation des
priorités, mise en œuvre des mesures correctrices et suivi de l’efficacité pour identifier tout problème résiduel.

16.4.19 Le LOSA attire l’attention de l’organisation sur les problèmes de sécurité les plus importants
dans les opérations quotidiennes. Toutefois, il ne fournit pas de solutions; celles-ci doivent découler des
stratégies organisationnelles. L’organisation doit évaluer les données LOSA obtenues, identifier les dangers
qui posent les plus gros risques pour l’organisation, puis prendre les mesures nécessaires pour y remédier.
Le LOSA ne peut réaliser son plein potentiel que s’il existe un désir et une volonté de la part de
l’organisation d’agir en fonction des leçons tirées du LOSA. Si elles ne donnent pas lieu à la prise de
mesures de sécurité dignes de ce nom, les données LOSA rejoindront les énormes banques de données
relatives à la sécurité, inutilisées, déjà disponibles dans la communauté de l’aviation civile internationale.
16-22 Manuel de gestion de la sécurité (MGS)

16.4.20 Voici quelques stratégies types de changement pour la sécurité à prendre par des compagnies
aériennes à la suite d’un audit LOSA :

a) redéfinir les philosophies et lignes directrices opérationnelles ;

b) modifier les procédures existantes ou en appliquer de nouvelles ;

c) prévoir une formation spécifique en gestion des menaces et erreurs et en contre-mesures à la


disposition des équipages ;

d) revoir les listes de vérification pour s’assurer de la pertinence de leur contenu, puis diffuser des
lignes directrices claires en vue de leur mise en œuvre et exécution ;

e) définir les tolérances en matière d’approche stabilisée, par opposition aux paramètres d’« approche
parfaite » décrits dans les SOP existantes.

16.4.21 Les premiers succès du LOSA ont été surtout perceptibles dans les domaines suivants :

a) amélioration de la gestion des erreurs par les équipages de conduite ;

b) réduction des erreurs dans l’exécution des listes de vérification ;

c) réduction des approches non stabilisées.

Application du LOSA

16.4.22 Entreprendre un audit LOSA est une initiative majeure de sécurité, qui ne peut être menée à
la légère. Si le LOSA convient très bien à de grandes compagnies aériennes ayant des SGS qui ont déjà fait
leurs preuves, il est de plus en plus adopté par des transporteurs de taille moyenne à petite. Comme pour la
réussite des programmes de formation en FDA et CRM, les connaissances et l’expérience de spécialistes
sont requises pour concevoir et conduire un LOSA efficace.

16.4.23 Les organisations qui souhaitent appliquer un programme LOSA devraient consulter le manuel
Audit de sécurité en service de ligne (LOSA) (Doc 9803) et une compagnie aérienne ayant l’expérience de
l’application du LOSA. En particulier, il est essentiel d’organiser une formation officielle à la méthodologie et
à l’utilisation des outils spécialisés du LOSA et au traitement des données hautement sensibles recueillies.

16.4.24 Comme le soutien de toutes les parties est requis pour assurer la réussite du programme
LOSA, des représentants des départements des opérations aériennes, de la formation et de la sécurité ainsi
que des représentants de l’association des pilotes devraient se rencontrer dès le début et se mettre
d’accord sur des points tels que :

a) les exigences opérationnelles du LOSA et la probabilité de conduire un audit fructueux ;

b) les objectifs du programme ;

c) les ressources disponibles pour guider la conduite de l’audit ;

d) la création d’un comité directeur du LOSA chargé de collaborer à la planification et de contribuer à


faire accepter le programme par le personnel (notamment celui des départements des opérations
aériennes, de la formation, de la sécurité, ainsi que l’association des pilotes, cette liste n’étant pas
imitative) ;
Chapitre 16. Exploitation technique des aéronefs 16-23

e) le département approprié qui devrait être chargé de la gestion du programme (par exemple, le
département de la sécurité) ;

f) la sélection et la formation d’observateurs crédibles ;

g) la fixation d’un calendrier, la définition des préoccupations ciblées (par ex. les approches stabilisées),
la flotte couverte, etc. ;

h) les protocoles à suivre par les équipages de conduite et les observateurs ;

i) les protocoles de protection des données ;

j) le processus d’analyse ;

k) les exigences formelles de compte rendu ;

l) la communication des résultats ;

m) le processus de mise en œuvre des changements nécessaires pour réduire ou éliminer les dangers
identifiés.

16.4.25 Les meilleurs résultats sont obtenus lorsque le LOSA est appliqué dans un environnement de
confiance. Les pilotes de ligne doivent être convaincus qu’il n’y aura aucune répercussion au niveau
individuel, sinon leur comportement ne reflétera pas la réalité quotidienne et le LOSA ne sera guère plus
qu’une version approfondie de la vérification de compétence en route. À cet égard, il peut être instructif de
lire le protocole d’accord présenté à l’Appendice 3 de ce chapitre, au sujet du programme FDA.

16.5 PROGRAMME DE SÉCURITÉ EN CABINE

Généralités

16.5.1 La sécurité en cabine a pour objectif de réduire au minimum les risques encourus par les
occupants des aéronefs. En réduisant ou éliminant les dangers pouvant entraîner des lésions corporelles ou
des dommages matériels, le programme de sécurité en cabine vise à fournir un environnement plus sûr aux
occupants des aéronefs.

16.5.2 La gamme de menaces pour l’aéronef et ses occupants comprend les éléments suivants :

a) turbulences en vol ;

b) fumée ou feu dans la cabine ;

c) décompression ;

d) atterrissages d’urgence ;

e) évacuations d’urgence ;

f) passagers indisciplinés.
16-24 Manuel de gestion de la sécurité (MGS)

16.5.3 L’environnement et les conditions de travail des équipages de cabine sont influencés par divers
aspects de la performance humaine, susceptibles de modifier la façon dont les équipages de cabine
réagissent à des menaces, erreurs et autres situations indésirables. Certaines des questions de performance
humaine les plus courantes touchant la performance des équipages de cabine sont décrites brièvement à
l’Appendice 4 de ce chapitre.

16.5.4 Les équipages de cabine sont généralement les seuls représentants de la compagnie aérienne
que les passagers voient à bord de l’avion. Du point de vue des passagers, les équipages de cabine sont là
pour fournir un service en vol. Du point de vue de la direction, le rôle des équipages de cabine est peut-être
davantage de créer une image favorable de la compagnie. D’un point de vue réglementaire et opérationnel,
les équipages de cabine sont présents dans la cabine pour gérer les situations inopportunes qui pourraient
survenir dans la cabine de l’aéronef et pour donner conseils et assistance aux passagers en cas d’urgence.

16.5.5 À la suite d’un accident majeur d’aviation, l’attention des enquêteurs se portera probablement
d’abord sur les opérations de conduite. Ensuite, en fonction des éléments de preuve, l’enquête peut
s’étendre à d’autres aspects. L’événement déclencheur d’un accident commence rarement dans la cabine
passagers. Toutefois, une réaction inappropriée des équipages de cabine à des événements survenant
dans la cabine peut avoir des conséquences plus graves. Par exemple :

a) chargement incorrect des passagers (par ex. paramètres de poids et d’équilibre) ;

b) incapacité de sécuriser adéquatement la cabine et les offices avant le décollage et l’atterrissage et


en cas de turbulences ;

c) réaction tardive à des avertissements (par ex. turbulences en vol) ;

d) réaction inappropriée à des événements survenant dans la cabine (par ex. des courts-circuits
électriques, de la fumée, des émanations ou un feu dans un four) ;

e) omission de signaler des observations importantes (telles que des fuites de fluides, ou des ailes
couvertes de neige ou de glace) à l’équipage de conduite.

16.5.6 Une bonne partie des activités de routine des équipages de cabine étant centrées sur le
service cabine, un effort supplémentaire est requis pour garantir que le service cabine ne soit pas fourni au
détriment des responsabilités premières, relatives à la sécurité des passagers. Il est crucial que la formation
et les procédures opérationnelles destinées aux équipages de cabine abordent l’ensemble complet des
questions susceptibles d’avoir des incidences sur la sécurité.

Exigences de l’OACI

16.5.7 Bien que l’OACI n’exige pas de licence pour les équipages de cabine, le Chapitre 12 de
l’Annexe 6 — Exploitation technique des aéronefs précise les exigences concernant :

a) les fonctions attribuées en cas d’urgence ;

b) le rôle pendant les évacuations d’urgence ;

c) l’utilisation des équipements d’urgence ;

d) les temps limites de vol et de période de service de vol ;

e) la formation.
Chapitre 16. Exploitation technique des aéronefs 16-25

16.5.8 Les exploitants sont tenus d’instaurer et de poursuivre un programme de formation approuvé
(recyclages réguliers compris), qui devra être mené à bien par toutes les personnes avant que celles-ci ne
puissent être désignées comme membres d’équipage de cabine. Cette formation vise à assurer la compétence
des équipages de cabine pour faire face à des situations d’urgence.

16.5.9 Le document Rédaction d’un manuel d’exploitation (Doc 9376) donne des éléments indicatifs
supplémentaires pour la formation des équipages de cabine, notamment :

a) la formation conjointe avec les équipages de conduite pour la gestion des urgences ;

b) la formation pour pouvoir aider l’équipage de conduite (équipage de deux pilotes) en cas d’incapacité
soudaine de l’équipage de conduite.

16.5.10 Le manuel Éléments d’orientation sur les facteurs humains dans les audits de sécurité
(Doc 9806) fournit aussi des éléments indicatifs sur la formation aux facteurs humains liés aux fonctions de
sécurité dans la cabine passagers, y compris la coordination entre équipage de conduite et équipage de
cabine.

16.5.11 La Circulaire intitulée Facteurs humains, Étude n°15 — Les facteurs humains dans la sécurité
de la cabine (Cir 300) donne des éléments indicatifs sur les facteurs humains dans les équipes en mettant
l’accent sur le travail dans l’environnement de la cabine. D’autres chapitres abordent les aspects relatifs à la
communication et à la coordination ainsi qu’au traitement des événements anormaux.

Manuel de sécurité de vol de l’exploitant (OFSH) — Compendium sur la sécurité en cabine

16.5.12 Reconnaissant le défi que pose la mise en place d’un programme de sécurité en cabine,
plusieurs grands exploitants et représentants clés de l’industrie aéronautique ont élaboré une approche
systématique de la gestion de la sécurité en cabine. Le Compendium sur la sécurité en cabine annexé au
Manuel de sécurité de vol de l’exploitant (OFSH) étend les systèmes de gestion de la sécurité à la cabine.
Ce Compendium documente les pratiques de sécurité qui ont fait leurs preuves dans le monde. Non
seulement il décrit les procédures de sécurité de routine et d’urgence, mais il comprend aussi plusieurs
appendices contenant des documents de référence, des exemples de listes de vérification, des listes
d’équipements minimums, etc.

Gestion de la sécurité en cabine

Engagement

16.5.13 La fourniture d’un service cabine peut être perçue comme une fonction de marketing ou de
service à la clientèle ; toutefois, la sécurité en cabine est manifestement une fonction opérationnelle. La
politique de la compagnie doit refléter ce fait et la direction ne doit pas se limiter aux paroles lorsqu’il s’agit
de prouver sa volonté de garantir la sécurité en cabine. Parmi les indicateurs habituels de l’engagement de
la direction envers la sécurité en cabine, citons :

a) l’affectation de ressources suffisantes (effectifs adéquats pour les postes d’équipages de cabine,
formation initiale et continue, installations de formation, etc.) ;

b) définition claire des responsabilités, y compris l’établissement, le suivi et l’application de SOP


concrètes pour la sécurité ;

c) encouragement d’une culture positive de la sécurité.


16-26 Manuel de gestion de la sécurité (MGS)

Culture positive de la sécurité

16.5.14 La mise en place d’une culture positive de la sécurité pour les équipages de cabine commence
au niveau de l’organisation du département. Si, comme dans beaucoup de compagnies aériennes, les
équipages de cabine reçoivent leurs principales instructions du département du marketing plutôt que de
celui des opérations aériennes, la sécurité en cabine ne figurera pas en tête de leurs priorités. Parmi les
autres aspects à envisager pour promouvoir une culture positive de la sécurité, citons :

a) la relation entre l’équipage de conduite et l’équipage de cabine, notamment :

1) l’esprit de coopération, marqué par le respect et la compréhension mutuels ;


1
2) des communications efficaces entre l’équipage de conduite et l’équipage de cabine ;

3) des révisions régulières des SOP pour garantir la compatibilité entre les procédures du poste de
pilotage et celles de la cabine ;

4) des briefings prévol communs pour l’équipage de conduite et l’équipage de cabine ;

5) des débriefings communs à la suite d’événements liés à la sécurité, etc. ;

b) la participation des équipages de cabine à la gestion de la sécurité :

1) participation du directeur de la sécurité aux questions relatives à la sécurité en cabine ;

2) possibilités d’offrir des conseils et connaissances spécialisés sur la sécurité en cabine (réunions
du comité de sécurité, etc.) ;

3) participation à l’élaboration des politiques, des objectifs et des SOP concernant la sécurité en
cabine ;

4) participation au système de comptes rendus d’incidents de la compagnie, etc.

SOP, listes de vérification et briefings

16.5.15 Comme pour les opérations du poste de pilotage, la sécurité en cabine exige un respect strict
de SOP concrètes et bien conçues, y compris l’utilisation de listes de vérification et les briefings des
équipages de cabine. Les procédures couvrent entre autres les aspects suivants : embarquement des
passagers ; attribution des places ; rangement des bagages à main ; accessibilité et disponibilité des issues
de secours ; briefing de sécurité des passagers ; rangement et utilisation des équipements de service ;
rangement et utilisation des équipements médicaux d’urgence (oxygène, défibrillateur, trousse de premiers
secours, etc.) ; traitement des urgences médicales ; rangement et utilisation des équipements d’urgence
non médicaux (extincteurs, inhalateurs protecteurs, etc.) ; procédures d’urgence en vol (fumée, feu, etc.) ;
annonces de l’équipage de cabine ; procédures en cas de turbulences (y compris la sécurisation de la
cabine) ; traitement des passagers indisciplinés ; évacuations d’urgence ; débarquement de routine.

1. Comme les mesures de sécurité exigent la fermeture à clé de la porte du poste de pilotage pendant le vol, un effort supplémentaire
est nécessaire pour maintenir des communications efficaces à bord entre l’équipage de conduite et l’équipage de cabine.
Chapitre 16. Exploitation technique des aéronefs 16-27

16.5.16 Les Procédures pour les services de navigation aérienne — Exploitation technique des
aéronefs (PANS-OPS, Doc 8168) comprennent des éléments indicatifs sur les SOP, les listes de vérification
et les briefings des équipages. Le Compendium sur la sécurité en cabine du Manuel de sécurité de vol de
l’exploitant (OFSH) comprend aussi des éléments indicatifs pour la mise en place de procédures sûres tant
pour les opérations normales que pour les opérations d’urgence.

2
Compte rendu de danger et d’incident

16.5.17 Les équipages de cabine doivent être capables de rendre compte de dangers, d’incidents ou
de préoccupations relatives à la sécurité quand ils les remarquent, sans crainte de se mettre dans l’embarras
ou d’être la cible d’accusations ou de mesures disciplinaires. Les équipages de cabine, leurs supérieurs
hiérarchiques et le DS ne devraient avoir aucun doute sur :

a) les types de dangers dont il faut rendre compte ;

b) les mécanismes appropriés de compte rendu ;

c) la sécurité de leur emploi (après avoir rendu compte d’une préoccupation relative à la sécurité) ;

d) toute mesure de sécurité prise à la suite de la détection de dangers.

Formation à la sécurité en cabine

16.5.18 Les équipages de cabine ont des tâches et responsabilités liées à la sécurité et leur formation
devrait clairement refléter ce fait. Bien que la formation ne puisse jamais recréer tous les types de situations
auxquels les équipages de cabine puissent être confrontés, elle peut transmettre les connaissances,
aptitudes, attitudes de base et la confiance qui permettront aux équipages de cabine de traiter les situations
d’urgence. La formation des équipages de cabine devrait dès lors comprendre :

a) un cours d’initiation couvrant la théorie de base sur le vol, la météorologie, la physiologie du vol, la
psychologie du comportement des passagers, la terminologie de l’aviation, etc. ;

b) une formation pratique (si possible au moyen de simulateurs de cabine pour les exercices feu/fumée
en cabine et les exercices d’évacuation) ;

c) un contrôle en cours de vol (formation en cours d’emploi) ;

d) des recyclages et réévaluations annuels ;

e) des connaissances et aptitudes en CRM, y compris les activités de coordination avec l’équipage de
conduite ;

f) des exercices communs de formation avec les équipages de conduite pour s’entraîner aux procé-
dures utilisées en vol et pour les évacuations d’urgence ;

g) une familiarisation à la fonction et à l’utilisation de certains aspects du SGS de la compagnie (tels


que les comptes rendus de dangers et d’incidents) ; etc.

2. Le Chapitre 7 fournit des éléments indicatifs sur la mise en place et l’utilisation de systèmes de comptes rendus d’incidents.
16-28 Manuel de gestion de la sécurité (MGS)

16.5.19 En cas d’urgence, le savoir-faire des équipages de cabine sera requis quasiment sur-le-
champ. Une formation efficace à la sécurité pour les équipages de cabine exige donc une pratique régulière
afin de conserver la promptitude nécessaire en cas d’urgence.

16.5.20 Le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord
à la sécurité, concerne la formation à la sécurité des équipages de cabine.

Normes de sécurité en cabine

16.5.21 Les inspections de sécurité, enquêtes de sécurité et audits de sécurité sont des outils qui
peuvent être utilisés pour garantir le maintien des normes requises de sécurité en cabine. Une fois qu’un
exploitant est certifié, les normes de sécurité en cabine peuvent être confirmées par un programme permanent
d’inspections :

a) inspections de l’aéronef (par ex. issues de secours, équipements de secours et offices) ;

b) inspections prévol (aire de trafic) ;

c) inspections en vol de la cabine (par ex. briefings des passagers et démonstrations, briefings de
l’équipage et utilisation des listes de vérification, communications entre les membres d’équipage,
discipline et conscience de la situation) ;

d) inspections de la formation (par ex. installations, qualité de la formation et dossiers) ;

e) inspections des bases d’exploitation (par ex. affectation des équipages, régulation des vols,
système de comptes rendus d’incidents de sécurité et réaction à de tels incidents), etc.

16.5.22 Le programme d’audits de sécurité interne de la compagnie devrait s’étendre au département


des équipages de cabine. Le processus d’audit devrait comprendre un examen de toutes les opérations
dans la cabine ainsi qu’un audit des procédures de sécurité en cabine, de la formation, du manuel des
équipages de cabine, etc.

————————
Appendice 1 au Chapitre 16

EXEMPLE DE POLITIQUE D’ENTREPRISE CONCERNANT


LES COMPTES RENDUS NON PUNITIFS DE DANGERS

POLITIQUE NON PUNITIVE DE COMPTE RENDU DE LA COMPAGNIE XYZ

1. La compagnie aérienne XYZ s’engage à appliquer les normes d’exploitation des vols les plus sûres
possible. À cette fin, il est impératif que nous recevions des comptes rendus libres et francs de tous les
incidents et événements susceptibles de compromettre la sécurité de nos opérations. Dès lors, il incombe à
chaque membre du personnel de communiquer toute information qui puisse avoir une incidence sur
l’intégrité de la sécurité des vols. Ce type de communication doit être totalement libre de toute forme de
rétorsion.

2. La compagnie aérienne XYZ ne prendra aucune mesure disciplinaire à l’encontre de tout membre
du personnel qui signale un incident ou un événement lié à la sécurité des vols. La présente politique ne
s’applique pas aux informations que la compagnie reçoit d’une source autre que le membre du personnel ou
qui concernent un acte illicite ou un mépris délibéré ou volontaire des règlements ou des procédures
promulguées.

3. La responsabilité première de la sécurité des vols incombe aux cadres hiérarchiques mais la
sécurité des vols est l’affaire de tout un chacun.

4. Notre méthode de collecte, d’enregistrement et de diffusion des informations obtenues à partir des
rapports de sécurité aérienne (ASR) a été élaborée de façon à protéger, dans les limites permises par la loi,
l’identité de tout membre du personnel qui fournit des informations relatives à la sécurité des vols.

5. Je prie instamment tout le personnel d’utiliser notre programme de sécurité des vols pour aider la
compagnie XYZ à se hisser au premier rang en tant que compagnie offrant le niveau de sécurité des vols le
plus élevé à sa clientèle et à son personnel.

Signature : _________________________________
Président et Directeur général

————————

16-APP 1-1
Appendice 2 au Chapitre 16

EXEMPLES DE POINTS À SIGNALER À UN SYSTÈME


DE COMPTES RENDUS D’ÉVÉNEMENTS
D’UNE COMPAGNIE AÉRIENNE

Voici une liste des types d’occurrences ou d’événements liés à la sécurité à communiquer dans le cadre du
système de comptes rendus d’incidents de la compagnie. Cette liste n’est ni exhaustive ni classée par ordre
d’importance. (Le signalement de certains points peut être obligatoire en vertu des lois ou règlements
nationaux.)

• Toute défectuosité du système qui a une incidence négative sur la conduite ou l’exploitation de
l’aéronef ;

• Une alarme fumée ou feu, y compris l’activation des détecteurs de fumée des toilettes et les
incendies dans les offices ;

• Une urgence est déclarée ;

• L’aéronef est évacué via les issues/toboggans de secours ;

• Les équipements ou les procédures de sécurité sont défectueux, inadéquats ou usagés ;

• De graves carences dans la documentation d’exploitation ;

• Un chargement incorrect de carburant, de fret ou de marchandises dangereuses ;

• Un écart important par rapport aux SOP ;

• Une remise des gaz est effectuée à une altitude inférieure à 1 000 ft ;

• Un moteur est coupé ou tombe en panne dans quelque phase du vol que ce soit ;

• Des dégâts se produisent au sol ;

• Un décollage est interrompu après passage à la puissance de décollage ;

• L’aéronef quitte la piste ou la voie de circulation ou toute aire de stationnement ;

• Une erreur de navigation entraînant une importante déviation par rapport à la route ;

• Un écart d’altitude de plus de 500 ft se produit ;

• Une approche non stabilisée sous les 500 ft ;

• Le dépassement des paramètres limites pour la configuration de l’aéronef ;

16-APP 2-1
16-APP 2-2 Manuel de gestion de la sécurité (MGS)

• Une panne ou détérioration du système de communications ;

• Un avertissement de décrochage se produit ;

• Activation du GPWS ;

• Une vérification après atterrissage dur est requise ;

• Conditions de surface dangereuses, par ex. verglas, neige fondante et mauvais freinage ;

• L’aéronef atterrit en n’ayant plus que son carburant de réserve ou moins ;

• Réception d’un RA du TCAS ;

• Un grave incident ATC, par ex. un quasi-abordage, une incursion sur piste et une autorisation ATC
incorrecte ;

• De graves turbulences de sillage, turbulences, cisaillements du vent ou autres phénomènes


météorologiques sévères ;

• Des membres d’équipage ou des passagers deviennent gravement malades, sont blessés ou sont
frappés d’incapacité soudaine ou décèdent ;

• Des passagers violents, armés ou en état d’ivresse ou auxquels il faut appliquer des dispositifs
de contrainte ;

• Violation des procédures de sécurité ;

• Impacts d’oiseaux ou dommages causés par un corps étranger (FOD) ;

• Tout autre événement considéré comme susceptible d’avoir un effet sur la sécurité ou sur
l’exploitation de l’aéronef.

————————
Appendice 3 au Chapitre 16

EXEMPLE DE PROTOCOLE D’ACCORD ENTRE


UNE COMPAGNIE AÉRIENNE ET UNE ASSOCIATION
DE PILOTES POUR L’APPLICATION D’UN PROGRAMME
D’ANALYSE DES DONNÉES DE VOL (FDA)

1. CONTEXTE

Le programme d’analyse des données de vol, PROGRAMME FDA, fait partie intégrante du système
de gestion de la sécurité de LA COMPAGNIE. Les données de vol enregistrées peuvent contenir
des renseignements susceptibles d’améliorer la sécurité des vols mais susceptibles aussi, en cas
d’usage abusif, d’être préjudiciables aux membres d’équipages ou à la compagnie aérienne dans
son ensemble. Le présent document décrit les protocoles qui permettront de tirer de ces données
les meilleurs avantages en termes de sécurité tout en répondant au besoin de la compagnie
d’être perçue comme gérant la sécurité et en garantissant simultanément un traitement équitable au
personnel.

Le PROGRAMME FDA est conforme à l’esprit de l’instruction permanente numéro X (SIN X) de LA


COMPAGNIE — « Compte rendu d’incident de sécurité » — puisque « L’objectif d’une enquête sur
tout accident ou incident est d’établir les faits et la cause et de prévenir ainsi toute nouvelle
occurrence. L’objectif n’est pas de désigner des coupables ou des responsables. »

re
Le PROGRAMME FDA est également conforme à l’esprit de l’Annexe 6 (1 Partie, Chapitre 3) :
« Les programmes d’analyse des données de vol ne seront pas punitifs et contiendront des
garanties adéquates pour protéger les sources de données ».

2. INTENTIONS GÉNÉRALES

2.1 Tant LA COMPAGNIE que L’ASSOCIATION DES PILOTES reconnaissent depuis longtemps que
pour tirer le meilleur parti possible d’un PROGRAMME FDA, il faut travailler à l’amélioration
de la sécurité des vols dans un esprit de coopération mutuelle. Un ensemble rigide de règles
peut, dans certains cas, devenir une entrave ou une contrainte, voire aller à l’encontre du but
recherché. La préférence est donnée à un système dans lequel les personnes participant au
PROGRAMME FDA sont libres d’explorer de nouvelles voies par consentement mutuel, en
gardant toujours à l’esprit que le PROGRAMME FDA est un programme de sécurité, pas un
programme disciplinaire. En l’absence de règles rigides, le maintien du succès d’un PROGRAMME
FDA dépend de la confiance mutuelle, confiance qui a toujours été une caractéristique clé du
programme.

2.2 L’objectif principal de la surveillance des données opérationnelles de vols par le PROGRAMME
FDA est d’améliorer la sécurité des vols. Dès lors, l’intention de toute mesure correctrice prise

16-APP 3-1
16-APP 3-2 Manuel de gestion de la sécurité (MGS)

après la mise en évidence d’un problème par le PROGRAMME FDA est d’apprendre le plus
possible afin :

a) de prévenir une répétition du problème ;

b) d’accroître nos connaissances opérationnelles générales.

2.3 L’intention générale est que les problèmes révélés par le PROGRAMME FDA soient, dans la
mesure du possible, résolus sans identification des équipages concernés. Toutefois, dans certains
cas, il se peut que l’anonymat ne soit pas approprié et le présent document énonce des protocoles
à suivre dans de tels cas, afin de respecter SIN X.

2.4 Il est admis que LA COMPAGNIE doit vérifier les mesures prises à la suite d’enquêtes menées
dans le cadre du PROGRAMME FDA. Cette vérification sera menée au sein de LA COMPAGNIE
selon des modalités qui satisfont aux exigences de LA COMPAGNIE et elle ne sera pas incluse
dans les dossiers des membres d’équipages.

2.5 Il est aussi prévu que des données de vol enregistrées soient fournies à des tierces parties (AAC,
FAA, universités, constructeurs, etc.) à des fins de recherche sur la sécurité des vols. L’ASSOCIATION
DES PILOTES sera informée de chaque fourniture de telles données et si les données doivent être
identifiées pour être utiles (c’est-à-dire qu’elles doivent pouvoir être liées à un vol spécifique), LA
COMPAGNIE conviendra avec L’ASSOCIATION DES PILOTES des conditions de confidentialité
auxquelles ces données seront fournies.

3. COMPOSITION

La composition et les responsabilités du groupe d’enregistrement des données de vol (le « groupe
du PROGRAMME FDA ») sont définies dans le FCO Y. Le groupe se réunit une fois par mois. Il se
compose des membres suivants :

— le président (directeur des opérations aériennes du PROGRAMME FDA) ;


— un représentant de la section de la formation de chaque flotte ;
— un représentant de l’enregistrement des données de vol (service technique) ;
— un représentant du service de soutien technique des vols ;
— un analyste des données de vol du département des opérations aériennes ;
— des représentants de L’ASSOCIATION DES PILOTES (actuellement deux représentants
court-courriers et un représentant long-courrier).

La composition et les responsabilités du groupe de travail sur l’enregistrement des données


opérationnelles de vols sont définies dans le FCO Y. Le Groupe se réunit tous les deux mois. Il se
compose des membres suivants :

— le président (directeur des opérations aériennes du PROGRAMME FDA) ;


— un analyste des données de vol du département des opérations aériennes ;
— un directeur de l’enregistrement des données de vol (service technique) ;
— un représentant du service de soutien technique des vols ;
— un représentant des services de sécurité ;
— un représentant du groupe de la sécurité de l’AAC ;
— un représentant de L’ASSOCIATION DES PILOTES.
Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-3

4. TRAITEMENT

4.1 Portée

Cette section concerne les « événements » découverts par l’application de routine du PROGRAMME
FDA. Si un pilote dépose un rapport de sécurité aérienne (ASR) ou signale un événement à son
directeur, la responsabilité de mener une enquête incombe à la flotte, bien que le groupe du
PROGRAMME FDA puisse offrir son aide. Dans ce cas, le pilote est, bien entendu, identifié.

4.2 La liste ci-dessous énumère certaines des mesures de suivi possibles, utilisables pour enquêter sur
un problème révélé par le PROGRAMME FDA. Elle n’a pas la prétention d’être exhaustive et
n’exclut aucune autre action, convenue entre LA COMPAGNIE et L’ASSOCIATION DES PILOTES,
qui soit conforme aux intentions générales énoncées ci-dessus.

LA COMPAGNIE, représentée par le directeur des opérations aériennes du PROGRAMME FDA et


le représentant de la flotte siégeant au PROGRAMME FDA, et L’ASSOCIATION DES PILOTES,
représentée par le représentant compétent de L’ASSOCIATION DES PILOTES, discuteront et
conviendront entre elles du choix de l’action la plus appropriée à des circonstances spécifiques.

Un directeur de flotte peut demander des mesures de suivi. Il adressera sa requête au représentant
de sa flotte siégeant au PROGRAMME FDA, qui consultera le directeur des opérations aériennes
du PROGRAMME FDA et le représentant compétent de l’ASSOCIATION DES PILOTES, comme
stipulé ci-dessus.

4.2.1 Il peut être demandé à L’ASSOCIATION DES PILOTES de téléphoner aux membres
d’équipage pour un débriefing de l’« événement ». La nature de cet appel peut aller de
louanges pour une situation bien gérée, à un rappel de la procédure d’exploitation
normalisée concernée, en passant par une demande de plus amples informations sur
l’événement et ses causes.

La direction de la flotte peut demander que des questions ou points spécifiques soient
soumis aux pilotes pendant cet/ces appel(s).

Dans ce cas, les pilotes restent non identifiés et un compte rendu de débriefing sera
conservé conformément à la Section 5 du présent accord.

4.2.2 Il peut être demandé à L’ASSOCIATION DES PILOTES de contacter un pilote qui a un taux
supérieur à la moyenne d’événements détectés par le PROGRAMME FDA, afin de conseiller
ce pilote et de rechercher toute raison sous-jacente.

Dans ce cas aussi, la direction de la flotte peut demander que des questions ou points
spécifiques soient soumis aux pilotes pendant cet/ces appel(s).

Dans ce cas aussi, les pilotes restent non identifiés et un compte rendu de débriefing sera
conservé conformément à la Section 5 du présent accord.

4.2.3 Les enquêtes évoquées aux § 4.2.1 et 4.2.2 ci-dessus peuvent signaler qu’il ne sera peut-
être pas possible de clore le dossier sans que d’autres mesures soient prises. Voici des
exemples de mesures supplémentaires possibles :

— le dépôt d’un ASR — voir le § 4.2.4 ci-dessous ;


16-APP 3-4 Manuel de gestion de la sécurité (MGS)

— une demande que le pilote parle directement à la direction de la flotte — voir le


§ 4.2.5 ci-dessous ;

— une exigence que le pilote suive une formation pour maîtriser à nouveau la norme
requise dans un domaine particulier — voir le § 4.2.6 ci-dessous.

4.2.4 Si l’« événement » mérite manifestement le dépôt d’un ASR, mais qu’aucun ASR n’a été
remis, il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter le(s) pilote(s) à en
déposer un.

Un ASR déposé dans ces circonstances sera traité comme s’il avait été déposé au moment
de l’événement.

4.2.5 Il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter un pilote à un débriefing
mené par la direction de la flotte. Si le pilote accepte, il sera considéré comme ayant signalé
l’événement de lui-même, de sorte que le paragraphe 10.1 de SIN X est d’application : « Il ne
relève normalement pas de la politique de LA COMPAGNIE d’entreprendre une procédure
disciplinaire en réaction au signalement de tout incident relatif à la sécurité des vols. »

Un compte rendu d’un tel débriefing sera envoyé au pilote concerné et une copie sera
conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.

Si le pilote décline l’invitation susmentionnée, le débriefing par L’ASSOCIATION DES


PILOTES sera poursuivi jusqu’à ce que le dossier puisse être clos. Un compte rendu de ce
débriefing sera conservé conformément à la Section 5 du présent document.

4.2.6 Il peut être demandé à un pilote de suivre le recyclage qui peut être jugé nécessaire
après consultation de la flotte concernée. LA COMPANIE organisera cette formation et
L’ASSOCIATION DES PILOTES agira en tant qu’intermédiaire entre LA COMPAGNIE et le
pilote.

Un compte rendu de cette formation sera envoyé au pilote concerné et une copie sera
conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.

4.3 Si un événement ou une série d’événements est considéré comme suffisamment grave pour avoir
mis en danger l’aéronef ou ses occupants, il sera demandé à L’ASSOCIATION DES PILOTES de
lever l’anonymat des pilotes. L’ASSOCIATION DES PILOTES reconnaît que, dans l’intérêt de la
sécurité des vols, elle ne peut fermer les yeux sur des comportements déraisonnables, négligents
ou dangereux de la part de pilotes et elle accédera normalement à ce genre de demande.

La levée de l’anonymat sera effectuée par le représentant le plus ancien de l’ASSOCIATION DES
PILOTES, après consultation avec le président de L’ASSOCIATION DES PILOTES. Le repré-
sentant le plus ancien de L’ASSOCIATION DES PILOTES notifiera au pilote la procédure de levée
de l’anonymat et lui signalera qu’il ou elle peut être accompagné(e) d’un représentant de
L’ASSOCIATION DES PILOTES à tout entretien ultérieur.

Si le Département des opérations aériennes de LA COMPAGNIE et L’ASSOCIATION DES


PILOTES ne peuvent s’accorder sur le fait qu’un événement est suffisamment grave pour justifier
une levée d’anonymat, une décision finale sera prise par une personne désignée. Cette personne
sera soit le directeur de la sécurité de LA COMPAGNIE ou un autre cadre supérieur désigné de LA
COMPAGNIE et il/elle se verra confirmé(e) dans ce rôle par L’ASSOCIATION DES PILOTES, qui
réaffirmera son acceptabilité chaque année.
Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-5

4.4 Mépris délibéré des SOP

Si l’on découvre, par le biais du PROGRAMME FDA uniquement, qu’un pilote a délibérément fait fi
des SOP de LA COMPAGNIE, ce pilote sera soumis à la procédure suivante :

— Si la transgression des SOP n’a pas mis en danger l’aéronef ou ses occupants, le
débriefing peut être effectué par le représentant de L’ASSOCIATION DES PILOTES, ce qui
préservera l’anonymat du pilote ; mais le pilote recevra une lettre contenant un
avertissement clair qu’une deuxième violation entraînera une levée d’anonymat.

— Si la transgression des SOP a réellement mis en danger l’aéronef et ses occupants, LA


COMPAGNIE demandera la levée de l’anonymat selon la procédure énoncée au § 4.3
ci-dessus.

4.5 Si un pilote ne coopère pas avec L’ASSOCIATION DES PILOTES au sujet des dispositions du
présent accord, LA COMPAGNIE recevra l’approbation de L’ASSOCIATION DES PILOTES pour
prendre la responsabilité de contacter ce pilote et entreprendre toute action ultérieure.

L’ASSOCIATION DES PILOTES rappellera à ce pilote que la SIN X contient l’avertissement


suivant : « Si un membre du personnel ne signale pas un incident lié à la sécurité qu’il a causé ou
découvert, il s’exposera à des mesures disciplinaires complètes. »

5. CLÔTURE DU DOSSIER

La plupart des événements découverts via le PROGRAMME FDA ne sont pas suffisamment graves
pour justifier des mesures de suivi et sont donc automatiquement « clos ». Les événements
requérant des mesures de suivi sont considérés comme « ouverts » et ne seront clos que lorsque
les mesures de suivi seront terminées.

LA COMPAGNIE tiendra un dossier de tous les événements nécessitant des mesures. Pour chacun
de ces événements, les mesures prises seront consignées, ainsi que la date de clôture. Ce dossier
sera conservé dans la base de données du PROGRAMME FDA en regard de l’événement même.

Aucun document n’en sera conservé dans les dossiers des pilotes.

Une lettre sera envoyée par la direction de la flotte à chaque pilote ayant participé aux mesures de
suivi, à moins que la mesure de suivi se soit limitée à un débriefing par téléphone réalisé par le
représentant de L’ASSOCIATION DES PILOTES pour un événement unique. Cette lettre mentionnera
le problème d’origine, la discussion qui a eu lieu et/ou la mesure prise et le résultat escompté.

Cette lettre ne sera pas adressée au nom du pilote mais sera remise à L’ASSOCIATION DES
PILOTES pour transmission au pilote concerné.

Contenu du dossier repris dans la BASE DE DONNÉES DU PROGRAMME FDA (FPD) :

Les éléments suivants seront repris dans les fichiers de la FPD en regard de l’événement même :

a) un compte rendu de tout débriefing téléphonique réalisé par L’ASSOCIATION DES


PILOTES ;
16-APP 3-6 Manuel de gestion de la sécurité (MGS)

b) un compte rendu de tout débriefing réalisé par la direction de la flotte ;

c) une copie de toute lettre envoyée au pilote ;

d) un compte rendu de tout recyclage donné au pilote ;

e) tout autre document pertinent.

Le dossier ne contiendra rien qui puisse permettre d’identifier le pilote par son nom.

Publicité du dossier et identité du pilote :

Le niveau d’accès de la direction des opérations aériennes à la FPD révélera uniquement qu’une
action est « ouverte » ou « close » pour chaque événement — le dossier de l’action réelle n’est pas
visible. Il est impossible de relier les événements à un vol ou à un pilote particulier.

Le niveau d’accès du directeur des opérations aériennes du PROGRAMME FDA à la FPD révélera
les actions réelles menées et permettra d’associer un pilote, par son numéro de PROGRAMME
FDA à 5 chiffres, à cet événement. L’identité réelle du pilote n’est pas disponible.

L’accès du représentant de L’ASSOCIATION DES PILOTES à la FPD est le même que celui du
directeur des opérations aériennes du PROGRAMME FDA, mais le représentant de L’ASSOCIATION
DES PILOTES dispose en outre d’un disque de décodage afin d’identifier un pilote à partir de son
numéro de PROGRAMME FDA à 5 chiffres.

Il incombe au directeur des opérations aériennes du PROGRAMME FDA de détecter, dans un délai
raisonnable, les pilotes ayant plus d’une action mentionnée en regard de leur numéro de
PROGRAMME FDA à 5 chiffres et de signaler ce fait à la flotte.

6. DEMANDE DE DONNÉES LIÉES À LA SÉCURITÉ (SDR)

Les données de vol relatives aux 15 premières et 15 dernières minutes de chaque vol sont enre-
gistrées dans une base de données appelée SDR. Ces données sont disponibles pour consultation
par un directeur des opérations aériennes si et seulement si :

a) un ASR a été déposé pour cette portion de ce vol, ou

b) le commandant de bord de ce vol a donné sa permission explicite pour que ces données
soient consultées.

Pour pouvoir consulter les données dans la SDR, le directeur des opérations aériennes doit
indiquer, dans la SDR même, la raison de la consultation de ces données. Cette raison est
enregistrée dans chaque cas et les représentants de L’ASSOCIATION DES PILOTES peuvent
consulter ces enregistrements.

7. CONSERVATION DES DONNÉES

Pour chaque événement détecté par le PROGRAMME FDA, la FPD enregistre les données de vol
brutes qui peuvent être consultées sous forme de traces ou d’animations des instruments. En outre,
la FPD enregistre des renseignements, non consultables par la direction des opérations aériennes,
Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-7

qui identifient le vol (date et immatriculation) et le pilote (par son numéro de PROGRAMME FDA à
5 chiffres).

Ces données et renseignements sont nécessaires pour analyser l’événement et pour suivre, de
façon anonyme pendant un certain temps, les taux d’événements des différents pilotes.

Par ailleurs, la SDR enregistre quelques données de vol brutes de chaque vol, comme le décrit la
Section 6 ci-dessus.

LA COMPAGNIE ne conservera pas ces données plus longtemps que nécessaire et effacera en
tout cas toutes les données de vol et tous les moyens d’identifier les vols et les équipages dans les
deux ans suivant le vol.

Pour les vols de plus de deux ans, la base de données du PROGRAMME FDA (FPD) conservera
un fichier des événements du PROGRAMME FDA dont toutes les données d’identification du vol et
de l’équipage auront été supprimées.

8. ACCÈS DES REPRÉSENTANTS DE L’ASSOCIATION DES PILOTES


AUX INFORMATIONS CONFIDENTIELLES

Pour remplir les obligations découlant du PROGRAMME FDA, le représentant de L’ASSOCIATION


DES PILOTES devra avoir accès à des informations qui sont confidentielles pour LA COMPAGNIE
et peuvent relever de la Loi sur la protection des données relatives à la vie privée. Un représentant
désigné devra signer un accord de confidentialité qui précise les conditions auxquelles les infor-
mations reçues de LA COMPAGNIE peuvent être utilisées. S’il enfreint les clauses de cet accord, il
sera suspendu de ses fonctions au sein du groupe du PROGRAMME FDA et pourra faire l’objet de
procédures disciplinaires de la part de LA COMPAGNIE.

Pour contacter le membre d’équipage concerné par un événement détecté par le PROGRAMME
FDA (voir Section 4), le représentant de L’ASSOCIATION DES PILOTES aura besoin de :

— l’identification du vol (date, immatriculation et numéro de vol) ;

— la capacité d’identifier l’équipage de ce vol et la manière de le contacter ;

— une copie électronique des données de vol et un moyen de les consulter.

LA COMPAGNIE fournira à chaque représentant de L’ASSOCIATION DES PILOTES un ordinateur


portable sur lequel des logiciels auront été préinstallés, afin de répondre aux exigences suivantes :