Partie VIII.

Accidents et gestion de la sécurité English

Chapitre 57 - Les audits, les inspections et les enquêtes

LES AUDITS DE SÉCURITÉ ET DE MANAGEMENT
Johan Van de Kerckhove

Durant les années quatre-vingt-dix, les facteurs organisationnels ont pris une importance croissante dans le
management de la sécurité. Parallèlement, les vues des entreprises concernant la sécurité ont considérablement
évolué. Les spécialistes, dont la plupart ont une formation technique, sont ainsi confrontés à une double tâche.
D’une part, ils doivent comprendre les aspects organisationnels des problèmes qu’ils rencontrent et les intégrer
dans les programmes de prévention. D’autre part, il leur faut tenir compte du fait que la conception de la sécurité
dans les entreprises est de moins en moins confinée aux facteurs matériels et met clairement l’accent sur des
facteurs moins tangibles et moins quantifiables comme la culture d’entreprise, la modification des comportements,
la responsabilisation et la participation active. La première partie du présent article résume l’évolution des
opinions concernant les modes d’organisation, la gestion, la qualité et la sécurité. La deuxième partie étudie les
incidences de cette évolution sur les systèmes d’audit. L’article conclut par un exemple de système d’audit de la
sécurité fondé sur la norme ISO 9001 (ISO, 1994).

L’évolution des opinions en matière d’organisation et de sécurité

La modification du contexte socio-économique

La crise économique qui a frappé le monde occidental en 1973 a exercé une profonde influence sur les concepts et
les méthodes en matière de gestion, de qualité et de sécurité du travail. Le développement économique des
entreprises s’articulait jusque-là autour de l’expansion des marchés, de la promotion des exportations et de
l’accroissement de la productivité. Toutefois, ces trois éléments ont peu à peu perdu de leur importance au profit de
la réduction des pertes et de l’amélioration de la qualité. Pour gagner des clients et les conserver, une réponse plus
directe a été apportée à leurs exigences et à leurs attentes. Il a fallu offrir des gammes de produits plus larges et, par
conséquent, introduire davantage de souplesse dans les modes d’organisation afin de pouvoir s’adapter très
rapidement aux fluctuations du marché. L’accent a été mis sur l’engagement et la créativité du personnel, deux
avantages concurrentiels majeurs dans la bataille économique. L’élévation du niveau de la qualité et l’élimination
des activités non rentables sont devenues deux moyens importants d’améliorer les résultats d’exploitation.

Les spécialistes de la sécurité ont joué un rôle dans cette stratégie en définissant et en mettant en œuvre des
programmes de maîtrise des pertes totales. Ces programmes font une large place aux coûts directs des accidents et à
l’augmentation des primes d’assurance, mais aussi à l’ensemble des pertes et des coûts indirects qui peuvent être
évités. L’étude de l’augmentation en termes réels de la production nécessaire pour compenser ces pertes fait
immédiatement apparaître que la réduction des coûts est plus efficace et plus rentable que l’accroissement de la
production.

Dans ce contexte de recherche d’une meilleure productivité, les entreprises s’efforcent depuis peu de tirer parti des
avantages qu’offrent la réduction de l’absentéisme pour cause de maladie et la motivation du personnel. Dans le
prolongement de ces évolutions, la politique de sécurité des entreprises revêt de plus en plus fréquemment d’autres
formes et suit d’autres orientations. Dans le passé, les chefs de grandes entreprises considéraient pour la plupart la
sécurité comme une simple obligation légale, une contrainte qu’ils s’empressaient de déléguer à des techniciens.
Aujourd’hui, il est clair que la politique de sécurité est considérée comme un moyen d’atteindre les deux objectifs de
réduction des pertes et d’optimisation de la stratégie dans les entreprises. La sécurité est donc en passe de devenir
un indicateur fiable de la performance d’une entreprise dans ces deux domaines. Pour mesurer les progrès
accomplis, une attention croissante est accordée aux audits de gestion et de sécurité.

La théorie des organisations

Les conditions économiques n’ont pas été les seules à ouvrir de nouveaux horizons aux chefs d’entreprise. De
nouvelles approches de l’organisation, de la qualité et de la sécurité sont à l’origine de profonds changements. En
matière d’organisation, la théorie proposée dans l’ouvrage de Peters et Waterman (1982) a marqué un tournant. Cet
ouvrage s’appuyait déjà sur les idées que Pascale et Athos (1980) avaient découvertes au Japon. Cette nouvelle
conception de l’organisation peut être symbolisée, dans une certaine mesure, par le modèle des «7-S» de McKinsey
(dans Peters et Waterman, 1982). Aux trois axes de management classiques que sont la stratégie, la structure et les
systèmes, les entreprises ajoutent aujourd’hui trois aspects supplémentaires: les ressources humaines, les
compétences et le style. Ces six éléments sont interactifs et articulés autour de l’élément central du modèle (le
septième «S»), à savoir les objectifs supérieurs de l’entreprise (voir figure 57.1). Cette démarche met clairement
l’accent sur les aspects humains de l’entreprise.

Figure 57.1 Les valeurs, la mission et la culture d'une entreprise selon le modèle des
«7-S» de McKinsey

Les développements fondamentaux peuvent être illustrés à l’aide du modèle de Scott (1978), également utilisé par
Peters et Waterman (1982). Ce modèle s’appuie sur deux catégories de démarches:

1. Les démarches en circuit fermé, qui refusent toute influence extérieure. Ce sont des approches mécaniques,
dans lesquelles les objectifs de l’entreprise sont clairement définis et peuvent être atteints de manière logique
et rationnelle.
2. Les démarches ouvertes, qui intègrent toutes les influences extérieures; les objectifs de l’entreprise sont alors
le résultat de divers processus dans lesquels des facteurs irrationnels influencent la prise de décisions. Ces
approches reflètent plus fidèlement l’évolution d’une entreprise, qui n’est plus déterminée mathématiquement
ou par une logique déductive, mais se développe organiquement à partir des hommes, de leurs interactions et
de leurs valeurs (voir figure 57.2).

Figure 57.2 Théories des organisations

Quatre champs sont ainsi créés dans la figure 57.2. Deux d’entre eux (taylorisme et démarche conjoncturelle) sont
mécaniquement fermés et les deux autres (relations humaines et développement organisationnel) organiquement
ouverts. La théorie du management a considérablement évolué, passant du modèle basé sur la division rationnelle
et autoritaire du travail (taylorisme) à un modèle organique axé sur la gestion des ressources humaines.

L’efficacité et la rentabilité de l’entreprise sont plus clairement liées dès lors à une gestion stratégique optimale, à
une structure organisationnelle horizontale et à des systèmes qualité performants. Par ailleurs, on accorde
aujourd’hui plus de place aux objectifs supérieurs et aux valeurs fondamentales qui renforcent la cohésion au sein
de l’entreprise, comme les compétences (facteur de différenciation par rapport aux concurrents), la motivation du
personnel, la créativité et la flexibilité encouragées par l’engagement et la responsabilisation des travailleurs. Dans
les approches ouvertes de ce genre, un audit de management ne saurait se borner à examiner les caractéristiques
formelles ou structurelles de l’organisation: il doit aussi analyser les méthodes afin d’identifier les éléments moins
tangibles et mesurables liés à la culture de l’entreprise.

Du contrôle des produits au management total de la qualité (TQM)

Dans les années cinquante, le contrôle de la qualité se limitait à une vérification a posteriori des produits finis dans
le cadre de la maîtrise totale de la qualité (TQC). Dans les années soixante-dix, en partie sous l’influence de
l’Organisation du Traité de l’Atlantique Nord (OTAN) et du constructeur automobile Ford, l’accent a plutôt été mis
sur ce que l’on a appelé l’assurance totale de la qualité (TQA) dans le processus de production. Il a fallu attendre la
décennie quatre-vingt pour que l’on s’intéresse, devant le succès des techniques japonaises, à la qualité de
l’ensemble du système de management, qui a donné naissance au management total de la qualité (TQM). Ce
changement radical dans l’approche de la gestion de la qualité est intervenu d’un seul coup, dans le sens où chaque
étape était immédiatement intégrée à la suivante. Il est également évident que si le contrôle qualité a posteriori est
plus étroitement lié au concept tayloriste de l’organisation du travail, l’assurance qualité est davantage associée à
une approche sociotechnique dont le but est de ne pas trahir la confiance du client (extérieur). Le TQM s’inscrit
dans le droit-fil d’un mode d’organisation basé sur les ressources humaines, car le but visé n’est plus seulement
l’amélioration du produit, mais l’amélioration continue de toutes les facettes de l’organisation dans laquelle les
travailleurs tiennent une place spécifique.

Le leadership total de la qualité (TQL) — démarche proposée par la Fondation européenne pour le management par
la qualité (European Foundation for Quality Management (EFQM)) — met fortement l’accent sur l’impact égal qu’a
l’organisation sur le client, les travailleurs et la société en général, avec l’environnement en point de mire. Les
objectifs correspondants peuvent être atteints en intégrant des concepts comme ceux de «leadership» et de «gestion
des ressources humaines».

Il est clair qu’il existe aussi une très sensible différence d’échelle entre l’assurance qualité telle qu’elle est décrite
dans les normes de l’Organisation internationale de normalisation (ISO) et la démarche TQL de la EFQM.
L’assurance qualité ISO est une version élargie et améliorée du contrôle qualité classique, qui porte non seulement
sur les produits et les clients internes, mais aussi sur l’efficacité des procédés techniques mis en œuvre. Le contrôle
a pour objectif de vérifier le respect des procédures définies dans les normes ISO. Le TQM, de son côté, vise à
répondre aux attentes de tous les clients, internes et externes, mais aussi de tous les processus de l’entreprise, y
compris les processus administratifs et ceux qui touchent les hommes de plus près. La participation, l’engagement,
la motivation et la créativité du personnel sont des aspects fondamentaux de cette démarche.

De l’erreur humaine à la sécurité intégrée

L’évolution des démarches en matière de sécurité et de qualité est très similaire. De l’analyse a posteriori des
accidents, on est passé à la prévention des accidents dans une perspective plus globale. La sécurité est envisagée
désormais dans le contexte de la maîtrise des pertes totale, afin d’éviter les pertes de toute nature par une gestion
de la sécurité associant les hommes, les procédés, les matières, les équipements, les installations et les conditions de
travail. La sécurité se concentre dès lors sur la gestion de tous les processus susceptibles d’occasionner des pertes.
Au premier stade de la définition de la démarche de sécurité, l’accent a été mis sur le concept d’erreur humaine . Les
travailleurs se voyaient attribuer une large part de responsabilité dans la prévention des accidents du travail.
Inspirées par une philosophie tayloriste, des conditions et des procédures ont été définies et un système de contrôle
a été établi pour assurer le respect des règles de comportement prescrites. Cette philosophie peut se traduire dans
les pratiques de sécurité modernes au travers des concepts des normes ISO de la série 9000 (ISO, 1993-1997); elle
crée une sorte de sentiment indirect de culpabilité implicite chez les travailleurs, avec tous les effets négatifs que
cela suppose pour la culture d’entreprise; on risque ainsi de voir se dessiner une tendance qui fera obstacle à la
performance au lieu de la promouvoir.

Les accidents du travail étaient considérés comme le résultat d’une conjonction de facteurs dans un système
associant les hommes, les machines et les conditions de travail, système dans lequel l’accent était mis sur une
approche technico-systémique . On retrouve ici, une fois de plus, l’analogie avec l’assurance qualité qui accorde la
primauté au contrôle des processus techniques par des méthodes comme la maîtrise statistique des procédés. Par la
suite, on a reconnu que les travailleurs s’acquittaient de leurs tâches dans des conditions et avec des moyens
spécifiques.

C’est depuis peu seulement, et en partie sous l’influence de la philosophie TQM, que les pratiques de sécurité se sont
orientées vers une approche socio-systémique , étape logique dans l’amélioration de la prévention. Il ne suffit pas,
pour optimiser un système hommes/machines/environnement, de rendre sûrs les machines, les installations et les
outils par une politique de prévention bien structurée: il faut aussi garantir la sûreté des processus techniques et
mettre en place un système de maintenance préventive. Par ailleurs, il est essentiel que les employés soient
suffisamment formés, compétents et motivés pour être capables d’atteindre les objectifs fixés en matière de sécurité
et de santé. Dans la société moderne, le taylorisme n’est plus adapté à cette fin, car un retour d’information positif
est beaucoup plus motivant qu’un système de contrôle répressif qui n’a souvent que des effets négatifs. Le
management moderne appelle une culture d’entreprise ouverte et motivante, dans laquelle l’ensemble des acteurs
participent activement à la réalisation des objectifs communs par une démarche de travail en équipe. Dans une
culture de sécurité , la sécurité fait véritablement partie des objectifs de l’entreprise; elle est donc totalement
intégrée aux tâches et s’étend à toute la pyramide hiérarchique, du sommet à la base.

La sécurité intégrée

Le concept de sécurité intégrée comprend un certain nombre de facteurs fondamentaux, dont les plus importants
sont les suivants:

Engagement clair et visible de l’équipe dirigeante . Il ne suffit pas que cet engagement soit exprimé par écrit, il doit
aussi se traduire concrètement et toucher la base de la pyramide hiérarchique.

Participation active de la hiérarchie et des services centraux . Veiller à la sécurité, à la santé et au confort fait partie
intégrante des tâches de chacun des acteurs du processus de production. Cette préoccupation doit également se
retrouver en filigrane dans la politique du personnel, la maintenance préventive, le développement des produits et
les relations avec les tiers.

Participation sans réserve du personnel. Les travailleurs sont des partenaires à part entière, avec lesquels une
communication franche et constructive est possible dès lors que leur contribution est pleinement prise en compte.
En effet, la participation du personnel est cruciale pour mettre en œuvre la stratégie de l’entreprise et sa politique
de sécurité de manière efficace et gratifiante.

Profil adéquat pour le spécialiste de la sécurité . Le responsable de la sécurité n’est plus le technicien-homme à tout
faire qu’il était autrefois, mais un conseiller qualifié de la direction qui se consacre plus particulièrement à
optimiser les règles et le système de sécurité. La formation technique ne suffit plus; il faut désormais une personne
qui, en tant qu’organisateur, soit capable de communiquer efficacement avec les différents acteurs de l’entreprise et
de collaborer en créant des synergies avec d’autres spécialistes de la prévention.

Une culture de sécurité proactive . L’élément essentiel d’une politique de sécurité intégrée est une culture proactive
fondée notamment sur les principes suivants:

La sécurité, la santé et de bonnes conditions de travail sont les bases du système de valeurs d’une entreprise et
des objectifs qu’elle se propose d’atteindre.
La transparence, la confiance mutuelle et le respect d’autrui sont la règle.
La coopération est très développée, l’information circule bien et il existe un niveau de coordination approprié.
Une politique proactive est mise en œuvre avec un système dynamique d’amélioration continue guidé par le
concept de prévention.
La promotion de la sécurité, de la santé et du bien-être est un facteur clé de la prise de décisions, de la
coopération et du travail d’équipe.
Lorsqu’un accident du travail survient, on se préoccupe des mesures de prévention à adopter et non de
trouver un bouc émissaire.
Le personnel est encouragé à agir de sa propre initiative afin d’acquérir de l’autorité, de la compétence et de
l’expérience et de pouvoir ainsi intervenir de manière judicieuse dans les situations imprévues.
Des programmes sont mis en place pour promouvoir, dans toute la mesure possible, la formation individuelle
et collective.
Des discussions sur des objectifs réalistes concernant la sécurité, la santé et le bien-être sont organisées
régulièrement.

Les audits de sécurité et de management

Description générale

Les audits de sécurité sont une forme d’analyse et d’évaluation des risques consistant en une étude systématique
des conditions susceptibles de permettre le développement et la mise en œuvre de pratiques de sécurité efficaces.
Un audit passe simultanément en revue les objectifs à atteindre et les critères les plus susceptibles d’en assurer la
réalisation.

Chaque audit devrait, en principe, apporter une réponse aux questions suivantes:

Quels objectifs la direction souhaite-t-elle atteindre? Par quels moyens et par quelle stratégie?
Quels sont les moyens, ressources, structures, méthodes, règles et procédures nécessaires pour atteindre ces
objectifs et qu’a-t-on prévu à cette fin? Quel programme minimal peut-on envisager?
Quels sont les critères opérationnels et mesurables qui doivent être satisfaits par les éléments choisis pour
permettre au système de fonctionner de manière optimale?

Les informations rassemblées seront analysées de près afin de déterminer dans quelle mesure la situation présente
et ce qui a déjà été fait correspondent aux critères définis. Un rapport soulignera les points forts et mettra en
évidence les aspects qui doivent encore être améliorés.

Les audits et les stratégies de changement

Tout audit exprime, explicitement ou implicitement, une image de l’organisation idéale et propose la meilleure
façon de mettre en œuvre les améliorations souhaitées.

Bennis, Benne et Chin (1985) distinguent trois stratégies de changement, basée chacune sur une vision différente
des individus et des moyens d’influer sur leur comportement:

Les stratégies répressives , qui partent du principe que l’on peut contraindre les employés à changer de
comportement en leur imposant des sanctions.
Les stratégies rationnelles empiriques , selon lesquelles les individus font des choix rationnels en fonction du
bénéfice maximal qu’ils peuvent en tirer.
Les stratégies normatives-rééducatives qui, considérant que les individus sont irrationnels et émotifs, appellent
à tenir compte de leur sens des valeurs, de leurs caractéristiques culturelles, de leurs attitudes et de leurs
aptitudes sociales pour induire un vrai changement.

Savoir quelle stratégie est la mieux adaptée à une situation particulière dépend non seulement de la vision de
départ, mais aussi de la situation existante et de la culture prévalente de l’entreprise concernée. Il est capital de
savoir sur quel type de comportement il faut influer. Le célèbre modèle conçu par un spécialiste du risque, le
Danois Rasmussen (1988), distingue trois catégories de comportement:

Les actes routiniers (comportement machinal) , exécutés de manière pratiquement automatique. Ce sont des
gestes acquis, effectués sans réflexion préalable, comme de changer de vitesse en conduisant.
Les actes répondant à des consignes (comportement procédural) , nécessitent une activité mentale consciente,
car il n’y a pas de réponse automatique à un signal; l’opérateur doit se conformer aux instructions données. Ce
sont souvent des actes qui sont exécutés en réponse à une séquence du type «si... alors». Par exemple: «Si
l’aiguille du manomètre atteint 50, cette vanne doit être fermée».
Les actes fondés sur la connaissance, la réflexion et la perspicacité (comportement cognitif) , exécutés après
une interprétation réfléchie des divers signaux, un diagnostic et la prise en compte des différentes options
possibles. Ces actes supposent donc une très bonne connaissance du processus considéré et l’aptitude à
interpréter des signaux inhabituels.

Les strates des changements de comportement et d’attitudes culturelles

On est amené à considérer que les systèmes d’audit (y compris ceux fondés sur les normes ISO) étaient inspirés
souvent de stratégies répressives ou rationnelles empiriques mettant l’accent sur les automatismes et les
procédures. Ces systèmes n’accordent pas suffisamment d’attention au comportement cognitif, qui peut être modifié
essentiellement par des stratégies normatives-rééducatives. Dans la typologie de Schein (1989), l’attention se
concentre exclusivement sur les manifestations visibles, tangibles et conscientes de la culture d’entreprise, au
détriment de sentiments plus profonds, cachés et inconscients, davantage liés à des valeurs et à des postulats
fondamentaux.

De nombreux systèmes d’audit se bornent à déterminer s’il existe telle ou telle disposition ou procédure dans
l’entreprise, ce qui revient à supposer que l’existence de cette disposition ou de cette procédure suffirait à garantir
le bon fonctionnement du système. Or, un système d’audit digne de ce nom doit prendre en considération d’autres
«strates» (niveaux de réponse probable) s’il veut réunir des données suffisantes et fournir des garanties d’efficacité.

A titre d’exemple, examinons ce qui peut se passer en cas d’incendie:

Il existe une consigne, une instruction ou une procédure spécifique («déclencher l’alarme et utiliser
l’extincteur», par exemple).
La consigne, l’instruction ou la procédure est connue de tous les intéressés (les travailleurs savent où sont
situés les signaux d’alarme et les extincteurs et en connaissent le maniement).
Les intéressés connaissent aussi les raisons d’être de telle ou telle mesure (les travailleurs ont appris à manier
les extincteurs et à reconnaître les différents types de feux).
Les travailleurs savent pourquoi ils doivent prendre les mesures nécessaires (se protéger, sauver leur emploi,
etc.).
Motivation, compétence et capacité sont présentes pour permettre d’intervenir dans des circonstances
imprévues (les travailleurs savent ce qu’ils doivent faire si l’incendie ne peut pas être maîtrisé et exige
l’intervention de sapeurs-pompiers professionnels).
Les relations humaines sont bonnes et la communication est franche (les dirigeants, les cadres et les employés
ont étudié conjointement les procédures d’urgence).
Les leçons de chaque incident sont tirées et les consignes et procédures sont modifiées à la lumière des
enseignements de chaque situation.
Le tableau 57.1 présente certaines des strates dans les pratiques en matière de qualité et de sécurité.

Tableau 57.1 Strates de la démarche qualité et sécurité

Stratégies Comportement
Machinal Procédural Cognitif
 Répressive Erreur
humaine
Taylorisme
TQC
Rationnelle- Méthodes et
empirique techniques
Système
Pellenberg
TQA
ISO 9000
(1993-1997)
Normative- Sociale Culture de
rééducative TQM sécurité
Système
Pellenberg
EFQM

Le système d’audit de Pellenberg

Le système d’audit de Pellenberg (Pellenberg-Audit-System (PAS )) tire son nom de l’endroit où il a été mis au point, à
savoir le château Maurissens à Pellenberg, propriété de l’Université catholique de Louvain. Il est le fruit d’une
intense collaboration au sein d’une équipe pluridisciplinaire d’experts ayant une longue expérience pratique de la
gestion de la qualité, de la sécurité et des conditions de travail et qui ont comparé un éventail de démarches et de
méthodes. L’équipe a également reçu le soutien des services scientifiques et de recherche de l’Université,
bénéficiant ainsi des dernières connaissances dans les domaines du management et de la culture d’entreprise.

Le système d’audit de Pellenberg rassemble les critères que doit réunir un système de prévention performant (voir
tableau 57.2). Ces critères sont classés selon le système ISO (assurance qualité dans la conception, le développement,
la fabrication, l’installation et la maintenance). Toutefois, le système ne se contente pas d’appliquer les normes ISO
à la sécurité, à la santé et au bien-être: il s’inspire d’une philosophie nouvelle visant à associer sécurité et
satisfaction au travail. Le contrat du système ISO est remplacé par la mention des dispositions réglementaires et des
attentes des partenaires sociaux en ce qui concerne la sécurité, la santé et le bien-être. La création d’emplois
gratifiants et sans danger pour les travailleurs est considérée comme un objectif essentiel de chaque entreprise
dans le cadre de ses responsabilités sociales. L’entreprise fournit du travail et les travailleurs sont ses clients.

Tableau 57.2 Eléments du système d'audit de sécurité de Pellenberg

Eléments de l’audit Correspondance

avec la norme
ISO 9001 (1994)
1. Responsabilité de la direction
1.1. Politique de sécurité 4.1.1.
1. 2. Organisation
1.2.1. Responsabilité et autorité 4.1.2.1.
1.2.2. Personnel et moyens de vérification 4.1.2.2.
1.2.3. Service de sécurité et de santé 4.1.2.3.
1.3. Examen du système de gestion de la 4.1.3.
sécurité
2. Système de gestion de la sécurité 4.2.
3. Obligations 4.3.
4. Contrôle en conception
4.1. Généralités 4.4.1.
4.2. Planification des études et du 4.4.2.
développement
4.3. Critères de conception 4.4.3.
4.4. Produit de la conception 4.4.4.
4.5. Vérification de la conception 4.4.5.
4.6. Changements dans la conception 4.4.6.
5. Contrôle des documents
5.1. Approbation et distribution des 4.5.1.
documents
 5.2. Changements/modifications dans les 4.5.2.
documents
6. Achats et contrats
6.1. Généralités 4.6.1.
6.2. Evaluation des fournisseurs et des 4.6.2.
sous-traitants
6.3. Critères d’achats 4.6.3.
6.4. Produits tiers 4.7.
7. Identification 4.8.
8. Contrôle des processus
8.1. Généralités 4.9.1.
8.2. Contrôle de la sécurité des processus 4.11.
9. Inspection
9.1. Contrôle à la réception et avant la 4.10.1.
mise en service 4.10.3.
9.2. Contrôles périodiques 4.10.2.
9.3. Dossiers de contrôle 4.10.4.
9.4. Matériel de contrôle 4.11.
9.5. Statut du contrôle 4.12.
10. Accidents et incidents 4.13.
11. Action corrective et préventive 4.13.
4.14.
12. Dossiers de sécurité 4.16.
13. Audits internes de sécurité 4.17.
14. Formation 4.18.
15. Maintenance 4.19.
16. Techniques statistiques 4.20.

Le système de Pellenberg intègre plusieurs autres éléments:

Au niveau stratégique , les principes et les exigences des normes ISO revêtent une importance particulière.
Dans toute la mesure possible, ils sont complétés par les concepts de management définis par la EFQM.
Au niveau tactique , les individus sont encouragés à rechercher les conditions nécessaires et suffisantes pour
atteindre le résultat souhaité en matière de sécurité, en appliquant la méthode déductive de l’arborescence des
risques.
Au niveau opérationnel , de multiples sources peuvent être utilisées, parmi lesquelles la législation, les
règlements et d’autres éléments comme le système international d’évaluation des méthodes de sécurité, qui
met l’accent sur certaines conditions pratiques propres à garantir le niveau de sécurité visé.

Le système de Pellenberg se réfère constamment à la politique générale de l’entreprise dont la sécurité fait partie
intégrante. En effet, une politique de sécurité optimale est à la fois le point de départ et le résultat d’une stratégie
d’ensemble proactive. Si l’on part du principe qu’une entreprise où la sécurité est assurée est aussi une entreprise
efficace et rentable et que la réciproque est vraie aussi, il convient d’apporter un soin particulier à l’intégration de
la politique de sécurité dans la politique générale de l’entreprise. Les principaux ingrédients d’une stratégie
proactive sont notamment une culture d’entreprise déclarée, un engagement à long terme, la participation active
des employés, un souci de qualité dans le travail et un système dynamique d’amélioration constante. Ces éléments
ne sont pas toujours faciles à concilier avec la démarche plus formelle et procédurale de l’ISO.

Il est incontestable que des procédures formelles et des résultats directement identifiables jouent un rôle important,
mais un système de sécurité efficace ne saurait être fondé sur ces seuls critères. Les résultats d’une politique de
sécurité dépendent des méthodes adoptées, des efforts mis en œuvre, du souci constant de progrès et, plus
spécialement, de l’optimisation des processus en vue de consolider les succès obtenus. Ces principes font partie
intégrante du système de Pellenberg qui accorde une importance particulière, entre autres choses, à l’amélioration
systématique de la culture de la sécurité.

L’un des principaux avantages du système est qu’il crée des synergies. En s’écartant de la démarche de l’ISO, les
différents axes d’approche deviennent immédiatement reconnaissables par les spécialistes du programme TQM. Il
existe des possibilités de synergie évidentes entre ces axes, car l’amélioration des méthodes de management est
l’élément clé dans chacun d’eux. Une stratégie d’approvisionnement rigoureuse, un système de maintenance
préventive performant, de bonnes méthodes de gestion, un style de management participatif et la promotion de
l’esprit d’initiative chez les travailleurs revêtent une importance capitale.
Les différents systèmes de sécurité sont organisés de manière analogue sur la base de principes tels que
l’engagement de la direction, la participation des cadres et du personnel et la contribution de divers spécialistes. Ils
contiennent aussi des instruments d’action analogues, comme la déclaration de politique de l’entreprise, les plans
d’action annuels, les méthodes d’évaluation et de contrôle, les audits internes et externes, etc. Le système de
Pellenberg va donc clairement dans le sens d’une collaboration efficace, génératrice d’économies et de synergies,
entre les divers intéressés.

Le système de Pellenberg n’est pas la voie la plus facile à suivre dans l’optique du court terme. Rares d’ailleurs sont
les dirigeants d’entreprise qui se laisseront séduire par un système qui fait miroiter des gains considérables,
rapidement et avec peu d’efforts. Toute stratégie solide repose sur une approche à long terme. Ce qui importe
vraiment, ce ne sont pas tant les résultats immédiats que la certitude que le processus adopté produira des résultats
durables non seulement dans le domaine de la sécurité, mais aussi dans les autres secteurs de l’entreprise. Dans
une telle optique, améliorer la sécurité contribuera également à consolider les emplois, à motiver les travailleurs, à
satisfaire la clientèle et à optimiser les résultats d’exploitation.

Résumé

La notion de progrès ininterrompu est un postulat fondamental de tout processus d’audit de sécurité qui vise à
produire des résultats durables dans la société rapidement évolutive d’aujourd’hui. La meilleure garantie d’un
programme dynamique de ce type est l’engagement sans réserve du personnel, qui progresse en même temps que
l’entreprise, car ses efforts sont systématiquement valorisés et qu’il a la possibilité de développer ses compétences
et de les mettre régulièrement à niveau.

L’ANALYSE DES RISQUES: LE MODÈLE DE CAUSALITÉ DES ACCIDENTS

Jop Groeneweg

Le présent article étudie le rôle des facteurs humains dans le processus de causalité des accidents, expose la nature
et l’efficacité des mesures de prévention qui permettent de contrôler les erreurs humaines et examine leur
application au modèle de causalité. Les erreurs humaines jouent un rôle important dans 90% au moins de tous les
accidents du travail. Des défaillances purement techniques et des circonstances matérielles imprévues peuvent
naturellement intervenir, mais les défaillances humaines demeurent la cause première. Les progrès réalisés dans la
conception et la fiabilité des machines font que la proportion des accidents dus aux erreurs humaines augmente
alors que le nombre d’accidents, en termes absolus, tend à diminuer. Ces mêmes erreurs sont également à l’origine
de nombre d’incidents qui, s’ils ne font pas de victime, entraînent néanmoins des pertes financières considérables.
A ces divers titres, la prévention de ces erreurs est un objectif majeur appelé à prendre une place de plus en plus
importante. Si l’on veut que les systèmes de gestion de la sécurité et les programmes d’identification des risques
soient efficaces, il est indispensable de pouvoir mettre en lumière le rôle du facteur humain en procédant à une
analyse rigoureuse des défaillances possibles.

La nature de l’erreur humaine

L’erreur humaine peut être considérée comme l’incapacité d’atteindre un objectif donné selon la procédure prévue,
par suite d’un comportement involontaire ou délibéré. Cet échec peut être imputable à l’une ou à plusieurs des
quatre raisons ci-après:

1. Le comportement involontaire:
l’action ne se déroule pas comme prévu (ratés);
l’action n’a pas été exécutée (lapsus).
2. Le comportement délibéré:
le plan original était inadapté (fautes);
le plan n’a pas été respecté (violations).

Le comportement humain, nous l’avons vu, peut être de trois types: machinal, procédural ou cognitif.

1. Le comportement machinal est inspiré par un ensemble d’actions réflexes programmées à l’avance. Il vise des
tâches routinières et répétitives ne comportant habituellement aucun retour d’information.
2. Le comportement procédural repose sur l’application de consignes générales simples pouvant être appliquées
dans des situations spécifiques. Les tâches consistent ici en des séquences relativement répétitives, exécutées
en général sans choix complexe entre plusieurs procédures. L’utilisateur conserve cependant parfois une
certaine latitude d’application.
3. Le comportement cognitif fait appel, dans les situations moins familières, à une activité mentale complexe
pour résoudre, après analyse et diagnostic, un problème nouveau.

Dans certains cas, l’expression limitation humaine serait plus appropriée que celle d’erreur humaine . Notons, en
passant, que la capacité de prévoir le comportement de systèmes complexes est elle aussi limitée (Gleick, 1987;
Casti, 1990).
Le modèle de Reason et Embrey — méthode générique de modélisation des erreurs (Reason, 1990) — tient compte
des mécanismes de correction des erreurs dans les comportements de type machinal, procédural ou cognitif. Il se
fonde sur la notion que le comportement quotidien est routinier. Il est l’objet d’un contrôle régulier mais, entre les
retours d’information successifs, il demeure complètement automatique. Aussi longtemps que le comportement est
machinal, l’erreur se traduit par un raté. Lorsque le retour d’information signale un écart par rapport à l’objectif
visé, une correction de type procédural intervient. Le problème rencontré fait l’objet d’un diagnostic à partir des
symptômes observés, et une consigne corrective est mise en œuvre en fonction de ce diagnostic. Lorsque la
consigne appliquée n’est pas la bonne, il y a faute.

Dans le cas d’une situation nouvelle, on fait appel à un comportement de type cognitif. Les symptômes sont étudiés
à la lumière de ce que l’on connaît du système et de ses composants. L’analyse peut aboutir à une solution dont la
mise en œuvre constitue un cas de comportement guidé par les connaissances et l’expérience. A ce niveau, toutes
les erreurs sont des fautes. Il y a violation lorsqu’une consigne est appliquée alors que l’on sait qu’elle ne convient
pas, lorsque l’opérateur estime pouvoir appliquer une autre consigne en pensant qu’elle permettra de gagner du
temps ou, éventuellement, qu’elle est mieux adaptée à la situation rencontrée, probablement exceptionnelle. Le
sabotage constitue une violation commise avec la volonté de nuire, mais il déborde le cadre du présent article.
Lorsqu’on tente d’éliminer les erreurs humaines, il convient de se demander si elles sont liées à un comportement
machinal, procédural ou cognitif. En effet, les remèdes à appliquer ne seront pas les mêmes dans tous les cas
(Groeneweg, 1996).

Comment influer sur le comportement humain

On entend souvent dire, à la suite d’un accident, que «la personne ne s’en est sans doute pas rendu compte sur le
moment, mais si elle n’avait pas fait telle ou telle chose, l’accident ne se serait pas produit». La prévention doit donc
agir essentiellement sur la fraction cruciale du comportement humain à laquelle cette remarque fait allusion. Dans
de nombreux systèmes de gestion de la sécurité, les solutions et les méthodes proposées visent à agir directement
sur le comportement. Il est rare toutefois qu’une entreprise évalue l’efficacité pratique de ces solutions et de ces
méthodes. Les psychologues se sont longuement penchés sur la meilleure façon d’influencer le comportement
humain. Nous allons passer en revue six moyens de contrôler l’erreur humaine et apprécier leur efficacité relative
sur le contrôle du comportement à long terme (Wagenaar, 1992) (voir tableau 57.3.)

Tableau 57.3 Six façons de promouvoir un comportement sûr et valuation de leur rentabilité

No Mode d’influence Coût Effet à Evaluation

long
terme
1 Ne pas chercher à changer les Elevé Faible Médiocre
comportements, mais créer un
système à l’abri des défaillances
humaines
2 Etablir et donner des consignes Faible Faible Moyen
3 Récompenser/sanctionner Modéré Moyen Moyen
4 Motiver et sensibiliser Modéré Faible Médiocre
5 Sélectionner du personnel qualifié Elevé Moyen Moyen
6 Modifier le milieu de travail Elevé Prononcé Bon

Ne pas chercher à changer les comportements, mais créer un système à l’abri des défaillances humaines

La première solution est de ne rien faire pour influencer le comportement des opérateurs, mais de concevoir l’unité
de travail ou le système de manière que, quoi que fasse un opérateur, ses actes n’aient pas de résultat indésirable. Il
faut reconnaître que grâce à la robotique et à l’ergonomie, les concepteurs ont sensiblement amélioré la convivialité
des installations et des matériels; il est toutefois quasiment impossible d’anticiper tous les comportements possibles
de leurs opérateurs. Il arrive même qu’un système réputé infaillible ou indéréglable incite les opérateurs à essayer
de trouver la faille. Enfin, il ne faut pas oublier que les concepteurs sont aussi des hommes et que tout système de ce
type, aussi bien conçu soit-il, peut comporter des lacunes (Petroski, 1992). En tout état de cause, l’avantage relatif de
cette option par rapport aux niveaux de risque existants reste marginal et elle peut conduire à des coûts de
conception et d’installation inacceptables.

Etablir et donner des consignes détaillées

Une autre solution consiste à donner, pour chaque tâche, des consignes à tous les opérateurs, afin que l’on puisse
contrôler leur comportement. Cette option nécessite un inventaire des tâches et un système de contrôle des
consignes complexe et difficile à mettre en place. Les comportements n’étant plus automatiques, les «ratés» et les
«lapsus» seront éliminés en bonne partie jusqu’à ce que les consignes, devenues routinières, s’avèrent moins
efficaces.
Il n’est pas très productif de dire aux opérateurs que leur travail est dangereux — la plupart le savent déjà
parfaitement. Ils feront de toute manière leurs propres choix en matière de risque, quoi que l’on puisse dire pour
les dissuader. Ils le feront soit pour rendre leur travail plus facile, soit pour gagner du temps, soit encore pour défier
l’autorité et, peut-être même, améliorer leurs perspectives de carrière ou obtenir une contrepartie financière.
Donner des consignes est simple et ne coûte pas très cher, et la plupart des entreprises le font au début d’un
chantier ou d’un nouveau travail. La méthode est cependant réputée peu efficace.

Récompenser/sanctionner

Bien que la méthode de la carotte et du bâton soit à la fois efficace et largement utilisée pour contrôler le
comportement humain, elle n’est pas sans poser des problèmes. Une récompense est surtout valable si celui qui en
est l’objet y attache du prix au moment où il la reçoit. D’un autre côté, sanctionner un «raté» involontaire ne sert à
rien. Ainsi, il est plus efficace d’améliorer la sécurité du trafic routier en modifiant les conditions matérielles de
circulation qu’en recourant à des campagnes d’information ou à des mesures répressives. Même si un individu sait
qu’il risque d’être pris, il ne changera pas nécessairement de comportement, car la possibilité demeure de
contrevenir aux règlements, tout comme le défi de pouvoir le faire impunément. Si les conditions de travail incitent
à commettre une infraction, les employés choisiront automatique-ment le comportement déviant, quelle que soit la
sanction qu’ils encourent. L’efficacité de cette démarche est donc relative, car elle n’a généralement que des effets à
court terme.

Motiver et sensibiliser

On croit parfois que les gens provoquent des accidents par manque de motivation ou inconscience du danger; c’est
faux, comme plusieurs études l’ont démontré (voir, par exemple, Wagenaar et Groeneweg, 1987). Même s’ils sont
capables de juger exactement le danger, ils ne se comportent pas toujours en conséquence (Kruysse, 1993). Les
accidents frappent aussi les gens les plus motivés et les plus sensibilisés à la sécurité. Il existe des méthodes
efficaces pour stimuler la motivation et l’attention; on y reviendra lorsqu’on parlera de modifier l’environnement.
Cette option est délicate à mettre en œuvre: s’il est difficile de stimuler des gens déjà motivés, il est en revanche très
facile de les démotiver.

Les programmes de motivation n’ont d’effets positifs que lorsqu’ils sont associés à des techniques de modification
du comportement, comme l’implication du personnel dans la gestion des tâches.

Sélectionner du personnel qualifié

La première réaction, après un accident, est souvent de l’attribuer à un manque de compétence. Avec le recul, les
circonstances de l’accident semblent évidentes et facilement évitables par une personne normalement intelligente
et suffisamment formée, mais cette impression est trompeuse: dans la réalité, les personnes concernées ne
pouvaient pas prévoir l’accident. Par conséquent, une formation plus poussée et une sélection plus rigoureuse
n’auront pas l’effet souhaité. Une formation de base est toutefois un préalable à la sécurité. Il faut lutter contre la
tendance qu’ont certaines entreprises à remplacer du personnel expérimenté par du personnel novice et
insuffisamment qualifié, car la complexité croissante des tâches exige le respect des consignes et une capacité de
réflexion qui, souvent, font défaut à ces employés moins bien payés.

Une formation poussée et la sélection des individus les plus qualifiés présentent l’inconvénient que le
comportement peut devenir automatique et que des ratés peuvent survenir. La sélection est un processus coûteux,
et ses résultats sont souvent médiocres.

Modifier le milieu de travail

La plupart des comportements traduisent une réaction à certains éléments du milieu de travail: horaires de travail,
attentes et exigences de la direction, etc. Toute modification apportée à ce milieu peut induire un changement de
comportement. Cependant, plusieurs problèmes doivent être résolus avant que l’on puisse atteindre ce résultat. Il
faut d’abord identifier les facteurs de perturbation, puis les contrôler; enfin, les dirigeants doivent se demander
quel a été leur rôle dans la création des facteurs négatifs.

Il est plus facile d’influer sur le comportement en instaurant des conditions de travail adéquates et en créant un
environnement favorable. Cela exige: 1) l’identification préalable des facteurs qui sont à l’origine d’un
comportement indésirable; 2) leur contrôle; et 3) l’analyse des décisions prises antérieurement par la direction
(Wagenaar, 1992; Groeneweg, 1996). Toutes ces conditions peuvent être réunies, comme on le verra plus loin. La
modification du comportement peut avoir des effets positifs importants, même si son coût est parfois élevé.

Le modèle de causalité des accidents

Pour mieux cerner les éléments contrôlables du processus de causalité des accidents, il faut savoir quelles sont les
boucles de retour d’information possibles dans un système d’information sur la sécurité. La figure 57.3 présente la
structure complète d’un tel système, grâce auquel on peut espérer parer aux erreurs humaines; c’est une version
remaniée du système proposé par Reason et coll. (1989).
 Figure 57.3 Un système d'information sur la sécurité

L’analyse des accidents

Il est de règle, après un accident, de mener une enquête, d’établir un rapport circonstancié et d’informer les
décideurs du rôle joué par les défaillances humaines. Heureusement, cette méthode est de moins en moins utilisée
dans les entreprises. Il est plus productif de déterminer les «perturbations opérationnelles» qui précèdent les
accidents et les incidents dangereux. Un accident peut être considéré comme une perturbation opérationnelle
suivie de conséquences plus ou moins sérieuses. Une simple sortie de route est une perturbation opérationnelle,
alors qu’un automobiliste tué parce qu’il n’avait pas attaché sa ceinture de sécurité est un accident. Dans bien des
cas, des dispositifs de sécurité ont été mis en place pour éviter qu’une perturbation opérationnelle devienne un
accident, mais il arrive qu’ils ne fonctionnent pas correctement ou qu’ils aient été rendus inopérants.

L’audit des actes indésirés

Nous qualifierons un acte erroné commis par un travailleur d’acte «indésiré» et non pas d’acte «dangereux», car
l’utilisation de ce second terme pourrait donner l’impression qu’il ne concerne que la sécurité personnelle, alors
qu’il peut aussi intéresser, par exemple, des problèmes environnementaux. Les actes indésirés sont parfois
enregistrés, mais des informations détaillées quant à la nature et aux raisons des ratés, des fautes et des violations
sont rarement portées à la connaissance des cadres supérieurs et des dirigeants.

Analyser l’état d’esprit du travailleur

Avant de commettre un acte indésiré, son auteur était dans un certain état d’esprit. Si les signes précurseurs de
nature psychologique — fébrilité, inquiétude, etc. — pouvaient être décelés à temps et maîtrisés, on pourrait éviter
dans bien des cas qu’ils ne débouchent sur un acte indésiré. Etant donné que les états d’esprit de ce genre sont
impossibles à contrôler de manière efficace, les signes précurseurs jouent après coup le rôle de «boîte noire» (voir
figure 57.3).

La typologie des défaillances

La case «types de défaillances générales» (TDG) de la figure 57.3 représente les mécanismes générateurs d’un
accident, à savoir les causes des actes et situations indésirés. Les actes de cette nature ne pouvant être directement
maîtrisés, il faut modifier l’environnement opérationnel. Cet environnement est déterminé par 11 mécanismes (voir
tableau 57.4) (aux Pays-Bas, l’expression «défaillances générales» existe déjà, mais dans un contexte complètement
différent; elle a trait à l’élimination des déchets sans risque pour l’environnement. Pour éviter toute confusion, on
utilise dans ce pays une autre expression, celle de facteurs de risques fondamentaux (Roggeveen, 1994).)

Tableau 57.4 Typologie des défaillances générales et définitions

Défaillances Définitions
générales
1. Conception Défaillances dues à une mauvaise conception de
l’ensemble de l’installation ou de certains de ses
éléments
2. Matériels Défaillances dues au mauvais état ou à
l’indisponibilité de machines ou d’outils
3. Procédures Défaillances dues à la mauvaise qualité des
procédures opérationnelles en termes d’efficacité,
de disponibilité et d’exhaustivité
4. Conditions Défaillances dues à la mauvaise qualité du milieu
génératrices d’erreurs de travail qui favorise les risques d’erreurs
5. Ordre et propreté Défaillances dues au désordre et à la saleté du lieu
de travail
6. Formation Défaillances dues à une formation ou une
expérience insuffisantes
7. Objectifs Défaillances dues à la mise en péril de l’hygiène et
incompatibles de la sécurité interne par diverses pressions: délais,
budget limité, etc.
8. Communication Défaillances dues à la mauvaise qualité ou à
l’absence de communication entre la direction, les
services et les salariés
9. Organisation Défaillances dues à la façon dont le projet est géré
et dont fonctionne l’entreprise
10. Gestion de la Défaillances dues à la mauvaise qualité des
maintenance procédures de maintenance en termes d’efficacité,
de disponibilité et d’exhaustivité
11. Moyens de défense Défaillances dues à la mauvaise qualité des
mesures de protection

La case TDG est précédée d’une case «décideurs», car c’est d’eux que dépend en grande partie la façon dont sont
gérées les défaillances. Il incombe au management de contrôler le milieu de travail en s’attachant aux 11 types de
défaillances mentionnés, ce qui lui permet d’exercer un contrôle indirect sur la survenue des erreurs humaines.

Ces TDG peuvent tous contribuer à un accident d’une manière souvent subtile, en favorisant des concours fâcheux
de circonstances et d’actions, en augmentant les risques d’actes indésirés par certains individus et en empêchant
que les événements en cours ne s’enchaînent pour aboutir à un accident.

Deux TDG appellent un commentaire: la gestion de la maintenance et les moyens de défense.

La gestion de la maintenance

La gestion de la maintenance associe des facteurs que l’on peut trouver dans d’autres TDG; il ne s’agit donc pas, à
proprement parler, d’un TDG spécifique. Cette gestion n’est pas fondamentalement différente des autres fonctions
de management. On peut néanmoins la traiter à part, car la maintenance joue un rôle important dans beaucoup
d’accidents et parce que c’est une fonction à part entière dans la plupart des entreprises.

Les moyens de défense

Il ne s’agit pas non plus dans ce cas d’un véritable TDG, car il n’a pas de lien avec le processus de causalité des
accidents. Ces moyens entrent en jeu après une perturbation opérationnelle; ils ne sont pas en soi à l’origine d’états
d’esprit ou d’actes indésirés, mais suivent un incident provoqué par l’action d’un ou de plusieurs TDG. S’il est vrai
qu’un système de gestion de la sécurité doit se concentrer sur les éléments de la chaîne de causalité des accidents
qui peuvent être maîtrisés avant et non après l’accident, la notion de moyens de défense peut néanmoins être
utilisée pour exprimer l’efficacité perçue des systèmes de sécurité après une perturbation et montrer pourquoi ils
n’ont pas permis d’empêcher l’accident.
Les décideurs ont besoin d’une structure qui leur permette de faire le lien entre un problème identifié et l’action
préventive. Les mesures prises au niveau des dispositifs de sécurité et des actes indésirés sont certes nécessaires,
mais elles ne seront jamais d’une totale efficacité. Se fier à ces dispositifs — qui constituent une dernière ligne de
défense — équivaut à se fier à des facteurs qui échappent en grande partie au contrôle des responsables. Ceux-ci ne
devraient pas essayer de gérer des dispositifs extérieurs incontrôlables, mais s’efforcer plutôt de rendre leur
entreprise plus sûre à tous les niveaux.

La mesure du degré de contrôle des erreurs humaines

Vérifier la présence des TDG dans une entreprise permettra aux enquêteurs d’identifier les forces et les faiblesses de
celle-ci. Munis de ces informations, il leur sera possible d’analyser les accidents, de pondérer leurs causes,
d’identifier les faiblesses structurelles de l’entreprise et d’y porter remède avant qu’elles ne provoquent un
accident.

L’analyse des accidents

La mission de l’enquêteur consiste à identifier les causes possibles d’un accident ou d’un incident dangereux et à les
répertorier par catégories. La fréquence d’apparition d’une cause dans un certain TDG donnera la mesure de son
importance relative dans l’entreprise. Pour ce faire, l’enquêteur utilise souvent une grille de recueil de données ou
un programme d’analyse informatisé.

Il est possible et souhaitable de combiner des profils à partir d’accidents successifs, mais semblables. Les
conclusions tirées d’une série d’enquêtes sur des accidents survenus dans un laps de temps relativement court sont
beaucoup plus fiables que celles résultant d’une étude où le profil a été établi sur la base d’un seul accident. Un
exemple de profil combiné est présenté à la figure 57.4, qui rassemble les données relatives à quatre accidents du
même type.

Figure 57.4 Profil d'un type d'accident

Certains TDG — conception, procédures, objectifs incompatibles — ont joué, on le voit, un rôle important dans ces
quatre accidents. Dans les accidents 1 et 2, c’est surtout la conception qui est en cause. Le maintien de l’ordre et de
la propreté, bien que majeur dans l’accident 1, est un problème mineur si l’on prend également en compte les
autres accidents. Il faudrait donc étudier une dizaine d’accidents semblables et en tirer un profil d’ensemble avant
de prendre des mesures correctives susceptibles d’ailleurs d’être coûteuses. On peut ainsi identifier les facteurs
contributifs et les classer ultérieurement dans différentes catégories de manière fiable (Van der Schrier, Groeneweg
et van Amerongen, 1994).

L’identification préalable des TDG

Il est possible d’identifier la présence de TDG de manière proactive, sans tenir compte des accidents et incidents
survenus. Il faut rechercher à cette fin les signes indicateurs de la présence de tel ou tel TDG. L’indicateur utilisé
peut être la réponse par oui ou par non à une question directe. Si la réponse donnée n’est pas correcte, elle révèle
une anomalie. On pourra demander par exemple: «Au cours des trois derniers mois, vous êtes-vous rendu à une
réunion qui avait été annulée?». Une réponse affirmative n’indique pas nécessairement un danger, mais elle est
révélatrice d’un TDG, en l’occurrence la communication. Toutefois, si plusieurs questions concernant un TDG donné
recueillent des réponses qui font apparaître une situation non satisfaisante, c’est le signe que les dirigeants
maîtrisent mal le problème.
Il est nécessaire, pour établir le profil de sécurité d’un système, de poser 20 questions pour chacun des 11 TDG. Les
réponses sont notées sur un barème allant de 0 (niveau de contrôle médiocre) à 100 (niveau de contrôle élevé). Le
score obtenu est comparé à la moyenne de l’industrie dans une certaine zone géographique. Un exemple
d’application de la méthode est donné dans l’encadré.

Niveau de contrôle des défaillances générales appartenant à la catégorie

«Communication» au sein de votre entreprise

Voici une liste de 20 questions auxquelles ont répondu les employés de plus de 250
entreprises d’Europe occidentale. Ces entreprises appartenaient à des branches
d’activité très différentes (chimie, raffineries de pétrole, bâtiment et génie civil,
etc.). Normalement, les questions sont adaptées en fonction du secteur d’activité.
La liste est un exemple destiné uniquement à montrer comment elle fonctionne
pour une catégorie donnée de défaillances. Elle ne contient que les questions qui
ont été jugées suffisamment «générales» pour s’appliquer à 80% au moins des
entreprises interrogées.

Dans la pratique, les employés doivent non seulement répondre aux questions,
mais aussi justifier leurs réponses. Il ne suffit pas de répondre «Oui», par exemple,
à la question «Au cours des quatre dernières semaines, avez-vous eu à appliquer
une procédure dépassée?». Il faut préciser de quelle procédure il s’agissait et dans
quelles conditions elle devait être appliquée. Cette obligation répond à deux
objectifs: obtenir des réponses plus fiables et apporter au management des
informations qu’il puisse exploiter.

Il faut faire attention lorsqu’on exprime un score en centiles. Dans la réalité,

chaque entreprise sera comparée à un échantillon représentatif d’entreprises
ayant un profil semblable et appartenant au même secteur d’activité économique,
et cela pour chacun des 11 types de défaillances générales. La distribution par
centiles a été calculée à partir de mai 1995 et varie quelque peu dans le temps.

Comment mesurer le «niveau de contrôle»

Répondez aux 20 questions posées tenant compte de la situation dans votre propre
entreprise et des délais qu’elles mentionnent. Certaines questions ne s’appliquent
peut-être pas à votre situation: dans ce cas, indiquez «n.p.». Si vous ne pouvez
répondre à une question, indiquez-le par un point d’interrogation (?).

Lorsque vous aurez répondu à toutes les questions, comparez vos réponses aux
réponses de référence. Chaque réponse «correcte» vaut 1 point.

Totalisez vos points. Calculez le pourcentage de réponses correctes en divisant le

nombre total de points par le nombre des questions auxquelles vous avez répondu
«Oui» ou «Non»; les réponses «n.p.» et «?» ne sont pas prises en compte. Le résultat
est un pourcentage compris entre 0 et 100.

La fiabilité du résultat peut être améliorée en augmentant le nombre des

personnes interrogées et en faisant la moyenne de leurs notes.

Vingt questions sur la catégorie de défaillances générales «Communication»

Réponses possibles: O = Oui; N = Non; n.p. = non pertinent; ? = ne sait pas.

1. Au cours des quatre dernières semaines, l’annuaire téléphonique interne

vous a-t-il fourni des informations incorrectes ou insuffisantes?
2. Au cours des deux dernières semaines, vos conversations téléphoniques ont-
elles été perturbées en raison du mauvais fonctionnement des installations?
3. Avez-vous reçu, durant la semaine écoulée, du courrier qui ne vous était pas
destiné?
4. Y a-t-il eu un audit interne ou externe, au cours des neuf derniers mois, sur la
circulation des documents dans votre service?
5. Est-ce que plus de 20% des informations que vous avez reçues au cours des
quatre dernières semaines étaient classées «urgentes»?
6. Au cours des quatre dernières semaines, avez-vous eu à travailler avec une
procédure difficile à comprendre (problèmes de rédaction, de terminologie,
etc.)?
7. Vous êtes-vous rendu, au cours des quatre dernières semaines, à une réunion
qui n’a pas eu lieu?
 8. Y a-t-il eu une journée pendant les quatre dernières semaines où vous avez
eu cinq réunions ou plus?
9. Y a-t-il une «boîte à idées» dans votre entreprise?
10. Vous a-t-on demandé au cours des trois derniers mois d’étudier un problème
qui s’est révélé déjà résolu?
11. Avez-vous, au cours des quatre dernières semaines, envoyé des informations
que leur destinataire n’a jamais reçues?
12. Au cours des six derniers mois, avez-vous reçu des informations concernant
des changements de stratégie ou de procédures plus d’un mois après leur
entrée en vigueur?
13. Les procès-verbaux des trois dernières réunions de sécurité ont-ils été
envoyés à votre direction?
14. Les représentants de la direction sont-ils restés au moins quatre heures sur
place lors de leur dernière visite du site?
15. Avez-vous dû travailler ces quatre dernières semaines avec des procédures
contenant des instructions contradictoires?
16. Avez-vous, au cours des quatre dernières semaines, reçu dans les trois jours
une réponse à une demande d’information que vous aviez formulée?
17. Les employés de votre entreprise parlent-ils des langues ou des dialectes
(langue maternelle) différents?
18. Plus de 80% des retours d’information que vous avez reçus de la direction au
cours des six derniers mois avaient-ils un «caractère négatif»?
19. Y a-t-il dans l’entreprise ou les ateliers, des endroits où il est difficile de
s’entendre à cause du bruit?
20. Au cours des quatre dernières semaines, y a-t-il eu une livraison de matériel
qui n’avait pas été commandé?

Réponses de référence:

1=N; 2=N; 3=N; 4=O; 5=N; 6=N; 7=N; 8=N; 9=N; 10=N; 11=N; 12=N; 13=O; 14=N;
15=N; 16=O; 17=N; 18=N; 19=O; 20=N.

Scores pour la catégorie «Communication»

Score en pour cent = (a/b) x 100

où a = nombre de réponses correctes

et b = nombre de réponses par «O» ou «N».

Votre score en Centile % Egal ou

% supérieur à
0-10 0-1 100 99
11-20 2-6 98 94
21-30 7-14 93 86
31-40 15-22 85 78
41-50 23-50 79 50
51-60 51-69 49 31
61-70 70-85 30 15
71-80 86-97 14 3
81-90 98-99 2 1
91-100 99-100

Les indicateurs sont choisis au hasard dans une base de données comportant plusieurs centaines de questions.
Chaque grille de recueil de données comprend des questions distinctes, celles-ci étant rédigées de manière à couvrir
tous les TDG. Une panne de machine, par exemple, peut être due à une pièce manquante ou à un organe
défectueux; ces deux facteurs doivent figurer dans la grille. La distribution des réponses à l’ensemble des questions
est connue et les grilles ont le même niveau de difficulté.

On peut dès lors comparer les scores obtenus avec différentes grilles, de même que ceux réalisés par différentes
entreprises ou différents services pendant une période déterminée. Des tests de validation détaillés ont été effectués
pour faire en sorte que toutes les questions de la base de données soient valables et indicatives du TDG à mesurer.
Des scores élevés indiquent un très bon niveau de contrôle. Un score de 70 signifie que l’entreprise fait partie du
tiers supérieur (100 moins 70) des entreprises comparables de sa catégorie. Si un score de 100 ne veut pas dire
nécessairement que l’entreprise maîtrise parfaitement un TDG donné, il indique néanmoins qu’elle est la meilleure
en ce qui concerne ce TDG.
La figure 57.5 illustre deux profils de système de sécurité. Les points faibles de l’entreprise 1, on le voit par les
colonnes du diagramme, sont les procédures, l’incompatibilité des objectifs, un milieu de travail propice aux
erreurs et le mode d’organisation; le score dans ces catégories est inférieur à la moyenne de l’industrie considérée,
comme le montre le grisé. Par contre, les scores concernant le maintien de l’ordre et de la propreté, le matériel, la
communication et les moyens de défense sont excellents. A première vue, cette entreprise est dotée de tous les
systèmes de sécurité et paraît sûre. Les scores de l’entreprise 2 (en grisé) correspondent exactement à ceux de la
moyenne de l’industrie. Cette entreprise ne présente pas de défaut majeur et, bien que ses scores relatifs au
matériel, au maintien de l’ordre et de la propreté, à la communication et aux moyens de défense soient plus faibles,
elle gère mieux que l’entreprise 1, dans l’ensemble, la composante facteur humain. Si l’on se réfère au modèle de
causalité des accidents, l’entreprise 2 est donc plus sûre que l’entreprise 1, bien que cela puisse ne pas être
nécessairement la conclusion à laquelle on aboutirait en comparant les deux organisations dans des audits de type
conventionnel.

Figure 57.5 Exemple de profils de sécurité d'un système

Si une entreprise était appelée à décider comment répartir ses ressources, les éléments ayant obtenu un score
inférieur à la moyenne devraient avoir la priorité. Toutefois, le fait que les autres éléments ont un score supérieur à
la moyenne ne veut pas dire que l’on peut réduire les ressources affectées à leur maintien, car ce sont
probablement ces ressources qui ont contribué aux bons résultats obtenus dans les domaines considérés.

Conclusion

Un tour d’horizon des travaux consacrés au facteur humain dans les accidents a permis de dégager six moyens
permettant d’influer sur le comportement humain. Un seul d’entre eux, la modification du milieu de travail pour
réduire le nombre de situations dans lesquelles les travailleurs sont susceptibles de commettre une erreur, a des
effets relativement positifs dans une entreprise bien organisée où beaucoup d’autres expériences ont déjà été
tentées. Les dirigeants devraient avoir le courage de reconnaître que des situations de ce genre existent et de
mobiliser les ressources né-cessaires pour opérer les changements requis. Les cinq autres moyens ne sont pas des
alternatives valables, car ils n’ont que peu ou pas d’effets et leur application est onéreuse.

«Maîtriser ce qui peut l’être» est la règle d’or de l’approche étudiée dans le présent article. Les différents TDG
doivent être identifiés, traités et éliminés. Les 11 TDG passés en revue représentent les 11 catégories de défaillances
qui peuvent intervenir dans le processus de causalité des accidents; sur ce nombre, 10 visent à prévenir des
perturbations de type opérationnel, et un (les moyens de défense) à empêcher qu’une ou que plusieurs
perturbations ne se transforment en accidents. L’élimination de l’impact des TDG a une incidence directe sur la
réduction des causes possibles d’accidents. Les questions des grilles de recueil de données sont destinées à évaluer
«l’état de santé» d’un TDG donné, tant d’un point de vue général que sous l’angle de la sécurité. Celle-ci est une
partie intégrante de l’activité productive; en d’autres termes, le travail doit être fait en respectant les règles. Cette
conception rejoint les nouvelles approches du management axées sur la qualité. L’existence de stratégies, de
procédures et d’outils de management n’est pas la préoccupation première de la gestion de la sécurité: la question
est bien plutôt de savoir si ces méthodes sont effectivement comprises, utilisées et respectées.

La démarche décrite dans le présent article met l’accent sur des facteurs systémiques et sur l’impact que les
décisions des dirigeants ne manquent pas d’avoir sur la sécurité du travail. Elle va à l’encontre de la croyance selon
laquelle les efforts devraient être axés sur les auteurs d’actes indésirés, sur leurs attitudes, leurs motivations et leur
perception du risque.

LES RISQUES MATÉRIELS

Carsten D. Groenberg

L’article traite des risques spécifiques liés au matériel, c’est-à-dire aux installations, machines et outillages utilisés
dans l’industrie: récipients sous pression, machines-outils, installations électriques et autres équipements
intrinsèquement dangereux. Il n’abordera pas les risques liés aux actes et au comportement des travailleurs: chutes
de hauteur ou de plain-pied, blessures occasionnées par des outils ordinaires, etc.

Les risques liés aux matériels

Les matériels de qualité sont très fiables, et la plupart de leurs défaillances sont dues à des causes extérieures:
incendie, corrosion, mauvaise utilisation, etc. Il n’en reste pas moins qu’ils peuvent être mis en cause dans certains
accidents, car une pièce ou un composant défectueux est souvent le maillon le plus évident ou le plus visible dans la
chaîne des événements. Bien que le mot matériel soit employé ici au sens large, les exemples ci-après de défaillances
de matériel ont été tirés d’activités industrielles. Les enquêtes consécutives à un accident matériel portent souvent
sur des équipements du type:

récipients et canalisations sous pression;

moteurs, turbines et autres machines rotatives;
réacteurs chimiques et nucléaires;
échafaudages, plates-formes, passerelles, etc.;
lasers et autres générateurs d’énergie;
tours, perceuses, machines à découper, etc.;
appareils de soudage.

Les sources d’énergie potentielle

Les risques liés au matériel peuvent provenir d’erreurs de construction, d’un usage erroné, de surcharges répétées,
etc.; selon les conclusions de l’analyse, les mesures de prévention peuvent s’orienter dans différentes directions. Il
arrive cependant que des formes d’énergie physique ou chimique échappent au contrôle humain et soient à
l’origine d’accidents majeurs. Il importe dès lors de ne pas négliger ce type de risques et, pour ce faire, de
répertorier dans toute installation les sources d’énergie existantes ou potentielles — par exemple la présence de
chlore ou d’ammoniac dans un récipient sous pression. D’autres méthodes prennent comme point de départ la
finalité ou la fonction du matériel pour étudier les effets probables d’un dysfonctionnement ou d’une panne.

Parallèlement aux concepts «d’énergie contrôlée» et de «fonction prévue», le cas des substances dangereuses doit
être étudié de manière approfondie. On peut en effet avoir affaire à des matières qui, en certaines circonstances,
donnent lieu à des réactions non contrôlées et à des émissions extrêmement toxiques. C’est le cas de la dioxine, par
exemple, qui peut prendre naissance dans certains processus chimiques ou résulter d’une oxydation rapide
provoquée par le feu.

Le milieu de travail

Les risques liés aux matériels ne sont pas seulement mécaniques ou électriques: ils comprennent également des
facteurs de surcharge ou de stress qui peuvent être nocifs à long terme. Citons par exemple:

des températures extrêmes;

des intensités lumineuses, acoustiques, etc., excessives;
une atmosphère polluée;
des charges de travail exagérées.

Ces risques peuvent être identifiés, et des mesures prises pour les contrôler, car les conditions dangereuses existent
déjà. Elles ne dépendent ni d’une modification structurelle du matériel susceptible d’avoir des conséquences graves,
ni d’un événement imprévu capable de provoquer des dommages matériels ou corporels. Les risques à long terme
ont également des sources spécifiques dans l’environnement industriel, mais ils doivent être identifiés et évalués en
observant les opérateurs et leur travail et pas seulement en analysant les spécifications et le fonctionnement des
matériels qu’ils utilisent.

Les risques liés à des machines ou des matériels dangereux sont en général exceptionnels dans un environnement de
travail bien conçu, mais ils ne peuvent être complètement exclus. Plusieurs formes d’énergies non contrôlées
peuvent prendre naissance à la suite d’un dysfonctionnement du matériel:

dégagement nocif de substances dangereuses (gaz, liquides, particules, etc.);

incendie, explosion;
surtension;
 chute d’objets, projection d’éclats, etc.;
champ électrique ou magnétique;
déplacement d’oxygène;
irradiation, faisceaux laser;
inondation, noyade;
projection de liquide brûlant ou de vapeur.

Autres éléments de risque

Objets en mouvement . Les chutes et projections d’objets, les pertes de fluide et les projections de liquide ou de
vapeur sont souvent les premiers signes tangibles du dysfonctionnement d’un matériel ou d’une machine; ils sont à
l’origine d’un grand nombre d’accidents.

Substances chimiques . Les risques chimiques sont souvent à l’origine d’accidents du travail, mais ils peuvent aussi
toucher l’environnement et le grand public. Les catastrophes de Seveso et de Bhopal ont donné lieu à des
émanations chimiques qui ont affecté de très nombreux habitants. Il n’est pas rare qu’un incendie ou une explosion
survenus dans une usine libère des substances toxiques dans l’atmosphère. Les accidents de la circulation dans
lesquels sont impliqués des camions-citernes transportant de l’essence ou des produits chimiques dangereux
associent deux éléments de risque: des objets mobiles et des substances chimiques.

Energie électromagnétique. Les champs électriques et magnétiques, les rayonnements X et gamma sont des
manifestations électromagnétiques mais sont souvent étudiés séparément, car on les rencontre dans des
circonstances très différentes. Les risques qu’ils présentent ont ceci de commun que les champs et les
rayonnements pénètrent dans l’organisme et n’agissent pas seulement au point de contact avec le corps; par
ailleurs, ils ne peuvent être détectés directement par les sens, bien que de très fortes intensités provoquent un
échauffement local. Les champs électriques dépendent de la tension mise en œuvre; des tensions ordinaires (200 ou
300 volts) peuvent provoquer avec le temps une accumulation de poussières qui matérialise la présence d’un
champ; on peut le constater avec les lignes haute tension, les tubes cathodiques de téléviseur, les écrans
d’ordinateur, etc.

Les champs magnétiques sont créés par le courant électrique; ils peuvent être intenses à proximité des gros
moteurs électriques, des postes de soudage à l’arc, des appareils d’électrolyse, etc. Ces champs sont le plus souvent
proches de leur source, mais le rayonnement électromagnétique couvre de longues distances, comme le prouvent les
ondes radar et radio. Ce rayonnement subit une diffusion, une réflexion et une atténuation lors de son passage dans
l’espace et lorsqu’il rencontre des objets, d’autres atmosphères, etc.; il perd donc de son intensité de plusieurs
façons.

Le risque électromagnétique a les particularités ci-après:

Il faut des instruments pour détecter la présence de champs ou de rayonnements électromagnétiques.

Les émissions électromagnétiques ne laissent pas de trace «polluante» primaire.
Leurs effets nocifs se manifestent en général tardivement, mais ces émissions peuvent provoquer des brûlures
immédiates dans les cas les plus graves.
Les rayonnements X et gamma sont atténués mais non complètement absorbés par le plomb et d’autres
matériaux lourds.
Les champs magnétiques et les rayonnements X cessent dès que la source d’énergie est interrompue.
Les champs électriques peuvent persister longtemps après l’arrêt du générateur.
Les rayonnements gamma sont émis par des processus nucléaires; leur source ne peut être neutralisée comme
peuvent l’être de nombreuses autres sources d’émissions électromagnétiques.

Rayonnements nucléaires . Les risques associés aux rayonnements nucléaires concernent plus particulièrement le
personnel des centrales nucléaires et les travailleurs des installations où sont manipulées des matières nucléaires,
telles que les installations de fabrication et de retraitement du combustible, ainsi que les activités de transport et de
stockage de matières radioactives. On trouve également des sources de rayonnements nucléaires en médecine
(radio-isotopes) et dans certaines industries, dans les instruments de mesure et de contrôle. Les détecteurs
d’incendie et de fumée qui utilisent un émetteur de particules alpha comme l’américium (Am) pour surveiller
l’atmosphère ambiante sont également des sources de rayonnements ionisants.

Les risques nucléaires sont essentiellement liés à cinq facteurs:

les rayonnements gamma;

les neutrons;
les particules bêta (électrons);
les particules alpha (noyaux d’hélium);
la contamination.

Les risques proviennent des processus radioactifs dans la fission nucléaire et de la désintégration des matières
radioactives. Les rayonnements sont émis par les réacteurs, les combustibles nucléaires, les modérateurs, les
produits de fission gazeux et par certains matériaux de construction qui ont été rendus radioactifs par les émissions
des réacteurs en service.
Autres agents de risque . Parmi les autres agents de risques qui libèrent ou émettent de l’énergie, on trouve:

les rayonnements ultraviolets et laser;

les infrasons;
les ultrasons;
les vibrations.

Le déclenchement des risques liés au matériel

Un passage soudain ou graduel de l’état normal ou «sûr» à une situation dangereuse peut survenir dans les
circonstances ci-après, auxquelles il est possible de faire face par différents moyens (expérience des opérateurs,
formation, surveillance, vérification des équipements, etc.):

usure, fatigue, surcharge;

intervention d’un élément extérieur (feu, choc);
vieillissement, défaillance;
erreur d’alimentation (énergie, matières premières);
carences au niveau de la maintenance et de la réparation;
erreur de contrôle ou de procédure;
utilisation illicite ou intempestive, application indue;
panne du matériel;
dysfonctionnement des dispositifs de protection.

Une utilisation correcte du matériel ne saurait compenser des défauts de conception ou d’installation; il importe par
conséquent de passer en revue l’ensemble du processus, depuis sa conception et sa sélection jusqu’à sa mise en
place, son utilisation, sa maintenance et ses vérifications, afin d’en évaluer l’état réel.

Etude d’un risque particulier: les réservoirs de gaz sous pression

Les gaz peuvent être stockés et transportés dans des récipients spéciaux (comme les bouteilles d’oxygène utilisées
par les soudeurs). Ils sont souvent comprimés ou liquéfiés, ce qui permet d’accroître la capacité de stockage, mais
augmente les risques d’accidents. La principale cause d’accident dans le stockage sous pression est la fissuration
soudaine du récipient, ce qui a pour effet:

que le récipient ne remplit plus sa fonction de confinement;

que le gaz jusque-là prisonnier s’échappe immédiatement dans l’atmosphère.

La gravité de ce type d’accident dépend d’un certain nombre de facteurs:

la nature du gaz et la quantité contenue dans le réservoir;

l’emplacement de la fissure par rapport au contenu;
les dimensions initiales de la fissure et la vitesse à laquelle elle s’agrandit;
la température et la pression du gaz et du réservoir;
les conditions régnant dans l’environnement immédiat (sources d’ignition, personnes présentes, etc.).

Le contenu du réservoir pourra s’échapper presque immédiatement (s’il s’agit d’un trou béant) ou progressivement
(si l’on est en présence de petites fissures).

Le comportement des gaz en cas de fuite

Lorsqu’on met au point des modèles pour étudier le comportement des fuites, il faut définir les critères ci-après:

l’état du gaz contenu dans le réservoir (phase gazeuse ou liquide);

la température extérieure et la force du vent;
la présence éventuelle d’autres substances dans les alentours et leurs possibilités de pénétration dans le
réservoir;
la présence d’éventuels obstacles.

Il est difficile de chiffrer avec précision l’importance d’une fuite lorsque du gaz liquéfié s’échappe d’un réservoir à
jet continu puis s’évapore. Evaluer la dispersion du nuage qui en résulte est également difficile: il faut tenir compte
des mouvements et de la dispersion des émanations, voir si le gaz forme des nuages visibles ou non et s’il s’élève ou
reste plaqué au niveau du sol.

L’hydrogène est un gaz plus léger que l’air. L’ammoniac (NH3, masse moléculaire 17,0) s’élèvera dans une
atmosphère ordinaire d’oxygène et d’azote ayant même température et même pression. Le chlore (Cl2, masse
moléculaire 70,9) et le butane (C4H10, masse moléculaire 58) font partie des produits chimiques qui, en phase
gazeuse, sont plus denses que l’air, même à la température ambiante. L’acétylène (C2H2, masse moléculaire 26,0) a
une densité d’environ 0,90 g/l proche de celle de l’air (1,0 g/l), de sorte que, dans le cadre par exemple d’une
opération de soudage, une fuite de gaz n’aura ni tendance à s’élever dans l’air, ni à s’accumuler au voisinage du sol;
ce gaz, par ailleurs, se mélange facilement à l’air.

L’ammoniac qui s’échappe d’un récipient sous pression sous forme liquide commencera par s’évaporer, c’est-à-dire
par se refroidir, avant de se disperser en plusieurs étapes:

L’ammoniac liquide sous pression s’échappe du réservoir en jet ou en nuage.

Des flaques d’ammoniac liquide peuvent se former sur les surfaces avoisinantes.
L’ammoniac se refroidit en s’évaporant, abaissant aussi la température alentour.
L’ammoniac gazeux échange graduellement de la chaleur avec l’atmosphère environnante jusqu’à ce que sa
température soit égale à la température ambiante.

Il arrive qu’un nuage de gaz léger ne se forme pas immédiatement à partir d’une fuite de gaz liquide; il peut se
former d’abord un nuage de gouttelettes qui reste près du sol. Le mouvement du nuage et sa dilution progressive
dans l’atmosphère environnante dépend à la fois des conditions climatiques et des conditions alentour — enceinte
confinée, espace ouvert, maisons, circulation, présence de travailleurs, etc.

La défaillance de l’enveloppe

La défaillance de l’enveloppe d’un récipient sous pression peut avoir des conséquences très diverses: incendie,
explosion, asphyxie, intoxication ou suffocation, comme on a pu l’observer dans les accidents impliquant des
installations de production et de distribution de gaz (propane, méthane, azote, hydrogène, etc.), des cuves
d’ammoniac ou de chlore et des appareils de soudage oxyacétylénique. La cause de la fissure initiale de l’enveloppe
influe fortement sur son «comportement» ultérieur, lequel influe à son tour sur celui de la fuite; son identification
est donc capitale pour la sécurité. Un récipient sous pression est conçu et construit pour être utilisé dans certaines
conditions, supporter certaines contraintes et recevoir un ou plusieurs gaz connus. Ses capacités réelles dépendent
de sa forme, des matériaux dont il est fait, de la qualité de ses soudures, de ses dispositifs de sécurité, de son
utilisation et des conditions climatiques. L’évaluation de sa capacité à contenir un gaz dangereux doit donc tenir
compte de ses caractéristiques structurelles, de son utilisation ainsi que des épreuves et des contrôles qu’il a subis.
Ses points vulnérables sont en général les cordons de soudure, les points de connexion des accessoires (raccords,
soupapes, vannes de sortie, fixations et instruments), et les extrémités plates des réservoirs cylindriques comme les
wagons-citernes. Les cordons de soudure sont contrôlés visuellement, aux rayons X ou par des tests destructifs
réalisés sur des échantillons, pour localiser les éventuels points faibles susceptibles de mettre en danger la solidité
générale du réservoir ou de déclencher une défaillance soudaine.

La résistance du réservoir dépend aussi de son utilisation, de l’usure normale, des chocs qu’il reçoit et de la
corrosion à laquelle il peut être exposé. D’autres paramètres peuvent aussi jouer un rôle:

une surpression occasionnelle;

des températures extrêmes (internes ou externes);
des chocs mécaniques;
l’exposition à des vibrations;
la présence résiduelle dans le réservoir de substances qui ont pu y être stockées ou y pénétrer
accidentellement;
des produits utilisés pour le nettoyage, la maintenance ou la réparation de l’enveloppe ou de ses accessoires.

De ce fait, les matériaux de construction — plaques d’acier ou d’aluminium, béton pour les applications sans
pression, etc. — peuvent être endommagés ou subir des sollicitations anormales sans qu’il soit toujours possible de
le vérifier sans leur imposer des contraintes excessives ou provoquer leur rupture.

Etude d’un accident particulier: Flixborough

L’explosion en 1974 d’un gros nuage de cyclohexane à Flixborough (Royaume-Uni), qui a fait 28 victimes et des
dégâts matériels considérables, est un exemple d’accident particulièrement instructif. Il a été déclenché par la
défaillance d’une tuyauterie provisoire d’un réacteur chimique, c’est-à-dire par l’avarie d’un élément matériel. Une
enquête plus approfondie a toutefois révélé que la rupture de la tuyauterie avait été provoquée par une surcharge
et que l’installation provisoire n’était pas adaptée à l’usage prévu. Deux mois après sa mise en place, cette
tuyauterie avait été exposée à une flexion anormale, due à une légère élévation de la pression de 10 bars (106 Pa) du
cyclohexane à une température d’environ 150 °C. Les deux soufflets reliant la tuyauterie au réacteur ont explosé,
laissant échapper 30 à 50 tonnes de cyclohexane bientôt enflammé, sans doute par la chaleur d’un four voisin (voir
figure 57.6). Kletz (1988) a fait un compte rendu détaillé de l’accident.

Figure 57.6 Connexion temporaire de deux réservoirs à Flixborough

L’analyse des risques

Les méthodes utilisées pour identifier et évaluer les risques que peuvent présenter une installation, une machine,
un processus chimique ou une opération particulière permettent d’effectuer une «analyse des risques». Ces
méthodes sont basées sur des questions telles que: «Quel problème peut surgir?», «Quelle peut être sa gravité?»,
«Quelles solutions appliquer?». On combine souvent plusieurs méthodes d’analyse pour couvrir un nombre
raisonnable de risques, mais cela ne peut qu’aider et guider les spécialistes. Les principales difficultés de l’analyse
des risques sont:

le choix de données pertinentes;

les limites des modèles utilisés et des calculs effectués;
des matériaux, des modes de construction et des procédés nouveaux et mal connus;
la complexité des systèmes rencontrés;
les limites de l’imagination humaine;
les limites des tests pratiques.

Pour parvenir dans ces circonstances à une évaluation fiable, il importe de délimiter avec la plus grande rigueur le
champ de l’analyse et le niveau de précision que l’on se propose d’atteindre; il est évident qu’il n’est pas nécessaire
de réunir le même genre et la même quantité d’informations selon qu’il s’agit de conclure une police d’assurance ou
de procéder à l’étude d’une installation complexe, de dispositifs de sécurité ou de mesures d’urgence. En règle
générale, les risques doivent être étudiés en associant des techniques empiriques (des statistiques, par exemple), un
raisonnement déductif et de l’imagination.

Plusieurs outils d’évaluation des risques, voire certains logiciels d’analyse des risques, peuvent s’avérer très utiles.
Les méthodes HAZOP (analyse des écarts dangereux et des actions correctives) et AMDEC (analyse des modes de
défaillance des composants, de leurs effets sur le système et de leur criticité) sont très utilisées pour analyser les
risques, notamment dans l’industrie chimique. La méthode HAZOP est fondée sur l’analyse des causes des écarts
possibles à partir d’un ensemble de paramètres (pression, température, débit, etc.); le but est d’identifier ces causes
et de mettre en évidence leurs conséquences probables pour chaque cas de figure. Dans un deuxième temps, on
cherche les moyens de réduire la probabilité d’apparition des scénarios étudiés et d’en atténuer les conséquences
inacceptables. Charsley (1995) a décrit la méthode en détail. La méthode AMDEC, de son côté, consiste à étudier
systématiquement chacun des composants du système considéré, à analyser chacun de ses modes de défaillance
possibles et à identifier les conséquences qu’ils peuvent avoir pour le système lui-même et son environnement.
L’application de cette méthode sera illustrée plus loin par un exemple.

Les arbres des fautes (appelés aussi arbres de défaillance, arbres de pannes ou encore des événements indésirables)
et les modes d’analyse logique des structures de causalité des accidents, ainsi que le calcul des probabilités, ne sont
pas des méthodes spécifiquement appliquées à l’analyse des risques matériels: ce sont des outils généraux qui
servent à évaluer les risques des systèmes.
L’identification des risques liés au matériel

Pour identifier les risques possibles, on doit rassembler tout d’abord des informations sur les ouvrages (systèmes) et
leur fonctionnement en étudiant:

les installations et les équipements existants;

les systèmes, machines, dispositifs et modèles du même type;
les plans, schémas électriques, diagrammes des circuits et des instruments, etc.;
les descriptifs des processus mis en œuvre;
les programmes de contrôle;
les modes et phases opérationnels;
les ordres de travail, les ordres de changement, les rapports de maintenance, etc.

Grâce à ces informations, les analystes établissent le profil de l’objet du risque, de ses fonctions et de son utilisation
réelle. Lorsque l’objet en question n’est pas encore construit ou ne peut être contrôlé, aucune observation
significative ne peut être réalisée et l’évaluation repose alors entièrement sur des descriptions, des performances
annoncées et des plans. Cela peut sembler insuffisant mais, dans la pratique, la plupart des évaluations de risques
sont faites de cette manière, qu’il s’agisse d’obtenir l’autorisation d’entreprendre une nouvelle construction ou de
comparer la sécurité relative d’une ou de plusieurs variantes. Les processus déjà exploités seront étudiés pour
réunir les informations qui ne figurent pas sur les diagrammes théoriques ou des renseignements qui peuvent être
obtenus oralement, et pour vérifier que les données provenant de ces sources sont factuelles et correspondent bien
à la réalité. On s’informera en particulier sur:

les pratiques en usage et la culture locale;

les autres mécanismes de défaillance et les détails de construction;
les interactions involontaires ou imprévues entre différents systèmes;
les causes communes de défaillances;
les risques d’origine extérieure (chocs, etc.);
les conditions d’exposition particulières et leurs conséquences;
les incidents, accidents et quasi-accidents antérieurs.

La plus grande partie de ces informations (celles plus spécialement qui visent les interactions) ne peuvent être
réunies que par des observateurs entraînés, expérimentés et doués d’imagination; certaines d’entre elles sont
presque impossibles à extraire des schémas et des diagrammes. Des interactions involontaires ou imprévues entre
différents systèmes apparaissent lorsque le fonctionnement de l’un d’entre eux affecte l’état ou le fonctionnement
des autres par un autre biais que celui de leur fonction. C’est souvent le cas lorsque des éléments ayant des
fonctions différentes sont situés à proximité les uns des autres (lorsqu’une fuite, par exemple, provoque
l’écoulement d’une substance sur les éléments situés au-dessous et occasionne une panne). On rencontre aussi des
interactions de cette nature lorsque des corps étrangers ou des pièces inadaptées sont introduits dans un système
au moyen d’instruments ou d’outils en cours de fonctionnement ou durant les travaux de maintenance, entraînant
des modifications structurelles ou des dysfonctionnements. Par causes communes de défaillances , on entend les
situations — inondation, foudre, panne d’électricité, etc. — qui peuvent perturber simultanément plusieurs
systèmes et, éventuellement, provoquer une panne générale ou un accident. En général, on essaie d’éviter les
conséquences des interactions considérées et des causes communes de défaillances en prévoyant des mesures
spéciales ou en isolant convenablement les différentes opérations.

Exemple d’analyse des risques: transvasement de gaz d’un navire dans une citerne
La figure 57.7 représente un terminal de transvasement de gaz entre un navire et un réservoir. Des fuites
pourraient se produire n’importe où: navire, tuyauterie de transvasement, réservoir, canalisations d’entrée et de
sortie; l’installation comportant en fait deux réservoirs, une fuite pourrait durer des heures.

Figure 57.7 Installation de transvasement de gaz liquide d'un navire à un réservoir

Les éléments les plus vulnérables du dispositif de l’installation sont:

le réservoir de stockage;
 la tuyauterie reliant le navire et le réservoir;
les autres canalisations, vannes et raccords;
la soupape de sécurité du réservoir;
les vannes de sécurité 1 et 2.

Tout réservoir contenant une grande quantité de gaz liquide est placé en tête de cette liste, car une fuite à ce niveau
serait difficilement colmatable. Le deuxième poste de la liste — la connexion avec le navire — est critique, car une
fuite survenant dans la tuyauterie ou au droit des joints de raccordement peut provoquer des écoulements
dangereux, surtout si leurs garnitures sont usées. Quant aux pièces souples comme les tuyaux flexibles et les
soufflets, elles sont plus délicates que les pièces rigides et doivent être entretenues régulièrement et contrôlées avec
soin. Les dispositifs de sécurité sont importants eux aussi, car ils peuvent révéler des défaillances latentes ou à
venir.

Jusqu’ici, la classification des composants du système par ordre d’importance en termes de fiabilité est restée
générale. Pour approfondir l’analyse, on s’intéressera maintenant aux différentes fonctions du système, dont la
première est le transvasement du gaz liquide du navire au réservoir. Le risque majeur est constitué ici par les
fuites; les mécanismes qui risquent de les déclencher sont notamment:

des accouplements ou des vannes non étanches;

la rupture du réservoir;
la rupture d’un tuyau ou d’une canalisation;
un dysfonctionnement du réservoir.

La mise en œuvre de la méthode AMDEC

Le principe de base de cette méthode est d’identifier de manière précise les modes de défaillance de chaque
composant du système et de déterminer les conséquences de chaque défaillance pour le système lui-même et pour
l’environnement. Pour des composants classiques comme un réservoir, un tuyau, une pompe, un manomètre, etc.,
les modes de défaillance répondent à des schémas généraux. Dans le cas d’une vanne, par exemple, ils peuvent être
les suivants:

La vanne ne se ferme pas quand son mécanisme de commande est actionné (un débit réduit s’écoule par la
vanne «ouverte»).
La vanne fuit (un débit résiduel s’écoule au travers de la vanne «fermée»).
La vanne ne s’ouvre pas quand le mécanisme est actionné.
Pour une tuyauterie ou une canalisation, les modes de défaillance peuvent consister en:

une baisse du débit;

une fuite;
un blocage de l’écoulement par suite d’un obstacle;
une rupture.

Les conséquences des fuites semblent évidentes, mais les plus importantes ne sont pas toujours les plus apparentes:
que se passe-t-il, par exemple, si une vanne se bloque en position semi-ouverte? Une vanne de régulation qui ne
s’ouvre pas complètement lorsqu’elle est actionnée retardera le remplissage du réservoir, ce qui est sans danger. En
revanche, si la vanne reste dans cette position lorsque le mécanisme de fermeture est actionné alors que le
réservoir est plein, celui-ci pourra déborder (à moins que la vanne de sécurité ait fonctionné). Dans un système bien
conçu et fonctionnant correctement, la probabilité que ces deux vannes soient bloquées simultanément est faible.

Une soupape de sécurité qui ne fonctionne pas au moment voulu peut provoquer une catastrophe; on peut même
dire que les défaillances latentes sont une menace constante pour tous les systèmes de sécurité. Une soupape de ce
type peut être endommagée par la corrosion, des impuretés ou de la peinture (généralement à cause d’un défaut
d’entretien); dans le cas d’un gaz liquide, ces défauts (associés à la chute de température provoquée par la fuite)
peuvent entraîner la formation de glace et freiner ou interrompre l’écoulement par une soupape de sécurité. La
pression montera dans le réservoir et les installations connexes et pourra provoquer d’autres fuites ou l’explosion
du réservoir.

Pour des raisons de simplicité, les instruments de contrôle n’ont pas été indiqués sur la figure 57.7; l’installation
comporte bien entendu des instruments de mesure de la pression, du débit et de la température; ces paramètres
sont indispensables pour connaître et surveiller l’état de l’installation. Celle-ci possède également d’autres sources
d’alimentation en énergie que celles utilisées pour le transvasement: électricité, circuits hydrauliques, dispositifs de
sécurité additionnels. Une analyse complète doit évidemment englober ces éléments et en rechercher les modes de
défaillances et leurs conséquences. En ce qui concerne notamment les causes communes de défaillances et les
interactions involontaires ou imprévues, l’analyse doit porter sur tous les composants du système principal, les
dispositifs de commande et de contrôle, les instruments, l’alimentation en énergie, les opérateurs, les programmes
de travail, la maintenance, etc.

Les conséquences des causes communes de défaillances des systèmes de transport de gaz peuvent être identifiées à
l’aide des questions suivantes:
 Les signaux d’ouverture et de fermeture des vannes ordinaires et des vannes de fermeture d’urgence sont-ils
transmis via une ligne commune (ligne électrique, circuits câblés)?
Deux vannes sont-elles alimentées par la même ligne?
La maintenance est-elle effectuée par une seule et même personne selon un programme précis?

Même s’il a été bien conçu, s’il est équipé de lignes d’alimentation indépendantes, un système peut pâtir d’un défaut
de maintenance; c’est le cas, par exemple, lorsqu’une vanne et son système de sécurité (la soupape de sécurité)
n’ont pas été ramenés à leur position normale après un contrôle. Dans un système de transvasement d’ammoniac,
une fuite mineure peut entraver les interventions manuelles sur les composants de l’installation en raison de la
mise en place d’un système de protection d’urgence.

Résumé

Le matériel est rarement responsable du déclenchement d’un accident. Les causes profondes doivent être
recherchées dans d’autres maillons de la chaîne causale: erreurs de conception, défauts de maintenance, erreurs
humaines, erreurs de management, etc. Nous avons déjà donné plusieurs exemples de conditions et d’actions qui
peuvent être à l’origine de défaillances; on peut, en récapitulant, mentionner notamment:

les collisions et les chocs;

la corrosion, la rouille;
les charges excessives;
des supports défaillants, des pièces usées;
des soudures de mauvaise qualité;
des projections de fragments ou d’éclats;
des pièces manquantes;
la surchauffe ou le refroidissement excessifs;
les vibrations;
des matériaux de construction inadaptés ou de mauvaise qualité.

La maîtrise des risques liés aux matériels appelle l’identification de toutes les causes possibles et de toutes les
conditions susceptibles d’entraîner une situation critique. Les implications de cette obligation pour l’organisation
des programmes de gestion des risques seront abordées dans d’autres articles.

L’ANALYSE DES RISQUES: LES FACTEURS ORGANISATIONNELS — LA

MÉTHODE MORT
Urban Kjellén

L’industrialisation a entraîné une réorganisation profonde du travail en usine à partir du moment où l’on a pu
disposer de sources d’énergie mécanique (vapeur, etc.). Par rapport au travail artisanal traditionnel, la production
mécanisée à l’aide de sources d’énergie plus puissantes a fait apparaître de nouveaux risques d’accidents. Les
travailleurs ont peu à peu cessé d’exercer un contrôle direct sur ces sources d’énergie, les décisions en matière de
sécurité étant prises le plus souvent par la direction et non par les personnes directement exposées au risque. C’est
à ce stade de l’industrialisation qu’est apparue la nécessité de gérer la sécurité.

A la fin des années vingt, Heinrich a proposé le premier cadre théorique de la gestion de la sécurité fondé sur le
principe que les efforts de prévention devaient être guidés par des décisions fondées sur l’identification et l’analyse
des causes d’accidents. A cette époque, les accidents étaient attribués à des défaillances dans le système opérateur-
machine; en d’autres termes, à des conditions et à des actes dangereux ou indésirés.

Par la suite, diverses méthodes ont été élaborées pour identifier et évaluer les risques d’accidents. La méthode
MORT (Management Oversight and Risk Tree), mise au point à la fin des années soixante par l’Administration
américaine de recherche et de développement pour l’énergie (US Energy Research and Development
Administration) met l’accent sur la maîtrise des risques d’accidents au niveau supérieur, c’est-à-dire au niveau de la
direction.

Le diagramme MORT et ses principes sous-jacents

La méthode MORT se proposait de formuler un système idéal de gestion de la sécurité en faisant la synthèse des
meilleurs éléments des programmes existants et des meilleures techniques de gestion dans ce domaine. Les
principes sous-jacents de la méthode ont été appliqués aux connaissances dont on disposait alors, ce qui explique
que les travaux disparates et les compétences éparses existant à l’époque faisaient allusion à un modèle ramifié,
l’arbre d’analyse. La première version de cet arbre a été publiée en 1971. La figure 57.8 représente les principaux
éléments de la version qu’en a présentée Johnson en 1980. Des modèles arborescents similaires apparaissent
également dans des publications ultérieures sous une forme modifiée du concept MORT (voir, par exemple, Knox et
Eicher, 1992).

Figure 57.8 Une version de l'arbre d'analyse selon la méthode MORT

Le diagramme MORT
Le diagramme MORT est un outil d’analyse utilisé dans les enquêtes menées après un accident et dans l’évaluation
des programmes de prévention. Au sommet de l’arbre représenté dans la figure 57.8 (Johnson, 1980), on trouve les
diverses pertes (réelles ou possibles) occasionnées par un accident. Au niveau suivant, trois branches principales
font mention des négligences et omissions spécifiques (S), des négligences et omissions dans la gestion (M) et des
risques assumés (R). La branche R regroupe les risques assumés, c’est-à-dire les situations et les événements connus
de la direction qui ont été évalués et acceptés au niveau hiérarchique compétent. Les autres situations et
événements révélés par l’analyse et appartenant aux branches S et M sont considérés comme «non adéquats» (NA).

La branche S concerne les événements et les situations de l’accident réel ou potentiel (en général, les temps se lisent
horizontalement, de gauche à droite, et les causes, verticalement, de bas en haut). Les stratégies de Haddon (1980)
jouent ici un rôle clé. Un événement est qualifié d’accident lorsqu’une cible (une personne ou un objet) est exposée
à un transfert d’énergie non maîtrisé et subit des dommages (corporels ou matériels). Dans la branche S du
diagramme MORT, la prévention est assurée par des barrières; il en existe trois grandes catégories: 1) celles qui
entourent et isolent la source d’énergie (le risque); 2) celles qui protègent la cible; et 3) celles qui séparent le risque
de la cible, physiquement, dans le temps ou dans l’espace. Ces différents types de barrières se retrouvent dans les
branches inférieures de l’arbre. La case «Amélioration» désigne les mesures prises après l’accident pour limiter les
pertes. Le niveau inférieur de la branche S a trait aux facteurs qui ont un rapport avec les différentes phases du
cycle de vie d’un système industriel. Ce sont les phases de conception (information, études et plans), de mise en
service (entrée en activité) et d’exploitation (maintenance, surveillance et haute surveillance).

La branche M sous-tend un processus de généralisation des conclusions spécifiques de l’enquête ou de l’évaluation

du programme de prévention. Les situations et les événements de la branche S ont souvent leur contrepartie dans
la branche M. Lorsqu’ils abordent la branche M, les analystes étendent leur raisonnement à l’ensemble du système
de management. Ainsi, leurs recommandations pourront s’appliquer également à d’autres scénarios d’accidents.
C’est dans la branche M que l’on trouve les fonctions les plus importantes de la gestion de la sécurité: la définition
de la stratégie, sa mise en œuvre et son suivi. Ces mêmes éléments de base se retrouvent dans les principes
d’assurance qualité des normes de la série ISO 9000 (ISO, 1993-1997) publiées par l’Organisation internationale de
normalisation (ISO).

Lorsque les branches du diagramme MORT ont une ramification plus poussée, on y trouve des éléments relevant de
domaines très différents comme l’analyse des risques, l’analyse des facteurs humains, l’analyse organisationnelle et
les systèmes d’information sur la sécurité. Dans sa totalité, le diagramme MORT couvre environ 1 500 facteurs
élémentaires.

L’application du diagramme MORT

Rappelons que le diagramme MORT a deux applications immédiates (Knox et Eicher, 1992): 1) analyser le rôle du
management et les facteurs organisationnels après un accident; et 2) évaluer un programme de sécurité ou
procéder à son audit en vue de prévenir un accident. C’est un outil de dépistage dans la planification des analyses et
des évaluations. Il sert également de grille de recueil de données pour comparer un système existant à un système
idéal. Dans ce cas, le diagramme MORT permet de s’assurer que l’analyse est complète et d’écarter les a priori et les
préjugés personnels.

La méthode MORT repose essentiellement sur un ensemble de questions. Les critères qui permettent de déterminer
si tel ou tel événement ou situation sont satisfaisants ou non sont dérivés de ces questions. Malgré le caractère
directif des questions, le jugement des analystes est en partie subjectif. Il importe donc de veiller à ce qu’il y ait un
niveau de qualité et de subjectivité commun et adéquat entre les analyses MORT faites par des personnes
différentes. Aux Etats-Unis, il existe un programme de certification pour les analystes MORT.

Les expériences faites avec la méthode MORT

Il existe peu de publications sur l’évaluation de la méthode MORT. Johnson fait état d’améliorations importantes
constatées dans la qualité des enquêtes après accidents suite à l’apparition de cette méthode (Johnson, 1980). Les
carences qui se situent au niveau des cadres et de la direction sont mises en évidence de façon plus systématique.
Des évaluations sur les applications de la méthode dans l’industrie finlandaise (Ruuhilehto, 1993) ont également
apporté de nombreux enseignements et permis d’identifier certaines limites. Ainsi, la méthode MORT ne permet pas
de reconnaître les risques immédiats entraînés par les défaillances et les perturbations; de plus, elle ne permet pas
d’ordonner les priorités. Les résultats des analyses MORT requièrent par conséquent une analyse supplémentaire
pour pouvoir être traduits en actions correctives. Enfin, l’expérience montre que c’est un exercice qui prend
beaucoup de temps et qui est réservé à des spécialistes.

En dehors du fait qu’elle met l’accent sur le management et les facteurs organisationnels, la méthode MORT a
l’avantage d’associer la sécurité aux activités ordinaires de production et de gestion. En facilitant la planification et
le contrôle d’ensemble, elle contribue à réduire la fréquence des perturbations dans le processus de production.

Les méthodes et les techniques connexes de gestion de la sécurité

Un programme de développement a été lancé aux Etats-Unis dès l’introduction du concept MORT au début des
années soixante-dix. Le Centre de recherche sur la sécurité des systèmes (System Safety Development Center), à
Idaho Falls, a été l’élément moteur de ce programme, qui a donné naissance à différentes méthodes et techniques
inspirées de MORT dans des domaines comme l’analyse des facteurs humains, les systèmes d’information sur la
sécurité et l’analyse de la sécurité. Le programme de préparation opérationnelle (Nertney, 1975) en est un exemple.
Ce programme est appliqué dans l’étude des nouveaux systèmes industriels et des modifications à apporter aux
systèmes existants. Son but est de veiller à ce que, du point de vue de la gestion de la sécurité, tout système
nouvellement créé ou modifié soit prêt à fonctionner sans aléas au moment de sa mise en service. Il faut pour cela
que les barrières et mécanismes de contrôle nécessaires aient été intégrés au niveau des matériels, des opérateurs
et des procédures. Un autre exemple de programme inspiré par MORT est l’analyse des causes profondes
(Cornelison, 1989), qui sert à identifier les problèmes fondamentaux d’une entreprise en matière de gestion de la
sécurité. Pour ce faire, les conclusions des analyses MORT sont ramenées à 27 problèmes génériques de sécurité.

Bien que la méthode MORT ne soit pas destinée à servir directement la collecte d’informations à l’occasion des
enquêtes sur les accidents et des audits de sécurité, les questions qui en forment l’ossature ont été utilisées en
Scandinavie pour créer un outil de diagnostic utilisé dans ce but précis: SMORT (Safety Management and
Organization Review Technique); il s’agit d’une technique d’examen de la gestion et de l’organisation de la sécurité
(Kjellén et Tinmannsvik, 1989). Une analyse SMORT suit un ordre inverse: elle part du cas d’espèce pour remonter
jusqu’au niveau du management. Le point de départ (niveau 1) est un accident ou un risque potentiel.
L’organisation, la planification et les facteurs techniques relatifs aux activités quotidiennes sont examinés au
niveau 2. Les autres niveaux concernent la conception des nouveaux systèmes (niveau 3) et les fonctions de
management aux échelons supérieurs (niveau 4). Les données recueillies à chaque niveau sont étendues aux
niveaux situés en amont. Ainsi, les observations relatives au déroulement de l’accident et aux activités quotidiennes
de l’entreprise servent à analyser les méthodes appliquées au stade des projets (niveau 3). Les conclusions tirées à
ce niveau 3 n’auront pas d’incidence sur la sécurité des systèmes existants, mais elles pourront orienter la
planification des nouveaux systèmes et conduire à la modification de ceux qui sont en place. SMORT se distingue
également de MORT par le mode de reconnaissance des données. Au niveau 1, celles-ci portent sur les événements
et les situations qui révèlent des écarts. Lorsque les facteurs organisationnels et de gestion sont introduits dans
l’analyse aux niveaux 2 à 4, les conclusions sont formulées sur la base des jugements de valeur portés par un
groupe d’analystes et vérifiés par une procédure de contrôle qualité. Le but est de faire en sorte que tous les acteurs
aient la même vision des problèmes organisationnels.

Résumé

La méthode MORT a joué un rôle clé dans l’évolution de la gestion de la sécurité depuis les années soixante-dix. On
retrouve son influence dans les études sur la sécurité, les ouvrages consacrés à la gestion de la sécurité, les outils
d’audit et la législation sur l’autoréglementation et le contrôle interne. En dépit de l’impact qu’elle a pu avoir, ses
limites ne sauraient être ignorées. MORT et les méthodes qui s’en inspirent sont normatives dans le sens où elles
indiquent comment les programmes de gestion de la sécurité devraient être organisés et mis en œuvre. L’idéal
consiste évidemment en une organisation bien structurée, avec des objectifs précis et réalistes et des lignes de
responsabilité et d’autorité bien définies. De ce fait, MORT convient surtout aux entreprises de grande taille.

L’INSPECTION DES LIEUX DE TRAVAIL ET L’APPLICATION DE LA

LÉGISLATION
Anthony Linehan

Les systèmes d’inspection

L’audit a été défini comme un «processus structuré de collecte d’informations indépendantes sur la performance,
l’efficacité et la fiabilité d’un système global de gestion de la sécurité et de planification des actions correctives»
(Health and Safety Executive, 1991).

L’inspection des lieux de travail n’est donc pas seulement la dernière étape d’un programme de gestion de la
sécurité, mais également un moyen de veiller constamment à sa bonne marche. Elle ne peut s’exercer en l’absence
d’un système structuré de gestion de la sécurité. Un tel système doit reposer sur un énoncé officiel de la politique et
des orientations définies par la direction en vue de créer un milieu de travail offrant des conditions de sécurité et
de santé satisfaisantes et de mettre sur pied au sein de l’entreprise les structures et les mécanismes qui permettront
d’appliquer cette politique de manière efficace. La direction doit par ailleurs être prête à fournir les ressources, tant
humaines que financières, indispensables au bon fonctionnement de ces structures et de ces mécanismes. Il faudra
encore dresser des plans détaillés en matière de sécurité et de santé et définir des objectifs qui soient mesurables. Il
faudra en effet pouvoir évaluer les résultats par rapport à des normes établies et aux résultats antérieurs. Ce n’est
que lorsque ces moyens seront en place et opérationnels, et après cela seulement, qu’un système d’audit pourra être
mis sur pied.

Dans le cas d’entreprises d’une certaine importance, des programmes satisfaisants de gestion de la sécurité
pourront être conçus, précisés et mis en œuvre avec les moyens internes. Des programmes de cette nature pourront
aussi être proposés par des sociétés de conseil, des compagnies d’assurances, des organismes publics, des
associations et des firmes spécialisées. Il appartiendra à chaque entreprise de décider si elle veut définir son propre
programme ou faire appel à des concours extérieurs. Les deux options pourront donner d’excellents résultats si les
dirigeants s’engagent réellement à appliquer avec diligence celle qu’ils auront choisie. Le succès dépendra
largement de la qualité du système d’audit.

Le contrôle exercé par la direction

Le contrôle de la gestion du programme de sécurité doit être aussi minutieux et objectif que celui exercé dans le
domaine financier. Il faut déterminer en premier lieu si la politique et les orientations définies en matière de
sécurité et de santé se reflètent bien dans les structures et les mécanismes créés pour leur mise en œuvre; dans le
cas contraire, les principes et les objectifs énoncés doivent être revus, et des ajustements apportés le cas échéant
aux structures et aux mécanismes existants. Une approche similaire doit être suivie en ce qui concerne les plans
établis, la validité des critères de définition des objectifs et la mesure de la performance. Les résultats des contrôles
seront transmis à la direction de l’entreprise, qui devra les étudier et prendre ou approuver toutes les mesures
correctives qui s’imposent et veiller à ce qu’elles soient appliquées.

Il est souvent impossible en pratique et parfois même peu souhaitable de procéder simultanément à un examen
exhaustif de tous les éléments d’un programme de sécurité et d’en vérifier l’application. Le plus souvent, les
contrôles porteront soit sur un certain aspect du programme au niveau de l’entreprise, soit sur l’application de
l’ensemble du programme dans un seul service, l’objectif général étant cependant de contrôler tous les éléments du
programme dans l’ensemble des services au cours d’une période raisonnable, afin de valider les résultats obtenus.

Envisagé sous cet angle, le contrôle devrait être considéré comme un processus continu. Il est essentiel qu’il soit
toujours objectif. S’il est assuré par l’entreprise elle-même, il faut prévoir une procédure standard. L’opération
devrait être confiée à des personnes ayant reçu une formation spécifique; on ne leur demandera pas de contrôler
leur propre service ou tout autre service avec lesquels elles pourraient avoir des liens personnels. Cette dernière
condition disparaît généralement lorsque le contrôle est confié à des consultants extérieurs.
Nombre de grandes entreprises ont adopté un programme de ce type, qu’elles ont mis au point elles-mêmes ou
emprunté à l’extérieur. L’application judicieuse et rigoureuse de ses divers éléments devrait se traduire par une
réduction importante du nombre d’accidents — ce qui est l’objectif premier de l’exercice — et par une amélioration
de la rentabilité — qui en est un effet secondaire.

Les services officiels d’inspection

Le cadre juridique destiné à assurer la protection des travailleurs sur les lieux de travail doit évidemment être géré
et appliqué efficacement pour que la législation atteigne son but. La plupart des pays ont instauré à cette fin des
services d’inspection chargés de veiller au respect de la législation de sécurité et de santé au travail. Dans plusieurs
pays, ces questions relèvent des conventions collectives régissant les relations professionnelles, les salaires, les
congés ou les prestations sociales. Dans de nombreux cas, le contrôle des conditions de sécurité fait partie des
tâches confiées aux inspecteurs des services officiels, mais il peut aussi être assuré par des inspecteurs spécialisés.
D’autres différences apparaissent dans la répartition des tâches entre les services centraux et les services
régionaux. En Italie et au Royaume-Uni, les tâches relèvent des deux. Quel que soit le modèle adopté, la principale
fonction d’un service officiel d’inspection est de veiller au respect de la législation par une série d’enquêtes et de
contrôles menés sur les lieux de travail.

Aucun service d’inspection ne saurait être efficace si ses agents ne disposent pas des pouvoirs nécessaires pour
mener leur mission à bien. On constate beaucoup de points communs entre ces services quant aux pouvoirs qui
leur sont conférés par le législateur. Ils ont le droit de pénétrer sans préavis dans les entreprises, ce qui est
évidemment essentiel pour tout contrôle digne de ce nom. Ils ont également le droit d’examiner les documents,
registres et rapports pertinents, d’interroger les travailleurs individuellement ou collectivement, de s’entretenir
librement avec les responsables syndicaux, de prélever des échantillons de matières et de produits, de prendre des
photographies et, le cas échéant, de recueillir sur place des déclarations écrites émanant du personnel.

Les inspecteurs sont souvent dotés de pouvoirs additionnels leur permettant de remédier à des situations
susceptibles de constituer un danger imminent et grave pour la vie ou la santé des travailleurs. Là encore, les
méthodes utilisées sont très diverses. Lorsque la situation est si dégradée qu’elle présente un danger imminent,
l’inspecteur peut ordonner l’arrêt immédiat de la machine, de l’installation ou de l’opération incriminée jusqu’à ce
que le risque ait été éliminé. Lorsque la situation est moins critique, il peut avoir recours à une notification formelle
demandant l’application de mesures correctives dans un délai fixé. Il existe, pour améliorer les conditions de
travail, des moyens plus efficaces et plus rapides que le recours à une procédure juridique, souvent complexe et
lente à déployer ses effets.

Les procédures de ce type occupent une place importante dans la hiérarchie des mesures coercitives. D’aucuns
considèrent que ces procédures, strictement punitives, n’entraînent pas nécessairement un changement d’attitude
positif à l’égard de la sécurité et devraient dès lors n’être envisagées qu’en dernier ressort, après l’échec des autres
actions possibles. D’autres affirment en revanche que l’on doit tenir compte du fait que, lorsque des obligations
légales ont été ignorées ou négligées et que la sécurité ou la santé des personnes ont été mises en danger, la loi doit
être appliquée et les tribunaux doivent intervenir. Pour certains, enfin, les entreprises qui n’appliquent pas les
prescriptions en vigueur sont avantagées par rapport à ceux de leurs concurrents qui se donnent les moyens de le
faire. Sanctionner les entreprises qui enfreignent la loi devrait donc dissuader celles qui ne sont pas scrupuleuses et
encourager celles qui respectent la loi.

Il convient de réaliser un juste équilibre entre le rôle consultatif et le rôle répressif de tout service officiel
d’inspection. Les petites entreprises posent un problème particulier. Les économies locales, parfois même
nationales, vivent souvent de l’activité d’entreprises employant moins de 20 personnes; dans l’agriculture, l’effectif
moyen est bien inférieur. Dans ces conditions, il appartient aux services d’inspection de profiter de leur présence
sur place pour dispenser des informations et des conseils non seulement sur la teneur et la portée des obligations
légales, mais aussi sur les méthodes et les moyens d’en assurer l’application. Il faut encourager et stimuler plutôt
que sanctionner. L’équilibre, il faut le reconnaître, n’est pas facile à trouver. Les salariés ont le droit de travailler
dans de bonnes conditions de sécurité et de santé, quelle que soit la taille de leur entreprise; il serait peu judicieux
pour un service d’inspection d’ignorer ou de minimiser les risques et de renoncer à exiger l’application de la loi
simplement pour protéger l’existence d’une petite entreprise financièrement fragile.

La cohérence des contrôles

Le métier d’inspecteur est complexe: il exige de bonnes connaissances juridiques, techniques et scientifiques et une
parfaite ob-jectivité. Il n’est pas possible de remplir convenablement cette mission en adoptant une approche
mécaniste. La nécessité de trouver un équilibre délicat entre les fonctions consultative et répressive pose le
problème de la cohérence de l’action des services d’inspection. Les employeurs, les syndicats et les travailleurs ont
le droit d’attendre que les prescriptions légales et les spécifications techniques soient appliquées de façon cohérente
par les inspecteurs du travail, ce qui n’est pas toujours facile dans la pratique.

Plusieurs conditions doivent être remplies pour assurer la cohérence des contrôles. Les inspecteurs doivent
formuler aussi clairement que possible leurs critères techniques et les règles d’application de la loi. Grâce à leur
formation, et en se référant aux instructions internes de leur service et à l’expérience de leurs collègues, ils
devraient être en mesure de reconnaître un problème et d’y apporter une solution. Enfin, la procédure devrait
permettre aux entreprises et aux salariés de déposer un recours s’ils ont des griefs légitimes quant au bon
déroulement d’une inspection et à la cohérence de ses conclusions.

La fréquence des inspections

Quelle doit être la fréquence des inspections? Ici encore, les réponses varient sensiblement. L’Organisation
internationale du Travail (OIT) considère que chaque lieu de travail devrait être contrôlé par l’autorité compétente
au moins une fois par an. Rares sont en pratique les pays qui peuvent se targuer d’atteindre cet objectif. En effet,
depuis la crise économique de la fin des années quatre-vingt, certains gouvernements ont réduit le budget des
services d’inspection, ce qui a eu pour conséquence de diminuer leurs effectifs.

Il existe plusieurs façons d’établir la fréquence des inspections. On peut adopter une démarche purement cyclique:
les ressources disponibles seront déployées de manière à inspecter chaque entreprise tous les deux ans ou, plus
vraisemblablement, tous les quatre ans. Cette méthode, en apparence équitable, a l’inconvénient de mettre sur le
même pied toutes les entreprises, quels que soient leur taille et les risques qu’elles présentent. Il existe de toute
évidence de grandes disparités entre les entreprises en termes de risques professionnels et l’on peut donc
considérer que cette approche mécaniste est imparfaite.

On peut aussi adopter une autre méthode consistant à établir un programme de contrôle basé sur la nature et la
gravité des risques: les inspections seront d’autant plus fréquentes que les risques sont plus importants. On
concentrera donc les ressources sur les risques potentiels les plus élevés. Séduisante à première vue, cette approche
pose quand même des problèmes considérables. Tout d’abord, il est difficile d’évaluer les risques de manière
précise et objective. La méthode conduit à trop espacer les contrôles dans les entreprises où les risques, à tort ou à
raison, sont jugés plutôt faibles; leurs salariés n’auront plus le même sentiment de sécurité et de protection. Par
ailleurs, cette méthode présume que les risques, une fois évalués, ne changent pas radicalement. C’est loin d’être le
cas. Une entreprise jugée sûre pourra modifier ses méthodes de travail ou intensifier ses activités, créant des
risques nouveaux ou augmentant les risques existants, et cela sans que les services d’inspection aient connaissance
de cette évolution.

La périodicité des inspections peut également être fixée en fonction de taux d’accidents supérieurs à la moyenne
nationale dans l’industrie considérée. Enfin, des contrôles spéciaux sont effectués après des accidents mortels ou
des catastrophes majeures. Il n’y a donc pas de réponse toute prête dans ce domaine. En tout état de cause, les
services d’inspection semblent manquer en permanence de moyens dans de nombreux pays, de sorte que la
protection qu’ils assurent s’érode peu à peu.

Les objectifs des contrôles

Les techniques de contrôle varient selon la taille et la complexité de l’entreprise. Dans les PME, le contrôle pourra
être exhaustif et déterminera l’ensemble des risques potentiels ainsi que les précautions correspondantes. Il
permettra de voir si l’employeur est informé des problèmes de sécurité et de santé et s’il bénéficie de conseils
appropriés sur la façon d’y remédier. Il importe toutefois que, même dans les entreprises les plus modestes,
l’inspecteur ne donne pas l’impression que la recherche des défaillances et l’application de mesures appropriées
relèvent de sa responsabilité et non de celle de l’employeur. Les entreprises doivent être incitées à reconnaître et à
gérer efficacement les risques sans abdiquer leurs responsabilités et sans attendre d’y être poussées par les services
d’inspection.

Dans les grandes entreprises, le but des contrôles est quelque peu différent. Elles ont les moyens techniques et
financiers de faire face aux problèmes rencontrés, et il leur appartient de mettre sur pied des structures efficaces et
des procédures aptes à en vérifier le bon fonctionnement. Dans ces conditions, les contrôles consisteront
essentiellement à vérifier et à valider les systèmes de gestion existants; il ne s’agit pas de s’assurer en détail de la
sécurité offerte par chaque machine et chaque installation, mais bien plutôt de tester l’efficacité et la fiabilité des
systèmes de gestion mis en place pour assurer les meilleures conditions possibles de sécurité et de santé.

La participation du personnel aux contrôles

Dans toute entreprise, l’un des éléments essentiels du contrôle est le contact avec les travailleurs. Dans beaucoup de
PME, il n’existe pas de syndicat officiel, ni même de syndicat tout court. Le contact avec les salariés n’en demeure
pas moins indispensable si l’on veut que le contrôle soit objectif et bien accepté. Dans les grandes entreprises, les
inspecteurs devraient toujours se mettre en rapport avec les représentants syndicaux ou les organisations locales de
travailleurs. La législation de certains pays (Suède et Royaume-Uni, notamment) donne un statut officiel et des
pouvoirs aux délégués des travailleurs à la sécurité et leur reconnaît le droit d’inspecter les lieux de travail,
d’enquêter sur les accidents et les situations dangereuses et, dans certains cas exceptionnels, d’arrêter une machine,
une installation ou un processus de production s’il présente un danger imminent. Des informations très utiles
peuvent être obtenues auprès des salariés. Il importe de les contacter à l’occasion de chaque inspection et, en tout
cas, chaque fois qu’un accident grave est survenu ou qu’une plainte a été déposée.

Les conclusions des contrôles

La dernière étape d’un contrôle est l’examen de ses conclusions avec le représentant de la direction qui se trouve
sur place et qui occupe le rang le plus élevé. C’est à lui qu’il incombe de veiller au respect des prescriptions de
sécurité et de santé. Aucune inspection ne saurait être complète sans que la direction sache dans quelle mesure elle
a honoré cette obligation et ce qu’elle doit encore faire pour atteindre ou maintenir un niveau satisfaisant dans ce
domaine. En cas d’injonction prononcée ou de procédure juridique engagée à la suite d’une inspection, la direction
doit naturellement en être informée dans les meilleurs délais.

Les contrôles internes

Les contrôles internes jouent également un rôle important, quelle que soit la taille de l’entreprise considérée. Dans
les grandes entreprises, ils peuvent être intégrés à la procédure de contrôle de la gestion. Il est indispensable, même
dans les entreprises plus petites, d’adopter une forme de contrôles réguliers, sans se fier exclusivement aux visites
des services officiels, qui sont bien trop peu fréquents et qui servent davantage à encourager l’adoption de mesures
appropriées qu’à en évaluer l’efficacité. Des contrôles peuvent également être réalisés par des consultants ou des
associations ou sociétés spécialisées, mais nous nous limiterons ici à ceux qui sont effectués par les entreprises
elles-mêmes.

Quelle doit être la fréquence de ces contrôles? La réponse dépend, dans une certaine mesure, des risques inhérents
à la nature et à la complexité des installations. Même lorsque ces risques sont faibles, il doit y avoir un contrôle
régulier (mensuel, trimestriel, etc.), sous une forme ou une autre. Si l’entreprise emploie un ingénieur ou un agent
de sécurité, l’organisation et la conduite du contrôle doivent faire partie intégrante de ses fonctions. En règle
générale, l’inspection sera confiée à une équipe composée du spécialiste de la sécurité, du responsable de l’unité ou
du contremaître, ainsi que d’un représentant syndical ou d’un travailleur qualifié, le délégué à la sécurité par
exemple. Le contrôle devrait être exhaustif; tous les matériels devraient faire l’objet d’un examen minutieux
(systèmes, procédures, consignes, autorisations de travail, dispositifs de protection, équipement anti-incendie,
ventilation des locaux, vêtements et accessoires de protection, etc.). Une attention particulière sera portée aux
«quasi-accidents», c’est-à-dire aux incidents dangereux qui n’ont pas provoqué de dommages corporels ou
matériels, mais qui sont une source potentielle d’accidents graves. On s’attend, après un accident entraînant un
arrêt de travail, à ce qu’une enquête soit immédiatement ouverte sur les circonstances de cet accident, et cela en
dehors du cycle normal des contrôles. L’équipe d’inspection devrait cependant noter, à l’occasion des contrôles de
routine, les dommages corporels mineurs enregistrés depuis la dernière inspection.

Il est important que ces contrôles n’apparaissent pas comme systématiquement négatifs; s’il y a des fautes, il faut
qu’elles soient identifiées et rectifiées. Il est tout aussi important de féliciter les travailleurs qui ont des ateliers
propres et en bon ordre et qui sont respectueux des consignes de sécurité. Il faut les encourager à utiliser les
équipements de protection individuelle mis à leur disposition. Au terme du contrôle, ses conclusions devraient être
consignées par écrit, et les carences significatives notées. On relèvera en particulier les défauts déjà constatés lors
des contrôles précédents et qui persistent. S’il existe un comité de sécurité ou une commission paritaire direction-
personnel pour la sécurité, le rapport d’inspection sera inclus dans l’ordre du jour de leurs réunions. Il sera
transmis à la direction et débattu avec elle afin qu’elle détermine les mesures à prendre et, éventuellement, les
autorise et les appuie.

Les contrôles sont importants même pour les petites entreprises qui n’ont ni agent de sécurité ni syndicat.
Beaucoup de services officiels d’inspection ont publié des directives exposant de manière simple les concepts de
base de la sécurité et de la santé et fournissent des conseils sur leur application. Par ailleurs, de nombreux
organismes ou associations de prévention diffusent (souvent gratuitement) des notices et des brochures
d’information spécialement destinées aux petites entreprises et qui indiquent comment instaurer de bonnes
conditions de sécurité et de santé. Muni de ces informations et en y consacrant un peu de temps, tout chef
d’entreprise — aussi petite soit-elle — peut aisément élaborer des consignes satisfaisantes et contribuer ainsi à
éviter les accidents et les atteintes à la santé qui peuvent se produire dans son établissement.

L’ANALYSE DES ACCIDENTS

Michel Monteau

Il est paradoxal de constater que la prévention des accidents liés au travail ne soit pas apparue très tôt comme une
impérieuse nécessité, alors que la sécurité est à l’origine même du travail, celui-ci s’étant développé pour assurer la
survie de la communauté. Il faudra en effet attendre le début du XXe siècle pour que l’accident du travail perde son
caractère fatal et que sa causalité devienne un objet d’analyse et l’une des bases de la prévention. Toutefois, cette
pratique est restée longtemps très sommaire et très empirique. Historiquement, l’accident a d’abord été perçu
comme un phénomène simple, c’est-à-dire résultant d’une cause unique (ou principale) puis d’un petit nombre de
causes. L’efficacité de l’analyse des accidents, dont l’objectif est de mettre en évidence les causes du phénomène
pour éviter son renouvellement, dépend à la fois de la conception qui sous-tend cette analyse et de la complexité de
la situation à laquelle elle s’applique.

Les causes des accidents

Il est vrai que dans les situations les plus précaires, l’accident se résume la plupart du temps à un enchaînement
assez simple de quelques causes renvoyant vite à des problèmes techniques fondamentaux qu’une analyse même
sommaire peut faire apparaître (matériel mal conçu, mode opératoire non défini, etc.). En revanche, lorsque les
éléments matériels (machines, installations, disposition des lieux) tendent à être conformes aux exigences
réglementaires, la situation de travail devient de plus en plus sûre et l’accident ne peut alors se produire que
lorsque sont réunies un ensemble de conditions exceptionnelles de plus en plus nombreuses. Dans de tels cas, la
lésion apparaît comme le terme ultime d’un réseau de causes souvent complexe. Cette complexité témoigne des
progrès de la prévention et exige alors des méthodes d’analyse adaptées. Le tableau 57.5 recense les principales
conceptions du phénomène accident, leurs caractéristiques et leurs conséquences essentielles pour la prévention.

Tableau 57.5 Principales conceptions du phénomène accident, avec leurs caractéristiques

et leurs conséquences pour la prévention

Conception du Eléments significatifs Principales conséquences pour

phénomène (objectifs, procédures, limites, la prévention
accident etc.)
Conception L’objectif est d’identifier la cause Mesures de prévention simples
élémentaire unique ou principale concernant l’antécédent
(accident Pas de méthode particulière immédiat de la blessure
comme Peu de temps consacré à (protection individuelle,
phénomène l’analyse consigne de prudence,
paucicausal, Rôle du hasard et de la fatalité protection des mécanismes
voire unicausal) souvent invoqué dangereux)
Conception Accent mis sur la recherche de Prévention généralement limitée
focalisée sur les responsabilité; au rappel des dispositions
aspects l’«enquête» identifie réglementaires existantes ou à
réglementaires essentiellement des infractions des consignes formelles
et des fautes
Se préoccupe rarement des
conditions à l’origine des
situations examinées
Conception Identification d’une succession Conclusions portant en général
linéaire (ou chronologique de «conditions sur les actes dangereux
quasi linéaire) dangereuses» et d’«actions
(modèle des dangereuses»
dominos) Utilisation fréquente de listes de
contrôle
L’analyse reste très dépendante
de l’expérience de l’analyste
Faible partie préventive
(caractère dangereux des actions
déterminées a posteriori)
Conception Recherche de l’exhaustivité dans Conception n’incitant pas à la
multifactorielle le recueil des faits recherche de solutions cas par
(circonstances, causes, facteurs, cas (analyse clinique) mieux
etc.) adaptées à la mise en évidence
Accent mis sur le caractère d’aspects statistiques
contingent de chaque situation (tendances, tableaux, graphes,
accidentelle etc.)
Pas de critère de pertinence
dans les faits recueillis
Nécessité de traitements
statistiques complexes
Conception Mise en évidence du réseau des Méthodes centrées sur l’analyse
systématique facteurs de chaque accident clinique
(ADC, STEP) Utilisation des relations logiques (réalisées de façon participative)
Nécessité d’une formation des Possibilité d’utilisation pour tous
analystes les événements indésirés
(incidents, pannes)

Actuellement, l’accident du travail est généralement considéré comme l’indice (le symptôme) de
dysfonctionnements d’un système constitué par une unité de production — usine, atelier, équipe ou poste de travail.
La notion de système conduit l’analyste à examiner non seulement les éléments qui composent le système, mais
aussi leurs relations. Dans une perspective systémique, l’analyse de l’accident vise à retrouver, jusqu’à leurs
origines, l’enchaînement des dysfonctionnements élémentaires ayant abouti à la lésion et, plus généralement, le
réseau des antécédents de l’événement non désiré (accident, quasi-accident ou incident).
L’application des méthodes de ce type, telles que la méthode STEP (Sequentially Timed Events Plotting Procedures)
ou celle de «l’arbre des causes» (ADC), permet de visualiser le processus accidentel sous la forme d’un graphe fléché
qui rend bien compte de la multicausalité du phénomène. La proximité de ces deux méthodes nous dispensera d’un
double exposé; on se centrera donc sur la méthode dite de «l’arbre des causes» (ADC), en indiquant les principales
différences qu’elle présente avec la méthode STEP.

Les informations utiles à l’analyse

Point de départ de l’analyse, la collecte des informations doit permettre de décrire le déroulement de l’accident en
termes concrets, précis et objectifs. L’analyse s’applique donc à recueillir des faits tangibles en se gardant de les
interpréter ou d’émettre une opinion à leur sujet: ce sont les antécédents de l’accident. Les antécédents recueillis
peuvent être de deux types:

1. Ceux qui présentent un caractère inhabituel (changement, variation) par rapport au déroulement «normal» du
travail.
2. Ceux qui présentent un caractère permanent et qui prennent une part active à la survenue de l’accident par
l’intermédiaire ou avec le concours de faits inhabituels.

Ainsi, la protection insuffisante d’une machine (antécédent permanent) se révèle être un facteur d’accident en
permettant à l’opérateur de se placer dans une zone dangereuse pour pallier un incident (antécédent inhabituel).

La collecte des informations s’effectue sur les lieux mêmes de l’accident et le plus tôt possible après sa survenue.
Elle est réalisée de préférence par une personne connaissant bien l’entreprise et qui s’attache à obtenir une
description précise du travail sans se limiter aux circonstances immédiates de la lésion. Cette collecte
d’informations se fait surtout par interviews, si possible de la victime, puis des témoins oculaires, des coéquipiers et
des responsables hiérarchiques. Il est complété, le cas échéant, par des expertises techniques.

L’analyste s’efforce alors de repérer, en priorité, les antécédents inhabituels et de détecter leurs liaisons logiques. Ce
faisant, il décèle du même coup les antécédents permanents qui ont permis que l’accident survienne. Ainsi, il est
amené à remonter bien en amont des antécédents immédiats de la blessure. Ces antécédents peuvent concerner les
individus (ce qu’ils sont), leurs tâches (ce qu’ils font), le matériel qu’ils utilisent et le milieu où ils évoluent. En
procédant comme il vient d’être indiqué, on peut généralement établir une liste d’antécédents nombreux dont il est
difficile de tirer parti d’emblée. Cela deviendra possible grâce à une représentation graphique de l’ensemble des
antécédents concernant la genèse de l’accident: il s’agit de l’arbre des causes.

La construction de l’arbre des causes

L’arbre des causes présente l’ensemble des antécédents recueillis ayant engendré l’accident, avec l’indication des
liaisons logiques et chronologiques qui relient ces antécédents; c’est une représentation du réseau des antécédents
qui ont provoqué directement ou indirectement la lésion. L’arbre des causes se construit à partir du fait ultime de
l’histoire, c’est-à-dire la lésion, en se posant systématiquement, pour chaque antécédent recueilli, les questions ci-
après:

Par quel antécédent X l’antécédent Y a-t-il été directement provoqué?

L’antécédent X a-t-il été suffisant pour provoquer à lui seul l’antécédent Y?
Sinon, n’y a-t-il pas eu d’autres antécédents (X1, X2, ... Xn) nécessaires également pour provoquer directement
Y?

Ce jeu de questions peut faire apparaître trois types de liaisons logiques entre les antécédents résumés dans la
figure 57.9.

Figure 57.9 Liaisons logiques utilisées dans la méthode de l'arbre des causes
La cohérence logique de l’arbre se contrôle en posant pour chaque antécédent les questions suivantes:

Si X n’avait pas eu lieu, Y serait-il tout de même apparu?

Pour que Y apparaisse, a-t-il fallu X et seulement X?

La construction même de l’arbre des causes incite d’ailleurs le praticien à poursuivre et à compléter, si nécessaire,
la collecte des informations, donc l’analyse souvent très en amont de la lésion. Une fois terminé, l’arbre représente
le réseau des antécédents ayant engendré la lésion et qui sont en fait autant de facteurs de l’accident. A titre
d’exemple, l’accident dont le résumé suit donne lieu à l’arbre des causes de la figure 57.10.

Figure 57.10 Arbre des causes d'un accident survenu à un apprenti mécanicien pendant
le remontage d'un moteur sur une automobile
Compte rendu résumé de l’accident: un apprenti mécanicien récemment embauché est amené à travailler seul en
urgence. Il utilise alors une élingue détériorée pour suspendre le moteur qu’il doit remettre en place. Au cours de
l’opération, l’élingue se rompt et la chute du moteur lui blesse le bras.

L’analyse suivant la méthode STEP

Dans cette méthode (voir figure 57.11), chaque événement est disposé dans un tableau en respectant l’ordre
chronologique de son apparition et en réservant une ligne par «acteur» concerné (c’est-à-dire la personne ou la
chose qui détermine le cours des événements constituant le processus de l’accident). Chaque événement est décrit
avec précision en indiquant son début, sa durée, le lieu, etc. Lorsqu’il existe plusieurs hypothèses plausibles,
l’analyse peut les faire figurer dans le réseau des événements en utilisant la relation logique «ou».

Figure 57.11 Exemple de représentation possible selon la méthode STEP

L’exploitation de l’arbre des causes pour la prévention (analyse clinique de l’accident)

L’exploitation de l’arbre des causes à des fins de prévention répond à deux objectifs:

rendre impossible le retour du même accident;

éviter la survenue d’accidents plus ou moins comparables, c’est-à-dire d’accidents dont les analyses feraient
apparaître des facteurs communs avec des accidents qui se sont produits.

Etant donné la structure logique de l’arbre, l’absence d’un seul antécédent aurait empêché la réalisation de
l’accident. Une mesure de prévention judicieuse suffirait donc, en principe, à éviter le retour du même accident.
Toutefois, le second objectif exigerait que tous les facteurs découverts soient supprimés mais, dans la pratique, les
antécédents ne sont pas tous d’égal intérêt pour la prévention. Aussi convient-il d’établir la liste des antécédents
appelant des actions de prévention concevables et réalistes. Si cette liste est étoffée, un choix s’impose. Ce choix a
d’autant plus de chance d’être pertinent qu’il se réalise dans le cadre d’un débat entre les partenaires concernés par
l’accident. De plus, le débat gagne en clarté dans la mesure où il est possible d’estimer le rapport efficacité/coût de
chaque mesure proposée.

L’efficacité des mesures de prévention

L’efficacité d’une mesure de prévention peut être appréciée à l’aide de plusieurs critères:

La stabilité de la mesure. Les effets d’une mesure de prévention ne doivent pas disparaître avec le temps:
l’information des opérateurs (le rappel des consignes, en particulier) est une mesure peu stable, car ses effets sont
souvent fugitifs. Il en est d’ailleurs de même de certaines protections matérielles lorsqu’elles sont facilement
amovibles.

La possibilité d’intégrer la sécurité. Lorsqu’une mesure de prévention est surajoutée, c’est-à-dire lorsqu’elle ne
concourt pas direc-tement à la production, on dit alors que la sécurité n’est pas intégrée. Dès qu’il en est ainsi, on
observe que la mesure tend à disparaître. D’une façon générale, toute mesure de prévention entraînant un coût
supplémentaire pour l’opérateur doit être évitée, qu’il s’agisse d’un coût physiologique (augmentation de la charge
physique ou nerveuse), d’un coût financier (dans le cas du salaire au rendement), voire d’une simple perte de
temps.

Le non-déplacement du risque. Certaines mesures de prévention peuvent avoir des effets indirects préjudiciables à la
sécurité. Il faut donc toujours envisager les répercussions éventuelles d’une mesure de prévention sur le système
(poste, équipe, atelier) où elle s’insère.

La possibilité d’application générale (la notion de facteur potentiel d’accidents) . Ce critère reflète le souci qu’une
même action de prévention puisse concerner d’autres postes de travail que celui concerné par l’accident analysé.
Chaque fois que cela est possible, il faut s’efforcer de dépasser le cas particulier qui a donné lieu à l’analyse, ce qui
exige souvent une reformulation des problèmes découverts. Par exemple, il ne faut pas se contenter de remplacer
une élingue cassée mais, dans ce cas, il faut envisager le problème, plus général, du matériel désaffecté restant
disponible. L’enseignement tiré d’un accident peut alors entraîner des actions de prévention concernant des
facteurs ignorés, mais présents dans d’autres situations de travail où ils n’ont pas encore provoqué d’accidents.
Pour cette raison, ils sont appelés «facteurs potentiels d’accident». Cette notion ouvre la voie à la détection précoce
des risques abordée plus loin.
L’action sur les «causes» profondes. En règle générale, la prévention de facteurs d’accident proches de la lésion
supprime certains effets des situations dangereuses, tandis que la prévention qui agit très en amont tend à
supprimer l’existence même de telles situations. L’analyse approfondie des accidents trouve sa raison d’être dans la
mesure où l’action de prévention concerne également les facteurs en amont.

Les délais d’application. La nécessité d’agir le plus rapidement possible après la survenue d’un accident pour en
éviter le retour se traduit souvent par l’application d’une mesure de prévention simple (une consigne, par exemple),
mais celle-ci ne doit pas dispenser d’autres actions plus durables et plus efficaces. Tout accident doit donc donner
lieu à un ensemble de propositions dont la réalisation fait l’objet d’un suivi.

Les critères qui viennent d’être énumérés sont destinés à mieux apprécier la qualité des actions de prévention
proposées à la suite de chaque analyse d’accident. Cependant, le choix définitif ne se fait pas uniquement sur ces
bases; d’autres considérations, économiques ou sociales, peuvent également entrer en ligne de compte. Enfin, les
mesures retenues doivent évidemment respecter les dispositions réglementaires en vigueur.

Vers une gestion de la sécurité

Les enseignements tirés de l’analyse de chaque accident méritent d’être consignés de façon systématique dans le
but de faciliter le passage de la connaissance à l’action. Ainsi, la figure 57.12 se compose de trois colonnes. Dans
celle de gauche, on note les facteurs d’accident justiciables de mesures de prévention. Les mesures de prévention
possibles sont décrites dans la colonne centrale en regard de chaque facteur retenu. Après la discussion évoquée
précédemment, les actions retenues sont cochées dans ce même document.

Figure 57.12 Enseignements tirés des accidents

La colonne de droite comprend les facteurs potentiels d’accident suggérés par les facteurs inscrits dans la colonne
de gauche: on considère que chaque facteur d’accident découvert n’est souvent qu’un cas particulier d’un facteur
plus général appelé facteur potentiel d’accident. Le passage du cas particulier au cas plus général est souvent fait
spontanément. Cependant, chaque fois qu’un facteur d’accident est exprimé de telle façon qu’il n’est pas possible de
le rencontrer ailleurs que dans la situation où il est apparu, il faut réfléchir à une formulation plus générale. Ce
faisant, il faut éviter deux écueils opposés pour utiliser efficacement la notion de facteur potentiel d’accident dans
la détection précoce des risques réalisée par la suite: une formulation trop circonscrite ne permet pas un dépistage
systématique, tandis qu’une formulation trop large rend la notion non opérationnelle et ne présente plus d’intérêt
pratique. Le dépistage des facteurs potentiels d’accident repose donc sur une bonne formulation de ces facteurs. Ce
dépistage peut alors être réalisé de deux façons, d’ailleurs complémentaires:

1. Soit en recherchant la présence éventuelle de facteurs potentiels déjà connus au niveau d’un poste de travail
ou d’un ensemble plus vaste (atelier, service).
2. Soit en recherchant les postes de travail où un facteur déterminé peut être observé.

L’intérêt, l’efficacité et les limites de l’analyse des accidents

L’intérêt . Les méthodes d’analyse des accidents issues d’une conception systémique présentent de nombreux
avantages dont les trois principaux sont mentionnés ci-après:

elles permettent de dégager collectivement le réseau causal de chaque accident à partir duquel il est plus facile
de concevoir des mesures de prévention nouvelles et de prévoir leur impact, sans se limiter aux causes
directes de la lésion;
elles fournissent aux personnes concernées par l’analyse une représentation mentale du «phénomène
accident» plus réaliste, c’est-à-dire plus riche, facilitant une appréhension globale des situations de travail;
l’analyse approfondie des accidents (en particulier lorsqu’elle s’étend aux incidents et aux événements non
souhaités) peut devenir un moyen et une occasion propices au dialogue entre la hiérarchie et le personnel
d’exécution.

L’efficacité. En contrepartie, l’efficacité de la pratique des analyses d’accidents implique que les quatre conditions
suivantes soient réunies:

1. Un engagement manifeste du chef d’établissement, qui doit être en mesure de s’assurer de la mise en œuvre
systématique des procédures adoptées.
2. Une formation adéquate des analystes.
3. Une information complète du personnel et, en particulier, de l’encadrement (buts poursuivis, principes de
l’analyse, exigences de la méthode, résultats attendus).
4. Des améliorations concrètes des conditions de sécurité susceptibles d’encourager le personnel impliqué dans
les efforts d’analyse.

Les limites. Même si elle est très bien réalisée, l’analyse des accidents connaît cependant une double limitation:

elle reste une procédure d’analyse a posteriori des risques (analyses rétrospectives) destinée à corriger les
situations existantes. Elle ne dispense donc pas des analyses a priori (analyses prospectives) telles que
l’analyse ergonomique des postes de travail ou, pour les systèmes complexes, des analyses de sûreté;
l’intérêt des analyses d’accidents varie également selon le niveau de sécurité de l’entreprise où elles
s’appliquent. En particulier, lorsque le niveau de sécurité d’une entreprise est élevé (taux de fréquence faible
ou très faible), on constate que les accidents graves qui surviennent résultent de la conjonction de faits
nombreux indépendants et relativement anodins du point de vue de la sécurité (aléas divers) lorsqu’ils sont
considérés de façon isolée hors de leur contexte.

LA NOTIFICATION DES ACCIDENTS ET LA COMPILATION DES

STATISTIQUES
Kirsten Jørgensen

La nécessité de collecter et de compiler des données sur les accidents

La collecte et l’analyse de données sur les accidents du travail ont comme premier but de réunir des informations
qui serviront à prévenir les lésions, les accidents mortels et les autres formes de dommages corporels, comme les
maladies chroniques dues à l’exposition à des substances toxiques. Ces données sont également utiles pour décider
des prestations à accorder aux victimes d’accidents. La collecte de ce type de données a d’autres fins plus
spécifiques, parmi lesquelles on peut citer:

l’identification des causes des accidents et l’estimation de leur ampleur;

l’identification des mesures préventives éventuellement nécessaires et leur classement par ordre d’urgence;
l’évaluation de l’efficacité de ces mesures;
la surveillance des risques, la publication de mises en garde et la conduite de campagnes de sensibilisation;
l’information des responsables.

Il est souvent souhaitable d’avoir des chiffres concernant l’ensemble des accidents survenus au cours d’une année.
A cette fin, on compare le nombre d’accidents à une mesure liée au groupe de risque et exprimée, par exemple, par
centaine de milliers de salariés ou d’heures de travail. Ce décompte annuel révèle les écarts dans les taux
d’accidents d’une année sur l’autre. Toutefois, si ces chiffres peuvent indiquer le type d’accidents qui requièrent
une action préventive urgente, ils ne donnent aucune indication sur la forme qu’elle devrait revêtir.

Les informations concernant les accidents sont nécessaires à trois niveaux:

 au niveau des lieux de travail, où elles sont utilisées dans des actions locales de prévention. C’est à ce niveau
que l’on trouve les meilleures possibilités d’analyser des facteurs de risque particuliers;
au niveau des autorités législatives, ces informations servent à réglementer les conditions de travail et à
promouvoir la sécurité. Il est ainsi possible non seulement d’exercer un contrôle sur les lieux de travail, mais
aussi d’effectuer des analyses statistiques générales qui serviront à la prévention;
au niveau des autorités chargées de la réparation, elles servent à déterminer les taux d’incapacité de travail et
d’indemnisation.

Le rôle de l’entreprise dans la collecte des informations

Dans de nombreux pays, les entreprises sont légalement tenues de dresser des statistiques sur les accidents du
travail entraînant des dommages corporels, des décès ou des maladies professionnelles. Cette obligation a pour but
d’attirer l’attention sur les risques et les circonstances qui ont donné lieu à ces accidents et d’inciter les entreprises
à concentrer sur eux leurs efforts de prévention. En général, les données sont le plus souvent collectées de manière
systématique, fonction correspondant généralement à un niveau hiérarchique élevé.

Les circonstances de la plupart des accidents étant particulières, il est rare qu’il se produise plusieurs accidents
exactement identiques; de ce fait, la prévention basée sur l’analyse des accidents au cas par cas a rarement une
portée générale. En analysant systématiquement les informations sur les accidents, on peut avoir une image plus
large des activités comportant des risques spécifiques et découvrir des facteurs secondaires de causalité. Un
procédé de production particulier, un poste de travail donné ou une tâche particulière peuvent provoquer des
accidents très particuliers eux aussi. Mais un examen approfondi des types d’accidents associés à un type de travail
donné peut faire apparaître d’autres facteurs causals comme des procédés mal conçus, une utilisation erronée des
matières mises en œuvre, des conditions de travail difficiles ou l’absence d’instructions précises. L’analyse des
accidents récursifs devrait révéler les causes fondamentales à traiter dans le cadre d’une action préventive.

La communication d’informations aux autorités compétentes

La législation concernant la déclaration des accidents du travail et des cas de maladies professionnelles aux
autorités compétentes varie considérablement d’un pays à l’autre, notamment en ce qui concerne les catégories
d’employeurs assujettis à la loi. Les pays qui accordent une grande place à la sécurité exigent généralement que les
informations sur les accidents soient communiquées à l’autorité responsable de l’application de la législation en la
matière; dans certains cas, la loi exige que soient signalés les accidents du travail entraînant un arrêt de un à trois
jours après le jour de l’accident. La plupart des législations associent la déclaration et la notification en vue d’une
réparation.

Pour fournir des bases saines aux efforts de prévention, il importe de réunir des informations concernant tous les
secteurs d’activité et tous les types de métiers. Une base de comparaison doit exister au niveau national pour classer
les actions préventives par ordre de priorité et pour que la connaissance des risques inhérents aux tâches
spécifiques à telle ou telle industrie puisse servir à la prévention. La collecte des informations sur les accidents du
travail au niveau national devrait donc s’étendre à tous les accidents présentant un certain degré de gravité, qu’ils
concernent des salariés, des artisans, des travailleurs temporaires ou permanents, le secteur public ou le secteur
privé.

Si les employeurs, en règle générale, sont tenus de déclarer les accidents, ils ne le font pas toujours avec la même
diligence. Le degré de respect de cette obligation dépend de l’intérêt qu’ils y trouvent. Dans certains pays, par
exemple, les employeurs se voient rembourser le salaire versé à la victime pendant l’arrêt de travail, une
disposition qui leur donne une bonne raison de déclarer les accidents. D’autres pays pénalisent les entreprises qui
ne signalent pas les accidents survenus chez elles. Lorsqu’il n’existe pas d’encouragements ou de sanctions de ce
genre, les employeurs ne respectent pas toujours leurs obligations légales. Il est bon par ailleurs que les
informations destinées à des actions de prévention soient communiquées aux organismes responsables de ces
actions et soient séparées de celles qui s’adressent à l’institution chargée de la réparation.

Quelles informations réunir?

Trois types d’informations générales peuvent être tirées de la déclaration des accidents:

des informations qui indiquent où les accidents se produisent (branches d’activité, métiers, procédés, etc.).
Elles pourront servir à déterminer où une action préventive est nécessaire;
des informations sur la forme des accidents, les situations dans lesquelles ils surviennent et le type de lésions
qu’ils provoquent. Elles peuvent aider à définir le type d’action préventive;
des informations sur la nature et la gravité des lésions, indiquant par exemple les parties du corps atteintes et
les séquelles sur la santé. Elles permettent de classer les mesures préventives par ordre de priorité , afin de les
mettre en œuvre là où les risques sont les plus élevés.

Il faut recueillir un ensemble de données de base pour déterminer exactement quand et où un accident se produit
et en analyser les modalités. Les données rassemblées par les entreprises sont plus détaillées que celles collectées
au niveau national, mais les rapports locaux contiennent des informations qui seront utiles à tous les niveaux. Le
tableau 57.6 illustre les différents types d’informations pouvant être réunies lors de la description d’un accident
donné. Les éléments qui intéressent plus spécialement les statisticiens sont indiqués ci-après.

Tableau 57.6 Informations caractérisant un accident

Actions Eléments
Etape 1
Activité de la victime: conduite d’une Elément lié à l’activité de la victime:
machine, maintenance, conduite presse mécanique, outil, véhicule,
d’un véhicule, marche, etc. sol, etc.
Etape 2
Déviation: explosion, défaillance Elément lié à la déviation: récipient
structurelle, faux pas, perte de sous pression, mur, câble, véhicule,
contrôle, etc. machine, outil, etc.
Etape 3
Action ayant entraîné la lésion: choc, Agent de la lésion: brique, sol,
écrasement, contact, morsure, etc. machine, etc.

Numéro de référence de l’accident . Un numéro de référence unique doit être attribué à chaque accident du travail. Il
est préférable d’utiliser un code d’identification numérique pour faciliter l’informatisation des données et leur
traitement ultérieur.

Numéro d’identification personnel et date . Il est essentiel que la victime soit reliée à l’accident qui la concerne par
un numéro d’identification personnel qui peut être sa date de naissance, son numéro de sécurité sociale ou tout
autre identificateur qui lui soit propre. Enregistrer à la fois le numéro d’identification personnel et la date de
l’accident permet d’éviter que le même accident soit enregistré deux fois et également de vérifier qu’il l’a bien été.
Le lien entre les informations figurant dans le rapport d’accident et le numéro d’identification personnel peut être
protégé pour des raisons de sécurité.

Nationalité . La nationalité de la victime peut être une information particulièrement importante dans les pays
comptant une forte main-d’œuvre étrangère. On peut choisir un numéro de code à deux chiffres dans la liste de la
norme ISO 3166-1 (ISO, 1997).

Profession . Un numéro de référence peut être choisi dans la liste des codes internationaux à quatre chiffres
figurant dans la Classification internationale type des professions (CITP) (BIT, 1990).

Entreprise. Le nom, l’adresse et le numéro d’identification de l’entreprise sont inclus dans les dossiers d’accidents au
niveau national (mais le nom et l’adresse ne peuvent figurer dans le fichier informatique). Généralement, le secteur
production de l’entreprise est enregistré en précisant le nom de l’assureur couvrant les accidents du travail ou le
numéro d’immatriculation des opérateurs. Un numéro d’identification peut être attribué selon le système
international de classification à cinq chiffres NACE.

Opération (tâche effectuée au moment de l’accident) . Une description de l’opération effectuée au moment où
l’accident s’est produit est essentielle. Son identification précise est indispensable pour bien cibler les actions de
prévention. Dans ce contexte, l’opération est la tâche que la victime était en train d’exécuter au moment de
l’accident; elle ne se confond pas nécessairement avec le processus industriel correspondant.

Accident . Un accident est généralement le résultat d’une chaîne ou séquence d’événements. Les enquêteurs ont
souvent tendance à se concentrer sur la partie de la chaîne où se situent les dommages corporels. Du point de vue
de la prévention, toutefois, il est tout aussi important de préciser à quel moment de la chaîne la situation a
commencé à se dégrader et ce que faisait la victime au moment de l’accident.

Conséquences de l’accident . Après avoir situé de façon précise l’emplacement et décrit la nature des lésions (en
partie à l’aide de codes portés sur une grille de recueil de données et en partie par la description de la chaîne
d’événements), on précise la gravité de ces lésions, si elles ont entraîné un arrêt de travail (de quelle durée), une
invalidité ou le décès de la victime. Des informations détaillées sur les arrêts de travail de longue durée, les durées
d’hospitalisation et le type et le degré d’invalidité sont généralement disponibles auprès des institutions de sécurité
sociale.

Pour compléter le dossier, on retient généralement les trois points ci-après:

L’activité associée à un accident est celle exercée par la victime au moment de l’accident. Elle est identifiée par
deux codes, dont l’un désigne la tâche exécutée et l’autre la technologie utilisée. Le concept de technologie est
pris ici au sens large et couvre aussi bien les machines, les matériaux, les parties des bâtiments que les
animaux. Il n’existe pas actuellement de classification internationale pour la technologie, bien que le
Danemark ait mis au point un système de classification à cette fin.
Le fait accidentogène est l’événement qui a abouti à l’accident. Il est identifié par un code désignant la
déviation elle-même, accompagné d’un ou de deux autres codes correspondant à la technologie.
 Les modalités de survenue de l’accident sont identifiées par deux codes: le premier indique la façon dont la
victime a été touchée par le facteur de causalité des lésions, et le second, la technologie en cause.

Les exemples qui suivent illustrent l’application de ces points:

1. Si un travailleur trébuche sur un tuyau en marchant, tombe et heurte de la tête une table, l’activité est la
marche, le fait accidentogène est le faux pas et les modalités de survenue de l’accident sont le choc de la tête
contre la table.
2. Un travailleur se trouve près d’un mur; une cuve explose, provoquant l’effondrement du mur sur la victime.
L’activité est le fait de se tenir près du mur, le fait accidentogène est l’explosion de la cuve et les modalités de
survenue de l’accident sont l’écroulement du mur sur la victime.

La présentation des données

Les informations à réunir pour chaque accident peuvent être présentées sous une forme semblable à celle de la
figure 57.13.

Figure 57.13 Exemple de fiche d'accident

Les informations ainsi rassemblées pourront être saisies sur ordinateur à l’aide de codes de classification (lorsqu’il
existe des systèmes internationaux de classification, ils sont mentionnés dans les données individuelles décrites
plus haut). Le Service danois d’étude du milieu de travail a mis au point des modes de classification concernant
d’autres variables utilisées pour documenter les accidents du travail; les principes d’établissement d’un système de
documentation uniforme font partie d’un projet préparé par l’Union européenne.

L’exploitation des statistiques d’accidents

Les statistiques d’accidents sont un instrument précieux à plusieurs titres: cartographie des accidents, surveillance
et alerte, ciblage des actions de prévention, mesures de prévention, recherche d’informations. Un domaine peut
empiéter sur l’autre, mais les principes d’applications varient.

La cartographie

Pour dresser une carte des accidents du travail, il faut extraire certains types d’informations de la masse des
données accumulées et de l’analyse des liens qui existent entre ces données. Quelques exemples illustreront l’utilité
de cette application.

Carte des branches d’activité . Les données relatives aux branches pourront servir à créer une carte en
sélectionnant les informations contenues dans une base de données avant de les analyser. Si une industrie
comme celle du bâtiment, par exemple, présente un intérêt particulier, on sélectionnera les rapports classés
selon le système international ISIC (International Standart Industrial Classification) et codés de 50 000 à 50 199
(bâtiment et construction). On peut ensuite établir une carte indiquant, par exemple, la situation géographique
des entreprises de ce secteur, et l’âge, le sexe et la profession de chaque victime.
Carte des lésions. Si la sélection est basée sur une catégorie particulière de lésions, les informations pourront
servir à établir une carte montrant, par exemple, les professions dans lesquelles ces accidents se produisent,
les groupes d’âge touchés, les activités pendant lesquelles surviennent les accidents et le type de technologie le
plus souvent impliqué.
Carte des entreprises . La tendance des accidents au sein d’une entreprise (qui sont un reflet des conditions de
travail internes) peut être évaluée en dressant la carte des accidents du travail déclarés pendant un certain
laps de temps. L’entreprise pourra aussi comparer sa situation en matière de technologie, de composition du
personnel et d’autres critères avec l’ensemble de sa branche d’activité et déterminer ainsi si elle se situe à un
niveau acceptable. De plus, si un secteur industriel présente certaines difficultés liées aux conditions de
travail, il sera intéressant de déterminer si ces difficultés se retrouvent dans l’entreprise considérée.

La surveillance et l’alerte

La surveillance est un processus continu qui se double d’un système d’alerte en cas de risques majeurs et,
notamment, de variation significative de ces risques. On parle de risque majeur lorsque la fréquence des accidents
est élevée, les lésions occasionnées sévères et les groupes d’individus exposés nombreux. Les rapports d’accidents
peuvent révéler une modification des procédures de notification ou, ce qui est plus grave, une évolution inquiétante
des facteurs de risque.

L’établissement de priorités

L’établissement de priorités permet de sélectionner les secteurs de risques ou les problèmes les plus importants aux
fins d’actions préventives. En partant des cartes et des activités de surveillance et d’alerte, on peut dresser une liste
des priorités qui tienne compte:

des risques susceptibles de déboucher sur des accidents graves;

des risques ayant de fortes possibilités de provoquer des dommages corporels à une fraction importante des
travailleurs exposés;
des risques auxquels sont exposés des groupes importants de travailleurs.

Les données figurant dans un registre des accidents du travail peuvent servir à établir des priorités à plusieurs
niveaux, celui de l’entreprise ou celui du pays tout entier. Les analyses et les évaluations pourront, dans chaque cas,
être conduites selon les mêmes principes.

Les mesures de prévention

Les analyses et la documentation servant à orienter les actions de prévention sont généralement très spécifiques et
concentrées sur des secteurs précis qui peuvent être étudiés en profondeur. La campagne contre les accidents
mortels menée au Danemark par le Service national d’inspection du travail en offre un bon exemple. Des cartes
avaient été dressées en vue d’identifier les professions et les activités où l’on avait enregistré des accidents mortels.
Les tracteurs agricoles ont été sélectionnés comme cible d’analyse visant à déterminer ce qui rendait ces engins
aussi dangereux. Il fallait savoir qui les conduisait, où ils étaient utilisés, quand les accidents se produisaient et, en
particulier, quels types de situations ou de conditions conduisaient à un accident. L’étude a permis de reconnaître
sept situations typiques qui généraient le plus grand nombre d’accidents et d’élaborer un programme de prévention
fondé sur ces conclusions.

Le nombre des accidents du travail survenus dans une entreprise donnée est souvent trop faible pour permettre
d’en tirer des indications valables pour la prévention. L’analyse des accidents déclarés peut contribuer à une
réduction des accidents similaires, mais demeure sans effet dès lors qu’il s’agit d’éviter des accidents différents. A
moins que l’étude ne porte sur une grande entreprise, il vaut mieux travailler sur un groupe d’entreprises
similaires appartenant à la même branche d’activité économique.

La recherche d’informations

L’une des utilisations les plus courantes des dossiers d’accidents et des archives qui s’y rapportent est le rappel
d’informations spécifiques aux fins de recherche. Ainsi, une étude devant servir à préparer un projet de règlement
sur les travaux en toiture a permis, en analysant les types d’accidents liés à cette activité, de réfuter l’opinion
générale selon laquelle les couvreurs se blessent rarement en tombant d’un toit.

RÉFÉRENCES BIBLIOGRAPHIQUES
Advisory Committee on Major Hazards, 1984: First, Second and Third Reports (Londres, HMSO).

Bennis, W.G., Benne, K.D. et Chin, R. (directeurs de publication), 1985: The Planning of Change (New York, Holt,
Rinehart and Winston).

Bureau international du Travail (BIT), 1990: Classification internationale type des professions (CITP) (Genève).

Casti, J.L., 1990: Searching for Certainty: What Scientists Can Know About the Future (New York, W. Morrow).

Charsley, P., 1995: «HAZOP and risk assessment (DNV London)», Loss Prevention Bulletin, vol. 124, pp. 16-19.

Cornelison, J.D., 1989: MORT Based Root Cause Analysis, Working Paper No. 27 (Idaho Falls, Etats-Unis, System Safety
Development Center).

Gleick, J., 1987: Chaos: Making a New Science (New York, Viking Penguin).

Groeneweg, J., 1996: Controlling the Controllable: The Management of Safety, 3e édition révisée (Leyde, Pays-Bas,
DSWO Press, Leiden University).

Haddon, W., 1980: «The basic strategies for reducing damage from hazards of all kinds» Hazard Prevention, sept.-
oct., pp. 8-12.

Health and Safety Executive, 1991: Successful Health and Safety Management (Londres, HMSO).

Hendrick, K. et Benner, L., 1987: Investigating Accidents with STEP (New York, Marcel Dekker).

Johnson, W.G., 1980: MORT Safety Assurance Systems (New York, Marcel Dekker).

Kjellén, U. et Tinmannsvik, R.K., 1989: SMORT– Säkerhetsanalys av industriell organisation (Stockholm,

Arbetarskyddsnämnden).

Kletz, T., 1988: Learning from Accidents in Industry (Londres, Butterworth).

Knox, N.W. et Eicher, R.W., 1992: MORT User’s Manual, Report No. SSDC-4, Rev. 3 (Idaho Falls, Etats-Unis, System
Safety Development Center).

Kruysse, H.W., 1993: Conditions for Safe Traffic Behaviour, thèse de doctorat, Faculté des sciences sociales de
l’Université de Leyde, Pays-Bas.

Nertney, R.J., 1975: Occupancy-use Readiness Manual – Safety Considerations, Report No. SSDC-1 (Idaho Falls, Etats-
Unis, System Safety Development Center).

Organisation internationale de normalisation (ISO), 1993-1997: ISO 9000: Normes pour le management de la qualité
et l’assurance de la qualité – Parties 1 à 4 (Genève).

—. 1994: ISO 9001: Systèmes qualité – Modèle pour l’assurance de la qualité en conception, développement, production,
installation et prestations associées (Genève).

—. 1997: ISO 3166-1: Codes pour la représentation des noms de pays et de leurs subdivision. Partie 1: Codes pays
(Genève).
Pascale, R.T.A. et Athos, A.G., 1980: The Art of Japanese Management (Londres, Penguin).

Peters, T.J. et Waterman, R.H., 1982: In Search of Excellence. Lessons from America’s Best-run Companies (New York,
Haysen and Row).

Petroski, H., 1992: To Engineer is Human: The Role of Failure in Successful Design (New York, Vintage).

Rasmussen, J., 1988: Information Processing and Human-machine Interaction, and Approach to Cognitive Engineering
(Amsterdam, Elsevier).

Reason, J.T., 1990: Human Error (Cambridge, Cambridge University Press).

Reason, J.T., Shotton, R., Wagenaar, W.A. et Hudson, P.T.W., 1989: TRIPOD. A Principled Basis for Safer Operations,
rapport préparé pour Shell Internationale Petroleum Maatschappij, Exploration and Production.

Roggeveen, V., 1994: Care Structuur in Arbeidsomstandighedenzorg, Reader of the Post Hoger Onderwijs Hogere
Veiligheids course, Amsterdam.

Ruuhilehto, K., 1993: «The management oversight and risk tree (MORT)», dans J. Suokas et V. Rouhiainen (directeurs
de publication): Quality Management of Safety and Risk Analysis (Amsterdam, Elsevier).

Schein, E.H., 1989: Organizational Culture and Leadership (Oxford, Jossey-Bass).

Scott, W.R., 1978: «Theoretical perspectives», dans M.W. Meyer (directeur de publication): Environments and
Organizations (San Francisco, Jossey-Bass).

Van der Schrier, J.H., Groeneweg, J. et van Amerongen, V.R., 1994: Accident Analysis Using the TRIPOD Top-Down
Method, thèse de maîtrise, Centre de recherche pour la sécurité de l’Université de Leyde, Pays-Bas.

Wagenaar, W.A., 1992: «Influencing human behavior. Toward a practical approach for E & P», Journal of Petroleum
Technology, vol. 11, pp. 1261-1281.

Wagenaar, W.A. et Groeneweg, J., 1987: «Accidents at sea: Multiple causes and impossible consequences»,
International Journal of Man-Machine Studies, vol. 27, pp. 587-598.

RÉFÉRENCES COMPLÉMENTAIRES
Heselmans, M., Roels, J., Stijnen, J., Van de Kerckhove, J. et Van Gils, E., 1994: The Pellenberg Audit System, PAS (en
néerlendais) (Louvain, Belgique, Garant).

Van Gils, E., 1993: Safety Management System Elements. A Point of View of the Belgian Labour Inspectorate based on
ISO 9001, Industry Proceedings CEC Seminar, Ravello.

Partie VIII. Accidents et gestion de la sécurité English