Il faut remonter aux années 70 pour retrouver les débuts de la nouvelle vision, largement construite en réponse à la complexité croissante du travail des systèmes à risques en lien avec l’arrivée de l’ère digitale.

Jens Rasmussen a été dans les années 70 la figure de proue de cette révolution des idées sur la sécurité en poussant une vision socio-systémique des accidents, largement déconnectée de l’idée que l’accident trouvait sa cause et son explication dans les seules erreurs humaines des acteurs de premières lignes (souvent accusés à tort à cause d’une règle d’arrêt commode et implicite de beaucoup d’analyses en profondeur qui s’arrête au premier coupable identifié). L’erreur humaine pour Rasmussen s’inscrivait plus dans un processus normal d’apprentissage et d’ajustement d’une capacité adaptative au travail. L’étude des erreurs exigeait dans cette logique leur remise en contexte, en comprenant les migrations de pratiques et les différentes couches du système (des politiques jusqu’aux acteurs de premières lignes) qui produisent chacun leurs erreurs, favorisent les erreurs des autres et construisent aussi de la connaissance sur la sécurité.

Jim Reason, à la même période, écrivait son fameux livre sur l’erreur humaine dans la lignée des acquis en psychologie cognitive pour en faire une véritable "théorie" de l’erreur humaine. On pourrait penser que lui et Jens Rasmussen étaient en parfaite entente (Jim va passer plus d’un an dans le laboratoire de Jens) et qu’ils partageaient une position novatrice conjointe sur l’origine systémique des accidents. En fait, c’est plutôt le contraire malgré leurs liens d’amitiés, Jim Reason est resté très classique dans son positionnement sur l’erreur et son lien direct à l’accident par rapport à Rasmussen. Ses idées de taxonomie des erreurs et de défenses en profondeur ne convaincront pas plus Rasmussen, qui n’a jamais adhéré ni à une taxonomie des erreurs qui ne serait que cognitive et découplée du contexte, ni à l’indépendance des défenses en profondeur.

Erik Hollnagel et Dave Woods dans les années 80 vont impulser un virage encore plus fort dans la "nouvelle vision" de l’erreur. Leur contribution additionnelle à Rasmussen se résume dans les deux idées associées au concept de Joint Cognitive Systems (JCS) : on ne peut pas étudier le couple formé par l'homme et la machine séparément, pas plus qu’on ne peut attribuer une erreur à l’un ou à l’autre séparément, car l’erreur (de l’un ou de l’autre) suppose toujours des attendus de conception, de formation, et d’hypothèses sur la sécurité lourdes de conséquences (par exemple que l’homme interviendra en cas de panne de l’automate) qui impliquent forcément les deux parties et leurs dynamiques d’interaction. Ces auteurs veulent aussi arrêter de considérer les automates/systèmes informatiques de nouvelles générations comme des systèmes qui reprendraient plus ou moins par copie des caractéristiques cognitives humaines ; au-delà de la métaphore simpliste, ces machines sont au contraire conçues avec des logiques programmées et une autonomie qui leur est propre (souvent liées au modèle qui habite l’ingénieur de conception et pas l’utilisateur), et qui en font des partenaires difficiles dans la coopération et dans l’autorité réciproque exercée entre les deux partenaires (l’homme et la machine). 

Sur cette base, Hollnagel a proposé plusieurs cadres novateurs d’analyse des accidents (CREAM puis FRAM) qui focalisent l’analyse à la recherche des défauts de coopération et de couplage entre homme et machine ayant conduit à des résultats surprenants pour le couple homme-machine, et parfois la perte de contrôle, avec aussi l’idée de détection de "résonance" entre les barrières en profondeur de chacun qui finiraient par s’annuler réciproquement ou au minimum à interagir négativement. 

Woods, quant à lui, a beaucoup insisté sur la cognition en contexte, étudiée dans des situations réelles et pas au laboratoire (primauté à l’approche ethnographique). L’erreur devient pour Woods une production cognitive distribuée de la triade "système et son interface (homme) et monde environnement" plus qu’une production uniquement "de et dans la tête" de l’homme.

Soulignons que cette approche : 

1. questionne beaucoup en retour les attributions causales trop simples ;
2. souligne l’existence de conflits cognitifs itératifs qui peuvent être réduits mais jamais supprimés et qui sont résolus par des rationalités locales qu’il faut comprendre ;
3. exige un vrai travail expert sur la conception d’interface pour en faire un partenaire compris et efficace,
4. alerte sur une stratégie de sécurité qui miserait tout sur l’évitement et la prévention des erreurs ;
5. demande à comprendre la vraie contribution des opérateurs de première ligne à la sécurité ;
6. nécessite de comprendre comment ces opérateurs de première ligne sont en interaction avec tous les opérateurs des lignes managériales.

Sydney Dekker, ancien thésard de Dave Woods, parti occuper un poste de professeur en Australie au début des années 2000 fait un pas de plus en décrivant explicitement une ancienne vision sur l’erreur par rapport à une nouvelle vision. 

L’ancienne vision part du constat de l’inhérente non-fiabilité humaine et justifie la nécessité de s’en protéger par toutes mesures ad'hoc (sélection, procéduralisation, automatisation, formation, sanction).

La nouvelle vision considère l’erreur comme un simple symptôme d’un problème situé ailleurs que chez l’opérateur. C’est ce problème qu’il faut trouver par l’enquête.

Par la suite, les critiques de Dekker vont se faire de plus en plus incisives et radicales sur le modèle de fromage suisse de Reason : trop de termes négatifs (erreurs latentes, violations, défenses en profondeur) et aussi le fait que ce n’est qu’une pure vision externe et arbitraire de ce qu'est l'erreur.

Pour Dekker, l’erreur cognitive n’existe pas, elle n’est qu’une construction externe, une reconstruction des observateurs. L’idée même de défense en profondeur est aussi simpliste dans un monde complexe, trop linéaire, trop mécanique.

Du coup, la posture de Dekker est quasiment philosophique et radicale, en opposition frontale avec Reason, en considérant que l’accident est le résultat d’une dérive ponctuelle ou longue dans l’échec (d’adaptation) émergeant dynamiquement chez les partenaires (homme, machine, contexte et environnement) qui essaient de s’adapter intelligemment à des situations continuellement changeantes. 

Cette nouvelle vision de l’erreur s’est incarnée dans plusieurs mouvements et noms aujourd’hui bien connus, notamment le courant de la résilience, ou encore la "sécurité autrement" (safety differently), etc.

Le livre fondateur de Hollnagel, Woods et Leveson sur la résilience date de 2006. Il réunissait déjà les principaux penseurs y compris les idées de Dekker.

Il a été d’une grande influence, et pourtant il souligne aussi une multiplicité de vues et de priorités pas forcément convergentes sur la question d’une nouvelle approche : Hollnagel soulignait surtout l’importance de regarder ce "qui est bien fait", ce qui explique les succès habituels des opérateurs à gérer des situations difficiles, en compensant les déficits de tous ordres. Ce faisant, il a surtout proposé des nouvelles méthodes d’analyses d’accident (CREAM, FRAM …).

Woods est toujours resté beaucoup plus théoricien, avec l’ambition de fournir une théorie des comportements des systèmes complexes adaptatifs (Theory of graceful extensibility – TGE). Dekker est resté de loin le plus provocateur (safety differently) et a poursuivi en étendant notamment ses positions radicales à la bureaucratisation (en ouvrant au passage sur un monde très différent des industries à risques, ce qui reste un pari théorique), dans une vision presque plus politique que scientifique.

Ce sont donc trois perspectives assez différentes plus qu’une vision unique qui se cachent derrière "la vision nouvelle sur l’erreur", dont deux restent plus ou moins compatibles avec Reason, et la troisième radicalement séparée avec une croisade contre toutes les sciences du comportement (et qui a justifié aussi l’extension des idées de Dekker à la bureaucratisation).

Indéniablement, cette "vision nouvelle" a été très influente, trustant les conférences et soulevant un enthousiasme mondial pour échapper ou en tout cas donner des clés pour dépasser les limites des modèles préexistants face à la complexité croissante des environnements professionnels que tout le monde constate. L’idée de produire autre chose qu’un discours sempiternellement négatif sur les erreurs et les actes dangereux pour parler de sécurité a aussi beaucoup convaincu les acteurs de terrain, et même les acteurs de la sécurité.

La santé a sans doute été (de loin) le secteur le plus réceptif et la crise du Covid encore plus accélératrice, sans oublier quelques travaux importants réalisés dans le contrôle aérien notamment par Steven Shorrock. 

La principale critique est sans doute la question suivante : d’où proviennent les données qui supportent les idées proposées ?

Autre sujet, quelle compatibilité entre ancienne et nouvelle vision ? Peut-on totalement rejeter les anciennes approches plus traditionnelles, ou faut-il en retenir une partie, et laquelle ?

Il faut reconnaître que ces questions sont toujours plutôt sans réponse. L’absence d’application réelle et de recherche indépendante pour attester sur le terrain des résultats rend difficile une certitude sur la capacité de cette nouvelle vision à transformer réellement les pratiques. La certitude d’un gain à changer radicalement d’approche est d’autant plus difficile à défendre que le modèle ancien reste incontestablement à l’origine de l’excellent niveau de sécurité actuelle. 

Par exemple, dans le livre de Don Harris, très complet sur la sécurité aérienne, Human factors in the flight deck souligne combien les critiques radicales de Dekker se heurtent à cette réalité, et explique sans doute pourquoi une vision radicale n’a pas franchi les esprits des décideurs de la sécurité aérienne.

De même, Andrew Hopkins, le très connu sociologue des organisations, est aussi très critique envers Dekker et plus généralement envers la résilience. Il avance deux critiques majeures :

• La première est qu’il est quasi inconcevable, comme le suggère souvent la résilience, de laisser des opérateurs de systèmes à risques largement autonomes décider selon le contexte perçu et les surprises du terrain, de l’emploi de procédures chacun dans leur coin.
• La seconde critique d’Hopkins est l’ignorance récurrente du courant de la résilience sur l’apport (bien mieux démontré par les données du terrain) des HRO (High Reliability Organizations), qui eux, sont une extension totalement compatible avec le modèle du fromage suisse de Reason.

Alors oui, la vision ancienne sur l’erreur et la sécurité est sans doute en butée d’efficacité, mais cela renvoie à deux stratégies d’usage de la nouvelle vision dans ce contexte : simplement actualiser et essayer d’optimiser les modèles anciens en bénéficiant des nouvelles idées (ce qui semble possible), ou bien changer radicalement de modèle en prenant des positions plutôt outrancières, ce qui semble plus difficile.

Sur le fond, le débat, comme souvent en sciences, a le mérite d’avoir fait bouger les idées sur les fondements de la sécurité, réinterroger les modèles, même s’il n’a permis in fine que quelques évolutions plutôt qu’une révolution.

Pour aller loin
Le Coze J.C. The "new view" of human error. Origins, ambiguities, successes and Safety science, 2022, Safety Science 154 (2022) 105853