Cairn.info - Contribution individuelle à la sécurité du collectif : l'exemple de la régulation du SAMU

Mon compte |

Mon panier d'achats |

Ma bibliographie

Contacts |

Aide

· Accès distant · Mot de passe oublié

· Recherche avancée

Le travail humain
P.U.F.

I.S.B.N.2130526969
96 pages

p. 217 à 242
doi: 10.3917/th.653.0217

Veille sur la revue
Veille sur l'auteur

S'abonner à la revue

Vous consultez

Volume 65 2002/3

Discipline > Revue > Sommaire > Article

Télécharger cet article en PDF

Contribution individuelle à la sécurité du collectif : l’exemple de la régulation du SAMU

J. Marc IMASSA, Département Sciences cognitives, BP 73, 91223 Brétigny-sur-Orge. E.mail : ramalberti@ imassa. fr. R. Amalberti IMASSA, Département Sciences cognitives, BP 73, 91223 Brétigny-sur-Orge. E.mail : ramalberti@ imassa. fr.

Résumé de l'article

The paper presents a study on the contribution of individuals to group safety. The terrain was the telephone medical emergency regulation of Paris’s SAMU. The method consisted during a two months period in observing and coding the safety events related to a telephone operator’ work, member of the medical telephone regulation team. The regular team included 2 to 3 telephone operators and 1 or 2 physicians (depending on the workload), and their goal was to provide assistance to patients calling for a medical problem. Note that the observer only focused on the activity of one telephone operator. This point of view was definitively asymmetric for the very purpose of the research. It allowed as well a close monitoring of the errors of this telephone operator, as a diary of all safety procedures initiated by this telephone operator vis-à-vis the group. The analysis dealt with verbal protocols (plus context observations). The coding scheme describes the safety-related events in relation with the context, the group activity, and the mode control of the situation. Results show that most safety-related events, beside those related to a classic self detection and recovery of errors of the observed telephone operator, are alerting and preventive actions to increase group awareness about a potential lose control of affairs. The control of risk relies on two different logic : on the one hand, an immediate recovery of some errors, and on the other hand, a middle term preventive strategy enhancing the COFOR (Common frame of reference). In conclusion, the paper suggests a framework model of the contribution of individual to group safety, that opens on a dynamic and ecological comprehension of safe team working. Keywords : Safety, Collective Management of Error, Emergency Medicine. L’article présente une recherche sur la contribution d’un individu à la sécurité du collectif auquel il appartient. L’étude a été réalisée à la régulation du SAMU. La méthode reposait sur l’observation et l’analyse d’ “ histoires de gestion d’appels de patients ”, recueillies sur une période de deux mois. Le point de vue choisi a toujours été celui d’un observateur neutre situé derrière le même opérateur de l’équipe, volontairement asymétrique pour l’objectif de l’étude. Il favorisait une détection des erreurs commises par l’opérateur observé (à cause de sa proximité), et une analyse fine des actions de sécurité intentées par cet opérateur vis-à-vis du collectif et vice versa. L’analyse a reposé sur les notes d’observation (protocoles verbaux et contextes d’histoires) en mettant en relation les événements de sécurité observés avec le contexte, le type d’activité du collectif, et les modes de contrôle de la situation. Les résultats montrent, à côté d’une activité classique autodirigée vers ses propres erreurs, que l’opérateur observé intervient fréquemment au niveau du collectif pour l’alerter contre un potentiel d’erreur non encore avéré par les faits. La régulation du risque utilise deux logiques différentes : une régulation des erreurs sur le court terme et une régulation préventive sur le moyen terme par des actions de renforcement de la représentation commune de la situation. L’article présente en conclusion un modèle cadre d’analyse de la contribution de l’individu dans la sécurité du collectif, qui ouvre sur une compréhension dynamique et écologique de la gestion sûre de l’activité collective. Mots-clés : Sécurité, Gestion collective de l’erreur, Médecine d’urgence.

Plan de l'article

• I. INTRODUCTION

• II. SÉCURITÉ ET TRAVAIL COLLECTIF

— II . 1. LA SÉCURITÉ AU NIVEAU DE L’INDIVIDU

— II . 2. DE L’INDIVIDU AU COLLECTIF : PROLONGEMENTS ET PHÉNOMÈNES SURAJOUTÉS DE SÉCURITÉ

— II . 3. SYNTHÈSE ET POSITIONNEMENT DE L’ÉTUDE

• III. TERRAIN OBSERVÉ ET MÉTHODE

— III . 1. LE TERRAIN : LA RÉGULATION DU SAMU 75

— III . 2. MÉTHODOLOGIE DE RECUEIL ET D’ANALYSE DES DONNÉES

— III . 3. CODAGE DES DONNÉES

• IV. RÉSULTATS

— IV . 1. COMPOSITION DE L’ÉCHANTILLON OBSERVÉ

— IV . 2. RÉPARTITION ET NATURE DES ÉVÉNEMENTS

— IV . 3. CONTEXTE DE COOPÉRATION AU MOMENT DE L’ÉVÉNEMENT

— IV . 4. MODES DE CONTRÔLE DES ÉVÉNEMENTS

• V. DISCUSSION

— V . 1. SYNTHÈSE DES RÉSULTATS

— V . 2. INTERPRÉTATION

— V . 3. PEUT-ON VALIDER CE FONCTIONNEMENT NATUREL DU GROUPE, ET CES STRATÉGIES SPONTANÉES DE SÉCURITÉ QU’APPLIQUENT LES INDIVIDUS ?

— IV . 4. QUELLES SOLUTIONS, QUE FAIRE POUR PRENDRE EN COMPTE CES RÉSULTATS SUR LE TERRAIN, AVEC TOUTES LEURS QUALITÉS ET LEURS LIMITES ?

• VI. CONCLUSION

— REMERCIEMENTS

• BIBLIOGRAPHIE

I. INTRODUCTION

La sécurité dans le travail collectif est un sujet de préoccupation croissante pour la médecine du travail dans l’industrie et les services. Pourtant, curieusement, les outils et même les connaissances fines sur les aspects relatifs aux erreurs collectives et à la gestion de la sécurité collective font défaut.

En effet, si la littérature sur le travail collectif part souvent du constat de la défaillance du collectif (à partir des enquêtes d’accidents ou d’incidents), elle n’en fait que très indirectement et modestement un thème de recherche et met clairement ses priorités sur les thèmes de la formation, de l’organisation du collectif ou de l’assistance à la performance de ce collectif.

Dans la pratique, les conséquences de cette absence de théorisation sont importantes car le vide est remplacé par une approche na ïve ou de « bon sens » sur la sécurité. Ces stratégies na ïves, déjà rencontrées dans les approches individuelles, sont très largement normatives, inspirées de la démarche de qualité et assimilent le problème des collectifs sûrs au suivi des protocoles et à l’évitement de l’erreur. On sait que les résultats de telles approches ne sont pas négligeables, surtout quand les marges de gain sont encore importantes et que le niveau de sécurité est encore modeste. Mais, pour progresser au- delà, on peut faire l’hypothèse que ces approches na ïves sur la sécurité collective sont porteuses de contresens et vont devoir passer par les mêmes affinements que les théories sur la gestion des risques individuels. Les théories écologiques à l’échelon individuel montrent en effet que les boucles de régulation et de maîtrise du risque sont beaucoup plus complexes que le simple évitement de l’erreur. (Amalberti, 2001a), et il n’y aucune raison de penser qu’il n’en va pas de même à l’échelle du collectif.

Cet article essaie d’identifier ces régulations fines de sécurité dans le collectif. Le parti pris choisi est celui d’une étude qui s’adresse à une dimension relativement locale du collectif (l’équipe de travail), regardée par l’ergonomie cognitive, avec son champ théorique et ses méthodes, ainsi qu’une approche aussi instrumentale que possible.

Le terrain observé est celui de la régulation du SAMU 75. La régulation des secours médicaux sur la voie publique met en jeu une petite équipe, regroupant plusieurs métiers, travaillant 24 heures sur 24 au téléphone avec une responsabilité importante et dont l’efficacité repose, pour une grande partie, sur les moyens modernes de communications. En cela, c’est un terrain d’une exceptionnelle qualité pour mieux comprendre la gestion collective des problèmes de sécurité.

L’article présente quatre parties : une première partie rappelle les principaux acquis en matière de sécurité individuelle et collective et introduit les modèles de coopération utiles à la compréhension de l’analyse des données. La deuxième partie présente le terrain du SAMU et la méthode choisie pour le recueil et l’analyse des résultats. La troisième partie présente les résultats. Une dernière partie replace ces résultats dans le contexte général de la sécurité et apporte des éléments de généralisation, ainsi que des recommandations pour l’entreprise.

II. SÉCURITÉ ET TRAVAIL COLLECTIF

Cette partie du texte voudrait résumer les principaux acquis en matière de théories sur la sécurité, les erreurs et la gestion des risques au niveau du fonctionnement collectif. Dans la réalité, cette revue de littérature est moins évidente qu’il n’y paraît.

Une première difficulté tient à une forme de glissement de la gestion des erreurs humaines vers la notion de gestion des risques « facteurs humains ». Ce glissement est relativement pragmatique et pédagogique dans une approche de fiabilité intégrée pour l’industrie, où le risque global de défaillance humaine résulte de l’interaction entre différents niveaux d’organisation du travail, du plus individuel au plus systémique.

Inversement, les travaux académiques en sciences humaines tendent à considérer ces notions de risques et facteurs humains comme trop appliquées, en tout cas peu parlantes pour les disciplines académiques (la psychologie, la sociologie, etc.), et de ce fait peu pertinentes pour passer la barre des publications. Les travaux théoriques s’orientent naturellement vers des champs mieux établis ou plus classiques comme la coopération, la communication, le leadership, les organisations, ou encore les décisions et les représentations distribuées. Par exemple le double numéro du Travail Humain sur le travail collectif (3 & 4, 1994) ne contient aucun titre avec les termes erreurs, ou sécurité, ou fiabilité, ou sûreté, alors que les situations dynamiques à risque sont au centre des articles publiés ; le livre Les facteurs humains de la fiabilité de Leplat et de Tersac (1990) aborde le caractère collectif dans le contexte des « collectifs de travail » considérés comme des entités, dans une perspective dominante de sociologie du travail (où on analyse en particulier les rapports entre management et collectifs de travail dans l’établissements des règles) ; de même, les thématiques dominant le champ multi-approches du CSCW (Computer-Supported Co-operative Work) concernent rarement les questions d’erreurs et de sécurité/sûreté/fiabilité (sauf celles des systèmes concernés).

A contrario, les livres spécialisés sur l’erreur humaine ne concernent presque jamais les erreurs collectives : c’est le cas du livre L’erreur humaine de Reason (1993) qui ne comporte aucun chapitre avec le terme « collectif » ; de même le livre Task, errors, and mental models de Godstein, Andersen et Olsen, 1988, ne cite jamais le terme d’erreur collective.

Faut-il en déduire qu’il n’existe aucune littérature propre à la sécurité collective ? La réponse est probablement « oui » en termes de théorie constituée ; le domaine de la sécurité du collectif paraît aujourd’hui peu théorisé et sert plutôt de variable intermédiaire à l’accès à un grand nombre d’autres sujets de recherche, au rang desquels figurent en premier l’analyse des facteurs de la performance collective pour la psycho-sociologie et l’ergonomie et la recherche des organisations idéales, dites sûres pour la sociologie.

Dans ces conditions, le seul champ solide de théorie sur l’erreur reste celui des approches individuelles ; c’est pourquoi le plan choisi pour la suite de ce texte repart des idées théoriques acquises sur la sécurité à cet échelon individuel, pour en évaluer secondairement la généralisation possible au domaine du collectif en agrégeant les connaissances disparates acquises sur la sécurité dans le collectif. Inversement, on ne fera qu’évoquer dans cette revue de question les modèles purement organisationnels et systémiques, car leur niveau d’analyse est clairement différent de celui adopté dans le reste de l’article. Le lecteur pourra retrouver une compilation de textes sur ce thème des organisations sûres dans les publications du séminaire du CNRS du programme risques collectifs et situations de crise (sous la direction de Claude Gilbert) [1] et plus récemment dans les publications du séminaire sur le risque de défaillances individuelles et collectives (Amalberti, Fuchs, & Gilbert, 2001).

II . 1. LA SÉCURITÉ AU NIVEAU DE L’INDIVIDU

Sur un plan individuel, l’erreur et la fiabilité humaine sont des thèmes anciens de la psychologie ergonomique. Reason (1993, p. 31) propose de définir l’erreur comme le résultat de tous les cas « où une séquence planifiée d’activités mentales ou physiques ne parvient pas à ses fins désirées, et quand ces échecs ne peuvent pas être attribués à l’intervention du hasard ». Dans la réalité, cette définition est souvent difficile à appliquer par défaut de connaissance des objectifs de l’opérateur, et on lui substitue une deuxième définition plus pragmatique mais infiniment plus restrictive : « est considéré comme erreur tout écart à la norme de travail et aux bonnes pratiques établies par les standards de la profession ». Pour des raisons pratiques liées au recueil de données, c’est cette deuxième définition qui a servi à la plupart des publications sur l’erreur en situation de travail et qui sera retenue dans la suite du texte, avec comme garde-fou – dans la mesure du possible – le recueil de l’opinion de l’opérateur observé sur le statut des erreurs qu’on lui affecte (erreurs acceptées comme telles ou déniées).

On sait avec Reason (op. cit.) que les erreurs involontaires ressortent de deux grands types : d’un côté, les erreurs résultant d’une mauvaise activation de connaissance en mémoire (erreurs de routine, ou parfois de règles, au sens de la classification SRK Skill-Rules-Knowledge de Rasmussen, 1986), et, d’un autre côté, des erreurs liées à l’absence de connaissance pertinente en mémoire (il peut s’agir aussi d’erreurs de règle, mais le plus souvent il s’agit d’erreurs de connaissance au sens de la classification SRK de Rasmussen, Reason, op. cit.). À ces deux catégories s’ajoutent les violations qui sont des actes non sûrs volontaires et qui sont souvent des précurseurs d’erreurs au sens de la définition donnée au départ. La fréquence des erreurs est assez élevée dans toutes les activités humaines. On retrouve dans les situations de travail un flux important d’erreurs (voir Amalberti, 2001 a ; Helmreich, Klinect, Wilhelm, & Bryan Sexton, 2001), avec une prédominance des erreurs de routine et des violations sur les erreurs de connaissance. La détection des erreurs est également très performante. De façon récurrente, les études trouvent qu’au moins 60 % des erreurs sont détectées par l’individu lui-même, et ce, par trois mécanismes génériques : la détection à partir des résultats bizarres, la détection à partir des traces en mémoire de l’action, et les contrôles systématiques (Alwood, 1984 ; Rizzo, Bagnara, & Visciola, 1987).

Une fraction importante des erreurs détectées, et finalement aussi des erreurs non détectées, ne comporte pas de conséquences sur le travail en cours, et est laissée pour compte par l’opérateur, ou récupérée secondairement dans les périodes calmes (Amalberti, 2001b ; Helmreich et al, op. cit.).

Ces résultats convergent vers un modèle d’opérateur assez sûr, bien qu’il commette un flux significatif d’erreurs ; on parle de sécurité écologique. Cette sécurité réside dans une gestion des risques (Amalberti, 2001a) avec un mécanisme permanent de compromis qui régule deux dimensions antagonistes :

ne pas faire d’erreur, mais être alors en telle exigence de contrôle sur soi que la performance en devient fortement limitée ;
ou laisser un certain fonctionnement mental automatique s’installer, augmenter sa performance, mais commettre des erreurs.

Sauf cas extrêmement particulier, le réglage se fait plutôt dans le deuxième sens. La sécurité finale est alors le résultat de plusieurs stratégies complémentaires : (i) s’adosser à l’émergence naturelle des signaux cognitifs pour procéder aux corrections tactiques quand la cognition atteint les premières limites (encore aisément récupérables) de contrôlabilité (donc avec des marges) ; (ii) éviter les domaines à risques où la connaissance du passé fait dire que l’erreur est vraiment plausible, préférer des détours sûrs et routiniers à des solutions innovantes ; s’appuyer sur la métacognition pour gérer en ligne le caractère stratégique et garder le contrat d’objectif dans une zone effectivement réalisable (par expérience) (Valot & Amalberti, 1992).

Ce n’est donc que dans un nombre restreint de cas que ses propres erreurs « échappent » vraiment au contrôle de l’opérateur.

II . 2. DE L’INDIVIDU AU COLLECTIF : PROLONGEMENTS ET PHÉNOMÈNES SURAJOUTÉS DE SÉCURITÉ

Le collectif est le premier facteur de fiabilité surajoutée aux individus. Il régule et récupère un nombre important d’erreurs de ses membres. Cette récupération collective semble faire intervenir trois mécanismes.

Le premier mécanisme est passif et surtout efficace sur les erreurs de routines. Les membres du collectif utilisent souvent des ressources communes et ont, de ce fait, de multiples occasions d’interférences avec les erreurs laissées par leurs collègues (il s’agit souvent d’oublis ou de paramétrages incohérents de valeurs dans les logiciels ou les dossiers). Ces interférences leur permettent de corriger dans leur propre cours d’action, sans s’en rendre compte, les erreurs ignorées par leurs collègues. Dans ce sens, les occasions d’interférences sont des occasions qui augmentent la fiabilité.

Le second mécanisme est actif, et surtout efficace sur les erreurs de connaissances. Les coacteurs sont performants pour détecter les erreurs de connaissances de leurs collègues (Doireau, Wioland, & Amalberti, 1997).

Les violations sont par contre rarement récupérées dans le groupe ; on devrait plutôt parler ici de régulation par un consensus social sur les violations acceptables, avec toutes les limites qui peuvent faire basculer parfois le groupe vers une infiabilité plus grande encore que celle des individus par le fait de la pression sociale sur une norme tacite non réglementaire.

Le collectif est aussi une source d’infiabilité surajoutée à l’infiabilité de ses membres, particulièrement au niveau de son fonctionnement dynamique.

Plusieurs facteurs sont connus depuis longtemps comme fragilisant la sécurité des petits groupes, particulièrement dans des études réalisées dans l’aviation : le rôle du leader et le style de leadership (un leadership adaptatif est souhaitable : Wiener, Kanki, & Helmreich, 1993), la quantité et la qualité de la communication dans le groupe (les groupes qui parlent le plus, en respectant au mieux les caractéristiques du langage professionnel, sont les plus efficaces : Foushee, 1984), la taille du groupe (la réduction à deux apparaît paradoxalement comme la plus défavorable alors qu’elle correspond aux choix des cockpits actuels : Foushee, 1984 ; Helfrich, 1999), l’adaptabilité et la compatibilité des différents niveaux de prescription de travail assignés aux acteurs composant le collectif, à la fois dans une dimension de proximité horizontale et de responsabilité verticale (De la Garza, 1999 ; Reason, 1997).

Bressolle, Decortis, Pavard et Salembier (1996) invoquent comme source majeure d’erreurs le non-déterminisme propre à la structure ouverte des échanges verbaux dans les activités collectives. Les auteurs citent : les ambigu ïtés sur les statuts des interlocuteurs (participants directs à l’action, contre simples témoins dont le rôle et les interventions sont toujours ambigus), le pluri-adressage de la communication, encore que ce facteur puisse aussi jouer comme facteur de fiabilité ajoutée (partyline), les valeurs illocutoires multiples des échanges et le caractère sous-spécifié des communications verbales et non verbales dans l’urgence. Les mêmes auteurs reprennent le cadre conceptuel de la théorie de la pertinence de Sperber et Wilson (1986) pour montrer combien le travail collectif produit des valeurs contradictoires en termes de sécurité : le nombre d’erreurs augmente pour maintenir la sécurité ; reprenant Sperber et Wilson, ils décrivent en effet le fonctionnement du collectif essentiellement autour d’une régulation basée sur la mise en place et l’entretien d’un « environnement cognitif commun », au prix de nombreuses régulations informelles qui stabilisent structurellement et fonctionnellement le système, mais largement dans un domaine de violations qui peut devenir source de problème quand il est mal maîtrisé.

On ne manquera pas de faire le rapprochement de ces concepts avec : (i) les travaux sur la conscience commune de la situation dans les collectifs (notion de référentiel opératif commun de De Terssac et Chabaud (1990), de COFOR – Common Frame of Reference – avec Hoc (2001), ou de Distributed Situation Awareness avec Endsley (1995) ; l’obtention d’un état de conscience commune de la situation serait un gage de sécurité ; mais le débat reste cependant assez ouvert sur ce qui entre vraiment dans le terme « commun » : partage total de connaissances et de représentation ou simplement d’intention et de plan ? et (ii) les travaux sur les migrations naturelles de performances des systèmes sociotechniques ; ces migrations des pratiques aboutissent à un domaine stabilisé de fonctionnement en violation permanente avec certaines règles de sécurité, mais satisfaisant au double bénéfice de l’entreprise et du travailleur (Girin & Grosjean, 1996 ; Polet, Vanderhaegen, & Amalberti, sous presse ; Rasmussen, 1997).

D’un point de vue appliqué, l’aviation civile a grandement contribué au développement des concepts de conscience partagée, de gestion partagée des risques et de gestion des relations humaines. Ces concepts sont maintenant utilisés pour l’enseignement aux pilotes des compétences non techniques (le savoir coopérer dans le cockpit ou Crew Resources Management) (Helmreich, 1984 ; Salas & Cannon-Bowers, 2001 ; Wiener, Kanki, & Helmreich, 1993). Cette demande pédagogique pour la formation des collectifs à la gestion des risques a aussi suscité quelques travaux d’accompagnement plus centrés sur le rôle du moniteur/pédagogue (lutte contre les feux de forêts, ou pédagogie dans le cockpit : Rogalski, 1994 ; 1996).

Dans un autre registre scientifique, la perspective psychodynamique fait le même constat de contribution à la fois positive et négative du collectif à la sécurité, en proposant d’autres schémas théoriques et d’autres chemins explicatifs. Pour la psychodynamique, l’opérateur est soumis à un système de tensions contradictoires sur les questions de sécurité (Dejours, 1995 ; Jayet, 1993). Il porte la responsabilité de l’erreur, doit suivre les instructions pour se conforter avec les règles de sécurité et, en même temps, doit savoir prendre de la distance avec les instructions de sécurité pour assumer la performance. Ces injonctions contradictoires de différentes couches du management, cherchant à moduler « des états d’esprit totalement contradictoires », menacent potentiellement l’équilibre psychosomatique des opérateurs concernés et créent des opportunités pour des défaillances différentes, parfois en dehors du travail, mais tout aussi sérieuses pour la sécurité des personnes (Dessors, 1996).

II . 3. SYNTHÈSE ET POSITIONNEMENT DE L’ÉTUDE

En résumé, le collectif apparaît à la fois comme un moyen supplémentaire de récupérer les erreurs individuelles et comme une source de nouvelles erreurs, essentiellement liées aux défaillances dans la communication, la coopération et le partage de la décision.

On sait peu de chose sur la régulation de cette source propre de production de risques au niveau du collectif. Cet article postule qu’une partie au moins des mécanismes de cette régulation repose sur une extension au collectif des mécanismes de sécurité écologique déjà identifiés chez les individus (Amalberti, 2001b).

L’approche proposée est empirique, établie dans le cadre de la psychologie ergonomique, avec les outils et méthodes de cette discipline.

Le terrain observé est celui de la régulation du SAMU. Ce terrain a déjà fait l’objet d’études en France, surtout pour des problèmes d’aide à la communication entre acteurs (Pavard, Benchekroun, & Salembier, 1990). C’est un terrain riche, à hauts risques, dont la présentation fait l’objet du paragraphe suivant.

Le parti pris choisi pour l’analyse du collectif est de privilégier l’observation des activités collectives liées à la sécurité d’un seul acteur de ce collectif. Ce paradoxe n’en est pas un, car il se justifie sur un plan théorique et méthodologique : rester à l’échelon d’un individu du groupe ramène le problème d’observation à une dimension plus modeste, plus traditionnelle aussi pour la boîte d’outils de l’ergonomie cognitive et permet de repérer et de modéliser la nature et les raisons des interactions de sécurité qui concernent cet individu observé dans le groupe. On peut ainsi espérer tester dans quelles mesures les heuristiques de protection et de détection des individus vis-à-vis de leurs propres erreurs, largement référencées dans la littérature, sont appliquées par ces individus également à la surveillance de la fiabilité du groupe et vice versa.

Cette approche ne prétend pas remplacer les autres approches citées dans le texte, plus macroscopiques, qui permettent de saisir et de modéliser d’autres niveaux de sécurité et de performance du collectif. Elle contribue simplement à combler un trou dans les données existantes et, en ce sens, peut permettre de progresser tant du point de vue d’un modèle que du point de vue des parades, notamment au moyen de renforcements de la formation individuelle.

III. TERRAIN OBSERVÉ ET MÉTHODE

III . 1. LE TERRAIN : LA RÉGULATION DU SAMU 75

Le SAMU (Service d’aide médicale d’urgence) est un service public, implanté dans tous les départements français, dont la tâche est de gérer les urgences primaires (accidents sur la voie publique ou au domicile), et dans certains cas les urgences secondaires (transfert de patients déjà conditionnés médicalement vers un lieu plus adapté). Chaque SAMU est doté d’un central téléphonique où réside une équipe de régulation qui traite tous les appels provenant du 15, plus les appels secondaires de régulation des secours.

L’équipe de régulation se compose au minimum de 2 PARM (permanenciers auxiliaires de régulation médicale) et de 1 médecin régulateur, et au maximum de 3 PARM, 3 médecins régulateurs et 1 opérateur radio :

le PARM a pour tâche principale la réception, la localisation et le tri de tous les appels entrants ;
le PARM peut aussi occuper le poste spécifique à la radio (PARM Radio ou RADIO) et gère alors les annonces de départ, le suivi et la localisation des différents moyens d’action du SAMU (Unités mobiles hospitalières ou UMH, ambulances) ;
les médecins régulateurs ont tous suivi une spécialisation en médecine d’urgence et peuvent être tour à tour « régulateurs » ou « transporteurs ». Les médecins régulateurs sont en salle de régulation et doivent établir le diagnostic de l’urgence au téléphone. Ils ont aussi en charge la gestion (régulation) des moyens. Les médecins « transporteurs » sont, eux, associés à un Service mobile d’urgence et de réanimation (SMUR) et partent sur intervention en ambulance ou en UMH une fois que le PARM Radio leur donne une destination.

Au SAMU de Paris, les différents opérateurs de la régulation traitent quotidiennement environ 2 000 appels entrants. L’équipe doit sans cesse s’adapter aux contraintes :

de production : obligation de moyens, le SAMU se doit de traiter chaque appel qui passe par lui ;
organisationnelles : permanence 24-24, avec relèves souvent asynchrones entre PARM et médecins ;
contextuelles : volume d’activité peu prédictible ;
liées aux appelants : obligation de s’adapter à l’interlocuteur, informations manquantes, dialogue typiquement expert-usager) ;
administratives : gestion partagé des dossiers avec de fortes interférences médecins-PARM, nécessité de clôture correcte des dossiers pour satisfaire aux critères de facturation et d’archivage légal).

III . 2. MÉTHODOLOGIE DE RECUEIL ET D’ANALYSE DES DONNÉES

Les observations ont été menées au sein de la régulation du SAMU de Paris sur une période de deux mois à raison de deux heures par jour.

Il s’agit d’observations papier-crayon effectuées en se positionnant toujours derrière le même PARM (fig. 1) :

Fig. 1.Point de vue de l’observationPoint of view of the observer

les enregistrements systématiques n’ont pas été souhaités par la direction du SAMU pour des raisons évidentes de confidentialité des dossiers ;
les observations directes sont complétées par des entretiens avec les acteurs en poste (médecin et PARM).

La technique de prise de notes est une technique « par affaires, épisodes et événements » (fig. 2).

Fig. 2.
Affaires, épisodes et événements
Affairs, episods, and events

On appelle « affaire » le traitement complet du dossier d’un appelant, du moment où il est ouvert par un appel entrant au moment où le dossier est clôturé pour archive.

L’observateur note en permanence sur un agenda toutes les affaires :

il consigne dans son cahier l’ouverture de chaque affaire prise en compte par le PARM observé (il ne s’agit que d’une sous-partie des affaires traitées par la régulation) ;
les notes de bases portent sur la nature et la progression générale de l’affaire, le relais au médecin s’il y a lieu et la clôture.

On appelle « épisode » une partie d’affaire où des événements significatifs intéressant la sécurité du collectif sont observés :

les notes de bases sur les affaires donnent lieu à un codage plus complet chaque fois qu’un élément significatif relatif à la sécurité est identifié dans l’affaire ;
le critère de déclenchement de l’observation détaillée est double : (i) soit une erreur manifeste du PARM, dans la mesure où elle entraîne des conséquences potentielles pour le collectif, (ii) soit une action volontaire de sécurité engagée par le PARM vis-à-vis de lui-même ou du collectif. Dans les deux cas, l’événement doit être suffisamment critique et va servir de point-pivot de l’analyse (au sens de De la Garza, 1999) ;
pour tous ces cas, l’affaire devient plus particulièrement suivie en temps réel, avec des prises de notes plus systématiques sur les dialogues et les événements dans la limite des capacités de prise de notes de l’observateur, et les notes ainsi rédigées sont complétées par une reprise du dossier après l’affaire et un debriefing avec le PARM.

TABLEAU 1 :
Exemples d’événements retenus dans l’analyse des résultats. Les colonnes correspondent à la description de l’origine de l’événement, et les lignes correspondent au contenu (qu’il soit positif ou négatif)
Examples of events under the scope of analysis. Raws describes the origin of the event, and lines describes the content (positive or negative for safety)

On appelle « événement de sécurité » chaque contribution significative du PARM observé – ou du collectif vers le PARM observé – en termes de production détection, récupération et protection contre l’erreur, que ses contributions s’adressent à sa propre activité, à celle d’un collègue du collectif, ou globalement à tout le collectif (voir tableau 1 pour les différents événements possibles).

III . 3. CODAGE DES DONNÉES

Le codage des données porte sur quatre éléments (voir tableau 2) :

a / La nature des événements considérés pour la sécurité (erreur, détection, récupération, protection).

b / L’origine de l’événement : le PARM observé lui-même, un collègue nommément identifié, ou le collectif en général.

c / Le contexte de l’activité collective pour l’affaire, au moment de la survenue de l’événement. Ce contexte est repéré en utilisant la grille d’analyse des activités collectives proposée par Hoc, 2001). Cette grille décompose les activités collectives en trois catégories :

la gestion des interférences, essentiellement au niveau de l’exécution de l’action. Ces interférences peuvent prendre plusieurs formes, notamment le partage des mêmes ressources, ou la gestion des tâches dans la régulation de la charge de travail. Hoc appelle ce niveau « coopération dans l’action » ;
la gestion et l’actualisation d’un référentiel commun, essentiellement au niveau des activités de la compréhension de la situation courante, de l’affectation des rôles dans le collectif et de la planification de l’activité. Hoc appelle ce niveau « coopération dans la planification » ;
la gestion d’un ensemble de métaconditions sur la connaissance des autres membres du collectif et l’adaptation de son discours (forme et contenu) et de ses actions pour faciliter au mieux la performance (par exemple, pour le médecin, de pas utiliser du jargon technique incompréhensible pour le PARM dans la relation collective). Hoc appelle ce niveau « métacoopération ».

d / Le mode de contrôle du PARM sur l’affaire en cours. Ce mode de contrôle est évalué en utilisant les niveaux de contrôle contextuel définis par Hollnagel (Hollnagel, 1998). Pour évaluer cette relation, Hollnagel propose de définir chaque mode de contrôle à travers trois critères : (i) la pression exercée sur le traitement par son environnement, particulièrement la pression temporelle, et (ii) le nombre de buts poursuivis dans l’action, la profondeur du plan d’action, et (iii) les possibilités d’action dont l’opérateur dispose (chaque critère pouvant être de nouveau décomposé en d’autres critères plus spécifiques). L’analyse des données pratiquée avec les trois critères permet d’identifier quatre modes de contrôle :

rudimentaire : application d’un schéma réflexe de réponse qui réduit les conséquences négatives de l’événement, sans véritable élaboration consciente de but d’action, au risque de corriger l’événement, mais de perturber le cours d’action ;
opportuniste : avec un plan limité aux effets immédiats de l’événement ; le plan, même simple, et souvent réduit à un but, permet de réduire les conséquences négatives potentielles ou réelles, sans perturber le cours d’action. Ce mode de traitement est comme une « navigation » autour de la ligne du cours d’action, sans changement de cours d’action ;
normal, tactique : prenant en compte les effets de l’action ponctuelle sur l’épisode de travail, combinant et pondérant de ce fait plusieurs objectifs, éventuellement changeant de cours d’action ;
élaboré, stratégique : répondant localement en considérant toute l’affaire, voire les conséquences pour la vacation de travail, accompagné le plus souvent d’une vraie activité de (re)planification.

IV. RÉSULTATS

IV . 1. COMPOSITION DE L’ÉCHANTILLON OBSERVÉ

Plusieurs dizaines d’affaires ont été observées pendant les deux mois sur site. La durée de ces affaires varie entre trois minutes pour les plus courtes à près d’une heure pour les plus longues.

Sur l’ensemble de ces affaires, 173 épisodes ont été identifiés et 157 épisodes finalement analysés dans la suite du texte. Les épisodes éliminés l’ont été (i) soit parce que les notes papier-crayon ne rendaient pas clairement compte de ce qui s’était produit (information manquante, trop grande interactivité entre affaires parallèles, incohérence des notes) (ii) soit parce que l’épisode sortait du cadre considéré, portant notamment sur des problèmes non médicaux, internes au SAMU et/ou l’administration locale.

Les 157 épisodes ont été décomposés en 349 événements élémentaires en lien avec la sécurité.

IV . 2. RÉPARTITION ET NATURE DES ÉVÉNEMENTS

Les événements se décomposent en deux grandes catégories (tableau 3) : d’une part, des erreurs, et des actions de gestion qui sont associées, et, d’autre part, des actions de prévention hors présence d’une erreur.

IV . 2 . A. Les erreurs

60,7 % des événements sont relatifs à des erreurs du PARM ou du collectif (rappelons qu’il ne s’agit dans ce cas que de problèmes où le PARM observé est concerné).

TABLEAU 3 :
Nature des événements observés
Nature of observed events

Parmi ces erreurs, les détections par le PARM représentent 37,5 % du total des erreurs recensées par l’observateur (42 erreurs détectées et (parfois) récupérées / pour 112 erreurs relevées). Ce chiffre est bas par rapport à la littérature sur les détections, mais s’explique si l’on considère que les erreurs du PARM immédiatement récupérées et n’ayant pas d’incidence sur le traitement des affaires ne sont pas considérées comme des événements pour l’analyse. On notera qu’une majorité des erreurs détectées est laissée pour compte, non gérée par le PARM (27 des 42 erreurs formellement détectées par le PARM). Une analyse plus fine montre que dans 17 des 27 histoires où les erreurs ont été détectées et non récupérées (soit près de 65 % des cas), le travail naturel du groupe a effacé la mémoire de l’erreur et ses conséquences sans même que personne ne se rende compte de l’erreur. Au bilan, on retiendra donc que le PARM et le collectif gèrent activement finalement assez peu du total des erreurs recensées, puisque seulement 27 erreurs sont récupérées sur 112 erreurs relevées par l’observateur.

Dans le détail, les erreurs relevées se répartissent en 30 % d’erreurs de routine, 34,6 % d’erreurs de règles et de connaissance, et 35,4 % de violations. Les erreurs de routine et les violations sont surtout le fait du PARM observé, alors que les erreurs de connaissances sont surtout détectées chez les autres membres du collectif. Ces données sont cohérentes avec les résultats déjà obtenus par Doireau et al. (1997) pour les performances de détection d’observateurs (les observateurs détectent mal les erreurs de routine).

IV . 2 . B. Les actions de prévention

39,3 % des événements font référence à des actions de protection/prévention entreprises en dehors du contexte d’une erreur ; par exemple « le PARM signale au médecin que l’appelant n’est pas le patient, ni quelqu’un qui connaît le patient, mais un simple passant témoin du problème... qui veut déjà raccrocher » (NDLA : cette information permet de cibler le domaine des questions et des services que l’on peut espérer de cette personne) ; ou encore « le PARM avertit le groupe que le nombre d’affaires en cours augmente et qu’il faudrait faire attention à mieux peser les décisions d’envoi des véhicules » (NDLA : si les véhicules partent sur des affaires où ils ne sont pas totalement nécessaires, ils manqueront à des affaires plus importantes). Il est particulièrement intéressant de noter la fréquence importante de ces protections et leur adressage au collectif. On reviendra plus loin sur ce point.

IV . 3. CONTEXTE DE COOPÉRATION AU MOMENT DE L’ÉVÉNEMENT

La majorité des événements (52,4 %) interviennent dans un contexte d’activités collectives de coopération dans la planification dans le cadre d’une affaire unique (au sens de Hoc, 2001). Ils se répartissent en élaboration du référentiel commun (COFOR), en élaboration véritable de plan et en négociation sur une nouvelle répartition des rôles. On notera que, parmi ces activités, les activités d’élaboration ou d’actualisation du référentiel commun (COFOR) sont largement dominantes (78,1 % du total des activités à ce niveau du plan) et sont plutôt sources de sécurité (protection, récupération, 64,3 %) que sources d’insécurité (production d’erreurs non détectées ou non récupérées : 35,6 %) (χ² (1, N = 183) = 11,75 ; p < .0006).

TABLEAU 4 :
Contexte de coopération au moment de l’événement
Co-operative context when events occur

44,1 % des événements interviennent dans des contextes d’interférences directes (coopération dans l’action). Il s’agit le plus souvent de conflits dans le partage de ressources, ou d’interférences entre affaires. Ces événements au niveau de l’action se distribuent de façon relativement équivalente entre source d’insécurité (erreurs non détectées ou non récupérées) et source de sécurité (56,25 % contre 43,75 %, χ² (1, N = 154) = 0,13 (NS)).

Un très faible pourcentage d’événements interviennent au cours d’activités de métacoopération (élaboration d’un code de communication commun, élaboration de représentations compatibles, élaboration d’un modèle de soi-même et du partenaire) ; par exemple « le PARM transmet au médecin un dossier d’appelant en mentionnant que ce patient attend au téléphone depuis cinq minutes, et qu’il faut maintenant s’en occuper assez vite ; il ajoute qu’il n’a pas transmis l’appel (au médecin), parce qu’il voyait le médecin préoccupé par la décision sur l’affaire précédente ... » (NDLA : protection liée à une connaissance du travail de l’autre et à ses points faibles, codée comme une action de prévention intervenant dans un contexte coopératif de métacoopération). On notera cependant qu’il est toujours ambigu de coder le niveau méta. Dans bien des cas, les épisodes comportent des événements qui ont été codés en protection collective pendant des activités de planification, mais comportent des éléments méta ; par exemple : « Le PARM intervient publiquement pour signaler que son système informatique d’enregistrement des dossiers semble avoir des signes de défaillance ; il a perdu un dossier ; il ajoute : ‘faites attention, utilisez plutôt la procédure de gestion X... et faites une sauvegarde des noms et téléphones par notes papier pendant quelques minutes » : le codage retenu pour l’événement est activité de protection avec un contexte d’activité de planification, mais un codage d’activité méta aurait pu aussi être retenu en considérant que l’activité de planification se rapporte ici au niveau du contrôle de ses propres activités et non à une affaire particulière.

IV . 4. MODES DE CONTRÔLE DES ÉVÉNEMENTS

L’analyse du mode de contrôle ne s’applique qu’aux événements où le PARM a pris conscience de son erreur, et/ou a initialisé une réponse de protection. L’analyse n’aurait en effet aucun fondement pour des événements que le PARM observé n’a pas détectés.

La gestion est essentiellement une gestion en mode opportuniste et tactique (voir tableau 5). Ces deux modes recouvrent 90 % des événements analysés (206 sur 229) (90 % contre 10 %, χ² (1, N = 229) (mode opportuniste et tactique contre les autres) = 146,5 ; p < .0001).

TABLEAU 5 :
Modes de contrôles des événements
Cognitive mode control of Safety-related events

Le mode opportuniste recouvre des traitements de l’événement qui réduisent les conséquences négatives potentielles ou réelles sans perturber le cours d’action ; par exemple, « le PARM découvre fortuitement, en rappelant un patient sur demande du médecin dix minutes après l’appel initial, qu’une confusion relativement importante a été commise entre les dossiers de deux patients sur leurs éléments biographiques ; il corrige et appelle les secours mobiles, déjà partis, pour leur donner la bonne information » (NDLA : codé comme une erreur détectée et gérée en mode opportuniste). Par contre il ne lance pas de recherche en amont sur d’autres confusions potentielles qui auraient pu se produire à la même période, et ne manifeste pas de précaution particulière pour le futur.

Le mode tactique recouvre des traitements de l’événement qui prennent en compte les conséquences de la réponse au moins jusqu’au niveau de l’affaire en cours ; par exemple, « Le médecin fait remarquer au PARM que le commentaire accompagnant la transmission du dossier du dernier appelant était optimiste... l’interrogatoire de départ n’était pas très bien fait... ce n’est pas un médecin qui est à son chevet, mais son cousin. Le patient décompense un problème cardiaque..., il faut une équipe spécialisée pour aller le chercher..., en fin de dialogue, le médecin demande au PARM de “faire attention et de bien surveiller dorénavant la mise en place de toutes les actions pour ce patient et son transport” » (NDLA codé comme une erreur détectée et gérée en mode tactique).

Les modes réactifs et stratégiques sont marginaux dans les observations réalisées.

L’analyse des modes de contrôle peut être utilement complétée en regardant sur qui s’exerce la finalité de ces modes de contrôle. Il peut s’agir du PARM observé lui-même, dans le cadre d’une action relativement individuelle, d’un tiers identifié dans le groupe, ou du groupe tout entier, sans affectation nominative précise (tableau 6). Le tableau 3 avait déjà montré que les événements se distribuent dans les trois niveaux, avec une prédilection pour le groupe. Le tableau 6 montre que cette activité centrée sur le groupe est d’autant plus nette que le mode de contrôle est plus sophistiqué, tactique ou stratégique. En bref, les événements qui relèvent d’un mode de contrôle assez rudimentaire, réflexe, dans le cours d’action, sont plutôt dirigés vers les activités personnelles et vers un tiers identifié. Inversement, les événements qui relèvent d’un contrôle plus prospectif touchent en priorité le groupe.

TABLEAU 6 :
Mode de gestion des événements de sécurité et personne(s) concernée(s) par la gestion de l’événement (le PARM seulement, un collègue identifié dans le collectif, ou le groupe tout entier)
Cognitive mode control of safety-related events, and people interested in the management of those events (telephone operator only, identified group member, or the overall group)

V. DISCUSSION

V . 1. SYNTHÈSE DES RÉSULTATS

En acceptant le fait que l’étude ne porte que sur un sous-espace du risque, qui ne couvre que les événements de sécurité significatifs, ayant eu des conséquences ou ayant un potentiel de conséquences avérées d’erreur médicale, la gestion des événements de sécurité ainsi analysée obéit à une double logique.

Dans le court terme et le cours de l’action, la priorité est mise sur la gestion des erreurs au niveau des individus (PARM observé, et tiers identifiés dans le groupe). L’efficacité est très relative. Beaucoup d’erreurs ne sont pas détectées et, parmi celles détectées, un fort quota n’est volontairement pas récupéré. Il ne ressort pas de gestion stratégique de ces erreurs, et notamment très peu d’actions à moyen et long terme sur le suivi ou l’évitement d’une répétition de ces erreurs. En bref, il s’agit d’une gestion d’erreur essentiellement sur le court terme, en évitant tout de même une gestion sur le très court terme, purement réflexe. Les détections en fonction du type d’erreur suivent les résultats déjà acquis dans la littérature (Doireau et al., 1997) : le PARM récupère mieux ses propres erreurs de routine, et détecte mieux chez les autres membres du groupe leurs erreurs de connaissance.

Dans le moyen terme, la priorité est mise sur les stratégies de prévention d’erreurs, surtout des erreurs tactiques, par exemple les risques d’erreur liés à la gestion simultanée d’un grand nombre d’affaires. On peut noter que ces erreurs redoutées au niveau collectif n’ont pas grand-chose de commun avec celles effectivement détectées et récupérées, qui sont plutôt des erreurs de routine. Les protections s’exercent particulièrement à travers l’élaboration et le partage d’une représentation commune de la situation (COFOR). Ces activités passent par un adressage public au groupe, non nominatif, comme si l’intention était de provoquer un changement du niveau général d’alerte sur un risque de dégradation collectif du comportement du groupe. Dans certains cas, la prévention nécessite une action qui est laissée publiquement au premier qui aura le temps de la réaliser.

On peut noter que le groupe travaille très peu en matière de sécurité dans le long terme, au-delà des affaires en cours. Il faut dire que le moteur de responsabilité médicale qui dirige pour beaucoup la prévention d’erreur à la régulation du SAMU est surtout en jeu sur le court et moyen terme (il faut réussir l’affaire en cours... avant de réussir l’affaire suivante). De ce fait, les problèmes à long terme changent de nature et concernent essentiellement l’organisation de l’équipe et l’administration des dossiers. Il n’est pas surprenant, au vu des priorités qui émergent du groupe en termes de sécurité, que ces deux aspects soient chroniquement les moins bien traités, et l’objet du plus grand nombre d’erreurs persistantes (dossiers qui demeurent incomplets, équipes avec des tensions persistantes internes mal gérées, etc.)

V . 2. INTERPRÉTATION

Les résultats ici présentés permettent, à partir de cet exemple du SAMU, d’introduire un modèle cadre plus général de la façon dont l’individu aide à être sûr le collectif auquel il appartient. Ce modèle s’appuie sur plusieurs stratégies et objectifs complémentaires.

Une première stratégie consiste à privilégier la performance finale de l’équipe, en tout cas atteindre des standards irréprochables par le client... et la justice : répondre à tous les clients et être efficace. Cette efficacité est obtenue avec une logique de priorité de haut niveau (relation client, temps de réponse, performance médicale), et en acceptant tacitement un flux d’approximations et d’erreurs qui sont la sanction de toute activité où la priorité n’est pas mise sur un contrôle tatillon et pas à pas de chaque acte ; les erreurs sont d’autant moins récupérées qu’elles n’affectent pas la performance visible par le client... ou la justice (c’est le cas de beaucoup d’erreurs purement administratives). De façon générale, la gestion des erreurs par le membre du groupe (les siennes et celles des autres) se focalise uniquement sur la partie la plus émergente et urgente à corriger de ces erreurs, souvent quand elle atteint un niveau de conséquences relativement évident. En bref, il s’agit d’une stratégie économique de gestion des erreurs, en investissant relativement peu de ressources dans leur surveillance, détection, et même récupération, tant qu’une action correctrice ne s’impose pas par des conséquences inacceptables. Les gestions et récupérations, quand elles ont lieu volontairement et collectivement, sont plus locales et à court terme que stratégiques avec replanification de l’activité à moyen et long terme.

Inversement, chaque membre du groupe investit beaucoup d’énergie dans la prévention. Il s’agit de protéger le travail coopératif du groupe plutôt en amont, en investissant dans une forte activité de messages d’alerte prononcés fort et destinés, en premier, à prévenir le groupe et à renforcer le modèle commun de la situation, même si le contenu sémantique paraît souvent décalé par rapport à une affaire particulière. Le PARM observé se caractérise par un flux verbal important de commentaires généraux sur les affaires en cours dont on imagine facilement qu’il contribue à maintenir un fort niveau d’alerte, de connaissance réciproque de familiarité, de partage de la situation, de couplage cognitif, et in fine de réduction de tensions. Ce qui est particulièrement important à souligner est le changement d’objectif de la protection : dans la plupart des cas, il ne s’agit pas de se protéger contre un risque d’erreur particulier, mais plutôt de recibler le fonctionnement global du groupe pour atteindre les objectifs visés ; en bref, l’objectif de sécurité est atteint à travers la recherche de la maîtrise de la situation et non de l’évitement des erreurs.

Tout se passe comme si la garantie d’un partage correct de la situation entre les membres du groupe était la condition suffisante pour éviter les erreurs graves ; à condition d’avoir ce référentiel commun, les membres du groupe considéreraient que les autres erreurs – notamment les erreurs d’action – nécessitent une attention moindre, et une énergie moindre tant pour les éviter que pour les récupérer, car leur potentiel de nuisance est supposé limité ; tôt ou tard, ces erreurs devraient être mécaniquement bloquées, par l’un ou par l’autre membre du collectif.

V . 3. PEUT-ON VALIDER CE FONCTIONNEMENT NATUREL DU GROUPE, ET CES STRATÉGIES SPONTANÉES DE SÉCURITÉ QU’APPLIQUENT LES INDIVIDUS ?

Les arguments pour une validation positive ne manquent pas.

Objectivement, la régulation du SAMU s’est avérée assez sûre, au moins pour toute la période observée. Beaucoup d’erreurs ou d’insatisfactions ponctuelles ont été relevées, mais aucune n’a porté préjudice grave à la mission essentielle : l’efficacité médicale finale (pour autant que l’on puisse en juger par les traces objectives : plaintes patients, retour d’information des services hospitaliers, etc.).

Cette combinaison de stratégies possède beaucoup de liens de parenté avec les stratégies de maîtrise de la situation et de gestion écologique des risques déjà décrites en aéronautique ou dans des domaines d’activités à risque (Amalberti, 2001a) et qui se sont avérées relativement performantes.

Mais il existe aussi des arguments plus nuancés pour recommander un tel comportement :

On sait que les mêmes stratégies de relatif « laisser faire » sur les erreurs, et de gestion des problèmes à un niveau plutôt général (groupe) que particulier (individu), sont fragilisées avec des équipes peu familières, et des expériences plus dispersées (Jensen, 1995, dans le domaine du jugement ; Wiener, Kanki, & Helmreich, 1993, dans celui de la gestion des conflits). Dans ces cas, les erreurs se multiplient dans le court terme, changent de nature et deviennent plus sévères (erreurs de connaissance plutôt que de routine) ; leur accumulation et leurs conséquences finissent par consommer toutes les ressources disponibles des individus uniquement dans leur gestion, empêchant ainsi le développement des stratégies de prévention à moyen terme, et créant l’opportunité pour des erreurs encore plus graves (erreurs de cohérence globale et de représentation). Ces points n’ont pas été vraiment vus dans l’analyse car les équipes ont été assez stables, familières entre elles et d’ancienneté notable pendant la période observée.

On doit aussi ajouter que le choix d’observation d’une seule personne dans le collectif présente des avantages méthodologiques importants (simplification et stabilité de l’observation et du codage, homogénéité et comparabilité des résultats acquis dans des sessions successives), mais il présente aussi des limites (les résultats acquis reflètent des stratégies d’un seul opérateur) qui nécessiteront des validations complémentaires dans le futur.

IV . 4. QUELLES SOLUTIONS, QUE FAIRE POUR PRENDRE EN COMPTE CES RÉSULTATS SUR LE TERRAIN, AVEC TOUTES LEURS QUALITÉS ET LEURS LIMITES ?

On imagine facilement que le modèle décrit suppose une inflexion assez nette des approches pédagogiques sur la sécurité du collectif. Ces approches restent aujourd’hui dominées par l’évitement de toute erreur ou une récupération obligatoire et immédiate si des erreurs subsistent.

Sous l’impulsion de l’aéronautique, plusieurs industries, dont l’industrie off-shore, l’industrie nucléaire et la médecine (équipes de blocs chirurgicaux), commencent à adhérer à de nouveaux principes et à travailler sur des modèles de sécurité collective qui reposent plus sur l’apprentissage de stratégies naturelles de maîtrise cognitive des situations que sur des stratégies mettant uniquement l’accent sur l’évitement de l’erreur (Amalberti, 2001 b ; Flin, Salas, Strub, & Martin, 1997 ; Pariès & Amalberti, 2000). Il s’agit d’un net changement de paradigme dans l’approche de sécurité qui inverse littéralement les perspectives : il ne s’agit plus de gérer et d’enseigner la sécurité comme un objet isolé et idéal, mais de la réincorporer dans un objet plus global qui serait la maîtrise de la performance visée (une forme de contrat local de travail). Outre que cette approche semble très proche de la façon dont l’opérateur gère sa propre cognition et ses propres risques de défaillance (et se trouve de ce fait facile à apprendre), elle présente aussi l’avantage de décloisonner l’enseignement de la sécurité au niveau du groupe, d’en faire un sujet moins culpabilisant, moins lénifiant dans la façon d’être enseigné et donc, finalement, un objet plus opérationnel. C’est ce qui se vérifie dans les formations déjà en place.

Cette nouvelle approche pédagogique ne doit en aucune façon encourager l’erreur. Elle se présente plutôt comme une stratégie de formation continue, enseignée après avoir acquis toutes les bases normatives du métier et de l’évitement des erreurs dans un stage initial.

Les formations continues doivent alors, sur la base du retour d’expérience et de cas/exemples, mettre l’accent sur l’importance du référentiel commun dans le groupe, sur la façon d’y arriver de façon optimale, et sur les graves conséquences à court terme, et cette fois en termes d’erreurs sévères, d’un référentiel qui ne serait plus partagé.

VI. CONCLUSION

L’étude présentée dans cet article est forcément très ponctuelle. Sa méthode, centrée sur un individu, est réaliste compte tenu des contraintes d’observations d’un collectif à forte activité, mais de ce fait limitée dans ce qu’elle capture de cette activité, ne prétend en aucune façon fournir une quelconque statistique officielle ou bilan de sécurité du terrain observé, le SAMU.

Par contre, le travail est heuristique dans sa contribution à une généralisation au collectif des stratégies de l’individu pour assurer sa propre sécurité. L’individu semble finalement protéger le groupe contre des graves défaillances d’une façon relativement proche à la façon dont il se protège contre ses propres erreurs. Il privilégie la sensation de maîtrise de la situation par une conscience entretenue des objectifs à moyen terme, plutôt qu’un fonctionnement à zéro erreur.

Ce constat amène aussi à reconsidérer les cibles d’une formation des acteurs de base au fonctionnement sûr des collectifs. L’accent devrait beaucoup plus être mis en formation continue sur l’apprentissage des stratégies de maîtrise collective des situations et des risques, plutôt qu’un apprentissage normatif de l’évitement de toutes les erreurs possibles, rassurant, mais qui s’avère peu réaliste et efficace dans les faits.

De telles pratiques pédagogiques sont déjà actuelles sous la forme de cours de Team Resource Management et s’appliquent de façon réglementaire en aéronautique professionnelle, et de façon croissante dans la gestion des situations à risque mettant en jeu des petites équipes (les équipes de blocs opératoires notamment). Il s’agit sûrement d’une piste potentielle pour la formation continue des équipes de régulation au SAMU.

REMERCIEMENTS

Les auteurs remercient le P^r Carli, directeur du SAMU de Paris, et les D^rs Martinez et Janière pour leur autorisation de pratiquer les observations, et leur facilitation pour l’accès et la compréhension des différentes situations de travail observées au SAMU. Cette étude doit beaucoup à la complicité et à la coopération de l’ensemble du personnel de la régulation, PARM et médecins, qui a accepté de se prêter aux observations, et de donner du temps, souvent pris sur leur repos, pour se livrer à des entretiens complémentaires sur les données recueillies. Enfin, un merci particulier est adressé au D^r Martinez qui a bien voulu tenir le rôle de conseiller permanent de l’étude, et de relecteur de ce texte.

Manuscrit reçu : septembre 2000.

Accepté par J.-M. Hoc après révision : juin 2001.

BIBLIOGRAPHIE

· Allwood, C.-M. (1984). Error detection processes in statistical problem solving. Cognitive science, 8, 413-437.

· Amalberti, R. (1996). La conduite de systèmes à risque. Paris : PUF.

· Amalberti, R. (2001). La maîtrise des situations dynamiques. Psychologie française, 46, 105-117.

· Amalberti, R., Fuchs, C., & Gilbert, C. (Eds.). (2001). Risques, erreurs et défaillances : approche interdisciplinaire. Actes de la première séance de séminaire « Le risque de défaillance et son contrôle par les individus et les organisations dans les activités à hauts risques ». Paris : Éditions CNRS.

· Bressolle, M.-C., Decortis, F., Pavard, B., & Salembier, P. (1996). Traitement cognitif et organisationnel des micro-incidents dans le domaine du contrôle aérien : analyse des boucles de régulation formelles et informelles. In G. de Terssac & E. Friedberg (Eds.), Coopération et conception (pp. 267-288). Toulouse : Octarès.

· Dejours, C. (1995). Psychopathologie des accidents du travail. Paris : PUF.

· De la Garza, C. (1999). Fiabilité individuelle et organisationnelle dans l’émergence de processus incidentels au cours d’opérations de maintenance. Le Travail Humain, 62, 93-97.

· Dessors, D. (1996). Normes organisationnelles, règles du collectif. In D. Cambon de Lavalette & M. Neboit (Eds.), L’erreur humaine : question de points de vue (pp. 62-81). Toulouse : Octarès.

· De Terssac, G., & Chabaud, C. (1990). Référentiel opératif commun et fiabilité, In J. Leplat & G. De Terssac (Eds.), Les facteurs humains de la fiabilité [Human factors in reliability] (pp. 110-139). Toulouse : Octarès.

· Doireau, P., Wioland, L., & Amalberti, R. (1997). La détection des erreurs par des opérateurs extérieurs à l’action : le cas du pilotage d’avion. Le Travail Humain, 60, 131-153.

· Endsley, M. (1995). Measurement of situation awareness in dynamic systems. Human Factors, 37, 65-84.

· Flin, R., Salas, E., Strub, M., & Martin, L. (Eds.). (1997). Decision making under stress : Emerging themes and applications. Aldershot, UK : Ashgate.

· Foushee, H. C. (1984). Dyads and triads at 35,000 feet. Factors affecting group process and aircrew performance. American Psychologist, 39, 885-893.

· Girin, J., & Grosjean, M. (1996). La transgression des règles au travail. Paris : L’Harmattan.

· Goodstein, M., Andersen, H., & Olsen, K.(Eds.). (1988). Task, errors, and mental models. London : Tayor & Francis.

· Helfrich, H. (1999). Human reliability from a social-psychological perspective, International Journal Human-Computer Studies, 50, 193-212.

· Helmreich, R. (1984) Cockpit management attitudes. Human Factors, 26, 583-589.

· Helmreich, R., Klinect, J., Wilhelm, J., & Bryan Sexton, J. (2001). The line Operations safety Audit (LOSA). Proceedings of the 1rst LOSA week (pp. 1-6). Montreal : ICAO.

· Hoc, J.-M. (2001). Towards a cognitive approach to human-machine cooperation in dynamic situations. International Journal of Human-Computer Studies, 54, 509-540.

· Hollnagel, E. (1998). Cognitive Reliability and Error Analysis Method, CREAM. London : Elsevier.

· Jayet, C. (1993). Fiabilité humaine et aspects collectifs du travail. Performances humaines et techniques, 66, 8-13.

· Jensen, R. (1995). Pilot judgement and crew resources management. Aldershot, UK : Ashgate.

· Leplat, J., & de Tersac, G. (Eds.). (1990). Les facteurs humains de la fiabilité. Toulouse : Octarès.

· Pariès, J., & Amalberti, R. (2000). Aviation safety paradigms and training implications. In N. Sarter & R. Amalberti (Eds.). Cognitive Engineering in the Aviation Domain (pp. 253-286). Hillsdale, NJ : Lawrence Erlbaum Associates.

· Pavard, B., Benchekroun, H., & Salembier, P. (1990). La régulation collective des communications : analyse et modélisation. In Actes du Congrès ERGOIA 90. Biarritz, France, IDLS.

· Polet, P., Vanderhaegen, F., & Amalberti, R. (sous presse). Modelling Border-line tolerated conditions of use (BTCUs) and associated risks. Safety Science.

· Rasmussen, J. (1986). Information processing and human-machine interaction. Amsterdam : Elsevier.

· Rasmussen, J. (1997). Risk management in a dynamic society, a modelling problem. Safety Science, 27, 183-214.

· Reason J. (1993). L’erreur humaine. (J.-M. Hoc, trad.). Paris : PUF. (Édition originale, 1990).

· Reason, J. (1997). Managing the risk of organizational accidents. Aldershot, UK : Ashgate.

· Rizzo, A., Bagnara, S., & Visciola, M. (1987). Human error detection process. International Journal Man-Machine Studies, 27, 555-570.

· Rogalski, J. (1994). Formation aux activités collectives. Le Travail Humain, 57, 425-443.

· Rogalski, J. (1996). Cooperation processes in dynamic environment management : evolution through training experienced pilots in flying a highly automated aircraft. Acta Psychologica, 91, 273-295.

· Salas, E., & Cannon-Bowers, J. (2001). The science of training : A decade of progress. Annual. Journal of Psychology, 52, 471-499.

· Sperber, D., & Wilson, D. (1986). Relevance, communication, and cognition. Oxford : Basil Blackwell.

· Valot, C., & Amalberti, R. (1992). Metaknowledge for time and reliability. Reliability Engineering and Systems Safety, 36, 199-206.

· Wiener, E., Kanki, B., & Helmreich, R. (Eds.). (1993). Cockpit Resource Management. London : Academic Press.

NOTES

[1]

Actes des séminaires du programme Risques collectifs et situations de crises, Sous la direction de C. Gilbert, Grenoble : MSH (20 actes déjà publiés de 1997 à 2000).