Safety as a defensible governance claim within safety management

Notre synthèse

La « sécurité » figure parmi les termes les plus fréquemment invoqués dans la gouvernance contemporaine des activités à risque ; et pourtant, sa définition reste conceptuellement floue. 

Dans le langage courant, elle peut signifier être protégé du danger, l’absence d’accidents ou le sentiment que le danger a été éliminé.  Dans la recherche et les débats professionnels, elle est traitée diversement comme une propriété technique, une réussite organisationnelle, un objectif réglementaire et une revendication de légitimité publique. 

Cette pluralité n’est pas qu’une simple question de sémantique. Le désaccord sur la définition de la sécurité se transforme rapidement en désaccord sur ce qui constitue une preuve, sur ce qui devrait être optimisé, sur les types de préjudices les plus importants et sur les obligations de chacun, État, entreprises et clients. Les organisations ne se contentent pas de se demander si un système est « sûr » de manière abstraite ; elles formulent, défendent, contestent et révisent des affirmations concrètes selon lesquelles un système est suffisamment sûr pour permettre son fonctionnement continu dans des conditions spécifiées.

En pratique, les organisations affirment régulièrement que leurs systèmes sont sûrs à travers les systèmes de management, les audits, les barrières, l’analyse de risque ou la régulation. Pourtant, la structure minimale de ces affirmations reste souvent insuffisamment spécifiée.

Ceci soulève immédiatement une question pratique et conceptuelle : lorsque des gestionnaires, des organismes de règlementation ou des praticiens affirment qu’un système est sûr, que doit contenir cette affirmation pour être intelligible, contestable, vérifiable et révisable, et non pas simplement rhétorique ? La difficulté est encore plus grande dans les systèmes sociotechniques complexes.

Les auteurs proposent dans l’article un cadre répondant mieux à cette exigence de clarification et de preuve de sécurité.

La thèse majeure développée n’est pas seulement que la sécurité dépend du contexte et est dynamique, mais que toute affirmation défendable selon laquelle un système est sûr doit pouvoir préciser comment le contrôle est réalisé, quelles rétroactions le maintiennent, quelles incertitudes subsistent et dans quelles conditions l’affirmation devrait être réexaminée.
La sécurité devient une revendication de gouvernance, c’est-à-dire un jugement argumenté selon lequel un système est suffisamment maîtrisé pour poursuivre son exploitation dans des conditions données. Cette revendication est :

• contextuelle (dépend des conditions),
• dynamique (valable temporairement),
• incertaine (fondée sur des connaissances limitées)
• et normative (implique un jugement d’acceptabilité).

On comprend que le travail proposé est essentiellement conceptuel et théorique, visant à clarifier ce que doit contenir une revendication de sécurité (safety claim) défendable.

L’approche repose sur trois volets complémentaires :

1. une clarification conceptuelle : les auteurs distinguent les différents usages du terme « sécurité » dans le langage courant, les pratiques professionnelles et la littérature académique.
2. une synthèse théorique : ils combinent des apports issus de la pensée systémique en sécurité, de l’analyse du risque et de l’incertitude, ainsi que des approches de gouvernance portant sur l’acceptabilité et la légitimité. Le travail cite abondement et répétitivement quelques grands noms de la safety science (Rasmussen, Hollnagel, Dekker, Leveson, Aven, Hansson) comme références à cette nouvelle approche théorique.
3. Enfin, une argumentation normative, en cherchant à identifier quels éléments doivent impérativement être explicités lorsqu’une organisation affirme qu’un système est sûr.

Pour progresser dans le nouveau concept souhaité, les auteurs proposent de partir de l’existant des pratiques et des sens ordinaires de la sécurité. Même s’ils sont insuffisants sur le plan analytique, ces sens structurent les attentes des acteurs (opérateurs, régulateurs, public) et influencent la manière dont les revendications de sécurité sont comprises, acceptées ou contestées. Les ignorer conduirait à des dispositifs de sécurité déconnectés des pratiques et donc moins légitimes. La notion de « sens ordinaires » est utilisée de manière sélective et analytique : il ne s’agit pas d’une typologie exhaustive, mais d’identifier quelques significations récurrentes et influentes (protection, absence d’accident, élimination du danger) qui éclairent les tensions autour du concept de sécurité.

Les auteurs précisent aussi les limites du périmètre de l’article. L’objectif n’est pas de couvrir tous les concepts liés à la sécurité (comme la perception du risque, la sécurité psychologique ou la résilience), ni de proposer un système complet de management ou un modèle sectoriel détaillé. L’ambition est plus ciblée : définir une structure minimale commune permettant d’expliciter et de rendre auditables les revendications de sécurité. 

Les sens ordinaires du terme « sécurité » restent influents en pratique, mais insuffisants pour les systèmes complexes. Trois significations principales sont identifiées.

La sécurité comme protection contre le danger

Être en sécurité signifie être protégé de menaces susceptibles de causer des dommages. Cette conception est intuitive et socialement fondamentale, car elle renvoie à des attentes morales de responsabilité et de confiance. Toutefois, elle présente une limite majeure : le sentiment de protection peut être décalé de la réalité (présence de dangers latents, dégradation des défenses). Elle ne suffit donc pas à fonder une évaluation robuste de la sécurité.

La sécurité comme absence d’accidents

Un système est jugé sûr si aucun événement indésirable ne s’est produit. Cette approche est très répandue, car elle s’appuie sur des indicateurs visibles et quantifiables. Cependant, elle est ambiguë : l’absence d’accident peut résulter du hasard, d’un sous-déclaration ou de conditions momentanées favorables. Dans les systèmes complexes, elle ne garantit pas que le contrôle est réellement maîtrisé. Elle constitue donc un indicateur utile, mais insuffisant pour justifier un jugement de sécurité.

La sécurité comme élimination du danger

Quelque chose est sûr s’il ne peut pas causer de dommage. Cette idée a une forte portée normative et soutient les démarches de conception intrinsèquement sûres. Mais elle atteint rapidement ses limites dans les systèmes sociotechniques complexes, où l’élimination totale des risques est rarement possible. Les dangers peuvent se transformer, réapparaître ou émerger de nouvelles interactions.

Ces trois significations coexistent dans la pratique et influencent différemment les acteurs (opérateurs, managers, régulateurs). Elles expliquent la stabilité mais aussi l’ambiguïté du concept de sécurité. En même temps, leurs limites montrent qu’elles ne permettent pas, à elles seules, de fonder des jugements rigoureux dans des environnements complexes. D’où la nécessité de passer d’une compréhension intuitive de la sécurité à des revendications explicites, structurées et justifiables, intégrant contrôle, incertitude et conditions de validité.

La section suivante de l’article est plus conceptuelle. Elle propose un changement majeur de perspective : la sécurité doit être comprise non plus seulement comme une propriété du système, mais comme revendication de sécurité défendable, produite dans un cadre de gestion et de gouvernance.

Dans les systèmes sociotechniques complexes, la sécurité ne peut être réduite ni à des règles formelles (vision top down), ni aux pratiques locales des opérateurs (vision bottom up). Elle résulte de l’interaction entre structure organisationnelle et activité réelle. Les dispositifs formels (procédures, audits, responsabilités) définissent les contraintes, mais leur validité dépend de leur mise en œuvre concrète dans des situations variées. Inversement, les adaptations locales révèlent les limites ou la pertinence de ces dispositifs. La sécurité est donc un produit émergent de cette articulation dynamique.

Dans cette perspective, les accidents ne proviennent pas seulement de défaillances isolées, mais souvent de dysfonctionnements d’interactions (entre systèmes techniques, humains et organisation). La question clé devient alors : comment ces interactions sont elles maintenues sous contrôle en conditions réelles, avec incertitudes, variabilités et retards ? Une simple conformité formelle ou l’absence d’accident ne suffisent pas à répondre.

Les auteurs introduisent alors une distinction essentielle entre trois niveaux, souvent confondus :

• La sécurité comme propriété du système : le degré de maîtrise du potentiel de dommage (état réel de contrôle des interactions dangereuses).
• La sécurité comme revendication : un jugement argumenté affirmant que le système est « suffisamment sûr » dans des conditions données. Ce jugement est épistémique, car fondé sur des connaissances partielles, des hypothèses et des incertitudes.
• La sécurité comme « processus de gouvernance » : l’ensemble des dispositifs (management, audits, régulation, retour d’expérience) qui produisent, examinent et révisent ces claims.

Cette distinction permet d’éviter des confusions majeures : par exemple, assimiler l’existence de procédures à une preuve de sécurité réelle, ou confondre l’état du système avec la crédibilité du jugement porté sur lui.

Les auteurs illustrent ces idées avec le cas d’une mine de charbon, où le risque (explosion) dépend d’un ensemble d’interactions (ventilation, capteurs, maintenance, organisation du travail). La sécurité ne peut y être réduite ni à la conformité de chaque élément, ni à l’absence d’accident récent : elle repose sur la capacité effective à maintenir ces interactions sous contrôle, et sur la validité du claim qui affirme que ce contrôle est suffisant.

En conclusion, cette section établit que la sécurité, dans les systèmes complexes, doit être comprise comme un jugement argumenté, contextualisé et révisable, ancré dans des processus de gestion et de gouvernance. Cela prépare la suite de l’article, qui va expliciter les exigences nécessaires pour rendre ces revendications de gouvernance véritablement défendables.

Il s’ensuit la description des exigences épistémiques et normatives nécessaires pour qu’une revendication de sécurité soit réellement défendable. On y retrouve trois idées principales : le rôle central de l’incertitude, les limites de l’approche par le risque et la nécessité de justifier l’acceptabilité.

Une revendication de sécurité est fondamentalement épistémique

Elle ne décrit pas directement un état observable, mais constitue une inférence sur la maîtrise future des risques. Elle repose donc sur des connaissances incomplètes concernant les dangers, les interactions, les conditions d’exploitation et les capacités organisationnelles. Dès lors, l’incertitude est irréductible et multiforme (incertitude sur le système, sur les données disponibles, sur l’évolution future). Pour être crédible, une revendication de sécurité ne doit pas masquer ces incertitudes, mais les expliciter et les encadrer. La transparence sur les limites de connaissance renforce la robustesse du jugement, en indiquant où la vigilance et la révision sont nécessaires.  

L’évaluation des risques est indispensable mais insuffisante

Les méthodes d’analyse de risque apportent une discipline utile (identification des scénarios, estimation des conséquences, hiérarchisation des actions), mais elles ne suffisent pas à établir qu’un système est sûr. Les modèles restent incomplets, les hypothèses discutables, et certains aspects essentiels des systèmes sociotechniques (adaptations, dérives organisationnelles, feedback) sont difficilement quantifiables. Ainsi, une estimation faible du risque ne suffit pas à fonder une revendication crédible ; celle-ci doit aussi expliciter les hypothèses, les limites et les conditions de validité de l’analyse.  

La question de l’acceptabilité est centrale

Une revendication de sécurité ne se limite pas à caractériser un risque. Elle doit justifier pourquoi le risque résiduel est jugé tolérable. Cette acceptabilité ne découle pas d’un simple seuil quantitatif, mais d’un processus de gouvernance intégrant des dimensions techniques, organisationnelles et sociales : normes, obligations légales, faisabilité des mesures supplémentaires, répartition des risques et crédibilité des institutions. Elle est donc institutionnelle et contestable, susceptible d’évoluer avec les connaissances, les valeurs ou la confiance dans les acteurs.  

La notion de légitimité complète cette analyse : une revendication de sécurité, même techniquement solide, peut être fragilisée si elle n’est pas perçue comme équitable, transparente et responsable. La sécurité apparaît ainsi comme un résultat de gouvernance, et non comme une simple propriété technique.

En conclusion et pour résumer le résumé d’un article long, bien écrit, mais dense et complexe dans son contenu, souvent très redondant, on peut retenir que les jugements de sécurité ne peuvent être fondés uniquement sur l’absence d’accidents, la conformité, ou les métriques de risque. Ils exigent une explicitation du contrôle, une gestion transparente de l’incertitude, une justification de l’acceptabilité, des conditions de révision. La contribution principale de l’article est de proposer une structure minimale pour rendre les jugements de sécurité plus explicites, plus auditables, plus contestables, plus révisables.

On pourrait ajouter que l’idée centrale d’une revendication de gouvernance sur la sécurité industrielle, qui soit en partie incantatoire et en partie à but de réassurance et satisfaction de l’opinion au sens large, n’est pas complétement originale. Les auteurs ont le mérite d’en faire un développement plus structuré - mais pas forcément encore très opérationnel - que le constat usuel largement partagé par ailleurs.