9859 Manuel SMS

Doc 9859
AN/460
Manuel de gestion
de la sécurité (MGS)
Approuvé par le Secrétaire général

et publié sous son autorité
Première édition — 2006
Organisation de l’aviation civile internationale

Publié séparément, en français, en anglais, en arabe, en chinois, en espagnol et en russe, par l’Organisation de l’aviation
civile internationale. Prière d’adresser toute correspondance, à l’exception des commandes et des abonnements, au
Secrétaire général.
Envoyer les commandes à l’une des adresses suivantes en y joignant le montant correspondant (par chèque, chèque bancaire ou mandat) en
dollars des États-Unis ou dans la monnaie du pays d’achat. Les commandes par carte de crédit (American Express, Mastercard ou Visa) sont
acceptées au Siège de l’OACI.
Organisation de l’aviation civile internationale. Groupe de la vente des documents, 999, rue University, Montréal, Québec, Canada H3C 5H7
Téléphone: +1 (514) 954-8022; Fax: +1 (514) 954-6769; Sitatex: YULCAYA; Courriel: sales@icao.int; Web: http://www.icao.int
Afrique du Sud. Avex Air Training (Pty) Ltd., Private Bag X102, Halfway House, 1685, Johannesburg
Telephone: +27 (11) 315-0003/4; Facsimile: +27 (11) 805-3649; E-mail: avex@iafrica.com
Allemagne. UNO-Verlag GmbH, August-Bebel-Allee 6, 53175 Bonn / Telephone: +49 (0) 228-94 90 2-0; Facsimile: +49 (0) 228-94 90 2-22;
E-mail: info@uno-verlag.de; Web: http://www.uno-verlag.de
Cameroun. KnowHow, 1, Rue de la Chambre de Commerce-Bonanjo, B.P. 4676, Douala / Téléphone: +237 343 98 42; Fax: +237 343 89 25;
Courriel: knowhow_doc@yahoo.fr
Chine. Glory Master International Limited, Room 434B, Hongshen Trade Centre, 428 Dong Fang Road, Pudong, Shanghai 200120
Telephone: +86 137 0177 4638; Facsimile: +86 21 5888 1629; E-mail: glorymaster@online.sh.cn
Égypte. ICAO Regional Director, Middle East Office, Egyptian Civil Aviation Complex, Cairo Airport Road, Heliopolis, Cairo 11776
Telephone: +20 (2) 267 4840; Facsimile: +20 (2) 267 4843; Sitatex: CAICAYA; E-mail: icaomid@cairo.icao.int
Espagne. A.E.N.A. — Aeropuertos Españoles y Navegación Aérea, Calle Juan Ignacio Luca de Tena, 14, Planta Tercera, Despacho 3. 11,
28027 Madrid / Teléfono: +34 (91) 321-3148; Facsímile: +34 (91) 321-3157; Correo-e: sscc.ventasoaci@aena.es
Fédération de Russie. Aviaizdat, 48, Ivan Franko Street, Moscow 121351 / Telephone: +7 (095) 417-0405; Facsimile: +7 (095) 417-0254
Inde. Oxford Book and Stationery Co., Scindia House, New Delhi 110001 or 17 Park Street, Calcutta 700016
Telephone: +91 (11) 331-5896; Facsimile: +91 (11) 51514284
Inde. Sterling Book House – SBH, 181, Dr. D. N. Road, Fort, Bombay 400001
Telephone: +91 (22) 2261 2521, 2265 9599; Facsimile: +91 (22) 2262 3551; E-mail: sbh@vsnl.com
Japon. Japan Civil Aviation Promotion Foundation, 15-12, 1-chome, Toranomon, Minato-Ku, Tokyo
Telephone: +81 (3) 3503-2686; Facsimile: +81 (3) 3503-2689
Kenya. ICAO Regional Director, Eastern and Southern African Office, United Nations Accommodation, P.O. Box 46294, Nairobi
Telephone: +254 (20) 7622 395; Facsimile: +254 (20) 7623 028; Sitatex: NBOCAYA; E-mail: icao@icao.unon.org
Mexique. Director Regional de la OACI, Oficina Norteamérica, Centroamérica y Caribe, Av. Presidente Masaryk No. 29, 3er Piso,
Col. Chapultepec Morales, C.P. 11570, México D.F. / Teléfono: +52 (55) 52 50 32 11; Facsímile: +52 (55) 52 03 27 57;
Correo-e: icao_nacc@mexico.icao.int
Nigéria. Landover Company, P.O. Box 3165, Ikeja, Lagos
Telephone: +234 (1) 4979780; Facsimile: +234 (1) 4979788; Sitatex: LOSLORK; E-mail: aviation@landovercompany.com
Pérou. Director Regional de la OACI, Oficina Sudamérica, Apartado 4127, Lima 100
Teléfono: +51 (1) 575 1646; Facsímile: +51 (1) 575 0974; Sitatex: LIMCAYA; Correo-e: mail@lima.icao.int
Royaume-Uni. Airplan Flight Equipment Ltd. (AFE), 1a Ringway Trading Estate, Shadowmoss Road, Manchester M22 5LH
Telephone: +44 161 499 0023; Facsimile: +44 161 499 0298; E-mail: enquiries@afeonline.com; Web: http://www.afeonline.com
Sénégal. Directeur régional de l’OACI, Bureau Afrique occidentale et centrale, Boîte postale 2356, Dakar
Téléphone: +221 839 9393; Fax: +221 823 6926; Sitatex: DKRCAYA; Courriel: icaodkr@icao.sn
Slovaquie. Air Traffic Services of the Slovak Republic, Letové prevádzkové sluzby Slovenskej Republiky, State Enterprise,
Letisko M.R. Stefánika, 823 07 Bratislava 21 / Telephone: +421 (7) 4857 1111; Facsimile: +421 (7) 4857 2105
Suisse. Adeco-Editions van Diermen, Attn: Mr. Martin Richard Van Diermen, Chemin du Lacuez 41, CH-1807 Blonay
Telephone: +41 021 943 2673; Facsimile: +41 021 943 3605; E-mail: mvandiermen@adeco.org
Thaïlande. ICAO Regional Director, Asia and Pacific Office, P.O. Box 11, Samyaek Ladprao, Bangkok 10901
Telephone: +66 (2) 537 8189; Facsimile: +66 (2) 537 8199; Sitatex: BKKCAYA; E-mail: icao_apac@bangkok.icao.int
2/06
Le Catalogue des publications

et des aides audiovisuelles de l’OACI
Publié une fois par an, le Catalogue donne la liste des publications et des aides audiovisuelles
disponibles. Des suppléments au Catalogue annoncent les nouvelles publications et
aides audiovisuelles, les amendements, les suppléments, les réimpressions, etc.
On peut l’obtenir gratuitement auprès du Groupe de la vente des documents, OACI.

Doc 9859
AN/460
Manuel de gestion
de la sécurité (MGS)
Approuvé par le Secrétaire général

et publié sous son autorité
Première édition — 2006
Organisation de l’aviation civile internationale

AMENDEMENTS
La parution des amendements est annoncée dans le Journal de l’OACI ainsi que dans
les suppléments au Catalogue des publications et des aides audiovisuelles de
l’OACI, que les détenteurs de la présente publication sont priés de vouloir bien
consulter. Le tableau ci-dessous est destiné à rappeler les divers amendements.
INSCRIPTION DES AMENDEMENTS ET DES RECTIFICATIFS
AMENDEMENTS RECTIFICATIFS
No Date Inséré par No Date Inséré par
II
TABLE DES MATIÈRES
Page
SIGLES ET ABRÉVIATIONS........................................................................................................ XIII
er
Chapitre 1 . PRÉSENTATION GÉNÉRALE ............................................................................ 1-1
1.1 Généralités............................................................................................................... 1-1

1.2 Le concept de sécurité............................................................................................. 1-1
1.3 Nécessité de la gestion de la sécurité ..................................................................... 1-2
1.4 Exigences de l’OACI ................................................................................................ 1-2
Niveau de sécurité acceptable .......................................................................... 1-3
1.5 Les intervenants dans le domaine de la sécurité .................................................... 1-6
1.6 Approches de la gestion de la sécurité.................................................................... 1-7
La perspective traditionnelle.............................................................................. 1-7
La perspective moderne.................................................................................... 1-7
1.7 Utilisation du manuel................................................................................................ 1-8
Finalité ............................................................................................................... 1-8
Public cible ....................................................................................................... 1-8
Sommaire .......................................................................................................... 1-9
Remerciements ................................................................................................. 1-9
Liens avec d’autres documents de l’OACI ........................................................ 1-9
Chapitre 2. PARTAGE DE LA RESPONSABILITÉ DE LA GESTION

Chapitre 2. DE LA SÉCURITÉ .................................................................................................. 2-1
2.1 Parties responsables de la gestion de la sécurité ................................................... 2-1

L’OACI ............................................................................................................... 2-1
Les États............................................................................................................ 2-2
Les Administrations de l’aviation civile (AAC) ................................................... 2-4
Les constructeurs ............................................................................................. 2-4
Les exploitants d’aéronefs................................................................................. 2-4
Les fournisseurs de services............................................................................. 2-4
Les entrepreneurs tiers ..................................................................................... 2-5
Les associations commerciales et professionnelles ......................................... 2-5
2.2 La responsabilité particulière de la direction en matière de sécurité....................... 2-6
2.3 Responsabilités et obligations redditionnelles ......................................................... 2-7
2.4 Coopération mondiale.............................................................................................. 2-7
Chapitre 3. PROGRAMME DE SÉCURITÉ DE L’ÉTAT........................................................... 3-1
3.1 Généralités............................................................................................................... 3-1

3.2 Responsabilités en matière de réglementation........................................................ 3-2
3.3 Les Administrations de l’aviation civile (AAC).......................................................... 3-2
3.4 La performance de l’État en matière de sécurité ..................................................... 3-4
III
IV Manuel de gestion de la sécurité (MGS)
Page
Chapitre 4. COMPRENDRE LA SÉCURITÉ ............................................................................. 4-1
4.1 Généralités............................................................................................................... 4-1

4.2 Le concept de risque................................................................................................ 4-1
4.3 Distinction entre accidents et incidents.................................................................... 4-2
4.4 Causalité des accidents ........................................................................................... 4-3
Conception traditionnelle de la causalité des accidents ................................... 4-4
Conception moderne de la causalité des accidents.......................................... 4-4
Incidents : précurseurs des accidents ............................................................... 4-6
4.5 Contexte des accidents et des incidents ................................................................. 4-7
Conception du matériel ..................................................................................... 4-8
Infrastructure d’appui......................................................................................... 4-8
Facteurs humains .............................................................................................. 4-9
Facteurs culturels .............................................................................................. 4-13
Culture d’entreprise de la sécurité..................................................................... 4-14
4.6 Erreur humaine ........................................................................................................ 4-19
Types d’erreur ................................................................................................... 4-19
Maîtrise de l’erreur humaine.............................................................................. 4-21
4.7 Cycle de la sécurité.................................................................................................. 4-22
4.8 Aspects financiers.................................................................................................... 4-23
Coûts des accidents .......................................................................................... 4-25
Coûts des incidents ........................................................................................... 4-26
Coûts de la sécurité........................................................................................... 4-26
Chapitre 5. PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ .............................. 5-1
5.1 Philosophie de la gestion de la sécurité .................................................................. 5-1

Fonction de gestion essentielle ......................................................................... 5-1
Approche systémique ........................................................................................ 5-1
Sécurité du système.......................................................................................... 5-2
5.2 Facteurs affectant la sécurité du système ............................................................... 5-2
Défaillances actives et conditions latentes........................................................ 5-2
Défectuosités des équipements ........................................................................ 5-2
Erreur humaine.................................................................................................. 5-3
Conception du système..................................................................................... 5-3
5.3 Concepts de gestion de la sécurité.......................................................................... 5-4
Pierres angulaires de la gestion de la sécurité ................................................. 5-4
Stratégies de gestion de la sécurité .................................................................. 5-4
Activités principales de gestion de la sécurité................................................... 5-6
Processus de gestion de la sécurité ................................................................. 5-7
Supervision de la sécurité ................................................................................. 5-9
Indicateurs et objectifs de performance de sécurité.......................................... 5-10
Appendice 1. Trois pierres angulaires de la gestion de la sécurité............................................ 5-APP 1-1
Chapitre 6. GESTION DES RISQUES ...................................................................................... 6-1
6.1 Généralités............................................................................................................... 6-1

6.2 Identification des dangers ........................................................................................ 6-1
Table des matières V
Page
6.3 Évaluation du risque ................................................................................................ 6-3

Définition du problème ...................................................................................... 6-4
Probabilité de conséquences négatives............................................................ 6-5
Gravité des conséquences des événements .................................................... 6-6
Acceptabilité du risque ...................................................................................... 6-6
6.4 Atténuation du risque ............................................................................................... 6-8
Analyse des moyens de défense ...................................................................... 6-8
Stratégies d’atténuation du risque..................................................................... 6-9
Recherche d’idées............................................................................................. 6-10
Évaluer les options d’atténuation du risque ...................................................... 6-10
6.5 Communication du risque ........................................................................................ 6-11
6.6 Aspects de la gestion des risques pour les administrations publiques ................... 6-12
Situations justifiant une gestion des risques par les administrations
publiques ........................................................................................................... 6-12
Avantages de la gestion des risques pour les administrations publiques......... 6-13
Chapitre 7. COMPTES RENDUS DE DANGERS ET D’INCIDENTS ....................................... 7-1
7.1 Introduction aux systèmes de comptes rendus ....................................................... 7-1

Valeur des systèmes de comptes rendus en matière de sécurité .................... 7-1
Exigences de l’OACI ......................................................................................... 7-2
7.2 Types de systèmes de comptes rendus d’incidents ................................................ 7-2
Systèmes obligatoires de comptes rendus d’incidents ..................................... 7-2
Systèmes volontaires de comptes rendus d’incidents ...................................... 7-3
Systèmes confidentiels de comptes rendus ..................................................... 7-3
7.3 Principes pour des systèmes efficaces de comptes rendus d’incidents.................. 7-3
Confiance .......................................................................................................... 7-4
Non punitif ......................................................................................................... 7-4
Large base de compte rendu ............................................................................ 7-4
Indépendance.................................................................................................... 7-5
Facilité de compte rendu ................................................................................... 7-5
Accusé de réception .......................................................................................... 7-5
Publicité ............................................................................................................. 7-5
7.4 Systèmes internationaux de comptes rendus d’incidents........................................ 7-5
Système de comptes rendus d’accident/incident de l’OACI (ADREP).............. 7-5
Centre européen de coordination des systèmes de comptes rendus
d’incidents en navigation aérienne (ECCAIRS) ................................................ 7-6
7.5 Systèmes nationaux volontaires de comptes rendus d’incidents ............................ 7-6
Système de compte rendu pour la sécurité de l’aviation (ASRS) ..................... 7-7
Programme confidentiel de comptes rendus sur les incidents
liés aux facteurs humains (CHIRP) ................................................................... 7-7
7.6 Systèmes de comptes rendus des compagnies ...................................................... 7-8
7.7 Mise en œuvre des systèmes de comptes rendus d’incidents ................................ 7-8
Que signaler ? ................................................................................................... 7-8
Qui devrait faire rapport ?.................................................................................. 7-9
Méthode et format des comptes rendus............................................................ 7-9
Appendice 1. Restrictions d’utilisation des données provenant des systèmes volontaires

Appendice 1. de comptes rendus d’incidents ............................................................................. 7-APP 1-1
VI Manuel de gestion de la sécurité (MGS)
Page
Chapitre 8. ENQUÊTES DE SÉCURITÉ ................................................................................... 8-1
8.1 Introduction .............................................................................................................. 8-1

Enquêtes de l’État ............................................................................................. 8-1
Enquêtes internes ............................................................................................. 8-2
8.2 Portée des enquêtes de sécurité ............................................................................. 8-2
8.3 Sources d’informations ............................................................................................ 8-3
8.4 Entretiens ................................................................................................................. 8-4
Conduite des entretiens ................................................................................... 8-4
Mise en garde quant aux entretiens avec des témoins..................................... 8-5
8.5 Méthodologie d’enquête........................................................................................... 8-5
8.6 Enquêtes sur les aspects de la performance humaine............................................ 8-5
8.7 Recommandations de sécurité ................................................................................ 8-8
Appendice 1. Techniques d’entretien ......................................................................................... 8-APP 1-1
Chapitre 9. ANALYSE DE LA SÉCURITÉ ET ÉTUDES SUR LA SÉCURITÉ......................... 9-1
9.1 Introduction .............................................................................................................. 9-1

Exigence de l’OACI ........................................................................................... 9-1
Analyse de la sécurité — de quoi s’agit-il ? ...................................................... 9-1
Objectivité et parti pris ....................................................................................... 9-1
9.2 Méthodes et outils analytiques ................................................................................ 9-2
9.3 Études sur la sécurité .............................................................................................. 9-3
Sélectionner les sujets des études.................................................................... 9-4
Collecte d’informations ...................................................................................... 9-4
9.4 Listes de questions de sécurité prioritaires (SIL)..................................................... 9-5
Appendice 1. Comprendre les partis pris ................................................................................... 9-APP 1-1
Chapitre 10. CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ................. 10-1
10.1 Introduction .............................................................................................................. 10-1

10.2 « État de santé » de la sécurité .............................................................................. 10-2
Évaluer l’« état de santé » de la sécurité .......................................................... 10-3
10.3 Supervision de la sécurité........................................................................................ 10-4
Inspections ........................................................................................................ 10-5
Enquêtes ........................................................................................................... 10-6
Assurance de la qualité ..................................................................................... 10-7
Audits de sécurité .............................................................................................. 10-7
10.4 Programme universel OACI d’audits de supervision de la sécurité (USOAP) ........ 10-8
10.5 Audits de sécurité conduits par les autorités de réglementation ............................. 10-9
10.6 Auto-vérification ....................................................................................................... 10-9
Appendice 1. Exemples d’indicateurs de l’état de santé de la sécurité ..................................... 10-APP 1-1

Appendice 2. Auto-vérification de la direction ........................................................................... 10-APP 2-1
Table des matières VII
Page
Chapitre 11. PLANIFICATION DES INTERVENTIONS EN CAS D’URGENCE ..................... 11-1
11.1 Introduction .............................................................................................................. 11-1

11.2 Exigences de l’OACI ................................................................................................ 11-2
11.3 Contenu d’un ERP ................................................................................................... 11-2
11.4 Responsabilités de l’exploitant d’aéronefs............................................................... 11-6
11.5 Listes de vérification ................................................................................................ 11-7
11.6 Formation et exercices............................................................................................. 11-8
Chapitre 12. MISE EN PLACE D’UN SYSTÈME DE GESTION DE LA SÉCURITÉ ............... 12-1
12.1 Introduction .............................................................................................................. 12-1

12.2 Culture de la sécurité ............................................................................................... 12-1
12.3 Les dix étapes de la mise en place d’un SGS ......................................................... 12-2
Appendice 1. Modèle de déclaration de politique de sécurité .................................................... 12-APP 1-1

Appendice 2. Suggestions de points à inclure dans une déclaration du directeur général
Appendice 2. sur l’engagement de l’entreprise à garantir la sécurité .................................... 12-APP 2-1
Chapitre 13. ÉVALUATIONS DE LA SÉCURITÉ ..................................................................... 13-1
13.1 Généralités............................................................................................................... 13-1

13.2 Le processus d’évaluation de la sécurité................................................................. 13-2
Appendice 1. Éléments indicatifs sur la conduite des sessions de groupes de travail

Appendice 1. sur l’identification et l’évaluation des dangers ..................................................... 13-APP 1-1
Chapitre 14. RÉALISATION D’AUDITS DE SÉCURITÉ .......................................................... 14-1
14.1 Introduction .............................................................................................................. 14-1

14.2 Audits de sécurité .................................................................................................... 14-1
14.3 L’équipe d’audit de sécurité ..................................................................................... 14-3
Le rôle du chef de l’équipe d’audit .................................................................... 14-3
Le rôle des auditeurs ......................................................................................... 14-4
14.4 Planification et préparation ...................................................................................... 14-4
Activité préalable à l’audit.................................................................................. 14-4
Le plan d’audit ................................................................................................... 14-5
14.5 Conduite de l’audit ................................................................................................... 14-5
Réunion préaudit ............................................................................................... 14-6
Procédures d’audit ............................................................................................ 14-6
Interviews d’audit............................................................................................... 14-6
Constatations de l’audit ..................................................................................... 14-7
Réunion postaudit ............................................................................................. 14-7
Plan d’action correctrice .................................................................................... 14-7
Rapports d’audit ................................................................................................ 14-8
14.6 Suivi d’audit.............................................................................................................. 14-8
14.7 Normes de qualité ISO............................................................................................. 14-10
VIII Manuel de gestion de la sécurité (MGS)
Page
Chapitre 15. CONSIDÉRATIONS PRATIQUES POUR APPLIQUER

Chapitre 15. UN SYSTÈME DE GESTION DE LA SÉCURITÉ ................................................ 15-1
15.1 Introduction .............................................................................................................. 15-1

15.2 Le bureau de la sécurité .......................................................................................... 15-1
Fonctions du bureau de la sécurité ................................................................... 15-1
15.3 Directeur de la sécurité (DS).................................................................................... 15-3
Critères de sélection du DS............................................................................... 15-3
Rôle de leadership ............................................................................................ 15-4
Le DS dans de grandes organisations ou des organisations en expansion ..... 15-5
Les relations du DS ........................................................................................... 15-5
15.4 Comités de sécurité ................................................................................................. 15-5
Président du comité........................................................................................... 15-6
Membres............................................................................................................ 15-6
Ordre du jour ..................................................................................................... 15-7
Procès-verbal .................................................................................................... 15-7
Suivi................................................................................................................... 15-7
15.5 Formation à la gestion de la sécurité....................................................................... 15-7
Besoins de formation......................................................................................... 15-7
15.6 Conduite d’une enquête de sécurité ........................................................................ 15-10
Principes............................................................................................................ 15-11
Fréquence des enquêtes................................................................................... 15-11
Domaines à examiner ....................................................................................... 15-12
Conclusion de l’enquête .................................................................................... 15-12
15.7 Diffusion des informations liées à la sécurité........................................................... 15-12
Informations cruciales pour la sécurité.............................................................. 15-13
Informations « bonnes à savoir » ...................................................................... 15-13
Comptes rendus adressés à la direction........................................................... 15-13
15.8 Communications écrites........................................................................................... 15-14
15.9 Promotion de la sécurité .......................................................................................... 15-14
Méthodes de promotion..................................................................................... 15-15
15.10 Gestion des informations liées à la sécurité ............................................................ 15-17
Généralités ........................................................................................................ 15-17
Besoins en systèmes d’information................................................................... 15-18
Compréhension des bases de données............................................................ 15-18
Gestion d’une base de données........................................................................ 15-20
Considérations relatives à la sélection des bases de données ........................ 15-21
15.11 Manuel de gestion de la sécurité ............................................................................. 15-22
Appendice 1. Exemple de description des fonctions d’un directeur de la sécurité ................... 15-APP 1-1
Chapitre 16. EXPLOITATION TECHNIQUE DES AÉRONEFS ............................................... 16-1
16.1 Généralités............................................................................................................... 16-1

16.2 Comptes rendus de dangers et d’incidents ............................................................. 16-1
Avantages.......................................................................................................... 16-1
Encourager la libre circulation des informations liées à la sécurité .................. 16-2
Systèmes disponibles sur le marché................................................................. 16-2
Table des matières IX
Page
16.3 Programme d’analyse des données de vol (FDA) .................................................. 16-3

Introduction........................................................................................................ 16-3
Qu’est-ce qu’un programme FDA ? .................................................................. 16-4
Avantages des programmes FDA ..................................................................... 16-4
Exigence de l’OACI ........................................................................................... 16-5
Utilisation d’un programme FDA ....................................................................... 16-5
Équipement FDA ............................................................................................... 16-8
Application pratique de l’analyse des données de vol ...................................... 16-10
Conditions d’efficacité des programmes FDA ................................................... 16-11
Mise en œuvre d’un programme FDA............................................................... 16-13
16.4 Programme d’audit de sécurité en service de ligne (LOSA) ................................... 16-16
Introduction........................................................................................................ 16-16
Rôle de l’OACI................................................................................................... 16-17
Terminologie...................................................................................................... 16-18
Définition des caractéristiques du LOSA........................................................... 16-19
Processus de changement pour la sécurité ...................................................... 16-21
Application du LOSA ......................................................................................... 16-22
16.5 Programme de sécurité en cabine........................................................................... 16-23
Généralités ........................................................................................................ 16-23
Gestion de la sécurité en cabine ....................................................................... 16-25
Appendice 1. Exemple de politique d’entreprise concernant les comptes rendus

non punitifs de dangers ........................................................................................ 16-APP 1-1
Appendice 2. Exemples de points à signaler à un système de comptes rendus
d’événements d’une compagnie aérienne............................................................ 16-APP 2-1
Appendice 3. Exemple de protocole d’accord entre une compagnie aérienne et
une association de pilotes pour l’application d’un programme
d’analyse des données de vol (FDA).................................................................... 16-APP 3-1
Appendice 4. Aspects de la performance humaine concernant la sécurité en cabine .............. 16-APP 4-1
CHAPITRE 17. SERVICES DE LA CIRCULATION AÉRIENNE (ATS) .................................... 17-1
17.1 Sécurité des ATS ..................................................................................................... 17-1

Généralités ........................................................................................................ 17-1
Fonctions de l’autorité de réglementation de la sécurité des ATS.................... 17-2
Directeur de la sécurité (DS) ............................................................................. 17-2
17.2 Systèmes de gestion de la sécurité des ATS .......................................................... 17-3
Indicateurs de performance en matière de sécurité et objectifs
de sécurité ......................................................................................................... 17-3
Organisation de la sécurité................................................................................ 17-5
Gestion des risques........................................................................................... 17-5
Systèmes de comptes rendus d’incidents ......................................................... 17-5
Intervention en cas d’urgence ........................................................................... 17-6
Enquêtes de sécurité......................................................................................... 17-6
Gestion du changement .................................................................................... 17-7
X Manuel de gestion de la sécurité (MGS)
Page
17.3 Modification des procédures ATS ........................................................................... 17-8

17.4 Gestion des menaces et des erreurs....................................................................... 17-9
17.5 Enquête sur la sécurité des vols normaux (NOSS) ................................................. 17-10
Appendice 1. Aspects des facteurs humains relatifs à la performance humaine

Appendice 1. dans les services de la circulation aérienne ....................................................... 17-APP 1-1
Appendice 2. Évaluation des risques des procédures ATS ........................................................ 17-APP 2-1
Appendice 3. Gestion des menaces et des erreurs (TEM) dans les ATS................................... 17-APP 3-1
Chapitre 18. EXPLOITATION TECHNIQUE DES AÉRODROMES ......................................... 18-1
18.1 Sécurité des aérodromes – Généralités ................................................................. 18-1

18.2 Cadre réglementaire ................................................................................................ 18-3
Exigences de l’OACI en matière de gestion de la sécurité
des aérodromes................................................................................................. 18-3
Responsabilités des États ................................................................................. 18-3
Modalités de respect des obligations légales.................................................... 18-4
18.3 Gestion de la sécurité des aérodromes ................................................................... 18-4
Portée de la gestion de la sécurité des aérodromes......................................... 18-5
Le SGS de l’exploitant d’aérodrome.................................................................. 18-5
Directeur de la sécurité et comité(s) de sécurité............................................... 18-6
Système de comptes rendus d’occurrences liées à la sécurité ........................ 18-6
Audits de sécurité .............................................................................................. 18-7
18.4 Planification des mesures d’urgence aéroportuaire ................................................ 18-7
Intervention coordonnée.................................................................................... 18-8
Exercices d’intervention en cas d’urgence aéroportuaire ................................. 18-9
18.5 Sécurité des aires de trafic des aérodromes ........................................................... 18-10
Environnement de travail sur les aires de trafic ................................................ 18-10
Causes d’accidents sur les aires de trafic ......................................................... 18-10
Gestion de la sécurité sur les aires de trafic ..................................................... 18-11
Circulation des véhicules................................................................................... 18-12
18.6 Rôle des directeurs de la sécurité des aérodromes dans la sécurité
au sol........................................................................................................................ 18-13
Appendice 1. Exemple de politique de sécurité d’un exploitant d’aérodrome............................ 18-APP 1-1

Appendice 2. Facteurs de dangers dans l’environnement de travail des aires
Appendice 2. de trafic ................................................................................................................. 18-APP 2-1
Chapitre 19. MAINTENANCE DES AÉRONEFS...................................................................... 19-1
19.1 Sécurité de la maintenance – Généralités .............................................................. 19-1

19.2 Gestion de la sécurité de la maintenance................................................................ 19-2
Approche unifiée de la sécurité au niveau de l’entreprise ................................ 19-2
Principaux outils de gestion de la sécurité de la maintenance ......................... 19-4
Supervision de la sécurité et évaluation du programme ................................... 19-4
19.3 Gestion des écarts par rapport aux procédures de maintenance ........................... 19-5
Système d’aide à la décision pour les erreurs de maintenance (MEDA).......... 19-6
Table des matières XI
Page
19.4 Préoccupations du directeur de la sécurité ............................................................. 19-7
Appendice 1. Conditions de travail dans le domaine de la maintenance................................... 19-APP 1-1

Appendice 2. Système d’aide à la décision pour les erreurs de maintenance (MEDA)............. 19-APP 2-1
RÉFÉRENCES ............................................................................................................................. Réf. 1-1

Page blanche
SIGLES ET ABRÉVIATIONS
AAC Administration de l’aviation civile [Civil Aviation Authority (CAA)]

ACARS Système embarqué de communications, d’adressage et de compte rendu
[Aircraft Communications Addressing and Reporting System]
ACI Conseil international des aéroports [Airports Council International]
ADREP Système de comptes rendus d’accident/incident (OACI)
[Accident/Incident Data Reporting (ICAO)]
AEP Plan d’urgence d’aérodrome [Aerodrome Emergency Plan]
AESA Agence européenne de la sécurité aérienne
[European Aviation Safety Agency (EASA)]
AIRS Système de comptes rendus d’incidents pour les équipages d’aéronefs
[Aircrew Incident Reporting System]
ALARP Le plus faible que l’on puisse raisonnablement atteindre
[As Low As Reasonably Practicable]
AME Technicien de maintenance d’aéronef [Aircraft Maintenance Engineer]
Note.— Aux fins du présent manuel, AME sera utilisé pour représenter
Technicien/Mécanicien de maintenance d’aéronef
AMJ Éléments consultatifs associés aux Codes communs de l’aviation (JAR)
[Advisory Material Joint]
ASECNA Agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar
[Agency for Air Navigation Safety in Africa and Madagascar]
ASR Rapport de sécurité aérienne [Air Safety Report]
ASRS Système de compte rendu pour la sécurité de l’aviation (États-Unis)
[Aviation Safety Reporting System (U.S.)]
ATA Association américaine du transport aérien [Air Transport Association of America]
ATC Contrôle de la circulation aérienne [Air Traffic Control]
ATCO Contrôleur de la circulation aérienne [Air Traffic Controller]
ATM Gestion du trafic aérien [Air Traffic Management]
ATS Service de la circulation aérienne [Air Traffic Service(s)]
ATSB Bureau de la sécurité des transports australiens [Australian Transport Safety Bureau]
BASIS Système d’informations sur la sécurité de la compagnie British Airways
[British Airways Safety Information System]
CANSO Organisation des services de navigation aérienne civile
[Civil Air Navigation Services Organisation]
CAP Publication de l’aviation civile (Royaume-Uni) [Civil Air Publication (U.K.)]
CAST Équipe pour la sécurité de l’aviation commerciale [Commercial Aviation Safety Team]
CEO Directeur général [Chief Executive Officer]
CHIRP Programme confidentiel de comptes rendus sur les incidents liés aux facteurs humains
(Royaume-Uni) [Confidential Human Factors Incident Reporting Programme (U.K.)]
CMC Centre de gestion des crises [Crisis Management Centre]
CNS Communications, navigation et surveillance
[Communications, Navigation and Surveillance]
CRM Gestion des ressources en équipage [Crew Resource Management]
CVR Enregistreur de conversations du poste de pilotage [Cockpit Voice Recorder]
DASS Direction des normes et de la sécurité des aérodromes
[Directorate of Aerodromes Standards and Safety]
DGAC Direction générale de l’aviation civile (France)
XIII
XIV Manuel de gestion de la sécurité (MGS)
DME Dispositif de mesure de distance [Distance Measuring Equipment]

DS Directeur de la sécurité [Safety Manager (SM)]
EBAA Association européenne de l’aviation d’affaires
[European Business Aviation Association]
ECCAIRS Centre européen de coordination des systèmes de comptes rendus d’incidents en
navigation aérienne
[European Co-ordination Centre for Aviation Incident Reporting Systems]
EGPWS Dispositif renforcé d’avertissement de proximité du sol
[Enhanced Ground Proximity Warning System]
ERP Plan d’intervention en cas d’urgence [Emergency Response Plan]
EUROCONTROL Organisation européenne pour la sécurité de la navigation aérienne
[European Organisation for the Safety of Air Navigation]
FAA Administration fédérale de l’aviation des États-Unis
[Federal Aviation Administration (U.S.)]
FCO Ordre de l’équipage de conduite [Flight Crew Order]
FDA Analyse des données de vol [Flight Data Analysis]
FDR Enregistreur de données de vol [Flight Data Recorder]
FIR Région d’information de vol [Flight Information Region]
FMEA Analyse des modes et des effets des pannes [Failure Modes and Effects Analysis]
FMS Système de gestion de vol [Flight Management System]
FOD Dommages causés par un corps étranger [Foreign Object Damage]
FOQA Assurance de la qualité des opérations aériennes
[Flight Operations Quality Assurance]
FPD Base de données d’un programme d’analyse des données de vol
[FDA Programme Database]
FSF Fondation pour la sécurité aérienne [Flight Safety Foundation]
FSO Responsable de la sécurité aérienne [Flight Safety Officer]
GAIN Réseau mondial d’information aéronautique [Global Aviation Information Network]
GASP Plan (OACI) pour la sécurité de l’aviation dans le monde
[Global Aviation Safety Plan (ICAO)]
GPS Système mondial de localisation [Global Positioning System]
GPWS Dispositif avertisseur de proximité du sol [Ground Proximity Warning System]
HAZid Identification des dangers [Hazard Identification]
HST Hygiène et sécurité au travail [Occupational Safety and Health (OSH)]
IATA Association du transport aérien international [International Air Transport Association]
IBAC Conseil international de l’aviation d’affaires (société de capitaux)
[International Business Aviation Council, Ltd.]
IFALPA Fédération internationale des associations de pilotes de ligne
[International Federation of Air Line Pilots’ Associations]
IFATCA Fédération internationale des associations de contrôleurs de la circulation aérienne
[International Federation of Air Traffic Controllers’ Associations]
ILS Système d’atterrissage aux instruments [Instrument Landing System]
INDICATE Identification des moyens de défense nécessaires dans l’environnement du transport
aérien civil [Identifying Needed Defences in the Civil Aviation Transport Environment]
ISASI Association internationale des enquêteurs de la sécurité aérienne
[International Society of Air Safety Investigators]
ISIM Méthodologie intégrée d’enquête de sécurité
[Integrated Safety Investigation Methodology]
ISO Organisation internationale de normalisation
[International Organization for Standardization]
JAA Autorités conjointes de l’aviation [Joint Aviation Authorities]
JAR Codes communs de l’aviation (JAA) [Joint Aviation Requirement(s) (JAA)]
Sigles et abréviations XV
LOSA Audit de sécurité en service de ligne [Line Operations Safety Audit]

MEDA Système d’aide à la décision pour les erreurs de maintenance (Société Boeing)
[Maintenance Error Decision Aid (The Boeing Company)]
MGS Manuel de gestion de la sécurité [Safety Management Manual (SMM)]
MNPS Spécifications de performances minimales de navigation
[Minimum Navigation Performance Specifications]
MRM Gestion des ressources de maintenance [Maintenance Resource Management]
MSAW Avertissement d’altitude minimale de sécurité [Minimum Safe Altitude Warning]
NASA Administration nationale de l’aéronautique et de l’espace (États-Unis)
[National Aeronautics and Space Administration (U.S.)]
NBAA Association nationale de l’aviation d’affaires (société de capitaux)
[National Business Aviation Association, Inc.]
NOSS Enquête de sécurité sur les opérations normales
[Normal Operations Safety Survey]
NTSB Conseil national de la sécurité des transports (États-Unis)
[National Transportation Safety Board (U.S.)]
OACI Organisation de l’aviation civile internationale
[International Civil Aviation Organization (ICAO)]
OFSH Manuel de sécurité de vol de l’exploitant [Operator’s Flight Safety Handbook]
OIRAS Systèmes opérationnels de compte rendu et d’analyse d’incident
[Operational Incident Reporting and Analysis Systems]
OMA Organisme de maintenance agréé [Approved Maintenance Organization (AMO)]
PANS Procédures pour les services de navigation aérienne
[Procedures for Air Navigation Services]
PANS-ATM Procédures pour les services de navigation aérienne — Gestion du trafic aérien
[Procedures for Air Navigation Services — Air Traffic Management]
PANS-OPS Procédures pour les services de navigation aérienne — Exploitation technique
des aéronefs [Procedures for Air Navigation Services — Aircraft Operations]
QAR Enregistreur à accès rapide [Quick Access Recorder]
RA Avis de résolution [Resolution Advisory]
RNP Qualité de navigation requise [Required Navigation Performance]
RVSM Minimum de séparation verticale réduit [Reduced Vertical Separation Minimum]
SAQ Système d’assurance de la qualité [Quality Assurance System (QAS)]
SARP Normes et pratiques recommandées [Standards and Recommended Practices]
SDCPS Systèmes de collecte et de traitement des données sur la sécurité
[Safety Data Collection and Processing Systems]
SDR Compte rendu de difficultés constatées en service [Service Difficulty Reporting]
SDR Demande de données liées à la sécurité [Safety Data Request]
SGS Système de gestion de la sécurité [Safety Management System(s) (SMS)]
SHEL Documentation/Matériel/Environnement/Être humain
[Software/Hardware/Environment/Liveware]
SID Départ normalisé aux instruments [Standard Instrument Departure]
SIL Liste de questions de sécurité prioritaires [Safety Issues List]
SIN Numéro d’instruction permanente [Standing Instruction Number]
SOP Procédures d’exploitation normalisées [Standard Operating Procedures]
STAR Arrivée normalisée aux instruments [Standard Instrument Arrival]
STCA Avertissement de conflit à court terme [Short-term Conflict Alert]
TCAS Système d’alerte de trafic et d’évitement de collision
[Traffic Alert and Collision Avoidance System]
TEM Gestion des menaces et des erreurs [Threat and Error Management]
TOR Acceptabilité du risque [Tolerability of Risk]
TRM Gestion des ressources en équipe [Team Resource Management]
XVI Manuel de gestion de la sécurité (MGS)
UE Union européenne [European Union (EU)]

USOAP Programme universel (OACI) d’audits de supervision de la sécurité
[Universal Safety Oversight Audit Programme (ICAO)]
Chapitre 1er
PRÉSENTATION GÉNÉRALE
1.1 GÉNÉRALITÉS
Au cours du siècle dernier, des progrès technologiques gigantesques ont été accomplis dans le domaine de
l’aviation. Ces progrès n’auraient pas été possibles sans des réalisations parallèles en matière de maîtrise
et d’atténuation des dangers qui mettent en péril la sécurité aérienne. Étant donné les nombreuses causes
possibles de dommages tant matériels que corporels en aviation, les responsables de l’aviation se sont
depuis toujours souciés de la prévention des accidents. Grâce au respect rigoureux de bonnes pratiques
de gestion de la sécurité, la fréquence et la gravité des événements liés à la sécurité aérienne ont
considérablement diminué.
1.2 LE CONCEPT DE SÉCURITÉ
1.2.1 Pour comprendre ce qu’est la gestion de la sécurité, il est nécessaire d’examiner ce que l’on
entend par « sécurité ». Selon le point de vue que l’on adopte, le concept de sécurité aérienne peut prendre
différentes acceptions, notamment :
a) zéro accident (ou incident grave), un point de vue largement partagé par les voyageurs ;
b) l’absence de danger ou de risque, c’est-à-dire de facteurs qui causent ou risquent de causer des
dommages ;
c) l’attitude du personnel face à des actes et situations dangereux (reflet d’une culture d’entreprise
« valorisant la sécurité ») ;
d) la mesure dans laquelle les risques inhérents à l’aviation sont « acceptables » ;
e) le processus d’identification des dangers et de gestion des risques ;
f) la limitation des pertes dues aux accidents (pertes humaines, pertes matérielles et dégâts à
l’environnement).
1.2.2 Il est souhaitable d’éliminer entièrement les accidents (et incidents graves), mais un taux de
sécurité de 100 % n’est pas un objectif réalisable. Malgré tous les efforts consentis pour éviter les
défaillances et les erreurs, il s’en produira toujours. Aucune activité humaine ni aucun système créé par
l’homme ne peut être garanti comme absolument sûr, c’est-à-dire exempt de risques. La notion de sécurité
est relative, les risques inhérents étant acceptables dans un système « sûr ».
1.2.3 La sécurité est de plus en plus considérée sous l’angle de la gestion des risques. Aux fins du
présent manuel, on donnera donc à la sécurité la définition suivante :
1-1
1-2 Manuel de gestion de la sécurité (MGS)
La sécurité est la situation dans laquelle les risques de lésions corporelles ou de

dommages matériels sont limités à un niveau acceptable et maintenus à ce niveau ou
sous ce niveau par un processus continu d’identification des dangers et de gestion des
risques.
1.3 NÉCESSITÉ DE LA GESTION DE LA SÉCURITÉ
1.3.1 Même si les catastrophes aériennes sont rares, des accidents moins graves et toutes sortes
d’incidents se produisent plus fréquemment. Ces incidents mineurs qui touchent à la sécurité peuvent
toutefois présager des problèmes de sécurité sous-jacents. Ne pas tenir compte de ces dangers sous-
jacents pour la sécurité reviendrait à ouvrir la voie à une augmentation du nombre d’accidents plus graves.
1.3.2 Les accidents (et les incidents) coûtent cher. Même si les assurances permettent d’en répartir le
coût dans le temps, les accidents ne sont pas bons pour les affaires. Les assurances peuvent couvrir
certains risques, mais de nombreux coûts ne sont pas assurés. Il y a, en outre, des coûts moins tangibles
(mais non moins importants) comme la perte de confiance des voyageurs. Une connaissance des coûts
totaux d’un accident est essentielle pour comprendre les aspects économiques de la sécurité.
1.3.3 La viabilité future de l’industrie du transport aérien pourrait bien dépendre de sa capacité à
conforter le public dans sa perception de la sécurité des vols. La gestion de la sécurité est dès lors une
condition préalable à la pérennité de l’industrie aéronautique.
1.4 EXIGENCES DE L’OACI
1.4.1 La sécurité a toujours été la préoccupation majeure de toutes les activités de l’aviation. Elle
figure dans les buts et objectifs de l’OACI tels qu’énoncés à l’Article 44 de la Convention relative à l’aviation
civile internationale (Doc 7300), appelée communément Convention de Chicago, qui charge l’OACI d’assurer
le développement ordonné et sûr de l’aviation civile internationale dans le monde entier.
1.4.2 En établissant les conditions que doivent remplir les États en matière de gestion de la sécurité,
l’OACI établit la distinction suivante entre programmes de sécurité et systèmes de gestion de la sécurité (SGS) :
• un programme de sécurité est un ensemble intégré de règlements et d’activités visant à améliorer

la sécurité ;
• un système de gestion de la sécurité (SGS) est une approche structurée de gestion de la sécurité,
qui englobe les structures, responsabilités, politiques et procédures organisationnelles nécessaires.
1.4.3 Les normes et pratiques recommandées de l’OACI (SARP) (voir les Annexes suivantes à
la Convention relative à l’aviation civile internationale : l’Annexe 6 — Exploitation technique des aéronefs,
re e
1 Partie — Aviation de transport commercial international — Avions, et 3 Partie — Vols internationaux
d’hélicoptères ; l’Annexe 11 — Services de la circulation aérienne ; et l’Annexe 14 — Aérodromes) font
obligation aux États d’établir un programme de sécurité afin d’atteindre un niveau de sécurité acceptable
de l’exploitation aérienne. Le niveau de sécurité acceptable sera établi par l’État (les États) concerné(s).
Tandis que les concepts de programmes de sécurité et de SGS se limitent actuellement aux Annexes 6, 11
et 14, il est possible qu’ils soient élargis pour inclure à l’avenir des Annexes supplémentaires relatives à
l’exploitation.
er
Chapitre 1 . Présentation générale 1-3
1.4.4 Un programme de sécurité aura une large portée qui englobera de nombreuses activités de
sécurité visant à atteindre les objectifs du programme. Le programme de sécurité d’un État comprend les
règlements et directives régissant la conduite d’opérations sûres du point de vue des exploitants d’aéronefs,
des fournisseurs de services de la circulation aérienne (ATS), des aérodromes et des services de maintenance
des aéronefs. Le programme de sécurité peut comprendre des dispositions se rapportant à des activités aussi
diverses que les comptes rendus d’incidents, les enquêtes et les audits de sécurité et la promotion de la
sécurité. Une mise en œuvre intégrée de ces activités de sécurité requiert un SGS cohérent.
1.4.5 Par conséquent, conformément aux dispositions des Annexes 6, 11 et 14, les États exigeront des
différents opérateurs, organisations de maintenance, fournisseurs ATS et exploitants certifiés d’aérodromes
qu’ils mettent en œuvre un SGS accepté par l’État. Ce SGS devra, au minimum :
a) identifier les dangers pour la sécurité ;
b) veiller à ce que des mesures correctives nécessaires d’atténuation des risques/dangers soient
mises en œuvre ;
c) prévoir un contrôle continu et une évaluation régulière du niveau de sécurité atteint.
1.4.6 Le SGS d’une organisation approuvé par l’État définira également clairement les obligations
redditionnelles en matière de sécurité, y compris la responsabilité directe de la haute direction en matière de
sécurité.
1.4.7 L’OACI fournit des éléments indicatifs spécifiques, parmi lesquels le présent manuel sur la
gestion de la sécurité, pour l’application des SARP. Ce manuel propose un cadre conceptuel pour gérer la
sécurité et mettre en place un SGS, ainsi que quelques-uns des processus et activités systémiques utilisés
pour réaliser les objectifs d’un programme de sécurité de l’État.
Niveau de sécurité acceptable
1.4.8 Dans tout système, il est nécessaire de fixer des niveaux de performance et de mesurer les
résultats atteints afin de déterminer si le système fonctionne conformément aux attentes. Il convient éga-
lement d’identifier les aspects qui appellent des mesures pour améliorer les niveaux de performance et
répondre à ces attentes.
1.4.9 L’introduction du concept de niveau de sécurité acceptable répond à la nécessité de compléter

l’approche actuelle de la gestion de la sécurité basée sur le respect des réglementations en y ajoutant une
approche basée sur la performance. Le niveau de sécurité acceptable exprime les objectifs (ou les attentes)
de sécurité d’une autorité de supervision, d’un exploitant ou d’un fournisseur de services. Du point de vue
des relations entre les autorités de supervision et les exploitants/fournisseurs de services, il fournit un
objectif de performance de sécurité que les exploitants/fournisseurs de services devraient atteindre dans la
conduite de leurs activités de base et qui serait un minimum acceptable pour l’autorité de supervision. Il
s’agit d’une référence en regard de laquelle l’autorité de supervision peut mesurer la performance de
sécurité. Pour déterminer un niveau de sécurité acceptable, il faut prendre en considération des facteurs tels
que le niveau de risque applicable, les coûts-avantages des améliorations à apporter au système et les
attentes du public en termes de sécurité de l’industrie aéronautique.
1.4.10 Dans la pratique, le concept de niveau de sécurité acceptable s’exprime à l’aide de deux mesures/
paramètres (les indicateurs de performance de sécurité et les objectifs de performance de sécurité) et il est
mis en œuvre au moyen de différentes exigences de sécurité. Dans le présent manuel, ces termes ont les
significations suivantes :
• Les indicateurs de performance de sécurité sont une mesure de la performance de sécurité

d’une organisation aéronautique ou d’un secteur de l’industrie. Les indicateurs de performance de
sécurité devraient être faciles à mesurer et être liés aux principaux éléments du programme de
sécurité d’un État ou au SGS d’un exploitant/fournisseur de services. Les indicateurs de
performance de sécurité différeront dès lors d’un segment de l’industrie aéronautique à l’autre,
notamment entre les exploitants d’aéronefs, les exploitants d’aérodrome ou les fournisseurs ATS.
• Les objectifs de performance de sécurité (parfois appelés buts) sont déterminés en fonction
de niveaux de performance de sécurité souhaitables et réalistes, à atteindre par les différents
exploitants/fournisseurs de services. Les objectifs de sécurité devraient être mesurables, accep-
tables pour les parties intéressées et compatibles avec le programme de sécurité de l’État.
• Les exigences de sécurité servent à atteindre les indicateurs de performance de sécurité et les
objectifs de performance de sécurité. Elles comprennent les procédures, la technologie, les
systèmes et les programmes d’exploitation, qui peuvent être assortis de mesures de fiabilité, de
disponibilité, de performance et/ou de précision. Comme exemple d’exigence de sécurité, citons le
déploiement d’un système radar dans les trois aéroports les plus importants d’un État dans les
12 mois qui suivent, avec une disponibilité de 98 % du matériel crucial.
1.4.11 Un ensemble de plusieurs indicateurs et objectifs de performance de sécurité donnera un

meilleur aperçu du niveau de sécurité acceptable d’une organisation ou d’un secteur de l’aviation que
l’utilisation d’un seul indicateur ou objectif.
1.4.12 Le rapport existant entre le niveau de sécurité acceptable, les indicateurs de performance de
sécurité, les objectifs de performance de sécurité et les exigences de sécurité est le suivant : le niveau
acceptable de sécurité est le concept dominant ; les indicateurs de performance de sécurité sont les
mesures/paramètres utilisés pour déterminer si le niveau acceptable de sécurité a été atteint ; les objectifs
de performance de sécurité sont les objectifs quantifiés en rapport avec le niveau acceptable de sécurité ;
les exigences de sécurité sont les outils ou moyens nécessaires pour réaliser les objectifs de sécurité. Le
présent manuel porte principalement sur les exigences de sécurité, c’est-à-dire sur les moyens mis en
œuvre pour atteindre les niveaux de sécurité acceptables.
1.4.13 Les indicateurs de sécurité et les objectifs de sécurité peuvent être différents (par ex., l’indi-
cateur de sécurité est de 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies
aériennes, et l’objectif de sécurité est une réduction de 40 % du taux d’accidents mortels pour les vols), ou
ils peuvent être identiques (par ex., l’indicateur de sécurité est de 0,5 accident mortel par 100 000 heures
pour les exploitants de compagnies aériennes, et l’objectif de sécurité est pas plus de 0,5 accident mortel
par 100 000 heures pour les exploitants de compagnies aériennes).
1.4.14 Il y aura rarement un niveau de sécurité acceptable à l’échelle nationale. Le plus souvent, il y
aura dans chaque État différents niveaux de sécurité acceptables sur lesquels se seront mis d’accord
l’autorité de supervision et de réglementation et les différents exploitants/fournisseurs de services. Chaque
niveau de sécurité acceptable convenu devrait être à la mesure de la complexité du contexte opérationnel
des différents exploitants/fournisseurs de services.
1.4.15 L’établissement d’un ou de plusieurs niveaux de sécurité acceptables pour le programme de

sécurité ne remplace pas les exigences légales, réglementaires ou autres qui ont été établies, ni ne libère
les États de leurs obligations découlant de la Convention relative à l’aviation civile internationale (Doc 7300)
et de ses dispositions connexes. De même, l’établissement d’un ou de plusieurs niveaux de sécurité
acceptables pour le SGS ne libère pas les exploitants/fournisseurs de services de leurs obligations
découlant de réglementations nationales pertinentes, ni de celles résultant de la Convention relative à
l’aviation civile internationale (Doc 7300).
er
Exemples de mise en œuvre
1.4.16 Programme de sécurité de l’État. Une autorité de supervision établit un niveau de sécurité
acceptable que doit réaliser son programme de sécurité et qui sera exprimé comme suit :
a) 0,5 accident mortel par 100 000 heures pour les exploitants de compagnies aériennes (indicateur de
sécurité) avec une réduction de 40 % en cinq ans (objectif de sécurité) ;
b) 50 incidents d’aéronefs par 100 000 heures de vol effectuées (indicateur de sécurité) avec une
réduction de 25 % en trois ans (objectif de sécurité) ;
c) 200 incidents graves dus à une défectuosité de l’aéronef par 100 000 heures de vol effectuées
(indicateur de sécurité) avec une réduction de 25 % par rapport à la moyenne des trois dernières
années (objectif de sécurité) ;
d) 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs (indicateur de sécurité) avec une réduction
de 50 % en cinq ans (objectif de sécurité) ;
e) pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) avec
une réduction de 40 % sur une période de 12 mois (objectif de sécurité) ;
f) 40 incidents aériens par 100 000 heures de vol effectuées (indicateur de sécurité) avec une
réduction de 30 % sur la moyenne mobile de cinq ans (objectif de sécurité).
1.4.17 Les exigences de sécurité permettant d’atteindre ces objectifs de sécurité et indicateurs de
sécurité comprennent :
a) le programme de prévention des accidents élaboré par l’autorité de supervision ;
b) un système de compte rendu obligatoire des occurrences ;
c) un système de compte rendu volontaire des occurrences ;
d) un programme d’impact d’oiseau ;
e) le déploiement de systèmes radar dans les trois plus grands aéroports de l’État dans les 12 prochains
mois.
1.4.18 SGS d’un exploitant de compagnie aérienne. Une autorité de supervision et un exploitant de
compagnie aérienne se mettent d’accord sur un niveau de sécurité acceptable à atteindre par le SGS de
l’exploitant, dont une mesure — mais non la seule — est 0,5 accident mortel par 100 000 départs (indicateur
de sécurité) ; une réduction de 40 % en cinq ans (objectif de sécurité) et — notamment — le développement
d’approches GPS pour les aérodromes sans approches ILS (exigence de sécurité).
1.4.19 SGS d’un fournisseur de services et d’un exploitant d’aérodrome. Une autorité de
supervision, un fournisseur ATS et un exploitant d’aérodrome se mettent d’accord sur un niveau de sécurité
acceptable à atteindre par le SGS du fournisseur et de l’exploitant, dont un élément — mais pas le seul —
est pas plus d’une incursion sur piste par 40 000 mouvements d’aéronefs (indicateur de sécurité) ; une
réduction de 40 % en 12 mois (objectif de sécurité) et — notamment — l’établissement de procédures de
circulation à la surface par faible visibilité (exigence de sécurité).
1.4.20 Le Chapitre 5 contient plus d’informations sur les indicateurs de performance de sécurité et les
objectifs de performance de sécurité.
1.5 LES INTERVENANTS DANS LE DOMAINE DE LA SÉCURITÉ
1.5.1 Compte tenu des coûts totaux des accidents d’aviation, de nombreux groupes différents sont
concernés par l’amélioration de la gestion de la sécurité. On trouvera ci-après une liste des principaux inter-
venants concernés par la sécurité :
a) les professionnels de l’aviation (par ex. les équipages de conduite et de cabine, les contrôleurs de la
1
circulation aérienne [ATCO], les techniciens de maintenance d’aéronef [AME] ) ;
b) les propriétaires et exploitants d’aéronefs ;
c) les constructeurs (en particulier les constructeurs de cellules et de moteurs) ;
d) les autorités de réglementation de l’aviation (par ex. les AAC, l’AESA et l’ASECNA) ;
e) les groupements professionnels de l’industrie (par ex. l’IATA, l’ATA et l’ACI) ;
f) les fournisseurs ATS régionaux (par ex. EUROCONTROL) ;
g) les unions et associations professionnelles (par ex. l’IFALPA et l’IFATCA) ;
h) les organisations internationales de l’aviation (par ex. l’OACI) ;
i) les organismes d’enquête (par ex. le NTSB des États-Unis) ;
j) les voyageurs.
1.5.2 Des événements graves liés à la sécurité aérienne touchent invariablement d’autres groupes qui
ne partagent pas toujours un objectif de promotion de la sécurité aérienne, par ex. :
a) les proches, victimes ou personnes blessées dans un accident ;
b) les compagnies d’assurances ;
c) l’industrie des voyages ;
d) les instituts d’enseignement et de formation à la sécurité (par ex. la FSF) ;
e) d’autres agences et services gouvernementaux ;
f) les mandataires publics élus ;
g) les investisseurs ;
h) les médecins légistes et la police ;
i) les médias ;
1. D’après l’Annexe 1 — Licences du personnel, il est également possible de désigner ces personnes sous le terme de « mécanicien
de maintenance d’aéronef ». Dans le présent manuel, c’est le terme « technicien de maintenance d’aéronef » (AME) qui sera utilisé.
er
j) le grand public ;
k) les avocats et consultants ;
l) différents groupes d’intérêts.
1.6 APPROCHES DE LA GESTION DE LA SÉCURITÉ
1.6.1 Compte tenu de la poursuite escomptée de l’augmentation des activités aéronautiques dans le
monde, il est à craindre que les méthodes traditionnelles de réduction des risques à un niveau acceptable
ne soient pas suffisantes. De nouvelles méthodes permettant de mieux comprendre et de gérer la sécurité
voient dès lors le jour.
1.6.2 On peut ainsi considérer la gestion de la sécurité selon deux perspectives différentes : la
perspective traditionnelle et la perspective moderne.
La perspective traditionnelle
1.6.3 Historiquement, la sécurité aérienne se concentrait sur le respect d’exigences réglementaires de

plus en plus complexes. Cette approche a donné de bons résultats jusqu’à la fin des années 1970, lorsque
le taux d’accidents a cessé de baisser. Des accidents ont continué à se produire en dépit de tout un arsenal
de règles et réglementations.
1.6.4 Selon cette approche de la sécurité, on réagissait à des événements indésirables en prescri-
vant des mesures visant à empêcher leur répétition. Plutôt que de définir les meilleures pratiques ou les
normes souhaitées, on cherchait à s’assurer le respect des normes minimales.
–6
1.6.5 Le taux global d’accidents mortels avoisinant 10 (soit un accident mortel par million de vols), il
devenait de plus en plus difficile d’améliorer davantage la sécurité en suivant cette approche.
La perspective moderne
1.6.6 Afin de maintenir les risques de sécurité à un niveau acceptable, compatible avec les niveaux
croissants d’activité, les pratiques modernes de gestion de la sécurité évoluent, délaissant une approche
purement réactive en faveur d’une approche plus proactive. Outre un solide cadre de législations et
d’exigences réglementaires reposant sur les SARP de l’OACI, et l’application de ces exigences, on estime
qu’un certain nombre d’autres facteurs, dont certains sont énumérés ci-dessous, concourent à une gestion
efficace de la sécurité. Il faut souligner que cette approche complète ou s’ajoute à l’obligation des États et
d’autres organisations de se conformer aux SARP de l’OACI et/ou aux règlements nationaux. Parmi ces
facteurs, citons :
a) l’application de méthodes de gestion des risques reposant sur des fondements scientifiques ;
b) l’engagement de la haute direction envers la gestion de la sécurité ;
c) une culture de la sécurité au sein de l’entreprise, qui favorise des pratiques sûres, encourage les
communications relatives à la sécurité et gère activement la sécurité en portant autant d’attention
aux résultats que ne le fait la gestion financière ;
d) la mise en œuvre efficace de Procédures d’exploitation normalisées (SOP), y compris l’utilisation de

listes de vérification et de briefings ;
e) un environnement non punitif (ou culture juste) pour promouvoir des comptes rendus efficaces de
dangers et d’incidents ;
f) des systèmes de collecte, d’analyse et de partage des données liées à la sécurité provenant de
l’exploitation normale ;
g) des enquêtes sur les accidents et les incidents graves effectuées par du personnel compétent et
permettant de faire apparaître les carences systémiques en matière de sécurité (plutôt que de
chercher uniquement à condamner des responsables) ;
h) l’intégration de la formation à la sécurité (comprenant les facteurs humains) pour le personnel

d’exploitation ;
i) le partage des enseignements tirés et des meilleures pratiques observées en rapport avec la
sécurité par l’échange actif d’informations sur la sécurité (entre compagnies et États) ;
j) la supervision systématique de la sécurité et le contrôle méthodique des performances de sécurité

en vue d’évaluer les performances de sécurité et de réduire ou éliminer les problèmes naissants.
1.6.7 Aucun élément pris isolément ne permettra de répondre aux attentes actuelles en matière de
gestion des risques. En revanche, une application intégrée de la plupart de ces éléments permettra
d’accroître la résistance du système de l’aviation aux circonstances et actes dangereux. Néanmoins, même
des processus efficaces de gestion de la sécurité n’offrent pas la garantie que tous les accidents puissent
être évités.
1.7 UTILISATION DU MANUEL
Finalité
1.7.1 Le présent manuel a pour objectif d’aider les États à se conformer aux exigences des Annexes 6,
11 et 14 dans l’optique de la mise en œuvre de SGS par les exploitants et les fournisseurs de services.
Public cible
1.7.2 Les méthodes et procédures décrites dans le présent manuel ont été élaborées à partir de
l’expérience acquise dans le domaine du développement et de la gestion efficaces d’activités de sécurité
aérienne par des exploitants d’aviation, des fournisseurs ATS, des aérodromes et des organisations de
maintenance. Ce manuel intègre également les meilleures pratiques provenant de diverses sources telles
que les gouvernements, les constructeurs et d’autres organisations aéronautiques reconnues.
1.7.3 La mise en pratique des éléments indicatifs repris ci-après ne se limite pas au personnel
d’exploitation mais devrait, au contraire, concerner l’éventail complet des parties intéressées par la sécurité,
y compris la haute direction.
1.7.4 Le présent manuel s’adresse en particulier aux responsables de la conception, de la mise en

œuvre et de la gestion effectives des activités de sécurité, à savoir :
er
a) les fonctionnaires du gouvernement assumant des responsabilités de réglementation du système de

l’aviation ;
b) les instances de direction d’organisations d’exploitation aérienne telles que les exploitants, les
fournisseurs ATS, les aérodromes et les organisations de maintenance ;
c) les praticiens de la sécurité, tels que les directeurs de la sécurité et les conseillers en sécurité.
1.7.5 Les utilisateurs devraient y trouver suffisamment d’informations pour les guider dans la justifi-
cation, l’introduction et l’exploitation d’un SGS viable.
1.7.6 Ce manuel n’est pas normatif. Toutefois, en se fondant sur une compréhension de la philo-
sophie, des principes et des pratiques examinés ci-après, les organisations devraient être à même de
mettre au point une approche de la gestion de la sécurité adaptée à leurs circonstances locales.
Sommaire
1.7.7 Le présent manuel s’adresse à un large public, allant des organismes de réglementation
aérienne des États aux exploitants et fournisseurs de services. Il est également destiné à tous les niveaux
de personnel au sein de ces organisations, de la haute direction aux agents de première ligne. Les
Chapitres 1 à 3 contiennent une introduction à la gestion de la sécurité. Les Chapitres 4 à 11 traitent de la
gestion de la sécurité. Les systèmes de gestion de la sécurité sont abordés dans les Chapitres 12 à 15. Les
Chapitres 16 à 19 étudient la gestion de la sécurité appliquée.
1.7.8 Ce manuel n’est pas destiné à être lu du début à la fin. On conseille plutôt aux utilisateurs de se
concentrer sur leurs centres d’intérêt, selon leur niveau de connaissance et d’expérience dans le domaine
de la gestion de la sécurité aérienne.
1.7.9 Dans le présent manuel, le masculin est utilisé pour désigner à la fois les hommes et les
femmes.
Remerciements
1.7.10 Pour élaborer le présent manuel, l’OACI s’est inspirée dans une large mesure des travaux,
écrits et meilleures pratiques de nombreuses personnes et organisations. S’il est vrai que l’on ne peut citer
toutes les références utilisées, l’OACI voudrait remercier pour leur contribution notamment les États
suivants : l’Australie, le Canada, les États-Unis, la Nouvelle-Zélande et le Royaume-Uni ; les constructeurs
suivants : Airbus Industrie et la société Boeing ; la société de conseil Integra ; les fournisseurs de
services suivants : l’Organisation européenne pour la sécurité de la navigation aérienne (EUROCONTROL)
et le Conseil international des aéroports (ACI) ; Richard W. Wood, auteur indépendant ; ainsi que le Réseau
mondial d’information aéronautique (GAIN) et la Fondation pour la sécurité aérienne (FSF).
Liens avec d’autres documents de l’OACI
1.7.11 Le présent manuel fournit des orientations permettant de se conformer aux exigences des
SARP des Annexes 6, 11 et 14 en ce qui concerne la mise en œuvre de programmes de sécurité et de
SGS. Certaines de ces exigences sont développées dans les Procédures pour les services de navigation
aérienne — Exploitation technique des aéronefs (PANS-OPS, Doc 8168), les Procédures pour les services
de navigation aérienne — Gestion du trafic aérien (PANS-ATM, Doc 4444), et le Manuel sur la certification
des aérodromes (Doc 9774).
1.7.12 Ce manuel devrait également aider les États à satisfaire aux SARP de l’Annexe 13 — Enquêtes
sur les accidents et incidents d’aviation — en ce qui concerne les enquêtes sur les accidents et les
incidents, y compris les recommandations aux États visant à promouvoir la sécurité par l’analyse des
données sur les accidents et les incidents et par un échange rapide de renseignements sur la sécurité.
1.7.13 Le présent manuel de gestion de la sécurité devrait également accompagner d’autres documents
de l’OACI, parmi lesquels :
a) le Manuel de navigabilité (Doc 9760), qui fournit des éléments indicatifs pour la conduite d’un
programme de maintien de la navigabilité ;
b) les Facteurs humains — Étude n° 16 — Facteurs transculturels dans la sécurité de l’aviation

(Cir 302), qui traitent de l’importance des facteurs transculturels pour la sécurité de l’aviation ;
c) les Lignes directrices sur les facteurs humains dans la maintenance aéronautique (Doc 9824), qui
fournissent des informations sur la réduction des erreurs humaines et la mise au point de contre-
mesures dans la maintenance aéronautique ;
d) les Lignes directrices sur les facteurs humains et les systèmes de gestion du trafic aérien (ATM)
(Doc 9758), destinées à aider les États dans l’examen des questions liées aux facteurs humains
lors de l’achat et de la mise en œuvre de systèmes CNS/ATM ;
e) les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), qui
fournissent des éléments indicatifs pour la préparation et l’exécution d’un audit de supervision de la
sécurité qui tienne compte de la performance et des limites humaines ;
f) le Manuel d’instruction sur les facteurs humains (Doc 9683), qui décrit de façon plus détaillée une
grande partie de l’approche sous-jacente des aspects de la performance humaine en rapport avec
la gestion de la sécurité développée dans le présent manuel ;
g) l’Audit de sécurité en service de ligne (LOSA) (Doc 9803), qui présente des informations sur la
réduction et la gestion de l’erreur humaine et la mise au point de contre-mesures dans les contextes
d’exploitation ;
h) le Manuel d’investigations techniques sur les accidents et incidents d’aviation (Doc 9756), qui fournit
aux États des informations et des orientations sur les procédures, pratiques et techniques qui
peuvent être utilisées dans les enquêtes sur les accidents d’aviation ;
i) le Manuel sur la certification des aérodromes (Doc 9774), qui décrit les caractéristiques essentielles
d’un SGS à inclure dans le manuel des aérodromes pour la certification des aérodromes ;
j) la Rédaction d’un manuel d’exploitation (Doc 9376), qui fournit aux exploitants des éléments
indicatifs détaillés dans des domaines tels que la formation et la supervision des opérations et qui
comprend des consignes sur la nécessité de mettre en place un programme de prévention des
accidents ;
k) le Manuel d’audits de la supervision de la sécurité (Doc 9735), qui fournit des éléments indicatifs et
des informations sur les procédures d’audit normalisées pour l’exécution d’audits de l’OACI de la
supervision de la sécurité ;
er
l) le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord à la
sécurité, qui fournit des éléments indicatifs pour la formation des équipages de cabine telle que
2
prescrite par l’Annexe 6 .
____________________
2. À la suite d’un changement de terminologie intervenu en 1999 (voir l’Annexe 6 — Exploitation technique des aéronefs), le terme
« membre de l’équipage de cabine » est dorénavant utilisé à la place du terme « membre du personnel commercial de bord ». Le
terme « agent de bord » est parfois utilisé dans l’industrie aéronautique.
Page blanche
Chapitre 2
PARTAGE DE LA RESPONSABILITÉ DE LA GESTION

DE LA SÉCURITÉ
2.1 PARTIES RESPONSABLES DE LA GESTION DE LA SÉCURITÉ
2.1.1 La responsabilité de la sécurité et de la gestion effective de la sécurité est partagée entre un

large éventail d’organisations et d’institutions, dont des organisations internationales, les organismes nationaux
de réglementation de l’aviation civile, les propriétaires et exploitants, les fournisseurs de services de navi-
gation aérienne et d’aérodromes, les grands constructeurs d’aéronefs et de groupes motopropulseurs, les
organisations de maintenance, les associations professionnelles et sectorielles et les instituts d’éducation et
de formation aéronautique. En outre, les tiers qui fournissent des services d’appui à l’aviation (y compris des
services sous contrat) partagent également cette responsabilité de la gestion de la sécurité. D’une façon
générale, ces responsabilités relèvent des domaines suivants :
a) la définition de politiques et de normes touchant à la sécurité ;
b) l’affectation de ressources pour soutenir les activités de gestion des risques ;
c) l’identification et l’évaluation des dangers pour la sécurité ;
d) l’application de mesures visant à éliminer les dangers ou à réduire le risque connexe à un niveau
reconnu comme acceptable ;
e) l’intégration des progrès techniques dans la conception et la maintenance du matériel ;
f) l’évaluation de la supervision de la sécurité et du programme de sécurité ;
g) la réalisation d’enquêtes sur les accidents et les incidents graves ;
h) l’adoption des meilleures pratiques les plus appropriées de l’industrie ;
i) la promotion de la sécurité de l’aviation (y compris l’échange d’informations liées à la sécurité) ;
j) la mise à jour des réglementations régissant la sécurité de l’aviation civile.
2.1.2 Les procédures et pratiques systématiques de gestion de la sécurité sont généralement désignées
par l’expression « système de gestion de la sécurité » (SGS) ;
L’OACI
2.1.3 Du point de vue de la réglementation, le rôle de l’OACI est de fournir des procédures et
indications pour une exploitation internationale sûre des aéronefs, et de promouvoir la planification et le
développement du transport aérien. L’OACI s’acquitte de cette tâche principalement par l’élaboration des
2-1
normes et pratiques recommandées (SARP), qui sont contenues dans les Annexes à la Convention de
Chicago et qui illustrent les meilleures pratiques opérationnelles des États. Les procédures pour les services
de navigation aérienne (PANS) contiennent des pratiques qui dépassent le champ d’application des SARP,
là où une certaine uniformité internationale est souhaitable pour des raisons de sécurité et d’efficacité. Les
plans régionaux de navigation aérienne décrivent de façon détaillée les besoins en installations et services
propres aux régions de l’OACI. Essentiellement, ces documents définissent le cadre international pour
promouvoir la sécurité et l’efficacité en aviation.
2.1.4 Outre ce cadre réglementaire, l’OACI contribue à la gestion de la sécurité par la promotion des
meilleures pratiques de sécurité. Plus spécifiquement, l’OACI :
a) fournit aux États et exploitants des éléments indicatifs couvrant la plupart des aspects de la sécurité
aérienne (notamment les opérations aériennes, la navigabilité, les services de la circulation aérienne,
les aérodromes et la sécurité des aéroports). De manière générale, ces éléments indicatifs se
présentent sous la forme de manuels ou de circulaires ;
b) a élaboré le présent manuel, qui décrit les principes de gestion de la sécurité et fournit des orien-
tations pour la réalisation de programmes efficaces de gestion de la sécurité ;
c) définit des procédures internationales de compte rendu et d’enquête sur les accidents et les
1
incidents ;
d) promeut la sécurité aérienne en :
1) diffusant des informations sur les accidents et les incidents via le système de comptes rendus
d’accident/incident (ADREP) ainsi que par d’autres moyens ;
2) diffusant des informations sur la sécurité aérienne dans des publications et, plus récemment,
sous forme électronique ;
3) participant à des colloques, séminaires, etc., pour y aborder des aspects spécifiques de la
sécurité aérienne (comme les enquêtes sur les accidents, la prévention des accidents et les
facteurs humains) ;
e) mène des audits dans le cadre du Programme universel d’audits de supervision de la sécurité
(USOAP) ;
Les États
2.1.5 Il incombe tout particulièrement aux États de créer un environnement propice à des opérations
aériennes sûres et efficaces. Quelles que soient les méthodes de gestion des risques qu’ils emploient, telles
que celles décrites dans le présent manuel, les États, en tant que signataires de la Convention de Chicago,
ont l’obligation de mettre en œuvre les SARP de l’OACI. À cette fin, chaque État doit :
a) prévoir les dispositions législatives et réglementaires nécessaires pour administrer le système

d’aviation de l’État. Parmi les domaines qui demandent un cadre juridique pour une gestion efficace
de la sécurité, on peut citer :
1. On les trouvera dans l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation, dans le Manuel d’investigations techniques
sur les accidents et incidents d’aviation (Doc 9756) et dans le Manuel de compte rendu d’accident/incident (Manuel ADREP)
(Doc 9156).
Chapitre 2. Partage de la responsabilité de la gestion de la sécurité 2-3
1) la législation aéronautique, qui fixe les objectifs de l’État pour l’aviation — à la fois commerciale
et privée. En règle générale, cette législation traduit la conception qu’a l’État de la sécurité
aérienne, et elle délimite les responsabilités, obligations redditionnelles et pouvoirs principaux
en vue d’atteindre ces objectifs ;
2) les lois sur la production industrielle et le commerce, qui régissent la production et la vente de
matériel et de services aéronautiques sûrs ;
3) la législation du travail, y compris la législation relative à l’hygiène et la sécurité au travail (HST),

qui fixe les règles du cadre de travail dans lequel le personnel d’aviation est censé s’acquitter
de ses fonctions en toute sécurité ;
4) les lois sur la sécurité, qui contribuent à la sécurité sur le lieu de travail ; elles régissent par ex.
l’accès aux aires opérationnelles (qui peut y accéder et sous quelles conditions). Elles peuvent
aussi protéger les sources d’informations liées à la sécurité ;
5) les lois environnementales influant sur l’implantation des aéroports et des aides à la navigation
qui ont des incidences sur les opérations aériennes (telles que les procédures antibruit) ;
b) créer un organisme public approprié, appelé généralement Administration de l’aviation civile (AAC),
doté des pouvoirs nécessaires lui permettant d’assurer la conformité avec les réglementations. Dans
ce cadre, il appartiendra notamment à l’État :
1) d’instituer l’autorité et les délégations statutaires nécessaires pour réglementer l’industrie

aéronautique ;
2) de veiller à ce que cette autorité soit dotée d’un nombre suffisant de techniciens compétents ;
3) d’administrer un système efficace de supervision de la sécurité destiné à évaluer l’application

des exigences réglementaires ;
c) mettre en place des mécanismes appropriés de supervision de la sécurité pour s’assurer que les
exploitants et fournisseurs de services maintiennent un niveau de sécurité acceptable dans leurs
opérations.
2.1.6 Une aviation sûre et efficace exige une importante infrastructure et de nombreux services
aéronautiques, parmi lesquels des aéroports, des aides à la navigation, une gestion du trafic aérien, des
services météorologiques et des services d’information de vol. Certains États sont propriétaires de services
de navigation aérienne et des principaux aéroports, dont ils assurent l’exploitation ; d’autres sont proprié-
taires de la compagnie aérienne nationale et l’exploitent. Toutefois, beaucoup d’États ont transféré ces
opérations à des sociétés qui exercent leurs activités sous la supervision de l’État. Quelle que soit l’approche
adoptée, les États doivent veiller à ce que l’infrastructure et les services d’appui à l’aviation soient gérés de
façon à répondre aux obligations internationales et à satisfaire aux besoins de l’État.
2.1.7 Lorsque la fonction de réglementation et la fourniture de services particuliers sont toutes deux
placées sous le contrôle direct du même organisme public (tel que l’AAC), une distinction claire doit être faite
entre ces deux fonctions, c’est-à-dire celle de fournisseur de services et celle d’organisme de réglementation.
2.1.8 Enfin, il incombe aux États d’être de « bons citoyens » de la communauté de l’aviation inter-
nationale. Le meilleur moyen pour eux d’y parvenir est de veiller à respecter la Convention de Chicago et les
SARP de l’OACI. Quand un État ne peut pas adapter sa législation et ses règlements nationaux aux SARP,
il est tenu de notifier la « différence ». L’OACI publie ces divergences de sorte que les autres États puissent
être informés des dérogations à des normes acceptées internationalement. L’USOAP de l’OACI est utilisé
pour déterminer la conformité des États avec les SARP cruciales pour la sécurité.
Les Administrations de l’aviation civile (AAC)
2.1.9 Après avoir élaboré la législation aéronautique appropriée, l’État doit établir une AAC chargée de
fixer les règles, règlements et procédures par lesquels l’État met en œuvre son programme de sécurité. Le
Chapitre 3 du présent manuel (Programme de sécurité de l’État) décrit les fonctions et activités principales
de l’AAC relatives à l’application d’un programme de sécurité efficace. Le rôle de l’AAC consiste essentiel-
lement à assurer la supervision nécessaire afin de vérifier la conformité avec les lois et réglementations de
l’État relatives à la sécurité aérienne, et la réalisation des objectifs de l’État en matière de sécurité.
Les constructeurs
2.1.10 Chaque nouvelle génération de matériel comporte des améliorations basées sur les techniques
les plus avancées et l’expérience opérationnelle la plus récente. Les constructeurs fabriquent du matériel
conforme aux normes de navigabilité et autres normes des gouvernements nationaux et étrangers et qui
répond aux critères économiques et de performance des acheteurs.
2.1.11 Les constructeurs produisent également des manuels et autre documentation technique
concernant leurs produits. Dans certains États, ces documents peuvent être les seuls éléments indicatifs
disponibles pour comprendre le fonctionnement d’un certain type d’aéronef ou d’appareil. Il importe dès lors
que la documentation fournie par le constructeur soit de bonne qualité. En outre, de par leur responsabilité
de fournir le support technique, la formation, etc., les constructeurs peuvent communiquer le dossier de
sécurité d’un certain appareil ou les dossiers de service d’un composant.
2.1.12 En outre, les grands constructeurs d’aéronefs ont des départements de sécurité actifs qui ont
notamment pour tâche de suivre le fonctionnement en service de leurs produits, de fournir des retours
d’information aux processus de construction et de diffuser des informations de sécurité aux compagnies
aériennes clientes.
Les exploitants d’aéronefs
2.1.13 Les grandes compagnies aériennes réalisent généralement bon nombre des activités de
gestion de la sécurité décrites dans le présent manuel. Ces activités sont souvent menées par un bureau de
la sécurité, qui contrôle l’ensemble de l’exploitation et fournit à la direction de l’entreprise des conseils
indépendants sur l’action à mener pour éliminer ou éviter les dangers identifiés, ou réduire le risque
connexe à un niveau acceptable.
2.1.14 Les concepts de gestion de la sécurité décrits dans le présent manuel s’ajoutent à l’obligation
existante de se conformer aux SARP de l’OACI et/ou réglementations nationales.
Les fournisseurs de services
2.1.15 Des opérations aériennes sûres et efficaces dépendent aussi de la fourniture efficace d’un
ensemble de services distincts de ceux fournis par les exploitants d’aéronefs, par ex. :
a) la gestion du trafic aérien ;

b) l’exploitation technique des aérodromes, y compris les services d’urgence d’aéroport ;
c) la sûreté aéroportuaire ;
d) les aides à la navigation et à la communication.
2.1.16 Ces services étaient traditionnellement fournis par l’État — généralement par son Autorité de
l’aviation civile ou militaire. Toutefois, les Autorités de l’aviation civile de certains États ont découvert les
conflits d’intérêts potentiels résultant du double rôle joué par l’État en tant qu’organisme de réglementation
et fournisseur de services. En outre, certains États estiment que transférer bon nombre de ces services à
des sociétés (ou les privatiser), notamment les ATS et l’exploitation des aérodromes, permet d’accroître
l’efficacité opérationnelle et de réaliser des économies d’exploitation. En conséquence, un nombre croissant
d’États ont délégué la responsabilité de la fourniture de bon nombre de ces services.
2.1.17 Quels que soient le mode de propriété ou la structure de gestion de tout service aéronautique,
les dirigeants responsables sont tenus d’élaborer et de mettre en œuvre un SGS dans leur domaine de
compétences. Les éléments indicatifs présentés dans le présent manuel s’appliquent indistinctement aux
opérations aériennes et aux services aéronautiques, qu’ils soient assurés par l’État ou par une entreprise
privée.
Les entrepreneurs tiers
2.1.18 La fourniture de services d’appui aux opérations aériennes fait souvent intervenir des entre-
prises privées dans des domaines tels que l’avitaillement en carburant, le ravitaillement et autres services
d’escale, la maintenance et la révision d’aéronefs, la construction et la réparation de pistes et voies de
circulation, la formation des équipages, la planification des vols, la régulation des vols et le contrôle en vol.
2.1.19 Qu’elle ait affaire à une grosse entreprise ou à un petit entrepreneur, l’autorité contractante
(par ex. une compagnie aérienne, un exploitant d’aérodrome ou un fournisseur de services de navigation
aérienne) est globalement responsable de la gestion des risques encourus par le fournisseur en matière de
sécurité. Le contrat doit spécifier les normes de sécurité à respecter. Il incombe donc à l’autorité contractante
de s’assurer que le fournisseur se conforme aux normes de sécurité prescrites dans le contrat.
2.1.20 Un SGS doit garantir que le niveau de sécurité d’une organisation n’est pas fragilisé par les
apports et fournitures des organisations externes.
Les associations commerciales et professionnelles
2.1.21 Les associations commerciales et professionnelles jouent également un rôle essentiel dans la
gestion de la sécurité.
2.1.22 Les associations d’intervenants internationales, nationales et régionales sont généralement

formées pour défendre des intérêts commerciaux ; néanmoins, leurs membres reconnaissent de plus en
plus les liens étroits qui existent entre sécurité aérienne et rentabilité. Ils se rendent compte qu’un accident
affectant une compagnie aérienne peut compromettre leurs propres opérations. C’est ainsi que des asso-
ciations de compagnies aériennes, par exemple, suivent de près les progrès de l’industrie en matière de
technologie, procédures et pratiques. Leurs membres collaborent à l’identification des dangers pour la
sécurité et aux mesures requises pour réduire ou éliminer les carences. Par l’intermédiaire de ces
associations, de nombreuses compagnies aériennes partagent maintenant les données liées à la sécurité
en vue d’améliorer la gestion de la sécurité.
2.1.23 De la même manière, des associations professionnelles représentant les intérêts de différents
groupes professionnels (par ex. pilotes, ATCO, AME et équipages de cabine) jouent un rôle actif dans les
efforts consentis pour assurer la gestion de la sécurité. À travers des études et analyses et par un travail de
sensibilisation, ces groupes fournissent les compétences spécifiques permettant d’identifier les dangers
pour la sécurité et d’améliorer la prévention.
2.1.24 De plus en plus, les compagnies aériennes forment des partenariats ou des alliances avec
d’autres compagnies aériennes pour élargir leur structure effective de routes par des accords de partage de
codes. C’est ainsi qu’un tronçon de vol peut être exploité par une compagnie aérienne différente de celle à
laquelle s’attend le passager. Ces dispositions peuvent avoir des incidences sur la sécurité. Aucune
compagnie aérienne ne souhaite être associée à un partenaire peu sûr. Pour protéger leurs propres intérêts,
les partenaires d’une alliance procèdent à des audits de sécurité mutuels — améliorant ainsi la sécurité des
compagnies aériennes.
2.1.25 La communauté de l’aviation générale a un système d’associations nationales et internationales

qui ont été créées pour promouvoir la sécurité et défendre leurs intérêts au sein de la communauté
aéronautique. Le secteur de l’aviation d’affaires joue également un rôle actif dans les SGS et suit de près
les questions de sécurité pour ses membres.
2.2 LA RESPONSABILITÉ PARTICULIÈRE DE LA DIRECTION

2
EN MATIÈRE DE SÉCURITÉ
2.2.1 Les équipes de direction des exploitants et des fournisseurs de services ont une responsabilité
particulière en matière de gestion de la sécurité. Une grande enquête réalisée auprès de compagnies
aériennes du monde entier a montré que les compagnies aériennes les plus sûres étaient celles qui avaient
une mission claire sur le plan de la sécurité, commençant au sommet de l’organisation et orientant les
actions à tous les niveaux jusqu’au niveau opérationnel. Lautman et Gallimore ont découvert que dans les
compagnies aériennes les plus sûres :
« …Les responsables de l’exploitation des vols et de la formation au pilotage, conscients de leurs

responsabilités en la matière, s’emploient à élaborer et à faire appliquer des lignes de conduite axées
sur la sécurité. ... Il existe une méthode qui permet de transmettre rapidement des informations aux
équipages de conduite et une politique qui encourage les retours d’expérience confidentiels des pilotes
à la direction. ... Cette attitude de la direction … est une force dynamique qui suscite l’uniformisation et
la discipline dans le poste de pilotage, préparées par un programme de formation axé sur les questions
de sécurité. »
2.2.2 Les organisations les plus sûres sont souvent les plus efficaces. Bien que des arbitrages entre
gestion de la sécurité et coûts puissent se produire, la direction doit prendre conscience des coûts cachés
des accidents et reconnaître que la sécurité est bonne pour les affaires. L’adoption d’une approche
systématique du processus décisionnel et de la gestion des risques dans l’entreprise permet de réduire les
pertes dues aux accidents.
2.2.3 La direction a le pouvoir et la responsabilité de gérer les risques pour la sécurité au sein de
l’entreprise. À cette fin, une méthode systématique destinée à déceler les dangers, évaluer les risques et
assigner des priorités à ces risques sera établie, et les dangers qui présentent la plus grande menace de
2. Le Manuel d’instruction sur les facteurs humains (Doc 9683), 1re Partie, Chapitre 2, étudie plus en détail l’importance du rôle de la
direction dans la mise en place d’une culture positive de la sécurité.
perte potentielle seront réduits ou éliminés. Seule la direction a la capacité de modifier la structure, la
dotation en personnel, les installations, les politiques et procédures de l’organisation.
2.2.4 Surtout, c’est la direction qui détermine la culture de la sécurité de l’organisation. Sans son
adhésion sans réserve à la cause de la sécurité, la gestion de la sécurité restera en grande partie sans
effet. En renforçant positivement les actions en faveur de la sécurité, les dirigeants adressent un message à
tout le personnel, message par lequel ils montrent qu’ils se préoccupent vraiment de la sécurité et s’attendent
à une attitude similaire de la part du personnel.
2.2.5 La direction doit faire de la sécurité une valeur fondamentale de l’organisation. À cet effet, elle
fixera des buts et objectifs en matière de sécurité et demandera des comptes aux gestionnaires et au
personnel au sujet de la réalisation de ces objectifs. Le personnel attend de la direction :
a) des orientations claires sous la forme de politiques, buts, objectifs, normes, etc., crédibles ;
b) des ressources suffisantes, y compris suffisamment de temps, pour s’acquitter, de manière sûre
et efficace, des tâches qui lui ont été assignées ;
c) des compétences sur le plan de l’accès à l’expérience par le biais de publications, de participations
à des formations et séminaires, etc., sur la sécurité.
2.2.6 Cette responsabilité qui incombe aux dirigeants s’applique indépendamment de la taille ou du
type d’organisation fournissant le service aéronautique. Le rôle de la direction à l’égard de la gestion de la
sécurité est un leitmotiv du présent manuel.
2.3 RESPONSABILITÉS ET OBLIGATIONS REDDITIONNELLES
2.3.1 Les concepts de responsabilité et d’obligation redditionnelle sont étroitement liés. Tandis que
chaque membre du personnel est responsable de ses actes, il doit aussi rendre compte de l’exécution sûre
de ses fonctions à son supérieur hiérarchique ou à son directeur et il peut être amené à justifier ses actes.
Mais tandis que les individus doivent rendre compte de leurs propres actes, les directeurs et supérieurs
hiérarchiques doivent en outre rendre compte des prestations générales du groupe placé sous leur autorité.
L’obligation de rendre compte n’est pas à sens unique. Les directeurs ont également la responsabilité de
s’assurer que leurs subordonnés ont les ressources, la formation, l’expérience, etc., nécessaires pour
accomplir en toute sécurité les tâches qui leur ont été confiées.
2.3.2 Un énoncé formel des responsabilités et obligations redditionnelles est souhaitable, même dans
de petites organisations. Cet énoncé clarifie les liens hiérarchiques formels et informels dans l’organi-
gramme et précise les obligations redditionnelles liées à des activités spécifiques, sans double emploi ni
omission. La teneur de cet énoncé variera en fonction de la taille de l’organisation, de sa complexité et de
ses relations.
2.4 COOPÉRATION MONDIALE
2.4.1 Bien que les éléments organisationnels décrits ci-dessus aient des rôles et responsabilités
spécifiques en rapport avec la gestion de la sécurité, le caractère international de l’aviation exige que leurs
efforts individuels soient intégrés dans un système de sécurité aéronautique mondial cohérent, nécessitant
coopération et collaboration à tous les niveaux.
2.4.2 Cette collaboration mondiale se fait dans les forums internationaux tels que :
a) les associations professionnelles (par ex. l’IATA, l’ACI, l’ATA, et CANSO) ;
b) les associations nationales et internationales de l’aviation (par ex. la NBAA, l’EBAA, l’IBAC) ;
c) les fédérations internationales d’associations nationales (par ex. I’IFALPA et I’IFATCA) ;
d) les organismes internationaux de sécurité (par ex. la FSF et l’ISASI) ;
e) les groupements industrie/gouvernement (par ex. CAST et GAIN) ;
f) les forums sur la sécurité organisés par les grands constructeurs.
2.4.3 Ces organisations peuvent fournir des experts pour des réunions et des études. Par exemple,
les constructeurs peuvent inviter des groupes d’utilisateurs à leur faire part de suggestions, tandis que les
utilisateurs eux-mêmes peuvent consulter les constructeurs afin de mieux comprendre certaines pratiques
d’exploitation. Il se crée ainsi un fructueux échange d’informations et de connaissances sur la sécurité. Ces
efforts de collaboration ne servent toutefois pas uniquement les intérêts de la sécurité ; ils sont également
économiquement avantageux, pour les raisons suivantes :
a) les différents segments de l’industrie du transport aérien sont fortement interdépendants. Les
conséquences d’une catastrophe aérienne de grande envergure peuvent porter préjudice à de
nombreux intervenants. L’inquiétude mutuelle que suscitent les atteintes à la réputation de l’indus-
trie, à son image et à la confiance du public tend à privilégier l’action collective par rapport à la
poursuite des seuls intérêts particuliers ;
b) l’action collective a plus de poids ;
c) la mondialisation de l’économie a transcendé les frontières et l’autorité des États.
2.4.4 Une collaboration mondiale peut améliorer l’efficacité et la portée des actions de gestion de la
sécurité de diverses manières, dont voici quelques exemples :
a) l’harmonisation, la cohérence et l’interopérabilité par l’adoption de normes de conception, de SOP et

d’une terminologie universelles ;
b) le partage mondial d’informations liées à la sécurité ;
c) une identification et une résolution précoces des dangers systémiques mondiaux ;
d) un appui et un renforcement mutuel par le chevauchement des efforts et le partage de ressources

spécialisées.
Chapitre 3
PROGRAMME DE SÉCURITÉ DE L’ÉTAT
3.1 GÉNÉRALITÉS
3.1.1 Comme exposé au Chapitre 2, les États ont l’importante responsabilité de créer un environ-
nement propice à des activités aériennes sûres et efficaces. En tant que signataire de la Convention de
Chicago, l’État est responsable de la mise en œuvre des SARP de l’OACI qui concernent les opérations
aériennes, les services de la navigation et de l’espace aériens, et les aérodromes dont il a la responsabilité.
D’une façon générale, ces responsabilités comprennent des fonctions à la fois de réglementation (octroi de
licences, certification, etc.) et de supervision de la sécurité pour assurer la conformité avec les dispositions
réglementaires.
3.1.2 Chaque État doit prendre des dispositions pour garantir la sécurité du système d’aviation qui
relève de sa compétence. Toutefois, chaque État n’est qu’une composante du vaste système d’aviation
mondial. En ce sens, les États ont également la responsabilité de répondre aux exigences du système
international plus vaste.
3.1.3 L’approche systémique du programme de sécurité de l’aviation de l’État préconisée dans le

présent manuel englobe tous les niveaux organisationnels, toutes les disciplines et toutes les phases du
cycle de vie du système. Des facteurs se rapportant à la météorologie, aux cartes aéronautiques, à
l’exploitation des aéronefs, à la navigabilité, aux informations aéronautiques, au transport de marchan-
dises dangereuses, etc., pourraient tous avoir des incidences sur la sécurité de l’ensemble du système.
Pour s’acquitter efficacement de ses différentes responsabilités en matière de sécurité, un État a besoin
d’un « programme de sécurité » afin d’intégrer ses activités multidisciplinaires de sécurité dans un tout
cohérent.
3.1.4 Les responsabilités de l’État à l’égard de la gestion de la sécurité peuvent aller au-delà des
fonctions de réglementation et de supervision. Beaucoup d’États assument les fonctions à la fois d’orga-
nisme de réglementation de la sécurité et de fournisseur de services. Malgré la tendance à la privatisation et
à la conversion en société que connaissent de nombreux États, bon nombre d’États fournissent toujours des
services de gestion du trafic aérien et des services aéroportuaires. Lorsqu’un État est à la fois autorité de
réglementation et fournisseur de services d’exploitation, une distinction claire doit être faite entre ces deux
fonctions.
3.1.5 L’OACI exige des exploitants et fournisseurs de services qu’ils mettent en œuvre un système de
gestion de la sécurité (SGS) pour atteindre des niveaux de sécurité acceptables dans leurs opérations.
D’une façon générale, un État n’a pas besoin d’un SGS pour ses fonctions de réglementation et de super-
vision. Toutefois, les États qui gèrent des opérations aériennes, exploitent des aérodromes ou fournissent
des services d’exploitation (comme les ATS, les services d’informations aéronautiques et les services
météorologiques) auront besoin d’un SGS tout à fait distinct du programme de sécurité mis en œuvre dans
le cadre de la fonction de réglementation de l’AAC. Les relations entre l’autorité de réglementation et
l’organisme réglementé devraient être identiques, que l’organisme réglementé soit une entité extérieure ou
qu’il fasse partie de l’organisation de l’État.
3-1
3.2 RESPONSABILITÉS EN MATIÈRE DE RÉGLEMENTATION
3.2.1 Par leurs actions en tant qu’autorité de réglementation, les États donnent le ton à la conduite
d’opérations aéronautiques sûres et efficaces relevant de leur compétence, par ex. :
a) les SARP : l’État, en tant que signataire de la Convention de Chicago, est responsable de la mise
en œuvre des SARP de l’OACI ;
b) les Administrations de l’aviation civile (AAC) : les États doivent instituer un organe approprié,
appelé généralement Administration de l’aviation civile (AAC), doté des pouvoirs nécessaires lui
permettant de veiller à la conformité avec les réglementations de l’aviation ;
c) la supervision de la sécurité : les États doivent mettre en place des mécanismes appropriés
de supervision de la sécurité pour garantir que les exploitants et les fournisseurs de services
maintiennent un niveau de sécurité acceptable dans leurs opérations.
3.2.2 Pour acquitter les responsabilités de réglementation de l’État, l’autorité de réglementation peut
adopter soit un rôle actif, comprenant la surveillance étroite du déroulement de toutes les activités liées à
l’aviation, soit un rôle passif, aux termes duquel une plus grande part de responsabilité est déléguée aux
exploitants et aux fournisseurs de services.
3.2.3 Beaucoup d’États renoncent progressivement à jouer un rôle très actif dans la supervision des
activités d’aviation. Parmi les raisons de cette évolution, le grand nombre d’inspecteurs que requiert cette
fonction, la confusion qui règne quant aux responsabilités de sécurité et la nécessité de disposer d’un grand
organisme d’exécution sont autant de facteurs qui dénient la culture de la sécurité que promeuvent les
pratiques modernes de gestion de la sécurité.
3.2.4 Dans un rôle plus passif, l’État laisse l’interprétation et l’application des règlements à l’exploitant
ou au fournisseur de services, se reposant sur leurs compétences techniques et encourageant la conformité
en brandissant la menace de mesures d’exécution.
3.2.5 Un système de réglementation de l’État qui se situerait entre ces deux pôles que sont un rôle
actif et un rôle passif présenterait un intérêt considérable. Ce système devrait :
a) proposer une répartition équilibrée des responsabilités de sécurité entre l’État et l’exploitant ou le
fournisseur de services ;
b) pouvoir se justifier d’un point de vue économique dans les limites des ressources de l’État ;
c) permettre à l’État d’assurer la réglementation et la supervision continues des activités de l’exploi-

tant ou du fournisseur de services sans trop entraver la gestion et l’administration effectives de
l’organisation ;
d) permettre d’encourager et d’entretenir des relations harmonieuses entre l’État et les exploitants et
fournisseurs de services.
3.3 LES ADMINISTRATIONS DE L’AVIATION CIVILE (AAC)
3.3.1 L’AAC est l’organe de l’État chargé de mettre en œuvre les dispositions législatives et
réglementaires relatives à la sécurité aérienne. En pratique, l’AAC élabore et exécute le programme de
sécurité de l’État. Ce faisant, les AAC efficaces s’inspirent des éléments suivants :
Chapitre 3. Programme de sécurité de l’État 3-3
a) une affirmation claire de leur conception de la sécurité et de leur mission en matière de sécurité ;
b) un ensemble bien compris et accepté :
1) de principes directeurs, tels que la prestation d’un service sûr et efficace, compatible avec les
attentes du public et d’un coût raisonnable, tout en traitant les organisations réglementées (les
clients) et le personnel avec respect ;
2) de valeurs de l’organisation telles que la compétence, l’ouverture, l’équité, l’intégrité, le respect

et l’aptitude à répondre aux besoins des clients ;
c) une affirmation des objectifs de sécurité de l’Administration, comme par ex. réduire la probabilité et
les conséquences d’événements d’aviation dangereux, et améliorer, dans l’ensemble de l’industrie
aéronautique et du grand public, la compréhension de la performance de sécurité réelle de l’État ;
d) l’adoption de stratégies en vue d’atteindre leurs objectifs, comme par ex. la réduction des risques de
sécurité pour l’aviation par l’identification des opérations qui ne satisfont pas aux niveaux acceptés,
en encourageant leur retour à un niveau de sécurité acceptable ou, s’il y a lieu, en annulant leur
certification.
3.3.2 Sur la base de ces orientations générales, les Administrations des États assument généralement
la responsabilité de la totalité ou de certaines des fonctions suivantes :
a) l’établissement et la mise en œuvre des règles, réglementations et procédures pour une aviation
sûre et efficace. Par ex. :
1) la délivrance des licences du personnel ;
2) l’établissement de procédures d’obtention et de renouvellement :
— des certificats d’exploitation ;
— des certificats de navigabilité ;
— des certifications d’aéroport ;
3) l’exploitation des services de la circulation aérienne ;
4) (dans beaucoup d’États) la conduite d’enquêtes sur les accidents et incidents ;
b) la mise en place d’un système de supervision de la sécurité de tout le système d’aviation civile par
la surveillance, des inspections et des audits de sécurité, etc. ;
c) l’application de mesures coercitives s’il y a lieu ;
d) le contrôle des progrès technologiques et des meilleures pratiques de l’industrie en vue d’améliorer
la performance du système d’aviation de l’État ;
e) la tenue à jour d’un système de registres de l’aviation recensant, entre autres, les licences et
certificats, les infractions ainsi que les accidents et incidents signalés ;
f) la réalisation d’analyses des tendances en matière de sécurité, y compris des données sur les
accidents/incidents et des rapports de difficultés en service ;
g) la promotion de la sécurité par la diffusion d’une documentation spécifique sur la sécurité, l’orga-
nisation de séminaires sur la sécurité, etc.
3.3.3 Beaucoup d’États délèguent la responsabilité des enquêtes sur les accidents et incidents graves
(conformément à l’Annexe 13) à leur AAC. Toutefois, cette pratique génère un conflit d’intérêts potentiel
dans la mesure où les enquêteurs peuvent être amenés à faire rapport sur des lacunes de la performance
de supervision de la sécurité de l’État (peut-être même sur leur propre performance comme autorité de
réglementation). Les États créent de plus en plus des organismes d’enquête spécialisés, indépendants des
autorités de réglementation.
3.4 LA PERFORMANCE DE L’ÉTAT EN MATIÈRE DE SÉCURITÉ
3.4.1 Le Programme universel d’audits de supervision de la sécurité de l’OACI a permis d’identifier

des faiblesses fondamentales dans les programmes de sécurité de nombreux États, faiblesses qui
engendrent d’importantes différences dans les normes de sécurité à travers le monde. Sans préjudice de
l’obligation des États contractants de satisfaire aux exigences des SARP de l’OACI, les États doivent être
soucieux des performances de sécurité de leur système d’aviation national. On trouvera ci-après quelques
indicateurs de carences possibles dans le programme de sécurité de l’État :
a) une législation et des réglementations inadaptées (incomplètes, dépassées, etc.) ;
b) des conflits d’intérêts potentiels (entre organisme de réglementation et fournisseur de services,

entre éducateur et autorité d’exécution, au sein de l’organisme même de réglementation qui
enquête sur des événements liés à des défaillances dont il est à l’origine, etc.) ;
c) des infrastructures et des systèmes de l’aviation civile inadaptés (aides à la navigation et à la

communication, aérodromes, gestion de l’espace aérien, etc.) ;
d) l’exercice inadéquat des fonctions de réglementation, comme l’octroi de licences, la surveillance et

l’application des règlements (on s’en acquitte de manière incomplète, dépassée, incohérente) par
manque de ressources, en raison de la situation politique, de l’état d’urgence national, etc. ;
e) des ressources et une organisation insuffisantes pour l’ampleur et la complexité des exigences
réglementaires (pénurie de personnel qualifié et compétent, manque de compétences administratives,
de technologies de l’information, etc.) ;
f) instabilité et incertitude au sein de l’AAC qui compromettent la qualité et l’opportunité de la fonction

de réglementation (moral du personnel, ingérence politique, ressources limitées, etc.) ;
g) absence de programmes officiels de sécurité (programme volontaire de comptes rendus d’incidents,

audits de sécurité réglementaires, etc.) ;
h) stagnation de la réflexion sur la sécurité (taux d’occurrences en hausse, culture de la sécurité peu
développée au niveau national, réticence à adopter les meilleures pratiques éprouvées, etc.).
3.4.2 D’autre part, la présence des éléments suivants dans le programme de sécurité de l’État permet
de penser que le programme constitue une base solide pour préserver les marges de sécurité souhaitées :
Chapitre 3. Programme de sécurité de l’État 3-5
a) l’appareil administratif nécessaire pour coordonner et intégrer tous les aspects du programme de
sécurité de l’État en un tout cohérent ;
b) un contrôle des performances pour toutes les fonctions de sécurité de l’État (octroi des licences,
certification, exécution des dispositions, etc.) ;
c) la mise en place par l’État de programmes d’identification des dangers (communication obligatoire
de comptes rendus d’occurrences, communication volontaire [non punitive] de comptes rendus
d’incidents, de comptes rendus de difficultés constatées en service, etc.) ;
d) des équipes compétentes d’enquête sur les accidents (indépendantes de l’autorité de réglementation) ;
e) une affectation des ressources en fonction des risques, pour toutes les fonctions de réglementation
(en orientant de manière proactive les efforts de réglementation vers les secteurs connus pour être
à haut risque) ;
f) des programmes actifs et passifs de promotion de la sécurité pour aider les exploitants à diffuser
largement les informations relatives à la sécurité (parmi lesquelles des bases de données, l’analyse
des tendances, le contrôle des meilleures pratiques de l’industrie, etc., en rapport avec la sécurité) ;
g) des programmes nationaux de contrôle de la sécurité (contrôle et analyse des tendances,

inspection de la sécurité, enquêtes sur les incidents et surveillance de la sécurité) ;
h) des audits réglementaires réguliers de sécurité pour garantir la conformité de tous les exploitants et
fournisseurs de services.
Page blanche
Chapitre 4
COMPRENDRE LA SÉCURITÉ
4.1 GÉNÉRALITÉS
er
4.1.1 Comme le décrit le Chapitre 1 , la sécurité est la situation dans laquelle le risque de lésions
corporelles ou de dommages matériels est limité à un niveau acceptable. Les dangers pour la sécurité
engendrant un risque peuvent devenir apparents à la suite d’un non-respect manifeste des consignes de
sécurité comme lors d’un accident ou d’un incident, ou ils peuvent être identifiés de manière proactive par le
biais de programmes officiels de gestion de la sécurité avant que ne se produise un événement réel lié à la
sécurité. Une fois un danger pour la sécurité identifié, les risques qui y sont associés doivent être évalués.
Une bonne compréhension de la nature des risques permet de déterminer « l’acceptabilité » de ces risques.
Les risques évalués comme inacceptables doivent ensuite faire l’objet de mesures.
4.1.2 La gestion de la sécurité est basée sur ce type d’approche systématique de l’identification des
dangers et de la gestion des risques afin de réduire au minimum les pertes humaines et les dommages
matériels ainsi que les pertes financières, environnementales et sociétales.
4.2 LE CONCEPT DE RISQUE
4.2.1 Étant donné que la sécurité est définie par rapport au risque, toute considération relative à la
sécurité doit nécessairement faire intervenir le concept de risque.
4.2.2 La sécurité absolue n’existe pas. Avant de pouvoir évaluer si un système est sûr ou pas, il faut
d’abord déterminer le niveau de risque acceptable pour ce système.
4.2.3 Les risques sont souvent exprimés en termes de probabilités ; toutefois, le concept de risque fait
intervenir d’autres éléments. Pour illustrer cela par un exemple hypothétique, imaginons que la probabilité
que le câble porteur d’un téléphérique transportant 100 passagers lâche et entraîne la chute de la nacelle ait
été jugée la même que celle de la chute d’un ascenseur pouvant contenir 12 personnes. Bien que les proba-
bilités que de tels événements se produisent soient identiques, les conséquences éventuelles de l’accident
de téléphérique sont bien plus graves. Le risque est donc bidimensionnel. L’évaluation de l’acceptabilité
d’un risque donné, associé à un danger déterminé, doit toujours prendre en considération tant la probabilité
que le risque se concrétise que la gravité de ses conséquences éventuelles.
4.2.4 La perception du risque peut découler des trois grandes catégories suivantes :
a) les risques tellement élevés qu’ils sont inacceptables ;
b) les risques tellement minimes qu’ils sont acceptables ;
c) les risques situés entre ces deux catégories, pour lesquels il faut envisager des arbitrages entre
risques et avantages.
4-1
4.2.5 Si le risque ne satisfait pas aux critères d’acceptabilité prédéterminés, il faut toujours tenter de le
réduire à un niveau acceptable en utilisant des procédures d’atténuation appropriées. Si le risque ne peut
pas être réduit à un niveau égal ou inférieur au niveau acceptable, il peut être considéré comme tolérable à
condition que :
a) ce risque soit en dessous de la limite prédéterminée de ce qui est inacceptable ;
b) le risque ait été réduit au niveau le plus faible que l’on puisse raisonnablement atteindre ;
c) les avantages du système ou des changements proposés soient suffisants pour justifier l’acceptation
du risque.
Note.— Pour qu’un risque soit classé comme tolérable, il faut qu’il satisfasse aux trois critères
susmentionnés.
4.2.6 Si des mesures susceptibles d’entraîner une réduction supplémentaire du risque sont identifiées
et que leur application demande peu d’efforts ou de ressources, ces mesures devraient être appliquées
même à un risque classé comme acceptable (tolérable).
4.2.7 L’acronyme ALARP (as low as reasonably practicable) est utilisé pour décrire un risque qui a été
réduit au niveau le plus faible que l’on puisse raisonnablement atteindre. Lorsque l’on détermine « ce
que l’on peut raisonnablement atteindre » dans ce contexte, il faut tenir compte tant de la faisabilité technique
de la réduction supplémentaire du risque que du coût, ce qui peut nécessiter une étude coûts-avantages.
4.2.8 Montrer que le risque d’un système est le plus faible que l’on puisse raisonnablement atteindre
signifie que toute réduction supplémentaire du risque est soit irréalisable soit beaucoup trop coûteuse.
Toutefois, il faut se rappeler que quand un individu ou la société « accepte » un risque, cela ne signifie pas
que ce risque ait été éliminé. Un certain niveau de risque subsiste mais l’individu ou la société a reconnu
que ce risque résiduel était suffisamment faible pour que les avantages l’emportent sur le risque.
4.2.9 Ces concepts sont illustrés sous forme de diagramme dans le triangle de l’acceptabilité du
risque (TOR, Tolerability of Risk) à la Figure 4-1. (Dans cette figure, le degré de risque est représenté par la
largeur du triangle.)
4.2.10 Le Chapitre 6 contient de plus amples indications sur la gestion des risques.
4.3 DISTINCTION ENTRE ACCIDENTS ET INCIDENTS
4.3.1 Les définitions des accidents et des incidents telles qu’elles figurent dans l’Annexe 13 peuvent
se résumer comme suit :
a) Un accident est un événement se produisant lors de l’utilisation d’un aéronef et entraînant les
conséquences suivantes :
1) un décès ou une blessure grave ;
2) des dommages considérables pour l’aéronef, qui s’accompagnent d’une rupture structurelle ou
nécessitent une réparation importante de l’aéronef ;
3) la disparition de l’aéronef ou sa totale inaccessibilité.

Chapitre 4. Comprendre la sécurité 4-3
b) Un incident est un événement, autre qu’un accident, lié à l’utilisation d’un aéronef, qui compromet
ou pourrait compromettre la sécurité de l’exploitation. Un incident grave est un incident dont les
circonstances indiquent qu’un accident à failli se produire.
4.3.2 Les définitions de l’OACI emploient le terme « événement » pour décrire un accident ou un
incident. Du point de vue de la gestion de la sécurité, il est dangereux de se focaliser sur la différence entre
accidents et incidents par le biais de définitions pouvant être arbitraires et restrictives. Chaque jour se
produisent de nombreux incidents, qui donnent lieu ou non à l’envoi d’un compte rendu au service d’enquête,
mais qui sont quasiment des accidents — et font souvent courir des risques importants. Parce qu’ils n’ont
occasionné aucune blessure, ou pas ou peu de dommages, de tels incidents peuvent ne pas faire l’objet
d’une enquête, ce qui est regrettable car l’enquête sur un incident peut donner plus de résultats en termes
d’identification des dangers que celle qui porte sur un accident. La différence entre un accident et un
incident peut simplement être due au hasard. En effet, un incident peut être considéré comme un
événement indésirable qui, dans des circonstances légèrement différentes, aurait pu causer des lésions
corporelles ou des dommages matériels et aurait donc pu être classé parmi les accidents.
4.4 CAUSALITÉ DES ACCIDENTS
4.4.1 La manifestation la plus probante d’un non-respect des consignes de sécurité d’un système est
l’accident. Puisque la gestion de la sécurité vise à réduire la probabilité et les conséquences des accidents,
il est primordial de comprendre les causes des accidents et des incidents pour appréhender la gestion de la
sécurité. Les accidents et les incidents étant étroitement liés, on n’essaie pas de distinguer les causes des
accidents de celles des incidents.
Risque
Inacceptable
Tolérable
(ALARP)
Acceptable
Risque
négligeable
Figure 4-1. Triangle de l’acceptabilité du risque (TOR)

Conception traditionnelle de la causalité des accidents
4.4.2 Après un accident grave, les questions suivantes peuvent être posées :
a) Comment et pourquoi des membres du personnel compétents ont-ils commis les erreurs ayant
entraîné l’accident ?
b) Semblable situation pourrait-elle se reproduire ?
4.4.3 Traditionnellement, les enquêteurs examinent un enchaînement d’événements ou de circons-

tances qui, à terme, mènent quelqu’un à poser un acte inapproprié qui aboutit à l’accident. Ce comportement
inapproprié peut être une erreur de jugement (comme un écart par rapport aux SOP), une erreur d’inattention
ou une transgression délibérée des règles.
4.4.4 Dans cette optique traditionnelle, l’enquête se concentrait le plus souvent sur la recherche d’une
personne à qui imputer la responsabilité de l’accident (et à sanctionner). Dans le meilleur des cas, les efforts
en matière de gestion de la sécurité visaient principalement à trouver des moyens de réduire le risque que
se commettent de tels actes dangereux. Toutefois, les erreurs ou infractions déclenchant des accidents
semblent se produire de façon aléatoire. Sans méthode particulière à appliquer, de tels efforts de gestion de
la sécurité peuvent se révéler inefficaces pour réduire ou éliminer des événements aléatoires.
4.4.5 L’analyse des données d’un accident révèle trop souvent que la situation précédant l’accident
était « mûre pour un accident ». Il se peut même que des personnes sensibilisées à la sécurité aient dit que
ce n’était qu’une question de temps avant que ces circonstances ne débouchent sur un accident. Lorsque
l’accident se produit, ce sont trop souvent des membres du personnel en bonne santé, qualifiés, expéri-
mentés, motivés et bien équipés qui s’avèrent avoir commis des erreurs ayant provoqué l’accident. Il se
peut qu’ils aient (de même que leurs collègues) commis ces erreurs ou utilisé ces pratiques dangereuses de
nombreuses fois auparavant sans conséquences néfastes. En outre, certaines des conditions dangereuses
dans lesquelles ils travaillaient étaient peut-être présentes depuis des années sans, ici non plus, causer
d’accident. Autrement dit, une part de hasard est présente.
4.4.6 Parfois, ces conditions dangereuses sont la conséquence de décisions prises par les dirigeants :
ceux-ci ont reconnu les risques mais d’autres priorités imposaient un arbitrage. De fait, le personnel de
première ligne travaille fréquemment dans un contexte défini par des facteurs d’organisation et de gestion
sur lesquels il n’a aucune prise. Ce personnel n’est qu’une des composantes d’un système plus vaste.
4.4.7 Pour être efficaces, les systèmes de gestion de la sécurité (SGS) requièrent une autre façon
d’appréhender les causes des accidents, une conception qui se base sur l’examen du contexte (c.-à-d. du
système) global dans lequel les personnes travaillent.
Conception moderne de la causalité des accidents
4.4.8 Selon la conception moderne, pour qu’un accident se produise, il faut qu’il y ait convergence de
facteurs favorables, dont chacun est nécessaire mais pas suffisant en soi pour percer les défenses du
système. D’importantes pannes de matériel ou des erreurs commises par le personnel d’exploitation sont
rarement la cause unique de défaillances des dispositifs de sécurité. Ces failles sont souvent dues à des
défaillances humaines lors de la prise de décision. Ces failles peuvent résulter soit de défaillances actives
au niveau opérationnel, soit de conditions latentes facilitant l’ouverture d’une brèche dans les moyens de
défense inhérents au système. La plupart des accidents résultent de conditions tant actives que latentes.
4.4.9 La Figure 4-2 représente un modèle de causes d’accidents qui aide à comprendre l’interaction
entre les facteurs organisationnels et les facteurs de gestion (c.-à-d. les facteurs du système) dans les
Organisation Lieu de travail Équipage/ Moyens Résultat

Équipe de défense
Conditions
Décisions génératrices Erreurs Moyens
organisationnelles et Accident
d’erreurs et de défense
et de gestion d’infractions infractions
Défenses mises en place par

le système aéronautique
Figure 4-2. Modèle d’enchaînement causal menant à un accident

(D’après le Professeur James Reason)
causes des accidents. Divers « moyens de défense » sont intégrés dans le système aéronautique afin de le
protéger contre les performances inappropriées ou les mauvaises décisions à tous les niveaux du système
(c.-à-d. le personnel de première ligne, les responsables de la supervision et la haute direction). Cet
exemple montre que si les facteurs organisationnels, y compris les décisions de gestion, peuvent créer des
conditions latentes, susceptibles de provoquer un accident, ils peuvent également jouer un rôle dans les
moyens de défense du système.
4.4.10 Les erreurs et les infractions ayant un effet négatif immédiat peuvent être considérées comme
des actes dangereux, ceux-ci étant généralement associés au personnel de première ligne (pilotes, ATCO,
AME, etc.) Ces actes dangereux peuvent percer les diverses défenses mises en place par la direction de la
compagnie, les autorités de réglementation, etc., afin de protéger le système aéronautique, et peuvent ainsi
provoquer un accident. Ils peuvent être le résultat d’erreurs normales ou de transgressions délibérées des
procédures et des pratiques prescrites. Le modèle reconnaît que dans l’environnement de travail, de
nombreuses circonstances génératrices d’erreurs ou d’infractions peuvent affecter le comportement des
individus ou de l’équipe.
4.4.11 Ces actes dangereux sont commis dans un contexte opérationnel comportant des conditions
dangereuses latentes. Une condition latente est le résultat d’une action ou d’une décision nettement
antérieure à un accident. Ses conséquences peuvent prendre beaucoup de temps à se manifester. Prises
séparément, ces conditions latentes ne sont généralement pas néfastes puisqu’elles ne sont même pas
perçues comme des défaillances.
4.4.12 Les conditions dangereuses latentes peuvent ne se manifester qu’une fois les défenses du
système percées. Elles peuvent avoir été présentes dans le système bien avant un accident et sont généra-
lement créées par les décideurs, les autorités de réglementation et d’autres personnes très éloignées dans
le temps et dans l’espace de l’accident. Le personnel d’exploitation de première ligne peut « hériter » des
défauts du système, comme ceux dus à du mauvais matériel ou à une mauvaise conception des tâches, à
des objectifs contradictoires (par ex. ponctualité du service par opposition à la sécurité), à une organisation
déficiente (par ex. des communications internes médiocres) ou à des décisions de gestion inappropriées
(par ex. le report d’une tâche de maintenance). Une gestion efficace de la sécurité vise à identifier et à
atténuer ces conditions dangereuses latentes dans tout le système plutôt qu’à mener des efforts localisés
en vue de réduire au minimum les actes dangereux posés par des individus. De tels actes ne sont peut-être
que les symptômes de problèmes de sécurité, non pas les causes.
4.4.13 Même dans les organisations les mieux gérées, c’est auprès des décideurs qu’il faut chercher
l’origine de la plupart des conditions dangereuses latentes. Ces décideurs peuvent avoir des opinions
préconçues et ont des limites humaines normales ; ils sont soumis à des contraintes très réelles de temps,
de budget, de politique, etc. Comme certaines de ces décisions dangereuses sont inévitables, il faut prendre
des mesures pour les détecter et limiter leurs conséquences négatives.
4.4.14 Les décisions potentiellement erronées prises par les cadres hiérarchiques peuvent prendre la
forme de procédures inadéquates, de mauvaise planification ou de non-prise en compte de dangers identi-
fiables. Elles peuvent être la cause de connaissances et de compétences inadaptées ou engendrer des
procédures d’exploitation inappropriées. Les conditions génératrices d’erreurs ou d’infractions sont fonction
de la qualité du travail des cadres hiérarchiques et de l’organisation dans son ensemble. Avec quel degré
d’efficacité, par exemple, les cadres hiérarchiques fixent-ils des objectifs de travail réalistes, organisent-ils
les tâches et les ressources, gèrent-ils les affaires courantes, assurent-ils la communication interne et
externe ? Les décisions potentiellement erronées prises par la direction de la compagnie et les autorités de
réglementation sont trop souvent dues à un manque de ressources. Or, renoncer aux coûts du renforcement
de la sécurité du système peut faciliter la survenance d’accidents suffisamment coûteux pour provoquer la
faillite de l’exploitant.
Incidents : précurseurs des accidents
4.4.15 Quel que soit le modèle de causalité des accidents utilisé, il existe habituellement des signes
avant-coureurs manifestes précédant l’accident. Cependant, bien trop souvent, ces signes n’apparaissent
que rétrospectivement. Des conditions dangereuses latentes peuvent avoir été présentes au moment de
l’événement. L’identification et la validation de ces conditions dangereuses latentes requièrent une analyse
des risques objective et approfondie. Bien qu’il soit important d’enquêter de façon approfondie sur les
accidents faisant un nombre élevé de victimes, ce n’est peut-être pas le meilleur moyen pour identifier des
carences en matière de sécurité. Il faut veiller à ce que l’aspect émotionnel (souvent prédominant dans les
médias lorsque les pertes humaines sont lourdes) ne nuise pas à une analyse rationnelle des risques
associés aux conditions dangereuses latentes en aviation. Même si les enquêtes sur les accidents sont
importantes pour identifier les dangers, elles constituent une méthode réactive et onéreuse d’amélioration
de la sécurité.
La règle 1/600
4.4.16 En 1969, la recherche en matière de sécurité du travail a montré que pour 600 rapports
d’événements sans blessure ni dommages matériels, on observe :
• 30 incidents avec dommages matériels,
• 10 accidents avec blessures graves,
• 1 accident où une personne est très grièvement ou mortellement blessée.

4.4.17 Comme le montre le rapport 1-10-30-600 présenté à la Figure 4-3, concentrer uniquement les
efforts d’enquête sur les rares événements entraînant blessures graves ou dommages matériels importants
revient à gaspiller des opportunités. Les facteurs contribuant à provoquer de tels accidents peuvent être
présents dans des centaines d’incidents et pourraient être identifiés avant que des blessures graves ou des
dommages importants ne se produisent. Une gestion efficace de la sécurité exige que le personnel et la
direction identifient et analysent les dangers avant que ceux-ci n’entraînent des accidents.
4.4.18 Comparés aux accidents d’aviation, les incidents d’aviation provoquent en général des
blessures et des dommages matériels moins importants et sont dès lors moins médiatisés. En principe,
davantage d’informations devraient être disponibles pour de tels événements (par ex. témoins directs et
enregistreurs de bord intacts). En outre, sans la menace de poursuites importantes en dommages et
intérêts, l’enquête se passe en général dans un climat moins conflictuel. Il devrait ainsi être plus aisé de
comprendre pourquoi les incidents se sont produits et également comment les moyens de défense existants
les ont empêchés de devenir des accidents. Idéalement, on devrait pouvoir identifier toutes les carences
sous-jacentes en matière de sécurité et prendre des mesures préventives afin de remédier à ces conditions
dangereuses avant qu’un accident ne se produise.
4.5 CONTEXTE DES ACCIDENTS ET DES INCIDENTS
4.5.1 Les accidents et les incidents surviennent quand plusieurs circonstances et conditions déter-
minées sont réunies. Celles-ci sont notamment liées à l’aéronef et à d’autres équipements, aux conditions
Accident mortel
1
Accidents
graves
10
Accidents
30
Incidents
600
Figure 4-3. La règle 1/600

météorologiques, aux services d’aéroport et de vol ainsi qu’à l’environnement opérationnel au sein de la
société, aux réglementations en vigueur et au climat régnant dans l’industrie aéronautique. Elles englobent
aussi les changements et les combinaisons de comportements humains. À tout moment, certains de ces
facteurs peuvent converger de manière à créer des conditions susceptibles de provoquer un accident. Il est
fondamental pour la gestion de la sécurité de comprendre le contexte dans lequel se produisent les
accidents. Parmi les principaux facteurs qui déterminent un contexte favorable aux accidents et aux
incidents on peut citer la conception du matériel, les infrastructures d’appui, les facteurs humains et
culturels, la culture de sécurité de l’entreprise et les facteurs de coûts. Tous ces facteurs sont évoqués dans
cette section sauf les facteurs de coûts, qui sont abordés à la section 4.8.
Conception du matériel
4.5.2 La conception du matériel (et des tâches) est essentielle à la sécurité de l’exploitation aérienne.
Pour simplifier, le concepteur doit répondre à des questions telles que :
a) Le matériel fonctionne-t-il comme prévu ?
b) Le matériel dispose-t-il d’une bonne interface utilisateur ? Est-il convivial ?
c) Le matériel est-il adapté à l’espace imparti ?
4.5.3 Du point de vue de l’utilisateur, le matériel doit « fonctionner comme prévu ». Sa conception
ergonomique doit réduire le risque d’erreurs (et leurs conséquences) au minimum. Tous les commutateurs
sont-ils accessibles ? L’utilisation est-elle intuitive ? Les cadrans et les affichages sont-ils adaptés à toutes
les conditions d’utilisation ? Le matériel est-il résistant aux erreurs ? (Par ex., « Êtes-vous certain de vouloir
supprimer ce fichier? »)
4.5.4 Le concepteur doit également penser à la personne chargée de la maintenance. Il faut prévoir
suffisamment de place pour qu’une personne de force normale puisse, dans les limites de la portée de ses
mouvements, avoir accès au matériel pour en effectuer la maintenance prévue dans des conditions de
travail normales. La conception doit aussi prévoir des retours d’informations adéquats pour signaler un
assemblage incorrect.
4.5.5 Face aux progrès de l’automatisation, les considérations relatives à la conception gagnent
encore en importance. Qu’il s’agisse du pilote dans son poste de pilotage, des ATCO à leurs consoles ou de
l’AME utilisant du matériel de diagnostic automatisé, le nombre de nouvelles possibilités d’erreurs humaines
a considérablement augmenté. Bien que le renforcement de l’automatisation ait réduit l’éventualité de
nombreux types d’accidents, les directeurs de la sécurité sont aujourd’hui confrontés à de nouveaux défis
générés par cette automatisation, comme un manque de conscience de la situation et l’ennui.
Infrastructure d’appui
4.5.6 Du point de vue de l’exploitant ou du fournisseur de services, pour garantir une exploitation sûre
des aéronefs, il est indispensable de disposer d’une infrastructure d’appui adaptée et donc de pouvoir
compter, entre autres, sur une performance adéquate de l’État en matière de :
a) délivrance de licences au personnel ;
b) certification des aéronefs, des exploitants, des fournisseurs de services et des aérodromes ;
c) garantie de la fourniture des services requis ;
d) enquête sur les accidents et les incidents ;
e) organisation de la supervision de la sécurité opérationnelle.
4.5.7 Du point de vue du pilote, l’infrastructure d’appui couvre notamment :
a) un aéronef en bon état de navigabilité et convenant au type d’exploitation ;
b) des services de communication, de navigation et de surveillance (CNS) adaptés et fiables ;
c) des services d’aérodrome, d’escale et de planification des vols adaptés et fiables ;
d) un soutien effectif de l’organisation mère en ce qui concerne la formation initiale et périodique,

l’établissement des horaires, le système de régulation des vols ou de surveillance des vols, etc.
4.5.8 Un ATCO se soucie des éléments suivants :
a) la disponibilité de matériel CNS en bon état de marche et convenant pour la tâche opérationnelle
concernée ;
b) l’existence de procédures efficaces permettant de s’occuper de manière sûre et rapide des aéronefs ;
c) l’apport du soutien efficace de l’organisation mère en ce qui concerne la formation initiale et

périodique, l’établissement des horaires de travail et les conditions générales de travail.
1,2
Facteurs humains
4.5.9 Dans un secteur de technologie de pointe comme l’aviation, la résolution des problèmes
s’intéresse souvent à la technologie. Cependant, les rapports sur les accidents ont montré à maintes
reprises qu’au moins trois accidents sur quatre sont dus à des erreurs de performance commises par des
individus apparemment en bonne santé et possédant les qualifications appropriées. Dans la course aux
nouvelles technologies, il est fréquent que les personnes devant s’adapter au matériel et l’utiliser soient trop
peu prises en compte.
4.5.10 On constate que certains problèmes provoquant ces accidents ou y contribuant trouvent leur
origine dans une mauvaise conception du matériel ou des procédures, ou encore dans une formation ou des
consignes d’utilisation inadéquates. Quelle que soit cette origine, il est essentiel, pour comprendre la gestion
de la sécurité, de connaître les capacités de performance, les limites et les comportements normaux de
l’homme dans le contexte de l’exploitation. Il ne convient plus d’adopter une approche intuitive des facteurs
humains.
4.5.11 L’élément humain est la composante la plus souple et la plus adaptable du système aéronau-
tique mais elle est également la plus vulnérable face aux influences pouvant avoir des effets négatifs sur
ses performances. Comme la majorité des accidents résultent de performances humaines loin d’être
1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806), Chapitre 2.
2. Voir le Manuel d’instruction sur les facteurs humains (Doc 9683) pour un tratiement plus détaillé des aspects théoriques et pratiques
des facteurs humains.
optimales, on a eu tendance à ne les attribuer qu’à des erreurs humaines. Toutefois, l’expression « erreur
humaine » n’est pas d’un grand secours dans la gestion de la sécurité. Bien qu’il signale où la défaillance a
eu lieu dans le système, il ne donne aucune indication quant aux raisons de cette défaillance.
4.5.12 Une erreur attribuée à des êtres humains peut avoir été induite par la conception ou avoir été
encouragée par une formation ou du matériel inadéquats, des procédures mal conçues ou une présentation
médiocre des listes de vérification ou des manuels. En outre, l’expression « erreur humaine » permet de
dissimuler les facteurs sous-jacents devant être mis en évidence si l’on veut éviter des accidents. L’approche
moderne en matière de sécurité considère l’erreur humaine comme un point de départ plutôt que comme un
point d’arrivée. Les initiatives concernant la gestion de la sécurité cherchent des moyens de prévenir les
erreurs humaines qui pourraient menacer la sécurité et de réduire au minimum les conséquences négatives
qu’auront sur la sécurité les erreurs qui se produiront inévitablement. Pour cela, il faut bien comprendre le
contexte d’exploitation dans lequel les êtres humains commettent des erreurs (c.-à-d. comprendre les
facteurs et les conditions affectant la performance humaine sur le lieu de travail).
Le modèle SHEL
4.5.13 Un ensemble complexe de facteurs et de conditions étroitement liés, pouvant avoir des réper-
cussions sur les performances humaines, sont généralement associés au lieu de travail. Le modèle SHEL
(parfois appelé modèle SHELL) peut être utilisé pour permettre de visualiser les liens existant entre les divers
éléments du système aéronautique. Ce modèle constitue une amélioration du système « homme-machine-
environnement » traditionnel. Il met l’accent sur l’être humain et sur ses interactions avec les autres éléments
du système aéronautique. Le nom du modèle SHEL est tiré des initiales de ses quatre composantes :
a) Liveware (L) = être humain (élément humain sur le lieu de travail),
b) Hardware (H) = matériel (machines et équipement),
c) Software (S) = documentation/aides (procédures, formation, support, etc.),
d) Environment (E) = environnement (les conditions d’exploitation dans lesquelles le reste du

système L-H-S doit fonctionner).
4.5.14 La Figure 4-4 représente le modèle SHEL. Ce schéma modulaire vise à faire comprendre les
rudiments des liens entre les facteurs humains et les autres facteurs sur le lieu de travail.
4.5.15 Être humain. Au centre du modèle SHEL se trouvent les personnes en première ligne des
opérations. Bien que les êtres humains aient de remarquables facultés d’adaptation, ils sont sujets à de
considérables variations de performance. Ils ne sont pas standardisés comme l’est le matériel, ce qui
explique que les bords de ce cube ne soient pas simples et rectilignes. Les êtres humains n’interagissent
pas de façon parfaite avec les différents éléments du monde dans lequel ils travaillent. Afin d’éviter les
tensions pouvant compromettre la performance humaine, il faut comprendre les effets des irrégularités se
produisant aux interfaces entre les divers cubes du modèle SHEL et le cube central « Être humain ». Si l’on
veut prévenir les tensions dans le système, il est impératif d’assurer une concordance minutieuse entre les
humains et les autres composantes.
4.5.16 Plusieurs facteurs permettent d’expliquer les irrégularités des faces du cube « Être humain ».
Les facteurs les plus importants affectant la performance individuelle sont notamment :
a) les facteurs physiques : ils englobent les capacités physiques de la personne pour s’acquitter des
tâches requises (par ex. force, taille, portée des mouvements, vision et audition) ;
H
S L E
L
S = Software = Documentation Dans ce modèle, une bonne
S = (procédures, symboles, concordance entre les cubes
S = logiciels, etc.) (interfaces) est tout aussi
H = Hardware = Matériel importante que les caractéristiques
E = Environnement des cubes eux-mêmes. Une
L = Liveware = Être humain inadéquation peut être source
d’erreur humaine.
Figure 4-4. Le modèle SHEL
b) les facteurs physiologiques : ils englobent les facteurs qui influencent les processus physiques
internes de l’être humain et peuvent compromettre les performances physiques et cognitives d’une
personne. Exemples : la disponibilité en oxygène, l’état de santé et de forme physique général, la
maladie, le tabagisme, la consommation de drogue ou d’alcool, le stress personnel, la fatigue ou
une grossesse ;
c) les facteurs psychologiques : ils englobent les facteurs influant sur la capacité psychologique de
la personne à faire face à toutes les situations pouvant se présenter. Le niveau de formation, de
connaissances et d’expérience ainsi que la charge de travail y contribuent. L’état de santé psycholo-
gique englobe la motivation et le sens critique, l’attitude vis-à-vis des comportements dangereux, la
confiance en soi et le stress ;
d) les facteurs psychosociaux : ils englobent tous les facteurs externes du contexte social de l’individu
qui font peser des pressions sur celui-ci dans son environnement professionnel et personnel. Ce
sont par ex. un différend avec un supérieur hiérarchique, des conflits sociaux au sein de l’entreprise,
un décès dans la famille, des problèmes financiers personnels ou d’autres tensions familiales.
4.5.17 Le modèle SHEL est particulièrement utile pour visualiser les interfaces entre les divers éléments
du système aéronautique. Il s’agit notamment des interfaces suivantes :
• Humain-Matériel (L-H). L’interface entre l’homme et la machine (ergonomie) est celle qui est le
plus souvent envisagée lorsqu’on parle de facteurs humains. Elle détermine comment l’homme
interagit avec le milieu physique de travail et concerne, par ex. la conception de sièges adaptés aux
caractéristiques du corps humain en position assise, des affichages répondant aux caractéristiques
sensorielles de l’usager et à ses possibilités de traitement de l’information, des commandes bien

étudiées en termes de mouvements à faire, de codage et d’emplacement. Toutefois, l’homme a
naturellement tendance à s’adapter aux décalages entre L et H. Cette tendance peut masquer des
carences graves qui n’apparaissent qu’après un accident.
• Humain-Documentation (L-S). L’interface L-S est la relation entre la personne et les systèmes de
soutien se trouvant sur le lieu de travail, par ex. les règlements, les manuels, les listes de vérifi-
cation, les publications, les SOP et les logiciels informatiques. Elle touche à des questions relatives
à la « convivialité », comme l’actualité, la précision, le format et la présentation, le vocabulaire, la
clarté et la symbologie.
• Humain-Humain (L-L). L’interface L-L est la relation entre une personne et les autres individus sur
le lieu de travail. Les équipages de conduite, les ATCO, les AME et d’autres membres du personnel
d’exploitation ont un fonctionnement de groupe, et les influences du groupe jouent un rôle déter-
minant dans les performances et le comportement humains. Cette interface englobe le leadership,
la coopération, le travail d’équipe et les interactions des personnalités. L’apparition de la gestion des
ressources en équipage (CRM) a suscité un grand intérêt pour cette interface. La formation à la
CRM et son extension aux ATS (gestion des ressources en équipe — TRM) et à la maintenance
(gestion des ressources de maintenance — MRM) encouragent le travail en équipe et se concentrent
sur la gestion d’erreurs humaines normales. Les relations entre le personnel et la direction se
situent également à cette interface, tout comme la culture d’entreprise, le climat de l’entreprise et les
pressions opérationnelles qu’exercent la compagnie, tous ces éléments pouvant avoir une influence
considérable sur la performance humaine.
• Humain-Environnement (L-E). Cette interface concerne la relation qui existe entre l’individu et les
environnements externe et interne. L’environnement interne du lieu de travail comporte des consi-
dérations physiques telles la température, la lumière ambiante, le bruit, les vibrations et la qualité de
l’air. L’environnement externe (pour les pilotes) comprend, entre autres, la visibilité, les turbulences
et le relief. De plus en plus, l’environnement de travail de l’aviation de 24 heures, 7 jours par
semaine, entraîne des troubles des rythmes biologiques normaux, par ex. des rythmes du sommeil.
En outre, le système aéronautique fonctionne dans un contexte de contraintes politiques et écono-
miques importantes qui ont à leur tour des incidences sur l’environnement général de l’entreprise. Il
s’agit ici de facteurs tels que le caractère adéquat des installations fixes et de l’infrastructure
d’appui, la situation financière locale et l’efficacité de la réglementation. Tout comme l’environnement
de travail immédiat peut générer des pressions poussant à prendre des raccourcis, une infrastructure
de soutien inadaptée peut aussi compromettre la qualité de la prise de décision.
4.5.18 Il faut veiller à ce que des problèmes (des dangers) ne « passent pas à travers les mailles du
filet » au niveau des interfaces. La plupart des irrégularités de ces interfaces peuvent être gérées, par ex. :
a) Le concepteur peut garantir la fiabilité des performances du matériel sous certaines conditions
d’exploitation.
b) Au cours du processus de certification, l’autorité de réglementation peut définir les conditions dans
lesquelles le matériel peut être utilisé.
c) La direction de l’organisation peut préciser les SOP et offrir une formation initiale et périodique à
une utilisation sûre du matériel.
d) Les utilisateurs du matériel peuvent veiller à entretenir leur connaissance de l’utilisation sûre de ce
matériel et leur maniement assuré de ce même matériel dans toutes les conditions d’exploitation
requises.
3
Facteurs culturels
4.5.19 La culture influence les valeurs, les croyances et les comportements que nous partageons avec
les autres membres de nos divers groupes sociaux. La culture sert à nous unir en tant que membres de
groupes et à nous indiquer comment nous comporter dans les situations tant habituelles qu’inhabituelles.
Certains considèrent la culture comme « une programmation collective de l’esprit ». Il s’agit de la dynamique
sociale complexe qui fixe les règles du jeu, c’est-à-dire le cadre de toutes nos interactions interpersonnelles.
La culture est le résultat de la façon dont les personnes conduisent leurs affaires dans un milieu social
déterminé. Elle offre un contexte dans lequel les choses se produisent. Pour la gestion de la sécurité, une
bonne compréhension de ce contexte appelé culture constitue un facteur déterminant important de la
performance humaine et de ses limites.
4.5.20 Dans le monde occidental, l’approche de la gestion est souvent basée sur une rationalité
détachée de toute émotion, considérée comme reposant sur des bases scientifiques. Une telle approche
présuppose que les cultures humaines sur le lieu de travail ressemblent aux lois de la physique et de la
mécanique, dont l’application est universelle. Cette hypothèse reflète un préjugé culturel de l’Occident.
4.5.21 La sécurité de l’aviation doit transcender les frontières nationales et toutes les cultures. Au
niveau mondial, l’industrie aéronautique a atteint un niveau remarquable de normalisation entre les
différents types d’avions ainsi qu’entre les différents pays et peuples. Toutefois, il n’est pas difficile de
détecter des différences dans la manière dont les personnes réagissent dans des situations identiques.
Quand des personnes de ce secteur entrent en contact (interface Humain-Humain [L-L]), leurs échanges
sont influencés par leurs origines culturelles diverses. Chaque culture a sa manière de résoudre des
problèmes courants.
4.5.22 Les organisations ne sont pas imperméables aux influences culturelles. Le comportement
d’une organisation est exposé à ces influences à tous les niveaux. Les trois niveaux de culture suivants sont
pertinents en matière d’initiatives de gestion de la sécurité :
a) La culture nationale reconnaît et identifie les caractéristiques nationales et les systèmes de

valeurs des différents pays. Par ex., des personnes de nationalités différentes n’auront pas la même
façon de réagir à l’autorité, de faire face à l’incertitude et à l’ambiguïté, ni d’exprimer leur individualité.
Elles ne sont pas toutes à l’écoute des besoins collectifs du groupe (équipe ou organisation) de la
même manière. Dans les cultures collectivistes, l’inégalité des statuts et la déférence envers les
chefs sont acceptées. De tels facteurs peuvent avoir des répercussions sur la propension des
individus à remettre en question des décisions ou des mesures — ce qui est important dans la
CRM. Une affectation du personnel mélangeant les cultures nationales peut également avoir une
influence sur les performances de l’équipe en générant des malentendus.
b) La culture professionnelle reconnaît et identifie les comportements et les caractéristiques de

différents groupes professionnels (par ex. le comportement typique des pilotes par rapport à celui
des ATCO ou des AME). Par la sélection du personnel, leurs études et leur formation, leur
expérience acquise en cours d’emploi, etc., les spécialistes (par ex. médecins, avocats, pilotes et
ATCO) ont tendance à adopter le système de valeurs de leurs pairs et à développer des modèles
de comportement qui sont en accord avec ceux de leurs pairs ; ils apprennent « à agir et parler » de
la même façon. Habituellement, ils partagent la même fierté d’exercer leur profession et sont
motivés pour y exceller. D’un autre côté, ils ont souvent un sentiment d’invulnérabilité personnelle ;
ils pensent, par ex., que leurs problèmes personnels n’influent pas sur leur performance, et qu’ils ne
commettent pas d’erreurs dans des situations de stress intense.
3. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806).
c) La culture d’organisation reconnaît et identifie le comportement et les valeurs des différentes

organisations (par ex. le comportement des membres d’une entreprise par rapport à celui des
membres d’une autre, ou le comportement du secteur public par rapport à celui du secteur privé).
Les organisations constituent un creuset de cultures nationales et professionnelles. Dans une
compagnie aérienne, par ex., les pilotes peuvent avoir des parcours professionnels différents
(expérience militaire ou civile et vols à bord d’un avion de brousse ou d’un avion de transport de
troisième niveau par rapport à la progression au sein d’une grande compagnie aérienne). Ils
peuvent également venir de cultures d’organisation diverses à la suite de fusions et acquisitions ou
de plans de licenciement.
Dans le secteur de l’aviation, les membres du personnel éprouvent généralement un sentiment

d’appartenance. Leur comportement quotidien est influencé par les valeurs de leur organisation.
L’organisation reconnaît-elle le mérite ? Favorise-t-elle les initiatives individuelles ? Encourage-t-elle
la prise de risques ? Tolère-t-elle des transgressions des SOP ? Promeut-elle une communication
franche et réciproque, etc. ? L’organisation représente donc un facteur déterminant important du
comportement des membres du personnel.
La marge de manœuvre la plus large pour créer et entretenir une culture de la sécurité se trouve au
niveau de l’organisation. C’est ce que l’on appelle communément la culture d’entreprise de la
sécurité, abordée ci-dessous.
4.5.23 Les trois milieux culturels décrits ci-dessus déterminent, par ex., les relations hiérarchiques, la
manière dont les informations sont échangées, la façon dont le personnel fera face au stress, comment
telles technologies seront adoptées, l’attitude face à l’autorité, la manière dont les organisations réagiront
aux erreurs humaines (par ex. sanctionner les coupables ou tirer des leçons de l’expérience). La culture
jouera un rôle dans l’application de l’automatisation, l’élaboration des procédures (SOP), la préparation, la
présentation et la réception de la documentation, la mise au point et le déroulement de la formation,
l’attribution des tâches, les relations entre les pilotes et le contrôle du trafic aérien (ATC), les relations avec
les syndicats, etc. En d’autres termes, la culture exerce une influence sur pratiquement tous les types
d’interactions entre les personnes. En outre, les considérations culturelles se fraient même un chemin dans
la conception du matériel et des outils. La technologie peut sembler culturellement neutre mais elle reflète
les partis pris des constructeurs (par ex. le parti pris de la langue anglaise, implicite dans la plupart des
logiciels du monde entier). Cependant, il n’existe pas de bonne ou de mauvaise culture ; les cultures sont ce
qu’elles sont et toutes ont leurs forces et faiblesses respectives.
4
Culture d’entreprise de la sécurité
4.5.24 Comme mentionné ci-dessus, de nombreux facteurs créent le contexte du comportement

humain sur le lieu de travail. La culture d’organisation ou d’entreprise pose les limites du comportement
humain accepté sur le lieu de travail en fixant les normes et les limites comportementales. La culture
d’organisation ou d’entreprise constitue donc une pierre angulaire du processus décisionnel de la direction
et du personnel : « Voilà comment nous travaillons ici. »
4.5.25 La culture de la sécurité est un sous-produit naturel de la culture d’entreprise. L’attitude de

l’entreprise en matière de sécurité déteint sur l’approche collective du personnel vis-à-vis de la sécurité. La
culture de la sécurité se compose de convictions, de pratiques et d’attitudes communes. Le ton en est
donné et entretenu par les paroles et les actes de la haute direction. La culture d’entreprise de la sécurité
est donc l’ambiance créée par la direction, qui façonne l’attitude des travailleurs vis-à-vis de la sécurité.
4. Voir les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) pour un examen plus complet de la
culture de la sécurité.
4.5.26 Cette culture de la sécurité est influencée par des facteurs tels que :
a) les priorités et les mesures adoptées par la direction ;
b) les politiques et les procédures ;
c) les pratiques de supervision ;
d) la planification de la sécurité et les objectifs de sécurité ;
e) les mesures prises en réaction à des comportements dangereux ;
f) la formation et la motivation du personnel ;
g) la participation du personnel ou son ralliement au projet collectif.
4.5.27 La responsabilité finale en matière de sécurité revient aux directeurs et aux cadres supérieurs
de l’organisation — qu’il s’agisse d’une compagnie aérienne, d’un prestataire de services (par ex. aéroports
et ATS) ou d’un organisme de maintenance agréé (OMA). La philosophie de sécurité d’une organisation est
établie dès le début en fonction de la mesure dans laquelle les dirigeants acceptent la responsabilité de la
sécurité des opérations et de la gestion des risques.
4.5.28 La manière dont les cadres hiérarchiques gèrent les activités quotidiennes est un facteur
fondamental d’une saine culture de la sécurité. Les bonnes leçons ont-elles été tirées des expériences
réelles « de première ligne » et des mesures appropriées ont-elles été prises ? Le personnel concerné est-il
associé de façon constructive au processus ou se sent-il victime de mesures unilatérales prises par la
direction ?
4.5.29 Les relations entre les cadres hiérarchiques et les représentants de l’autorité de réglementation
sont également révélatrices de l’existence ou de l’absence d’une saine culture de la sécurité. Ces relations
devraient être empreintes de courtoisie professionnelle mais avec suffisamment de distance pour ne pas
compromettre l’obligation de rendre des comptes. L’ouverture mènera à de meilleures communications sur
la sécurité que la stricte application des règlements. La première approche encourage un dialogue constructif
tandis que la deuxième pousse à dissimuler ou à ignorer les véritables problèmes de sécurité.
Culture positive de la sécurité
4.5.30 Bien que le respect de la réglementation sur la sécurité soit fondamental pour la sécurité, le
point de vue actuel est qu’il faut faire beaucoup plus. Les organisations qui se contentent d’appliquer les
normes minimales fixées par la réglementation ne sont pas bien placées pour identifier les problèmes de
sécurité naissants.
4.5.31 Une manière efficace de promouvoir une exploitation sûre est de s’assurer que l’exploitant a
développé une culture positive de la sécurité. En résumé, tous les membres du personnel doivent être
responsables de la sécurité et tenir compte de son influence sur tous leurs actes. Cette façon de penser doit
être ancrée tellement profondément qu’elle devient véritablement une « culture ». Toutes les décisions,
qu’elles proviennent par exemple du conseil d’administration, d’un chauffeur sur l’aire de trafic ou d’un AME,
doivent tenir compte des conséquences sur la sécurité.
4.5.32 Une culture positive de la sécurité doit être générée par un processus descendant. Elle repose sur
un degré élevé de confiance et de respect entre le personnel et la direction. Le personnel doit être convaincu
qu’il sera soutenu dans toutes ses décisions prises dans l’intérêt de la sécurité. Il doit aussi comprendre que les
manquements intentionnels à la sécurité mettant l’exploitation en péril ne seront pas tolérés.
4.5.33 Il existe également un haut degré d’interdépendance entre la culture de la sécurité et d’autres
aspects d’un SGS. Une culture positive de la sécurité est essentielle pour qu’un SGS puisse fonctionner de
manière efficace. Toutefois, la culture d’une organisation est aussi modelée par la présence d’un SGS
officiel. Une organisation ne devrait donc pas attendre d’avoir fini de développer une culture de la sécurité
idéale pour introduire un SGS. La culture évoluera au fur et à mesure que l’exposition à la gestion de la
sécurité et l’expérience qu’on en a s’amplifieront.
Signes d’une culture positive de la sécurité
4.5.34 Une culture positive de la sécurité est révélée par les caractéristiques suivantes :
a) la haute direction accorde une place primordiale à la sécurité comme élément de la stratégie de
maîtrise des risques (c.-à-d. la réduction des pertes au minimum) ;
b) les décideurs et le personnel d’exploitation ont une vision réaliste des dangers à court et à long
terme, inhérents aux activités de l’organisation ;
c) les dirigeants :
1) favorisent un climat où règne une attitude positive à l’égard des critiques, des commentaires et des
retours d’informations en matière de sécurité provenant des niveaux inférieurs de l’organisation ;
2) n’utilisent pas leur influence pour imposer leurs opinions à leurs subordonnés ;
3) mettent en œuvre des mesures visant à maîtriser les conséquences des carences identifiées en
sécurité ;
d) la haute direction favorise un environnement de travail non punitif. Certaines organisations parlent
de « culture juste » au lieu d’utiliser le terme « non punitif ». Comme mentionné au § 4.5.35 alinéa d),
ce terme « non punitif » ne signifie pas une immunité totale ;
e) tous les niveaux de l’organisation sont conscients de l’importance de la communication des

informations pertinentes en matière de sécurité (tant à l’intérieur qu’à l’extérieur des entités) ;
f) des règles réalistes et applicables existent en ce qui concerne les dangers, la sécurité et les sources
potentielles de dommages ;
g) le personnel est bien formé et comprend les conséquences des actes dangereux ;
h) la fréquence des comportements à risque est faible et il existe une éthique de sécurité
décourageant de tels comportements.
4.5.35 Généralement, les cultures positives de la sécurité sont :
a) Des cultures éclairées. La direction promeut une culture où les personnes comprennent les dangers
et les risques inhérents à leurs domaines d’exploitation. Le personnel se voit offrir la possibilité
d’acquérir les connaissances, les compétences et l’expérience professionnelle nécessaires pour
travailler en toute sécurité ; il est encouragé à identifier les menaces qui mettent en danger sa
sécurité et à demander les changements nécessaires pour y remédier.
b) Des cultures de l’apprentissage. L’apprentissage est considéré comme un processus de toute

une vie plutôt que seulement comme une exigence de la formation initiale. Les personnes sont
incitées à développer et à appliquer leurs propres compétences et connaissances pour améliorer la
sécurité de l’organisation. Le personnel est mis au courant des questions de sécurité par la direction
et les rapports de sécurité sont transmis au personnel afin que tout le monde puisse tirer les leçons
de sécurité pertinentes.
c) Des cultures de compte rendu. Les directeurs et le personnel opérationnel échangent librement
des informations cruciales liées à la sécurité sans la menace de mesures punitives. C’est ce que
l’on appelle fréquemment créer une culture de compte rendu au sein de l’entreprise. Le personnel
est à même de rendre compte des dangers et des préoccupations liées à la sécurité lorsqu’il en
prend conscience, sans embarras ou crainte de sanction ;
d) Des cultures justes. Alors qu’un environnement non punitif est fondamental pour avoir une bonne
culture de compte rendu, la définition de ce qui constitue un comportement acceptable ou non doit
être connue du personnel et avoir fait l’objet d’un accord. La négligence ou les infractions délibérées
ne doivent pas être tolérées par les dirigeants (même dans un environnement non punitif). Une
culture juste admet que, dans certaines circonstances, il peut s’avérer nécessaire de recourir à des
mesures punitives, et elle tente de définir la ligne de démarcation entre les actes ou les activités
acceptables et inacceptables.
4.5.36 Le Tableau 4-1 ci-dessous résume trois réactions d’entreprises face aux questions de sécurité,
allant d’une culture de la sécurité médiocre à la culture positive idéale de la sécurité en passant par
l’approche indifférente ou bureaucratique (qui ne fait que respecter les exigences minimales acceptables).
Tableau 4-1. Caractéristiques de différentes cultures de la sécurité
Culture de la sécurité Médiocre Bureaucratique Positive
Caractéristiques
Les informations sur les supprimées ignorées recherchées

dangers sont : délibérément activement
Les messagers de la découragés ou tolérés formés et

sécurité sont : sanctionnés encouragés
La responsabilité de la évitée fragmentée partagée

sécurité est :
La diffusion des découragée autorisée mais récompensée
informations sur découragée
la sécurité est :
Les défaillances des des rectifications des enquêtes et
conduisent à : dissimulations locales des réformes
systémiques
Les nouvelles idées sont : étouffées considérées comme les bienvenues
de nouveaux
problèmes (non des
occasions)
Responsabilité et sanction
4.5.37 Une fois qu’une enquête a identifié la cause d’un événement, le responsable est généralement
connu. Habituellement, le coupable pouvait alors être désigné (et sanctionné). Tandis que la législation varie
considérablement d’un État à un autre, de nombreux États concentrent toujours leurs enquêtes sur la
détermination de la faute et l’attribution de la responsabilité. Pour eux, la sanction demeure un outil de
sécurité essentiel.
4.5.38 Philosophiquement, cette sanction est attrayante pour plusieurs raisons, notamment pour :
a) chercher à réprimer un abus de confiance ;
b) protéger la société des récidivistes ;
c) modifier le comportement d’un individu ;
d) faire un exemple pour les autres.
4.5.39 La sanction peut avoir un rôle à jouer quand des personnes enfreignent délibérément les
« règles ». On peut avancer que de telles sanctions peuvent dissuader l’auteur de l’infraction (ou d’autres
dans des circonstances similaires).
4.5.40 Si l’accident est le résultat d’une erreur de jugement ou d’une défaillance technique, il est
pratiquement impossible de vraiment sanctionner cette erreur. On pourrait alors modifier les processus de
sélection ou de formation, ou rendre le système plus tolérant vis-à-vis de ce type d’erreur. Une sanction
dans de tels cas aboutira presque certainement à deux résultats : premièrement, plus aucun rapport ne sera
transmis pour ce genre d’erreurs ; deuxièmement, puisque rien n’a été fait pour remédier à la situation, le
même accident pourrait se reproduire.
4.5.41 Peut-être la société a-t-elle besoin de sanctions pour rendre justice. Cependant, toute l’expé-
rience montre que la sanction n’a que peu de valeur systémique sur la sécurité, voire aucune. À l’exception
de cas de négligence intentionnelle avec transgression délibérée des normes, la sanction n’a qu’un effet
limité en termes de sécurité.
4.5.42 Dans une grande partie de la communauté internationale de l’aviation, on voit se dégager une
approche plus éclairée du rôle de la sanction. Celle-ci va en partie de pair avec une meilleure compré-
hension des causes des erreurs humaines (par opposition aux infractions). Les erreurs sont désormais
considérées comme le résultat d’une situation ou d’une circonstance et pas nécessairement comme leur
cause. En conséquence, les dirigeants commencent à chercher à identifier les conditions dangereuses qui
contribuent à l’apparition de telles erreurs. Ils commencent à comprendre que l’identification systématique
des faiblesses organisationnelles et des carences en matière de sécurité est bien plus rentable pour la
gestion de la sécurité que des sanctions à l’égard d’individus. (Cela ne signifie pas que ces organisations
éclairées ne doivent pas prendre des mesures contre les personnes n’arrivant pas à s’améliorer après avoir
reçu des conseils et/ou une formation supplémentaire.)
4.5.43 Alors que de nombreuses opérations de l’aviation choisissent cette approche positive de la
gestion de la sécurité, d’autres sont plus lentes à adopter et mettre en œuvre des « politiques non punitives »
efficaces. D’autres encore ont tardé à étendre leurs politiques non punitives à l’échelle de l’entreprise. (cf. les
commentaires au § 4.5.35, alinéa d), concernant une culture juste.)
4.6 ERREUR HUMAINE
4.6.1 L’erreur humaine est citée comme étant un facteur causal ou contributif dans la majorité des
événements aéronautiques. Bien trop souvent, des membres compétents du personnel commettent des
erreurs bien qu’ils n’aient clairement pas eu l’intention de provoquer un accident. Les erreurs ne sont pas
une forme de comportement aberrant mais un sous-produit naturel de pratiquement toute activité humaine.
L’erreur doit être acceptée comme un élément normal de tout système où interagissent les êtres humains et
la technologie. « L’erreur est humaine ».
4.6.2 Les facteurs évoqués à la section 4.5 créent le contexte dans lequel les hommes commettent
des erreurs. Étant donné les interfaces irrégulières du système de l’aviation (telles que décrites dans le
modèle SHEL), les possibilités d’erreurs humaines en aviation sont énormes. Il est fondamental pour la
gestion de la sécurité de comprendre comment des personnes normales commettent des erreurs. Ce n’est
qu’alors que des mesures efficaces pourront être mises en œuvre pour réduire au minimum les effets des
erreurs humaines sur la sécurité.
4.6.3 Même si elles ne sont pas complètement évitables, les erreurs humaines sont gérables grâce à
l’application d’une meilleure technologie, de formations pertinentes et d’une réglementation et de procé-
dures appropriées. La plupart des mesures de gestion des erreurs concernent le personnel de première
ligne. Toutefois, la performance des pilotes, des ATCO, des AME, etc., peut être fortement influencée par
des facteurs organisationnels, réglementaires, culturels et environnementaux affectant le lieu de travail. Par
exemple, les processus organisationnels constituent un véritable terreau pour de nombreuses erreurs humaines
prévisibles : infrastructures de télécommunication inadéquates, procédures ambiguës, planification insatis-
faisante, ressources insuffisantes, budget irréaliste, qui sont en réalité autant de processus que l’organisation
peut contrôler. La Figure 4-5 résume certains des facteurs contribuant aux erreurs humaines — et aux
accidents.
Types d’erreur
4.6.4 Des erreurs peuvent se produire au stade de la planification ou lors de l’exécution du plan. Les
erreurs de planification entraînent des fautes : soit la personne suit une procédure inadéquate pour régler
un problème de routine, soit elle établit un plan d’action inapproprié pour faire face à une nouvelle situation.
Même lorsque l’action prévue est appropriée, des erreurs peuvent apparaître dans l’exécution du plan. Les
publications sur les facteurs humains traitant de ces erreurs d’exécution opèrent généralement une
distinction entre oublis et méprises. Un oubli est une action qui n’est pas réalisée comme prévu. Elle sera
donc toujours observable. Une méprise est une défaillance de la mémoire, qui peut n’être perçue que par la
personne qui a eu ce trou de mémoire.
Erreurs de planification (fautes)
4.6.5 Lors de la résolution de problèmes, nous recherchons intuitivement un ensemble de règles

connues (SOP, démarche empirique, etc.) qui ont été utilisées auparavant et qui conviendront pour
résoudre le problème en question. Les fautes peuvent survenir de deux manières : par l’application d’une
règle inadaptée à la situation ou par l’application correcte d’une règle imparfaite.
4.6.6 Mauvaise application de bonnes règles. Cette erreur se produit généralement lorsqu’un opé-
rateur est confronté à une situation qui présente de nombreuses similitudes avec des circonstances pour
lesquelles la règle a été élaborée, mais également quelques différences considérables. Si l’opérateur ne se
rend pas compte de l’importance de ces différences, il peut appliquer une règle inappropriée.
Culture
Accidents
Formation
Facteurs Incidents
personnels
Autres ERREURS HUMAINES

facteurs
Procédures
Conception
du matériel Facteurs
organisationnels
Figure 4-5. Facteurs contribuant à l’erreur humaine
4.6.7 Application de mauvaises règles. Cette erreur suppose le recours à une procédure qui s’était
avérée efficace pas le passé, mais qui contient des lacunes non identifiées. Si une telle solution a fonctionné
dans les circonstances dans lesquelles elle a été appliquée une première fois, une personne peut y recourir
de manière habituelle pour résoudre ce type de problème.
4.6.8 Lorsqu’une personne ne dispose pas d’une solution toute faite fondée sur la pratique et/ou la
formation, elle se base sur ses connaissances et son expérience personnelles. Il faudra inévitablement plus
de temps pour élaborer une solution à un problème en utilisant cette méthode qu’en appliquant une solution
basée sur une règle, puisque cette démarche fait appel à un raisonnement qui s’appuie sur la connaissance
de principes de base. Des fautes peuvent se produire par manque de connaissances ou à cause d’un
raisonnement erroné. Il sera particulièrement difficile pour une personne très occupée de résoudre un
problème par un raisonnement basé sur les connaissances, puisque son attention sera probablement
détournée du processus de raisonnement pour régler d’autres questions. La probabilité qu’une faute soit
commise dans de telles circonstances est plus grande.
Erreurs d’exécution (oublis et méprises)
4.6.9 Les actions du personnel expérimenté et compétent ont tendance à relever de la routine et d’une
longue pratique. Elles sont réalisées de manière principalement automatique à l’exception des vérifications
occasionnelles de leur déroulement. Les oublis et méprises peuvent résulter :
a) De relâchements de l’attention. Ils sont causés par l’absence de suivi du déroulement d’une action
de routine à un moment critique. Ils sont particulièrement susceptibles de se produire lorsque le
plan d’action prévu ressemble à une procédure de routine, sans y être identique. Si la personne
relâche son attention ou est distraite par quelque chose au moment critique où l’action diffère de la
procédure habituelle, il se peut qu’elle applique la procédure de routine plutôt que celle qu’elle
comptait utiliser pour le cas donné.
b) De trous de mémoire. Ils se présentent soit lorsque nous oublions ce que nous avions prévu de
faire, soit lorsque nous omettons un élément dans une série d’actions planifiées.
c) D’erreurs de perception. Ce sont des erreurs d’identification. Elles se produisent quand nous
pensons voir ou entendre quelque chose d’autre que l’information réelle.
Distinction entre erreurs et infractions
4.6.10 Les erreurs (qui constituent une activité humaine normale) sont clairement distinctes des
infractions. Toutes deux peuvent mener à une défaillance du système. Toutes deux peuvent entraîner une
situation dangereuse. La différence se trouve dans l’intention.
4.6.11 Une infraction est un acte délibéré alors qu’une erreur n’est pas intentionnelle. Prenons, par
exemple, une situation dans laquelle un ATCO autorise un aéronef à descendre en traversant le niveau d’un
aéronef en croisière lorsque la distance DME entre eux est de 18 NM alors que les circonstances exigent un
minimum de séparation de 20 NM. Si l’ATCO s’est trompé en calculant la différence entre les distances
DME communiquées par les pilotes, il s’agit d’une erreur. S’il a bien calculé la distance et autorisé l’aéronef
en descente à traverser le niveau de l’aéronef en croisière en sachant que le minimum de séparation requis
n’est pas respecté, il s’agit d’une infraction.
4.6.12 Certaines infractions sont le résultat de procédures imparfaites ou irréalistes, qui ont amené
des personnes à élaborer des moyens de tourner la difficulté pour accomplir leur tâche. Dans de tels cas, il
est très important qu’elles soient signalées dès qu’elles sont observées afin que l’on puisse rectifier les
procédures. Quoi qu’il arrive, ces infractions ne devraient pas être tolérées. Lors de certains accidents, on a
constaté qu’une culture d’entreprise qui tolérait, voire encourageait, les raccourcis plutôt que le respect des
procédures officielles avait contribué à l’accident.
Maîtrise de l’erreur humaine
4.6.13 Heureusement, peu d’erreurs entraînent des conséquences néfastes et encore moins des
accidents. Généralement, les erreurs sont identifiées et corrigées sans résultat indésirable, comme en cas
de réglage incorrect d’une fréquence ou du curseur d’altitude. Sachant que les erreurs font partie du
comportement humain, l’élimination totale des erreurs humaines constituerait un objectif irréaliste. La
difficulté n’est alors pas de simplement prévenir les erreurs mais d’apprendre à gérer en toute sécurité
celles qui sont inévitables.
4.6.14 Trois stratégies de gestion des erreurs dans la maintenance des aéronefs sont brièvement
5
exposées ci-dessous .
a) Les stratégies de réduction de l’erreur interviennent directement à la source de l’erreur en réduisant

ou en éliminant les facteurs contribuant à l’erreur. Il s’agit par ex. de faciliter l’accès à un élément de
5. Tiré du Manuel d’instruction sur les facteurs humains (Doc 9683).

l’aéronef pour maintenance, d’améliorer l’éclairage dans lequel une tâche doit être exécutée, de
réduire les distractions liées à l’environnement et de dispenser une meilleure formation. La plupart des
stratégies de gestion de l’erreur employées dans la maintenance entrent dans cette catégorie.
b) La capture de l’erreur suppose que l’erreur a déjà été commise. L’intention est de la « capturer »
avant que des conséquences négatives ne se fassent sentir. La capture de l’erreur diffère de la
réduction de l’erreur en ce qu’elle ne sert pas directement à réduire ou à éliminer l’erreur. Des
exemples de cette stratégie sont la vérification par recoupement de la bonne exécution des tâches
ou les vols d’essai de fonctionnement.
c) La tolérance à l’erreur concerne l’aptitude d’un système à accepter une erreur sans conséquences
sérieuses. Parmi les exemples de mesures destinées à accroître la tolérance aux erreurs, citons
l’installation à bord de circuits hydrauliques ou électriques multiples afin d’assurer la redondance et
un programme d’inspection des structures qui donnera de multiples opportunités de déceler une
crique de fatigue avant que celle-ci n’atteigne une longueur critique.
4.7 CYCLE DE LA SÉCURITÉ
4.7.1 Étant donné le nombre de relations qui peuvent exister entre les facteurs susceptibles d’affecter
la sécurité, un SGS efficace est nécessaire. La Figure 4-6 montre un exemple du type de processus
systématique requis. Elle est suivie d’une brève description du cycle de la sécurité.
4.7.2 L’identification des dangers est la première étape critique de la gestion de la sécurité. Des
preuves de dangers sont nécessaires et peuvent être glanées de différentes manières, auprès de sources
diverses, comme :
a) les systèmes de comptes rendus des dangers et des incidents ;
b) les enquêtes sur les dangers et les incidents signalés dans des comptes rendus, et leur suivi ;
c) les analyses de tendances ;
d) les retours d’informations après formation ;
e) l’analyse des données de vol ;
f) les enquêtes de sécurité et les audits de supervision de la sécurité opérationnels ;
g) la surveillance de l’exploitation normale ;
h) les enquêtes de l’État sur les accidents et les incidents graves ;
i) les systèmes d’échange d’informations.
4.7.3 Chaque danger identifié doit être évalué et se voir attribuer un niveau de priorité. Cette évaluation
requiert la compilation et l’analyse de toutes les données disponibles. Celles-ci sont alors évaluées afin de
déterminer l’étendue du danger : est-il isolé ou systémique ? Une base de données peut être nécessaire pour
faciliter le stockage et l’extraction des données. Il faut des outils adaptés pour analyser ces données.
4.7.4 Une fois que la carence en matière de sécurité a été validée, des décisions doivent être prises
quant aux mesures les plus appropriées à prendre pour éviter ou éliminer le danger ou réduire les risques
Identifier
les dangers
Suivre Évaluer
la situation les risques
Cycle de
la sécurité
Prendre Vérifier
des mesures les possibilités
Communiquer
les risques
Figure 4-6. Cycle de la sécurité
qui y sont liés. La solution doit tenir compte des conditions locales car une solution uniforme ne convient pas
à toutes les situations. Il faut veiller à ce que la solution adoptée ne génère pas de nouveaux dangers. Tel
est le processus de la gestion des risques.
4.7.5 Une fois qu’une mesure de sécurité appropriée a été mise en œuvre, la performance doit être
contrôlée afin de s’assurer que le résultat souhaité a été atteint. Par ex. :
a) le danger a été éliminé (ou au moins l’éventualité ou la gravité des risques qui y sont liés ont été
réduites) ;
b) les mesures adoptées permettent de faire face au danger de manière satisfaisante ;
c) aucun nouveau danger n’a été introduit dans le système.
4.7.6 Si les résultats ne sont pas satisfaisants, tout le processus doit être recommencé.
4.8 ASPECTS FINANCIERS
4.8.1 L’exploitation rentable et néanmoins sûre d’une compagnie aérienne ou d’une société de
prestation de services exige un équilibre permanent entre le besoin d’atteindre les objectifs de production
(comme la ponctualité des départs) et celui de satisfaire aux objectifs de sécurité (notamment en prenant du
temps supplémentaire pour s’assurer qu’une porte est bien sécurisée). Dans l’aviation, le lieu de travail est
truffé de conditions potentiellement dangereuses qui ne seront pas toutes éliminées. Pourtant, l’exploitation
doit continuer.
4.8.2 Certaines opérations adoptent un objectif de « zéro accident » et affirment que « la sécurité est
leur priorité numéro un ». En réalité, les exploitants (et les autres organisations de l’aviation commerciale)
doivent dégager un bénéfice pour survivre. Les bénéfices ou les pertes indiquent immédiatement si une
entreprise a réussi à atteindre ses objectifs de production ou non. Cependant, la sécurité est une condition
indispensable pour assurer la durabilité d’une entreprise aéronautique, comme finira par le comprendre
toute compagnie tentée de rogner sur les coûts. Pour la plupart des compagnies aériennes, l’absence de
pertes accidentelles est le meilleur moyen d’évaluer la sécurité. Ce n’est parfois qu’après un accident ou
une perte grave, que certaines compagnies comprennent qu’elles ont un problème de sécurité, en partie
parce que cela aura des incidences sur leur compte de profits et pertes. Toutefois, une compagnie peut
exercer ses activités pendant des années en maintenant de nombreuses conditions potentiellement
dangereuses sans subir de conséquences négatives. Faute d’une gestion efficace de la sécurité pour
identifier et corriger ces conditions dangereuses, la compagnie peut penser qu’elle réalise ses objectifs de
sécurité, comme le prouve « l’absence de pertes ». En fait, elle a juste eu de la chance.
4.8.3 Sécurité et profit ne sont pas incompatibles. En effet, les organisations de qualité savent que les
dépenses consenties pour remédier à des conditions dangereuses représentent un investissement de
rentabilité à long terme. Les pertes coûtent de l’argent. En consacrant de l’argent à des mesures de
réduction des risques, on réduit les pertes onéreuses (comme le montre la Figure 4-7). Toutefois, si l’on
consacre de plus en plus de moyens à la réduction des risques, les gains issus de la réduction des pertes
ne seront peut-être pas proportionnels aux dépenses. Les compagnies doivent équilibrer les coûts des
pertes et les dépenses effectuées pour les mesures de réduction des risques. Un certain niveau de pertes
financières peut être acceptable d’un point de vue purement comptable. Cependant, peu d’organisations
sont capables de survivre aux conséquences financières d’un accident grave. Il existe donc de bonnes
raisons économiques de disposer d’un SGS efficace pour gérer les risques.
Coûts totaux
Réduction
Coûts
Pertes
des risques
Protection
Figure 4-7. Sécurité par rapport aux coûts

Coûts des accidents
4.8.4 On trouve deux grands types de coûts liés aux accidents et aux incidents graves : les coûts
directs et les coûts indirects.
Coûts directs
4.8.5 Il s’agit des coûts évidents, assez simples à déterminer. La plupart d’entre eux découlent des
dommages physiques et sont liés aux réparations, remplacements ou indemnisations pour les blessures,
l’équipement aéronautique et les dommages matériels. Les coûts élevés d’un accident peuvent être réduits
par le biais d’une couverture d’assurance (certaines grandes organisations s’auto-assurent de facto en
constituant des réserves pour couvrir leurs risques).
Coûts indirects
4.8.6 Si une assurance peut couvrir des coûts spécifiques d’un accident, il existe de nombreux coûts
non couverts. Il est essentiel de bien comprendre ces coûts non couverts (ou indirects) pour bien saisir les
aspects économiques de la sécurité.
4.8.7 Les coûts indirects comprennent tout ce qui n’est pas directement couvert par une assurance et
dont le total est habituellement bien plus élevé que celui des coûts directs résultant de l’accident. Ces coûts
ne sont pas toujours patents et se manifestent souvent plus tard. Voici quelques exemples de coûts non
couverts pouvant découler d’un accident :
a) La perte de clientèle et l’atteinte à l’image de l’organisation. De nombreuses organisations

n’autorisent pas leur personnel à voler avec une compagnie ayant un bilan douteux en matière de
sécurité.
b) La privation de jouissance de matériel. Ceci équivaut à une perte de revenus. Le matériel de

remplacement peut devoir être acheté ou loué. Pour les compagnies exploitant un aéronef d’un type
peu courant, il est possible que leur stock de pièces détachées et leur personnel spécialement
formé pour un tel appareil deviennent inutiles.
c) La perte de productivité du personnel. Si certaines personnes sont blessées lors d’un accident et
sont en incapacité de travail, de nombreux États exigent qu’elles continuent à être payées. En outre,
elles devront être remplacées au moins à court terme, ce qui augmentera les coûts salariaux, les
heures supplémentaires (voire la formation), et entraînera une charge de travail supplémentaire
pour les travailleurs expérimentés.
d) Les frais d’enquête et de remise en état. Ce sont souvent des coûts non assurés. Les exploitants
peuvent subir des frais suite à l’enquête, notamment les coûts de la participation de leur personnel à
l’enquête ainsi que les coûts des tests et analyses, de la récupération de la carcasse et de la remise
en état des lieux de l’accident.
e) Les franchises des assurances. Pour tout accident, l’assuré doit prendre à sa charge la première
tranche du coût de tout accident. De plus, une demande d’indemnisation fera passer la compagnie
dans une catégorie de risque plus élevée à des fins d’assurance, ce qui peut entraîner une
augmentation des primes (et inversement, la mise en œuvre d’un SGS global pourrait aider un
exploitant à négocier une réduction de prime).
f) Les actions en justice et en dommages-intérêts. Les frais de justice peuvent croître rapidement.
Bien qu’il soit possible de s’assurer en responsabilité civile et contre les actions en dommages et
intérêts, il est pratiquement impossible de rentrer dans ses frais pour le temps perdu dans une
action en justice et en poursuites en dommages-intérêts.
g) Les amendes et citations à comparaître. Les pouvoirs publics peuvent réclamer des amendes et
adresser des citations à comparaître, voire, éventuellement imposer l’arrêt d’opérations dangereuses.
Coûts des incidents
4.8.8 Des incidents aériens graves causant des dommages matériels ou des lésions corporelles
mineures peuvent également entraîner de nombreux coûts indirects ou non couverts. Les facteurs de coûts
types résultant de tels incidents sont notamment :
a) les retards et annulations de vols ;
b) une solution de rechange pour le transport des passagers, leur logement, les plaintes, etc. ;
c) le changement d’équipage et son affectation ;
d) le manque à gagner et l’atteinte à l’image de la compagnie ;
e) la récupération et la réparation de l’aéronef, le vol d’essai ;
f) l’enquête sur l’incident.
Coûts de la sécurité
4.8.9 Les coûts de la sécurité sont encore plus difficiles à quantifier que le coût total des accidents —
en partie parce qu’il est difficile d’évaluer les accidents qui ont été évités. Néanmoins, certains exploitants
ont tenté d’évaluer les coûts et les avantages de l’introduction d’un SGS. Ils ont conclu que les économies
étaient considérables. La réalisation d’une analyse coûts-avantages est complexe. Cependant, comme les
dirigeants sont peu enclins à dépenser de l’argent sans perspective d’un bénéfice quantifiable, cette analyse
devrait être entreprise. Une façon de résoudre cette question est de séparer les coûts du SGS des frais
encourus pour remédier aux carences en matière de sécurité, en imputant les coûts de la gestion de la
sécurité au département sécurité et les coûts des carences de sécurité aux cadres hiérarchiques ayant les
plus grandes responsabilités. Cet exercice exige que la haute direction s’engage à réfléchir aux coûts et aux
avantages d’un SGS.
Chapitre 5
PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ
5.1 PHILOSOPHIE DE LA GESTION DE LA SÉCURITÉ
Fonction de gestion essentielle
5.1.1 Dans les organisations aéronautiques efficaces, la gestion de la sécurité est une fonction de
gestion essentielle — au même titre que la gestion financière. Une gestion efficace de la sécurité requiert un
équilibre réaliste entre les objectifs de sécurité et ceux de production. Par conséquent, une approche
coordonnée, basée sur l’analyse des objectifs et des ressources de l’organisation, contribue à garantir que
les décisions concernant la sécurité sont réalistes et complémentaires aux besoins opérationnels de
l’organisation. Les limites du financement et de la performance opérationnelle doivent être acceptées dans
tous les secteurs. Il est donc important pour une gestion rentable de la sécurité de définir les risques
acceptables et inacceptables. Correctement mises en œuvre, les mesures de gestion de la sécurité non
seulement renforcent la sécurité mais améliorent aussi l’efficacité des opérations d’une organisation.
5.1.2 L’expérience d’autres secteurs et les leçons tirées des enquêtes sur les accidents d’aéronefs ont
souligné qu’il était important de gérer la sécurité de manière systématique, proactive et explicite. Ces termes
revêtent ici les acceptions suivantes :
• Systématique signifie que les activités de gestion de la sécurité seront exécutées conformément à
un plan prédéterminé et réalisées de façon cohérente dans toute l’organisation.
• Proactive désigne l’adoption d’une approche qui met l’accent sur la prévention grâce à l’identifi-
cation des dangers et à l’introduction de mesures d’atténuation des risques avant que l’événement
dangereux ne se produise et ait des conséquences négatives sur les performances en matière de
sécurité.
• Explicite signifie que toutes les activités de gestion de la sécurité devraient être documentées,
visibles et exécutées indépendamment d’autres activités de gestion.
5.1.3 Une gestion systématique, proactive et explicite de la sécurité garantit qu’à long terme, la
sécurité fera partie intégrante des opérations quotidiennes de l’organisation et que les activités liées à la
sécurité menées par l’organisation seront dirigées vers les domaines où les avantages seront les plus
grands.
Approche systémique
5.1.4 Les approches contemporaines de la gestion de la sécurité ont été façonnées par les concepts
introduits au Chapitre 4 et, en particulier, par le rôle des questions organisationnelles en tant que facteurs
contribuant aux accidents et aux incidents. La sécurité ne peut pas être atteinte par la seule instauration de
règles ou de directives concernant les procédures à suivre par le personnel d’exploitation.
5-1
5.1.5 La portée de la gestion de la sécurité englobe la plupart des activités de l’organisation. Elle doit
donc commencer à l’échelon de la haute direction et les effets sur la sécurité doivent être examinés à tous
les niveaux de l’organisation.
Sécurité du système
5.1.6 La sécurité du système a été élaborée dans les années 1950 en tant que discipline d’ingénierie
pour les systèmes aérospatiaux et de défense antimissile. Ses praticiens étaient des ingénieurs de la
sécurité et non des spécialistes opérationnels. Par conséquent, ils avaient tendance à se concentrer sur la
conception et la construction de systèmes à sûreté intégrée. D’autre part, l’aviation civile avait pour habitude
de s’occuper surtout des opérations aériennes et les directeurs de la sécurité étaient souvent issus des
rangs des pilotes. Pour améliorer la sécurité, il est devenu nécessaire de ne plus limiter la sécurité de
l’aviation aux seuls aéronefs et à leurs pilotes. L’aviation est un système global qui inclut tout ce qui est
nécessaire à la sécurité des opérations aériennes. Le « système » englobe l’aéroport, le contrôle de la
circulation aérienne, la maintenance, les équipages de cabine, le soutien opérationnel au sol, la régulation
des vols, etc. Une gestion saine de la sécurité doit couvrir tous les aspects du système.
5.2 FACTEURS AFFECTANT LA SÉCURITÉ DU SYSTÈME
5.2.1 Les facteurs affectant la sécurité au sein du système donné peuvent être étudiés sous deux
angles : premièrement, par l’analyse des facteurs pouvant aboutir à des situations dans lesquelles la
sécurité est compromise et, deuxièmement, par l’examen de la manière dont une connaissance de ces
facteurs peut être appliquée à la conception de systèmes afin de réduire la probabilité que surviennent des
événements pouvant mettre la sécurité en péril.
5.2.2 La recherche de facteurs qui pourraient compromettre la sécurité doit couvrir tous les niveaux de
l’organisation responsable des opérations et de la prestation de services de soutien. Comme décrit au
Chapitre 4, la sécurité commence au niveau le plus élevé de l’organisation.
Défaillances actives et conditions latentes
5.2.3 Les défaillances actives sont généralement le résultat de défauts du matériel ou d’erreurs
commises par le personnel opérationnel. Les conditions latentes, elles, contiennent toujours un élément
humain. Elles peuvent découler de défauts de conception non détectés. Elles peuvent être liées à des
conséquences non identifiées de procédures approuvées officiellement. Dans un certain nombre de cas, les
conditions latentes ont également été le résultat direct de décisions prises par la direction de l’organisation.
Par exemple, des conditions latentes sont présentes lorsque la culture de l’organisation encourage la prise
de raccourcis plutôt que l’application systématique des procédures approuvées. La conséquence directe
d’une condition liée à l’utilisation de raccourcis se concrétiserait au niveau opérationnel en cas de non-
respect des procédures correctes. Toutefois, si ce genre de comportement est largement admis par le
personnel opérationnel et que la direction n’en est pas consciente ou ne prend aucune mesure pour y
remédier, alors une condition latente existe dans le système au niveau de la direction.
Défectuosités des équipements
5.2.4 La probabilité de défaillances du système dues à des défectuosités des équipements relève de
l’ingénierie de la fiabilité. Cette probabilité est déterminée en analysant les taux de défaillance des différents
éléments du matériel. Les causes de défaillance des éléments peuvent notamment inclure des défauts
électriques, mécaniques et logiciels.
Chapitre 5. Principes de base de la gestion de la sécurité 5-3
5.2.5 Une analyse de sécurité est requise pour évaluer tant la probabilité des défaillances au cours
des opérations normales que les effets de l’indisponibilité continue d’un quelconque élément sur les autres
parties du système. L’analyse devrait couvrir les conséquences de toute perte de fonctionnalité ou de
redondance due à la mise hors service du matériel pour maintenance. Il est donc important que la portée de
l’analyse et la délimitation du système aux fins de l’analyse soient suffisamment larges pour que tous les
services et activités de soutien nécessaires soient couverts. Une analyse de sécurité devrait au minimum
examiner les éléments du modèle SHEL décrit au Chapitre 4.
5.2.6 Les techniques concernant l’estimation de la probabilité d’une défaillance générale du système
en raison de défectuosités du matériel et l’estimation des paramètres tels que la disponibilité et la continuité
du service sont bien établies et sont décrites dans des ouvrages de référence relatifs à l’ingénierie de la
fiabilité et de la sécurité. Ces questions ne seront pas abordées plus avant dans le présent manuel.
Erreur humaine
5.2.7 On parle d’erreur lorsque le résultat d’une tâche exécutée par une personne n’est pas celui qui
était voulu. La manière dont un opérateur humain aborde une tâche dépend de la nature de celle-ci et de
l’expérience que l’opérateur en a. La performance humaine peut être basée sur des compétences, sur des
règles ou sur des connaissances. Les erreurs peuvent résulter de trous de mémoire, d’oublis au cours de la
réalisation de la tâche prévue, ou bien de fautes qui sont des erreurs de jugement conscientes. Une
distinction devrait également être opérée entre les erreurs normales ou erreurs commises de bonne foi dans
l’exécution des fonctions assignées et les infractions délibérées aux procédures prescrites ou aux pratiques
de sécurité acceptées. Comme il a été mentionné au Chapitre 4, certaines organisations utilisent le concept
de « culture juste » pour aider à déterminer quelles erreurs sont « acceptables ».
Conception du système
5.2.8 Étant donné l’interaction complexe entre les facteurs humains, matériels et environnementaux
dans les opérations, l’élimination totale du risque est impossible à atteindre. Même dans les organisations
disposant des meilleurs programmes de formation et d’une culture positive de la sécurité, les opérateurs
humains commettront de temps en temps des erreurs. Le matériel le mieux conçu et le mieux entretenu
connaîtra occasionnellement des défaillances. Les concepteurs du système doivent donc tenir compte de
l’inévitabilité des erreurs et des défaillances. Il est important que le système soit conçu et mis en œuvre de
manière à ce que, dans la mesure du possible, les erreurs et les défaillances du matériel ne se soldent pas
par un accident. En d’autres mots, le système est « tolérant à l’erreur ».
5.2.9 Les éléments matériels et logiciels d’un système sont généralement conçus pour répondre à
des niveaux spécifiques de disponibilité, de continuité et d’intégrité. Les techniques d’estimation des perfor-
mances du système par rapport à ces paramètres sont bien établies. Si nécessaire, une redondance peut
être intégrée au système afin d’offrir des solutions de rechange en cas de défaillance d’un ou de plusieurs
éléments du système.
5.2.10 Les performances de l’élément humain ne peuvent pas être précisées avec autant de détail,
mais il est essentiel que la possibilité d’une erreur humaine soit considérée comme faisant partie de la
conception générale du système. Dès lors, une analyse sera nécessaire afin d’identifier les faiblesses
potentielles des aspects procéduraux du système en prenant en considération les lacunes normales des
performances humaines. Cette analyse devrait également tenir compte du fait que les accidents n’ont que
rarement, voire jamais, de cause unique. Comme nous l’avons dit plus haut, ceux-ci s’inscrivent généra-
lement dans une séquence d’événements au sein d’un contexte situationnel complexe. Par conséquent,
l’analyse doit se pencher sur les combinaisons d’événements et de circonstances afin d’identifier les
séquences qui pourraient déboucher sur une mise en danger de la sécurité.
5.2.11 Pour que le système élaboré soit sûr et tolérant à l’erreur, il faut qu’il contienne des moyens de
défense multiples pour garantir que, dans la mesure du possible, aucune défaillance ou erreur ne puisse à
elle seule entraîner un accident et que, quand une défaillance ou une erreur survient, elle soit identifiée et
corrigée avant l’éventuelle apparition d’une séquence d’événements menant à un accident. Le besoin de
disposer d’un ensemble de défenses plutôt que d’une seule couche de défense découle de la possibilité que
les moyens de défense eux-mêmes ne fonctionnent pas toujours à la perfection. Cette philosophie de
conception est appelée « défenses en profondeur ».
5.2.12 Pour qu’un accident se produise dans un système bien conçu, il faut que des brèches
apparaissent dans chaque couche de défense du système au moment critique où les moyens de défense
auraient dû être capables de détecter l’erreur où la défaillance préalable. La Figure 5-1 illustre la manière
dont un accident doit pénétrer toutes les couches de défense.
5.3 CONCEPTS DE GESTION DE LA SÉCURITÉ
Pierres angulaires de la gestion de la sécurité
5.3.1 Sous sa forme la plus simple, la gestion de la sécurité se compose de l’identification des
dangers et du comblement des éventuelles brèches dans les défenses du système. Une gestion efficace de
la sécurité est multidisciplinaire et exige l’application systématique de diverses techniques et activités à tout
l’éventail des activités aéronautiques. Elle est fondée sur trois pierres angulaires déterminantes, à savoir :
a) Une approche d’entreprise globale de la sécurité. Celle-ci donne le ton en matière de gestion de la
sécurité. L’approche d’entreprise prolonge la culture de la sécurité de l’organisation et couvre les
politiques, buts et objectifs de sécurité de l’organisation et, surtout, l’engagement de la haute
direction à garantir la sécurité.
b) Des outils organisationnels efficaces afin d’appliquer les normes de sécurité. Il faut disposer d’outils
organisationnels efficaces afin de mettre en œuvre les activités et les processus nécessaires pour
améliorer la sécurité. Cette pierre angulaire concerne entre autres la façon dont l’organisation gère
ses affaires en vue de réaliser ses politiques, buts et objectifs de sécurité et la manière dont elle fixe
les normes et affecte les ressources. On se concentre principalement sur les dangers et leurs effets
potentiels sur les activités cruciales pour la sécurité.
c) Un système formel de supervision de la sécurité. Un tel système est nécessaire pour confirmer
que l’organisation satisfait en permanence à sa politique, à ses buts, objectifs et normes de l’entre-
prise relatifs à la sécurité. L’expression « supervision de la sécurité » couvre tout particulièrement
les activités menées par l’État dans le cadre de son programme de sécurité. Le concept de
« contrôle des performances en matière de sécurité », lui, est souvent utilisé pour décrire les
activités exécutées par un exploitant ou un fournisseur de services, en application de son système
de gestion de la sécurité (SGS).
5.3.2 Un examen plus détaillé de chacune de ces trois pierres angulaires figure à l’Appendice 1 de ce
chapitre.
Stratégies de gestion de la sécurité
5.3.3 La stratégie qu’adopte une organisation pour son SGS reflétera sa culture de la sécurité et peut
aller de la simple réaction aux seuls accidents à des mesures extrêmement proactives dans la recherche
Ac
cid
en
t
Défenses en profondeur
Brèches ou
faiblesses dans
les moyens
de défense
Tr
aje
cto
ire
Figure 5-1. Défenses en profondeur
des problèmes de sécurité. Le processus traditionnel ou réactif est dominé par les réparations rétroactives
(c.-à-d. réparer la porte de l’étable après que le cheval s’est échappé). Avec l’approche plus moderne ou
proactive, ce sont les réformes proactives qui sont au premier plan (c.-à-d. construire une étable dont aucun
cheval ne pourra ni ne voudra s’échapper). En fonction de la stratégie adoptée, des méthodes et des outils
différents doivent être employés.
Stratégie réactive en matière de sécurité : enquêter sur les accidents et sur les incidents à signaler
5.3.4 Cette stratégie est utile pour les situations caractérisées par des défaillances technologiques ou
des événements inhabituels. L’intérêt de l’approche réactive pour la gestion de la sécurité dépend de la
mesure dans laquelle l’enquête dépasse la détermination des causes pour examiner tous les facteurs
contributifs. L’approche réactive a tendance à se distinguer par les caractéristiques suivantes :
a) en matière de sécurité, la direction privilégie le respect des exigences minimales ;
b) l’évaluation de la sécurité se base sur des accidents et des incidents à signaler dans les limites
suivantes :
1) toute analyse est restreinte à l’examen des défaillances réelles ;
2) les données disponibles pour déterminer précisément les tendances sont insuffisantes, surtout
celles qui sont imputables aux erreurs humaines ;
3) les causes profondes et les conditions latentes dangereuses, qui facilitent l’erreur humaine, sont
méconnues.
c) un « rattrapage permanent » est nécessaire pour s’adapter à l’inventivité humaine quant aux nouveaux
types d’erreurs.
Stratégie proactive en matière de sécurité : recherche agressive d’informations auprès de diverses

sources pouvant indiquer l’émergence de problèmes de sécurité
5.3.5 Les organisations appliquant une stratégie proactive de gestion de la sécurité pensent qu’il est
possible de réduire au minimum le risque d’accidents en identifiant les faiblesses avant une défaillance et en
arrêtant les mesures nécessaires pour réduire ce risque. Par conséquent, elles s’emploient à détecter les
conditions dangereuses systémiques grâce à des outils comme :
a) des systèmes de comptes rendus des dangers et des incidents favorisant l’identification des
conditions dangereuses latentes ;
b) des enquêtes de sécurité pour susciter un retour d’informations de la part du personnel de première
ligne sur les causes de doléances et les conditions insatisfaisantes recelant un potentiel d’accident ;
c) une analyse de l’enregistreur de données de vol pour identifier les dépassements opérationnels et
confirmer les procédures d’exploitation normales ;
d) des inspections ou des audits opérationnels portant sur tous les aspects de l’exploitation, afin
d’identifier les domaines vulnérables avant que des accidents, des incidents ou des événements de
sécurité mineurs confirment l’existence d’un problème ;
e) une politique de prise en compte et de concrétisation des bulletins de service des constructeurs.
Activités principales de gestion de la sécurité
5.3.6 Les organisations qui réussissent le mieux à gérer la sécurité se distinguent par la mise en
œuvre de plusieurs activités. Certaines de ces activités spécifiques sont exposées ci-dessous :
a) Organisation. Elles font en sorte d’instaurer une culture de la sécurité et de réduire leurs pertes
accidentelles. Elles disposent normalement d’un SGS officiel tel que décrit aux Chapitres 12 à 15.
b) Évaluations de la sécurité. Elles analysent systématiquement les changements de matériel ou de

procédures proposés afin d’identifier et d’atténuer les faiblesses avant que les changements ne
soient effectués.
c) Comptes rendus d’événements liés à la sécurité. Elles ont instauré des procédures officielles
pour rendre compte des événements liés à la sécurité et des autres conditions dangereuses.
d) Mécanismes d’identification des dangers. Elles emploient des mécanismes à la fois réactifs et
proactifs d’identification des dangers pour la sécurité dans toute leur structure, comme des comptes
rendus volontaires d’incidents, des enquêtes sur la sécurité, des audits de sécurité des opérations
aériennes et des évaluations de la sécurité. Les Chapitres 16 et 17 exposent divers processus de
sécurité efficaces pour identifier des dangers pour la sécurité, par ex. l’analyse des données de vol
(FDA), les audits de sécurité en service de ligne (LOSA) et les enquêtes de sécurité sur les
opérations normales (NOSS).
e) Enquête et analyse. Elles assurent le suivi des comptes rendus d’événements liés à la sécurité et
de conditions dangereuses, si nécessaire en initiant des enquêtes de sécurité et des analyses de
sécurité réalisées par du personnel compétent.
f) Contrôle des performances. Elles cherchent activement à obtenir un retour d’informations pour
boucler la boucle de la gestion de la sécurité en employant des techniques telles que le contrôle des
tendances et les audits internes de sécurité.
g) Promotion de la sécurité. Elles diffusent activement les résultats des enquêtes et des analyses de
sécurité, partageant ainsi les leçons tirées tant à l’intérieur de l’organisation qu’à l’extérieur si cela
se justifie.
h) Supervision de la sécurité. L’État (autorité de réglementation) et l’organisation réglementée

disposent tous deux de systèmes de contrôle et d’évaluation des performances en matière de sécurité.
Toutes ces activités sont décrites de façon plus détaillée ailleurs dans ce manuel.
Processus de gestion de la sécurité
5.3.7 D’un point de vue conceptuel, le processus de gestion de la sécurité coïncide avec le cycle de la
sécurité décrit à la Figure 4-6. Dans les deux cas, il s’agit d’un processus en boucle, comme le représente la
Figure 5-2.
5.3.8 La gestion de la sécurité est basée sur les faits puisqu’elle requiert l’analyse des données pour
identifier les dangers. Lors de l’utilisation de techniques d’évaluation des risques, des priorités sont établies
afin de réduire les conséquences potentielles de ces dangers. Des stratégies destinées à réduire ou à
éliminer les dangers sont ensuite élaborées et mises en œuvre avec des responsabilités clairement établies.
La situation est réévaluée en permanence et des mesures supplémentaires sont appliquées le cas échéant.
5.3.9 Les étapes du processus de gestion de la sécurité exposées à la Figure 5-2 sont brièvement
décrites ci-dessous :
a) Collecter les données. La première étape du processus de gestion de la sécurité est l’acquisition
de données pertinentes en matière de sécurité, c’est-à-dire des éléments nécessaires pour déter-
miner les performances en matière de sécurité ou identifier les conditions dangereuses latentes
(dangers pour la sécurité). Ces données peuvent être tirées de n’importe quelle composante du
système : le matériel utilisé, les personnes participant aux opérations, les procédures de travail, les
interactions homme/matériel/procédures, etc.
b) Analyser les données. L’analyse de toutes les informations pertinentes permet d’identifier les
dangers pour la sécurité. Les conditions dans lesquelles les dangers présentent de véritables
risques, leurs conséquences potentielles et la probabilité d’un événement lié à la sécurité peuvent
être déterminés. Il s’agit, en d’autres termes, de répondre aux questions : Que peut-il se passer ?
Comment ? Et quand ? Cette analyse peut être à la fois qualitative et quantitative.
c) Classer les conditions dangereuses par ordre de priorité. Un processus d’évaluation du risque
détermine la gravité de ces dangers. Des mesures de sécurité sont envisagées pour les dangers
posant les plus gros risques. Ceci peut nécessiter une analyse coûts-avantages.
d) Élaborer des stratégies. En commençant par les risques dont la priorité est la plus élevée, on peut
réfléchir à diverses options de gestion des risques, par ex. :
1) Répartir la prise de risques sur une palette d’individus aussi large que possible. (Telle est la
base de l’assurance.)
Collecter les données
Collecter des données

Réévaluer la situation supplémentaires Analyser les données
Classer les conditions

Mettre en œuvre Processus dangereuses par
les stratégies de gestion ordre de priorité
de la sécurité
Attribuer
les responsabilités Élaborer des stratégies
Approuver les stratégies
Figure 5-2. Processus de gestion de la sécurité
2) Éliminer entièrement le risque (éventuellement en cessant l’opération ou la pratique).
3) Accepter le risque et poursuivre les opérations sans rien changer.
4) Atténuer le risque en mettant en œuvre des mesures de réduction du risque ou au moins

faciliter la prise en charge du risque.
En sélectionnant une stratégie de gestion des risques, il faut s’assurer que l’on évite d’introduire de
nouveaux risques entraînant un niveau de sécurité inacceptable.
e) Adopter des stratégies. Après avoir analysé les risques et décidé d’un plan d’action approprié,
l’accord de la direction est nécessaire pour aller de l’avant. À ce stade, la difficulté réside dans la
formulation d’arguments convaincants pour justifier des changements (parfois coûteux).
f) Attribuer les responsabilités et mettre en œuvre les stratégies. Suite à la décision de mettre les
choses en route, il faut arrêter les détails pratiques. Il s’agit entre autres de fixer la répartition des
ressources, de répartir les responsabilités, de déterminer le calendrier, de revoir les procédures
d’exploitation, etc.
g) Réévaluer la situation. La réussite de la mise en œuvre est rarement à la hauteur des prévisions. Un
retour d’informations est requis pour boucler la boucle. Quels nouveaux problèmes ont éventuellement
été introduits ? Dans quelle mesure la stratégie convenue pour réduire les risques répond-elle aux
attentes en termes de performance ? Quelles modifications du système ou du processus peuvent
s’avérer nécessaires ?
h) Collecter des données supplémentaires. En fonction des résultats de la réévaluation, il faudra

peut-être obtenir de nouvelles informations et recommencer tout le cycle afin de peaufiner l’action
en matière de sécurité.
5.3.10 La gestion de la sécurité requiert des compétences analytiques qui peuvent ne pas être
exercées habituellement par la direction. Plus l’analyse est complexe, plus il est important d’utiliser les outils
analytiques les plus adaptés. Le processus en boucle de la gestion de la sécurité exige également un retour
d’informations pour garantir que les dirigeants puissent tester la validité de leurs décisions et évaluer
l’efficacité de la mise en œuvre de celles-ci. (Le Chapitre 9 fournit des indications en matière d’analyse de la
sécurité.)
Supervision de la sécurité
5.3.11 Comme mentionné au § 5.3.1 c), l’expression « supervision de la sécurité » fait référence aux
activités d’un État relevant de son programme de sécurité, alors que le contrôle des performances de
sécurité renvoie aux activités d’un exploitant ou d’un fournisseur de services dans le cadre de son SGS.
5.3.12 En matière de sécurité, les activités de supervision ou de contrôle des performances consti-
tuent un élément essentiel de la stratégie de gestion de la sécurité d’une organisation. La supervision de la
sécurité donne à un État les moyens de vérifier dans quelle mesure l’industrie aéronautique atteint ses
objectifs de sécurité.
5.3.13 Une partie des exigences s’appliquant à un système de contrôle des performances de sécurité
sont déjà respectées dans de nombreuses organisations. Par exemple, les États disposent normalement
d’une réglementation relative à l’obligation de rendre compte des accidents et des incidents.
5.3.14 L’identification des faiblesses des défenses du système exige plus que la simple collecte de
données rétrospectives et l’élaboration de statistiques sommaires. Les causes sous-jacentes des événe-
ments signalés peuvent ne pas sauter immédiatement aux yeux. Les enquêtes sur les comptes rendus
d’événements liés à la sécurité ou sur toute autre information concernant d’éventuels dangers devraient
donc aller de pair avec le contrôle des performances de sécurité.
5.3.15 La mise en œuvre d’un programme efficace de supervision de la sécurité requiert que l’État et
les organisations :
a) déterminent des indicateurs de performances de sécurité pertinents (voir les § 5.3.17 à 5.3.21) ;
b) établissent un système de comptes rendus d’événements liés à la sécurité ;
c) mettent en place un système d’enquête sur ces mêmes événements ;
d) élaborent des procédures d’intégration des données de sécurité provenant de toutes les sources
disponibles ;
e) mettent au point des procédures d’analyse des données et de rédaction de rapports périodiques sur
les performances de sécurité.
5.3.16 Le Chapitre 10 fournit des indications sur la fonction de supervision de la sécurité.
Indicateurs et objectifs de performance de sécurité
5.3.17 Comme décrit aux § 5.3.7 à 5.3.10, le processus de gestion de la sécurité est une boucle
fermée. Il requiert un retour d’informations qui permettra d’établir une base d’évaluation des performances
du système afin que les ajustements nécessaires puissent être réalisés pour atteindre les niveaux de
sécurité souhaités. À cette fin, il convient de bien comprendre la manière dont les résultats doivent être
évalués. Par exemple, quels seront les indicateurs quantitatifs ou qualitatifs utilisés pour déterminer si le
système fonctionne ? Après avoir décidé des facteurs à l’aune desquels la réussite du système peut être
mesurée, il faut fixer des buts et des objectifs de sécurité spécifiques. Aux fins du présent manuel, la
terminologie suivante est utilisée :
• Indicateur de performance de sécurité. Mesure (ou paramètre) employée pour exprimer le niveau
des performances de sécurité obtenues par un système.
• Objectif de performance de sécurité. Niveau de performance de sécurité requis pour un système.

Un objectif de performance de sécurité comporte un ou plusieurs indicateurs de performance de
sécurité ainsi que les résultats souhaités, exprimés en fonction de ces indicateurs.
5.3.18 Une distinction doit être faite entre les critères utilisés pour évaluer la performance de sécurité
opérationnelle par le biais de contrôles et les critères employés pour évaluer les nouveaux systèmes ou les
nouvelles procédures planifiés. Le processus requis pour ce deuxième cas de figure est connu sous le nom
d’évaluations de la sécurité (voir le Chapitre 13).
Indicateurs de performance de sécurité
5.3.19 Pour fixer des objectifs de performance de sécurité, il faut d’abord décider d’indicateurs de
performance de sécurité appropriés. Ces indicateurs sont généralement exprimés en termes de fréquence
d’un événement causant des dommages. Des mesures typiques pourraient être, par ex. :
a) le nombre d’accidents d’avion par 100 000 heures de vol ;
b) le nombre d’accidents d’avion par 10 000 mouvements ;
c) le nombre d’accidents d’avion mortels par an ;
d) le nombre d’incidents graves par 10 000 heures de vol.
5.3.20 Il n’existe pas d’indicateur de performance de sécurité qui convienne à lui seul à tous les cas
de figure. L’indicateur choisi pour exprimer un objectif de performance de sécurité doit être adapté à
l’application qui lui est réservée, afin qu’il soit possible de réaliser une évaluation sérieuse de la sécurité
selon les mêmes critères que ceux utilisés pour la fixation de l’objectif de performance de sécurité.
5.3.21 En général, les indicateurs de performance de sécurité retenus pour exprimer des objectifs
mondiaux, régionaux et nationaux ne sont pas appropriés pour être appliqués à des organisations
spécifiques. Dans la mesure où les accidents sont des événements relativement rares, ils ne donnent pas
une idée fidèle de la performance de sécurité, surtout au niveau local. Même à l’échelle mondiale, les taux
d’accidents varient considérablement d’une année à l’autre. Une hausse ou une baisse des accidents d’une
année à l’autre n’est pas forcément le reflet d’un changement du niveau sous-jacent de sécurité.
Objectifs de performance de sécurité
5.3.22 Après avoir déterminé des indicateurs de sécurité appropriés, il faut décider de ce qui constitue
un résultat ou un objectif acceptable. Par exemple, l’OACI a fixé des objectifs mondiaux de performance de
sécurité dans son plan pour la sécurité de l’aviation dans le monde (GASP). Il s’agit de :
a) réduire le nombre d’accidents mortels ou non à l’échelle mondiale quel que soit le volume du trafic
aérien ;
b) diminuer de façon significative les taux d’accidents, surtout dans les régions où ils restent élevés.
5.3.23 Le résultat visé peut être exprimé en termes absolus ou relatifs. Les objectifs mondiaux de
l’OACI sont des exemples d’objectifs relatifs. Un objectif relatif pourrait également prévoir un pourcentage
souhaité de réduction des accidents ou de certains types d’événements, et ce dans un délai défini. Par
exemple, dans le cadre du programme de sécurité d’un État, une autorité de supervision réglementaire peut
établir qu’un niveau de sécurité acceptable sera atteint en spécifiant les objectifs de performance suivants :
a) pour les exploitants aériens : moins de 0,2 accident mortel par 100 000 heures. Un autre objectif peut
être la réduction de 30 % du nombre d’avertissements EGPWS au cours des 12 prochains mois ;
b) pour les organisations de maintenance des aéronefs : moins de 200 défectuosités majeures par
100 000 heures de vol :
c) pour les exploitants d’aérodromes : moins de 1,0 impact d’oiseau par 1 000 mouvements d’aéronefs ;
d) pour les fournisseurs de services ATS : moins de 40 incidents aériens par 100 000 vols.
Dans chaque branche de l’industrie, en matière de sécurité, différentes exigences seront utilisées pour
atteindre les performances requises, telles que mesurées par les indicateurs.
5.3.24 Les graphiques des Figures 5-3 à 5-5 peuvent contribuer à expliquer la relation entre les
indicateurs de performance de sécurité et les objectifs de performance de sécurité. La Figure 5-3 illustre le
taux d’incidents aériens (indicateurs de sécurité) de deux catégories d’aéronefs sur une période définie.
Aucun objectif n’est fixé dans ce graphique mais celui-ci indique une légère diminution des deux taux sur la
période concernée.
5.3.25 Le graphique de la Figure 5-4 pourrait présenter le nombre d’impacts d’oiseau (ou tout autre
paramètre) au cours d’une période définie. Il affiche une tendance. Dans ce cas, la tendance et le chiffre
final sont restés en-dessous de la limite établie, ce qui correspond à une situation souhaitable.
5.3.26 Le graphique de la Figure 5-5 est semblable à celui de la Figure 5-4 à la différence près que la
tendance se situe au-dessus de la limite établie, ce qui correspond à une situation indésirable. Pire, ce
graphique indique qu’au cours des derniers trimestres, la tendance à la baisse s’est inversée et est
désormais à la hausse. En fonction de la période contrôlée, cela pourrait avoir comme résultat de rendre
l’indicateur de performance de sécurité considérablement plus mauvais que l’objectif de sécurité visé.
60
50
100 000 heures de vol
Incidents aériens par
40
30
20
10
0
02/2 02/3 02/4 03/1 03/2 03/3 03/4 04/1 04/2 04/3 04/4 05/1
Trimestre
Figure 5-3. Taux d’incidents aériens (indicateurs de sécurité)

Moyenne mobile sur 12 mois
20
15
Limite établie
11,0
10 Tendance
4
3
0
00/3 01/1 01/3 02/1 02/3 03/1 03/3 04/1 04/3 05/1
Trimestre
Figure 5-4. Taux d’événements correspondant à une tendance

évoluant en-dessous de la limite établie — une situation souhaitable
100
80
60
Tendance
récente
40
Tendance
Limite établie
20
25,0
0
00/3 01/1 01/3 02/1 02/3 03/1 03/3 04/1 04/3 05/1
Trimestre
Figure 5-5. Taux d’événements correspondant à une tendance récente évoluant

au-dessus de la limite établie — une situation indésirable
————————
Appendice 1 au Chapitre 5
TROIS PIERRES ANGULAIRES DE LA GESTION

DE LA SÉCURITÉ
1. Une gestion efficace de la sécurité comporte trois pierres angulaires. Celles-ci sont décrites
ci-dessous, de même que leurs caractéristiques :
a) Une approche d’entreprise globale en matière de sécurité — Elle prévoit notamment :
1) que la responsabilité ultime de la sécurité dans l’entreprise incombe au conseil d’administration

et au directeur général (CEO), ce qui montre l’engagement de l’entreprise envers la sécurité pris
aux plus hauts niveaux de l’organisation ;
2) une philosophie de la sécurité clairement formulée, accompagnée de politiques d’entreprise,

dont une politique non punitive pour les questions disciplinaires ;
3) des objectifs de l’entreprise relatifs à la sécurité, assortis d’un plan de gestion pour atteindre ces
objectifs ;
4) des rôles et des responsabilités bien définis, assortis d’obligations redditionnelles spécifiques en
matière de sécurité, publiées et disponibles pour tous les membres du personnel concernés par
la sécurité ;
5) l’obligation d’avoir un directeur de la sécurité indépendant ;
6) des preuves tangibles d’une culture positive de la sécurité dans toute l’organisation ;
7) un engagement à appliquer un processus de supervision de la sécurité qui soit indépendant des

cadres hiérarchiques ;
8) un système de documentation sur les politiques, principes, procédures et pratiques commerciaux

ayant des incidences sur la sécurité ;
9) un examen régulier des projets d’amélioration de la sécurité ;
10) des processus officiels d’examen de la sécurité.
b) Des outils organisationnels efficaces pour appliquer les normes de sécurité, notamment :
1) une affectation des ressources basée sur les risques ;
2) une sélection, un recrutement, un perfectionnement et une formation efficaces du personnel ;
3) une mise en œuvre des SOP élaborées en coopération avec le personnel concerné ;
5-APP 1-1
5-APP 1-2 Manuel de gestion de la sécurité (MGS)
4) la définition par l’entreprise des compétences spécifiques (et des critères de formation à la
sécurité) pour tous les membres du personnel ayant des tâches liées à la performance en
matière de sécurité ;
5) des normes définies et des audits pour l’achat de biens et les marchés de services ;
6) des contrôles destinés à permettre une détection précoce de toute détérioration des perfor-
mances du matériel, des systèmes et des services importants pour la sécurité et à assurer la
prise de mesures correctrices ;
7) des contrôles pour vérifier et enregistrer les normes de sécurité générales de l’organisation ;
8) la mise en œuvre de processus appropriés d’identification des dangers, d’évaluation des risques
et de gestion efficace des ressources afin de maîtriser les risques identifiés ;
9) des mesures de gestion des changements importants dans des domaines tels que l’introduction
de matériel, procédures ou types d’opérations nouveaux, la rotation de membres du personnel
occupant des postes clés, des licenciements collectifs ou une expansion rapide, des fusions et
des acquisitions ;
10) des accords permettant au personnel de communiquer d’importants problèmes de sécurité

au niveau de gestion approprié afin d’obtenir une résolution du problème ainsi qu’un retour
d’informations sur les mesures prises ;
11) une planification des interventions d’urgence et des exercices de simulation pour tester l’effica-
cité de cette planification ;
12) une évaluation des politiques commerciales du point de vue de leur incidence sur la sécurité.
c) Un système officiel de supervision de la sécurité — Il comporte entre autres comme éléments :
1) un système d’analyse des données de l’enregistreur de bord en vue de contrôler les opérations
de vols et de détecter les événements liés à la sécurité n’ayant pas fait l’objet d’un compte
rendu ;
2) un système à l’échelle de l’organisation pour la saisie de comptes rendus sur des événements
liés à la sécurité ou sur des conditions dangereuses ;
3) un système planifié et global d’audit de sécurité, suffisamment souple pour se concentrer sur
des problèmes de sécurité spécifiques dès leur apparition ;
4) un système pour mener des enquêtes de sécurité internes, mettre en œuvre des actions
correctrices et diffuser des informations relatives à la sécurité à tous les membres du personnel
concernés ;
5) des systèmes d’utilisation efficace des données sur la sécurité à des fins d’analyse des
performances et de contrôle des changements de l’organisation dans le cadre du processus de
gestion des risques ;
6) un examen et une assimilation systématiques des meilleures pratiques issues des autres
opérations ;
Chapitre 5. Principes de base de la gestion de la sécurité — Appendice 1 5-APP 1-3
7) un examen périodique du maintien de l’efficacité du SGS par un organisme indépendant ;
8) un suivi par les cadres hiérarchiques du travail en cours dans toutes les activités cruciales pour
la sécurité en vue de confirmer le respect des exigences réglementaires, des normes et des
procédures de l’entreprise, avec une attention particulière aux usages locaux ;
9) un système global servant à documenter toutes les réglementations en matière de sécurité

aérienne en vigueur, les politiques d’entreprise, les objectifs de sécurité, les normes, les SOP,
les comptes rendus de sécurité, etc., et à rendre cette documentation facilement disponible pour
tous les membres du personnel concernés ;
10) des dispositions destinées à promouvoir la sécurité de manière continue sur la base de
l’évaluation des performances internes de sécurité.
2. Il est important que la portée du SGS soit adaptée à la taille et à la complexité de la compagnie. De
grandes compagnies requerront un SGS plus complexe alors qu’un SGS plus sommaire devrait très bien
convenir à des compagnies plus petites, aux structures moins complexes.
Page blanche
Chapitre 6
GESTION DES RISQUES
La gestion des risques sert à concentrer les efforts de sécurité

sur les dangers présentant les plus gros risques.
6.1 GÉNÉRALITÉS
6.1.1 L’industrie aéronautique est quotidiennement confrontée à une multitude de risques, dont beaucoup
sont susceptibles de compromettre la viabilité d’un exploitant, certains représentant même une menace pour
toute l’industrie. En fait, le risque est un sous-produit de l’exploitation. Tous les risques ne peuvent pas être
éliminés et toutes les mesures imaginables d’atténuation des risques ne sont pas financièrement réalisables.
Les risques et coûts inhérents à l’aviation exigent un processus décisionnel rationnel. Tous les jours, il faut
prendre des décisions en temps réel, en mettant en balance, d’une part, la probabilité et la gravité de toute
conséquence négative induite par le risque et, d’autre part, l’avantage que l’on espère tirer de la prise de ce
risque. Ce processus est connu sous le nom de « gestion des risques ». Aux fins du présent manuel, la
gestion des risques peut être définie comme suit :
• La gestion des risques est l’identification, l’analyse et l’élimination (et/ou l’atténuation jusqu’à un
niveau acceptable ou tolérable) des dangers, ainsi que des risques ultérieurs, qui menacent la viabilité
d’une organisation.
6.1.2 En d’autres termes, la gestion des risques facilite la recherche d’un équilibre entre risques évalués
et atténuation viable des risques. Elle fait partie intégrante de la gestion de la sécurité. Elle s’appuie sur un
processus logique d’analyse objective, surtout dans l’évaluation des risques.
6.1.3 Un aperçu du processus de gestion des risques est présenté dans l’organigramme de la
Figure 6-1. Comme le montre celle-ci, la gestion des risques se compose de trois éléments fondamentaux :
l’identification des dangers, l’évaluation des risques et l’atténuation des risques. Les concepts de la gestion
des risques s’appliquent de la même manière à la prise de décisions concernant les opérations aériennes,
le contrôle de la circulation aérienne, la maintenance, la gestion des aéroports et l’administration publique.
6.2 IDENTIFICATION DES DANGERS
6.2.1 Le concept d’identification des dangers a été introduit au Chapitre 5. Étant donné qu’un danger
peut concerner toute situation ou condition pouvant avoir des conséquences négatives, l’éventail des
dangers en aviation est vaste. Voici quelques exemples :
a) les facteurs conceptuels, y compris la conception du matériel et des tâches ;
6-1
IDENTIFICATION
Identifier les dangers pour le matériel, DES DANGERS
les biens, le personnel ou l’organisation
Évaluer la gravité des conséquences ÉVALUATION DU RISQUE

d’une concrétisation du danger Gravité / Criticité
ÉVALUATION DU RISQUE
Quelle est la probabilité qu’il se concrétise?
Probabilité de concrétisation
Le risque qui en résulte est-il acceptable et ÉVALUATION DU RISQUE

rentre-t-il dans les critères de performance Acceptabilité
de sécurité de l’organisation?
Oui Non
Prendre des mesures

Accepter le risque de réduction du risque ATTÉNUATION DU RISQUE
à un niveau acceptable
Figure 6-1. Processus de gestion des risques
b) les procédures et les pratiques d’exploitation, y compris leur documentation et listes de vérification,
ainsi que leur validation dans les conditions d’exploitation réelles ;
c) les communications, y compris le moyen, la terminologie et la langue ;
d) les facteurs relatifs au personnel, comme les politiques de la compagnie en matière de recrutement,
de formation et de rémunération ;
e) les facteurs organisationnels, tels que la compatibilité entre les objectifs de production et les
objectifs de sécurité, la répartition des ressources, les pressions opérationnelles et la culture de la
sécurité de l’entreprise ;
f) les facteurs relatifs à l’environnement de travail, comme le bruit ambiant et les vibrations, la
température, l’éclairage et la mise à disposition de matériel et de vêtements de protection ;
g) les facteurs concernant la supervision réglementaire, y compris l’applicabilité et la force exécutoire

des réglementations, la certification du matériel, du personnel et des procédures et le caractère
adéquat des audits de surveillance ;
h) les moyens de défense, y compris des facteurs tels que la mise à disposition de systèmes de
détection et d’alerte adéquats, la résistance du matériel à l’erreur et la mesure dans laquelle le
matériel est rendu plus résistant aux défaillances.
Chapitre 6. Gestion des risques 6-3
6.2.2 Comme nous l’avons vu aux Chapitres 4 et 5, les dangers peuvent être reconnus au travers de
véritables événements de sécurité (accidents ou incidents) ou via des processus proactifs d’identification
avant que ces dangers ne déclenchent un événement. Dans la pratique, tant les mesures réactives que les
processus proactifs constituent un moyen efficace d’identifier les dangers.
6.2.3 Les événements de sécurité sont la preuve flagrante de l’existence de problèmes dans le système
et sont donc une occasion de tirer de précieuses leçons en matière de sécurité. Ils devraient par conséquent
faire l’objet d’enquêtes afin d’identifier les dangers qui menacent le système. Ces enquêtes devraient porter
sur tous les facteurs intervenus dans l’événement, y compris les facteurs organisationnels et humains. Le
Chapitre 8 contient des conseils concernant les enquêtes sur les événements de sécurité. Plusieurs méthodes
proactives d’identification des dangers sont évoquées aux Chapitres 16 et 17.
6.2.4 Dans un système de gestion de la sécurité qui a déjà fait ses preuves, l’identification des dangers
devrait se faire à partir d’une multitude de sources dans le cadre d’un processus permanent. Toutefois, dans
la vie d’une organisation, il arrive qu’il soit justifié d’accorder une attention particulière à l’identification des
dangers. Les évaluations de la sécurité (traitées au Chapitre 13) offrent un processus structuré et systémique
d’identification des dangers quand :
a) on observe une augmentation inexpliquée des événements ou des infractions liées à la sécurité ;
b) de grands changements sont prévus en matière d’exploitation, y compris des changements relatifs
aux membres principaux du personnel ou à du matériel ou des systèmes importants ;
c) l’organisation subit une transformation importante, comme une croissance ou une contraction rapide ;
d) une fusion de sociétés, une acquisition ou une réduction des effectifs est planifiée.
6.3 ÉVALUATION DU RISQUE
6.3.1 Une fois que la présence d’un danger pour la sécurité est confirmée, il faut une certaine forme
d’analyse pour évaluer sa capacité à causer des lésions corporelles ou des dommages matériels. Généra-
lement, cette évaluation du danger comporte trois aspects :
a) la probabilité que le danger précipite un événement dangereux (c.-à-d. la probabilité de consé-

quences négatives si on laissait persister les conditions dangereuses sous-jacentes ) ;
b) la gravité des éventuelles conséquences négatives ou les effets d’un événement dangereux ;
c) le taux d’exposition aux dangers. La probabilité des conséquences négatives s’accroît avec
l’augmentation de l’exposition aux conditions dangereuses. L’exposition peut donc être considérée
comme une autre dimension de la probabilité. Toutefois, certaines méthodes de définition de la
probabilité peuvent aussi inclure l’élément d’exposition, par ex., un taux de 1 par 10 000 heures.
6.3.2 Le risque est le potentiel de conséquences négatives qui, selon les estimations, découlerait d’un
danger. C’est la probabilité que se concrétise la capacité du danger à causer des dommages.
6.3.3 L’évaluation du risque concerne tant la probabilité que la gravité des conséquences négatives ;
en d’autres termes, le potentiel de perte est déterminé. Lors de l’évaluation des risques, il est important de
faire la distinction entre les dangers (la capacité à causer des dommages) et le risque (la probabilité que ces
dommages se concrétisent dans un délai donné). Une matrice d’évaluation des risques (comme celle
présentée au Tableau 6-1) constitue un outil utile pour établir l’ordre de priorité des dangers auxquels il faut
être le plus attentif.
6.3.4 Il existe de nombreuses manières — certaines plus formelles que d’autres — d’aborder les
aspects analytiques de l’évaluation des risques. Pour certains risques, le nombre de variables et la
disponibilité de données pertinentes ainsi que de modèles mathématiques peuvent permettre de dégager
des résultats crédibles via des méthodes quantitatives (nécessitant l’analyse mathématique de données
spécifiques). Néanmoins, en aviation, peu de dangers se prêtent à une analyse crédible par les seules
méthodes numériques. Généralement, ces analyses sont complétées au niveau qualitatif par une analyse
critique et logique des faits connus et des rapports qui existent entre eux.
6.3.5 De nombreuses publications sont disponibles sur les différents types d’analyses utilisés dans
l’évaluation des risques. Des méthodes sophistiquées ne sont pas indispensables pour les évaluations des
risques évoquées dans le présent manuel. Une connaissance de base de quelques méthodes suffit.
6.3.6 Quelles que soient les méthodes utilisées, les risques peuvent être exprimés de plusieurs
manières, comme :
a) le nombre de morts, la perte de revenus ou de parts de marché (c.-à-d. des nombres absolus) ;
b) les taux de perte (par ex. le nombre de morts par 1 000 000 sièges-kilomètres parcourus) ;
c) la probabilité d’accidents graves (par ex. 1 tous les 50 ans) ;
d) la gravité des conséquences (par ex. la gravité des blessures) ;
e) le montant des pertes prévisibles estimé en dollars par rapport aux recettes annuelles d’exploitation
(par ex. 1 million de dollars US de pertes pour 200 millions de dollars US de recettes).
Définition du problème
6.3.7 Dans tout processus analytique, il faut tout d’abord définir le problème. Même lorsque l’on a
identifié un danger, il n’est pas toujours aisé de traduire ses caractéristiques en un problème à résoudre.
Des personnes aux origines et expériences diverses percevront probablement les mêmes éléments sous
des angles différents. Une situation présentant un risque significatif reflétera ces origines diverses,
exacerbées par les préjugés humains normaux. Ainsi, les problèmes auront tendance à être perçus par les
ingénieurs comme des défauts d’ingénierie, par les médecins comme des défauts médicaux, par les
psychologues comme des problèmes comportementaux, etc. L’anecdote relatée dans l’encadré ci-dessous
illustre les nombreuses facettes de la définition d’un problème.
L’accident de Charlie
Charlie se dispute avec sa femme et se rend au bar du coin où il boit plusieurs verres. Il
quitte le bar, monte dans sa voiture et démarre à vive allure. Quelques minutes plus tard, il
perd le contrôle de son véhicule sur l’autoroute et est mortellement blessé. Nous
connaissons la SÉQUENCE des événements. Nous devons maintenant en déterminer le
POURQUOI.
L’équipe d’enquêteurs est composée de six spécialistes ayant chacun un point de vue
complètement différent sur la carence de sécurité fondamentale.
Le sociologue identifie une rupture de la communication entre les conjoints. Un policier

chargé du contrôle de la vente d’alcool constate la vente illégale de deux boissons alcoolisées
pour le prix d’une. Le médecin légiste établit que la concentration d’alcool dans le sang de
Charlie dépassait la limite légale. L’ingénieur des autoroutes estime que les dévers et les
barrières de sécurité sont inadaptés à la vitesse autorisée. Un ingénieur en mécanique
automobile constate que la voiture de Charlie avait un pare-chocs mal fixé et des pneus
lisses. Le policier souligne que le véhicule roulait à une vitesse excessive étant donné les
conditions du moment.
Chacun de ces points de vue peut déboucher sur une définition différente du danger sous-
jacent.
6.3.8 Tous les facteurs cités dans cet exemple peuvent être valables, qu’ils soient pris individuel-
lement ou globalement, ce qui montre bien la complexité de la causalité. Cependant, la manière de définir le
problème de sécurité aura une incidence sur le type de mesure prise pour réduire ou éliminer les dangers.
Lors de l’évaluation des risques, toutes les possibilités valables doivent être évaluées et seules les plus
appropriées doivent être retenues.
Probabilité de conséquences négatives
6.3.9 Quelles que soient les méthodes analytiques utilisées, il faut évaluer la probabilité de lésions
corporelles ou de dommages matériels. Cette probabilité dépendra des réponses apportées à des questions
telles que :
a) Un tel événement s’est-il déjà produit ou s’agit-il d’un cas isolé ?
b) Quel autre matériel ou élément similaire pourrait présenter des défauts semblables ?
c) Combien de membres du personnel d’exploitation ou de maintenance suivent les procédures en

question ou y sont soumis ?
d) Pendant quel pourcentage du temps le matériel suspect ou la procédure douteuse sont-ils utilisés ?
e) Dans quelle mesure existe-t-il des conséquences au niveau de l’organisation, de la gestion ou de la

réglementation, pouvant refléter des menaces plus importantes pour la sécurité publique ?
6.3.10 À partir de ces questions, la probabilité qu’un événement se produise peut être évaluée
comme, par ex. :
a) Peu probable. Parmi les défaillances « peu probables », on trouve les événements isolés et les
risques où le taux d’exposition est très faible ou l’échantillon petit. La complexité des circonstances
nécessaires pour générer une situation d’accident peut être telle qu’il est peu probable que la même
suite d’événements se reproduise. Par ex., il est peu probable que des systèmes indépendants
connaissent une défaillance simultanée. Cependant, même si cette possibilité est très mince, les
conséquences de défaillances simultanées peuvent justifier un suivi.
Note.— On a naturellement tendance à attribuer des événements peu probables à une

« coïncidence ». La prudence est de mise. Alors qu’une coïncidence est statistiquement possible,
elle ne devrait pas être utilisée comme excuse pour justifier l’absence d’une analyse.
b) Possible. Des défaillances « possibles » découlent de dangers assortis d’une probabilité raison-
nable qu’il faille s’attendre à des modèles similaires de performance humaine dans des conditions
de travail semblables ou que les mêmes défauts du matériel existent ailleurs dans le système.
c) Probable. De tels événements reflètent un modèle (ou un modèle potentiel) de défaillances maté-
rielles n’ayant pas encore été rectifiées. Étant donné la conception ou la maintenance du matériel,
sa résistance dans des conditions d’exploitation connues, etc., une exploitation continue mènerait
certainement à une défaillance. De même, étant donné les preuves empiriques de certains aspects
des performances humaines, on peut s’attendre selon toute probabilité à ce que des personnes
normales travaillant dans des conditions similaires commettent les mêmes erreurs ou soient
susceptibles d’arriver au même résultat de performance indésirable.
Gravité des conséquences des événements
6.3.11 Après avoir déterminé la probabilité de l’événement, il faut évaluer la nature des conséquences
négatives si cet événement se réalisait. Ces conséquences potentielles déterminent le degré d’urgence lié à
la mesure de sécurité requise. S’il existe un risque considérable de conséquences catastrophiques ou si le
risque de blessures, de dommages matériels ou environnementaux graves est élevé, une mesure de suivi
urgente se justifie. L’évaluation de la gravité des conséquences d’un événement pourrait s’appuyer sur les
types de questions suivants :
a) Combien de vies sont menacées ? (Membres du personnel, passagers, passants et grand public.)
b) Quelle est l’ampleur probable des dommages matériels ou financiers ? (Perte directe de biens
pour l’exploitant, dommage à l’infrastructure aérienne, dommages collatéraux à des tiers, incidences
financières et impact économique pour l’État.)
c) Quelle est la probabilité d’un impact environnemental ? (Déversement de carburant ou d’autres

produits dangereux et perturbation physique de l’habitat naturel.)
d) Selon toute probabilité, quels seront les conséquences politiques et/ou l’intérêt des médias ?
Acceptabilité du risque
6.3.12 L’évaluation des risques permet de classer les risques par ordre d’importance par rapport à
d’autres dangers non résolus. Cette étape est cruciale pour décider de façon rationnelle comment répartir
des ressources limitées pour lutter contre les dangers présentant les plus gros risques pour l’organisation.
6.3.13 Établir un ordre de priorité des risques requiert une base rationnelle pour classer un risque par
rapport aux autres. Des critères ou des normes sont nécessaires pour définir ce qu’est un risque acceptable
et ce qu’est un risque inacceptable. En comparant la probabilité de conséquences indésirables à la gravité
potentielle de ces conséquences, il est possible de classer le risque dans une catégorie à l’intérieur d’une
matrice d’évaluation des risques. De nombreuses versions de ce type de matrices sont disponibles dans
des publications. Bien que la terminologie ou les définitions utilisées pour les diverses catégories puissent
varier, ces tableaux reflètent généralement les idées résumées au Tableau 6-1.
Tableau 6-1. Matrice d’évaluation des risques
GRAVITÉ DES CONSÉQUENCES PROBABILITÉ DE L’ÉVÉNEMENT
Définition
dans Définition
l’aviation Signification Valeur qualitative Signification Valeur
Catastrophique Matériel détruit. 5 Fréquente Se produira 5

Nombreux morts. probablement
souvent
Dangereuse Forte réduction des 4 Occasionnelle Se produira 4

marges de sécurité, probablement de
souffrance physique temps en temps
ou charge de travail
telle qu’on ne peut
plus être sûr que les
opérateurs fourniront
un travail précis ni
complet. Blessures
graves ou décès de
plusieurs personnes.
Importants dégâts
matériels.
Majeure Forte réduction des 3 Faible Peu probable, mais 3

marges de sécurité, possible
perte de capacité des
opérateurs à faire
face à des conditions
d’exploitation
négatives suite à une
augmentation de la
charge de travail en
raison de conditions
limitant leur efficacité.
Incident grave.
Personnes blessées.
Mineure Désagrément. 2 Improbable Très peu probable 2

Limitation de
l’exploitation.
Recours à des
procédures
d’urgence. Incident
mineur.
Négligeable Peu de 1 Extrêmement Presque impensable 1

conséquences improbable que l’événement se
produise
6.3.14 Dans cette version de matrice d’évaluation des risques :
a) La gravité du risque est déclinée en catastrophique, dangereuse, majeure, mineure ou négligeable,

avec chaque fois une description de la gravité potentielle des conséquences. Comme mentionné au
§ 6.3.13, on peut utiliser d’autres définitions reflétant la nature de l’opération analysée.
b) La probabilité d’un événement est également ventilée en cinq niveaux de définitions qualitatives, et
des descriptions sont fournies pour chaque degré de probabilité.
c) Des valeurs numériques peuvent être attribuées pour pondérer l’importance relative de chaque
niveau de gravité et de probabilité. On peut alors déduire une évaluation composite des risques afin
de faciliter leur comparaison en multipliant les valeurs de gravité et de probabilité.
6.3.15 Après avoir utilisé une matrice des risques pour attribuer des valeurs aux risques, il est possible
de donner plusieurs valeurs pour classer les risques comme acceptables, indésirables et inacceptables. Ces
termes sont expliqués ci-dessous :
• Acceptable signifie qu’aucune mesure ne doit être prise (à moins que le risque puisse être réduit
davantage à peu de frais ou avec peu d’efforts).
• Indésirable (ou tolérable) signifie que les personnes concernées sont prêtes à vivre avec ce risque
afin de jouir de certains avantages, à condition que le risque soit atténué le plus possible.
• Inacceptable signifie qu’étant donné les circonstances présentes, l’exploitation doit cesser jusqu’à
ce que le risque soit ramené au moins au niveau tolérable.
6.3.16 Dans une approche moins numérique de détermination de l’acceptabilité de certains risques,
on examine notamment les facteurs suivants :
a) La gestion. Le risque correspond-t-il à la politique et aux normes de l’entreprise en matière de sécurité ?
b) Les implications financières. La nature du risque fait-elle échec à tout mode de résolution rentable ?
c) L’aspect juridique. Le risque est-il conforme aux normes réglementaires en vigueur et aux moyens
d’exécution ?
d) L’aspect culturel. Comment le personnel de l’organisation et d’autres parties prenantes percevra-t-il

ce risque ?
e) Le marché. La compétitivité et le bien-être de l’organisation vis-à-vis d’autres organisations seront-ils

compromis si le risque n’est ni réduit ni éliminé ?
f) L’aspect politique. Y aura-t-il un prix politique à payer si le risque n’est ni réduit ni éliminé ?
g) L’opinion publique. Quelle sera l’influence des médias ou de groupements d’intérêts sur l’opinion
publique concernant ce risque ?
6.4 ATTÉNUATION DU RISQUE
6.4.1 En matière de risque, la sécurité absolue n’existe pas. Les risques doivent être ramenés au
niveau « le plus faible que l’on puisse raisonnablement atteindre » (ALARP). Cela signifie qu’il faut faire la
part des choses entre, d’un côté, le risque et, d’un autre côté, le temps, le coût et la difficulté liés à l’adoption
de mesures visant à réduire ou éliminer le risque.
6.4.2 Lorsque le risque a été jugé indésirable ou inacceptable, des mesures de contrôle doivent être
prises : l’urgence sera à la mesure de l’ampleur du risque. Le niveau de risque peut être diminué en réduisant
la gravité des conséquences potentielles, en limitant la probabilité d’un événement ou l’exposition à ce risque.
6.4.3 La solution optimale dépendra des circonstances et des exigences locales. Pour élaborer une
mesure de sécurité adéquate, il faut comprendre la pertinence des moyens de défense existants.
Analyse des moyens de défense
6.4.4 Les moyens de défense mis en place pour protéger les personnes, les biens ou l’environnement
constituent un élément important de tout système de sécurité. Ces moyens de défense peuvent être utilisés
pour :
a) réduire la probabilité d’événements non désirés ;
b) réduire la gravité des conséquences liées à tout événement non désiré.
6.4.5 Les moyens de défense peuvent être classés en deux catégories, à savoir :
a) Les moyens de défense physiques. Ceux-ci recouvrent entre autres des objets qui découragent
ou empêchent un acte inapproprié ou encore atténuent les conséquences des événements (par ex.
des contacteurs d’interdiction de rentrée du train au sol, des cache-interrupteurs, des cloisons pare-feu,
du matériel de survie, des avertissements et des alarmes).
b) Les moyens de défense administratifs. Il s’agit notamment des procédures et des pratiques
atténuant la probabilité d’un accident (par ex., la réglementation en matière de sécurité, les SOP, la
supervision et l’inspection ainsi que les compétences personnelles).
6.4.6 Avant de choisir des stratégies appropriées d’atténuation des risques, il est important de
comprendre pourquoi le système de défense existant était inadapté. À cette fin, il peut être intéressant de se
poser la série de questions que voici :
a) Existait-il des moyens de défense contre de tels dangers ?
b) Ont-ils fonctionné comme prévu ?
c) Étaient-ils faciles à utiliser dans les conditions de travail réelles ?
d) Le personnel concerné était-il conscient des risques et des moyens de défense existants ?
e) Faut-il davantage de mesures d’atténuation des risques ?
Stratégies d’atténuation du risque
6.4.7 En matière d’atténuation du risque, il existe un éventail de stratégies disponibles. Par ex. :
a) Éviter l’exposition. Les tâches, pratiques, opérations ou activités présentant un risque sont évitées
parce que ce risque dépasse les avantages.
b) Réduire les pertes. Des mesures sont prises pour réduire la fréquence des événements dangereux
ou l’ampleur de leurs conséquences.
c) Isoler l’exposition (séparation ou duplication). Des mesures sont prises pour isoler les effets du
risque ou instaurer une redondance afin de se protéger contre les risques, c.-à-d. de réduire la gravité
de ceux-ci (par ex., se prémunir contre les dommages collatéraux en cas de défaillance du matériel
ou prévoir des systèmes de secours visant à réduire la probabilité d’une défaillance totale du
système).
Recherche d’idées
6.4.8 Il n’est pas simple de trouver les idées nécessaires à l’élaboration de mesures appropriées
d’atténuation des risques. Cela requiert souvent de la créativité, de l’ingéniosité et, surtout, une ouverture
d’esprit permettant d’envisager toutes les solutions possibles. La réflexion de ceux qui sont les plus proches
du problème (habituellement ceux qui ont la plus grande expérience) est souvent teintée d’habitudes et de
préjugés naturels. Une large participation, avec des représentants des différentes parties concernées, aide
à vaincre des attitudes rigides. Pour résoudre efficacement les problèmes dans un monde complexe, il est
essentiel d’être innovant. Il faudrait soigneusement peser le pour et le contre de toutes les nouvelles idées
avant de les rejeter.
Évaluer les options d’atténuation du risque
6.4.9 L’évaluation des options d’atténuation des risques montre qu’elles n’ont pas toutes le même
potentiel de réduction des risques. Il faut évaluer l’efficacité de chaque option avant de pouvoir prendre une
décision. Pour trouver une solution optimale, il est important de prendre en considération tout l’éventail des
mesures de contrôle possibles et d’envisager des compromis entre différentes mesures. Chaque option
d’atténuation des risques devrait être examinée sous les angles suivants :
a) Efficacité. Va-t-elle réduire ou éliminer les risques identifiés ? Jusqu’à quel point les autres options
atténuent-elles les risques ? L’efficacité peut être considérée comme se situant dans une réalité à
divers degrés, ces degrés étant :
1) le niveau un (mesures d’ingénierie) : la mesure de sécurité élimine le risque, par ex. en

prévoyant des dispositifs de verrouillage pour empêcher l’activation de l’inverseur de poussée
en vol ;
2) le niveau deux (mesures de contrôle) : la mesure de sécurité accepte le risque mais modifie le
système pour l’atténuer en le réduisant à un niveau gérable, par ex. en imposant des conditions
d’exploitation plus restrictives ;
3) le niveau trois (mesures relatives au personnel) : la mesure de sécurité adoptée accepte que le
danger ne puisse être ni éliminé (niveau un) ni contrôlé (niveau deux), de telle sorte qu’il faut
apprendre au personnel comment y faire face, notamment en ajoutant un avertissement, une
liste de vérification révisée ou une formation supplémentaire ;
b) Coûts/avantages. Les avantages que semble présenter l’option l’emportent-ils sur son coût ? Les
bénéfices potentiels seront-ils proportionnels aux incidences du changement requis ?
c) Faisabilité. Est-ce faisable et approprié technologiquement, financièrement et administrativement

ainsi que du point de vue de la législation et des réglementations en vigueur, de la volonté politique,
etc. ?
d) Mise en question. La mesure d’atténuation du risque peut-elle résister à l’examen critique de

toutes les personnes concernées (personnel, direction, actionnaires/pouvoirs publics, etc.) ?
e) Acceptabilité pour chaque partie concernée. Quel degré d’acceptation (ou de résistance) peut être
attendu de la part des parties concernées ? (Des discussions avec celles-ci au cours de la phase
d’évaluation des risques peuvent indiquer quelle est leur option préférée d’atténuation des risques.)
f) Caractère exécutoire. Si de nouvelles règles (SOP, règlements, etc.) sont appliquées, ont-elles un
caractère exécutoire ?
g) Durabilité. La mesure résistera-t-elle à l’épreuve du temps ? Sera-t-elle bénéfique temporairement

ou aura-t-elle une utilité à long terme ?
h) Risques résiduels. Après la mise en œuvre de la mesure d’atténuation des risques, quels seront
les risques résiduels associés au danger initial ? Quelle est la capacité d’atténuer tout risque résiduel ?
i) Nouveaux problèmes. Quels nouveaux problèmes ou nouveaux risques (peut-être plus importants)
seront introduits par le changement proposé ?
6.4.10 Il est évident qu’il faut accorder la préférence aux mesures correctrices qui élimineront
complètement le risque. Malheureusement, ces solutions sont souvent les plus onéreuses. Dans l’autre cas
extrême, lorsque la volonté ou les ressources de l’organisation sont insuffisantes, le problème est souvent
transmis au service en charge de la formation pour apprendre au personnel comment faire face aux risques.
Dans de tels cas, il se peut que la direction évite de prendre des décisions difficiles en déléguant la
responsabilité du risque à des subordonnés.
6.5 COMMUNICATION DU RISQUE
6.5.1 La communication des risques englobe tous les échanges de renseignements relatifs aux
risques, c.-à-d. toutes les communications publiques ou privées informant d’autres personnes quant à
l’existence, la nature, la forme, la gravité ou l’acceptabilité des risques. Les besoins en information des
groupes suivants peuvent requérir une attention particulière :
a) la direction doit être avertie de tous les risques présentant un potentiel de pertes pour l’organi-
sation ;
b) les personnes exposées aux risques identifiés doivent être avisées de leur gravité et de la probabi-
lité qu’ils se concrétisent ;
c) ceux qui ont identifié le danger ont besoin d’un retour d’informations sur la mesure proposée ;
d) les personnes concernées par toute modification prévue doivent être informées à la fois des
dangers et du raisonnement qui sous-tend la mesure prise ;
e) les autorités de réglementation, les fournisseurs, les associations de l’industrie aéronautique, le

grand public, etc., peuvent avoir besoin d’informations sur des risques spécifiques ;
f) les parties prenantes peuvent aider le(s) décideur(s) si les risques sont communiqués rapidement
de manière honnête, objective et compréhensible. Une communication efficace des risques (et des
projets destinés à les résoudre) ajoute de la valeur au processus de gestion des risques.
6.5.2 Si les leçons tirées en matière de sécurité ne sont pas communiquées clairement et en temps
utile, la politique de la direction visant à promouvoir une culture positive de la sécurité s’en trouvera
décrédibilisée. Pour que les messages de sécurité soient crédibles, il faut qu’ils correspondent aux faits, aux
déclarations précédentes de la direction et aux messages des autres autorités. Ces messages doivent être
exprimés dans un langage compréhensible pour les parties concernées.
6.6 ASPECTS DE LA GESTION DES RISQUES

POUR LES ADMINISTRATIONS PUBLIQUES
6.6.1 Les techniques de gestion des risques ont des conséquences pour les administrations publiques
dans des domaines allant de l’élaboration de politiques aux décisions « acceptation/refus » auxquelles sont
confrontés les inspecteurs de première ligne de l’aviation civile, notamment en ce qui concerne :
a) La politique générale. Jusqu’à quel point un État doit-il accepter les formalités administratives de
certification d’un autre État ?
b) La modification de la réglementation. Comment les décisions sont-elles prises à partir de toutes

les recommandations (souvent contradictoires) en matière de changement de réglementation ?
c) La fixation des priorités. Comment détermine-t-on les domaines de sécurité auxquels il faut
accorder une importance particulière lors des audits de supervision de la sécurité ?
d) La gestion opérationnelle. Comment les décisions sont-elles prises lorsque les ressources dispo-
nibles sont insuffisantes pour mener à bien toutes les activités prévues ?
e) Les inspections opérationnelles. En première ligne, comment les décisions sont-elles prises
quand des erreurs cruciales sont découvertes en dehors des heures de travail normales ?
Situations justifiant une gestion des risques par les administrations publiques
6.6.2 Certaines situations devraient alerter les administrations publiques de l’aviation quant au besoin
éventuel d’appliquer des méthodes de gestion des risques, par ex. :
a) les jeunes entreprises ou les entreprises à croissance rapide ;
b) les fusions d’entreprises ;
c) les entreprises au bord de la faillite ou en proie à d’autres difficultés financières ;
d) les entreprises confrontées à de graves conflits sociaux ;
e) l’introduction de nouveau matériel important par un exploitant ;
f) la certification d’un nouveau type d’aéronef, d’un nouvel aéroport, etc. ;
g) l’introduction d’un nouveau matériel ou de nouvelles procédures de communication, navigation ou

surveillance ;
h) des modifications considérables du Règlement de l’Air ou d’autres lois pouvant avoir des incidences
sur la sécurité de l’aviation.
6.6.3 La gestion du risque par les administrations publiques sera influencée par des facteurs tels que :
a) le temps disponible pour prendre la décision (d’immobiliser un aéronef, de révoquer un permis

d’exploitation, etc.) ;
b) les ressources disponibles pour appliquer les mesures nécessaires ;
c) le nombre de personnes touchées par les mesures requises (toute la société, toute la flotte, le
niveau régional, national, international, etc.) ;
d) l’impact potentiel de la décision d’action (ou d’inaction) de l’administration publique ;
e) la volonté culturelle et politique de prendre la mesure requise.
Avantages de la gestion des risques pour les administrations publiques
6.6.4 Le recours à des techniques de gestion des risques lors de la prise de décisions présente des
avantages pour les administrations publiques. En voici quelques exemples :
a) éviter des fautes coûteuses au cours du processus décisionnel ;
b) garantir que tous les aspects du risque sont identifiés et pris en considération lors de la prise de
décisions ;
c) garantir que les intérêts légitimes des parties prenantes concernées sont pris en compte ;
d) donner aux décideurs une base solide pour défendre le bien-fondé de leurs décisions ;
e) faciliter l’explication des décisions aux parties prenantes et au grand public ;
f) permettre d’importantes économies de temps et d’argent.

Page blanche
Chapitre 7
COMPTES RENDUS DE DANGERS ET D’INCIDENTS
7.1 INTRODUCTION AUX SYSTÈMES DE COMPTES RENDUS
7.1.1 Les systèmes de gestion de la sécurité englobent l’identification réactive et proactive des
dangers pour la sécurité. Les enquêtes sur les accidents permettent d’en apprendre beaucoup sur les
dangers pour la sécurité. Mais, heureusement, les accidents d’aviation sont des événements rares.
Cependant, ils font généralement l’objet d’une enquête plus approfondie que les incidents. Lorsque des
initiatives de sécurité ne se basent que sur des données d’accidents, elles pâtissent de la petitesse de
l’échantillon de cas. Par conséquent, ce sont peut-être les mauvaises conclusions qui seront tirées ou des
mesures correctives inappropriées qui seront prises.
7.1.2 Les recherches qui ont abouti à la règle 1/600 ont montré que les incidents étaient nettement
plus nombreux que les accidents pour des types d’événements comparables. Les causes et facteurs
contributifs liés aux incidents peuvent également déboucher sur des accidents. Souvent, seule la chance
empêche un incident de se transformer en accident. Malheureusement, ces incidents ne sont pas toujours
connus des personnes responsables de la réduction et de l’élimination des risques associés, peut-être
parce qu’il n’existe pas de systèmes de comptes rendus ou parce que le personnel n’est pas suffisamment
encouragé à faire rapport sur les incidents.
Valeur des systèmes de comptes rendus en matière de sécurité
7.1.3 Les leçons tirées d’incidents peuvent aider à bien comprendre les dangers pour la sécurité. Une
fois cette réalité admise, plusieurs types de systèmes de comptes rendus d’incidents ont été mis au point.
Certaines bases de données sur la sécurité contiennent une grande quantité d’informations détaillées. Les
systèmes contenant les informations tirées des enquêtes sur les accidents et les incidents peuvent être
regroupés avec les bases de données sur la sécurité sous le concept général de « systèmes de collecte et
de traitement des données sur la sécurité » (SDCPS). Le concept SDCPS fait référence aux systèmes de
traitement et de comptes rendus, aux bases de données, aux systèmes d’échanges d’informations ainsi
qu’aux informations enregistrées et il inclut les dossiers d’enquêtes sur les accidents et les incidents, les
systèmes obligatoires de comptes rendus d’incidents, les systèmes volontaires de comptes rendus
d’incidents et les systèmes d’auto-divulgation (y compris les systèmes automatiques et manuels de saisie
de données). Bien que les incidents ne fassent pas l’objet d’enquêtes approfondies, les informations
empiriques qu’ils fournissent peuvent s’avérer très utiles pour bien comprendre les perceptions et les
réactions des pilotes, des équipages de cabine, des AME, des ATCO et du personnel d’aérodrome.
7.1.4 Les systèmes de comptes rendus sur la sécurité ne devraient pas se limiter aux seuls incidents
mais devraient pouvoir couvrir les dangers, c.-à-d. les conditions dangereuses qui n’ont pas encore causé
d’incident. Par exemple, certaines organisations disposent de programmes de comptes rendus de
conditions jugées insatisfaisantes du point de vue du personnel expérimenté (les Rapports d’état non
satisfaisant, sur des défectuosités techniques potentielles). Dans certains États, des systèmes de comptes
rendus de difficultés constatées en service (SDR) identifient efficacement les dangers pour la navigabilité.
Le regroupement des données de tels rapports sur les dangers et les incidents constitue une source
importante d’expérience pour étayer d’autres activités de gestion de la sécurité.
7-1
7.1.5 Les données provenant des systèmes de comptes rendus d’incidents peuvent faciliter la
compréhension des causes des dangers, aider à définir des stratégies d’intervention et à vérifier l’efficacité
de ces interventions. Les incidents peuvent, en fonction du degré de détail des enquêtes menées à leur
sujet, constituer un moyen unique d’obtenir des personnes concernées des preuves originales sur les
facteurs liés aux incidents. Les auteurs des comptes rendus peuvent décrire les relations entre les stimuli et
leurs actions. Ils peuvent donner leur interprétation des effets des divers facteurs affectant leur performance,
comme la fatigue, les interactions interpersonnelles et les distractions. En outre, nombre d’entre eux sont à
même de faire de bonnes suggestions en matière de mesures correctives. Des données d’incidents ont
également été utilisées pour améliorer les procédures d’exploitation, la conception des affichages et des
commandes ainsi que pour mieux comprendre les performances humaines associées à l’exploitation de
l’aéronef, à l’ATC et aux aérodromes.
1
Exigences de l’OACI
7.1.6 L’OACI exige des États qu’ils établissent un système obligatoire de comptes rendus d’incidents
pour faciliter la collecte de renseignements sur les insuffisances réelles ou éventuelles en matière de sécu-
rité. De plus, les États sont encouragés à créer un système volontaire de comptes rendus d’incidents et à
adapter leurs lois, règlements et politiques afin que le programme volontaire :
a) facilite la collecte de renseignements qui peuvent ne pas être recueillis au moyen d’un système
obligatoire de comptes rendus d’incidents ;
b) soit non punitif ;
c) assure la protection des sources d’information.
7.2 TYPES DE SYSTÈMES DE COMPTES RENDUS D’INCIDENTS
7.2.1 En général, un incident suppose une condition ou un événement dangereux ou potentiellement

dangereux sans blessure grave ni dommage matériel important, c.-à-d. ne remplissant pas les critères de
définition d’un accident. Lorsqu’un incident se produit, les personnes concernées peuvent être tenues ou
non de remettre un compte rendu. Les exigences de compte rendu varient selon la législation de l’État où
l’incident a eu lieu. Même si la loi ne l’impose pas, les exploitants peuvent exiger la remise d’un compte
rendu de l’événement à l’organisation.
Systèmes obligatoires de comptes rendus d’incidents
7.2.2 Dans un système obligatoire, les individus sont tenus de faire rapport sur certains types
d’incidents. Pour cela, il faut une réglementation détaillée indiquant qui doit rédiger les comptes rendus et
quels incidents doivent en faire l’objet. Dans l’exploitation aérienne, le nombre de variables est tellement
élevé qu’il est difficile de fournir une liste complète des éléments ou conditions justifiant un compte rendu.
Par exemple, la perte d’un système hydraulique sur un aéronef n’en comportant qu’un seul est critique, alors
qu’elle ne l’est peut-être pas sur un aéronef équipé de trois ou quatre de ces systèmes. Ce qui constitue un
1. Cf. l’Annexe 13, Chapitre 8.

Chapitre 7. Comptes rendus de dangers et d’incidents 7-3
problème relativement mineur dans certaines circonstances peut entraîner une situation dangereuse dans
d’autres circonstances. Toutefois, la règle devrait être : « Dans le doute, signalez-le ».
7.2.3 Dans la mesure où les systèmes obligatoires concernent principalement les questions de
« matériel », ils tendent à collecter plus d’informations sur les défaillances techniques que sur les perfor-
mances humaines. Pour permettre de surmonter ce problème, les États disposant de systèmes obligatoires
de comptes rendus bien développés mettent en place des systèmes volontaires de comptes rendus
d’incidents visant à obtenir plus d’informations sur les aspects des facteurs humains liés à ces événements.
Systèmes volontaires de comptes rendus d’incidents
7.2.4 L’Annexe 13 recommande que les États introduisent des systèmes volontaires de comptes
rendus d’incidents afin de compléter les informations obtenues grâce aux systèmes obligatoires de comptes
rendus. Dans de tels systèmes, la personne faisant rapport rédige un compte rendu volontaire d’incident
sans qu’il n’existe la moindre obligation légale ou administrative de le faire. Dans un système volontaire de
comptes rendus, les autorités de réglementation peuvent prévoir des mesures d’incitation à faire rapport.
Par exemple, une mesure coercitive peut être levée si des infractions involontaires sont signalées. Les
informations signalées ne devraient pas être utilisées contre les auteurs des comptes rendus, c.-à-d. que de
tels systèmes doivent être non punitifs pour encourager le signalement de ces informations.
Systèmes confidentiels de comptes rendus
7.2.5 Les systèmes confidentiels de comptes rendus visent à protéger l’identité de l’auteur du compte
rendu. C’est une manière de garantir que les systèmes volontaires de comptes rendus soient non punitifs.
La confidentialité est habituellement réalisée par désidentification, souvent en n’enregistrant aucune
information identifiante concernant l’événement. Un système de ce type renvoie à l’utilisateur la partie
identifiante du formulaire de compte rendu et aucune trace de ces renseignements n’est conservée. Les
systèmes confidentiels de comptes rendus d’incidents facilitent la révélation des erreurs humaines sans
embarras ou crainte de sanctions et permettent aux autres de tirer des leçons d’erreurs passées.
7.3 PRINCIPES POUR DES SYSTÈMES EFFICACES

DE COMPTES RENDUS D’INCIDENTS
7.3.1 Les individus hésitent bien évidemment à faire rapport sur leurs erreurs auprès de l’organisation
qui les emploie ou de leur ministère de tutelle. Trop souvent, les enquêteurs apprennent à la suite d’un
événement que de nombreuses personnes étaient conscientes de l’existence des conditions dangereuses
avant que l’événement ne se produise. Toutefois, pour diverses raisons, elles n’avaient pas fait rapport sur
ces dangers perçus, peut-être pour les motifs suivants :
a) embarras vis-à-vis des pairs ;
b) auto-incrimination, surtout si elles étaient responsables d’avoir créé la condition dangereuse ;
c) mesures de rétorsion de leur employeur pour s’être exprimé ;
d) sanction (telle qu’une mesure coercitive) infligée par l’autorité de réglementation.
7.3.2 L’application des principes décrits aux § 7.3.3 à 7.3.12 aide à surmonter la résistance naturelle à
déposer des comptes rendus de sécurité.
Confiance
7.3.3 Les personnes rendant compte d’incidents doivent avoir la certitude que l’organisation (État
ou compagnie) n’utilisera pas les informations contre elles de quelque manière que ce soit. Sans cette
confiance, elles ne seront pas enclines à rendre compte de leurs fautes ou d’autres dangers qu’elles ont
observés.
7.3.4 La confiance se construit dès la conception et la mise en œuvre du système de comptes rendus.
La contribution du personnel à l’élaboration d’un système de comptes rendus est donc vitale. Une culture
positive de la sécurité au sein de l’organisation génère la confiance nécessaire à la réussite d’un système
de comptes rendus d’incidents. Cette culture doit surtout être tolérante à l’erreur et juste. En outre, les
systèmes de comptes rendus d’incidents doivent être perçus comme équitables dans la manière dont ils
traitent les erreurs ou les fautes involontaires. (La plupart des individus n’attendent pas d’un système de
comptes rendus d’incidents qu’il exempte les actes criminels ou les infractions délibérées de poursuites
judiciaires ou de mesures disciplinaires.) Certains États considèrent un tel processus comme un exemple de
« culture juste ».
Non punitif
7.3.5 Les systèmes non punitifs de comptes rendus reposent sur la confidentialité. Avant que les
membres du personnel rendent librement compte d’incidents, ils doivent avoir reçu de l’autorité de
réglementation ou de la direction l’engagement que les informations signalées ne seront pas utilisées contre
eux à des fins punitives. La personne faisant rapport de l’incident (ou de la condition dangereuse) doit avoir
la certitude que tout ce qu’elle dit restera confidentiel. Dans certains États, les lois relatives à « l’accès à
l’information » rendent la confidentialité de plus en plus difficile à garantir. Dans de tels cas, les informations
signalées tendent à se limiter au minimum pour remplir les exigences de compte rendu obligatoire.
7.3.6 Il est parfois fait référence aux systèmes anonymes de comptes rendus. Les comptes rendus
anonymes sont différents des comptes rendus confidentiels. Les systèmes de comptes rendus qui
fonctionnent le mieux disposent de l’une ou l’autre possibilité de rappel afin de confirmer les détails ou
d’obtenir une meilleure compréhension de l’événement. Faire rapport de manière anonyme ne permet pas
de « rappeler » l’auteur pour s’assurer que ses informations ont bien été comprises et sont complètes. Le
danger existe, en outre, que les comptes rendus anonymes soient utilisés à des fins autres que la sécurité.
Large base de compte rendu
7.3.7 Les premiers systèmes volontaires de comptes rendus s’adressaient aux équipages de conduite.
Les pilotes sont bien placés pour observer un large spectre du système aéronautique et sont donc à même
de faire des remarques sur la santé de ce système. Néanmoins, les systèmes de comptes rendus
d’incidents se concentrant uniquement sur le point de vue des équipages de conduite tendent à renforcer
l’idée que tout se résume à des erreurs de pilotage. Adopter une approche systémique de la gestion de la
sécurité requiert que les informations sur la sécurité soient obtenues auprès de toutes les parties associées
à l’exploitation.
7.3.8 Dans les systèmes de comptes rendus d’incidents gérés par l’État, la collecte d’informations sur
le même événement à partir de différents points de vue aide à se forger une idée plus complète des
événements. Par exemple, l’ATC commande à un aéronef de « remettre les gaz » parce qu’un véhicule de
maintenance se trouve sur la piste sans autorisation. Il est certain que le pilote, l’ATCO et le conducteur du
véhicule n’auront pas vu la situation de la même façon. S’appuyer sur une seule manière de voir les choses
peut ne pas donner une vue d’ensemble de l’événement.
Indépendance
7.3.9 Idéalement, les systèmes volontaires de comptes rendus d’incidents de l’État devraient être
gérés par une organisation distincte de l’administration de l’aviation responsable de l’application des régle-
mentations aériennes. L’expérience de plusieurs États a montré que les comptes rendus volontaires tirent
avantage de l’attribution de la gestion du système à une « tierce partie » de confiance. Cette tierce partie
reçoit, traite et analyse les comptes rendus d’incidents et fournit les résultats à l’administration de l’aviation
et à la communauté de l’aviation. Avec les systèmes obligatoires de comptes rendus, il peut être impossible
de recourir à une tierce partie. Néanmoins, il est souhaitable que l’administration de l’aviation s’engage
clairement à ce que toute information reçue ne soit utilisée qu’à des fins de sécurité. Le même principe
s’applique à une compagnie ou à tout autre exploitant du secteur aéronautique qui utilise les comptes
rendus d’incidents dans le cadre de son système de gestion de la sécurité.
Facilité de compte rendu
7.3.10 La procédure de dépôt de comptes rendus d’incidents devrait être la plus facile possible. Des
formulaires de compte rendu devraient être faciles à obtenir afin que toute personne qui le souhaite puisse
faire rapport sans difficulté. Ces formulaires devraient être faciles à remplir, offrir suffisamment d’espace
pour une description de l’événement et encourager les suggestions quant aux manières d’améliorer la
situation ou d’éviter que l’événement ne se répète. Pour simplifier le travail de compte rendu, on peut utiliser
un système de cases à cocher pour classer les informations comme le type d’opération, les conditions de
luminosité, le type de plan de vol et les conditions météorologiques.
Accusé de réception
7.3.11 Rendre compte d’un événement demande du temps et de l’énergie et il faudrait donc envoyer un
accusé de réception approprié. Afin de favoriser la transmission d’autres comptes rendus, un État joint un
formulaire vierge à son accusé de réception. En outre, l’auteur attend bien naturellement des informations en
retour quant aux mesures prises en réaction aux préoccupations de sécurité contenues dans son rapport.
Publicité
7.3.12 Les informations (désidentifiées) reçues via un système de comptes rendus d’incidents
devraient être mises à la disposition de la communauté de l’aviation dans les meilleurs délais. Ceci pourrait
se faire sous forme de bulletins mensuels ou de résumés périodiques. L’idéal serait d’employer diverses
méthodes afin d’assurer la plus grande diffusion possible. De telles activités de publicité peuvent aider à
motiver les individus à faire rapport sur d’autres incidents.
7.4 SYSTÈMES INTERNATIONAUX DE COMPTES RENDUS D’INCIDENTS
Système de comptes rendus d’accident/incident de l’OACI (ADREP)
7.4.1 En vertu de l’Annexe 13, les États font rapport à l’OACI sur tous les accidents d’avion impliquant
un aéronef dont la masse maximale certifiée au décollage est supérieure à 2 250 kg. L’OACI collecte
également des informations sur les incidents d’aéronefs (concernant les aéronefs de plus de 5 700 kg)
considérés comme importants en matière de sécurité et de prévention des accidents. Ce système de comptes
rendus est connu sous le nom d’ADREP. Les États transmettent des données spécifiques à l’OACI dans un
format prédéterminé (et codé). Une fois les rapports ADREP reçus, les informations sont vérifiées et stockées
sur support informatique pour constituer une banque de données des événements de par le monde.
7.4.2 L’OACI n’exige pas des États qu’ils enquêtent sur les incidents. Cependant, si un État mène une
enquête sur un incident grave, il est tenu de transmettre les données formatées à l’OACI. Les types
d’incidents graves intéressant l’OACI sont :
a) les défaillances multiples des systèmes ;
b) les incendies ou fumées à bord d’un aéronef ;
c) les incidents relatifs au dégagement du terrain ou à l’évacuation des obstacles ;
d) les problèmes de commandes et de stabilité de vol ;
e) les incidents au décollage et à l’atterrissage ;
f) l’incapacité soudaine de l’équipage de conduite ;
g) la décompression ;
h) les quasi-collisions et autres incidents graves de la circulation aérienne.
Centre européen de coordination des systèmes de comptes rendus d’incidents

2
en navigation aérienne (ECCAIRS)
7.4.3 Plusieurs autorités européennes de l’aviation ont collecté des informations sur les accidents et
les incidents aériens. Toutefois, le nombre d’événements importants dans les différents États n’était généra-
lement pas suffisant pour donner une indication rapide des dangers potentiellement graves ou pour identifier
des tendances pertinentes. Étant donné que de nombreux États disposaient de formats incompatibles de
stockage des informations, la mise en commun des informations de sécurité était presque impossible. Pour
améliorer cette situation, l’Union européenne (UE) a adopté des exigences en matière de compte rendu
d’événements et mis en place la base de données de sécurité ECCAIRS. L’objectif de ces décisions était de
renforcer la sécurité aérienne en Europe grâce à une détection précoce des situations potentiellement
dangereuses. ECCAIRS dispose notamment de capacités d’analyse et de présentation des informations
dans une multitude de formats. Il est compatible avec certains autres systèmes de comptes rendus d’incidents,
comme l’ADREP. Plusieurs États non européens ont également choisi de mettre en œuvre ECCAIRS pour
profiter de taxonomies communes, etc.
7.5 SYSTÈMES NATIONAUX VOLONTAIRES DE COMPTES RENDUS D’INCIDENTS
7.5.1 Plusieurs États gèrent avec succès des systèmes volontaires de comptes rendus d’incidents
utilisant des caractéristiques communes. Deux de ces systèmes sont décrits aux § 7.5.2 à 7.5.5.
2. Pour plus d’informations sur ECCAIRS, voir leur site web à l’adresse http://eccairs-www.jrc.it.
3
Système de compte rendu pour la sécurité de l’aviation (ASRS)
7.5.2 Les États-Unis gèrent un vaste système de comptes rendus des événements de l’aviation connu
sous le nom d’Aviation Safety Reporting System (ASRS, ou Système de compte rendu pour la sécurité de
l’aviation). L’ASRS fonctionne indépendamment de l’Administration fédérale de l’aviation (FAA) et est géré
par l’Administration nationale de l’aéronautique et de l’espace (NASA). Les pilotes, les ATCO, les équipages
de cabine, les AME, le personnel au sol et d’autres personnes participant à l’exploitation aérienne peuvent
faire rapport lorsque la sécurité de l’aviation est considérée comme menacée. Des exemples de formulaires
de compte rendu sont disponibles sur le site web de l’ASRS.
7.5.3 Les comptes rendus envoyés à l’ASRS sont tout à fait confidentiels. Ils sont tous désidentifiés
avant d’être intégrés à la base de données. Tous les noms des personnes et des organisations sont
supprimés. Les dates, les heures et les informations connexes, qui pourraient révéler une identité, sont soit
généralisées soit retirées. Les données ASRS sont utilisées pour :
a) identifier les dangers systémiques du système national d’aviation pour que les autorités compétentes
prennent des mesures correctives ;
b) appuyer l’élaboration et la planification de politiques au sein du système national d’aviation ;
c) soutenir la recherche et les études dans le domaine de l’aviation, y compris la recherche sur la
sécurité concernant les facteurs humains ;
d) communiquer des informations afin de promouvoir la prévention des accidents.
7.5.4 La FAA reconnaît l’importance des comptes rendus volontaires d’incidents pour la sécurité
de l’aviation et offre à leurs auteurs qui les envoient à l’ASRS une certaine immunité par rapport aux
mesures coercitives en levant les sanctions pour les infractions involontaires. Avec actuellement plus de
300 000 comptes rendus disponibles, cette base de données aide la recherche sur la sécurité de l’aviation
— surtout en ce qui concerne les facteurs humains.
Programme confidentiel de comptes rendus sur les incidents liés

4
aux facteurs humains (CHIRP)
7.5.5 Le CHIRP (Confidential Human Factors Incident Reporting Programme) contribue à renforcer la
sécurité des vols au Royaume-Uni en fournissant un système confidentiel de comptes rendus pour toutes
les personnes travaillant dans l’aviation. Il complète le système obligatoire de comptes rendus des événe-
ments qui existe au Royaume-Uni. Les caractéristiques importantes du CHIRP sont entres autres :
a) l’indépendance par rapport à l’autorité de réglementation ;
b) une grande accessibilité (équipages de conduite, ATCO, AME titulaires d’une licence, équipages de
cabine et communauté générale de l’aviation) ;
3. L’adresse du site web de l’ASRS est http://asrs.arc.nasa.gov.

4. Le site web du CHIRP peut être consulté à l’adresse suivante : http://www.chirp.co.uk
c) la confidentialité des informations relatives à l’identité des auteurs des comptes rendus ;
d) une analyse par des responsables de la sécurité expérimentés ;
e) l’existence de bulletins largement diffusés afin d’améliorer les normes de sécurité en échangeant
des informations sur la sécurité ;
f) la participation de représentants du CHIRP à différents organes de sécurité de l’aviation pour aider

à résoudre les questions systémiques de sécurité.
7.6 SYSTÈMES DE COMPTES RENDUS DES COMPAGNIES
En plus des systèmes (obligatoires et volontaires) de comptes rendus d’incidents gérés par l’État, nombre
de compagnies aériennes, de fournisseurs de services ATS et d’exploitants d’aérodromes utilisent des
systèmes « internes » de comptes rendus de dangers et d’incidents. Si tous les membres du personnel (pas
seulement les équipages de conduite) peuvent rédiger des comptes rendus, les systèmes internes
contribuent à la promotion d’une culture positive de la sécurité à l’échelle de la compagnie. Le Chapitre 16
comporte un examen plus approfondi des systèmes internes de comptes rendus de dangers et d’incidents.
7.7 MISE EN ŒUVRE DES SYSTÈMES DE COMPTES RENDUS D’INCIDENTS
7.7.1 S’il est mis en œuvre dans un environnement de travail non punitif, un système de comptes
rendus d’incidents peut largement contribuer à créer une culture positive de la sécurité. En fonction de la
taille de l’organisation, la méthode de comptes rendus d’incidents et de dangers la plus opportune est
d’utiliser les « documents » existants, comme les rapports de sécurité et de maintenance. Cependant, le
volume des rapports augmentant, il faudra recourir à l’un ou l’autre système informatisé pour gérer cette
tâche.
Que signaler ?
7.7.2 Tout danger susceptible de causer des dommages matériels ou des lésions corporelles ou
menaçant la viabilité de l’organisation devrait faire l’objet d’un compte rendu. Dangers et incidents devraient
être signalés si on pense que :
a) quelque chose peut être fait pour renforcer la sécurité ;
b) d’autres membres du personnel de l’aviation pourraient en tirer des leçons ;
c) le système et ses moyens inhérents de défense n’ont pas fonctionné « comme prévu ».
7.7.3 Bref, un événement doit être signalé même en cas de doute sur son importance pour la sécurité.
(Les incidents et les accidents devant faire l’objet d’un compte rendu en vertu des lois et des
réglementations nationales régissant ce sujet devraient également être intégrés dans la base de données
de comptes rendus d’un exploitant.) L’Appendice 2 au Chapitre 16 donne des exemples des types
d’événements qui devraient être signalés dans le cadre du système de comptes rendus d’incidents d’un
exploitant.
Qui devrait faire rapport ?
7.7.4 Pour être efficaces, les systèmes de comptes rendus d’incidents devraient s’appuyer sur un
large éventail de membres du personnel. Pour des événements spécifiques, les perceptions de divers
participants ou témoins peuvent être très différentes les unes des autres — mais toutes pertinentes. Les
systèmes nationaux volontaires de comptes rendus d’incidents devraient encourager la participation des
équipages de conduite et de cabine, des ATCO, du personnel des aéroports et des AME.
Méthode et format des comptes rendus
7.7.5 La méthode et le format choisis pour un système de comptes rendus n’ont que peu d’importance
tant qu’ils encouragent le personnel à signaler tous les dangers et incidents. Le processus de compte rendu
devrait être le plus simple possible et bien documenté, avec entre autres des détails expliquant sur quoi, où
et quand faire rapport.
7.7.6 Dans la conception des formulaires de compte rendu, la mise en page devrait faciliter la trans-
mission des informations. Il faudrait prévoir suffisamment d’espace pour encourager les auteurs à décrire
les mesures correctrices suggérées. Voici quelques autres facteurs à prendre en considération dans la
conception d’un système et de formulaires de compte rendu :
a) comme les membres du personnel d’exploitation ne sont généralement pas très prolixes, le
formulaire devrait être aussi court que possible ;
b) les auteurs des comptes rendus n’étant pas des analystes de la sécurité, les questions devraient
être posées avec des mots simples et usuels ;
c) des questions non directives devraient être utilisées plutôt que des questions orientant les
réponses. (Des questions non directives sont par ex. : Que s’est-il passé ? Pourquoi ? Quelle solution
a été apportée ? Qu’est-ce qui devrait être fait ?) ;
d) il faut parfois des questions incitatives pour amener les auteurs à réfléchir aux « défaillances du
système » (par ex. leur proximité par rapport à un accident) et à leurs stratégies de gestion des
erreurs ;
e) l’accent devrait être mis sur la détection et la résolution d’une situation ou d’une condition dangereuse ;
f) les auteurs devraient être encouragés à tirer les leçons générales de sécurité inhérentes au compte
rendu, comme la manière dont l’organisation et le système aéronautique pourraient en tirer profit.
7.7.7 Quelle que soit la source ou la méthode de dépôt du compte rendu, une fois l’information reçue,
elle doit être stockée de manière à pouvoir être facilement extraite et analysée.
7.7.8 L’Appendice 1 au présent chapitre contient des indications relatives aux restrictions d’utilisation
des données provenant des systèmes volontaires de comptes rendus d’incidents.
————————
RESTRICTIONS D’UTILISATION DES DONNÉES

PROVENANT DES SYSTÈMES VOLONTAIRES
DE COMPTES RENDUS D’INCIDENTS
Il faut faire attention en utilisant les données provenant de comptes rendus volontaires d’incidents. Quand ils
tirent des conclusions basées sur ces données, les analystes devraient tenir compte des restrictions suivantes :
a) Informations non validées. Dans certains États, les comptes rendus confidentiels peuvent faire
l’objet d’une enquête complète et des informations issues d’autres sources peuvent être utilisées
pour faire la lumière sur l’incident. Cependant, vu les dispositions relatives à la confidentialité
contenues dans les petits programmes (comme les systèmes de comptes rendus des compagnies),
il est difficile d’assurer un suivi adéquat d’un compte rendu sans compromettre l’identité de son
auteur. Une grande partie des informations signalées ne peuvent donc pas être validées.
b) A priori des auteurs. Deux facteurs peuvent fausser les comptes rendus volontaires d’incidents :
l’auteur et le sujet du compte rendu. Divers facteurs alimentant la subjectivité des comptes rendus
volontaires d’incidents sont répertoriés ci-dessous :
1) les auteurs doivent bien connaître le système de comptes rendus et avoir accès aux formulaires
ou aux numéros de téléphone adéquats ;
2) la motivation des auteurs à faire rapport peut varier en raison des facteurs suivants :
— le niveau d’engagement envers la sécurité ;
— la sensibilisation au système de comptes rendus ;
— la perception des risques associés (conséquences locales ou systémiques) ;
— les conditions d’exploitation (certains types d’incidents mobilisent davantage l’attention que
d’autres) ;
— le déni ou l’ignorance des effets sur la sécurité, le souhait de cacher le problème ou la peur
de reproches voire d’une mesure disciplinaire (malgré les garanties certifiant le contraire) ;
3) les divers groupes professionnels voient tous les choses différemment, tant pour interpréter le
même événement que pour décider de ce qui est important ;
4) les auteurs doivent avoir conscience d’un incident pour transmettre un compte rendu. Les
erreurs non détectées ne sont pas signalées.
c) Formulaires de compte rendu. Généralement, les formulaires de compte rendu d’incidents génèrent
des partis pris (y compris des préjugés contre le principe même du compte rendu). En voici
quelques exemples :
7-APP 1-1
1) Un formulaire de compte rendu doit être suffisamment succinct et simple à remplir pour
encourager le personnel opérationnel à l’utiliser. Le nombre de questions doit donc être limité.
2) Des questions totalement ouvertes (c.-à-d. uniquement narratives) peuvent faire obstacle à
l’obtention de données utiles.
3) Les questions peuvent guider l’auteur mais elles peuvent également déformer ses perceptions
en l’amenant à des conclusions partiales.
4) L’éventail des événements possibles est tellement large qu’un formulaire structuré et normalisé
ne peut pas contenir toutes les informations. (Les analystes peuvent donc être amenés à
prendre contact avec l’auteur pour obtenir des informations spécifiques.)
d) Bases de données des comptes rendus d’incidents. Les informations doivent être classées
selon une structure prédéterminée de mots clés ou de définitions pour être intégrées dans la base
de données et en être extraites ultérieurement. Habituellement, ce travail introduit des partis pris
dans les bases de données, ce qui en compromet l’utilité. Exemples :
1) contrairement aux paramètres objectifs et physiques de vol, les descriptions des événements et
les attributions causales sont plus subjectives ;
2) la classification requiert un système de mots clés ou de définitions prédéterminés, faussant ainsi

la base de données, par ex. :
— les comptes rendus sont analysés pour « correspondre » aux mots clés. Les détails ne
correspondant pas sont ignorés ;
— il est impossible de créer une liste exhaustive des mots clés servant à classer les
informations ;
— les mots clés sont présents ou non, donnant une médiocre approximation du monde réel ;
— les informations étant extraites en fonction de la manière dont elles sont stockées, la classi-
fication détermine les paramètres de sortie. Par ex., si « défaillance technique » n’apparaît
pas parmi les mots clés, ce terme ne sera jamais trouvé comme cause d’incidents dans la
base de données ;
— le système de classification engendre une « prédiction autoréalisatrice ». Par ex., de

nombreux systèmes de comptes rendus d’incidents faussent la classification par mots clés
pour la CRM. Par conséquent, la CRM est souvent citée comme étant à la fois la cause du
problème et sa solution (une formation supplémentaire en CRM remédiera à la carence
perçue en CRM) ;
3) une grande partie des informations de la base de données n’est jamais extraite après avoir été
saisie ;
4) étant donné le caractère général des mots clés, l’analyste doit souvent revenir au compte rendu
original pour comprendre les détails contextuels.
e) Fréquence relative des événements. Comme les systèmes volontaires de comptes rendus
d’incidents ne reçoivent pas le type d’informations nécessaire au calcul de taux utiles, toute tenta-
tive de considérer l’incident du point de vue de sa fréquence par rapport à d’autres événements
ChapItre 7. Comptes rendus de dangers et d’incidents — Appendice 1 7-APP 1-3
sera au mieux une hypothèse émise en connaissance de cause. Pour établir des comparaisons
valables quant à la fréquence, trois types de données sont nécessaires : le nombre de personnes
faisant réellement l’expérience d’incidents similaires (pas seulement les incidents signalés), le
pourcentage de population risquant de vivre des événements semblables et la mesure de la période
examinée.
f) Analyse des tendances. On n’a pas vraiment réussi à réaliser des analyses sérieuses de
tendances des paramètres les plus subjectifs enregistrés dans les bases de données des comptes
rendus d’incidents En voici quelques raisons :
1) difficultés d’utilisation d’informations structurées ;
2) limites de saisie du contexte de l’incident via des mots clés ;
3) niveaux inadéquats de détails et de précision des données enregistrées ;
4) problèmes de fiabilité d’un compte rendu par rapport à l’autre ;
5) difficultés de fusionner des données provenant de différentes bases de données ;
6) difficultés à formuler des requêtes pertinentes pour la base de données.

Page blanche
Chapitre 8
ENQUÊTES DE SÉCURITÉ
Enquête. Activités menées en vue de prévenir les accidents, qui comprennent la

collecte et l’analyse de renseignements, l’exposé des conclusions, la détermina-
tion des causes et, s’il y a lieu, l’établissement de recommandations de sécurité.
Annexe 13
8.1 INTRODUCTION
8.1.1 L’efficacité des systèmes de gestion de la sécurité dépend de la réalisation d’enquêtes et

d’analyses sur les questions de sécurité. La valeur d’un accident, d’un danger ou d’un incident en termes de
sécurité est largement proportionnelle à la qualité du travail d’enquête.
Enquêtes de l’État
Accidents
8.1.2 Les accidents fournissent des preuves éclatantes et irréfutables de la gravité des dangers. Trop
souvent, il faut qu’une organisation ait fait l’expérience de la nature catastrophique et extrêmement coûteuse
des accidents pour qu’elle se décide à allouer des ressources en vue de réduire ou d’éliminer les conditions
dangereuses jusqu’à un niveau qu’elle n’aurait pas atteint en d’autres circonstances.
8.1.3 Par définition, les accidents causent des dommages matériels et/ou des lésions corporelles. Se
limiter à enquêter sur les seuls résultats des accidents et non sur les dangers et les risques qui les
provoquent, c’est être réactif. Les enquêtes réactives ne sont guère efficaces du point de vue de la sécurité
car elles sont susceptibles de négliger des conditions dangereuses latentes présentant des risques
considérables pour la sécurité.
8.1.4 Une enquête sur un accident devrait donc cibler une maîtrise efficace des risques. Si l’enquête
est dirigée non plus sur « la chasse au coupable » mais sur une réelle atténuation des risques, elle
encouragera la coopération entre les personnes concernées par l’accident, ce qui facilitera la découverte
des causes sous-jacentes. L’intérêt à court terme de trouver un coupable est préjudiciable à l’objectif à long
terme de prévenir de futurs accidents.
Incidents graves
8.1.5 Le terme « incident grave » est employé pour les incidents que la chance a empêchés de
devenir des accidents, par exemple une quasi-collision ou un quasi-abordage. Vu leur gravité, de tels
incidents devraient faire l’objet d’une enquête approfondie. Certains États traitent ces incidents graves
8-1
comme des accidents. Ils recourent donc à une équipe d’enquête sur les accidents pour mener une enquête
comprenant la publication d’un rapport final et la transmission à l’OACI d’un compte rendu de données
d’incident ADREP. Ce type d’enquête exhaustive sur les incidents présente l’avantage de fournir la même
qualité d’informations sur les dangers que les enquêtes sur les accidents.
Enquêtes internes
8.1.6 La plupart des événements liés à la sécurité ne justifient pas la tenue d’enquêtes par les
autorités nationales d’enquête ou de réglementation. Bon nombre d’incidents ne doivent même pas être
signalés à l’État. Néanmoins, de tels incidents peuvent indiquer l’existence de dangers potentiellement
graves — peut-être des problèmes systémiques qui ne seront révélés que si l’événement fait l’objet d’une
véritable enquête.
8.1.7 Pour chaque accident ou incident grave, il se produira certainement des centaines d’événements
mineurs dont beaucoup sont susceptibles de provoquer un accident. Il est important d’examiner tous les
dangers et incidents signalés, de décider lesquels devraient faire l’objet d’une enquête et de déterminer le
niveau d’enquête qui leur sera appliqué.
8.1.8 Pour les enquêtes internes, l’équipe d’enquêteurs peut requérir l’aide de spécialistes en fonction
de la nature de l’événement concerné, par ex. :
a) des spécialistes de la sécurité en cabine pour des turbulences en vol, de la fumée ou des émanations
dans la cabine, un incendie dans les offices, etc. ;
b) des experts en services de la circulation aérienne en cas de perte de séparation, de quasi-

collisions, d’encombrement des fréquences, etc. ;
c) des techniciens de maintenance pour des incidents impliquant des défaillances du matériel ou du
système, de la fumée ou un incendie, etc. ;
d) des experts capables de donner des conseils en gestion des aéroports pour des incidents avec
dommages causés par un corps étranger (FOD), pour le déneigement et le dégivrage, l’entretien du
terrain d’aviation, la circulation des véhicules, etc.
8.2 PORTÉE DES ENQUÊTES DE SÉCURITÉ
8.2.1 Jusqu’à quel point faut-il enquêter sur les comptes rendus d’incidents mineurs et de dangers ?
L’étendue de l’enquête devrait dépendre des conséquences réelles ou potentielles de l’événement ou du
danger. Les comptes rendus de dangers ou d’incidents indiquant un potentiel de risque élevé devraient faire
l’objet d’enquêtes plus approfondies que ceux qui présentent un faible potentiel de risque.
8.2.2 L’enquête devrait aller jusqu’au niveau de détail requis pour identifier clairement les dangers
sous-jacents et les valider. Pour comprendre pourquoi quelque chose s’est produit, il faut bien saisir tout le
contexte de l’événement. Pour acquérir cette compréhension des conditions dangereuses, l’enquêteur
devrait adopter une approche systémique, éventuellement en se basant sur le modèle SHEL décrit au
Chapitre 4. Comme les ressources sont généralement limitées, l’effort déployé devrait être proportionnel à
l’avantage que l’on pense en tirer en matière de potentiel d’identification des dangers et des risques
systémiques pour l’organisation.
Chapitre 8. Enquêtes de sécurité 8-3
8.2.3 Bien que l’enquête doive se concentrer sur les facteurs ayant le plus probablement influencé les
actions, la frontière entre pertinence et non-pertinence est souvent floue. Des données qui ne semblent pas
de prime abord liées à l’enquête peuvent ensuite s’avérer pertinentes une fois que l’on comprend mieux les
liens entre les différents éléments de l’événement.
8.3 SOURCES D’INFORMATIONS
Les informations pertinentes pour une enquête de sécurité peuvent être obtenues auprès d’une multitude de
sources, dont :
a) Un examen physique du matériel employé lors de l’événement lié à la sécurité. Il peut porter sur le
matériel de première ligne utilisé, ses composants, les postes de travail et le matériel employé par
le personnel d’appui (par ex. les ATCO, le personnel de maintenance et d’entretien courant).
b) Les documents couvrant un large éventail d’aspects de l’exploitation, par ex. :
1) les états et les journaux de maintenance ;
2) les dossiers personnels/les carnets de route ;
3) les permis et les licences ;
4) les dossiers du personnel interne et les dossiers de formation ainsi que les horaires de travail ;
5) les manuels et les SOP de l’exploitant ;
6) les manuels et les programmes de formation ;
7) les données et les manuels des constructeurs ;
8) les dossiers des autorités de réglementation ;
9) les prévisions, données et informations météorologiques ;
10) les documents de planification des vols.
c) Les enregistrements (des enregistreurs de bord, radars et cassettes audio ATC, etc.). Ils peuvent
apporter des informations utiles pour déterminer la chronologie des événements. Outre les enregis-
trements traditionnels des données de vol, les enregistreurs de maintenance dans les aéronefs de
nouvelle génération sont une éventuelle source supplémentaire d’informations.
d) Les entretiens avec des personnes directement ou indirectement mêlées à l’événement lié à la
sécurité. Ils peuvent constituer une source principale d’informations pour toutes les enquêtes. En
l’absence de données mesurables, les entretiens sont parfois la seule source d’informations.
e) Les observations directes d’actions réalisées par des membres du personnel opérationnel ou de
maintenance dans leur environnement de travail. Elles peuvent apporter des informations sur des
conditions dangereuses potentielles. Néanmoins, les personnes observées doivent être conscientes
de l’objectif de ces observations.
f) Les simulations. Elles permettent la reconstitution d’un événement et peuvent aider à mieux
comprendre la succession des faits ayant conduit à l’événement et la manière dont le personnel a
réagi à cet événement. On peut avoir recours à des simulations informatiques pour reconstituer
les événements sur la base de données extraites d’enregistreurs de bord, de cassettes ATC,
d’enregistrements radar et d’autres preuves matérielles.
g) Les conseils de spécialistes. Les enquêteurs ne peuvent pas être experts dans tous les domaines
liés à l’environnement opérationnel. Il est important qu’ils prennent conscience de leurs limites. Le
cas échéant, ils doivent être prêts à consulter d’autres professionnels au cours d’une enquête.
h) Les bases de données sur la sécurité. On peut trouver des informations complémentaires utiles
dans des bases de données sur les accidents/incidents, les systèmes internes de comptes rendus
des dangers et des incidents, les programmes confidentiels de comptes rendus, les systèmes de
surveillance des services de ligne (par ex. analyse des données de vol, programmes LOSA et
NOSS), les bases de données des constructeurs, etc.
8.4 ENTRETIENS
8.4.1 Les informations obtenues grâce à des entretiens peuvent contribuer à clarifier le contexte des
conditions et actes dangereux. Ils peuvent être utilisés pour corroborer, clarifier ou étoffer les informations
provenant d’autres sources. Les entretiens peuvent servir à déterminer « ce qui s’est passé ». Plus
important encore, ils sont souvent le seul moyen de répondre aux importantes questions du « pourquoi », ce
qui, à son tour, peut faciliter la formulation de recommandations de sécurité appropriées et efficaces.
8.4.2 Lors de la préparation de l’entretien, la personne qui conduira l’entretien doit s’attendre à ce que
les personnes interviewées aient perçu les choses et se les rappellent de manière différente. Les détails
d’une défectuosité du système signalée par le personnel d’exploitation peuvent ne pas être les mêmes que
ceux observés par le personnel de maintenance au cours d’une vérification longue escale. Les supérieurs
hiérarchiques et les directeurs peuvent avoir une perception des choses différente de celle du personnel
opérationnel. La personne qui conduit l’entretien doit accepter tous les points de vue comme étant dignes
d’une analyse plus approfondie. Toutefois, même des témoins qualifiés, expérimentés et bien intentionnés
pourraient avoir des souvenirs erronés des événements. En fait, il pourrait y avoir lieu de douter de la
validité des informations reçues si plusieurs personnes interrogées au sujet du même événement ne
présentaient pas des points de vue différents.
Conduite des entretiens
8.4.3 Un enquêteur efficace s’adapte à ces divergences de points de vue, en restant objectif et en
évitant d’évaluer trop tôt le contenu de l’entretien. Un entretien est une situation dynamique et l’enquêteur
compétent sait quand il doit insister dans une approche et quand il doit changer son fusil d’épaule.
8.4.4 Pour atteindre les meilleurs résultats, les enquêteurs recourront certainement au processus
suivant :
a) une préparation et planification minutieuses de l’entretien ;
b) la conduite de l’entretien selon une structure logique et bien planifiée ;
c) l’évaluation des informations recueillies dans le contexte de toutes les autres informations connues.
L’Appendice 1 au présent chapitre donne des indications supplémentaires pour mener des entretiens
efficaces.
Mise en garde quant aux entretiens avec des témoins
8.4.5 Les entretiens avec des témoins livrent souvent des versions divergentes des faits. Il faut donc
être prudent lorsqu’on en établit une synthèse. Intuitivement, un enquêteur peut juger de la valeur d’un entretien
en fonction de l’histoire personnelle et de l’expérience de la personne interrogée. Toutefois, les personnes
considérées comme « de bons témoins » peuvent se laisser influencer par leur expérience (c.-à-d. qu’elles
voient et entendent ce à quoi elles « s’attendent »). Par conséquent, leur description des événements peut
être déformée. D’un autre côté, des personnes n’ayant aucune connaissance sur un événement auquel
elles ont assisté sont souvent capables de décrire avec précision la chronologie des faits. Elles peuvent
s’avérer plus objectives dans leurs observations.
8.4.6 L’enquêteur compétent ne se fie pas exagérément à un seul témoin — même si celui-ci est un
expert. Il faut plutôt intégrer des informations provenant du plus grand nombre de sources possible pour se
forger une idée précise de la situation.
8.5 MÉTHODOLOGIE D’ENQUÊTE
8.5.1 La phase de l’enquête qui se déroule sur le terrain sert à identifier et à valider les dangers
perçus pour la sécurité. Il faut une analyse de la sécurité de qualité pour évaluer les risques et des
communications efficaces pour maîtriser ces risques. En d’autres termes, une gestion efficace de la sécurité
requiert une approche intégrée des enquêtes de sécurité.
8.5.2 Certains événements et dangers proviennent de défaillances du matériel et apparaissent dans

des conditions environnementales très particulières. Cependant, la majorité des conditions dangereuses
sont le produit d’erreurs humaines. Quand on examine l’erreur humaine, il faut bien comprendre les
conditions qui peuvent avoir influencé les performances ou les décisions humaines. Ces conditions
dangereuses peuvent être le signe de dangers systémiques faisant peser un risque sur tout le système
aéronautique. Conformément à l’approche systémique de la sécurité, une approche intégrée des enquêtes
de sécurité examine tous les aspects pouvant avoir contribué au comportement dangereux ou créé des
conditions dangereuses.
8.5.3 La Figure 8-1 décrit le déroulement logique d’un processus intégré d’enquêtes de sécurité — la
Méthodologie intégrée d’enquête de sécurité (ISIM). L’utilisation de ce type de modèle peut guider les
enquêteurs depuis la notification initiale d’un danger ou d’un incident jusqu’à la communication des leçons
tirées en matière de sécurité.
8.5.4 Les enquêtes efficaces ne suivent pas un processus simple par étapes depuis le début de ce
processus jusqu’à son terme en progressant directement de phase en phase. Elles suivent plutôt un
processus itératif pouvant exiger des retours en arrière et la répétition de certaines phases après la collecte
de nouvelles données et/ou l’aboutissement à des conclusions.
8.6 ENQUÊTES SUR LES ASPECTS DE LA PERFORMANCE HUMAINE
8.6.1 Les enquêteurs ont relativement bien réussi à analyser les données mesurables concernant la
performance humaine, par ex. les exigences de force pour déplacer un manche à balai, les exigences
d’éclairage pour lire un affichage et les exigences de température ambiante et de pression. Malheureu-
sement, la majorité des carences de sécurité découlent de problèmes qui ne sont pas simples à mesurer et
Évaluer la notification et décider

Notification et évaluation du
de mener une enquête ou non
danger ou de l’événement
Processus de collecte des données Identifier les événements et

les facteurs sous-jacents
Succession de faits Reconstituer la suite logique des faits

ayant mené à l’événement
Analyser les faits et déterminer

Enquête intégrée les conclusions concernant
les facteurs et les dangers
sous-jacents
Estimer le risque et
déterminer l’acceptabilité Processus d’évaluation des risques
de chaque danger
Identifier les moyens

de défense manquants Analyse des moyens de défense
ou inadéquats
Identifier et évaluer
les possibilités de Analyse de la maîtrise des risques
maîtrise des risques
Communiquer aux parties

prenantes les messages Processus de communication sur la sécurité
relatifs à la sécurité
Figure 8-1. Méthodologie intégrée d’enquête de sécurité (ISIM)

ne sont donc pas entièrement prévisibles. En conséquence, les informations disponibles ne permettent pas
toujours à un enquêteur de tirer des conclusions irréfutables.
8.6.2 Divers facteurs réduisent généralement l’efficacité de l’analyse de la performance humaine. Il

s’agit notamment :
a) du manque de données normatives sur la performance humaine, à utiliser comme référence pour
évaluer le comportement individuel observé ;
Note.— Les données FDA, LOSA et NOSS fournissent une base permettant de mieux
comprendre les performances quotidiennes normales dans l’exploitation aérienne.
b) du manque de méthodologie pratique pour établir une généralisation à partir des expériences d’un
individu (membre de l’équipage ou de l’équipe) afin de comprendre les effets probables sur une
grande population exécutant des tâches similaires ;
c) de l’absence d’une base commune d’interprétation des données sur la performance humaine dans
les nombreuses disciplines (par ex. ingénierie, exploitation et gestion) représentées dans la commu-
nauté de l’aviation ;
d) de la facilité avec laquelle les êtres humains s’adaptent à différentes situations, ce qui complique
encore la détermination de ce qui constitue une défaillance de la performance humaine.
8.6.3 La logique nécessaire à une analyse convaincante de certains des phénomènes les moins
tangibles de la performance humaine diffère de celle qui est requise pour d’autres aspects d’une enquête.
Les méthodes déductives sont relativement faciles à présenter et mènent à des conclusions probantes. Par
ex., un cisaillement du vent mesuré a causé une perte calculée de performance d’un aéronef et on pourrait
conclure que ce cisaillement du vent a dépassé la capacité de performance de l’aéronef. De tels liens
directs de cause à effet ne sont pas si aisés à établir pour certains aspects de la performance humaine
comme le relâchement de la vigilance, la fatigue, la distraction ou le jugement. Par ex., si une enquête
révélait qu’un membre de l’équipage a commis une erreur ayant entraîné un événement dans des conditions
particulières (comme le relâchement de la vigilance, la fatigue ou la distraction), on ne pourrait pas néces-
sairement en déduire que l’erreur a été commise à cause de ces conditions préalables. Une telle conclusion
reposerait inévitablement sur une part d’hypothèses. La viabilité de ce genre de conclusions empiriques est
à la mesure de la qualité du processus de raisonnement utilisé et de la solidité des preuves disponibles.
8.6.4 Un raisonnement inductif s’appuie sur des probabilités. Des conclusions peuvent être tirées des
explications les plus probables ou les plus plausibles des événements comportementaux. Les conclusions
inductives peuvent toujours être contestées et leur crédibilité dépend du poids des preuves qui les étayent.
Par conséquent, elles doivent être fondées sur une méthode de raisonnement cohérente et acceptée.
8.6.5 L’analyse des aspects de la performance humaine doit prendre en compte l’objectif de l’enquête
(c.-à-d. comprendre pourquoi quelque chose s’est produit). Les événements liés à la sécurité sont rarement
le résultat d’une cause unique. Bien que des facteurs individuels puissent sembler insignifiants quand ils
sont pris isolément, une fois combinés, ils peuvent déclencher une série de faits ou de conditions aboutissant
à un accident. Le modèle SHEL offre une approche systématique pour examiner les éléments constitutifs du
système ainsi que les interfaces entre eux.
8.6.6 Il est fondamental de saisir le contexte dans lequel les personnes commettent des erreurs afin
de comprendre les conditions dangereuses pouvant avoir influencé leur comportement et leurs décisions.
Ces conditions dangereuses peuvent être des signes de risques systémiques présentant un potentiel
d’accident considérable.
8.7 RECOMMANDATIONS DE SÉCURITÉ
8.7.1 Lorsqu’une enquête identifie des dangers ou des risques non atténués, des mesures de sécurité
sont requises. Le besoin d’agir doit être communiqué au moyen de recommandations de sécurité aux
personnes disposant du pouvoir d’allouer les ressources nécessaires. Si aucune recommandation de
sécurité appropriée n’est formulée, il est possible qu’aucune mesure ne soit prise pour contrer ces risques.
Les personnes chargées de formuler les recommandations de sécurité pourraient s’inspirer des considé-
rations suivantes :
a) Organisme compétent pour prendre des mesures. Qui est le mieux placé pour prendre des
mesures correctrices ? Qui a le pouvoir et les ressources nécessaires pour intervenir ? Idéalement,
les problèmes devraient être abordés au niveau décisionnel le moins élevé possible, comme celui
du département ou de la compagnie par opposition à celui de l’État ou de l’autorité de réglemen-
tation. Toutefois, si plusieurs organisations sont exposées aux mêmes conditions dangereuses, il
peut être justifié d’étendre les mesures recommandées. L’État et les autorités internationales ou les
sociétés multinationales des constructeurs peuvent être les plus aptes à engager les mesures de
sécurité nécessaires.
b) L’objectif et non la manière. Les recommandations de sécurité devraient clairement établir

l’objectif à atteindre et pas la manière d’y arriver. L’important est de communiquer la nature des
risques exigeant des mesures de maîtrise. Il faut éviter les recommandations de sécurité détaillées
exposant avec précision la manière de résoudre le problème. Le directeur responsable devrait être
le mieux placé pour juger des caractéristiques des mesures les plus appropriées dans les conditions
opérationnelles existantes. L’efficacité de toute recommandation sera évaluée à l’aune du degré de
réduction des risques plutôt que du strict respect de leur libellé.
c) Termes généraux ou spécifiques. Étant donné que l’objectif des recommandations de sécurité est
de convaincre les autres qu’une condition dangereuse menace le système en tout ou en partie, des
termes spécifiques devraient être employés pour résumer l’étendue et les conséquences des
risques identifiés. De plus, vu que la recommandation doit préciser l’objectif à atteindre (et non la
manière d’y arriver), il est préférable que la formulation soit concise.
d) Point de vue du destinataire. En matière de recommandation de mesures de sécurité, les

considérations suivantes ont trait au point de vue du destinataire :
1) la recommandation de sécurité s’adresse à l’autorité d’intervention la plus appropriée (c.-à-d.

celle qui dispose de la compétence et du pouvoir pour procéder au changement nécessaire) ;
2) il n’y a pas de surprise (c.-à-d. qu’un dialogue préalable a eu lieu au sujet de la nature des
risques évalués) ;
3) la recommandation explique l’objectif à atteindre tout en laissant à l’autorité d’intervention la

latitude nécessaire pour déterminer la manière d’atteindre au mieux cet objectif.
8.7.2 Les recommandations officielles de sécurité justifient des communications écrites. Un écrit
garantit que les recommandations ne seront pas mal comprises et fournit la base nécessaire à l’évaluation
de l’efficacité de la mise en œuvre. Toutefois, il est important de se rappeler que les recommandations de
sécurité ne sont efficaces que si elles sont appliquées.
————————
TECHNIQUES D’ENTRETIEN
Des conseils supplémentaires pour la conduite d’entretiens efficaces sont énumérés ci-dessous :
a) le rôle de l’enquêteur est d’obtenir de la personne interviewée des informations aussi précises,
complètes et détaillées que possible ;
b) les entretiens, particulièrement ceux faisant intervenir des facteurs de performance humaine,
doivent aller au-delà de la description des faits et de la chronologie de l’événement pour tenter de
découvrir aussi « comment » et « pourquoi » il s’est produit ;
c) la réussite de l’entretien dépendra fortement de la préparation personnelle. Il faut adapter les prépa-
rations à l’entretien ;
d) dans le cadre du suivi d’un incident ou d’un événement de sécurité, les entretiens devraient être
réalisés le plus tôt possible. S’il est impossible de procéder immédiatement à un entretien, demander
une déclaration écrite afin que les informations soient consignées pendant qu’elles sont encore
fraîches dans l’esprit de la personne interviewée ;
e) la réussite de l’entretien dépendra du moment choisi pour poser les questions et de la structure de
celles-ci. Commencez l’entretien par une question de « rappel libre », en laissant la personne parler
de ce qu’elle sait de l’événement ou du sujet concerné. Au fur et à mesure que l’entretien avance,
utilisez un mélange d’autres types de questions, par ex. :
1) Des questions ouvertes ou sous la forme de phrases « non finies ». Ce type de question
suscite des descriptions rapides et précises des événements et débouche sur une participation
accrue de la personne interviewée (par ex., « Vous avez dit tout à l’heure que vous aviez une
formation de... ? »).
2) Des questions spécifiques. Ce type de question est indispensable pour obtenir des informations
détaillées et peut également amener la personne à se souvenir de plus de détails.
3) Des questions fermées. Ce type de question appelle des réponses sous forme de « oui » ou de
« non » (donnant peu d’informations au-delà de la réponse).
4) Des questions indirectes. Ce type de question peut être utile dans des situations délicates (par
ex., « Vous avez dit que le copilote était inquiet à l’idée d’utiliser cette approche. Pourquoi ? ») ;
f) en interrogeant, évitez les questions suggestives, c.-à-d. celles qui contiennent la réponse. Utilisez
plutôt des phrases neutres ;
g) ne prenez aucune information issue de l’entretien pour argent comptant. Servez-vous-en pour
confirmer, éclaircir ou compléter des informations provenant d’autres sources ;
8-APP 1-1
h) dans certaines circonstances, il peut y avoir beaucoup de témoins à interviewer. Les informations
(souvent contradictoires) qui en résultent doivent être résumées, triées et rassemblées dans un
format utile ;
i) pour bien mener un entretien, il faut savoir bien écouter ;
j) il faut garder des traces de tous les entretiens pour consultation future. Ces traces peuvent être des
transcriptions, des résumés d’entretiens, des notes et/ou des enregistrements sur bande magnétique.
Chapitre 9
ANALYSE DE LA SÉCURITÉ ET ÉTUDES

SUR LA SÉCURITÉ
9.1 INTRODUCTION
9.1.1 Seule une analyse de la sécurité permettra de tirer des conclusions valables des grandes
quantités de données de sécurité recueillies et enregistrées grâce à des enquêtes de sécurité et à divers
programmes d’identification des dangers. Pour que la réduction des données à des statistiques devienne utile,
il faut évaluer la signification pratique de ces statistiques afin de définir un problème que l’on puisse résoudre.
1
Exigence de l’OACI
9.1.2 L’OACI a conscience des liens existant entre analyse et gestion de la sécurité et elle encourage
l’analyse des données sur les accidents et les incidents ainsi que l’échange d’informations sur la sécurité.
Après avoir créé des bases de données sur la sécurité et des systèmes de comptes rendus d’incidents, les
États devraient analyser les informations qui figurent dans leurs comptes rendus d’accident/d’incident et
leurs bases de données pour déterminer les mesures préventives qui peuvent être nécessaires. L’OACI
reconnaît également que les études sur la sécurité sont précieuses pour aider à élaborer des recomman-
dations de sécurité.
Analyse de la sécurité — de quoi s’agit-il ?
9.1.3 L’analyse est le processus consistant à classer des faits en utilisant des méthodes, des outils ou
des techniques spécifiques. Elle peut entre autres être utilisée pour :
a) aider à décider quels faits supplémentaires sont nécessaires ;
b) établir les facteurs déterminants et contributifs ;
c) aider à dégager des conclusions valables.
9.1.4 L’analyse de la sécurité est fondée sur des informations factuelles, provenant éventuellement de
plusieurs sources. Les données pertinentes doivent être collectées, classées et stockées. Les méthodes et
les outils analytiques convenant à l’analyse sont ensuite sélectionnés et utilisés. L’analyse de la sécurité est
souvent itérative, requérant des cycles multiples. Elle peut être quantitative ou qualitative. Faute de données
quantitatives de base, on peut être obligé de s’appuyer sur des méthodes d’analyse qualitatives.
Objectivité et parti pris
9.1.5 Il faut tenir compte de toutes les informations pertinentes. Cependant, toutes les informations sur
la sécurité ne sont pas fiables. Les contraintes de temps ne permettent pas toujours la collecte et l’évaluation
1. Voir l’Annexe 13 — Enquêtes sur les accidents et incidents d’aviation.
9-1
de données en suffisance pour garantir l’objectivité. Parfois, des conclusions intuitives peuvent être tirées
qui ne répondent pas au degré d’objectivité requis pour que l’analyse de la sécurité soit crédible.
9.1.6 Nous sommes tous susceptibles de partialité dans nos jugements. Des expériences passées
vont souvent influencer notre jugement, de même que notre créativité, lors de la formulation d’hypothèses.
Une des formes les plus fréquentes d’erreur de jugement est connue sous le nom de « biais de confirmation ».
Il s’agit de la tendance à chercher à retenir les informations confirmant ce que nous tenons déjà pour vrai.
L’Appendice 1 à ce chapitre fournit davantage d’informations permettant de comprendre les partis pris et
leur rôle dans la formulation des conclusions d’une analyse de la sécurité.
9.2 MÉTHODES ET OUTILS ANALYTIQUES
Différentes méthodes sont employées dans l’analyse de la sécurité, certaines étant automatisées et d’autres
pas. En outre, il existe plusieurs outils informatiques (exigeant divers niveaux de compétences pour être
utilisés efficacement). Une partie des méthodes et outils analytiques disponibles sont énumérés ci-dessous :
a) L’analyse statistique. Nombre de méthodes et d’outils analytiques employés dans l’analyse de la

sécurité se basent sur des procédures et des concepts statistiques. Par ex., l’analyse des risques
se sert des concepts de la probabilité statistique. Les statistiques jouent un rôle important dans
l’analyse de la sécurité en contribuant à quantifier les situations, ce qui permet une meilleure
compréhension grâce aux chiffres. Cela donne des résultats plus crédibles, sur lesquels baser une
argumentation convaincante en faveur de la sécurité.
Le type d’analyse de la sécurité réalisé au niveau des systèmes de gestion de la sécurité d’une
compagnie requiert un minimum de compétences pour analyser les données numériques, identifier
les tendances et faire des calculs statistiques élémentaires comme les moyennes arithmétiques, les
percentiles et les médianes. Les méthodes statistiques sont également utiles pour les représen-
tations graphiques des analyses.
Les ordinateurs peuvent traiter de gros volumes de données. La plupart des procédures d’analyse
statistique sont disponibles dans des progiciels commerciaux (par ex. Microsoft Excel). Avec ces
applications, les données peuvent être directement intégrées dans une procédure préprogrammée.
S’il n’est pas nécessaire d’avoir une compréhension détaillée de la théorie statistique sous-tendant
la technique, l’analyste doit saisir le fonctionnement de la procédure et ce que les résultats sont
censés traduire.
Bien que les statistiques soient un outil puissant pour l’analyse de la sécurité, elles peuvent aussi
être utilisées de manière abusive et ainsi mener à des conclusions erronées. Il faut sélectionner et
employer les données avec beaucoup de soin dans l’analyse statistique. Pour s’assurer que les
méthodes plus complexes sont bien appliquées, l’aide d’un spécialiste en analyse statistique peut
s’avérer nécessaire.
b) L’analyse de tendances. En surveillant les tendances des données de sécurité, il est possible
d’émettre des prévisions quant aux événements à venir. Les tendances émergentes peuvent mettre
en évidence des dangers embryonnaires. Les méthodes statistiques peuvent servir à évaluer l’impor-
tance des tendances observées. Il est possible de définir les limites inférieures et supérieures de
performance acceptable auxquelles comparer les performances observées. L’analyse des tendances
peut être employée pour tirer la « sonnette d’alarme » lorsque les performances sont sur le point de
sortir des limites autorisées.
Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-3
c) Les comparaisons normatives. Les données disponibles peuvent être insuffisantes pour fournir
une base factuelle permettant de comparer les circonstances de l’événement ou de la situation
examinés avec l’expérience quotidienne. L’absence de données normatives crédibles compromet
souvent l’utilité des analyses de la sécurité. Dans de tels cas, il peut s’avérer nécessaire d’inclure
dans l’échantillon des expériences réelles ayant eu lieu dans des conditions opérationnelles
semblables. Les programmes FDA, LOSA et NOSS offrent des données normatives précieuses
pour l’analyse de l’exploitation aérienne. Ils sont traités aux Chapitres 16 et 17.
d) Les simulations et tests. Dans certains cas, les dangers sous-jacents pour la sécurité peuvent
devenir manifestes grâce à des tests. Ainsi, des essais en laboratoire peuvent être requis pour
analyser les défauts du matériel. Pour les procédures opérationnelles suspectes, une simulation sur
le terrain dans les conditions réelles d’exploitation ou dans un simulateur peut se justifier.
e) Les groupes d’experts. Étant donné la diversité des dangers pour la sécurité et les différents
points de vue possibles apparaissant dans l’évaluation de toute condition dangereuse particulière, il
faudrait demander l’avis d’autres personnes, notamment de pairs et de spécialistes. Une équipe
multidisciplinaire formée pour examiner les preuves d’une condition dangereuse peut également
aider à l’identification et à l’évaluation des mesures correctrices les plus appropriées.
f) L’analyse coûts/avantages. Il se peut que l’acceptation des mesures recommandées de maîtrise

des risques dépende de l’existence d’analyses coûts/avantages crédibles. Les coûts de la mise en
œuvre des mesures proposées sont comparés aux avantages escomptés au fil du temps. Parfois, il
peut ressortir d’un analyse coûts/avantages qu’il vaut mieux accepter le risque que consacrer du
temps, des efforts et de l’argent à la mise en œuvre de mesures correctrices.
9.3 ÉTUDES SUR LA SÉCURITÉ
9.3.1 C’est grâce à un examen du plus large contexte possible que l’on peut le mieux comprendre
certaines questions de sécurité complexes ou très répandues. Les questions de sécurité à caractère global
peuvent être traitées au niveau de l’industrie aéronautique ou de l’État. Par exemple, l’industrie s’est
inquiétée de la fréquence et de la gravité des accidents à l’approche et à l’atterrissage et elle a entrepris des
études importantes, élaboré de nombreuses recommandations de sécurité et mis en œuvre des mesures
globales de réduction des risques d’accidents pendant les phases de vol critiques que sont l’approche et
l’atterrissage. Pour avancer des arguments convaincants en faveur de changements à grande échelle ou
globaux, il faut des données significatives, une analyse appropriée et une communication efficace. Les
arguments de sécurité fondés sur des événements isolés et des informations empiriques ne passeront pas.
9.3.2 Dans ce manuel, ces analyses de sécurité plus vastes et plus complexes sont appelées « études
sur la sécurité ». Cette dénomination recouvre beaucoup de types d’études et d’analyses menées par les
autorités publiques, les compagnies aériennes, les constructeurs et les associations professionnelles et
sectorielles. L’OACI reconnaît que les recommandations de sécurité peuvent provenir non seulement des
2
enquêtes sur les accidents et les incidents graves mais aussi d’études sur la sécurité . Celles-ci s’appliquent
à l’identification et à l’analyse des dangers dans les opérations aériennes, la maintenance, la sécurité en
cabine, le contrôle de la circulation aérienne, l’exploitation des aérodromes, etc.
9.3.3 Les études sur la sécurité concernant des préoccupations à l’échelle de l’industrie requièrent
généralement un promoteur important. La Fondation pour la sécurité aérienne, en collaboration avec de
grands avionneurs, l’OACI, la NASA et d’autres acteurs clés de l’industrie, a endossé un rôle de premier
2. Cf. l’Annexe 13, Chapitre 8.

plan dans beaucoup de ces études. Les autorités de l’aviation civile de différents États ont également
réalisé des études importantes sur la sécurité et ont ainsi identifié des risques pour la sécurité présentant un
intérêt général. En outre, diverses autorités publiques ont utilisé ces études sur la sécurité pour identifier les
dangers dans leurs systèmes nationaux d’aviation et y remédier. S’il est peu probable que des exploitants
de petite taille ou de taille moyenne entreprennent une vaste étude sur la sécurité, les grands exploitants et
les autorités de réglementation peuvent être associés à l’identification des problèmes de sécurité systémiques.
Sélectionner les sujets des études
9.3.4 Il se peut que les grands exploitants, les constructeurs, les organismes de prévention des
accidents et les autorités de réglementation tiennent des listes de questions de sécurité prioritaires (significant
safety issues lists, ou SIL). (La tenue de ces listes est abordée à la section 9.4.) Ces listes peuvent se baser
sur les taux d’accidents et incidents dans des domaines tels que les incursions sur piste, les avertissements
de proximité du sol, les recommandations du système d’alerte du trafic et d’évitement de collision (TCAS).
Les problèmes de sécurité peuvent être classés par ordre de priorité en fonction des risques qu’ils présentent
pour l’organisation ou l’industrie.
9.3.5 Étant donné le degré de collaboration et d’échanges d’informations nécessaire à la réalisation

d’une enquête efficace sur la sécurité, les problèmes sélectionnés pour être étudiés doivent être largement
approuvés par les participants et les donateurs.
Collecte d’informations
9.3.6 Les méthodes décrites ci-dessous permettent d’obtenir les informations sur lesquelles baser une
étude sur la sécurité :
a) Examen des comptes rendus d’événements. Il est possible d’examiner les événements faisant
l’objet d’une enquête en sélectionnant ceux qui répondent à des caractéristiques prédéfinies, comme
les incursions sur piste ou la fatigue de l’équipage. En passant en revue tout le matériel classé
disponible, on peut identifier des éléments spécifiques intéressants à analyser plus en détail.
b) Interviews structurées. Des informations utiles peuvent être obtenues grâce à des interviews
structurées. Certes, les interviews peuvent prendre du temps mais elles offrent la possibilité de
recueillir des informations de qualité, même si l’échantillon n’est pas statistiquement représentatif.
Leur réussite dépendra de la capacité de l’analyste à tirer des données utiles des grandes quantités
d’informations empiriques.
c) Enquêtes de terrain dirigées. Les enquêtes sur des événements relativement mineurs (pouvant
normalement ne pas faire l’objet d’une enquête) peuvent révéler suffisamment d’informations
supplémentaires pour permettre une analyse plus approfondie. Bien que peu de ces enquêtes,
prises individuellement, contribuent vraiment à la connaissance collective des facteurs concourant
à de tels événements, ensemble, elles peuvent mettre au jour des modèles de comportement
compromettant la sécurité de l’exploitation.
d) Étude documentaire. Que les problèmes de sécurité à l’examen concernent certains éléments du
matériel, de la technologie, de la maintenance, des aspects de la performance humaine, des
facteurs environnementaux ou des questions d’organisation et de gestion, beaucoup de choses ont
sans aucun doute déjà été écrites sur le sujet. Avant d’entamer une étude sur la sécurité, il peut être
opportun d’effectuer une étude documentaire sur la question concernée. Une utilisation prudente
d’Internet peut apporter des informations à profusion.
Chapitre 9. Analyse de la sécurité et études sur la sécurité 9-5
e) Témoignage d’experts. Il peut être justifié de nouer un contact direct avec des experts reconnus.
Ceux-ci peuvent être contactés de façon informelle ou être invités à fournir une contribution plus
officielle par le biais de participations à une audition ou à une enquête publique.
f) Enquêtes publiques. Pour les grandes questions de sécurité devant être considérées sous
plusieurs angles, les autorités publiques peuvent organiser une sorte d’enquête publique. Cela
permet à toutes les parties prenantes (individuellement ou en tant que représentants de groupes
d’intérêts particuliers) de faire connaître leur opinion au cours d’un processus ouvert et impartial.
g) Auditions. Des réunions moins officielles que les enquêtes publiques peuvent être programmées
en vue d’entendre les points de vue différents (et souvent divergents) des acteurs importants de
l’aviation. Contrairement à ce qui se passe pour les enquêtes publiques, les parties intéressées sont
entendues à huis clos car il se peut qu’ainsi leur point de vue soit exprimé plus franchement.
9.4 LISTES DE QUESTIONS DE SÉCURITÉ PRIORITAIRES (SIL)
9.4.1 Parmi les autorités publiques de réglementation, les organismes d’enquête et les grands
exploitants, certains estiment que tenir une liste des questions de sécurité hautement prioritaires est un
moyen efficace de mettre en lumière les domaines justifiant une étude et une analyse supplémentaires. Ces
listes sont connues sous le nom de « listes de questions de sécurité prioritaires » (SIL) ; elles sont
cependant parfois appelées listes « top dix » ou, en anglais, « Most Wanted » (problèmes prioritaires). De
telles listes accordent la priorité aux problèmes de sécurité menaçant le système aéronautique (ou
l’organisation). Par conséquent, elles peuvent être utiles pour identifier des problèmes devant faire l’objet
d’évaluations, d’enquêtes ou d’études sur la sécurité. Pour que ces listes puissent utilement guider le travail
des personnes associées à la gestion de la sécurité, elles ne doivent pas mentionner tous les dangers
perçus. Elles ne devraient pas comporter plus de dix problèmes.
9.4.2 Voici quelques exemples des questions pouvant être incluses dans une telle liste :
a) fréquence des avertissements du dispositif avertisseur de proximité du sol (GPWS) ;
b) fréquence des avertissements du TCAS ;
c) incursions sur piste ;
d) écarts d’altitude (dépassement des limites) ;
e) confusion d’indicatifs d’appel ;
f) approches non stabilisées ;
g) proximités aériennes (quasi-collisions) à certains aérodromes.
9.4.3 Les SIL devraient être révisées et mises à jour chaque année, avec adjonction de nouveaux
problèmes à haut risque et suppression des problèmes présentant un risque moindre.
————————
COMPRENDRE LES PARTIS PRIS1
Le jugement de chacun est influencé par l’expérience personnelle. Malgré la quête d’objectivité, le temps ne
permet pas toujours la collecte et l’évaluation minutieuse de données suffisantes pour garantir l’objectivité.
Sur la base des expériences de notre vie, nous élaborons tous des schémas mentaux qui nous aident
généralement à évaluer des situations de tous les jours de manière « intuitive », sans disposer de toutes
les données factuelles. Malheureusement, bon nombre de ces schémas mentaux reflètent des partis pris
personnels. Un parti pris est la tendance à adopter une réaction bien précise indépendamment de la
situation. Voici quelques exemples de partis pris courants pouvant influencer la validité des analyses de la
sécurité :
a) Partis pris de fréquence. Nous avons tendance à surestimer ou à sous-estimer la probabilité d’un
événement donné parce que notre évaluation est uniquement fondée sur notre expérience person-
nelle. Nous supposons que notre expérience limitée est représentative de la situation globale.
b) Partis pris de sélectivité. Nos préférences personnelles engendrent une tendance à sélectionner
les choses sur la base d’un noyau restreint de faits. Nous sommes enclins à ignorer les faits ne
correspondant pas entièrement au modèle auquel nous nous attendons. Il se peut que nous
concentrions notre attention sur des caractéristiques importantes d’un point de vue physique ou sur
des preuves concrètes (par ex. bruit, luminosité et caractère récent) et ignorions des indices
pouvant apporter des informations plus pertinentes sur la nature de la situation.
c) Parti pris de familiarité. Quelle que soit la situation donnée, nous avons tendance à choisir les
solutions et les schémas auxquels nous sommes le plus habitués. Ces faits et ces processus qui
correspondent à nos modèles mentaux propres (ou idées préconçues) sont plus faciles à assimiler.
Nous avons tendance à faire les choses conformément aux schémas de nos expériences passées,
même si celles-ci n’offrent pas la meilleure solution à la situation donnée. Par ex., la route que nous
choisissons d’emprunter pour aller quelque part n’est peut-être pas toujours la plus judicieuse dans
des circonstances différentes.
d) Partis pris de conformité. Nous sommes enclins à rechercher des résultats qui étayent notre
décision plutôt que des informations qui la contrediraient. Plus notre modèle mental se renforce,
moins nous sommes disposés à accepter les faits qui ne correspondent pas parfaitement à ce que
nous « savons » déjà. Les contraintes de temps peuvent mener à des suppositions erronées qui ne
reflètent pas la réalité présente avec précision.
e) Parti pris de conformité au groupe ou de « pensée de groupe ». Une des déclinaisons du parti
pris de conformité est la « pensée de groupe ». La plupart d’entre nous tendent à être d’accord avec
les décisions de la majorité ; nous cédons aux pressions du groupe pour modeler notre propre
pensée sur celle du groupe. Nous ne voulons pas briser l’harmonie du groupe en remettant en
cause le modèle mental dominant. Il s’agit d’un comportement naturel adopté par commodité.
1. Adapté des Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806)
9-APP 1-1
f) Partis pris d’excès de confiance. Les individus ont tendance à surestimer leur connaissance de la
situation et de ses conséquences. Dès lors, ils concentrent leur attention uniquement sur les
informations qui confirment leur choix et ne tiennent pas compte des preuves qui contredisent leur
point de vue.
Chapitre 10
CONTRÔLE DES PERFORMANCES EN MATIÈRE

DE SÉCURITÉ
10.1 INTRODUCTION
10.1.1 Pour pouvoir boucler le cycle de la gestion de la sécurité, il faut recueillir des retours d’infor-
mations sur les performances en matière de sécurité. Ces retours d’informations permettent d’évaluer la
performance du système et de mettre en œuvre tout changement nécessaire. De plus, tous les intervenants
doivent avoir une indication du niveau de sécurité qui règne au sein d’une organisation, et ce pour diverses
raisons, dont voici quelques exemples :
a) Le personnel peut avoir besoin d’être rassuré quant à la capacité de son organisation à offrir un
environnement de travail sûr.
b) Les cadres hiérarchiques ont besoin de retours d’informations sur les performances en matière de
sécurité afin de pouvoir répartir les ressources entre les objectifs souvent contradictoires de la
production et de la sécurité.
c) Les passagers craignent pour leur vie.
d) La haute direction tente de protéger l’image de la société (et sa part de marché).
e) Les actionnaires souhaitent protéger leur investissement.
10.1.2 Si les acteurs du processus de sécurité d’une organisation souhaitent des retours d’infor-
mations, leurs conceptions de la sécurité varient considérablement. Or, le choix d’indicateurs fiables
permettant de qualifier d’acceptable la performance en matière de sécurité dépend en grande partie de la
conception que l’on a de la sécurité. Par ex. :
a) La haute direction peut viser l’objectif irréaliste de « zéro accident ». Malheureusement, comme les
risques sont inhérents à l’aviation, il y aura toujours des accidents, même si le taux d’accidents peut
être très bas.
b) Les exigences réglementaires définissent normalement des paramètres minimums d’exploitation

« sûre », par ex. des limites de plafond nuageux et de visibilité en vol. Le respect de ces paramètres
contribue à la « sécurité », sans toutefois la garantir.
c) Des mesures statistiques sont souvent utilisées pour indiquer un niveau de sécurité, par ex. le
nombre d’accidents par cent mille heures, ou de morts par millier de secteurs parcourus. Bien que
sans grande valeur intrinsèque, ces indicateurs quantitatifs sont utiles pour évaluer si la sécurité
s’améliore ou se dégrade au fil du temps.
10-1
10.2 « ÉTAT DE SANTÉ » DE LA SÉCURITÉ
10.2.1 Reconnaissant les interactions complexes qui influent sur la sécurité et la difficulté de définir
les pratiques sûres et les pratiques dangereuses, certains experts en sécurité parlent de l’« état de santé
de la sécurité » d’une organisation. L’expression « état de santé de la sécurité » indique le degré de
résistance de l’organisation à des circonstances inattendues ou à des actes imprévus d’individus. Elle
reflète les mesures systémiques mises en œuvre par l’organisation pour se protéger de l’inconnu. De
plus, elle traduit la capacité de l’organisation à s’adapter à l’inconnu. En fait, elle reflète la culture de la
sécurité de l’organisation.
10.2.2 Bien que l’absence d’événements liés à la sécurité (accidents et incidents) ne prouve pas
nécessairement que l’exploitation soit « sûre », certaines opérations sont considérées comme plus « sûres »
que d’autres. La sécurité s’emploie à réduire le risque à un niveau acceptable (ou tout au moins tolérable). Il
est cependant peu probable que le niveau de sécurité d’une organisation soit statique. À mesure qu’une
organisation ajoute des défenses contre des dangers pour la sécurité, on peut considérer que l’ « état de
santé » de sa sécurité s’améliore. Toutefois, divers facteurs (dangers) peuvent compromettre cet « état de
santé » de la sécurité et peuvent exiger l’adoption de mesures supplémentaires pour renforcer la résistance
de l’organisation à l’adversité. La variation du concept d’ « état de santé » de la sécurité d’une organisation
tout au long de son cycle de vie est illustrée à la Figure 10-1.
e
n
tèm
t io
es e
ita
n
c
sé s sys
tio
n
plo
de rie
cu e
rité
vo se
de ndu ’un
la tèm
’ex
l
et pé
c ia
rité
g
de aly
« État de santé » de la sécurité
nts s re e d
lle ’ex
td
l
de sys
so
cu
sé
es ’an
on
op cum tifica
ide pte uvr

(Résistance à l’adversité)
flit
cti
né d
on ion
on un
d’i com n œ
on
ire
on me
sti d’
er
ati lat
e
tc
ed
uc
s d am
ge ion
ér u
de ise e
ne
ell
id
de ogr
de opt
uv
sio
tro
nc
Ac
Ad
Pr
No
Fu
Oc
Zone de « bonne santé »

de la sécurité
Respect des réglementations
(Niveau minimum acceptable)
Zone de « mauvaise santé » de la sécurité
Temps
Figure 10-1. Variation de l’« état de santé » de la sécurité

Chapitre 10. Contrôle des performances en matière de sécurité 10-3
Évaluer l’« état de santé » de la sécurité
10.2.3 En principe, il est possible d’identifier les caractéristiques et la performance en matière de

sécurité des organisations « les plus sûres ». Ces caractéristiques, qui reflètent les bonnes pratiques du
secteur, peuvent servir de valeurs de référence pour évaluer la performance en matière de sécurité.
Symptômes d’un mauvais « état de santé » de la sécurité
10.2.4 Un mauvais état de la sécurité peut être révélé par des symptômes qui mettent en danger des
éléments de l’organisation. L’Appendice 1 à ce chapitre cite des exemples de symptômes pouvant être
révélateurs d’un mauvais « état de santé » de la sécurité. Une faiblesse dans un domaine peut être
tolérable, mais des faiblesses dans de nombreux domaines traduisent de graves risques systémiques, qui
compromettent l’ « état de santé » de la sécurité de l’organisation.
Indicateurs de l’amélioration de l’ « état de santé » de la sécurité
10.2.5 L’Appendice 1 mentionne aussi des indicateurs de l’amélioration de l’ « état de santé » de la

sécurité. Ceux-ci reflètent les meilleures pratiques de l’industrie aéronautique et une bonne culture de la
sécurité. Les organisations qui ont la meilleure cote de sécurité tendent à « entretenir ou améliorer l’état de
leur sécurité » en appliquant des mesures destinées à accroître leur résistance aux imprévus. Elles
s’emploient en permanence à dépasser le stade du simple respect des exigences réglementaires minimales.
10.2.6 Si l’identification des symptômes peut donner une idée valable de l’ « état de santé » de la
sécurité de l’organisation, elle ne fournira peut-être pas assez d’informations pour garantir une prise de
décisions efficace. Des outils supplémentaires sont nécessaires pour mesurer la performance en matière de
sécurité d’une façon systématique et convaincante.
Indicateurs statistiques de la performance en matière de sécurité
10.2.7 Les indicateurs statistiques de la performance en matière de sécurité illustrent les réalisations
en matière de sécurité engrangées au fil des années ; ils donnent donc un « aperçu » des événements
passés. Présentés sous forme chiffrée ou graphique, ils dressent un bilan simple et facile à comprendre du
niveau de sécurité d’un secteur donné de l’aviation, en termes de nombre ou de taux d’accidents,
d’incidents ou de victimes sur une période de temps déterminée. Au niveau le plus élevé, il pourrait s’agir du
nombre d’accidents mortels par an sur les dix dernières années. Au niveau le plus bas (ou le plus
spécifique), les indicateurs de performance en matière de sécurité pourraient inclure des facteurs tels que le
taux d’événements techniques spécifiques (par ex. les pertes de séparation, les pannes de moteurs, les
avertissements du TCAS et les incursions sur piste).
10.2.8 Les indicateurs statistiques de performance en matière de sécurité peuvent cibler soit des
domaines spécifiques des opérations afin de contrôler les résultats en matière de sécurité, soit des domaines
méritant attention. Cette approche « rétrospective » est utile pour l’analyse des tendances, l’identification
des dangers, l’évaluation des risques, ainsi que pour le choix des mesures de maîtrise des risques.
10.2.9 Comme les accidents (et les incidents graves) sont des événements relativement rares et
fortuits en aviation, une évaluation de l’ « état de santé » de la sécurité basée sur les seuls indicateurs
statistiques de performance en matière de sécurité pourrait ne pas fournir un indicateur prévisionnel valable
de la performance en matière de sécurité, surtout en l’absence de données de risque fiables. L’examen du
passé n’aide guère les organisations dans leur quête d’approche proactive ni dans la mise en place des
systèmes les plus susceptibles de protéger contre l’inconnu.
Niveaux acceptables de sécurité
10.2.10 Les organisations de l’aviation doivent respecter des exigences réglementaires pour garantir
des niveaux acceptables de sécurité. Toutefois, les organisations qui se limitent à respecter ces exigences
minimales peuvent ne pas être saines si on les considère sous l’angle de la sécurité. Bien qu’elles aient
réduit leur vulnérabilité aux actes et circonstances dangereux le plus susceptibles d’entraîner des accidents,
elles n’ont pris qu’un minimum de mesures de précaution.
10.2.11 Les organisations « faibles » qui ne satisfont pas aux niveaux acceptables de sécurité seront
éliminées du système aéronautique soit de façon proactive, via une révocation de leur certificat d’exploi-
tation par l’autorité de réglementation, soit de façon réactive, en réaction à des pressions commerciales
telles que le coût élevé d’accidents ou d’incidents graves ou la résistance des consommateurs. Les
Chapitres 1, 4 et 5 contiennent des informations supplémentaires sur les niveaux acceptables de sécurité.
10.3 SUPERVISION DE LA SÉCURITÉ
10.3.1 Une des pierres angulaires d’une gestion efficace de la sécurité est l’existence d’un système
formel de supervision de la sécurité. La supervision de la sécurité consiste en une surveillance régulière (si
pas continue) de tous les aspects de l’exploitation d’une organisation. À première vue, la supervision de la
sécurité prouve le respect des règles, réglementations, normes, procédures, etc., de l’État et de l’organi-
sation mais elle a une valeur beaucoup plus profonde. Cette surveillance constitue un autre moyen proactif
d’identifier les dangers, de valider l’efficacité des mesures de sécurité prises et d’évaluer en continu la
performance en matière de sécurité.
10.3.2 Comme indiqué au § 5.3.1, alinéa c), la supervision de la sécurité est considérée comme une
fonction à assumer par l’État dans son rôle d’autorité de réglementation, tandis que le contrôle de la
performance en matière de sécurité est à mener par les exploitants et les prestataires de services. Les
fonctions de « surveillance » de la supervision de la sécurité peuvent revêtir de nombreuses formes,
assorties de degré de formalisme divers.
Niveau international
10.3.3 Au niveau international, le Programme universel OACI d’audits de supervision de la sécurité

(USOAP) (décrit au § 10.4) surveille la performance en matière de sécurité de tous les États contractants.
Des organisations internationales, telles que l’IATA, supervisent aussi la sécurité des compagnies aériennes
par le biais d’un programme d’audit.
Niveau national
10.3.4 Au niveau national, une supervision efficace de la sécurité peut être assurée par une combi-
naison de plusieurs activités, dont voici quelques exemples :
a) mener des inspections surprises pour sonder la performance réelle de divers aspects du système
aéronautique national ;
b) mener des inspections formelles (prévues) qui suivent un protocole clairement compris par
l’organisation soumise à inspection ;
c) décourager les comportements non conformes par la prise de mesures d’exécution (sanctions ou
amendes) ;
d) contrôler la qualité de la performance associée à toutes les demandes de permis et de certification ;
e) assurer le suivi de la performance en matière de sécurité des divers secteurs de l’aviation ;
f) intervenir dans des cas justifiant une vigilance supplémentaire au niveau de la sécurité (notamment
en cas de graves conflits du travail, de faillites de transporteurs aériens, d’expansion ou de contraction
rapide des activités) ;
g) mener des audits formels de supervision de la sécurité des compagnies aériennes ou des
prestataires de services tels que l’ATC, les organismes agréés de maintenance, les centres de
formation et les autorités aéroportuaires.
Niveau organisationnel
10.3.5 La taille et la complexité de l’organisation détermineront les meilleures méthodes à appliquer

pour mettre en place et maintenir un programme efficace de contrôle de la performance en matière de
sécurité. Les organisations offrant une supervision adéquate de la sécurité emploient les méthodes
suivantes, en tout ou en partie :
a) Leurs contrôleurs de première ligne entretiennent la vigilance (du point de vue de la sécurité) en
surveillant les activités quotidiennes.
b) Elles mènent régulièrement des inspections (formelles ou informelles) des activités quotidiennes
dans tous les domaines cruciaux pour la sécurité.
c) Elles recueillent les avis du personnel sur la sécurité (d’un point de vue tant général que spécifique)
par le biais d’enquêtes sur la sécurité.
d) Elles assurent un examen et un suivi systématiques de tous les comptes rendus de problèmes de
sécurité identifiés.
e) Elles saisissent systématiquement les données qui reflètent la performance quotidienne réelle (au
moyen de programmes tels que la FDA, le LOSA et le NOSS).
f) Elles effectuent des macro-analyses de la performance en matière de sécurité (études sur la sécurité).
g) Elles appliquent un programme régulier d’audits opérationnels (comprenant des audits de sécurité
internes et externes).
h) Elles communiquent les résultats relatifs à la sécurité à l’ensemble du personnel concerné.
Inspections
10.3.6 La forme la plus simple de supervision de la sécurité consiste peut-être à mener des « rondes »
informelles de toutes les aires opérationnelles de l’organisation. S’entretenir avec le personnel et les
responsables, voir les pratiques de travail réelles, etc., d’une façon non structurée permet d’obtenir une idée
précieuse de la performance en matière de sécurité « sur le terrain ». Les informations ainsi obtenues
devraient permettre d’affiner le système de gestion de la sécurité (SGS).
10.3.7 Pour qu’une inspection soit utile à l’organisation, il faut qu’elle soit axée sur la qualité du
« produit fini ». Malheureusement, beaucoup d’inspections se limitent à suivre un formulaire avec cases à
cocher. Bien qu’utile pour vérifier le respect d’exigences spécifiques, ce type de formulaire est moins
efficace pour évaluer des risques systémiques pour la sécurité. Par contre, une liste de vérification peut être
utilisée comme guide pour éviter d’omettre des parties des opérations.
10.3.8 La direction et les cadres hiérarchiques peuvent aussi mener des inspections de la sécurité afin
d’évaluer le respect des exigences, plans et procédures de l’organisation. Toutefois, de telles inspections ne
peuvent fournir qu’une vérification par sondage des opérations, n’offrant que peu de potentiel de supervision
systémique de la sécurité.
Enquêtes
10.3.9 Les enquêtes sur les opérations et les installations peuvent donner à la direction une indication
sur les niveaux de sécurité et d’efficacité au sein de l’organisation. La compréhension des dangers
systémiques et des risques inhérents aux activités quotidiennes permet à une organisation de réduire au
minimum les actes dangereux et de réagir de façon proactive en améliorant les processus, les conditions et
autres questions systémiques qui mènent à des actes dangereux. Les enquêtes sur la sécurité constituent
une des formes d’examen systématique d’éléments organisationnels spécifiques ou des processus utilisés
pour effectuer une opération particulière, que cet examen soit général ou mené sous un angle de sécurité
déterminé. Elles sont particulièrement utiles pour évaluer les attitudes de populations déterminées, par ex.
les pilotes de ligne pour un type d’aéronef spécifique, ou les ATCO travaillant à un poste particulier.
10.3.10 Lorsqu’elles tentent de déterminer les dangers sous-jacents d’un système, les enquêtes sont
habituellement indépendantes des inspections de routine menées par les gouvernements ou par la direction
des compagnies. Les enquêtes effectuées par le personnel opérationnel peuvent révéler des informations
diagnostiques importantes sur les opérations quotidiennes. Elles peuvent fournir des mécanismes peu
coûteux pour obtenir des informations importantes sur de nombreux aspects de l’organisation, dont :
a) les perceptions et opinions du personnel opérationnel ;
b) le niveau de travail en équipe et de coopération entre les divers groupes constituant le personnel ;
c) les domaines posant problème ou les blocages dans les opérations quotidiennes ;
d) la culture de la sécurité au sein de l’entreprise ;
e) les points actuels de désaccord ou de confusion.
10.3.11 Les enquêtes sur la sécurité sont généralement menées au moyen de listes de vérification, de
questionnaires et d’interviews confidentielles informelles. Les enquêtes, surtout celles qui font usage
d’interviews, peuvent susciter la révélation d’informations qu’il est impossible d’obtenir par d’autres moyens.
10.3.12 En général, des données spécifiques appropriées pour évaluer la performance en matière de
sécurité peuvent être acquises au moyen d’enquêtes bien structurées et gérées. Toutefois, il se peut que la
validité de toutes les informations obtenues au terme de l’enquête doive être vérifiée avant que ne soient
prises des mesures correctrices. Étant similaires aux systèmes volontaires de comptes rendus d’incidents,
les enquêtes sont subjectives et reflètent les perceptions des individus. Par conséquent, elles souffrent des
mêmes limites, entre autres les préjugés de l’auteur, des répondants et les partis pris qui orientent l’interpré-
tation des données.
10.3.13 Les activités liées aux enquêtes sur la sécurité peuvent couvrir l’ensemble du cycle de gestion
des risques, depuis l’identification des dangers jusqu’à la supervision de la sécurité, en passant par
l’évaluation des risques. Elles seront plus que probablement menées par des organisations qui sont passées
d’une culture réactive de la sécurité à une culture proactive. Le Chapitre 15 comporte des indications sur la
conduite des enquêtes de sécurité.
Assurance de la qualité
10.3.14 Un système d’assurance de la qualité (SAQ) définit et fixe la politique et les objectifs de
l’organisation en matière de qualité. Il veille à ce que l’organisation ait mis en place les éléments néces-
saires pour améliorer l’efficacité et réduire les risques. S’il est mis en œuvre de façon adéquate, un SAQ
garantit une exécution systématique des procédures dans le respect des exigences en vigueur, l’identifi-
cation et la résolution des problèmes, ainsi que l’application par l’organisation d’une politique continue de
révision et d’amélioration de ses procédures, produits et services. Un SAQ devrait identifier les problèmes et
améliorer les procédures en vue de réaliser les objectifs de l’entreprise.
10.3.15 Un SAQ contribue à garantir que les mesures systémiques requises ont été prises afin de
satisfaire aux objectifs de sécurité de l’organisation. Cependant, l’assurance de la qualité « ne garantit pas
la sécurité ». Les mesures d’assurance de la qualité aident la direction à assurer la normalisation nécessaire
des systèmes au sein de son organisation afin de réduire les risques d’accidents.
10.3.16 Un SAQ contient des procédures de contrôle de la performance de tous les aspects de
l’organisation. Il vérifie notamment :
a) l’existence de procédures (par ex. des SOP) bien conçues et documentées ;
b) les méthodes d’inspection et d’essai ;
c) le contrôle des équipements et des opérations ;
d) les audits internes et externes ;
e) le suivi des mesures correctrices prises ;
f) l’utilisation d’analyses statistiques appropriées, le cas échéant.
10.3.17 Plusieurs normes d’assurance de la qualité acceptées à l’échelon international sont actuel-
lement en usage. Le choix du système le plus approprié dépend de la taille, de la complexité et du produit
de l’organisation. Les normes ISO 9000 constituent un des systèmes internationaux utilisés par beaucoup
d’organisations pour l’application d’un système interne d’assurance de la qualité. L’utilisation de tels systèmes
garantit en outre que les fournisseurs de l’organisation appliquent des systèmes d’assurance de la qualité
appropriés.
Audits de sécurité
10.3.18 La réalisation d’audits de sécurité est une activité clé de la gestion de la sécurité. Similaires
aux audits financiers, les audits de sécurité offrent un moyen d’évaluer de façon systématique dans quelle
mesure l’organisation atteint ses objectifs de sécurité. Le programme d’audits de sécurité, ainsi que d’autres
activités de supervision de la sécurité (contrôle des performances en matière de sécurité), donne aux
directeurs des différentes unités et à la haute direction des retours d’informations sur la performance de
l’organisation en matière de sécurité. Ces retours d’informations apportent des preuves du niveau de
performance en matière de sécurité atteint par l’organisation. En ce sens, les audits de sécurité constituent
une activité proactive de gestion de la sécurité et offrent un moyen d’identifier des problèmes potentiels
avant que ceux-ci n’aient une incidence sur la sécurité.
10.3.19 Les audits de sécurité peuvent être menés en interne par l’organisation ou être confiés à un
auditeur externe. La forme la plus courante d’audit externe de sécurité a pour objectif de prouver la
performance en matière de sécurité aux autorités de réglementation de l’État. Toutefois, de plus en plus,
d’autres intervenants peuvent exiger un audit indépendant en tant que condition préalable à l’octroi d’une
approbation spécifique, qu’il s’agisse de financement, d’assurance, de partenariats avec d’autres transporteurs
aériens ou d’entrée dans un espace aérien étranger. Quelle que soit la raison de l’audit, les activités et
produits des audits internes et externes sont similaires. Des audits de sécurité devraient être conduits de façon
régulière et systématique conformément au programme d’audits de sécurité de l’organisation. Des éléments
indicatifs sur la conduite des audits de sécurité sont mentionnés au Chapitre 14.
10.4 PROGRAMME UNIVERSEL OACI D’AUDITS DE SUPERVISION

DE LA SÉCURITÉ (USOAP)
10.4.1 L’OACI reconnaît la nécessité pour les États d’exercer une supervision effective de la sécurité
de leurs secteurs aéronautiques. C’est pourquoi l’OACI a mis sur pied le Programme universel d’audits de
1
supervision de la sécurité (USOAP) . Voici les objectifs principaux de l’USOAP :
a) déterminer le degré de conformité des États dans la mise en œuvre des normes de l’OACI ;
b) observer et évaluer le respect par les États des pratiques recommandées de l’OACI, des procédures
connexes, des éléments indicatifs et des pratiques liées à la sécurité ;
c) déterminer si l’instauration par les États de législations, réglementations, autorités et inspections de

la sécurité et moyens d’audit appropriés assurent une mise en œuvre efficace de leurs systèmes de
d) donner aux États contractants des conseils afin d’améliorer leurs capacités de supervision de la
sécurité.
10.4.2 Un premier cycle d’audits USOAP de la plupart des États contractants de l’OACI concernant
l’Annexe 1 — Licences du personnel, l’Annexe 6 — Exploitation technique des aéronefs et l’Annexe 8 —
Navigabilité des aéronefs est terminé. Des rapports sommaires d’audits contenant un résumé des consta-
tations, recommandations et mesures correctrices proposées par les États sont publiés et diffusés par
l’OACI afin de permettre aux autres États contractants de se faire une idée de la qualité de la sécurité de
l’aviation dans l’État audité. Les futurs cycles d’audits USOAP utiliseront une approche systémique, centrée
sur les SARP cruciales pour la sécurité de toutes les Annexes liées à la sécurité. Les constatations des
audits menés à ce jour ont révélé de nombreuses lacunes dans le respect des SARP de l’OACI par les États.
1. Des éléments indicatifs peuvent être obtenus auprès de l’OACI pour aider les États à préparer les audits USOAP. Voir le Manuel
d’audits de la supervision de la sécurité (Doc 9735) et les Éléments d’orientation sur les facteurs humains dans les audits de
sécurité (Doc 9806).
10.5 AUDITS DE SÉCURITÉ CONDUITS PAR LES AUTORITÉS DE RÉGLEMENTATION
Pour certains États, les audits USOAP de l’OACI sont la seule évaluation de leur performance en matière de
supervision de la sécurité de leur aviation. Toutefois, beaucoup d’États appliquent un programme d’audits
de sécurité afin de garantir l’intégrité de leur système national d’aviation. Les audits conduits par une
autorité de réglementation de la sécurité devraient effectuer un examen général des procédures de gestion
de la sécurité de l’organisation considérée dans son ensemble. Les points clés de tels audits sont énumérés
ci-dessous :
a) Surveillance et conformité. Avant d’octroyer une licence ou une approbation, l’autorité de réglemen-
tation doit s’assurer que les normes locales, nationales ou internationales requises sont respectées et
que la situation sera maintenue à ce niveau pendant toute la durée de validité de la licence ou de
l’approbation. L’autorité de réglementation détermine un moyen acceptable de prouver la conformité.
L’organisation soumise à audit est alors tenue de fournir les documents prouvant que les exigences
réglementaires peuvent être respectées et le seront.
b) Domaines et degré de risque. Un audit de sécurité mené par une autorité de réglementation
devrait garantir que le SGS de l’organisation repose sur des principes et procédures solides. Des
systèmes organisationnels doivent être mis en place pour réexaminer régulièrement les procédures
afin de garantir le respect permanent de toutes les normes de sécurité. Il faudrait évaluer les
procédures d’identification des risques et de mise en œuvre des changements requis. L’audit devrait
confirmer que les diverses parties de l’organisation fonctionnent en tant que système intégré. Par
conséquent, les audits de sécurité menés par l’autorité de réglementation doivent avoir un degré de
détail et une portée suffisants pour garantir que l’organisation a envisagé les diverses interdépen-
dances dans son processus de gestion de la sécurité.
c) Compétence. L’organisation devrait avoir un personnel formé suffisant pour garantir que le SGS
fonctionne comme prévu. Non seulement l’autorité de réglementation doit confirmer la compétence
de tous les membres du personnel mais elle doit aussi évaluer les capacités du personnel occupant
des postes clés. La détention d’une licence octroyant des privilèges spécifiques ne donne pas
nécessairement d’indications quant à la compétence du titulaire pour assumer des tâches de gestion.
Ainsi, la compétence en tant qu’ATCO n’est pas synonyme de clairvoyance en matière de gestion.
En cas de lacunes à court terme au niveau des compétences, l’organisation devra convaincre
l’autorité de réglementation qu’elle dispose d’un plan viable pour résoudre le problème le plus
rapidement possible. En outre, l’autorité de réglementation devrait désigner le directeur qui assumera
la responsabilité de la sécurité.
d) Gestion de la sécurité. Un SGS doit être en vigueur pour garantir une gestion efficace des
problèmes de sécurité et la capacité générale de l’organisation de respecter ses objectifs de
performance en matière de sécurité.
10.6 AUTO-VÉRIFICATION
10.6.1 Une auto-évaluation critique (ou auto-vérification) est un outil que la direction peut utiliser pour
évaluer les marges de sécurité. Un questionnaire global destiné à aider la direction à mener une auto-
vérification des facteurs qui ont une incidence sur la sécurité est inclus à l’Appendice 2 à ce chapitre. Cette
liste d’auto-vérification est destinée à permettre à la haute direction d’identifier les événements, politiques,
procédures ou pratiques de l’organisation susceptibles de révéler des dangers pour la sécurité.
10.6.2 Il n’existe pas de bonnes ou de mauvaises réponses pour toutes les situations et toutes les
questions ne sont pas pertinentes pour tous les types d’opérations. Toutefois, la réaction à un certain type
de questionnement peut contribuer à déterminer si la sécurité de l’organisation est saine.
10.6.3 Bien que l’auto-vérification de l’Appendice 2 ait été conçue à l’origine pour être utilisée dans le
cadre des opérations aériennes, ce type de questionnement est valable pour la gestion de la plupart des
aspects opérationnels de l’aviation civile. Dès lors, cette liste d’auto-vérification peut être adaptée à tout un
éventail de situations.
————————
EXEMPLES D’INDICATEURS DE L’ÉTAT DE SANTÉ

DE LA SÉCURITÉ
MAUVAIS ÉTAT DE SANTÉ ÉTAT DE SANTÉ DE LA SÉCURITÉ

DE LA SÉCURITÉ EN VOIE D’AMÉLIORATION
AAC AAC
▪ Lois et réglementations en vigueur inadaptées ; ▪ Programmes nationaux de comptes rendus d’incidents

▪ Risque de conflits d’intérêts (par ex. l’autorité de (tant obligatoires que volontaires) ;
réglementation est aussi prestataire de services) ; ▪ Programmes nationaux de contrôle de la sécurité, y
▪ Infrastructure et systèmes de l’aviation civile inadaptés ; compris enquêtes sur des incidents, bases de données
▪ Insuffisances au niveau des fonctions de réglementation sur la sécurité accessibles et analyses des tendances ;
(telles que l’octroi de licences, la surveillance et ▪ Supervision réglementaire, y compris surveillance de
l’exécution) ; routine, audits de sécurité réguliers et suivi des bonnes
▪ Ressources et organisation insuffisantes pour l’ampleur pratiques du secteur ;
et la complexité des exigences réglementaires ; ▪ Répartition des ressources basée sur le risque pour toutes
▪ Instabilité et incertitude au sein de l’AAC compromettent les fonctions de réglementation ;
la qualité et l’opportunité de la fonction de ▪ Programmes de promotion de la sécurité pour aider les
réglementation ; exploitants.
▪ Absence de processus formels de sécurité tels que
des processus de comptes rendus d’incidents et de
▪ Stagnation de la réflexion sur la sécurité (par ex. réticence
à adopter les meilleures pratiques éprouvées).
Organisation opérationnelle Organisation opérationnelle
▪ Organisation et ressources insuffisantes pour les ▪ Culture proactive de la sécurité au sein de l’entreprise ;
opérations actuelles ; ▪ Investissement dans les ressources humaines dans des
▪ Instabilité et incertitude dues à de récents changements domaines tels que la formation non obligatoire ;
organisationnels ; ▪ Processus formels de sécurité pour la tenue à jour d’une
▪ Mauvaise situation financière ; base de données concernant la sécurité, les comptes
▪ Conflits sociaux non résolus ; rendus d’incidents, les enquêtes sur les incidents, les
▪ Réputation de non-respect des réglementations ; communications relatives à la sécurité, etc. ;
▪ Faibles niveaux d’expérience opérationnelle pour le type ▪ Application d’un système global de gestion de la sécurité
d’équipement ou d’opérations concerné ; (à savoir approche appropriée de l’entreprise, outils
▪ Déficiences de la flotte, notamment en termes d’âge et organisationnels et supervision de la sécurité) ;
de composition ; ▪ Système de communications internes bidirectionnelles fort
▪ Fonction de sécurité au sein de l’entreprise mal définie en termes d’ouverture, de retours d’informations, de
ou absence d’une telle fonction ; culture du compte rendu et de diffusion des
▪ Programmes de formation inadéquats ; enseignements tirés ;
▪ Relâchement de la vigilance de l’entreprise en ce qui ▪ Éducation et sensibilisation à la sécurité via des échanges
concerne la sécurité, les pratiques de travail actuelles, de données, la promotion de la sécurité, la participation à
etc. ; des forums de sécurité et l’élaboration de matériel
▪ Mauvaise culture de la sécurité. pédagogique.
————————
10-APP 1-1
AUTO-VÉRIFICATION DE LA DIRECTION
1. OBJECTIF
Cette liste d’auto-vérification peut être utilisée par la direction pour identifier les processus administratifs,
opérationnels et autres, ainsi que les exigences de formation susceptibles de révéler des dangers pour la
sécurité. Les résultats peuvent servir à attirer l’attention de la direction sur les points qui pourraient générer
un risque pour la sécurité.
2. GESTION ET ORGANISATION
Structure de gestion
1) L’organisation a-t-elle une déclaration écrite formelle des politiques et objectifs de sécurité de
l’entreprise ?
2) Les politiques et objectifs de sécurité de l’entreprise sont-ils suffisamment diffusés dans toute
l’organisation ? La haute direction soutient-elle visiblement ces politiques de sécurité ?
3) L’organisation a-t-elle un département de la sécurité ou un directeur de la sécurité (DS) ?
4) Ce département ou ce DS est-il efficace ?
5) Le DS du département relève-t-il directement de la haute direction de l’entreprise ?
6) L’organisation soutient-elle la publication périodique d’un rapport ou d’un bulletin d’information sur la
sécurité ?
7) L’organisation distribue-t-elle des rapports ou des bulletins d’information sur la sécurité provenant
d’autres sources ?
8) Existe-t-il un système formel de communication régulière des informations liées à la sécurité entre la
direction et le personnel ?
9) Des réunions sur la sécurité se tiennent-elles régulièrement ?
10) L’organisation participe-t-elle à des activités et initiatives de sécurité de l’industrie aéronautique ?
11) L’organisation mène-t-elle des enquêtes formelles sur les incidents et les accidents ? Les résultats
de ces enquêtes sont-ils communiqués aux directeurs et au personnel opérationnel ?
12) L’organisation a-t-elle un programme confidentiel, non punitif, de comptes rendus de dangers et
d’incidents ?
10-APP 2-1
13) L’organisation tient-elle à jour une base de données sur les incidents ?
14) La base de données sur les incidents est-elle analysée régulièrement pour déterminer les tendances ?
15) L’organisation applique-t-elle un programme d’analyse des données de vol (FDA) ?
16) L’organisation applique-t-elle un programme d’audits de sécurité en service de ligne (LOSA) ?
17) L’organisation mène-t-elle des études sur la sécurité ?
18) L’organisation utilise-t-elle des sources extérieures pour conduire des évaluations ou des audits de
la sécurité ?
19) L’organisation sollicite-t-elle le concours des groupes de soutien technique des constructeurs
d’aéronefs ?
Stabilité de la direction et de l’entreprise
1) Y a-t-il eu des changements importants ou fréquents au niveau de la propriété ou de la haute

direction durant les trois dernières années ?
2) Y a-t-il eu des changements importants ou fréquents au niveau de la direction des départements

opérationnels durant les trois dernières années ?
3) Des directeurs des départements opérationnels ont-ils démissionné en raison de litiges au sujet des
questions de sécurité, des procédures ou pratiques d’exploitation ?
4) Les progrès technologiques liés à la sécurité sont-ils mis en œuvre avant d’être imposés par les
exigences réglementaires, autrement dit l’organisation se montre-t-elle proactive dans l’utilisation de
la technologie pour atteindre ses objectifs en matière de sécurité ?
Stabilité financière de l’organisation
1) L’organisation a-t-elle récemment connu une instabilité financière, une fusion, une acquisition ou
toute autre grande réorganisation ?
2) Une attention a-t-elle été portée aux questions de sécurité pendant ou après la période d’instabilité,
la fusion, l’acquisition ou la réorganisation ?
Sélection et formation de la direction
1) Existe-t-il des critères bien définis de sélection des directeurs ?
2) Le passé et l’expérience opérationnels font-ils partie des exigences de la sélection du personnel de

direction ?
3) Les directeurs d’exploitation de première ligne sont-ils sélectionnés parmi les candidats ayant des
qualifications opérationnelles ?
Chapitre 10. Contrôle des performances en matière de sécurité — Appendice 2 10-APP 2-3
4) Le nouveau personnel de direction reçoit-il une initiation et une formation formelles à la sécurité ?
5) Existe-t-il un développement de carrière bien défini pour les directeurs d’exploitation ?
6) Existe-t-il un processus formel d’évaluation annuelle des directeurs ?
Personnel
1) L’organisation a-t-elle procédé à des licenciements récemment ?
2) Une grande partie du personnel est-elle employée à temps partiel ou sur une base contractuelle ?
3) La société a-t-elle des règles ou politiques formelles pour gérer l’utilisation de personnel contractuel ?
4) Existe-t-il une communication franche entre la direction, le personnel et les syndicats au sujet des
questions de sécurité ?
5) Existe-t-il un taux élevé de rotation du personnel dans les départements de l’exploitation ou de la

maintenance ?
6) Le niveau général d’expérience du personnel de l’exploitation et de la maintenance est-il bas ou en

recul ?
7) Est-il tenu compte de la répartition des niveaux d’âge ou d’expérience au sein de l’organisation dans
le cadre de la planification organisationnelle à long terme ?
8) Les compétences professionnelles des candidats à des postes d’exploitation ou de maintenance

sont-elles évaluées de façon formelle pendant le processus de sélection ?
9) Les processus et questions de diversité culturelle sont-ils envisagés pendant la sélection et la

formation du personnel ?
10) Une attention particulière est-elle accordée aux questions de sécurité pendant des périodes de
désaccords ou de conflits sociaux ?
11) Des changements récents ont-ils été appliqués aux salaires, aux règles de travail ou aux pensions ?
12) L’organisation a-t-elle un programme propre de suivi médical du personnel ?
13) L’organisation a-t-elle un programme d’aide au personnel couvrant notamment le traitement de

l’alcoolisme et de la toxicomanie ?
Relations avec l’autorité de réglementation
1) Les normes de sécurité sont-elles fixées essentiellement par l’organisation ou par l’autorité de
réglementation appropriée ?
2) L’organisation fixe-t-elle des normes plus élevées que celles que lui impose l’autorité de régle-
mentation ?
3) L’organisation a-t-elle une relation constructive, de coopération avec l’autorité de réglementation ?
4) L’organisation a-t-elle été soumise à une récente mesure d’exécution de la sécurité par l’autorité de
réglementation ?
5) L’organisation tient-elle compte des différents niveaux d’expérience et de normes d’octroi de licence
d’autres États lorsqu’elle examine les demandes d’emploi ?
6) L’autorité de réglementation évalue-t-elle régulièrement si l’organisation respecte les normes de

sécurité requises ?
Chapitre 11
PLANIFICATION DES INTERVENTIONS

EN CAS D’URGENCE
11.1 INTRODUCTION
11.1.1 C’est peut-être parce que les accidents d’aviation sont rares que peu d’organisations sont
prêtes pour y faire face. Beaucoup d’organisations n’ont pas mis en place de plans efficaces pour gérer les
événements pendant ou après une situation d’urgence ou une crise. Or, la façon dont une organisation s’en
sort après un accident ou une autre situation d’urgence peut dépendre de la qualité de sa gestion des
premières heures ou jours suivant un grave événement lié à la sécurité. Un plan d’urgence énonce par écrit
ce qu’il faut faire après un accident et qui est responsable de chaque action. Dans les opérations aéro-
portuaires, un tel plan s’intitule Plan d’urgence d’aérodrome (AEP). Toutefois, ce chapitre utilise le terme
générique Plan d’intervention en cas d’urgence (ERP).
11.1.2 S’il est normal d’associer la planification des interventions en cas d’urgence aux opérations
aériennes et aéroportuaires dans le cas d’un accident d’aéronef, le concept peut tout aussi bien s’appliquer
à d’autres prestataires de services. La planification des interventions en cas d’urgence est nécessaire pour
les fournisseurs de services ATS afin de leur permettre de faire face à une importante coupure de courant, à
une perte de couverture radar, à une défaillance des communications ou d’autres installations majeures,
etc. Un organisme de maintenance a besoin d’une planification des interventions en cas d’urgence pour
gérer l’incendie d’un hangar, un gros déversement de carburant, etc. Dans ce contexte, une situation
d’urgence est considérée comme un événement susceptible de faire subir un grave préjudice ou de sérieuses
perturbations à l’organisation.
11.1.3 À première vue, la planification des interventions en cas d’urgence peut paraître peu liée à la
gestion de la sécurité. Néanmoins, une planification efficace des interventions en cas d’urgence offre une
occasion d’apprendre, ainsi que d’appliquer les leçons de sécurité visant à réduire au minimum les dommages
matériels ou les lésions corporelles.
11.1.4 Pour pouvoir gérer avec succès une urgence, il faut commencer par élaborer une planification
efficace. Un ERP fournit la base d’une approche systématique de la gestion des activités de l’organisation à
la suite d’un événement imprévu important qui, dans le pire des cas, peut être un accident grave.
11.1.5 Un ERP vise à garantir :
a) une transition ordonnée et efficace des opérations normales aux opérations d’urgence ;
b) une délégation de l’autorité en cas d’urgence ;
c) une attribution des responsabilités en situation d’urgence ;
d) une autorisation du personnel clé pour l’application des mesures prévues dans le plan ;
e) une coordination des efforts pour faire face à la situation d’urgence ;
11-1
f) une poursuite des opérations en toute sécurité ou le retour le plus rapide possible aux opérations
normales.
11.2 EXIGENCES DE L’OACI
11.2.1 Toute organisation qui effectue ou soutient des opérations aériennes devrait avoir un ERP. Les
documents suivants stipulent les exigences de l’OACI ou fournissent des éléments indicatifs concernant la
planification des interventions en cas d’urgence :
a) L’Annexe 14 — Aérodromes stipule qu’un plan d’urgence sera établi pour tout aérodrome en
proportion des opérations aériennes et autres activités pour lesquelles il est utilisé. Le plan d’urgence
d’aérodrome permettra d’assurer la coordination des mesures à prendre dans une situation d’urgence
survenant sur l’aérodrome ou dans son voisinage.
b) La Rédaction d’un manuel d’exploitation (Doc 9376) recommande que les compagnies incluent
dans leurs manuels d’exploitation des instructions et indications sur les tâches et obligations du
personnel à la suite d’un accident. Le manuel d’exploitation devrait comporter des éléments
indicatifs sur l’installation et le fonctionnement d’un centre d’intervention en cas d’urgence/accident,
qui sera le centre nerveux d’où sera gérée la crise. Outre les éléments indicatifs sur les accidents
concernant les aéronefs de la compagnie, des indications devraient aussi être données sur les
accidents concernant des aéronefs dont la compagnie est l’agent de services d’escale (par ex. en
raison d’accords de partage de codes ou de contrats de sous-traitance de services). Les grandes
compagnies peuvent choisir de consolider toutes ces informations relatives à la planification des
interventions en cas d’urgence dans un volume distinct de leur manuel d’exploitation.
e
c) Le Manuel des services d’aéroport (Doc 9137), 7 Partie — Planification des mesures d’urgence aux
aéroports, donne des indications tant aux autorités aéroportuaires qu’aux exploitants d’aéronefs
quant à la planification préliminaire des interventions en cas d’urgence ainsi qu’à la coordination
entre les différents organismes aéroportuaires, exploitant compris.
11.2.2 Pour être efficace, un ERP devrait :
a) être pertinent et utile pour les personnes qui sont susceptibles d’être de service au moment où
survient un accident ;
b) comporter des listes de vérification et un aide-mémoire reprenant les coordonnées du personnel

adéquat ;
c) être testé régulièrement par le biais d’exercices ;
d) être mis à jour lorsque surviennent des changements.
11.3 CONTENU D’UN ERP
L’ERP sera normalement conçu sous la forme d’un manuel. Il devrait exposer les responsabilités, rôles et
actions des divers organismes et personnels qui devront gérer les situations d’urgence. L’ERP devrait tenir
compte des éléments suivants :
Chapitre 11. Planification des interventions en cas d’urgence 11-3
a) Les politiques en vigueur. L’ERP devrait donner des indications sur les interventions en cas
d’urgence, notamment les lois et réglementations régissant les enquêtes, les accords passés avec
les autorités locales et les politiques et priorités de la compagnie.
b) L’Organisation. L’ERP devrait décrire les intentions de la direction quant aux organismes d’inter-
vention en :
1) désignant qui sera affecté aux équipes d’intervention et en spécifiant qui dirigera ces équipes ;
2) définissant les rôles et responsabilités du personnel affecté aux équipes d’intervention ;
3) clarifiant les liens hiérarchiques ;
4) donnant des instructions pour la mise sur pied d’un Centre de gestion des crises (CMC) ;
5) instaurant des procédures pour la réception d’un grand nombre de demandes d’informations,
surtout pendant les premiers jours suivant un grave accident ;
6) désignant le porte-parole de la compagnie qui assurera le contact avec les médias ;
7) définissant les ressources qui seront disponibles, y compris les autorisations financières pour
les activités immédiates ;
8) désignant le représentant de la compagnie pour toute enquête officielle qui serait entreprise par
des agents de l’État ;
9) définissant un plan de rappel au travail du personnel clé.
Un organigramme ou un ordinogramme pourrait être utilisé pour montrer les fonctions au sein de
l’organisation et les flux de communications entre ces fonctions.
c) Notifications. L’ERP devrait spécifier à quelle(s) personne(s) au sein de l’organisation il faut

signaler une situation d’urgence et qui en enverra notification à l’extérieur et par quel(s) moyen(s). Il
faudrait envisager de signaler l’événement aux personnes ci-dessous :
1) la direction ;
2) les autorités nationales (services de recherche et de sauvetage, autorité de réglementation,

bureau d’enquête sur les accidents, etc.) ;
3) les services locaux d’intervention en cas d’urgence (autorités aéroportuaires, pompiers, police,
services d’ambulance, organismes médicaux, etc.) ;
4) les proches des victimes (une question sensible qui est gérée par la police dans de nombreux
États) ;
5) le personnel de la compagnie ;
6) les médias ;
7) les représentants légaux, les mandataires comptables et représentants des assurances.

d) Première intervention. En fonction des circonstances, une équipe de première intervention peut
être envoyée sur le site de l’accident pour renforcer les ressources locales et surveiller les intérêts
de l’organisation. Voici quelques facteurs à envisager lors de la constitution d’une équipe de première
intervention :
1) Qui doit diriger l’équipe de première intervention ?
2) Qui doit faire partie de l’équipe de première intervention ?
3) Qui doit parler au nom de l’organisation sur le site de l’accident ?
4) Quels seraient les besoins en termes d’équipements spéciaux, de vêtements, de documentation,

de moyens de transport, de logement, etc. ?
e) Aide supplémentaire. Les membres du personnel ayant la formation et l’expérience appropriées

peuvent offrir un soutien utile pendant l’élaboration, les exercices de test et la mise à jour de l’ERP
de l’organisation. Leur savoir-faire peut être utile pour planifier et exécuter les tâches suivantes :
1) tenir le rôle de passagers dans des exercices de secours ;
2) aider les survivants ;
3) gérer le contact avec les familles des victimes.
f) Le Centre de gestion des crises (CMC). Un CMC devrait être installé au siège de l’organisation
lorsque la situation répond aux critères d’activation. En outre, le poste de commandement peut être
installé sur le site de l’accident ou à proximité de ce site. L’ERP devrait préciser comment
l’organisation répondra aux besoins en termes de :
1) dotation en personnel (éventuellement pour un service assuré 24 heures sur 24, 7 jours sur 7,
pendant la période de première intervention) ;
2) équipements de communication (téléphones, fax, Internet, etc.) ;
3) tenue des registres d’activités d’intervention ;
4) saisie des états de la compagnie qui concernent la situation d’urgence ;
5) mobilier et fournitures de bureau ;
6) documents de référence (tels que les listes de vérification et procédures d’intervention en cas
d’urgence, les manuels de la compagnie, les plans d’urgence d’aérodrome et les listes de
numéros de téléphone).
Il se peut que l’exploitant, qu’il s’agisse d’une compagnie aérienne ou d’une autre organisation
spécialisée, doive sous-traiter les services d’un centre de crise pour veiller à ses intérêts lorsque la
situation d’urgence s’est produite loin de l’aéroport d’attache. Du personnel de la compagnie viendrait
normalement renforcer dès que possible le centre assurant le service en sous-traitance.
g) États. Non seulement l’organisation doit tenir à jour des registres des événements et activités, mais
elle sera aussi tenue de fournir des informations à l’équipe d’enquête de l’État. L’ERP devrait
permettre la mise à disposition des types d’informations suivantes aux enquêteurs :
1) tous les états pertinents concernant l’aéronef, l’équipage de conduite, le vol, etc. ;
2) les listes de points de contact et de tous les membres du personnel associés à l’événement ;
3) les notes prises lors des interviews de toute personne associée à l’événement et les déclarations
de telles personnes ;
4) les preuves photographiques ou autres.
h) Site de l’accident. Après un grave accident, des représentants de nombreuses autorités ont des
raisons légitimes d’accéder au site, notamment la police, les pompiers, le corps médical, les
autorités aéroportuaires, les médecins légistes, les enquêteurs de l’État, les organismes de secours
(par ex. la Croix Rouge) et les médias. Bien que la coordination des activités de ces intervenants
relève de la responsabilité de la police de l’État et/ou de l’autorité en charge de l’enquête,
l’exploitant de l’aéronef devrait clarifier certains aspects des activités sur le site de l’accident. Il
devrait prévoir :
1) la nomination d’un haut représentant de la compagnie sur le site de l’accident (quel que soit le
lieu de cet accident) ;
2) la gestion des passagers survivants ;
3) comment répondre aux besoins des proches des victimes ;
4) les moyens d’assurer la sûreté de l’épave ;
5) le traitement des restes humains et des objets personnels des décédés ;
6) comment préserver les preuves ;
7) la fourniture d’assistance aux autorités d’enquête (le cas échéant) ;
8) comment enlever et éliminer l’épave.
i) Médias d’information. La réaction de la compagnie vis-à-vis des médias peut avoir une incidence
sur la façon dont la compagnie se remet de l’événement. Des instructions claires sont nécessaires
concernant entre autres :
1) les informations protégées par la loi (données de l’enregistreur de données de vol [FDR],
enregistrements de l’enregistreur de conversations du poste de pilotage [CVR] et enregistre-
ments ATC, déclarations de témoins, etc.) ;
2) la personne habilitée à s’exprimer au nom de l’organisation parente tant au siège que sur le site
de l’accident (Directeur des Relations publiques, Directeur général ou autre cadre dirigeant,
directeur ou propriétaire) ;
3) les instructions relatives à une déclaration préparée pour pouvoir répondre immédiatement aux
demandes des médias ;
4) les informations qui peuvent ou ne peuvent pas être divulguées ;
5) le choix du moment et du contenu de la première déclaration de la compagnie ;
6) la fourniture de mises à jour régulières aux médias.

j) Enquêtes officielles. Des indications pour le personnel de la compagnie qui entrera en contact
avec les enquêteurs de l’État et la police devraient être fournies dans l’ERP.
k) Aide aux familles. L’ERP devrait aussi comporter des éléments indicatifs sur la façon dont la
compagnie aidera les familles des victimes de l’accident (équipages et passagers). Ces indications
pourraient couvrir des matières telles que :
1) les exigences de l’État concernant la fourniture de services d’aide aux familles ;
2) les dispositions relatives au voyage et au logement pour visiter le lieu de l’accident et voir les
survivants ;
3) la désignation d’un coordinateur du programme et d’un ou plusieurs points de contact pour

chaque famille ;
4) la fourniture d’informations actualisées ;
5) l’assistance aux personnes en deuil ;
6) l’aide financière immédiate aux victimes et à leurs familles ;
7) les services à la mémoire des défunts.
Certains États définissent les types d’aide à fournir par les exploitants.
l) Conseils en gestion du stress à la suite d’un incident critique. L’ERP devrait donner des
indications au personnel travaillant dans des situations stressantes. Il peut notamment spécifier les
limites de temps de service et fournir des conseils en gestion du stress à la suite d’un incident
critique.
m) Évaluation après l’occurrence. Des indications devraient être données pour garantir qu’à la suite
de la situation d’urgence, le personnel clé effectue un débriefing complet et consigne toutes les
leçons importantes tirées de cette occurrence. Il se peut que des amendements soient ensuite
apportés à l’ERP et aux listes de vérification connexes.
11.4 RESPONSABILITÉS DE L’EXPLOITANT D’AÉRONEFS
11.4.1 L’ERP de l’exploitant d’aéronefs devrait être coordonné avec le plan d’urgence d’aérodrome
(AEP) afin que le personnel de l’exploitant sache quelles sont les responsabilités que l’aéroport assumera et
1
quel type d’intervention est requis de l’exploitant . Dans le cadre de leur planification des interventions en
2
cas d’urgence, les exploitants d’aéronefs, ainsi que l’exploitant de l’aéroport, sont tenus de :
a) fournir une formation pour préparer le personnel à faire face aux situations d’urgence ;
b) prendre des dispositions pour gérer les demandes téléphoniques de renseignements concernant la
situation d’urgence ;
1. Voir le Chapitre 18 pour des informations supplémentaires sur la planification des interventions en cas d’urgence aéroportuaire.
2. Voir aussi le Manuel des services d’aéroport (Doc 9137), 7e Partie — Planification des mesures d’urgence aux aéroports.
c) désigner une aire d’attente appropriée pour les passagers indemnes et les « parents et amis » ;
d) fournir une description des tâches du personnel de la compagnie (par ex. qui commande, qui
accueille les passagers dans les aires d’attente) ;
e) recueillir les informations essentielles sur les passagers et coordonner la réponse à leurs besoins ;
f) élaborer des arrangements avec d’autres exploitants et organismes pour fournir un soutien mutuel
pendant une situation d’urgence ;
g) préparer et tenir à jour un kit d’urgence contenant :
1) les fournitures administratives nécessaires (formulaires, papier, insignes nominatifs, ordinateurs,

etc.) ;
2) les numéros de téléphone cruciaux (de médecins, hôtels locaux, interprètes, restaurateurs,
compagnies de transport aérien, etc.).
11.4.2 Lorsqu’un accident d’aéronef se produit sur un aéroport ou à proximité de celui-ci, l’exploitant
d’aéronefs sera tenu de prendre certaines mesures, notamment :
a) se référer au poste de commandement de l’aéroport pour coordonner les activités de l’exploitant

aérien ;
b) aider à la localisation et à la récupération de tout enregistreur de vol ;
c) aider les enquêteurs à identifier les composants de l’aéronef et garantir que les composants
dangereux soient rendus inoffensifs ;
d) fournir des informations concernant les passagers, les membres d’équipage et l’existence de toute
marchandise dangereuse à bord ;
e) transporter les personnes indemnes jusqu’à l’aire d’attente désignée ;
f) prendre des dispositions pour toute personne indemne qui souhaiterait poursuivre son voyage ou
qui aurait besoin d’un logement ou de toute autre forme d’aide ;
g) diffuser les informations aux médias en parfaite coordination avec le responsable des relations
publiques de l’aéroport et la police ;
h) enlever l’aéronef et/ou l’épave sur autorisation de l’autorité d’enquête.
Bien que les informations de ce paragraphe concernent surtout les accidents d’aéronefs, certains de ces
concepts sont aussi valables pour guider les exploitants d’aérodromes et les fournisseurs de services ATS
dans leur processus de planification des interventions en cas d’urgence.
11.5 LISTES DE VÉRIFICATION
Toute personne participant à la première intervention à la suite d’un grave accident d’aéronef subira un
certain choc. Dès lors, le processus d’intervention en cas d’urgence se prête à l’utilisation de listes de
vérification. Ces listes de vérification peuvent faire partie intégrante des Manuels d’exploitation ou
d’intervention en cas d’urgence de la compagnie. Pour être efficaces, ces listes doivent être régulièrement :
a) revues et mises à jour (par ex., les listes de rappel et coordonnées de contact) ;
b) testées au cours d’exercices réalistes.
11.6 FORMATION ET EXERCICES
L’ERP est une déclaration d’intention écrite. Il est à espérer qu’une grande partie de l’ERP ne sera jamais
testée en conditions réelles. Dès lors, une formation est nécessaire pour garantir que les intentions énoncées
dans l’ERP soient soutenues par des capacités opérationnelles. Comme la formation a une courte « durée
utile », il est à conseiller de prévoir des exercices réguliers. Certaines parties de l’ERP, telles que les plans
de rappel et de communication, peuvent être testées au moyen d’exercices sur table. D’autres aspects, tels
que les activités « sur site » auxquelles participent d’autres organismes, doivent faire l’objet d’exercices
réguliers. La tenue d’exercices présente l’avantage de révéler les carences du plan, qui peuvent être
corrigées avant que ne se produise une réelle situation d’urgence.
Chapitre 12
MISE EN PLACE D’UN SYSTÈME DE GESTION

DE LA SÉCURITÉ
12.1 INTRODUCTION
12.1.1 Une gestion efficace de la sécurité requiert une approche systémique de l’élaboration des
politiques, procédures et pratiques relatives à la sécurité afin de permettre à l’organisation d’atteindre ses
objectifs de sécurité. Comme d’autres fonctions de management, la gestion de la sécurité exige planifi-
cation, organisation, communications et fixation d’orientations. La gestion de la sécurité intègre diverses
activités dans un tout cohérent. Un suivi sera nécessaire pour évaluer et valider l’opportunité et l’efficacité
des pratiques de l’organisation en matière de gestion de la sécurité afin de boucler le cycle de la sécurité.
12.1.2 Les besoins de gestion de la sécurité d’une organisation peuvent être satisfaits de plusieurs
manières. Il n’existe pas de modèle unique et universel. La taille, la complexité et le type d’opérations, ainsi
que la culture de l’entreprise en matière de sécurité et l’environnement opérationnel, sont autant de facteurs
qui détermineront la structure la plus adaptée à chaque organisation et à ses circonstances particulières.
Certaines organisations auront besoin d’un système formel de gestion de la sécurité (SGS) (tel que décrit au
Chapitre 5). D’autres requerront l’exécution de la plupart des mêmes fonctions mais selon une approche
moins structurée. Il se peut aussi que des organisations doivent tenir compte des limites de leurs ressources
et ne puissent dès lors mettre en œuvre que quelques activités de gestion de la sécurité.
12.1.3 Le présent chapitre examine les facteurs à prendre en considération lors de la mise en place
d’un SGS. Le choix du degré de formalisme et de rigidité du SGS devrait s’inspirer des besoins de
l’organisation et non d’un respect aveugle de la doctrine. Il est important que la taille et la complexité du
SGS soient adaptées à chaque organisation. Le Chapitre 15 examine quelques-uns des aspects les plus
pratiques de la mise en œuvre d’un SGS.
12.1.4 L’existence d’une culture appropriée de la sécurité au sein de l’organisation est une condition
préalable à la mise en œuvre d’un SGS efficace. Les aspects culturels sont évoqués au Chapitre 4.
Toutefois, comme la culture de la sécurité revêt une importance capitale pour la réussite d’un SGS, les
aspects pertinents d’une culture de la sécurité sont examinés plus en détail à la section 12.2.
12.2 CULTURE DE LA SÉCURITÉ
12.2.1 Une gestion efficace de la sécurité requiert plus que la mise en place d’une structure organi-
sationnelle appropriée et la promulgation de règles et de procédures à appliquer. Elle exige un véritable
engagement de la haute direction à garantir la sécurité. Les attitudes, décisions et méthodes de
fonctionnement au niveau de l’élaboration des politiques révèlent la priorité donnée à la sécurité. La
première indication de l’engagement de l’entreprise à garantir la sécurité apparaît dans la politique et les
objectifs de sécurité énoncés par l’organisation et dans la propension du personnel à croire que les
préoccupations relatives à la sécurité pourraient, le cas échéant, passer avant les objectifs de production.
12-1
12.2.2 Un indicateur clé de l’engagement de la direction à garantir la sécurité réside dans l’octroi de
ressources suffisantes. La mise en place d’une structure de gestion appropriée, l’attribution des responsa-
bilités et obligations redditionnelles et l’affectation de ressources adéquates doivent correspondre aux
objectifs de sécurité explicites de l’organisation. Une dotation suffisante en personnel expérimenté, des
formations pertinentes, données en temps utile, et le financement des équipements et installations
nécessaires sont autant d’éléments indispensables pour créer un environnement de travail dans lequel
chacun prend la sécurité au sérieux.
12.2.3 Des cultures effectives de la sécurité se caractérisent par des liens hiérarchiques clairs, des
tâches bien définies et des procédures bien comprises. Le personnel comprend pleinement ses
responsabilités et sait que signaler, à qui et quand. La haute direction évalue non seulement la performance
financière de l’organisation mais aussi sa performance en matière de sécurité.
12.2.4 Dès lors, la culture de la sécurité relève autant de l’attitude que de la structure et concerne
autant les individus que les organisations. Elle entraîne l’obligation non seulement de percevoir les
problèmes de sécurité mais aussi de les résoudre par l’adoption des mesures appropriées. La culture de la
sécurité porte sur des notions abstraites telles que les attitudes personnelles et le style de l’organisation.
Elle est donc difficile à évaluer, surtout lorsque le principal critère d’évaluation de la sécurité est l’absence
d’accidents et d’incidents. Toutefois, les attitudes personnelles et le style de l’entreprise permettent ou
facilitent les actes et circonstances dangereux qui sont les précurseurs d’accidents et d’incidents.
12.3 LES DIX ÉTAPES DE LA MISE EN PLACE D’UN SGS
12.3.1 Lancer un processus efficace de gestion de la sécurité et en assurer le fonctionnement peut

constituer un énorme défi. L’adoption d’une approche systémique contribuera à garantir la présence des
éléments nécessaires à l’élaboration d’un système efficace. La présente section décrit les dix étapes de
l’intégration des divers éléments dans un SGS cohérent. Une mise en œuvre simultanée de toutes les
fonctions d’un SGS représenterait une tâche titanesque, voire impossible. Il est donc préférable de réaliser
ces étapes progressivement afin de permettre à l’organisation de s’adapter et de se familiariser aux
exigences et résultats de chaque étape, avant d’aller plus loin.
12.3.2 Bien que l’ordre des étapes décrit ci-dessous réponde à une certaine logique, il n’est pas
normatif. Certaines étapes peuvent être retardées, dans l’attente d’un moment plus opportun. La liste type de
vérification et de confirmation fournie permet d’assurer le suivi des progrès en mettant en évidence les
initiatives à prendre à mesure que l’on avance dans la mise en œuvre des diverses étapes.
ÉTAPE 1 : PLANIFICATION
S’inscrivant dans la logique des pratiques générales de gestion, la gestion de la sécurité commence par une
planification rigoureuse. Une organisation qui s’efforce d’améliorer ses processus de gestion de la sécurité
serait bien avisée de désigner un groupe de cadres hiérarchiques principaux et la personne la plus
susceptible d’être nommée directeur de la sécurité (DS) de l’organisation pour mener à bien cette phase de
planification.
Analyse
Le groupe de la planification (ou de la mise en place) pourra peut-être s’appuyer sur des atouts existants
en réalisant l’inventaire des capacités actuelles de gestion de la sécurité de l’organisation (y compris
l’expérience, la connaissance, les processus, procédures, ressources, etc.). Il faut identifier les lacunes
Chapitre 12. Mise en place d’un système de gestion de la sécurité 12-3
dans l’expérience acquise en matière de gestion de la sécurité et déterminer les ressources nécessaires
pour contribuer à l’élaboration et à la mise en œuvre d’un SGS. De nombreuses unités opérationnelles
disposent peut-être déjà de procédures internes pour les enquêtes sur les incidents, l’identification des
dangers, le contrôle de la sécurité, etc. Il conviendrait d’examiner ces dispositifs et d’éventuellement les
modifier pour les intégrer dans le SGS. Il est important que l’organisation recycle le plus de procédures
existantes possible, car il n’est pas nécessaire de remplacer des procédures et processus connus et
efficaces. En s’appuyant sur un tel acquis, la création d’un SGS engendrera moins de perturbations.
Pendant ce processus d’analyse, le groupe de la planification devrait aussi étudier les bonnes pratiques du
secteur dans le domaine de la gestion de la sécurité en consultant d’autres organisations ayant une taille et
une mission similaires.
Évaluation de la sécurité
La conception et la mise en œuvre d’un SGS représenteront probablement pour l’organisation un grand
changement, qui est susceptible de générer de nouveaux dangers pour la sécurité. L’outil qui pourrait
utilement aider le groupe de la planification à résoudre ce problème est l’évaluation de la sécurité (telle que
décrite au Chapitre 13). La synergie d’un groupe de gestionnaires expérimentés qui, de façon systématique,
remettent en question tous les aspects de l’approche tant actuelle que planifiée de la gestion de la sécurité de
l’organisation devrait réduire le risque de surprises lors de la mise en œuvre du SGS, améliorer la connais-
sance qu’a le groupe de la situation actuelle et des besoins et préparer la voie pour la mise en œuvre effective
du changement.
Indicateurs de performance en matière de sécurité et objectifs de sécurité
En matière de sécurité, le groupe de la planification devrait définir des indicateurs de performance pour
l’organisation et fixer à celle-ci des objectifs de performance (comme décrit aux Chapitres 1 et 5). Ces
indicateurs et objectifs doivent être réalistes, c’est-à-dire qu’ils doivent tenir compte de la taille et de la
complexité de l’organisation, ainsi que du type d’exploitation, des ressources disponibles, etc. Il faut aussi
convenir d’un calendrier réaliste pour la réalisation des objectifs. Même si ces indicateurs et ces objectifs
peuvent s’avérer difficiles à établir, ce sont eux qui serviront de base pour évaluer le succès d’un SGS.
Stratégie de sécurité
En se basant sur les objectifs de sécurité convenus, le groupe de la planification peut élaborer une stratégie
réaliste pour répondre aux besoins. Cette stratégie devra probablement combiner des éléments réactifs et
proactifs (comme le décrit le Chapitre 5). Elle devrait aussi tenir compte des types de processus et
d’activités de sécurité qui seront utilisés (tels qu’esquissés dans les étapes suivantes). En fonction du
nombre de nouvelles initiatives à l’étude et de la disponibilité des ressources, il pourrait être souhaitable
d’adopter une approche graduelle. La stratégie peut aussi définir le degré de formalisme qu’une organi-
sation doit donner à son « système de gestion de la sécurité ». Une participation de la haute direction à
l’élaboration de la stratégie sera nécessaire.
Le plan
La phase de planification devrait aboutir à un plan détaillé pour l’élaboration et la mise en œuvre du SGS.
Généralement, la planification portera sur une durée d’un à trois ans. Le plan devrait aborder des aspects tels
que les objectifs de sécurité, la stratégie de sécurité, les processus et activités de gestion de la sécurité, les
implications en termes de ressources et les échéanciers.
Liste type de vérification et de confirmation n° 1

PLANIFICATION
¾ Un groupe de la planification de la sécurité et un directeur de la sécurité

ont été désignés.
¾ Le groupe de la planification :
— dispose d’une base d’expérience appropriée ;

— rencontre régulièrement la haute direction ;
— reçoit des ressources (y compris du temps pour les réunions).
¾ Le groupe de la planification élabore une stratégie et un plan de mise en

œuvre réalistes pour instaurer un SGS qui répondra aux besoins de
¾ La haute direction approuve le plan.
ÉTAPE 2 : ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ
La responsabilité ultime de la sécurité incombe aux directeurs et aux cadres dirigeants de l’organisation.
Tout le système de valeurs qui sous-tend l’attitude d’une organisation vis-à-vis de la sécurité — autrement
dit toute sa culture de la sécurité — est déterminé dès le départ par la mesure dans laquelle les cadres
dirigeants acceptent la responsabilité de la sécurité des opérations et en particulier de la gestion proactive
des risques.
Indépendamment des notions de taille, de complexité ou de type d’opérations, le succès d’un SGS dépendra
de la mesure dans laquelle les instances de direction consacrent le temps, les ressources et l’attention
nécessaires à la sécurité en temps que question essentielle de management. Sur ce point, les actes sont
plus éloquents que tous les discours. Ce sont les actes visibles que posera la direction dans le domaine de
la sécurité qui détermineront la culture de la sécurité (et par conséquent la performance en matière de
sécurité) de l’organisation.
Les politiques et objectifs de sécurité énoncent le résultat que l’organisation s’efforce d’atteindre et les
moyens qu’elle mettra en œuvre pour y parvenir. La volonté de la direction de garantir la sécurité est
d’abord communiquée à tout le personnel de l’organisation par la publication d’une politique et d’objectifs
explicites de sécurité.
Politique de sécurité
L’engagement de la direction à garantir la sécurité devrait être exprimé officiellement dans la politique de sécurité
de l’organisation. Celle-ci devrait refléter la philosophie de gestion de la sécurité de l’organisation et devrait
devenir la base sur laquelle l’organisation fondera son SGS. La politique de sécurité expose les méthodes et
processus qu’utilisera l’organisation pour atteindre les objectifs de sécurité souhaités et sert à rappeler « les
bases sur lesquelles nous travaillons ici ». L’instauration d’une culture positive de la sécurité commence par la
publication d’orientations claires, sans équivoque.
Une politique de sécurité peut revêtir plusieurs formes mais inclura généralement des déclarations concernant :
— l’objectif général de sécurité de l’organisation ;

— l’engagement de la haute direction à atteindre l’objectif de garantir que tous les aspects des opérations
répondent aux objectifs de performance en matière de sécurité ;
— un engagement de l’organisation à affecter les ressources nécessaires à la gestion efficace de la

sécurité ;
— un engagement de l’organisation à accorder la plus haute priorité à la garantie de la sécurité ;
— la politique de l’organisation concernant la responsabilité et les obligations redditionnelles en matière

de sécurité à tous les niveaux de l’organisation.
Cette politique de sécurité devrait être un document écrit, publié sous l’autorité du niveau de direction le plus
élevé de l’organisation, approuvé par les autorités de réglementation et communiqué à tout le personnel. Un
exemple de déclaration de politique de sécurité d’une entreprise est présenté à l’Appendice 1 à ce chapitre.
Cette déclaration de politique exprime de façon tangible l’engagement de la haute direction à garantir la
sécurité. En lieu et place de ce type de politique de sécurité, il est possible de publier une déclaration par
laquelle le directeur général s’engage à respecter les normes les plus élevées de sécurité. Un exemple de
sujets pouvant être inclus dans une telle déclaration est présenté à l’Appendice 2 à ce chapitre.
Au cours de l’élaboration d’une politique de sécurité, les instances dirigeantes devraient entreprendre une
large consultation des membres clés du personnel responsables de domaines cruciaux pour la sécurité.
Cette consultation garantira que le document présente un intérêt direct pour le personnel, qui aura
l’impression d’y avoir en quelque sorte contribué. La politique de sécurité de l’entreprise doit aussi être
conforme aux réglementations de l’État concerné.
Objectifs de sécurité
La politique de sécurité (et la culture de la sécurité) est étroitement liée à la façon dont une organisation fixe
ses objectifs de sécurité. Des objectifs clairs peuvent générer un engagement à agir qui améliorera la sécurité
de l’organisation. De rares organisations fixent leurs objectifs de façon formelle, exposant clairement leur
philosophie, définissant les résultats souhaités, énonçant les progrès réalisables pour atteindre ces objectifs et
documentant le processus. Elles ont convenu d’indicateurs pertinents de performance en matière de sécurité
et ont adopté des objectifs réalistes de performance en matière de sécurité.

ENGAGEMENT DES INSTANCES DE DIRECTION À GARANTIR LA SÉCURITÉ
¾ La haute direction participe — et souscrit — au SGS.
¾ La haute direction a approuvé la politique et les objectifs de sécurité de l’organisation, le plan

de mise en œuvre du SGS et les normes de sécurité des opérations.
¾ Ces éléments sont communiqués à tout le personnel, avec l’approbation visible des instances
de direction.
¾ La politique de sécurité a été élaborée par la direction et le personnel et a été signée par le
Directeur général. La politique de sécurité :
— bénéficie de l’engagement et de la participation de tout le personnel ;

— est conforme à d’autres politiques opérationnelles ;
— donne des orientations pour mettre en œuvre la politique ;
— stipule les responsabilités et obligations redditionnelles des directeurs, des gestionnaires et

du personnel ;
— est traduite dans les actes et décisions de tout le personnel ;
— a été communiquée à tout le personnel ;
— est réexaminée régulièrement.
¾ Les objectifs et buts de sécurité sont pratiques et réalisables et sont revus régulièrement pour
vérifier leur pertinence.
¾ Des normes de performance (y compris les échéances) sont fixées.
¾ Les responsabilités relatives à l’exécution des mesures sont clairement comprises.
¾ Les directeurs assurent le suivi des mesures et obligent les responsables à rendre compte des
progrès réalisés dans la poursuite des objectifs de sécurité fixés.
¾ Des ressources appropriées sont octroyées pour assister le directeur de la sécurité.
¾ La haute direction engage des ressources pour éliminer les dangers posant des risques
inacceptables.
¾ La haute direction a créé une chaîne appropriée de comptes rendus pour les questions de
sécurité.
¾ La haute direction encourage activement la participation aux divers programmes de sécurité du

SGS.
¾ La haute direction encourage une culture positive de la sécurité en vertu de laquelle :
— les informations relatives à la sécurité sont recherchées activement ;

— le personnel est formé pour assumer ses responsabilités en matière de sécurité ;
— la sécurité est une responsabilité partagée ;
— les informations liées à la sécurité sont diffusées à tout le personnel concerné ;
— les déficiences et dangers potentiels du système mènent promptement à des enquêtes de
la direction et à toute réforme nécessaire ;
— un programme formel est en place pour évaluer régulièrement les performances en matière
de sécurité ;
— de nouvelles idées liées à la sécurité sont accueillies favorablement.
ÉTAPE 3 : ORGANISATION
Les méthodes de fonctionnement et de gestion de la sécurité que choisit une organisation influenceront la
capacité de cette organisation à résister à l’adversité (ou à des situations dangereuses) et sa capacité à
réduire les risques. Plusieurs points doivent impérativement être pris en considération lors de la mise en
place d’une structure efficace de soutien d’un SGS. Il faut notamment :
— désigner un DS ;
— avoir une structure organisationnelle qui facilite la gestion de la sécurité ;
— disposer d’un énoncé des responsabilités et obligations redditionnelles ;
— créer un comité de sécurité ;
— assurer la formation et la compétence.

Directeur de la sécurité (DS)
Une des premières tâches à accomplir lors de la mise en place d’un SGS est la désignation d’un DS. Les
activités de gestion de la sécurité requièrent un coordonnateur (ou un ardent défenseur) capable de stimuler
les changements systémiques nécessaires pour rendre la sécurité effective dans toute l’organisation. Dans
la plupart des organisations, la meilleure solution à cette fin est de désigner un DS à temps plein, qui fera
partie de l’équipe directoriale de l’organisation. Ce DS sera notamment chargé de sensibiliser à la sécurité
et de veiller à ce que la gestion de la sécurité reçoive, dans toute l’organisation, le même niveau de priorité
que tout autre processus. Toutefois, dans de petites organisations, la fonction de DS peut faire partie des
compétences du directeur de l’organisation.
La gestion de la sécurité est une responsabilité partagée par chaque cadre hiérarchique et soutenue par le
DS. Les activités spécifiques de sécurité incombent aux cadres hiérarchiques. Les cadres dirigeants ne
doivent pas demander au DS des comptes concernant les responsabilités des cadres hiérarchiques ;
toutefois, il incombe au DS de mettre à la disposition de tous les cadres hiérarchiques du personnel
auxiliaire efficace afin de garantir le succès du SGS de l’organisation. Alors que le DS peut être tenu de
rendre des comptes pour toute lacune dans le SGS même, il ne devrait pas être tenu pour responsable de
la performance de l’organisation en matière de sécurité.
L’idéal serait que le DS ait la sécurité pour seule responsabilité. Ce serait généralement le cas dans de
grandes organisations où un poste de DS à temps plein peut se justifier. Dans de petites organisations, il se
peut que la gestion de la sécurité doive incomber à un directeur ayant d’autres tâches. Dans de tels cas,
pour éviter d’éventuels conflits d’intérêts, il serait préférable que la personne responsable de la gestion de la
sécurité n’ait pas de responsabilité directe dans les domaines des opérations ou de l’ingénierie. Que les
fonctions de DS soient exercées à temps plein ou intégrées aux responsabilités du directeur désigné, les
devoirs et responsabilités liés à ce poste seront les mêmes. Quelle que soit la situation, le DS est un
membre de l’équipe directoriale de l’organisation et doit se situer à un niveau suffisamment élevé dans la
hiérarchie directoriale pour qu’il puisse communiquer directement avec d’autres cadres dirigeants.
Le DS devrait être chargé de gérer tous les aspects du fonctionnement du SGS. Ainsi, il devrait notamment
veiller à ce que la documentation concernant la sécurité reflète exactement l’environnement existant,
contrôler l’efficacité des mesures correctrices, fournir des rapports réguliers sur les performances en matière
de sécurité et donner au Directeur général, aux cadres dirigeants et à d’autres membres du personnel des
conseils indépendants sur des questions liées à la sécurité.
Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 au Chapitre 15.
Structure organisationnelle et énoncé des responsabilités et obligations redditionnelles
Deux approches différentes de la structure organisationnelle d’un exploitant qui répondent aux exigences de
gestion de la sécurité sont décrites aux Figures 12-1 et 12-2. Toutes deux sont conçues pour soutenir un
SGS cohérent.
L’exemple A présenté à la Figure 12-1 se rencontre couramment dans les organisations ayant une bonne
cote de sécurité. Le Responsable de la sécurité aérienne (FSO) relève directement du directeur des
opérations aériennes. Toutefois, le FSO n’a pas de responsabilités de gestion de la sécurité dans d’autres
départements. Pour couvrir les questions de sécurité dans le département de la maintenance, un
responsable de la sécurité de la maintenance, rattaché directement au Directeur de la maintenance, assure
une coordination informelle avec le FSO par le biais du « Bureau de la sécurité ». Bien que, dans cet
organigramme, le Bureau de la sécurité soit placé de façon informelle sous l’autorité de la direction, cette
structure n’encourage pas vraiment une approche systémique de la gestion de la sécurité. Au contraire,
l’organisation s’intéresse aux questions de sécurité uniquement sous l’angle des opérations aériennes et de
la maintenance.
Dans l’exemple B présenté à la Figure 12-2, tant le DS que le gestionnaire de l’assurance qualité assument
des fonctions du SGS. Toutefois, tous deux sont placés sous l’autorité directe du Directeur général. Les
fonctions de sécurité sont distribuées à travers toute l’organisation, aux départements des opérations, de la
maintenance et à d’autres encore. Le DS et le gestionnaire de l’assurance qualité se concertent ensuite
entre eux et avec les chefs de département afin d’aider ceux-ci à assumer leurs fonctions de gestion de la
sécurité. Le modèle B élargit le centre de l’attention par rapport au modèle A et correspond mieux à
l’approche systémique de la gestion de la sécurité.
Les modifications de la structure organisationnelle devraient être évaluées afin de déterminer si elles auront
une quelconque incidence sur les responsabilités et obligations redditionnelles en matière de sécurité. Tout
amendement nécessaire aux responsabilités et obligations redditionnelles précédentes devrait être documenté
de façon appropriée.
Comité de sécurité
Non seulement il est nécessaire qu’un groupe de cadres hiérarchiques effectuent la planification initiale d’un
SGS (Étape 1), mais il peut aussi être souhaitable de créer un comité de sécurité. La nécessité et la
structure d’un comité de sécurité dépendront de la taille de l’organisation. Dans de petites organisations, où
la structure organisationnelle comporte relativement peu d’échelons entre le niveau de travail et le niveau de
la direction, le besoin de créer un comité de sécurité peut être moins impérieux.
Un comité de sécurité sera généralement créé au niveau de la haute direction et comptera comme membres
le DS ainsi que d’autres cadres dirigeants. L’objectif d’un comité de sécurité est de fournir un forum où se
discuteront les questions liées à la performance de l’organisation en matière de sécurité et à la santé du
SGS. Le comité de sécurité émet des recommandations relatives aux décisions portant sur la politique de la
sécurité et examine les résultats de la performance en matière de sécurité. Pendant la phase initiale de
mise en œuvre d’un SGS, le comité de sécurité analysera aussi les progrès réalisés dans le processus de
mise en œuvre. Le mandat du comité de sécurité devrait être documenté dans le manuel de gestion de la
Des éléments indicatifs supplémentaires sur les comités de sécurité sont inclus dans le Chapitre 15.
Formation et compétence
Pour assurer la sécurité, il est fondamental de disposer d’un personnel qui a les compétences nécessaires
pour assumer ses tâches. Les exigences de compétence et, le cas échéant, des exigences en matière de
licences devraient être explicitées dans la description des fonctions de chaque poste lié à la sécurité. Ces
exigences devraient ensuite être intégrées dans les critères de recrutement et dans la formation interne
pour ces postes.
Tous les cadres hiérarchiques devraient être tenus d’assurer le maintien des compétences du personnel
occupant des postes liés à la sécurité dans les domaines qui relèvent de leur responsabilité. Cette obligation
s’étend aussi au respect des exigences en matière de recyclages réguliers.
Tous les programmes de formation devraient proposer des cours sur les aspects du SGS et procédures
connexes qui concernent le poste en question.
Des éléments indicatifs sur la formation à la gestion de la sécurité sont inclus dans le Chapitre 15.

ORGANISATION
¾ La structure organisationnelle facilite :
— les lignes de communication entre le DS et le DG et avec les cadres hiérarchiques ;

— une définition claire des pouvoirs, obligations redditionnelles et responsabilités, afin d’éviter
tout malentendu, chevauchement et conflit (par ex. entre le DS et les cadres hiérarchiques) ;
— l’identification des risques et la supervision de la sécurité.
¾ Un DS (disposant des compétences et capacités appropriées) a été désigné.
¾ Les rôles et responsabilités du DS (et de tout membre du personnel) sont clairement définis et
explicités.
¾ Un comité de sécurité se réunit régulièrement pour examiner les résultats en matière de

sécurité et émettre des recommandations à l’attention de la haute direction.
¾ Le DS (et tout membre du personnel) a/ont reçu une formation appropriée à la sécurité.
¾ Le personnel et la direction comprennent et soutiennent les rôles du DS, et le DS bénéficie du

soutien du Directeur général.
ÉTAPE 4 : IDENTIFICATION DES DANGERS
Les risques et coûts inhérents à l’aviation commerciale exigent un processus décisionnel rationnel. Il est
indispensable de mettre en œuvre des processus de gestion des risques pour assurer l’efficacité du
programme de gestion de la sécurité. Non seulement il n’est pas toujours possible d’éliminer les risques
mais, en outre, toutes les mesures de gestion de la sécurité imaginables ne sont pas réalisables d’un point
de vue économique. La gestion des risques facilite la recherche d’une solution de compromis en commençant
par l’identification des dangers.
Comme indiqué au Chapitre 5, la création et l’application de programmes effectifs d’identification des dangers
constituent des éléments fondamentaux d’une gestion efficace de la sécurité. Toute organisation peut
s’inspirer d’un large éventail d’activités de sécurité pour identifier les dangers ou les questions de sécurité
justifiant la prise de mesures supplémentaires. Certaines de ces questions peuvent découler de dangers
spécifiques pour la sécurité qui menacent une partie des opérations. D’autres questions méritant attention
peuvent résulter de lacunes organisationnelles à l’origine du non-fonctionnement des dispositifs systémiques
de sécurité prévus.
L’identification des dangers peut avoir un caractère réactif ou proactif. Le contrôle des tendances, les
comptes rendus d’événements liés à la sécurité et les enquêtes sont essentiellement réactifs. D’autres
processus d’identification des dangers cherchent activement à obtenir des retours d’information en
observant et analysant les opérations quotidiennes de routine. Voici quelques exemples des activités de
sécurité les plus courantes, susceptibles de se prêter à des processus formels au sein de l’organisation :
— évaluations de la sécurité ;
— contrôle des tendances ;

Titulaire d’un certificat

(Gestionnaire supérieur responsable)
Directeurs des opérations Directeur de la maintenance

aériennes
Responsable de la sécurité Responsable de la sécurité

aérienne de la maintenance
Directeur de la sécurité
Liens hiérarchiques officiels

Circuit informel de communication
Figure 12-1. Organigramme de gestion de la sécurité d’un exploitant : Exemple A
Directeur général
Directeur de la sécurité Directeur de l’assurance qualité
Opérations Maintenance Autres
Liens hiérarchiques officiels

Circuit informel de communication
Figure 12-2. Organigramme de gestion de la sécurité d’un exploitant : Exemple B

— comptes rendus d’incidents ;
— enquêtes sur la sécurité et audits de sécurité ;
— processus proactifs d’identification des dangers (tels que FDA, LOSA et NOSS).
Les Chapitres 16 et 17 décrivent plusieurs processus de sécurité réputés efficaces pour l’identification des
dangers. La volonté d’utiliser plusieurs processus différents d’identification des dangers témoigne d’un
engagement à assurer la sécurité.
Pour porter ses fruits, le processus d’identification des dangers doit s’inscrire dans une culture de sécurité
non punitive (ou juste). Il est de l’intérêt de la direction d’être informée des faiblesses potentielles du filet de
sécurité du système qui sont susceptibles d’entraîner un accident ou de compromettre d’autre manière
l’efficacité des opérations. Un blâme n’est justifié que lorsque des individus se rendent coupables de
négligences ou d’imprudences. Si les travailleurs opèrent dans un climat de peur ou de sanction en cas de
bévues, inattentions et erreurs normales dans leurs tâches quotidiennes, erreurs et conditions dangereuses
ne seront probablement jamais révélées.

IDENTIFICATION DES DANGERS
¾ Des mécanismes formels (tels que des évaluations des risques et des audits de sécurité) sont
instaurés pour l’identification systématique des dangers.
¾ Un système de comptes rendus d’événements est en vigueur et comprend un système volontaire

de comptes rendus d’incidents.
¾ La direction a mis des ressources adéquates à disposition pour l’identification des dangers.
¾ Le personnel reçoit la formation nécessaire pour soutenir les programmes d’identification des
dangers.
¾ Un personnel compétent gère les programmes d’identification des dangers et assure leur
adéquation par rapport aux opérations existantes.
¾ Le personnel concerné par tout incident enregistré ou rapporté est conscient qu’il ne sera pas
sanctionné pour des erreurs normales ; un environnement non punitif (juste) est favorisé par la
direction.
¾ Toutes les données sur les dangers identifiés sont systématiquement enregistrées, stockées et
analysées.
¾ Des mesures de sécurité sont en vigueur pour protéger tout élément sensible.
ÉTAPE 5 : GESTION DES RISQUES
La gestion des risques comprend trois éléments essentiels : l’identification des dangers, l’évaluation des
risques et l’atténuation des risques. Elle requiert l’analyse et l’élimination (ou tout au moins une réduction à
un niveau acceptable) des dangers qui menacent la viabilité d’une organisation. La gestion des risques sert
à concentrer les efforts de sécurité sur les dangers les plus graves. Tous les dangers identifiés sont soumis
à une évaluation critique et classés en fonction de leur potentiel de risque. Cette évaluation peut être
réalisée subjectivement par du personnel expérimenté ou effectuée au moyen de techniques plus formelles
requérant souvent des compétences particulières en analyse.
Les facteurs à prendre en considération sont la probabilité que l’événement se produise et la gravité des
conséquences d’un tel événement. Lors de l’évaluation des risques, il faut aussi évaluer les moyens de
défense instaurés pour se protéger des dangers. L’absence de tels moyens de défense, leur utilisation
abusive, leur mauvaise conception ou leur état sont autant de facteurs susceptibles de favoriser une
occurrence ou d’exacerber les risques. Un tel processus d’évaluation des risques permet de déterminer si
les risques sont gérés ou maîtrisés de façon appropriée. Si les risques sont acceptables, les opérations
peuvent se poursuivre. Si les risques sont inacceptables, des mesures doivent être prises pour renforcer les
moyens de défense ou éliminer ou éviter le danger.
Il existe généralement tout un éventail de mesures de maîtrise des risques capables de réduire la vulnéra-
bilité à des risques identifiés. Il faut évaluer chaque option de maîtrise des risques ainsi que les risques
résiduels et réaliser une analyse coûts-avantages. Après avoir arrêté un plan d’action, la direction doit
communiquer ses préoccupations en matière de sécurité et les actions planifiées à toutes les personnes
concernées.
La gestion des risques est examinée plus en détail au Chapitre 6.

GESTION DES RISQUES
¾ Des critères sont fixés pour l’évaluation des risques.
¾ Les risques sont analysés et classés par du personnel compétent (y compris des représentants
expérimentés du personnel).
¾ Des mesures viables de maîtrise des risques sont évaluées.
¾ La direction prend des mesures pour réduire, éliminer ou éviter les risques.
¾ Le personnel est au courant des mesures prises pour éviter ou éliminer les dangers identifiés.
¾ Des procédures en vigueur permettent de confirmer que les mesures prises donnent les
résultats escomptés.
ÉTAPE 6 : CAPACITÉ D’ENQUÊTE
Les enquêtes sur des événements liés à la sécurité révèlent souvent l’existence préalable de plusieurs
signaux d’alerte ou signes précurseurs. Les enquêtes sur ces événements peuvent identifier de tels signaux
d’alerte, ce qui permettra à l’avenir de reconnaître des signaux similaires avant qu’ils ne provoquent une
occurrence.
Alors que l’État peut enquêter sur des accidents qui doivent obligatoirement être signalés et sur des
incidents graves, un SGS efficace donne la capacité d’enquêter sur de tels événements dans une optique
propre à l’organisation. La valeur de telles enquêtes pour la gestion de la sécurité sera fonction de la qualité
de l’enquête menée. En effet, en l’absence d’une méthodologie structurée, il est difficile d’intégrer et
d’analyser toutes les informations pertinentes livrées par de telles enquêtes en vue de procéder à une
évaluation efficace, de classer les risques par ordre de priorité et de recommander toute mesure nécessaire
pour promouvoir la sécurité. La détermination des responsabilités n’a pas sa place dans de telles enquêtes
sur la sécurité.
Pour dégager les leçons à tirer d’un événement lié à la sécurité, il faut bien comprendre non seulement ce
qui s’est produit mais aussi pourquoi. Pour bien cerner les causes d’un événement, il faut une enquête qui
dépasse les raisons évidentes et s’applique à repérer tous les facteurs secondaires, dont certains peuvent
être liés aux faiblesses des défenses du système ou à d’autres aspects organisationnels.
Le Chapitre 8 contient de plus amples informations sur les enquêtes de sécurité.

CAPACITÉ D’ENQUÊTE
¾ Du personnel opérationnel clé a reçu une formation officielle sur les enquêtes de sécurité.
¾ Chaque compte rendu de danger et d’incident est évalué et mène, si nécessaire, à une
enquête de sécurité plus approfondie.
¾ La direction soutient l’acquisition et l’analyse des informations relatives à la sécurité.
¾ La direction s’intéresse activement aux résultats de l’enquête et applique des procédures de

gestion des risques aux dangers repérés.
¾ Les leçons tirées en termes de sécurité sont largement diffusées.
¾ L’autorité de réglementation est informée des préoccupations de sécurité majeures qui sont
susceptibles d’avoir des incidences sur d’autres exploitants, ou qui nécessitent la prise de
mesures par l’autorité de réglementation.
ÉTAPE 7 : CAPACITÉ D’ANALYSE DE LA SÉCURITÉ
L’analyse de la sécurité est le processus qui consiste à organiser et évaluer les faits en toute objectivité.
Suivant les règles fondamentales de la logique et s’appuyant sur des méthodologies et des outils analy-
tiques reconnus, elle examine les faits de façon systématique, de manière à pouvoir tirer des conclusions
valables. L’analyse de la sécurité diffère de la procédure contradictoire utilisée par les tribunaux en ce sens
qu’elle évalue toutes les facettes de toute situation. Si elle est bien faite, d’autres personnes suivant le
même raisonnement arriveront aux mêmes conclusions.
L’analyse de la sécurité s’applique à des domaines tels que :
a) l’analyse des tendances ;
b) les enquêtes sur les événements ;
c) l’identification des dangers ;
d) l’évaluation des risques ;

e) l’évaluation des mesures d’atténuation des risques ;
f) le contrôle de la performance en matière de sécurité.
L’analyse de la sécurité requiert des aptitudes et une expérience particulières. Il faut de solides capacités
d’analyse pour avancer des arguments convaincants en faveur du changement. Le Chapitre 9 contient de
plus amples informations sur l’analyse de la sécurité.

CAPACITÉ D’ANALYSE DE LA SÉCURITÉ
¾ Le DS a une expérience des méthodes d’analyse ou a été formé à ces méthodes ou a accès à
du personnel compétent en analyse de la sécurité.
¾ Les outils d’analyse (et le soutien de spécialistes) sont disponibles pour soutenir les analyses
de la sécurité.
¾ L’organisation tient à jour une base de données de sécurité crédible.
¾ D’autres sources d’informations sont accessibles.
¾ Les données relatives aux informations sur des dangers et à la performance sont régulièrement
contrôlées (analyse des tendances, etc.).
¾ Les analyses de la sécurité sont soumises à un processus de contrôle par les pairs.
¾ Des recommandations de sécurité sont faites à la direction et des mesures correctives sont
prises et soumises à un suivi afin de garantir leur pertinence et leur efficacité.
ÉTAPE 8 : PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ
L’organisation améliore l’état de sa sécurité en tenant le personnel au courant des questions de sécurité en
cours par le biais de formations judicieuses, de publications sur la sécurité, de participations à des cours et
séminaires sur la sécurité, etc. L’offre de formations judicieuses à tous les membres du personnel (quel que
soit leur domaine professionnel) constitue une indication de l’engagement de la direction à assurer un SGS
efficace. (Une direction moins motivée peut considérer la formation comme un coût plutôt que comme un
investissement dans la viabilité future de l’organisation.)
De nouveaux membres du personnel doivent savoir ce que l’on exige d’eux et comment fonctionne le SGS
de l’organisation. Les cours d’initiation devraient mettre l’accent sur « les bases sur lesquelles nous
travaillons ici ». Il est possible que des agents plus expérimentés aient besoin de recyclages sur des
processus de sécurité spécifiques dans lesquels leur participation directe peut être requise, notamment les
systèmes FDA, LOSA ou NOSS. Indépendamment de leur niveau d’expérience, tous les membres du
personnel reçoivent des informations en retour sur les dangers repérés, les mesures de sécurité prises, les
leçons tirées en termes de sécurité, etc.
Le DS est le conseiller technique logique qui donne le point de vue de l’entreprise sur l’approche de la
gestion de la sécurité adoptée par l’organisation. Toute une gamme d’outils sont disponibles pour aider le
DS dans son rôle de promotion de la sécurité. (Voir le Chapitre 15 pour obtenir des éléments indicatifs dans
ce domaine.)

PROMOTION DE LA SÉCURITÉ ET FORMATION À LA SÉCURITÉ
¾ La direction reconnaît que tous les niveaux de l’organisation requièrent une formation à la gestion
de la sécurité et que les besoins varient d’un service à l’autre.
¾ Les descriptions des fonctions reflètent les exigences en termes de compétences.
¾ Tout le personnel reçoit un cours d’initiation à la sécurité et participe à des formations permanentes
spécifiques à la gestion de la sécurité.
¾ L’organisation dispose d’un programme efficace visant à promouvoir les questions de sécurité en
temps utile.
¾ Le personnel est conscient du rôle qu’il a à jouer dans les éléments du SGS qui concernent ses tâches.
¾ Une formation supplémentaire de sensibilisation à la sécurité est fournie lorsque des changements
sont apportés à l’environnement opérationnel (changements saisonniers, modifications des condi-
tions d’exploitation, des exigences réglementaires, etc.).
¾ Le personnel comprend que la gestion de la sécurité ne vise nullement à incriminer qui que ce soit.
ÉTAPE 9 : DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ ET

GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ
Pour assurer une gestion responsable de la sécurité, les organisations performantes suivent une approche
disciplinée de la gestion de la documentation et de l’information. Une documentation officielle est requise
pour constituer la base de référence du SGS. Cette documentation clarifie la relation de la direction de la
sécurité avec les autres fonctions au sein de l’organisation, la façon dont les activités de gestion de la
sécurité s’intègrent à ces autres fonctions et la relation entre les activités de gestion de la sécurité et la
politique de sécurité de l’organisation. Généralement, ces informations sont reprises dans un manuel de
L’application d’un SGS génère de grandes quantités d’informations, tantôt sous forme de documents
imprimés, tantôt sous forme de données en format électronique, notamment des comptes rendus d’événe-
ments et des notices d’identification de dangers. Bien gérées, ces informations peuvent bien servir le SGS,
surtout le processus de gestion des risques. Toutefois, en l’absence des outils et compétences nécessaires
pour enregistrer, stocker, sauvegarder et extraire les renseignements requis, de telles informations sont
souvent dénuées d’intérêt et leur collecte se révèle une perte de temps. (Les Chapitres 9 et 15 contiennent
des éléments indicatifs sur l’utilisation et la gestion des données et informations concernant la sécurité.)
Il est important que l’organisation tienne un registre des mesures prises pour atteindre les objectifs du SGS.
Un registre des mesures prises pour maîtriser les risques et garantir le respect de niveaux adéquats de
sécurité sera peut-être requis en cas d’enquête de l’État sur un accident ou un incident grave. Ces registres
devraient être suffisamment détaillés pour assurer la traçabilité de toutes les décisions liées à la sécurité.
Le manuel de gestion de la sécurité de l’organisation devrait fournir les éléments indicatifs nécessaires pour
incorporer les activités de sécurité de l’organisation dans un système cohérent et intégré de sécurité. Il est
l’instrument qui permet à la direction de communiquer l’approche de la sécurité appliquée à l’ensemble de
l’organisation. Ce manuel devrait traiter tous les aspects du SGS, y compris la politique de sécurité, les
obligations redditionnelles de chacun en matière de sécurité, les procédures de sécurité, etc.

DOCUMENTATION SUR LA GESTION DE LA SÉCURITÉ
ET GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ
¾ La direction appuie la nécessité d’une documentation et d’un contrôle des données minutieux.
¾ Le SGS est bien explicité dans un manuel de gestion de la sécurité.
¾ Les documents sont mis à jour régulièrement et sont facilement accessibles à ceux qui en ont
besoin.
¾ Des mesures crédibles ont été prises pour la protection des informations sensibles concernant
la sécurité.
¾ Les équipements et le soutien technique appropriés sont disponibles pour gérer les infor-
mations sur la sécurité.
¾ Des bases de données sur la sécurité sont utilisées pour faciliter les analyses de la sécurité et
le contrôle des performances.
¾ Le personnel adéquat a accès aux bases de données sur la sécurité.
¾ Le personnel a reçu la formation nécessaire pour tenir à jour et utiliser le système de gestion
des informations sur la sécurité.
ÉTAPE 10 : SUPERVISION DE LA SÉCURITÉ ET

CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ
Une approche systémique de la gestion de la sécurité requiert que l’on « boucle le cycle de la sécurité ». Il
est indispensable de disposer de retours d’informations pour évaluer le bon fonctionnement des neuf
premières étapes. C’est là qu’interviennent la supervision de la sécurité et le contrôle des performances en
matière de sécurité.
La supervision de la sécurité peut être réalisée au moyen d’inspections, d’enquêtes et d’audits. Les
personnes font-elles ce qu’elles sont censées faire ? Dans beaucoup de grandes organisations, des
audits formels de sécurité sont effectués régulièrement afin de permettre une supervision des opérations
quotidiennes. Des audits de sécurité certifient au personnel et à la direction que les activités de
l’organisation sont exécutées dans les règles (c.-à-d. en toute sécurité). De petites organisations peuvent
obtenir les retours d’informations nécessaires de façon moins formelle, par ex., par le biais d’observations
informelles et de discussions avec le personnel.
Le contrôle des performances en matière de sécurité valide le SGS, en confirmant non seulement que
les personnes font ce qu’elles sont censées faire mais aussi que leurs efforts collectifs ont permis
d’atteindre les objectifs de sécurité de l’organisation. Par des analyses et évaluations régulières, la
direction peut s’efforcer de continuer à améliorer la gestion de la sécurité et garantir que le SGS reste
efficace et en phase avec les opérations de l’organisation.
Le Chapitre 10 fournit des éléments indicatifs sur la pratique de la supervision de la sécurité et sur
l’exécution du contrôle des performances en matière de sécurité.

SUPERVISION DE LA SÉCURITÉ ET CONTRÔLE DES PERFORMANCES
EN MATIÈRE DE SÉCURITÉ
¾ Des indicateurs de performance en matière de sécurité sont convenus et des objectifs de

sécurité réalistes, fixés.
¾ Des ressources adéquates sont affectées aux fonctions de supervision de la sécurité et de

contrôle des performances en matière de sécurité.
¾ Une participation active du personnel est recherchée et fournie sans crainte de répercussions.
¾ Des audits de sécurité réguliers sont effectués dans tous les domaines opérationnels de
l’organisation (y compris les activités des sous-traitants).
¾ La supervision de la sécurité comprend l’examen systématique de tous les retours d’infor-

mations disponibles, notamment les évaluations de la sécurité, les résultats du programme
d’assurance de la qualité, les analyses des tendances en matière de sécurité, les enquêtes sur
la sécurité, les audits de sécurité.
¾ Les constatations sont communiquées au personnel et des mesures correctives sont mises en
œuvre si nécessaire pour renforcer le système.
————————
MODÈLE DE DÉCLARATION DE POLITIQUE

DE SÉCURITÉ
La sécurité reçoit la plus haute priorité dans toutes nos activités. Nous nous engageons à appliquer,
développer et améliorer des stratégies, systèmes de gestion et processus en vue de garantir que toutes nos
activités aéronautiques se maintiennent au plus haut niveau de performance en matière de sécurité et
satisfassent aux normes nationales et internationales.
Nous nous engageons à :
a) développer et ancrer dans toutes nos activités aéronautiques une culture de la sécurité qui reconnaît
l’importance et la valeur d’une gestion efficace de la sécurité de l’aviation et admet à tout moment
que la sécurité est primordiale ;
b) définir clairement les obligations redditionnelles et responsabilités de tous les membres du

personnel dans le développement et la réalisation de la stratégie et de la performance en matière
de sécurité de l’aviation ;
c) réduire les risques liés à l’exploitation aérienne jusqu’au niveau le plus faible que l’on puisse
raisonnablement atteindre ;
d) garantir que les systèmes et services qui sont fournis par des éléments extérieurs et qui ont une
incidence sur la sécurité de nos opérations répondent aux normes de sécurité appropriées ;
e) développer et améliorer activement nos processus de sécurité pour nous conformer aux normes
internationales ;
f) respecter et, si possible, dépasser les exigences et normes législatives et réglementaires ;
g) garantir que tous les membres du personnel reçoivent les informations et formations adéquates et
appropriées sur la sécurité de l’aviation, soient compétents dans les domaines liés à la sécurité et
ne soient affectés qu’à des tâches qui sont à la mesure de leurs aptitudes ;
h) garantir la disponibilité de suffisamment de ressources humaines formées et qualifiées pour mettre

en œuvre la stratégie et la politique de sécurité ;
i) établir et mesurer notre performance en matière de sécurité par rapport à des objectifs et/ou buts
réalistes ;
j) atteindre les niveaux les plus élevés de normes et de performance en matière de sécurité dans
toutes nos activités aéronautiques ;
k) constamment améliorer notre performance en matière de sécurité ;
l) procéder à des examens de la sécurité et de la gestion et veiller à ce que les mesures nécessaires
soient prises ;
12-APP 1-1
m) veiller à ce que l’application de systèmes efficaces de gestion de la sécurité de l’aviation fasse

partie intégrante de toutes nos activités aéronautiques, en vue d’atteindre les niveaux les plus
élevés de normes et de performance en matière de sécurité.
————————
SUGGESTIONS DE POINTS À INCLURE

DANS UNE DÉCLARATION DU DIRECTEUR GÉNÉRAL
SUR L’ENGAGEMENT DE L’ENTREPRISE
À GARANTIR LA SÉCURITÉ
La liste ci-dessous énumère les points fréquemment couverts dans des déclarations sur l’engagement de
l’entreprise à garantir la sécurité. Elle mentionne à la suite de chaque point les sujets habituellement abordés
pour développer la position de l’entreprise sur ce point.
a) Valeurs fondamentales. Parmi nos valeurs fondamentales, nous inclurons :
1) la sécurité, la santé et l’environnement ;
2) le comportement éthique ;
3) l’importance accordée aux personnes.
b) Convictions fondamentales en matière de sécurité. Nos convictions fondamentales en matière

de sécurité sont les suivantes :
1) La sécurité est une activité de base et une valeur personnelle.
2) La sécurité est une des sources de notre avantage concurrentiel.
3) Nous renforcerons notre entreprise en intégrant l’excellence en matière de sécurité dans toutes
nos activités aéronautiques.
4) Tous les accidents et tous les incidents graves sont évitables.
5) Tous les niveaux hiérarchiques sont responsables de notre performance en matière de sécurité,
à commencer par le Directeur général/l’Administrateur délégué.
c) Éléments fondamentaux de notre approche de la sécurité. Les cinq éléments fondamentaux de

notre approche de la sécurité sont :
1) L’engagement de la haute direction :
— L’excellence en matière de sécurité sera une composante de notre mission.
— La haute direction demandera des comptes sur la performance en matière de sécurité aux
cadres hiérarchiques et à tous les membres du personnel.
12-APP 2-1
2) La responsabilité et les obligations redditionnelles de tous les membres du personnel :
— La performance en matière de sécurité constituera une partie importante de notre système

d’évaluation de la direction/du personnel.
— Nous reconnaîtrons et récompenserons la performance en matière de sécurité.
— Avant tout travail, chacun sera sensibilisé aux règles et procédures de sécurité ainsi qu’à la
responsabilité de chacun d’observer ces règles et procédures.
3) Objectif « zéro accident » clairement communiqué :
— Nous aurons un objectif de sécurité formel écrit et nous veillerons à ce que chacun
comprenne et accepte cet objectif.
— Nous mettrons en place un système de communication et de motivation afin de maintenir

notre personnel concentré sur l’objectif de sécurité.
4) Réalisation d’audits et d’évaluations pour améliorer la performance :
— La direction veillera à ce que des audits de sécurité réguliers soient réalisés.
— Nous concentrerons nos audits sur le comportement des personnes ainsi que sur l’état des
lieux de travail.
— Nous arrêterons des indicateurs de performance pour nous aider à évaluer notre perfor-
mance en matière de sécurité.
5) Responsabilité de tous les membres du personnel :
— Chacun de nous sera tenu d’accepter d’être responsable et de répondre de ses propres
comportements.
— Chacun de nous aura l’occasion de participer à l’élaboration des normes et procédures de

sécurité.
— Nous communiquerons ouvertement les informations sur les incidents de sécurité et en

partagerons les leçons avec d’autres.
— Chacun de nous se préoccupera de la sécurité des autres membres de notre organisation.
d) Les objectifs du processus de sécurité. Voici nos objectifs :
1) TOUS les niveaux de la direction s’engageront clairement à garantir la sécurité.
2) Nous aurons des paramètres de sécurité clairs pour le personnel, assortis d’obligations reddi-
tionnelles claires.
3) Nous aurons des communications ouvertes sur la sécurité.
4) Nous associerons tous les membres de personnel concernés au processus décisionnel.

Chapitre 12. Mise en place d’un système de gestion de la sécurité — Appendice 2 12-APP 2-3
5) Nous fournirons la formation nécessaire pour développer et maintenir des compétences

efficaces de leadership dans le domaine de la sécurité.
6) La sécurité de notre personnel, de nos clients et fournisseurs fera partie des préoccupations
stratégiques de l’organisation.
Signature :
Directeur général/Administrateur délégué
ou autre selon le cas
Page blanche
Chapitre 13
ÉVALUATIONS DE LA SÉCURITÉ
13.1 GÉNÉRALITÉS
13.1.1 La gestion de la sécurité fournit les moyens qui permettent à des organisations de maîtriser les
processus susceptibles de mener à des événements dangereux, afin de garantir que le risque de lésions
corporelles et de dommages matériels soit limité à un niveau acceptable. Une grande partie de cette activité
se concentre sur les dangers identifiés par le biais de processus et activités tels que les enquêtes sur des
événements liés à la sécurité, les systèmes de comptes rendus d’incidents et les programmes de super-
vision de la sécurité. Les évaluations de la sécurité offrent un autre mécanisme proactif permettant
d’identifier les dangers potentiels et de découvrir des moyens de maîtriser les risques y afférents.
13.1.2 Une évaluation de la sécurité devrait être entreprise avant la mise en œuvre de toute modifi-
cation majeure susceptible d’avoir une incidence sur la sécurité des opérations, afin de prouver que la
modification respecte un niveau acceptable de sécurité. Par exemple, une évaluation de la sécurité peut se
justifier lors de la planification de modifications majeures concernant les procédures opérationnelles,
l’acquisition ou la configuration d’équipements, les relations organisationnelles au sein de l’entreprise, etc.
L’Annexe 11 de l’OACI — Services de la circulation aérienne exige que toute modification importante du
système ATC qui aurait des incidences sur la sécurité ne soit réalisée qu’après qu’il aura été démontré par
1
une évaluation de la sécurité qu’un niveau de sécurité acceptable sera respecté . Des exigences similaires
concernant toute modification de l’environnement d’exploitation d’un aérodrome existent dans l’Annexe 14
— Aérodromes, Volume I — Conception et exploitation technique des aérodromes, ainsi que dans les
éléments indicatifs fournis dans le Manuel sur la certification des aérodromes (Doc 9774). La portée d’une
évaluation de la sécurité doit être suffisamment large pour couvrir tous les aspects du système sur lesquels
cette modification pourrait avoir des incidences soit directes, soit indirectes, et devrait comprendre des
éléments relatifs aux facteurs humains, aux équipements et aux procédures.
13.1.3 Si une évaluation conclut que le système examiné ne satisfait pas aux critères de l’évaluation
de la sécurité, il sera nécessaire de trouver des moyens de modifier le système afin de réduire le risque. Ce
processus est appelé atténuation du risque. L’élaboration de mesures d’atténuation devient partie intégrante
du processus d’évaluation. Il faudrait tester la pertinence des mesures d’atténuation proposées en
réévaluant le niveau de risque une fois les mesures d’atténuation appliquées. (Le Chapitre 6 donne de plus
amples indications sur le processus de gestion des risques.)
13.1.4 Le processus d’évaluation de la sécurité vise à répondre aux trois questions fondamen-
tales suivantes :
a) Quel problème pourrait se produire ?
b) Quelles en seraient les conséquences ?
1. Des informations plus spécifiques sur les circonstances dans lesquelles une évaluation de la sécurité pourrait être requise dans le
domaine des ATS sont données à la section 2.6 du Chapitre 2 des Procédures pour les services de navigation aérienne — Gestion
du trafic aérien (PANS-ATM, Doc 4444).
13-1
c) À quelle fréquence ce problème pourrait-t-il se produire ?
13.1.5 Une fois qu’une évaluation de la sécurité est terminée, elle devrait être signée pour approbation
par le directeur responsable, qui devrait indiquer que le directeur est convaincu que l’évaluation a été
menée avec rigueur et que le niveau de risque est acceptable. Pour que le directeur puisse prendre une
décision en connaissance de cause sur ces points, il faut que l’évaluation de la sécurité soit bien étayée.
Les documents sur lesquels s’appuie cette évaluation devraient être conservés afin de constituer un dossier
qui prouvera sur quelle base la décision d’acceptation a été prise.
13.1.6 La mise en œuvre d’un programme d’évaluations de la sécurité requiert que l’organisation :
a) détermine quand les évaluations de la sécurité doivent impérativement être réalisées ;
b) élabore des procédures pour mener les évaluations de la sécurité ;
c) élabore des critères organisationnels de classification des risques pour les dangers identifiés ;
d) élabore des critères d’acceptation des évaluations de la sécurité ;
e) élabore des exigences de documentation et des procédures de conservation et de diffusion des

informations sur la sécurité recueillies par le biais des évaluations.
13.2 LE PROCESSUS D’ÉVALUATION DE LA SÉCURITÉ
13.2.1 Le Chapitre 6 a présenté un concept bidimensionnel du risque : le risque perçu lié à un

événement dangereux dépend à la foi de la probabilité que cet événement se produise et de la gravité de
ses conséquences. Le processus d’évaluation de la sécurité aborde ces deux facteurs. Les évaluations de
la sécurité s’appuient sur les processus systématiques de gestion des risques décrits au Chapitre 6,
processus dont elles constituent une application spécifique. Le processus d’évaluation de la sécurité peut
être divisé en sept étapes, énumérées dans le Tableau 13-1.
Tableau 13-1. Les sept étapes de l’évaluation de la sécurité
Étape 1 : Élaboration (ou acquisition) d’une description complète du système à

évaluer et de l’environnement dans lequel ce système sera mis en œuvre ;
Étape 2 : Identification des dangers ;
Étape 3 : Estimation de la gravité des conséquences d’un danger si celui-ci se

concrétisait ;
Étape 4 : Estimation de la probabilité qu’un danger se concrétise ;
Étape 5 : Évaluation du risque ;
Étape 6 : Atténuation du risque ;
Étape 7 : Élaboration d’une documentation relative à l’évaluation de la sécurité.

Chapitre 13. Évaluations de la sécurité 13-3
13.2.2 La Figure 13-1 illustre le processus d’évaluation de la sécurité sous forme schématique et
montre qu’il sera éventuellement nécessaire de répéter ce processus plusieurs fois jusqu’à ce qu’une méthode
satisfaisante d’atténuation du risque soit trouvée.
13.2.3 Comme on pouvait s’y attendre, le processus d’évaluation de la sécurité présente de nombreux
parallélismes avec le processus de gestion des risques décrit au Chapitre 6. Le reste de ce chapitre exami-
nera en détail chacune des sept étapes d’une évaluation de la sécurité.
ÉTAPE 1 : ÉLABORATION D’UNE DESCRIPTION COMPLÈTE DU SYSTÈME À ÉVALUER

ET DE L’ENVIRONNEMENT DANS LEQUEL CE SYSTÈME DEVRA FONCTIONNER
Le « système », tel que défini pour les besoins de l’évaluation de la sécurité, sera toujours un sous-
ensemble d’un système plus grand. Ainsi, même si l’évaluation englobe tous les services fournis au sein
d’un aérodrome, cet ensemble peut être considéré comme faisant partie d’un système régional plus vaste,
lui-même sous-ensemble du système d’aviation mondial.
Pour pouvoir identifier tous les dangers potentiels, il faut que les personnes participant à l’évaluation de la
sécurité comprennent bien le nouveau système ou le changement proposé et la manière dont ce nouveau
système ou ce changement interagira avec d’autres composantes du système global dans lequel il s’intègre.
Voilà pourquoi la première étape du processus d’évaluation de la sécurité consiste à rédiger une description
du système ou du changement proposé.
Le processus d’identification des dangers ne peut identifier des dangers que dans les limites du système
décrit. Par conséquent, les limites de ce système doivent être suffisamment larges pour englober toutes les
incidences que le système pourrait avoir. Il est en particulier important que la description comprenne les
interfaces avec le système plus vaste dont fait partie le système soumis à évaluation.
Une description détaillée de ce système devrait comprendre :
a) le but du système ;
b) la manière dont ce système sera utilisé ;
c) les fonctions du système ;
d) les limites du système et les interfaces extérieures ;
e) l’environnement dans lequel le système fonctionnera.
Les incidences qu’une éventuelle perte ou dégradation du système aura sur la sécurité seront déterminées
en partie par les caractéristiques de l’environnement opérationnel dans lequel le système sera intégré. La
description de cet environnement devrait dès lors inclure tous les facteurs susceptibles d’avoir un effet
important sur la sécurité. Ces facteurs varieront selon les cas. Il pourrait s’agir, par exemple, de caractéris-
tiques de trafic, d’infrastructures aéroportuaires et de facteurs météorologiques.
La description du système devrait aussi envisager les procédures d’urgence et autres opérations anormales
telles que, par exemple, une panne des systèmes de communication ou des aides à la navigation.
Pour les projets de grande envergure, la description du système devrait exposer la stratégie qui sera
appliquée lors de la transition de l’ancien système au nouveau. Par exemple, le système existant sera-t-il
désaffecté et remplacé immédiatement par le nouveau système ou les deux fonctionneront-ils en parallèle
pendant un certain temps ?
Décrire le système
à évaluer
Décrire
l’environnement
opérationnel
Identifier les dangers
Identifier
les conséquences
Évaluer le risque
Le risque Non
est-il acceptable?
Oui
Identifier les mesures
d’atténuation du risque
Réévaluer le risque
Oui Le risque
est-il acceptable?
Non
S’agit-il d’un Non

risque ALARP?
Oui
Oui Le risque
est-il tolérable?
Non
Documenter la décision Abandonner le projet

et passer à l’étape ou revoir
suivante de les objectifs originaux
développement ou du projet
de mise en œ uvre
Figure 13-1. Le processus d’évaluation de la sécurité

ÉTAPE 2 : IDENTIFICATION DES DANGERS
L’étape d’identification des dangers devrait envisager toutes les sources possibles de défaillance du
système. En fonction de la nature et de la taille du système examiné, ces sources pourraient comprendre les
éléments suivants :
a) l’équipement (matériel et logiciel) ;
b) l’environnement opérationnel (par ex. les conditions physiques, l’espace aérien et la conception des
routes aériennes) ;
c) les opérateurs humains ;
d) l’interface homme/machine ;
e) les procédures opérationnelles ;
f) les procédures de maintenance ;
g) les services extérieurs.
Toutes les configurations possibles du système devraient être examinées. Il est important d’également analyser
les incidences que tout chantier de construction aura sur les opérations quotidiennes. Le Tableau 13-2
présente une liste des types de questions à envisager au cours de la phase de développement d’un
aérodrome, lorsque des travaux de construction peuvent avoir des incidences sur les opérations quotidiennes.
Tableau 13-2. Exemples d’incidences de la construction d’un aérodrome sur les opérations
Exemples de problèmes d’incidence
▪ Comment les diverses surfaces aéroportuaires et celles des équipements de

navigation et équipements électroniques seront-elles protégées des travaux,
des véhicules et des zones de stockage du chantier de construction ?
▪ Quelles procédures temporaires d’exploitation, d’ATC et d’ingénierie faut-il
instaurer ?
▪ Quelles seront les heures de début, de contrôle et de fin des procédures de
chantier le jour/la nuit ? À cet égard, il faudrait prévoir :
— une inspection du chantier avant la reprise de l’exploitation, le cas échéant,
et la personne qui assumera, au nom de l’aérodrome, la responsabilité de
veiller à ce que cette inspection soit effectuée ;
— la méthode choisie pour les communications entre la tour ATC et le site ;
— combien de temps après le dernier départ et avant la première arrivée les
travaux commenceront et cesseront, respectivement.
▪ Quelles procédures seront adoptées en cas de détérioration du temps et quelles
actions devront être envisagées avant le début des procédures de visibilité
réduite ?
▪ Quelle mesure sera prise en cas de situation d’urgence ?
Toutes les personnes associées au processus d’identification des dangers devraient être conscientes de
l’importance des conditions latentes (décrites au Chapitre 4), car celles-ci ne sont généralement pas
évidentes. Le processus devrait spécifiquement répondre à des questions telles que « comment le personnel
pourrait-il mal interpréter cette nouvelle procédure ? » ou « comment une personne pourrait-elle utiliser de
façon abusive cette nouvelle fonction/ce nouveau système (intentionnellement ou non) ? »
L’étape d’identification des dangers devrait être lancée le plus tôt possible dans le déroulement du projet.
Pour les projets de grande envergure, plusieurs sessions d’identification des dangers peuvent avoir lieu à
des phases différentes du projet. Le degré de précision requis dépendra de la complexité du système à
examiner et de l’étape du cycle de vie du système à laquelle l’évaluation est effectuée. En général, le degré
de précision requis sera plus faible pour une évaluation menée pendant la phase de définition des
exigences opérationnelles que pour une évaluation effectuée pendant la phase de conception détaillée.
Sessions d’identification des dangers
Une approche structurée de l’identification des dangers garantit que, dans la mesure du possible, tous les
dangers potentiels seront identifiés. Des techniques adéquates pour assurer une telle approche structurée
pourraient inclure :
a) Des listes de vérification. Il s’agira d’analyser l’expérience et les données disponibles sur les
accidents, incidents ou systèmes similaires et de dresser une liste de vérification des dangers. Les
domaines potentiellement dangereux requerront une évaluation plus approfondie.
b) Des réunions de groupe. Des réunions de groupe peuvent être utilisées pour examiner les listes
de vérification des dangers, élargir la base de réflexion sur les dangers (séances de brainstorming)
ou mener une analyse détaillée de scénarios.
Les sessions d’identification des dangers requièrent du personnel technique et opérationnel expérimenté de
divers horizons et se pratiquent généralement sous la forme de discussions de groupe dirigées. Un facilitateur
qui connaît bien les techniques devrait diriger les réunions de groupe. Cette fonction serait normalement
attribuée à un directeur de la sécurité (si un tel directeur a été nommé). L’Appendice 1 au présent chapitre
comprend de plus amples indications sur la conduite des réunions de groupe consacrées à l’analyse des
dangers.
Ce facilitateur n’a pas un rôle aisé. Il doit guider les discussions pour parvenir à un consensus mais, dans le
même temps, il doit s’assurer que tous les participants ont l’occasion d’exprimer leur point de vue et permettre
des discussions suffisamment larges pour garantir que tous les dangers potentiels seront identifiés.
Les autres participants du groupe devraient être choisis pour leur compétence dans des domaines concernés
par le projet en cours d’évaluation. La gamme de compétences doit être suffisamment large pour garantir
que tous les aspects du système seront abordés, mais il est aussi important de limiter le groupe à une taille
gérable. Le nombre de participants requis pour les sessions d’identification des dangers dépend de la taille
et de la complexité du système soumis à évaluation. Mis à part le facilitateur, les participants ne doivent pas
nécessairement avoir une expérience préalable de l’identification des dangers.
Note. — L’utilisation de réunions de groupe est évoquée ici dans le contexte de l’identification des
dangers, mais le même groupe procéderait aussi à l’évaluation de la probabilité et de la gravité des dangers
qu’il a identifiés.
L’évaluation des dangers devrait tenir compte de toutes les possibilités, depuis la moins probable jusqu’à
la plus probable. Elle doit tenir suffisamment compte des « scénarios catastrophes », mais il est aussi
important que les dangers à inclure dans l’analyse finale soient des dangers « crédibles ». Il est souvent
difficile de définir la limite entre le pire scénario crédible et un scénario tellement tributaire de coïncidences
qu’il ne devrait pas être pris en considération. Les définitions suivantes peuvent servir d’indications lors de la
prise de telles décisions :
Pire scénario : Les conditions les plus défavorables auxquelles on puisse s’attendre, par
ex. des niveaux extrêmement élevés de trafic, et des perturbations dues à des conditions
météorologiques extrêmes.
Scénario crédible : Ce terme implique qu’il n’est pas irréaliste de s’attendre à ce que
l’hypothèse d’une combinaison de conditions extrêmes se concrétise durant le cycle de vie
opérationnelle du système.
L’évaluation devrait toujours envisager la phase la plus critique du vol pendant laquelle un aéronef pourrait
subir les conséquences d’une défaillance du système en cours d’évaluation, mais il ne devrait généralement
pas être nécessaire de supposer que des défaillances simultanées non liées se produiront.
Toutefois, il est important d’identifier toute défaillance de mode commun potentielle, qui se produit lorsqu’un
seul événement entraîne des défaillances multiples au sein du système.
Il faudrait attribuer un numéro à tous les dangers identifiés et enregistrer ceux-ci dans un répertoire des
dangers.
Ce répertoire des dangers devrait contenir une description de chaque danger, incluant ses conséquences,
la probabilité et la gravité évaluées et toute mesure d’atténuation requise. Il devrait être mis à jour chaque
fois que de nouveaux dangers sont identifiés et que des propositions d’atténuation sont adoptées.
ÉTAPE 3 : ESTIMATION DE LA GRAVITÉ DES CONSÉQUENCES D’UN DANGER SI CELUI-CI SE CONCRÉTISAIT
Avant d’entamer cette étape, il faudrait avoir enregistré dans le répertoire des dangers les conséquences de
chaque danger identifié à l’Étape 2. L’Étape 3 concerne en effet l’évaluation de la gravité de chacune de ces
conséquences.
Des systèmes de classification des risques ont été mis au point pour un grand nombre d’applications où
l’analyse des dangers est régulièrement pratiquée. Citons, à titre d’exemple, les Codes communs de
l’aviation (Joint Aviation Requirements — Large Aeroplanes [JAR-25]), des exigences relatives aux gros
aéronefs élaborées par les Autorités conjointes de l’aviation (JAA).
Les JAR-25 sont reconnues par de nombreuses Autorités de l’aviation civile comme une base acceptable
pour prouver le respect de leurs codes nationaux de navigabilité. La JAR 25.1309 ainsi que les éléments
consultatifs y afférents, AMJ 25.1309, spécifient des critères de classification des risques à utiliser pour
déterminer des niveaux acceptables de risque associés à diverses défaillances des systèmes de bord. Les
niveaux d’acceptabilité tiennent compte des taux d’accidents historiques et de la nécessité d’obtenir une
relation inverse entre la probabilité de la perte d’une ou plusieurs fonctions et la gravité des dangers qu’un
tel événement ferait courir à l’aéronef et à ses occupants.
Les critères spécifiés dans les JAR-25 concernent spécifiquement la navigabilité des systèmes de bord mais
il est possible de les utiliser comme base pour élaborer des systèmes similaires de classification destinés à
d’autres fins. Plusieurs États l’ont déjà fait. Le Tableau 13-3 donne un exemple de système de classification
de la gravité basé sur l’approche des JAR-25 mais adapté aux applications ATS; cet exemple a été tiré des
exigences de sécurité des services de la circulation aérienne publiées par les Autorités britanniques de
l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670.
Le groupe qui a procédé à l’identification des dangers est le mieux placé pour évaluer la gravité des
conséquences. Les lignes directrices présentées à l’Appendice 1 de ce chapitre pour la conduite des
réunions de groupe s’appliquent autant à l’évaluation de la gravité des conséquences qu’à l’identification
des dangers.
Bien que l’évaluation de la gravité des conséquences comporte toujours un certain degré de subjectivité,
des discussions de groupe structurées, guidées par un système standard de classification des risques et
réunissant des participants ayant une grande expérience dans leurs domaines respectifs devraient garantir
l’obtention d’un résultat reposant sur des informations appropriées.
Tableau 13-3. Système de classification de la gravité
Classification de la gravité
Catastrophique Dangereuse Majeure Mineure Négligeable
Entraîne L’ATC émet une Le service ATC de Le service ATC de sépa- Le service ATC de Aucun effet sur le
un ou instruction ou séparation fourni ration fourni aux aéronefs séparation fourni service ATC de
plusieurs une information aux aéronefs en vol en vol ou à l’intérieur d’une aux aéronefs en séparation fourni
des effets susceptible de ou à l’intérieur d’une zone protégée destinée aux vol ou à l’intérieur aux aéronefs.
suivants causer la perte zone protégée des- décollages et atterrissages d’une zone pro-
d’un ou plusieurs tinée aux décollages dans un ou plusieurs tégée destinée Effet minime sur
aéronefs (l’équi- et atterrissages secteurs est brusquement, aux décollages et le service ATC de
page ne dispose dans un ou et pour une durée impor- atterrissages séparation fourni
d’aucun moyen plusieurs secteurs tante, gravement dégradé dans un ou aux aéronefs au
raisonnable pour est brusquement, ou amoindri (par ex. plusieurs secteurs sol à l’extérieur
vérifier cette et pour une durée mesures d’urgence est perturbé d’une zone
information ou importante, tota- requises, ou nette augmen- brusquement et protégée destinée
atténuer les lement indisponible. tation de la charge de pour une durée aux décollages et
dangers). travail des contrôleurs importante. atterrissages.
Fourniture d’ins- de sorte que la probabilité
La poursuite du tructions ou d’infor- d’une erreur humaine Le service ATC de Effet minime sur
vol ou de l’atter- mations pouvant augmente). séparation fourni la capacité ATS
rissage en toute entraîner un quasi- aux aéronefs au de soutien en
sécurité est abordage critique Le service ATC de sépa- sol à l’extérieur cas d’urgence.
impossible. ou une quasi- ration fourni aux aéronefs d’une zone pro-
collision critique au sol à l’extérieur d’une tégée destinée
avec le sol. zone protégée destinée aux aux décollages et
décollages et atterrissages atterrissages est
est brusquement, et pour brusquement, et
une durée importante, pour une durée
totalement indisponible. importante, grave-
ment dégradé.
Fourniture d’instructions ou
d’informations telles que la La capacité ATS
séparation entre aéronefs de soutien en cas
ou entre un aéronef et le d’urgence est
sol peut être inférieure gravement
aux normes habituelles. amoindrie.
Aucune intervention ATS

possible pour venir en aide
à un aéronef en état
d’urgence.
Une fois l’évaluation de la gravité terminée pour tous les dangers identifiés, les résultats ainsi que le
raisonnement ayant mené à la classification de gravité choisie devraient être enregistrés dans le répertoire
des dangers.
ÉTAPE 4 : ESTIMATION DE LA PROBABILITÉ QU’UN DANGER SE CONCRÉTISE
L’estimation de la probabilité qu’un danger se concrétise repose sur une approche similaire à celle des
Étapes 2 et 3, c’est-à-dire des discussions structurées utilisant un système de classification standard comme
guide. Le Tableau 13-4 donne à cette fin un exemple de système de classification basé sur les JAR-25 ; cet
exemple a été tiré des exigences de sécurité des services de la circulation aérienne publiées par les
Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670.
Le Tableau 13-4 précise la probabilité en termes de catégories qualitatives mais donne aussi des valeurs
chiffrées pour les probabilités associées à chaque catégorie. Dans certains cas, des données seront peut-
être disponibles pour permettre des estimations numériques directes de la probabilité d’une défaillance.
Pour les éléments matériels d’un système, par exemple, des données abondantes sur les taux historiques
de défaillance des composants sont souvent disponibles.
L’estimation de la probabilité que des dangers associés à une erreur humaine se concrétisent comportera
généralement un certain degré de subjectivité (et il ne faudrait pas oublier que même pour l’évaluation du
matériel, il faut toujours envisager la possibilité de défaillances dues à une erreur humaine comme, par
exemple, des procédures de maintenance incorrectes). Néanmoins, comme pour l’évaluation de la gravité,
des discussions de groupe structurées, réunissant des participants ayant une longue expérience dans leurs
domaines respectifs, ainsi que l’adoption d’un système standard de classification des risques devraient
garantir l’obtention d’un résultat reposant sur des informations appropriées.
Une fois l’évaluation de la probabilité terminée pour tous les dangers identifiés, les résultats ainsi que le
raisonnement ayant mené à la classification choisie devraient être enregistrés dans le répertoire des dangers.
Tableau 13-4. Système de classification de la probabilité
Définitions de la probabilité d’un événement
Extrêmement Extrêmement Raisonnablement

improbable ténue Ténue probable Fréquente
Définition Ne devrait Il est peu Il est peu Peut se produire Peut se produire
qualitative pratiquement probable qu’il se probable qu’il se une fois durant la une ou plusieurs
jamais se produise si l’on produise pendant durée de vie fois durant la
produire durant envisage la durée de vie opérationnelle durée de vie
toute la vie de la plusieurs opérationnelle totale d’un opérationnelle.
flotte. systèmes du totale de chaque système.
même type, mais système, mais il
il doit néanmoins peut se produire
être considéré plusieurs fois si
comme possible. l’on envisage
plusieurs
systèmes du
même type.
Définition < 10–9 par 10–7 à 10–9 par 10–5 à 10–7 par 10–3 à 10–5 par 1 à 10–3 par
quantitative heure de vol heure de vol heure de vol heure de vol heure de vol
ÉTAPE 5 : ÉVALUATION DU RISQUE
Comme l’acceptabilité d’un risque dépend à la fois de sa probabilité et de la gravité de ses conséquences,
les critères utilisés pour juger de l’acceptabilité seront toujours bidimensionnels. Par conséquent, l’accepta-
bilité repose habituellement sur une comparaison réalisée à l’aide d’une matrice gravité/probabilité.
Le Tableau 13-5 donne un exemple d’une matrice pour l’évaluation de l’acceptabilité des risques dans les
ATS. Cet exemple est tiré des exigences de sécurité des services de la circulation aérienne publiées par les
Autorités britanniques de l’aviation civile (Air Traffic Services Safety Requirements) UK CAA CAP 670 et a
été adapté à partir du système de classification des risques des JAR-25.
Comme expliqué au Chapitre 6, il existe entre le risque acceptable et le risque inacceptable une zone qui ne
permet pas de prendre une décision catégorique. Ces risques-là relèvent d’une troisième catégorie, où le
risque peut être tolérable s’il est réduit au niveau le plus faible que l’on puisse raisonnablement atteindre
(ALARP — as low as reasonably practicable). Lorsqu’un risque est classé dans cette catégorie, des
mesures d’atténuation ont toujours été tentées et celles qui ont été classées comme faisables ont été mises
en œuvre.
Dans le Tableau 13-5, les risques de cette catégorie sont assortis de la mention « Examen ». En effet, ces
risques ne sont pas automatiquement classés comme tolérables. Chaque cas doit être jugé pour ce qu’il
vaut, compte tenu tant des avantages qui découleront de la mise en œuvre des modifications proposées
que du risque.
ÉTAPE 6 : ATTÉNUATION DU RISQUE
Comme l’indique l’Étape 5, si le risque ne répond pas aux critères d’acceptabilité prédéterminés, il faut
toujours tenter de le réduire à un niveau acceptable ou, si ce n’est pas possible, au niveau le plus faible que
l’on puisse raisonnablement atteindre, en utilisant des procédures d’atténuation appropriées.
L’identification des mesures appropriées d’atténuation du risque requiert une bonne compréhension du
danger concerné et des facteurs qui contribuent à sa concrétisation car, pour être efficace, un mécanisme
d’atténuation devra nécessairement modifier un ou plusieurs de ces facteurs.
Les mesures d’atténuation du risque peuvent porter sur la réduction soit de la probabilité d’un événement,
soit de la gravité de ses conséquences, soit sur ces deux paramètres. Pour atteindre le niveau souhaité de
réduction du risque, il peut être nécessaire de mettre en œuvre plusieurs mesures d’atténuation.
Tableau 13-5. Système de classification des risques
Probabilité d’un événement
Extrêmement Extrêmement Raisonnablement

improbable ténue Ténue probable Fréquente
Catastrophique Examen Inacceptable Inacceptable Inacceptable Inacceptable

Gravité
Dangereuse Examen Examen Inacceptable Inacceptable Inacceptable
Majeure Acceptable Examen Examen Examen Examen
Mineure Acceptable Acceptable Acceptable Acceptable Examen

Parmi les approches possibles pour atténuer le risque, citons :
a) la révision de la conception du système ;
b) la modification des procédures opérationnelles ;
c) des modifications des dotations en personnel ;
d) la formation du personnel afin que celui-ci puisse faire face au danger.
Plus les dangers sont détectés tôt dans le cycle de vie du système, plus il sera facile de modifier, le cas
échéant, la conception du système. Lorsque le système approche de la phase de mise en œuvre, il devient
plus difficile et plus onéreux de modifier sa conception, ce qui pourrait réduire les options d’atténuation
disponibles pour les dangers qui n’auront été identifiés qu’à un stade avancé du projet.
Pour évaluer l’efficacité de toute mesure proposée pour atténuer le risque, il faut tout d’abord examiner
minutieusement si la mise en œuvre des mesures d’atténuation est susceptible de générer de nouveaux
dangers, puis répéter les Étapes 3, 4 et 5 afin d’évaluer l’acceptabilité du risque lorsque les mesures
d’atténuation proposées sont en vigueur.
Une fois le système mis en œuvre, il faut vérifier avec la plus grande attention si les mesures d’atténuation
fonctionnent comme prévu lorsqu’on évalue les résultats du contrôle des performances en matière de
sécurité. De plus amples indications sur l’atténuation du risque sont données au Chapitre 6.
ÉTAPE 7 : ÉLABORATION D’UNE DOCUMENTATION RELATIVE À L’ÉVALUATION DE LA SÉCURITÉ
L’objectif d’une documentation relative à l’évaluation de la sécurité est de fournir des archives permanentes
des résultats finaux des évaluations de la sécurité et des arguments et preuves démontrant que les risques
liés à la mise en œuvre du système ou du changement proposé ont été éliminés ou ont été maîtrisés de
façon satisfaisante et réduits à un niveau tolérable.
Note.— Cette présentation des arguments et preuves pour démontrer la sécurité est appelée dossier de
sécurité dans de nombreux documents sur la gestion de la sécurité.
Bien que la documentation sur l’évaluation de la sécurité soit mentionnée ici en tant que dernière étape, une
grande quantité de documents auront déjà été produits durant les étapes précédentes.
Cette documentation devrait décrire le résultat de l’évaluation de la sécurité mais aussi contenir un résumé
des méthodes utilisées, des dangers identifiés et des mesures d’atténuation requises pour satisfaire aux
critères d’évaluation de la sécurité. Le répertoire des dangers devrait toujours y être inclus. La documen-
tation devrait être élaborée de façon suffisamment détaillée pour que toute personne qui la lise puisse savoir
non seulement quelles décisions ont été prises mais aussi pour quelles raisons les risques ont été classés
comme acceptables ou tolérables. Elle devrait aussi comprendre les noms des membres du personnel
ayant participé au processus d’évaluation.
En fonction de la taille et de la complexité du projet ainsi que de la politique de l’organisation, ce sera une
personne différente qui sera chargée de garantir la conduite effective des évaluations de la sécurité et de les
signer pour approbation finale. Dans certains cas, le responsable sera le gestionnaire du projet. Lorsqu’aucun
gestionnaire de projet n’a été désigné, le responsable pourrait être le cadre hiérarchique en charge du
système concerné. Dans certaines organisations, l’acceptation peut être subordonnée à l’approbation d’un
niveau hiérarchique supérieur, lorsque le risque résiduel ne peut être réduit à un niveau acceptable mais
doit être accepté comme tolérable ou comme risque réduit au niveau le plus faible que l’on puisse
raisonnablement atteindre (ALARP).
La signature de la documentation sur l’évaluation de la sécurité par le cadre responsable, qui marque ainsi
son acceptation, est l’acte final du processus d’évaluation.
————————
ÉLÉMENTS INDICATIFS SUR

LA CONDUITE DES SESSIONS DE GROUPES
DE TRAVAIL SUR L’IDENTIFICATION ET
L’ÉVALUATION DES DANGERS
1. RÔLE DU GROUPE D’ÉVALUATION
1.1 Il est habituellement préférable de lancer le processus d’évaluation dans un groupe de travail
réunissant des représentants des diverses organisations participant à la spécification, à l’élaboration et à
l’utilisation du système. Les interactions entre participants ayant des degrés divers d’expérience et de
connaissance ont tendance à mener à une prise en considération plus large, plus globale et plus équilibrée
des questions de sécurité qu’une évaluation effectuée par un seul individu.
1.2 Si les groupes de travail réussissent généralement bien à susciter des idées, identifier des problèmes
et faire une évaluation initiale, ils ne produisent par toujours ces résultats dans un ordre logique. En outre, il
est difficile pour un groupe d’analyser les idées et problèmes en détail. Il est en effet compliqué d’envisager
toutes les implications et rapports mutuels entre des problèmes qui viennent d’être soulevés. C’est pourquoi
il est recommandé de procéder comme suit :
a) le groupe de travail devrait être utilisé uniquement pour générer des idées et entreprendre une
évaluation préliminaire ;
b) les résultats devraient être classés et analysés après la réunion du groupe. Ce travail devrait être
confié à une ou deux personnes ayant à la fois des compétences suffisamment larges pour
comprendre tous les problèmes soulevés et une bonne appréciation des buts de l’évaluation ;
c) les résultats classés devraient être renvoyés au groupe afin de permettre à celui-ci de vérifier si
l’analyse a correctement interprété ses suggestions et de lui donner une occasion de revoir tout
aspect à la lumière d’une « vision globale » de la problématique.
2. PARTICIPANTS AUX GROUPES D’ÉVALUATION
Les groupes doivent comprendre des représentants de toutes les parties principales concernées par le
système et sa sécurité. Généralement, un groupe comptera :
a) des utilisateurs du système — les groupes d’utilisateurs primaires les plus directement concernés
afin d’évaluer les conséquences d’une ou plusieurs défaillances d’un point de vue opérationnel (par
ex. contrôleurs de la circulation aérienne (ATCO) et équipages de conduite) ;
b) des experts techniques du système pour expliquer l’objet, les interfaces et fonctions du système ;
13-APP 1-1
c) des experts en sécurité et facteurs humains pour guider l’application de la méthodologie et

apporter une compréhension plus large des causes et effets des dangers ;
d) un modérateur ou facilitateur pour diriger et maîtriser la dynamique du groupe ;
e) un secrétaire de réunion pour prendre note des résultats et aider le facilitateur à garantir que tous
les aspects ont été couverts.
3. PSYCHOLOGIE DU GROUPE
3.1 Il est utile d’accorder une certaine attention à la psychologie individuelle et à la psychologie du
groupe lors de la réunion du groupe d’évaluation afin de comprendre comment gérer une réunion avec fruit.
Les processus mentaux requis pour produire les résultats souhaités peuvent être classés en deux grandes
catégories de pensée :
a) Pensée créative (inductive). Elle est importante pour l’identification de défaillance(s) et de

séquences d’événements ainsi que des dangers susceptibles d’en découler. Le type de question
fondamental que l’on pose est : « Quel problème pourrait se produire ? »
b) Pensée rationnelle (déductive). Elle est importante pour classer les dangers en fonction de leur
gravité et pour fixer des objectifs de sécurité. La question fondamentale que l’on pose est : « Quelle
sera la gravité des conséquences de cette séquence d’événements ? »
3.2 Les processus susmentionnés sont de type cognitifs et sont entrepris par chaque participant mais
la dynamique de groupe d’une réunion est aussi importante pour en assurer le succès.
Le processus créatif — identifier les problèmes qui pourraient survenir
3.3 La pensée créative est nécessaire pour garantir que l’identification des défaillances potentielles et
des éventuels dangers qui en découleraient soit la plus complète possible. Il est important d’encourager les
participants à mener une réflexion large et audacieuse sur le sujet, dans un premier temps sans analyse ou
critique.
3.4 En général, on y parviendra au moyen d’une séance structurée de recherche d’idées. La structure
devrait à la fois assurer l’exhaustivité et encourager (et non limiter) une réflexion large sur le système.
Pensée rationnelle — classer les risques et fixer des objectifs de sécurité
3.5 Le but de cette partie de la session d’évaluation est de susciter des jugements subjectifs de façon
à utiliser au mieux la connaissance et l’expérience des gens et à réduire au minimum — ou tout au moins à
révéler — toute partialité ou incertitude.
3.6 Lorsque les fonctions et dangers sont complexes et étroitement interdépendants, les concepteurs
de la session devraient envisager de lancer la partie rationnelle de la session quelque temps après la partie
créative, afin de dégager du temps pour classer les résultats sous une forme concise. Si ce n’est pas
possible, les chefs de session devraient veiller à se donner une occasion (pendant une pause, par exemple)
de faire un tri préliminaire des résultats.
Chapitre 13. Évaluations de la sécurité — Appendice 1 13-APP 1-3
Dynamique de groupe
3.7 Les indications suivantes s’appliquent tant aux aspects créatifs qu’aux aspects rationnels de la
session :
a) Comprendre le processus et les raisons de la participation. Il est important que les participants
aient un but commun.
b) Taille du groupe. La taille du groupe est principalement déterminée par les domaines de
compétence requis. Toutefois, des groupes de plus de dix personnes peuvent être très difficiles à
gérer.
c) Dominance et réticence. Certains individus peuvent dominer la conversation tandis que d’autres
peuvent éprouver une réticence surtout à marquer leur désaccord par rapport à ce qui apparaît comme
l’opinion générale.
d) Attitude défensive. Les participants étroitement associés à l’élaboration d’un système ou de son
équivalent peuvent éprouver des difficultés à admettre que des problèmes puissent survenir.
e) Retours d’informations. Il est important de donner des retours d’informations positifs pendant la
session. Toutes les interventions devraient être perçues comme extrêmement utiles.
f) Confidentialité. Lorsque des représentants de diverses organisations sont présents, le facilitateur

devrait être conscient d’éventuels points susceptibles d’influer sur ce que les participants estiment
pouvoir dire.
Page blanche
Chapitre 14
RÉALISATION D’AUDITS DE SÉCURITÉ
14.1 INTRODUCTION
Les audits de sécurité sont une des principales méthodes permettant d’assumer les fonctions de contrôle
des performances en matière de sécurité décrites au Chapitre 10. Ils constituent une activité essentielle de
tout système de gestion de la sécurité (SGS). Les audits de sécurité peuvent être réalisés par une autorité
externe d’audit, telle qu’une autorité nationale de réglementation, ou ils peuvent être effectués par du
personnel de l’organisation même, dans le cadre d’un SGS. Les audits réglementaires ont été brièvement
étudiés au Chapitre 10. Le présent chapitre se concentre sur le programme interne d’audits de sécurité.
14.2 AUDITS DE SÉCURITÉ
14.2.1 Les audits de sécurité servent à apporter les garanties suivantes :
a) la structure du SGS est saine sur les plans de la dotation en personnel, du respect des procédures
et instructions approuvées, ainsi que du degré satisfaisant de compétence et de formation pour
utiliser les équipements et les installations et pour maintenir les niveaux de performance ;
b) la performance des équipements est adéquate pour les niveaux de sécurité du service fourni ;
c) des dispositions efficaces existent pour promouvoir la sécurité, contrôler les performances en
matière de sécurité et traiter les problèmes de sécurité ;
d) des dispositions adéquates existent pour traiter les urgences prévisibles.
14.2.2 L’idéal serait d’effectuer des audits de sécurité régulièrement, selon un cycle qui veille à ce que
chaque domaine fonctionnel soit audité dans le cadre du plan de l’organisation visant à évaluer la perfor-
1
mance générale en matière de sécurité . Des audits de sécurité devraient entraîner une réévaluation
périodique détaillée des performances, procédures et pratiques de sécurité de chaque unité ou section
ayant des responsabilités en matière de sécurité. En plus du plan d’audit à l’échelle de l’organisation, un
plan détaillé d’audit devrait donc être préparé pour chaque unité/section distincte.
14.2.3 Les audits de sécurité ne devraient pas se borner à vérifier le respect des exigences régle-
mentaires et la conformité aux normes de l’organisation. L’équipe d’audit devrait évaluer si les procédures
en vigueur sont appropriées et si certaines pratiques de travail sont susceptibles d’avoir des conséquences
imprévues sur la sécurité.
1. Pour les centres ATS, l’organisation devrait élaborer un plan d’audit de sécurité à l’échelle de l’organisation. Ce plan d’audit de
sécurité devrait être revu chaque année et devrait prévoir des audits réguliers pour toutes les unités ou sections. En général, ces
audits se dérouleraient à des intervalles de deux à trois ans.
14-1
14.2.4 La portée des audits de sécurité est variable, allant d’un tour d’horizon de toutes les activités de
l’unité ou de la section à une activité spécifique. Il faudrait spécifier à l’avance les critères sur la base
2
desquels l’audit sera mené . Des listes de vérification peuvent être utilisées pour déterminer les points que
l’audit devra examiner de façon suffisamment détaillée pour garantir une prise en considération de toutes
les tâches et fonctions prévues. La portée et la précision de ces listes de vérification dépendront de la taille
et de la complexité de l’organisation soumise à audit.
14.2.5 Pour qu’un audit soit fructueux, il est essentiel d’obtenir la coopération du personnel de l’unité
ou de la section concernée. Le programme d’audits de sécurité devrait reposer sur les principes suivants :
a) Il ne doit jamais apparaître comme une « chasse aux sorcières ». L’objectif est de développer les
connaissances. Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché.
b) L’audité devrait mettre toute la documentation pertinente à la disposition des auditeurs et prendre
les dispositions nécessaires pour que le personnel soit disponible pour des interviews selon les
besoins.
c) Les faits devraient être examinés de façon objective.
d) Un rapport d’audit écrit décrivant les constatations et recommandations devrait être présenté à
l’unité ou à la section dans un délai spécifié.
e) Le personnel de l’unité ou de la section ainsi que la direction devraient être informés des consta-
tations de l’audit.
f) Il faudrait donner un retour d’information positif en soulignant dans le rapport les points positifs
constatés pendant l’audit.
g) Bien que les carences doivent être repérées, toute critique négative devrait être évitée dans la
mesure du possible.
h) Il devrait être exigé d’élaborer un plan pour remédier aux carences.
14.2.6 À la suite d’un audit, un mécanisme de contrôle peut être mis en œuvre pour vérifier l’efficacité
de toute mesure correctrice nécessaire. Des audits de suivi devraient se concentrer sur les aspects des
opérations épinglés comme nécessitant une mesure correctrice. Il n’est pas toujours possible de programmer
à l’avance à quelle date se dérouleront des audits de suivi d’audits de sécurité précédents qui ont amené à
suggérer des mesures correctrices ou ont détecté une tendance inopportune de la performance en matière
de sécurité. Le programme annuel général d’audits devrait tenir compte de l’éventualité de tels audits non
programmés.
14.2.7 La Figure 14-1 illustre sous forme de diagramme le processus d’audit de sécurité. Les procé-
dures concernées à chaque étape du processus d’audit de sécurité sont examinées en détail plus loin dans
ce chapitre.
2. Pour les audits des unités ATS, ces critères devraient comprendre les éléments énumérés à la section 2.5 des PANS-ATM
(Doc 4444) qui concernent l’unité ou la section soumise à audit.
Chapitre 14. Réalisation d’audits de sécurité 14-3
Des mesures
correctives
Élaborer le plan d’audit Réaliser l’audit
sont-elles
nécessaires?
OUI NON
Déterminer Déterminer le suivi

Soumettre le rapport
les mesures des mesures correctrices
Figure 14-1. Le processus d’audit de sécurité
14.3 L’ÉQUIPE D’AUDIT DE SÉCURITÉ
14.3.1 Les audits de sécurité peuvent être réalisés par une seule personne ou par une équipe, en
fonction de l’ampleur de l’audit. Selon la taille de l’organisation et la disponibilité des ressources, du
personnel expérimenté et formé de l’organisation même peut effectuer des audits de sécurité ou aider des
auditeurs externes. Le personnel sélectionné pour réaliser un audit devrait avoir une expérience pratique
des disciplines présentes dans le domaine à auditer, une bonne connaissance des exigences réglemen-
taires pertinentes et du SGS de l’organisation, et devrait avoir été formé aux procédures et techniques
d’audit. Une équipe d’audit se compose d’un chef d’équipe d’audit et d’un ou plusieurs auditeurs.
14.3.2 Les personnes choisies pour entreprendre un audit doivent être crédibles aux yeux des
audités. En un mot, elles doivent avoir les qualifications et la formation requises pour assumer la fonction
d’auditeur dans les domaines appropriés de compétence. Les membres de l’équipe d’audit devraient,
dans la mesure du possible, être indépendants du domaine audité. Pour autant que la taille de l’organi-
sation et les circonstances le permettent, ces fonctions devraient être assumées par des personnes non
responsables de la conception ou de la réalisation des tâches et fonctions auditées et n’ayant pas
participé à de telles tâches et fonctions. Ainsi, l’évaluation est neutre et indépendante des aspects
opérationnels de l’organisation. Il est en outre préférable que l’équipe d’audit ne soit pas exclusivement
composée de cadres dirigeants. Ce paramètre contribuera à garantir que l’audit ne soit pas perçu comme
menaçant. Du personnel ayant une expérience des opérations actuelles peut aussi être mieux à même de
repérer les éventuels problèmes. Il peut être nécessaire de demander à un spécialiste extérieur à l’auto-
rité d’audit de participer à l’audit.
Le rôle du chef de l’équipe d’audit
14.3.3 Un chef d’équipe d’audit devrait être désigné si l’équipe compte plus d’un auditeur. Le chef
d’équipe d’audit est chargé de la conduite générale de l’audit. En outre, il entreprend certaines des tâches
générales d’un auditeur (voir le § 14.3.4). Le chef de l’équipe d’audit doit aussi être un bon communicateur
et doit être capable de gagner la confiance de l’organisation soumise à audit.
Le rôle des auditeurs
14.3.4 Les tâches à effectuer par chaque membre de l’équipe d’audit seront attribuées par le chef de
l’équipe d’audit. Il s’agira entre autres de réaliser des interviews du personnel de l’unité ou de la section
soumise à audit, d’examiner la documentation, d’observer les opérations et d’écrire des documents pour le
rapport d’audit.
14.4 PLANIFICATION ET PRÉPARATION
14.4.1 Une notification formelle de l’intention de réaliser l’audit devrait être envoyée à l’unité ou à la
section à auditer, suffisamment tôt pour permettre d’effectuer toutes préparations nécessaires. Dans le
cadre du processus de préparation de l’audit, l’autorité d’audit peut consulter les instances de direction de
l’organisation à auditer. Il peut être demandé à l’organisation de fournir des documents préparatoires avant
l’audit proprement dit, par exemple des dossiers sélectionnés, un questionnaire préalable à l’audit dûment
complété et des manuels. L’organisation auditée doit bien comprendre le but, la portée, les exigences en
ressources, les processus d’audit et de suivi, etc., avant l’arrivée des auditeurs.
Activité préalable à l’audit
14.4.2 Un des premiers actes à poser lors de la planification d’un audit sera de vérifier la faisabilité du
programme proposé et de déterminer les informations qui seront nécessaires avant le début de l’audit. Il
faudra aussi préciser les critères sur la base desquels l’audit sera mené et élaborer un plan d’audit détaillé
ainsi que des listes de vérification à utiliser pendant l’audit.
14.4.3 Les listes de vérification comprendront une série exhaustive de questions groupées par thème,
qui seront utilisées pour garantir que tous les thèmes pertinents seront abordés. Aux fins d’un audit de
sécurité, les listes de vérification devraient aborder les domaines suivants d’une organisation :
a) les exigences réglementaires nationales relatives à la sécurité ;
b) les politiques et normes de sécurité de l’organisation ;
c) la structure des obligations redditionnelles en matière de sécurité ;
d) la documentation, notamment :
— le manuel de gestion de la sécurité ;
— la documentation opérationnelle (y compris les instructions locales) ;
e) la culture de la sécurité (réactive ou proactive) ;
f) les processus d’identification des dangers et de gestion des risques ;
g) les capacités de supervision de la sécurité (contrôle, inspections, audits, etc.) ;
h) des dispositions visant à garantir la performance des sous-traitants en matière de sécurité.

Le plan d’audit
14.4.4 Le Tableau 14-1 présente une esquisse d’un plan d’audit type.
14.5 CONDUITE DE L’AUDIT
14.5.1 La conduite de l’audit proprement dit consiste essentiellement en un processus d’inspection ou

de recherche de données. Des informations de pratiquement toute source peuvent être examinées dans le
cadre de l’audit.
14.5.2 Pendant la conduite d’un audit de sécurité, beaucoup tendent à limiter les constatations aux
cas de non-conformité par rapport aux exigences réglementaires. Les auditeurs doivent être bien conscients
du fait que de telles inspections n’ont qu’une valeur limitée pour les raisons suivantes :
a) il est possible que l’organisation compte exclusivement sur l’autorité d’audit pour garantir qu’elle
respecte les normes ;
Tableau 14-1. Exemple d’une structure type de plan d’audit
PLAN D’AUDIT
INTRODUCTION
[Cette section devrait présenter le plan d’audit et le contexte de l’audit.]
OBJET
[Le but, les objectifs, la portée et les critères sur la base desquels l’audit sera effectué
devraient être spécifiés.]
UNITÉ/SECTION À AUDITER
[Cette section devrait clairement spécifier le domaine à soumettre à audit.]
ACTIVITÉS PLANIFIÉES
[Cette section devrait déterminer et décrire les activités à effectuer, les domaines d’intérêt et
la manière dont les différents sujets seront abordés. Elle devrait aussi préciser les
documents qui devraient être mis à la disposition de l’équipe d’audit. Si l’audit comporte des
interviews, les domaines qui seront abordés pendant ces interviews devraient être
mentionnés.]
CALENDRIER
[Cette section devrait présenter un calendrier détaillé pour chacune des activités planifiées.]
ÉQUIPE D’AUDIT
[Cette section devrait présenter les membres de l’équipe d’audit.]

b) il se peut que les normes soient respectées uniquement pendant que l’auditeur effectue l’inspection ;
c) un rapport d’audit ne soulignera que les domaines où des lacunes ont été constatées lors de
l’inspection ;
d) l’audit n’encouragera pas l’organisation à être proactive et, souvent, seules les questions soulevées
par l’auditeur seront vérifiées.
Réunion préaudit
14.5.3 Lors de la réunion préaudit, le chef de l’équipe d’audit présentera brièvement le contexte de
l’audit, son objectif, et toutes questions spécifiques qui seront abordées par l’équipe d’audit. Les dispositions
pratiques, notamment la disponibilité du personnel pour des interviews, devraient être discutées et convenues
avec le directeur de l’unité ou de la section auditée.
Procédures d’audit
14.5.4 Les techniques de collecte des informations sur lesquelles l’équipe d’audit basera son évaluation
comprennent :
a) l’examen de la documentation ;
b) les interviews du personnel ;
c) les constatations de l’équipe d’audit.
14.5.5 L’équipe d’audit devrait passer en revue de façon systématique les points de la liste de vérifi-
cation pertinente. Les constatations devraient être notées sur des feuilles de constatations normalisées.
14.5.6 Si un point particulier de préoccupation est détecté pendant l’audit, il devrait faire l’objet d’un
examen plus approfondi. Toutefois, l’auditeur doit garder à l’esprit la nécessité de terminer le reste de l’audit
dans le délai prévu et doit donc éviter de passer un temps excessif à explorer un seul point au risque de ne
pas remarquer d’autres problèmes.
3
Interviews d’audit
14.5.7 Pour les auditeurs, le principal moyen d’obtenir des informations est de poser des questions.
Cette méthode fournit des informations supplémentaires par rapport à celles contenues dans les documents
écrits et donne au personnel concerné une occasion d’expliquer le système et les pratiques de travail. Des
discussions en face-à-face permettent aussi aux auditeurs d’évaluer dans quelle mesure le personnel de
l’unité ou de la section comprend la gestion de la sécurité et a la volonté de l’appliquer. Les personnes à
interviewer devraient être choisies dans toute une gamme de fonctions de direction, de supervision et de
postes fonctionnels. Le but des interviews d’audit est de générer des informations, pas de se lancer dans
des discussions.
3. Des indications plus complètes sur les techniques d’interview sont présentées au Chapitre 8.
Constatations de l’audit
14.5.8 Une fois que les activités d’audit sont terminées, l’équipe d’audit devrait examiner toutes les
constatations de l’audit et les comparer avec les réglementations et procédures pertinentes pour confirmer
qu’il est bien exact de qualifier les constatations faites de « non-conformités », « carences » ou « lacunes de
sécurité ».
14.5.9 Une évaluation de la gravité devrait être réalisée pour tous les points considérés comme « non-
conformités », « carences » ou « lacunes de sécurité ».
14.5.10 Il faudrait garder à l’esprit que l’audit ne devrait pas se concentrer sur des constatations
négatives. Un objectif important de l’audit de sécurité est aussi de mettre en évidence les bonnes pratiques
dans le domaine audité.
Réunion postaudit
14.5.11 La direction peut exiger des rapports intermédiaires réguliers tout au long de l’audit. Néanmoins,
une réunion postaudit devrait se tenir avec la direction de l’unité ou de la section à la fin des activités d’audit
afin de communiquer les constatations faites pendant l’audit et toute recommandation qui en découle.
L’exactitude factuelle peut être confirmée et des constatations importantes peuvent être mises en évidence.
14.5.12 Avant cette réunion, l’équipe d’audit devra :
a) s’accorder sur les conclusions de l’audit ;
b) rédiger des recommandations, telles que des propositions de mesures correctrices appropriées, si
nécessaire ;
c) examiner l’éventuelle nécessité de mesures de suivi.
14.5.13 Les constatations de l’audit peuvent se répartir en trois catégories :
a) des divergences ou non-conformités graves justifiant une suspension d’une licence, d’un permis ou
d’une autorisation ;
b) toute divergence ou non-conformité qui doit être rectifiée dans un délai convenu ;
c) les constatations sur des questions susceptibles d’avoir une incidence sur la sécurité ou de faire
l’objet d’une réglementation avant le prochain audit.
14.5.14 À la réunion postaudit, le chef de l’équipe d’audit devrait présenter les constatations faites
pendant l’audit et donner aux représentants de l’unité ou de la section auditée l’occasion de lever tout malen-
tendu. Les dates de publication de tout rapport d’audit provisoire et de réception des commentaires sur ce
rapport devraient être fixées par accord mutuel. Un projet de rapport final est souvent donné à la direction.
Plan d’action correctrice
14.5.15 À la fin d’un audit, des actions correctrices planifiées devraient être exposées par écrit pour
tous les domaines identifiés comme sources de préoccupation en termes de sécurité. Il incombe à la
direction de l’unité ou de la section d’élaborer un plan d’action correctrice décrivant la/les mesure(s) à
prendre pour remédier aux carences ou lacunes de sécurité identifiées, et ce dans le délai convenu.
14.5.16 Une fois terminé, le plan d’action correctrice devrait être envoyé au chef de l’équipe d’audit.
Le rapport d’audit final comprendra ce plan d’action correctrice et précisera toute mesure d’audit de suivi
proposée. Il incombe au directeur du domaine audité de veiller à ce que les mesures correctrices appropriées
soient mises en œuvre en temps voulu.
Rapports d’audit
14.5.17 Le rapport d’audit devrait brosser un tableau objectif des résultats de l’audit de sécurité. Après
la fin de l’audit, un rapport d’audit provisoire devrait être envoyé dès que possible au directeur de l’unité ou
de la section pour examen et commentaires. Tout commentaire reçu devrait être pris en considération lors
de la rédaction du rapport final, qui constitue le rapport d’audit officiel.
14.5.18 Voici les principes clés à respecter lors de l’élaboration du rapport d’audit :
a) cohérence des constatations et des recommandations présentées à la réunion postaudit, dans le

rapport d’audit provisoire et dans le rapport final d’audit ;
b) conclusions étayées par des renvois ;
c) énoncé clair et concis des constatations et des recommandations ;
d) absence de généralités et d’observations vagues ;
e) présentation objective des constatations ;
f) emploi de la terminologie aéronautique couramment acceptée, sans acronymes ni jargon ;
g) absence de critiques visant des individus ou des postes particuliers.
14.5.19 Le Tableau 14-2 présente une esquisse d’un rapport d’audit type.
14.6 SUIVI D’AUDIT
14.6.1 Le suivi d’audit concerne la gestion du changement. Dès réception du rapport d’audit final, la
direction doit veiller à ce que l’organisation progresse réellement sur la voie de la réduction ou de
l’élimination des risques détectés. L’objectif principal d’un suivi d’audit est de vérifier la mise en œuvre
effective du plan d’action correctrice. Un suivi est aussi requis pour veiller à ce que toute mesure prise à la
suite de l’audit ne nuise en aucune manière à la sécurité. En d’autres termes, l’audit ne devrait pas avoir
pour conséquence de permettre que de nouveaux dangers, présentant des risques potentiellement plus
élevés, entrent dans le système.
14.6.2 Si l’auditeur n’assure pas le suivi des manquements dans la mise en œuvre de mesures de
sécurité nécessaires (et convenues), la validité de tout le processus d’audit de sécurité s’en trouvera
compromise. Le suivi peut se faire par la surveillance de l’état d’avancement de la mise en œuvre des plans
d’action correctrice convenus ou par des visites d’audit de suivi. Un rapport devrait être rédigé sur toute
visite de suivi effectuée. Il devrait indiquer clairement l’état d’avancement de la mise en œuvre des mesures
correctrices convenues. Dans le rapport de suivi, le chef de l’équipe d’audit devrait mettre en évidence toute
non-conformité, carence ou lacune de sécurité restée non corrigée.
Tableau 14-2. Exemple de contenu d’un rapport d’audit
CONTENU D’UN RAPPORT D’AUDIT
INTRODUCTION
[Cette section devrait identifier l’audit, dont ce rapport est le compte rendu officiel, et
présenter les différents chapitres du rapport.]
LISTE DES DOCUMENTS DE RÉFÉRENCE
[Cette section devrait décrire brièvement tous les documents qui ont été utilisés pendant
l’audit.]
CONTEXTE
[Cette section devrait exposer la raison de l’audit. Il pourrait s’agir d’un audit régulier ou d’un
audit réalisé pour une raison spécifique (par ex. l’identification d’un risque pour la sécurité
ou la constatation d’un incident de sécurité).]
OBJET
[Cette section devrait énoncer l’objectif et la portée de l’audit, tels que décrits dans le plan
d’audit. Tout événement survenu pendant l’audit et ayant posé des problèmes au niveau de
la réalisation de cet objectif devrait être décrit.]
DOTATION EN PERSONNEL
[Cette section devrait énumérer le personnel participant à l’audit.]
CONSTATATIONS
[Cette section devrait exposer les constatations de l’équipe d’audit en termes généraux. Elle
devrait aborder les points positifs et les sources de préoccupation. Les informations
détaillées concernant les constatations devraient être annexées sous la forme de feuilles de
constatations et être assorties des mesures correctrices convenues.]
CONCLUSION GÉNÉRALE
[Cette section devrait présenter les conclusions générales de l’audit. Elle ne devrait pas se
concentrer uniquement sur les problèmes mais devrait aussi mettre en évidence les points
positifs.]
ANNEXES
[Toutes les feuilles de constatations et les feuilles d’actions correctrices y afférentes

devraient être annexées au rapport d’audit.]
14.7 NORMES DE QUALITÉ ISO
De nombreuses organisations aéronautiques ont été certifiées en vertu des normes de produits et services
de l’Organisation internationale de normalisation (ISO) (généralement la série de normes ISO 9000 relatives
à la gestion de la qualité). Dans le cadre du processus de certification ISO, les organisations sont soumises
à des audits de qualité sévères, tant initiaux que continus, réalisés par un organisme d’audit indépendant.
Chapitre 15
CONSIDÉRATIONS PRATIQUES POUR APPLIQUER

UN SYSTÈME DE GESTION DE LA SÉCURITÉ
15.1 INTRODUCTION
Au-delà des considérations théoriques et conceptuelles à envisager lors de la mise en place d’un système
de gestion de la sécurité (SGS), il faut aborder plusieurs aspects pratiques. Le présent chapitre en examine
quelques-uns.
15.2 LE BUREAU DE LA SÉCURITÉ
15.2.1 Dans la plupart des États, les exploitants ne sont soumis à aucune obligation réglementaire de
désigner un directeur de la sécurité (DS). Néanmoins, beaucoup de grands exploitants ou d’exploitants de
taille moyenne choisissent d’employer un DS et de créer un bureau de la sécurité. Le bureau de la sécurité
constitue un point de contact central pour toutes les activités liées à la sécurité ; il sert de dépôt pour les
rapports et informations concernant la sécurité et il met ses compétences en matière de gestion de la sécu-
rité à la disposition des cadres hiérarchiques. La création d’un bureau de la sécurité spécifique serait aussi
bénéfique aux grands fournisseurs de services aéronautiques (tels que l’ATC, les aérodromes et les
organismes de maintenance d’aéronefs) qu’elle ne l’a été aux exploitants d’aéronefs.
15.2.2 Le DS doit disposer d’un bureau équipé de façon appropriée. La présence physique du bureau
de la sécurité (taille et lieu) en dit long sur l’importance que la direction accorde à la gestion de la sécurité et
au rôle du DS.
15.2.3 Le DS devrait être libre de circuler dans l’organisation pour effectuer des coups de sonde,
interroger et observer. Il doit être facilement accessible à toute personne qui souhaite le contacter et il ne
devrait pas s’enfermer dans un bureau et attendre que les informations viennent à lui. Si son bureau se
situe loin des opérations quotidiennes, les communications en souffriront inévitablement.
15.2.4 Comme la principale source d’informations liées à la sécurité au sein d’une organisation est le
personnel opérationnel lui-même, le bureau du DS devrait se situer là où le personnel peut facilement y
accéder. Ce paramètre est particulièrement important pour les questions relatives aux performances
humaines, où les informations concernant un événement lié à la sécurité seront rapportées ou non en
fonction de la facilité avec laquelle un problème peut être discuté, de façon confidentielle si nécessaire,
immédiatement après un incident.
Fonctions du bureau de la sécurité
15.2.5 Indépendamment de son emplacement au sein d’une organisation, un bureau de la sécurité

assume généralement toute une gamme de fonctions de sécurité dans l’entreprise. Parmi les plus courantes,
citons :
15-1
a) conseiller la haute direction sur des matières liées à la sécurité, telles que :
1) établir une politique de sécurité ;
2) définir les responsabilités et obligations redditionnelles en matière de sécurité ;
3) instaurer un SGS efficace dans l’organisation ;
4) émettre des recommandations relatives à la répartition des ressources nécessaires pour soutenir
les initiatives de sécurité ;
5) diffuser des communications publiques sur les questions de sécurité ;
6) organiser la planification des interventions en cas d’urgence ;
b) assister les cadres hiérarchiques dans :
1) l’évaluation des risques identifiés ;
2) la sélection des mesures d’atténuation les plus appropriées pour les risques considérés comme
inacceptables ;
c) superviser les systèmes d’identification des dangers, par exemple :
1) les enquêtes sur les événements ;
2) les systèmes de comptes rendus d’incidents ;
3) les programmes d’analyse des données de vol ;
d) gérer les bases de données de sécurité ;
e) effectuer des analyses de sécurité, par exemple :
1) le contrôle des tendances ;
2) des études sur la sécurité ;
f) former aux méthodes de gestion de la sécurité ;
g) coordonner les comités de sécurité ;
h) promouvoir la sécurité :
1) en assurant la sensibilisation aux processus de gestion de la sécurité de l’organisation et la

compréhension de ces processus dans tous les domaines opérationnels ;
2) en diffusant en interne les leçons tirées en matière de sécurité ;
3) en échangeant des informations liées à la sécurité avec des agences externes et des organi-
sations assurant des opérations similaires ;
Chapitre 15. Considérations pratiques pour appliquer un système de gestion de la sécurité 15-3
i) contrôler l’évaluation des performances en matière de sécurité :
1) en conduisant des enquêtes de sécurité ;

2) en fournissant des indications sur la supervision de la sécurité ;
j) participer aux enquêtes sur les accidents et incidents ;
k) établir des comptes rendus de sécurité devant satisfaire aux exigences :
1) de la direction (par ex. des rapports annuels/trimestriels sur les tendances en matière de sécurité
et l’identification des questions de sécurité non résolues) ;
2) de l’autorité de réglementation (AAC).
15.3 DIRECTEUR DE LA SÉCURITÉ (DS)
15.3.1 Le DS est le coordinateur de l’élaboration et de la maintenance d’un SGS efficace. Il sera

probablement aussi le principal point de contact avec l’autorité de réglementation pour de nombreuses
questions de sécurité. L’obligation pour le DS de rendre des comptes directement au directeur général
prouve que la sécurité a, dans le processus décisionnel, un niveau d’importance équivalent à celui d’autres
grandes fonctions organisationnelles.
15.3.2 Les fonctions du DS sont examinées brièvement au Chapitre 12. En général, le DS a pour
mission de veiller à ce que la documentation concernant la sécurité reflète exactement la situation existante,
de contrôler l’efficacité des mesures correctrices, de fournir des rapports réguliers sur les performances en
matière de sécurité et de donner des conseils indépendants au directeur général, aux cadres dirigeants et à
d’autres membres du personnel sur des questions liées à la sécurité.
15.3.3 Dans beaucoup d’organisations, le DS occupe une fonction de « cadre fonctionnel » et

conseille la haute direction sur les questions liées à la sécurité. En effet, un conflit d’intérêt pourrait surgir si
le DS détenait aussi des responsabilités de cadre hiérarchique. La gestion de la sécurité est donc une
responsabilité partagée par les cadres hiérarchiques et soutenue par le « cadre fonctionnel », spécialiste de
la sécurité, le DS. La haute direction ne devrait pas faire porter au DS la responsabilité des tâches qui
incombent aux cadres hiérarchiques. Toutefois, il est de la responsabilité du DS d’octroyer aux cadres
hiérarchiques un soutien efficace en personnel afin de garantir le succès de leurs efforts en matière de
15.3.4 Il est possible que de grandes organisations aient besoin d’une petite équipe de quelques spécia-
listes en sécurité pour aider le DS. Ces spécialistes assureraient diverses tâches, telles que la tenue à jour de
la documentation de sécurité, l’examen des évaluations de sécurité et la participation à des audits de sécurité.
15.3.5 Indépendamment des dispositions organisationnelles, une déclaration formelle des responsa-
bilités et obligations redditionnelles est souhaitable, même dans de petites organisations. Cette déclaration
clarifie les liens hiérarchiques formels et informels de l’organigramme et précise les obligations reddition-
nelles liées à des activités spécifiques.
Critères de sélection du DS
15.3.6 Quelle que soit la taille de l’organisation, le DS devrait avoir une expérience de la gestion
opérationnelle et des compétences techniques adéquates pour comprendre les systèmes qui sous-tendent
les opérations. Les compétences opérationnelles seules ne suffiront pas. Le DS doit avoir une bonne
compréhension des principes de gestion de la sécurité, acquise par le biais d’une formation officielle et de
son expérience pratique.
15.3.7 Outre sa compétence professionnelle, le DS doit posséder plusieurs atouts. Il devrait avoir :
a) une bonne connaissance de l’aviation et des fonctions et activités de l’organisation ;
b) des aptitudes en relations humaines (telles que le tact, la diplomatie, l’objectivité et l’équité) ;
c) des aptitudes d’analyse et de résolution des problèmes ;
d) des aptitudes à gérer des projets ;
e) des aptitudes en communication orale et écrite.
15.3.8 Un exemple de description des fonctions d’un DS est présenté à l’Appendice 1 de ce chapitre.
Rôle de leadership
15.3.9 Dès le départ, le DS doit imposer son image. Le DS est perçu comme un expert spécifique en
gestion de la sécurité. Une des forces du DS est de convaincre les autres de la nécessité de changer. Pour
cela, il faut des aptitudes de leadership. Pour développer le style de leadership le plus approprié à une
organisation déterminée, il faut envisager les éléments suivants :
a) Exemple personnel. Le système de valeurs personnel du DS doit amener celui-ci à donner

l’exemple à tout le personnel, aux fournisseurs de services et à la direction. Le DS doit en tout
temps être perçu comme respectant les normes de sécurité les plus élevées. En aucun cas le DS
ne peut agir selon le principe « Faites ce que je dis, mais pas ce que je fais... ».
b) Courage de ses opinions. Le DS doit être disposé à aller à contre-courant si nécessaire. Dans
certains cas, le DS peut être la seule voix appelant au changement. La nécessité de changer ne
sera pas toujours populaire, ni auprès de la direction ni auprès du personnel concerné.
c) Recherche du consensus. En tant que promoteur du travail en équipe, que ce soit avec le
personnel du bureau ou dans le contexte de comités, le DS doit rechercher le consensus, inspirer la
confiance tout en convainquant les principaux acteurs de la nécessité de changer. Dans ce cadre, il
lui faudra souvent recourir aux compromis et faire preuve d’aptitudes à résoudre les conflits.
d) Adaptabilité. Le DS doit diriger sa barque avec prudence à travers des circonstances et priorités en
constante évolution, en jugeant quand dénoncer des faits et quand renoncer. Il n’y a pas loin de la
persévérance à l’entêtement, ni de la flexibilité au manque de fermeté.
e) Esprit d’initiative. Un DS efficace n’attend pas que les problèmes se présentent. Conformément à
une culture de sécurité proactive, il doit faire preuve d’initiative pour rechercher les dangers, évaluer
les risques y afférents et avancer les arguments en faveur du changement.
f) Innovation. Il existe peu de messages neufs dans le domaine de la sécurité. On a déjà tiré trop de
leçons, parfois à maintes reprises. Le DS doit trouver des approches innovantes pour les éternels
problèmes posés par l’excès de confiance, les raccourcis, les « contournements de règlements ».
g) Fermeté mais équité. Un leadership efficace traite toutes les personnes de façon équitable : il est
ferme sur les exigences mais équitable dans sa sensibilité aux circonstances exceptionnelles.
Le DS dans de grandes organisations ou des organisations en expansion
15.3.10 À mesure qu’une organisation s’étend, il deviendra de plus en plus difficile pour un DS
d’assumer ses fonctions seul. Ainsi, l’extension du réseau de routes d’un exploitant peut entraîner une
augmentation de la flotte et, peut-être, l’introduction de types d’aéronefs différents. Ces évolutions vont
accroître le nombre d’événements requérant l’attention du DS. Dans ces cas, un service de gestion de la
sécurité disposant d’un personnel minimal ne sera peut-être pas à même d’assumer une fonction adéquate
de contrôle. Pour aider le DS, notamment dans des tâches secondaires, il faudra probablement des
spécialistes supplémentaires. Voici, par exemple, quelques-uns des spécialistes dont une compagnie aérienne
devra peut-être s’adjoindre les services :
a) des responsables de la sécurité aérienne de la flotte (pilotes qualifiés sur type) ;
b) des responsables de la sécurité des services techniques (ingénieurs au sol titulaires d’une licence
et ayant une vaste expérience) ;
c) des responsables de la sécurité des cabines (membres les plus anciens des équipages de cabine
ayant une expérience de la formation des équipages de cabine, des équipements de sécurité et des
procédures opérationnelles).
15.3.11 Ces spécialistes peuvent apporter leur aide pour le contrôle des événements spécifiques à
leur flotte ou à leur discipline et apporter un point de vue technique lors d’enquêtes sur des événements.
Les relations du DS
15.3.12 Les domaines d’intérêt du DS sont très larges, couvrant les relations extérieures avec les
prestataires de services, les sous-traitants, les fournisseurs, les constructeurs et les responsables de
l’autorité de réglementation. Le DS doit encourager des relations de travail efficaces avec tout l’éventail des
personnes ayant une action sur la sécurité et à tous les niveaux. Ces relations devraient être placées sous
le signe de :
a) la compétence et du professionnalisme ;
b) la cordialité et la courtoisie ;
c) l’équité et l’intégrité ;
d) l’ouverture d’esprit.
15.3.13 Le DS devrait être disponible pour discuter des questions de gestion de la sécurité avec toute
personne. Une politique dite « de la porte ouverte » ne suffit pas. Le DS doit être visible et chacun doit
pouvoir s’adresser à lui dans toutes les zones d’opérations et de maintenance, y compris les fournisseurs
extérieurs.
15.4 COMITÉS DE SÉCURITÉ
15.4.1 Selon la taille et la complexité de l’organisation, le DS peut bénéficier du soutien d’un comité de
sécurité. De petites organisations feront bien d’examiner et de résoudre les questions de sécurité de façon
informelle. Tant que la communication est bonne et que le personnel et la direction sont disposés à donner
des conseils et de l’aide au DS, il ne sera pas nécessaire de mettre en place un comité de sécurité officiel.
Dans les organisations où un comité de sécurité distinct n’a pas été créé, les performances en matière de
sécurité et la gestion de la sécurité devraient figurer régulièrement à l’ordre du jour des réunions générales
de la direction. Le DS devrait participer à ces réunions.
15.4.2 Toutefois, dans de grandes organisations comptant plusieurs départements opérationnels, les
communications sont souvent « filtrées » et il s’avère fréquemment nécessaire d’améliorer la coordination
entre les départements. Les questions de sécurité requièrent souvent des données provenant d’un large
éventail de domaines. Les comités de sécurité peuvent constituer un forum pour examiner les questions
liées à la sécurité sous différents angles, surtout lorsque celles-ci nécessitent un éclairage plus large. En
outre, ils garantissent la participation active de la haute direction de l’organisation au SGS. Vu leurs compé-
tences multidisciplinaires, les comités de sécurité constituent la plate-forme naturelle pour la « pollinisation
croisée » des idées et pour une évaluation « systémique » des performances en matière de sécurité.
15.4.3 Les comités de sécurité devraient se concentrer sur « l’action » et non sur le « dialogue ». Le
rôle du comité de sécurité peut couvrir les aspects suivants :
a) mettre ses compétences et conseils sur les questions de sécurité au service de la haute direction ;
b) examiner les progrès réalisés dans la résolution des dangers identifiés et dans l’application des
mesures prises à la suite d’accidents et d’incidents ;
c) émettre des recommandations de sécurité pour faire face aux dangers pour la sécurité ;
d) examiner les rapports d’audits de sécurité internes ;
e) examiner et approuver les réactions qu’a suscitées l’audit et les mesures prises ;
f) encourager une approche indirecte des questions de sécurité ;
g) contribuer à l’identification des dangers et des moyens de défense ;
h) rédiger et examiner des rapports de sécurité à présenter au directeur général.
15.4.4 Les comités de sécurité n’ont normalement pas le pouvoir de donner des ordres à des
départements spécifiques. (Un tel pouvoir interférerait avec les liens hiérarchiques formels.) En réalité, les
comités de sécurité recommandent des actions à mettre en œuvre par les gestionnaires responsables.
Toutefois, en raison de questions d’obligations redditionnelles, certaines organisations ont instauré des
comités de sécurité au niveau du Conseil d’administration, afin de garantir que les mesures correctrices sont
prises.
Président du comité
15.4.5 Le comité de sécurité est souvent présidé par un cadre supérieur, le DS agissant en tant que
secrétaire. Cet arrangement contribue à garantir que les débats n’éludent pas les questions controversées.
Pour être efficace, le comité de sécurité doit jouir du soutien du directeur général et des directeurs de
département. Les directeurs qui ont la capacité de prendre des décisions et d’autoriser des dépenses
devraient participer aux réunions concernant des points spécifiques. Sans la participation des décideurs, les
réunions pourraient devenir des « causeries » entraînant de grosses pertes de temps.
Membres
15.4.6 Les comités de sécurité se composent généralement de représentants de tous les principaux
départements de l’organisation. En fonction de la taille de l’organisation, il peut être nécessaire de créer des
sous-comités distincts, chargés d’aborder des questions spécifiques. Le DS et le bureau de la sécurité

coordonnent les activités et aident le comité de sécurité et tout sous-comité.
Ordre du jour
15.4.7 Tous les membres du comité devraient avoir l’opportunité de soumettre des points susceptibles
de figurer à l’ordre du jour. S’il n’y a pas suffisamment de points à l’ordre du jour pour justifier une réunion
régulière, celle-ci devrait être annulée. Le DS, en tant que secrétaire de la réunion, devrait finaliser l’ordre
du jour avec le président, en fournissant la documentation nécessaire pour chaque point. Les points requérant
décisions et action ont priorité sur les points (d’information) en cours de discussion.
Procès-verbal
15.4.8 Le DS, en tant que secrétaire de la réunion, devrait rédiger un projet de procès-verbal
immédiatement après la réunion (tant que les souvenirs sont encore frais). Une fois que le président a signé
le procès-verbal, celui-ci devient un document à suivre. Le procès-verbal devrait être distribué dans les
quelques jours ouvrables qui suivent la réunion, lorsque les personnes chargées de prendre des mesures
se souviennent de l’engagement qu’elles ont pris. Des copies du procès-verbal devraient être diffusées
largement dans toute l’organisation, à la fois au personnel opérationnel et aux directeurs.
Suivi
15.4.9 Après la réunion, d’autres priorités sont susceptibles de capter l’attention des personnes
censées exécuter les mesures. Le DS devrait contrôler discrètement les mesures prises (ou non) et évaluer
les progrès avec ceux qui sont tenus d’appliquer les décisions.
15.5 FORMATION À LA GESTION DE LA SÉCURITÉ
15.5.1 La culture de la sécurité de l’organisation est étroitement liée au succès de son programme de
formation à la gestion de la sécurité. Tous les membres du personnel doivent comprendre la philosophie, les
politiques, procédures et pratiques de sécurité de l’organisation et ils doivent avoir une idée claire de leurs
rôles et responsabilités dans ce cadre de gestion de la sécurité. La formation à la sécurité devrait commencer
par un cours d’initiation pour tous les membres du personnel et devrait se poursuivre pendant toute la durée
du contrat d’emploi. Une formation spécifique à la gestion de la sécurité devrait être fournie au personnel
occupant des fonctions assorties de responsabilités particulières en matière de sécurité. Le programme de
formation devrait permettre de garantir que la politique et les principes de sécurité de l’organisation sont
compris et respectés par l’ensemble du personnel et que tous les membres du personnel sont conscients
des responsabilités de sécurité liées à leur fonction.
Besoins de formation
15.5.2 Le DS devrait, en collaboration avec le service du personnel, examiner les descriptions des
fonctions de tous les membres du personnel et identifier celles qui sont assorties de responsabilités en
matière de sécurité. Les responsabilités détaillées concernant la sécurité devraient être ajoutées aux
descriptions des fonctions.
15.5.3 Une fois les descriptions des fonctions mises à jour, le DS, en collaboration avec le directeur de
la formation, devrait analyser les besoins de formation afin de déterminer la formation qui sera requise pour
chaque fonction.
15.5.4 En fonction de la nature de la tâche, le niveau requis de formation à la gestion de la sécurité ira
d’une familiarisation générale à la sécurité jusqu’au niveau d’expert pour les spécialistes de la sécurité. En
voici quelques exemples :
a) formation à la sécurité de l’entreprise pour tout le personnel ;
b) formation visant les responsabilités de sécurité de la direction ;
c) formation pour le personnel opérationnel (tels que pilotes, ATCO, AME, personnel des aires de trafic) ;
d) formation pour les spécialistes de la sécurité de l’aviation (tels que le DS, les analystes des
données de vol).
15.5.5 Pendant la mise en œuvre initiale d’un SGS, une formation spécifique devra être fournie au
personnel existant. Une fois le SGS pleinement mis en œuvre, les membres du personnel non spécialisé en
sécurité devraient voir leurs besoins en formation à la sécurité couverts par l’insertion du contenu de sécurité
approprié dans le programme général de formation à leurs fonctions.
Formation initiale à la sécurité pour tout le personnel
15.5.6 Un des rôles de la formation à la gestion de la sécurité est de sensibiliser aux objectifs du SGS
mis en place par l’organisation et à l’importance de développer une culture de la sécurité. Tout le personnel
devrait recevoir un cours d’initiation de base couvrant :
a) les principes de base de la gestion de la sécurité ;
b) la philosophie ainsi que les politiques et normes de sécurité de l’entreprise (y compris la différence
d’approche appliquée par l’entreprise aux mesures disciplinaires et aux questions de sécurité, la
nature intégrée de la gestion de la sécurité, le processus décisionnel lié à la gestion du risque, la
culture de la sécurité, etc.) ;
c) l’importance de se conformer à la politique de sécurité et aux procédures qui font partie intégrante
du SGS ;
d) l’organisation, les rôles et responsabilités du personnel en matière de sécurité ;
e) la cote de sécurité de l’entreprise, y compris l’examen des domaines de faiblesse systémique ;
f) les buts et objectifs de sécurité de l’entreprise ;
g) les programmes de gestion de la sécurité de l’entreprise (systèmes de comptes rendus d’incidents,

LOSA et NOSS) ;
h) la nécessité d’une évaluation interne continue des performances de l’organisation en matière de

sécurité (par ex. enquêtes auprès des travailleurs, audits de sécurité et évaluations de la sécurité) ;
i) les comptes rendus d’accidents, d’incidents et de dangers perçus ;
j) les lignes de communications pour les questions de sécurité ;
k) les méthodes de communication et de retour d’informations pour la diffusion des informations liées à
la sécurité ;
l) les programmes destinés à récompenser les efforts consentis en matière de sécurité (le cas
échéant) ;
m) les audits de sécurité ;
n) la promotion de la sécurité et la diffusion des informations.
Formation à la sécurité pour la direction
15.5.7 Il est essentiel que l’équipe de direction comprenne les principes sur lesquels repose le SGS.
La formation devrait permettre de garantir que les directeurs et supérieurs hiérarchiques ont une bonne
connaissance des principes du SGS et de leurs responsabilités et obligations redditionnelles en matière de
sécurité. Il peut aussi être utile de donner aux directeurs une formation qui aborde les questions juridiques
connexes, par exemple, leurs responsabilités juridiques.
Formation spécialisée à la sécurité
15.5.8 Plusieurs tâches liées à la sécurité requièrent un personnel spécialement formé, à savoir :
a) les enquêtes sur les événements liés à la sécurité ;
b) le contrôle des performances en matière de sécurité ;
c) la conduite d’évaluations de la sécurité ;
d) la gestion des bases de données de sécurité ;
e) la conduite d’audits de sécurité.
15.5.9 Il est important que le personnel qui assume ces tâches reçoive une formation adéquate aux
méthodes et techniques spécifiques utilisées à ces fins. Selon le niveau de formation requis et les compé-
tences en gestion de la sécurité existant au sein de l’organisation, il peut être nécessaire de recourir à l’aide
de spécialistes externes pour fournir cette formation.
Formation à la sécurité pour le personnel opérationnel
15.5.10 Outre l’initiation à la sécurité au sein de l’entreprise telle que décrite brièvement ci-dessus, le
personnel participant directement aux opérations de vol (équipages de conduite, ATCO, AME, etc.) aura
besoin d’une formation plus spécifique à la sécurité dans les domaines suivants :
a) procédures de comptes rendus d’accidents et d’incidents ;
b) dangers très spécifiques auxquels est confronté le personnel opérationnel ;
c) procédures de comptes rendus de dangers ;
d) initiatives de sécurité spécifiques, telles que :
1) l’équipement FDA ;
2) le programme LOSA ;
3) le programme NOSS ;
e) comité(s) de sécurité ;
f) dangers et procédures de sécurité saisonniers (opérations en hiver, etc.) ;
g) procédures d’urgence.
Formation pour les directeurs de la sécurité
15.5.11 La personne sélectionnée pour exercer les fonctions de DS doit bien connaître la plupart des
aspects de l’organisation, ses activités et son personnel. Ces exigences peuvent être satisfaites en interne
ou par le biais de cours extérieurs, mais le DS acquerra une bonne partie de ses connaissances en
autodidacte.
15.5.12 Parmi les domaines dans lesquels le DS pourrait avoir besoin d’une formation formelle, citons :
a) une familiarisation aux différentes flottes, types d’opérations, routes, etc. ;
b) une compréhension du rôle des performances humaines dans les causes et la prévention des
accidents ;
c) le fonctionnement du SGS ;
d) les enquêtes sur les accidents et les incidents ;
e) la gestion des crises et la planification des interventions d’urgence ;
f) la promotion de la sécurité ;
g) les aptitudes de communication ;
h) les compétences numériques, notamment le traitement de texte, les tableurs et la gestion de bases
de données ;
i) une formation ou une initiation à des domaines spécialisés (CRM, FDA, LOSA et NOSS, entre autres).
1
15.6 CONDUITE D’UNE ENQUÊTE DE SÉCURITÉ
15.6.1 Les enquêtes sur la sécurité offrent une méthode souple et performante d’identification des
dangers à partir d’un échantillon d’avis d’experts. Elles peuvent être utilisées pour examiner un domaine
particulier de la sécurité où des dangers apparaissent ou sont suspectés, ou en tant qu’instrument de
contrôle visant à confirmer qu’une situation existante est satisfaisante. Dans l’un et l’autre cas, les principes
et procédures sont les mêmes et s’appliquent aussi bien aux grandes enquêtes qu’aux petites.
1. Les principes sous-tendant les enquêtes de sécurité ont été abordés au Chapitre 9.
Principes
15.6.2 Les objectifs de l’enquête devraient être énoncés clairement à tous les répondants ciblés.
15.6.3 La taille de l’échantillon devrait être suffisante pour permettre de tirer des conclusions valables
à partir des informations obtenues. Le degré de respect des procédures formelles, le nombre de participants,
etc., dépendront de la portée de l’enquête.
15.6.4 Des enquêtes peuvent être menées au moyen de listes de vérification, de questionnaires et
d’interviews. Toutes ces méthodes requièrent une aptitude à formuler des questions qui fourniront un point
de référence valable sans orienter la personne interrogée. Les interviews exigent des aptitudes spécifiques
à maintenir les questions neutres et impartiales, en évitant toute réaction négative, en encourageant la
franchise, etc.
15.6.5 Une sélection au hasard des personnes à interroger réduira les risques de gauchissement
des informations recueillies.
15.6.6 La formulation et l’ordre des questions de l’enquête exigent une rigueur identique à celle
des interviews structurées. Toutefois, à l’inverse des interviews, les enquêtes devraient éviter les questions
ouvertes exigeant des réponses rédigées. Les questions devraient au contraire susciter des réponses
spécifiques (qui peuvent être cotées). Elles peuvent porter sur l’évaluation d’un avis selon une échelle
prédéterminée allant, par exemple, de pas du tout d’accord à tout à fait d’accord en passant par sans avis.
15.6.7 Les enquêtes exigent une coordination préalable avec les autorités exerçant la tutelle sur les
répondants ciblés. Ainsi, une enquête peut être vouée à l’échec dès le départ si elle ne bénéficie pas du
soutien des syndicats et associations professionnelles concernés.
15.6.8 Quelle que soit la méthode utilisée pour mener l’enquête, le répondant doit recevoir une
garantie de confidentialité concernant les déclarations spontanées qu’il fera dans le cadre de l’enquête.
15.6.9 D’autres éléments sont à envisager avant de mener une enquête. Il faut notamment :
a) obtenir la coopération des personnes participant à l’enquête ;
b) éviter toute impression de « chasse aux sorcières » (L’objectif est de développer les connaissances.
Toute suggestion de blâme ou de sanction ira à l’encontre du but recherché.) ;
c) respecter l’expérience des répondants ciblés (Ceux-ci ont souvent plus d’expérience dans leur
domaine de spécialisation que l’enquêteur.) ;
d) savoir que toute critique (réelle ou implicite) peut compromettre le bon contact avec la personne
interviewée ;
e) n’accepter les ouï-dire et les rumeurs que s’ils sont étayés.
Fréquence des enquêtes
15.6.10 Certaines organisations préconisent d’effectuer des enquêtes de sécurité à intervalles réguliers
parce qu’elles considèrent celles-ci comme faisant partie intégrante de leur SGS. Ces enquêtes sont parti-
culièrement utiles lorsqu’une organisation traverse une période de changements importants, par exemple :
a) lors de changements organisationnels rapides dus à la croissance ou à l’expansion ;

b) lorsque des changements majeurs de la nature des opérations de l’organisation sont planifiés (tels
que l’introduction de nouveaux équipements ou des fusions d’entreprises) ;
c) lorsque des différends importants opposent le personnel à la direction (tels que des négociations de
contrats ou des actions de grève en cours) ;
d) à la suite d’un changement de membres principaux du personnel (notamment le chef pilote ou le

chef d’unité) ;
e) pendant l’introduction d’une nouvelle initiative de sécurité importante (telle que le TCAS, la FDA, le
LOSA ou le NOSS).
Domaines à examiner
15.6.11 En général, le personnel sait où rechercher les domaines de risque. Les cadres hiérarchiques
et le personnel de première ligne ont souvent une bonne perception des points qui posent les plus gros
risques dans leur domaine de responsabilité. On peut leur demander leur avis dans le cadre de groupes de
travail, de consultations des représentants des travailleurs et d’interviews avec des sous-directeurs et
supérieurs hiérarchiques.
15.6.12 Les sources d’informations évoquées au Chapitre 9 peuvent aussi permettre de comprendre
les risques potentiels que doit affronter l’organisation. Les rapports d’audit peuvent fournir un dossier
structuré des points à surveiller. Comme la rotation des gestionnaires responsables a tendance à donner la
mémoire courte aux entreprises, des évaluations de suivi des rapports formels d’audit peuvent révéler la
persistance de dangers pour la sécurité.
Conclusion de l’enquête
15.6.13 La collecte et l’analyse des informations, l’élaboration de recommandations et la rédaction du

rapport final d’une enquête prendront du temps. Il est dès lors souhaitable de dresser un bref bilan avec les
responsables dès la fin de l’enquête. Si des conclusions s’imposent de toute évidence, elles devraient être
examinées de façon informelle.
15.6.14 Les recommandations devraient être pratiques et se limiter au domaine d’activités et aux
compétences de l’organisation concernée. Il ne faudrait pas éviter les questions sensibles mais veiller à les
présenter de façon équitable, constructive et diplomate.
15.7 DIFFUSION DES INFORMATIONS LIÉES À LA SÉCURITÉ
15.7.1 Le DS devrait être le point de contact central pour les informations liées à la sécurité : rapports
sur les dangers, évaluations des risques, analyses de sécurité, rapports d’enquêtes, rapports d’audits,
procès-verbaux de réunions, travaux de conférences, etc. Le DS doit dégager de toutes ces informations les
messages à diffuser les plus pertinents pour la sécurité. Certains messages sont urgents (avant le prochain
vol), certains sont directifs, d’autres ont valeur de documentation, d’autres encore sont saisonniers, etc.
Comme la plupart des membres du personnel n’ont pas le temps de lire toutes ces informations, il incombe
au DS de distiller les points importants sous la forme de messages de sécurité faciles à comprendre.
Plusieurs éléments devraient guider le DS dans la diffusion des informations liées à la sécurité, notamment :
a) le caractère crucial de l’information ;

b) le public cible ;
c) les meilleurs moyens pour diffuser l’information (par ex. briefings, lettres personnelles, bulletins
d’informations, intranet de l’entreprise, vidéos et affiches) ;
d) le choix stratégique du moment opportun pour maximaliser l’impact du message (par ex. les briefings
d’hiver ne suscitent guère d’intérêt en été) ;
e) le contenu (par ex. quelle quantité d’informations contextuelles donner par rapport au message
principal) ;
f) le libellé (par ex. vocabulaire, style et ton les plus appropriés).
Informations cruciales pour la sécurité
15.7.2 Des informations urgentes sur la sécurité peuvent être diffusées par les canaux suivants :
a) messages directs (oraux ou écrits) aux directeurs responsables ;
b) briefings directs (par ex. pour les équipages de conduite d’une flotte particulière ou pour les contrôleurs
d’un organisme spécifique) ;
c) briefings de relève d’équipes (par ex. pour les AME et les ATCO) ;
d) courrier adressé directement à toutes les personnes concernées (par la poste, par fax ou par courriel) :
surtout pour le personnel en poste en dehors du secteur d’attache.
Informations « bonnes à savoir »
15.7.3 L’industrie aéronautique publie une littérature abondante, dont une partie est destinée à des
opérations particulières. Cette documentation comprend des rapports nationaux sur des accidents/incidents,
des études relatives à la sécurité, des revues d’aéronautique, les travaux de conférences et symposiums,
des rapports de constructeurs, des vidéos de formation, etc. Ces informations sont de plus en plus souvent
disponibles sur support électronique. Quel que soit le type de support, ces informations peuvent être mises
à la disposition du personnel et/ou de la direction par divers moyens :
a) un système de diffusion interne ;
b) une bibliothèque de la sécurité (probablement dans le bureau du DS) ;
c) des résumés (probablement rédigés par le DS) signalant au personnel la réception de ces informations ;
d) la distribution personnelle à des directeurs sélectionnés.
Comptes rendus adressés à la direction
15.7.4 Dans les comptes rendus adressés à la direction, il faut éviter de compliquer les choses. La
direction n’a pas le temps de prendre connaissance de grandes quantités de documents, dont certains sont
probablement hors de propos. La direction veut connaître la réponse à des questions élémentaires telles que :
a) Quel est le problème ?

b) Dans quelle mesure peut-il avoir des conséquences sur l’organisation ?
c) Quelle est la probabilité qu’il survienne ?
d) Quel en sera le coût s’il se produit ?
e) Comment peut-on éliminer ce danger ?
f) Comment peut-on réduire le risque ?
g) Quel sera le coût des mesures à prendre ?
h) Quels sont les inconvénients de telles mesures ?
15.8 COMMUNICATIONS ÉCRITES
15.8.1 L’établissement d’une documentation pour le SGS, l’enregistrement et le suivi des mesures de
sécurité importantes, la formulation de recommandations concrètes de sécurité, la promotion de la sécurité,
etc., tous ces éléments requièrent des communications écrites fortes.
15.8.2 Comme les recommandations de sécurité exigent en général des ressources supplémentaires
(ou une redistribution des ressources existantes), les directeurs concernés seront naturellement peu enclins
à prendre des mesures. Les communications écrites offrent un moyen efficace de faire passer les arguments
nécessaires en faveur du changement car elles réduisent le risque de malentendus.
15.8.3 Quelle que soit la nature de la mesure de sécurité recommandée, de mauvaises communications
écrites ont peu de chances de convaincre le bénéficiaire de changer. Dès lors, les communications écrites
devraient répondre aux critères suivants :
a) clarté de l’objectif ;
b) simplicité de la langue ;
c) attention aux détails, mais concision ;
d) pertinence des mots et des idées ;
e) logique et précision de l’argumentation ;
f) objectivité, impartialité et équité de l’examen des faits et de l’analyse ;
g) neutralité de ton (ton non accusateur) ;
h) opportunité.
15.9 PROMOTION DE LA SÉCURITÉ
15.9.1 Un programme continu de promotion de la sécurité veillera à ce que le personnel bénéficie des
leçons tirées en matière de sécurité et continue à comprendre le SGS de l’organisation. La promotion de la
sécurité est étroitement liée à la formation à la sécurité et à la diffusion des informations liées à la sécurité.
Elle englobe les activités que mène l’organisation pour veiller à ce que le personnel comprenne pourquoi
des procédures de gestion de la sécurité sont instaurées, ce que signifie la gestion de la sécurité, pourquoi
des mesures de sécurité spécifiques sont prises, etc. La promotion de la sécurité constitue le mécanisme
par lequel les leçons tirées d’enquêtes sur des événements relatifs à la sécurité et d’autres activités liées à
la sécurité sont mises à la disposition de l’ensemble du personnel concerné. Elle fournit également un
moyen d’encourager le développement d’une culture positive de la sécurité et de garantir qu’une fois
installée, cette culture de la sécurité sera entretenue.
15.9.2 La publication des politiques, procédures, bulletins d’information et circulaires relatifs à la sécu-
rité ne créera pas à elle seule une culture positive de la sécurité. S’il est important que le personnel soit bien
informé, il est tout aussi important que ce personnel perçoive les preuves d’un engagement de la direction à
garantir la sécurité. Les attitudes et actions de la direction joueront dès lors un rôle significatif dans la
promotion de pratiques de travail sûres et dans le développement d’une culture positive de la sécurité.
15.9.3 Les activités de promotion de la sécurité sont particulièrement importantes pendant les phases
initiales de la mise en œuvre d’un SGS. Toutefois, la promotion de la sécurité joue aussi un rôle important
dans le maintien de la sécurité, car elle constitue le moyen par lequel les questions de sécurité sont
communiquées au sein de l’organisation. Ces questions peuvent être abordées par le biais de programmes
de formation du personnel ou de mécanismes moins formels.
15.9.4 Pour proposer des solutions à des dangers identifiés, le personnel doit être conscient des
dangers déjà identifiés et des actions correctrices déjà mises en œuvre. Les activités de promotion de la
sécurité et les programmes de formation y afférents devraient donc aborder le raisonnement qui sous-tend
l’introduction de nouvelles procédures. Lorsque les enseignements tirés sont susceptibles de présenter un
intérêt pour d’autres États, exploitants ou fournisseurs de services, il faudrait envisager une diffusion plus
large des informations.
Méthodes de promotion
15.9.5 Pour qu’un message de sécurité soit appris et retenu, il faut tout d’abord donner au destinataire
des motivations positives, sans quoi une grande partie des efforts consentis pour atteindre le but recherché
seront gaspillés en pure perte. Une propagande qui se contente d’exhorter les gens à éviter de commettre
des erreurs, à faire plus attention, etc., est inefficace car elle ne présente aucun argument de fond qui
permette aux individus de se sentir concernés. Cette approche de la sécurité a parfois été qualifiée
d’approche « autocollant pour pare-chocs ».
15.9.6 Les campagnes de promotion de la sécurité devraient reposer sur des sujets sélectionnés pour
leur potentiel de maîtrise et de réduction des pertes. La sélection devrait donc se baser sur l’expérience
d’accidents ou de quasi-collisions passés, sur les sujets identifiés par l’analyse des dangers et sur les
constatations d’audits de sécurité de routine. En outre, le personnel devrait être encouragé à suggérer des
thèmes de campagnes promotionnelles.
15.9.7 Pour être efficaces, toutes les méthodes de diffusion — messages oraux et écrits, affiches,
vidéos, présentation de diapositives, etc., — requièrent talent, compétence et expérience. Une diffusion mal
exécutée peut être pire que l’inaction. Il est dès lors souhaitable de recourir à des professionnels lorsque
l’on diffuse des informations à un public crucial.
15.9.8 Une fois qu’il a été décidé de diffuser des informations liées à la sécurité, il faudrait tenir
compte de plusieurs facteurs importants, dont voici quelques exemples :
a) Le public cible. Le message doit être exprimé dans des termes et un langage qui correspondent aux
connaissances du public cible.
b) La réaction attendue. Quelle action le public cible est-il censé accomplir ?
c) Le support. Si les messages imprimés sont peut-être les plus aisés et les moins chers, ils seront
probablement les moins efficaces.
d) Le style de présentation. Il peut faire appel à l’humour, intégrer des éléments graphiques, des
photographies et recourir à d’autres techniques destinées à attirer l’attention.
15.9.9 L’idéal, c’est qu’un programme de promotion de la sécurité repose sur diverses méthodes de
communication. Les méthodes suivantes sont couramment utilisées à cette fin :
a) Message oral. C’est peut-être la méthode la plus efficace, surtout si elle est complétée par une
présentation visuelle. Cependant, c’est aussi la méthode la plus chère car elle demande temps et
efforts pour rassembler le public, les équipements et le matériel. Certains États emploient des
spécialistes en sécurité qui se rendent dans diverses organisations pour y donner conférences et
séminaires.
b) Message écrit. C’est de loin la méthode la plus populaire en raison de sa rapidité et de son faible
coût. Toutefois, la prolifération des imprimés tend à saturer notre capacité à absorber le tout. Les
documents imprimés de promotion de la sécurité entrent en concurrence avec des quantités considé-
rables d’autres documents écrits qui tentent, eux aussi, d’attirer l’attention. De plus, à l’ère numérique,
l’imprimé fait face à une concurrence encore plus forte. Il peut être souhaitable de recourir aux
conseils ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.
c) Vidéos. L’utilisation de vidéos offre les avantages d’images et sons dynamiques pour renforcer de
façon efficace des messages de sécurité spécifiques. Toutefois, elle présente deux grands incon-
vénients : le coût de production et la nécessité d’un équipement spécial de lecture. Néanmoins, les
vidéos peuvent être efficaces pour diffuser un message particulier dans l’ensemble d’une structure
organisationnelle fort dispersée, ce qui réduit au minimum la nécessité de demander au personnel
de se déplacer. Aujourd’hui, elles peuvent être distribuées par voie électronique ou par disque
compact (CD). Une grande gamme de vidéos de sécurité sont disponibles sur le marché. Beaucoup
sont reprises sur des sites de sécurité sur l’Internet.
d) Stands. Lorsqu’un message doit être montré à une grande assemblée, comme lors d’une conférence,
le stand est une bonne technique d’« auto-information ». Imagination et compétences graphiques
sont requises pour présenter non seulement le message mais aussi l’image de l’organisation. Les
inconvénients d’un stand sont le coût et, à moins qu’une permanence soit assurée au stand, un côté
statique et, d’une certaine manière, peu intéressant. Il peut être souhaitable de recourir aux conseils
ou à l’aide de professionnels pour garantir que le message soit transmis de façon efficace.
e) Sites Internet. Nombre des méthodes de promotion précitées pourraient ne pas être très attrayantes
pour les générations qui ont grandi dans un contexte d’ordinateurs, de jeux numériques et d’accès à
l’Internet. La croissance exponentielle de l’Internet offre un énorme potentiel d’amélioration de la
promotion de la sécurité. Même les petites entreprises peuvent créer et tenir à jour un site Internet
pour diffuser des informations liées à la sécurité.
f) Conférences, symposiums, séminaires, ateliers, etc. L’utilisation de cette méthode fournit des
forums idéaux pour promouvoir les questions de sécurité. L’organisation, l’autorité de réglemen-
tation, les associations du secteur, les instituts de sécurité, les universités, les constructeurs, etc.
peuvent parrainer ces événements. La valeur de ces forums dépasse souvent de loin la promotion
de la sécurité en permettant de nouer des contacts avec d’autres personnes actives dans le
domaine de la sécurité.
15.9.10 Lorsqu’on envisage de lancer un programme de promotion important, il est sage de demander
les conseils de spécialistes en communication et de représentants bien informés des groupes cibles concernés.
15.10 GESTION DES INFORMATIONS LIÉES À LA SÉCURITÉ
Les bases de données contiennent quantités d’informations

sur la sécurité ; toutefois, sans les outils et compétences
nécessaires pour accéder aux données et les analyser, ces
informations ne sont en fait d’aucune utilité.
Généralités
15.10.1 Des données de qualité sont vitales pour la gestion de la sécurité. Une gestion efficace de la
sécurité est « guidée par les données ». Les renseignements recueillis dans les rapports sur les activités et
la maintenance, les rapports de sécurité, les audits, les évaluations des pratiques de travail, etc., génèrent
une grande quantité de données, mais toutes ne sont pas pertinentes pour la gestion de la sécurité. Tant
d’informations liées à la sécurité sont recueillies et stockées que les directeurs responsables risquent d’être
submergés, ce qui compromettrait l’utilité des données. Une bonne gestion des bases de données de
l’organisation est fondamentale pour assurer des fonctions efficaces de gestion de la sécurité (telles que le
contrôle des tendances, l’évaluation des risques, les analyses coûts-avantages et les enquêtes sur des
occurrences).
15.10.2 Les arguments prônant un changement des pratiques de sécurité doivent reposer sur
l’analyse de données de qualité consolidées. La création et la tenue à jour d’une base de données de
sécurité procurent un outil essentiel aux gestionnaires de l’entreprise, aux directeurs de la sécurité et aux
autorités de réglementation qui contrôlent les questions de sécurité du système. Malheureusement, nombre
de bases de données n’atteignent pas le niveau de qualité des données nécessaire pour offrir une base
fiable pour affûter les priorités en matière de sécurité, évaluer l’efficacité des mesures d’atténuation des
risques et lancer des recherches relatives à la sécurité. Une compréhension des données, des bases de
données et de l’utilisation des outils appropriés est requise pour prendre des décisions valables et opportunes.
15.10.3 De plus en plus, des logiciels sont utilisés pour faciliter l’enregistrement, le stockage, l’analyse
et la présentation des informations liées à la sécurité. Il est maintenant possible de mener facilement une
analyse sophistiquée des informations contenues dans les bases de données. Une vaste gamme de bases
de données électroniques, relativement peu onéreuses et capables de répondre aux exigences de gestion
des données de l’organisation, sont disponibles dans le commerce, pour des ordinateurs de bureau. Ces
systèmes autonomes présentent l’avantage de ne pas utiliser le système informatique principal de l’orga-
nisation, ce qui améliore la sécurité des données.
Recommandations de l’OACI
15.10.4 L’Annexe 13 recommande que les États établissent une base de données sur les accidents et
incidents pour faciliter l’analyse efficace des renseignements obtenus, notamment ceux qui sont issus de
leurs systèmes de comptes rendus d’incidents. Les systèmes de bases de données devraient utiliser des
formats normalisés de façon à faciliter les échanges de données.
Système de comptes rendus d’accident/incident de l’OACI (ADREP)
15.10.5 Pour aider les États à obtenir des données relatives à la sécurité, l’OACI tient à jour le
système ADREP. L’ADREP est une base de données contenant des informations sur les accidents et graves
incidents d’aviation dans le monde.
2
15.10.6 Le système ADREP utilise le logiciel ECCAIRS . Le programme de cette base de données est
mis à la disposition des États qui souhaitent créer leurs propres bases de données pour soutenir la gestion
de la sécurité. Le système ADREP offre aux États :
a) une importante base de données des comptes rendus internationaux d’accidents et d’incidents pour
analyse et recherche en matière de sécurité ;
b) un système élaboré à l’échelon international pour coder les données liées à la sécurité afin de faciliter
l’échange de ces données ;
c) un service d’analyse pour répondre à des demandes spécifiques, relatives à la sécurité, émises par
des États.
Besoins en systèmes d’information
15.10.7 Selon la taille de leur organisation, les utilisateurs ont besoin d’un système offrant une gamme
de capacités et de sorties pour gérer leurs données relatives à la sécurité. En général, il faut aux utilisateurs :
a) un système capable de transformer de grandes quantités de données liées à la sécurité en infor-

mations utiles au processus décisionnel ;
b) un système qui réduira la charge de travail des directeurs et du personnel de sécurité ;
c) un système automatisé, adaptable à leur propre culture ;
d) un système qui peut fonctionner à relativement peu de frais.
Compréhension des bases de données
15.10.8 Pour exploiter les avantages potentiels de bases de données de sécurité, il faut comprendre
les fondements de leur fonctionnement.
Qu’est-ce qu’une base de données ?
15.10.9 Tout ensemble d’informations regroupées d’une manière organisée peut être considéré comme
constituant une base de données. Des documents imprimés peuvent être tenus à jour dans un simple
système de classement (c.-à-d. une « base de données » manuelle), mais ce genre de système ne suffira
2. Le Centre européen de coordination des systèmes de comptes rendus d’incidents en navigation aérienne (ECCAIRS) est décrit au
Chapitre 7.
que pour les plus petites opérations. Le stockage, l’enregistrement, le rappel et l’extraction des données
sont des tâches lourdes. Il est préférable que les données de sécurité, quelle qu’en soit l’origine, soient
stockées dans une base de données électronique qui facilite l’extraction des renseignements sous divers
formats.
15.10.10 La capacité de manipuler les informations, de les analyser et de les extraire sous diverses
formes est appelée gestion de base de données. La plupart des logiciels de gestion de bases de données
comprennent les éléments organisationnels suivants, qui permettent de définir une base de données :
a) Enregistrement : Un groupe de données considéré comme un tout (par ex. toutes les données
concernant une occurrence) ;
b) Zone : Chaque élément d’information distinct à l’intérieur d’un enregistrement (tel que la date ou le
lieu d’une occurrence) ;
c) Fichier : Groupe d’enregistrements présentant la même structure et ayant un rapport entre eux
(comme toutes les occurrences liées au moteur dans une année spécifique).
15.10.11 Les bases de données sont dites « structurées » lorsque chaque zone de données a une
longueur fixe et que son type de format est clairement défini par un chiffre, une date, une réponse
« oui/non », un caractère ou un texte. Souvent, l’utilisateur ne dispose que d’un choix prédéterminé de
valeurs. Ces valeurs sont stockées dans des fichiers de référence, souvent appelés table de valeurs ; par
exemple, une sélection de marques et de modèles d’aéronefs dans une liste prédéterminée. Pour faciliter
l’analyse quantitative et les recherches systématiques, les bases de données structurées réduisent au
minimum les saisies simples en format libre en les limitant à des longueurs de zones fixes. Souvent, ces
informations sont catégorisées par un système de mots clés.
15.10.12 Les bases de données sont dites « alphanumériques » lorsque les banques d’informations
sont essentiellement constituées de documents écrits (par exemple, résumés des rapports sur les accidents
et incidents ou correspondance écrite). Les données sont indexées et stockées dans des zones de texte en
format libre. Certaines bases de données contiennent de grandes quantités de données structurées et de
données documentaires mais les bases de données modernes sont bien plus que des classeurs électroniques.
Limites d’une base de données
15.10.13 Lorsque l’on crée, tient à jour ou utilise des bases de données, il faut tenir compte de leurs
limites. Certaines de ces limites sont inhérentes au système de la base de données, tandis que d’autres
découlent de l’usage qui est fait des données. Pour éviter des conclusions et décisions injustifiables, les
utilisateurs de bases de données doivent comprendre les limites de l’outil. Les utilisateurs de bases de
données devraient aussi savoir dans quel but la base de données a été constituée et connaître la crédibilité
des informations saisies par l’organisation qui a créé la base de données et la tient à jour.
Intégrité d’une base de données
15.10.14 Les bases de données de sécurité constituent un élément stratégique du SGS d’une
organisation. Les données sont vulnérables aux altérations provenant de multiples sources et il faut veiller à
préserver leur intégrité. Beaucoup de membres du personnel peuvent avoir accès à la base de données
pour y entrer des données. D’autres auront besoin d’un accès aux données pour exécuter leurs tâches de
sécurité. L’accès à partir de sites multiples d’un système en réseau peut accroître la vulnérabilité de la base
de données.
15.10.15 L’utilité d’une base de données sera compromise si une attention suffisante n’est pas
accordée à la tenue à jour des données. Des données manquantes, des retards dans la saisie de données
actuelles, des saisies de données inexactes, etc., altèrent la base de données. Même l’application des
meilleurs outils d’analyse ne peut compenser de mauvaises données.
Gestion d’une base de données
Protection des données de sécurité
15.10.16 Comme les données liées à la sécurité, recueillies strictement aux fins de faire progresser la
sécurité de l’aviation, présentent un grand potentiel d’usages abusifs, la gestion d’une base de données doit
commencer par la protection de ces données. Les gestionnaires de bases de données doivent trouver un
juste équilibre entre le besoin de protéger les données et celui de rendre les données accessibles à ceux
qui peuvent faire progresser la sécurité de l’aviation. Parmi les aspects à prendre en considération pour la
protection des données, citons :
a) l’efficacité des lois sur « l’accès à l’information » face aux exigences de la gestion de la sécurité ;
b) les politiques de l’organisation en matière de protection des données liées à la sécurité ;
c) la dépersonnalisation des données par l’élimination de toutes les informations qui pourraient
amener une tierce partie à déduire l’identité d’individus (par exemple, numéros de vol, dates/heures,
lieux et type d’aéronef) ;
d) la sécurité des systèmes d’information, du stockage des données et des réseaux de communication ;
e) la limitation de l’accès aux bases de données à ceux qui « ont besoin de savoir » ;
f) les interdictions d’usages non autorisés des données.
Capacités des bases de données de sécurité
15.10.17 Comme les divers systèmes de gestion de bases de données varient dans leurs propriétés
et attributs fonctionnels, il faudrait les étudier tous avant de décider du système le plus apte à répondre aux
besoins d’un exploitant. L’expérience a montré que l’usage d’une base de données sur PC est le meilleur
moyen pour enregistrer et retrouver les incidents aériens liés à la sécurité. Le nombre de caractéristiques
disponibles dépend du type de système sélectionné. Les caractéristiques de base devraient permettre à
l’utilisateur d’exécuter des tâches telles que :
a) entrer des événements de sécurité sous diverses catégories ;
b) lier les événements aux documents connexes (par ex. des rapports et photographies) ;
c) contrôler les tendances ;
d) compiler des analyses, des graphiques et des rapports ;
e) vérifier les dossiers historiques ;
f) partager des données avec d’autres organisations ;

g) suivre les enquêtes sur les événements ;
h) signaler des retards dans la prise de mesures à l’aide d’un repère.
Considérations relatives à la sélection des bases de données
15.10.18 La sélection d’un type de base de données parmi les systèmes disponibles sur le marché
dépendra des attentes de l’utilisateur, des données requises, du système d’exploitation de l’ordinateur et de
la complexité des requêtes à traiter. Toute une gamme de programmes dotés de diverses capacités et
exigences en matière de compétences sont disponibles. Pour choisir, il faudra trouver un juste équilibre entre
les aspects suivants :
a) Convivialité. Le système devrait être facile à utiliser de façon intuitive. Certains programmes offrent
une vaste gamme de caractéristiques mais requièrent une importante formation. Malheureusement,
il faut souvent trouver un compromis entre la puissance du moteur de recherche et la convivialité ;
plus l’outil est convivial, moins il sera susceptible d’être à même de traiter des requêtes complexes.
b) Accès. Bien que l’accès à toutes les informations stockées dans la base de données soit la situation
idéale, tous les utilisateurs n’ont pas besoin d’un accès aussi large. La structure et la complexité de
la base de données influenceront le choix d’outils particuliers de requête.
c) La performance permet de mesurer l’efficacité du système. Elle dépend d’éléments tels que :
1) la qualité de la saisie, de la tenue à jour et du contrôle des données ;
2) la pertinence du format de stockage des données pour faciliter des contrôles de tendance ou
d’autres analyses ;
3) la complexité de la structure de la base de données ;
4) la conception du système (ou réseau) informatique hôte.
d) La flexibilité dépend de la capacité du système à :
1) traiter une diversité de requêtes ;
2) filtrer et trier les données ;
3) utiliser la logique binaire (c’est-à-dire la capacité du système à traiter des conditions « ET/OU »
telles que « tous les pilotes qui sont commandants de bord et ont 15 000 heures de vol » ou
« tous les pilotes qui sont commandants de bord ou ont 15 000 heures de vol ») ;
4) effectuer une analyse de base (comptages et tableaux à entrées multiples) ;
5) produire des données de sortie définies par l’utilisateur ;
6) se connecter à d’autres bases de données pour importer ou exporter des données.
15.10.19 Les coûts varient selon les exigences de chaque organisation. Chez certains vendeurs de
systèmes, le prix demandé est un forfait, qui autorise de multiples utilisateurs sur une licence unique. Chez
d’autres, le tarif augmente selon le nombre d’utilisateurs autorisés. L’acheteur devrait tenir compte de
facteurs de coûts connexes tels que :
a) les frais d’installation ;
b) les frais de formation ;
c) les coûts de mise à jour des logiciels ;
d) les frais de maintenance et d’assistance technique ;
e) d’autres frais de licence de logiciels qui pourraient être nécessaires.
15.11 MANUEL DE GESTION DE LA SÉCURITÉ
15.11.1 Un manuel de gestion de la sécurité donne à la direction un instrument clé pour communiquer
l’approche de la sécurité appliquée à l’ensemble de l’organisation. Ce manuel devrait traiter tous les aspects
du SGS, y compris la politique de sécurité, les procédures de sécurité et les obligations redditionnelles de
chacun en matière de sécurité.
15.11.2 Le manuel de gestion de la sécurité devrait aborder, entre autres :
a) les procédures de contrôle des documents ;
b) la portée du SGS ;
c) la politique de sécurité ;
d) les obligations redditionnelles en matière de sécurité ;
e) les mécanismes d’identification des dangers ;
f) le contrôle des performances en matière de sécurité ;
g) l’évaluation de la sécurité ;
h) les audits de sécurité ;
i) la promotion de la sécurité ;
j) la structure de l’organisation de la sécurité.
15.11.3 Le manuel de gestion de la sécurité devrait être un document de type évolutif, reflétant l’état
actuel du SGS. Le DS sera sans doute chargé de l’élaboration du manuel de gestion de la sécurité. Ce
manuel devrait être rédigé de façon à expliciter la finalité et les processus du SGS. Dès lors, toute
modification significative du SGS requerra une mise à jour du manuel de gestion de la sécurité.
15.11.4 Le manuel de gestion de la sécurité devrait être aussi court et concis que possible. Toute
information qui change régulièrement devrait être incluse dans des appendices. Ce sera notamment le cas
des noms des membres du personnel chargés de responsabilités de sécurité spécifiques.
————————
EXEMPLE DE DESCRIPTION DES FONCTIONS

D’UN DIRECTEUR DE LA SÉCURITÉ
Mission générale
1. Le directeur de la sécurité (DS) est chargé de donner des indications et des instructions pour
assurer le fonctionnement du système de gestion de la sécurité de l’organisation.
Qualités
2. Cette fonction requiert la capacité de faire face, sans réelle supervision, à des circonstances et
situations en constante évolution. Le DS agit indépendamment des autres directeurs de l’organisation.
3. Le DS est chargé de fournir des informations et des conseils à la haute direction sur des questions
relatives à la sécurité des opérations. Tact, diplomatie et un haut degré d’intégrité sont indispensables.
4. Cette fonction requiert de la flexibilité car des tâches peuvent être entreprises à bref délai, voire au
pied levé et en dehors des heures de travail normales.
Nature et portée
5. Le DS doit interagir avec le personnel opérationnel, les cadres dirigeants et les chefs de dépar-
tement de toute l’organisation. Le DS devrait aussi favoriser des relations positives avec les autorités, les
services de réglementation et les fournisseurs de services extérieurs à l’organisation. D’autres contacts
seront noués au niveau opérationnel, s’il y a lieu.
Qualifications
6. Les qualités et qualifications préconisées sont notamment :
a) une connaissance et une expérience opérationnelles larges des fonctions de l’organisation (par ex.
les opérations de navigation aérienne, la gestion du trafic aérien et les opérations aéroportuaires) ;
b) une bonne connaissance des principes et pratiques de gestion de la sécurité ;
c) de bonnes aptitudes en communication orale et écrite ;
d) une excellente aptitude à nouer des relations interpersonnelles ;
e) des connaissances en informatique ;
15-APP 1-1
f) la capacité d’entretenir des rapports harmonieux à tous les niveaux, à la fois à l’intérieur et à
l’extérieur de l’organisation ;
g) le sens de l’organisation ;
h) la capacité de travailler de façon autonome ;
i) un bon esprit d’analyse ;
j) avoir des aptitudes de leadership et de l’autorité ;
k) être digne du respect de ses pairs et de la direction.
Pouvoirs
7. Pour les questions de sécurité, le DS a un accès direct au directeur général et aux directions
appropriées.
8. Le DS est autorisé à procéder à des audits de sécurité sur tout aspect des opérations.
9. Le DS a le pouvoir de diligenter une enquête sur un accident ou un incident conformément aux

procédures spécifiées dans le manuel de gestion de la sécurité.
Chapitre 16
EXPLOITATION TECHNIQUE DES AÉRONEFS
16.1 GÉNÉRALITÉS
re
16.1.1 L’Annexe 6 — Exploitation technique des aéronefs, 1 Partie — Aviation de transport commercial
e
international — Avions, et 3 Partie — Vols internationaux d’hélicoptères, exige que les États mettent en
place un programme de sécurité en vue d’atteindre un niveau acceptable de sécurité dans l’exploitation des
aéronefs. Dans le cadre de leur programme de sécurité, les États exigent que les exploitants mettent en
œuvre un système accepté de gestion de la sécurité (SGS).
16.1.2 Un SGS permet aux exploitants d’intégrer leurs diverses activités liées à la sécurité en un
système cohérent. Parmi les activités liées à la sécurité qui pourraient être intégrées dans le SGS des
exploitants, citons :
a) les comptes rendus de dangers et d’incidents ;
b) l’analyse des données de vol (FDA) ;
c) le programme d’audit de sécurité en service de ligne (LOSA) ;
d) la sécurité en cabine.
Chacun de ces points est décrit plus en détail ci-dessous.
16.2 COMPTES RENDUS DE DANGERS ET D’INCIDENTS
16.2.1 Les principes et le fonctionnement d’un système efficace de comptes rendus d’incidents sont
décrits au Chapitre 7. Pour une organisation, la mise en œuvre d’un système non punitif de comptes rendus
d’incidents constitue un des meilleurs moyens — si pas le meilleur — d’exprimer son engagement à garantir
la sécurité et d’encourager une culture positive de la sécurité. Aujourd’hui, nombre d’exploitants ont pris cet
engagement envers la sécurité et, en conséquence, ont bénéficié non seulement de l’amélioration de
l’identification des risques, mais aussi d’un renforcement de l’efficacité des opérations aériennes.
Avantages
16.2.2 Les systèmes de comptes rendus d’incidents sont un des outils les plus efficaces dont disposent
les exploitants pour réaliser une étape clé d’une gestion efficace de la sécurité, à savoir l’identification
proactive des risques. Les politiques, procédures et pratiques élaborées au sein des organisations introduisent
parfois des dangers imprévus dans les opérations aériennes. Ces facteurs latents (dangers) peuvent ne pas
se manifester pendant des années. Ils sont habituellement les conséquences imprévues de modifications
qui ont été apportées souvent avec les meilleures intentions du monde. Ils trouvent notamment leur origine
dans une mauvaise conception des équipements, des décisions de gestion inappropriées, des ambiguïtés
16-1
dans les procédures écrites et une mauvaise communication entre la direction et le personnel opérationnel.
Les cadres hiérarchiques sont aussi susceptibles d’introduire de tels dangers en instaurant des procédures
opérationnelles qui ne fonctionnent pas comme prévu en conditions « réelles ». Bref, des dangers peuvent
avoir une origine très éloignée dans le temps et l’espace des incidents qu’ils finiront peut-être par entraîner.
16.2.3 Il se peut que ces dangers n’entraînent pas immédiatement un accident ou un incident parce
que le « personnel de première ligne » (qu’il s’agisse des pilotes, des ATCO ou des AME) crée souvent des
techniques d’adaptation à ces dangers, techniques parfois qualifiées de « moyens de tourner la difficulté ».
Toutefois, si les dangers ne sont pas identifiés et traités, tôt ou tard, les mécanismes d’adaptation échoueront
et un accident ou un incident se produira.
16.2.4 Un système interne de comptes rendus bien géré peut aider les compagnies à identifier nombre
de ces dangers. Grâce à la collecte, au regroupement, puis à l’analyse des comptes rendus de dangers et
d’incidents, les directeurs de la sécurité peuvent mieux comprendre les problèmes rencontrés pendant
l’exploitation. Armés de ces connaissances, ils peuvent mettre en place des solutions systémiques plutôt
que des solutions « bouche-trous » qui ne feront peut-être que cacher les vrais problèmes.
Encourager la libre circulation des informations liées à la sécurité
16.2.5 Il est fondamental que le personnel ait confiance dans le système de comptes rendus d’incidents
pour garantir la qualité, la précision et l’intérêt des renseignements signalés. Dans un climat d’entreprise où
le personnel se sent libre de partager ouvertement les informations liées à la sécurité, les renseignements
recueillis sur des dangers et des incidents contiendront beaucoup de détails utiles. Comme les comptes
rendus refléteront l’environnement réel, il sera intéressant de déterminer les facteurs en jeu et les domaines
où la sécurité suscite des préoccupations.
16.2.6 Toutefois, si la compagnie utilise les comptes rendus d’incidents à des fins disciplinaires, son
système de comptes rendus d’incidents ne recevra que les renseignements minimums requis pour respecter
les règles qu’elle a édictées. On ne pourra en attendre que peu d’informations utiles pour la sécurité.
16.2.7 La confiance nécessaire à la libre circulation des informations liées à la sécurité est très fragile.
Elle mettra peut-être des années à s’installer, mais il suffira d’un abus de confiance pour saper l’efficacité du
système pour longtemps. Pour gagner la nécessaire confiance du personnel, la compagnie devra commencer
par publier une déclaration officielle énonçant sa politique de franchise et de liberté en matière de comptes
rendus d’incidents. Un exemple de politique d’entreprise relative à ces comptes rendus non punitifs de
dangers est présenté à l’Appendice 1 de ce chapitre.
16.2.8 Tout nouveau système de comptes rendus d’incidents soulève l’éternelle question : « Que
signaler ? ». Comme indiqué au Chapitre 7, le principe directeur devrait être : « Dans le doute, signalez-
le ». Une liste illustrative de types d’occurrences ou d’événements à signaler dans le cadre d’un système de
comptes rendus d’exploitant figure à l’Appendice 2 de ce chapitre. Pour être efficaces, les programmes de
comptes rendus des exploitants devraient au minimum comprendre les comptes rendus de dangers et
d’incidents émanant du personnel des opérations aériennes, des AME et des équipages de cabine.
Systèmes disponibles sur le marché
16.2.9 Un nombre croissant de systèmes de comptes rendus d’incidents fonctionnant sur ordinateurs
individuels sont disponibles sur le marché à un coût relativement faible et se sont avérés bien adaptés aux
besoins des systèmes de comptes rendus des compagnies. Ces logiciels de série recueillent et enregistrent les
Chapitre 16. Exploitation technique des aéronefs 16-3
données, produisent des rapports et peuvent être utilisés pour effectuer des analyses de tendances et un suivi
des performances en matière de sécurité. Le Chapitre 15 fournit de plus amples informations sur les systèmes
de bases de données.
16.2.10 Voici trois exemples de tels systèmes :
a) British Airways Safety Information System (BASIS) (Système d’informations sur la sécurité de la
compagnie British Airways) a été créé en tant que programme interne de comptes rendus d’incidents
pour les équipages de conduite. Ce programme informatique a évolué pour devenir une quasi
norme de l’industrie aéronautique pour la collecte et la gestion des informations liées à la sécurité. Il
est actuellement utilisé par plus de 100 compagnies aériennes et organisations aéronautiques. Les
systèmes élaborés en ligne sont fréquemment conçus pour être compatibles avec BASIS. Plusieurs
modules de BASIS couvrent un large spectre d’activités concernant la gestion de la sécurité. De
plus amples informations sur BASIS sont disponibles sur le site web http://www.winbasis.com.
b) INDICATE (Identifying Needed Defences in the Civil Aviation Transport Environment) (Identification
des moyens de défense nécessaires dans l’environnement du transport aérien civil) est un programme
de gestion de la sécurité élaboré en Australie pour offrir un moyen simple, rentable et fiable permettant
la saisie, le suivi et le signalement des renseignements sur des dangers pour la sécurité.
Le logiciel INDICATE utilise le programme Access de Microsoft et est facile à installer sur un
ordinateur compatible avec Windows. Il donne une méthodologie logique et cohérente pour
enregistrer et classer les dangers, un moyen d’enregistrement rapide et aisé des recommandations
et des interventions, une base de données permettant l’enregistrement et l’extraction des dangers
pour la sécurité, ainsi qu’un système automatique d’élaboration de rapports sur les dangers
permettant une diffusion rapide des informations. Il constitue en outre un outil utile pour les audits
de sécurité. Le Bureau de la sécurité des transports australiens (ATSB) fournit le logiciel INDICATE
gratuitement. De plus amples informations sur INDICATE sont disponibles sur le site web
http://www.atsb.gov.au.
c) Airbus Industrie a élaboré le Aircrew Incident Reporting System (AIRS) (Système de comptes
rendus d’incidents pour les équipages d’aéronefs) afin d’aider ses clients à mettre en place leurs
propres systèmes confidentiels de comptes rendus. AIRS met l’accent sur la collecte et la compréhen-
sion des implications systémiques des incidents signalés ainsi que sur les aspects comportementaux.
La partie analytique d’AIRS entend éclaircir la manière dont un incident s’est produit et les causes
de cet incident. AIRS vise en particulier à améliorer la compréhension des facteurs humains sous-
jacents ayant joué un rôle dans des événements. Le logiciel AIRS, qui est compatible avec BASIS,
permet de stocker des données normalisées émanant tant des opérations du poste de pilotage que
des opérations de cabine.
16.3 PROGRAMME D’ANALYSE DES DONNÉES DE VOL (FDA)
Introduction
16.3.1 Les programmes d’analyse des données de vol (FDA), parfois appelés programme d’assurance
de la qualité des opérations aériennes (FOQA), offrent un autre instrument permettant une identification
proactive des dangers. Les programmes FDA constituent un complément logique aux comptes rendus de
dangers et d’incidents et au LOSA.
Qu’est-ce qu’un programme FDA ?
16.3.2 À l’origine, les enregistreurs de bord servaient principalement à aider les enquêteurs, surtout
lors d’accidents ayant entraîné la mort de tous les membres d’équipage. L’analyse des données enre-
gistrées s’est très tôt révélée également utile pour mieux comprendre les incidents graves. En consultant
régulièrement les paramètres de vol enregistrés, il était possible d’en apprendre beaucoup sur la sécurité
des opérations aériennes et sur la performance des cellules et des moteurs. De précieuses données sur le
déroulement normal des choses dans les opérations quotidiennes étaient ainsi disponibles, ce qui a permis
de replacer dans leur contexte les données relatives à des accidents et à des incidents. De plus, l’analyse
de ces données désidentifiées pouvait aussi être utile pour identifier les dangers pour la sécurité avant
qu’un incident grave ou un accident ne se produise.
16.3.3 Afin de tirer le meilleur parti possible de ces avantages, plusieurs compagnies aériennes ont
mis en place des systèmes visant à analyser régulièrement les données de vol enregistrées. Malgré
quelques problèmes initiaux, l’industrie aéronautique analyse de plus en plus les données enregistrées au
cours des opérations normales afin de soutenir les programmes de sécurité des compagnies. Les programmes
FDA ont donné à la direction un outil de plus pour identifier de façon proactive les dangers pour la sécurité
et atténuer les risques connexes.
16.3.4 Aux fins du présent manuel, un programme FDA peut être défini comme suit :
• Un programme proactif et non punitif destiné à recueillir et analyser des données enregistrées
pendant des vols de routine en vue d’améliorer la performance des équipages de conduite, les
procédures opérationnelles, la formation des équipages, les procédures de contrôle de la circulation
aérienne, les services de navigation aérienne ou la maintenance et la conception des aéronefs.
16.3.5 Tout programme FDA requiert la coopération des pilotes. Avant d’instaurer un programme
FDA, il est essentiel de conclure un accord sur les processus à suivre, en particulier sur les aspects non
punitifs d’un tel programme. Ces détails sont normalement inclus dans un accord formel entre la direction et
ses équipages de conduite. Un exemple de ce type d’accord figure à l’Appendice 3 du présent chapitre.
Avantages des programmes FDA
16.3.6 Les programmes FDA sont de plus en plus souvent utilisés pour assurer le suivi et l’analyse
des opérations aériennes et des performances techniques. Les programmes FDA sont une composante
logique d’un SGS, surtout chez de grands exploitants. Des programmes efficaces encouragent le respect
des SOP, préviennent les comportements hors norme et renforcent ainsi la sécurité des vols. Ils peuvent
détecter des tendances inopportunes dans toute partie du régime de vol et ainsi faciliter les enquêtes sur
des événements n’ayant pas eu de graves conséquences.
16.3.7 L’analyse des données de vol peut servir à détecter des dépassements des paramètres de vol
et à repérer des procédures non normalisées ou déficientes, des faiblesses du système ATC et des
anomalies dans la performance des aéronefs. Elle permet de suivre les divers aspects d’un profil de vol, tels
que le respect des SOP prescrites pour le décollage, la montée, la croisière, la descente, l’approche et
l’atterrissage. Des aspects spécifiques des vols peuvent être étudiés, soit rétrospectivement, pour repérer
les points problématiques, ou de façon proactive avant l’instauration d’un changement opérationnel, pour
ensuite confirmer l’efficacité de ce changement.
16.3.8 Lors de l’analyse d’un incident, les données de l’enregistreur de bord du vol sur lequel l’incident
s’est produit peuvent être comparées avec les données du profil de la flotte, ce qui facilite l’analyse des
aspects systémiques d’un incident. Il se peut que les paramètres d’un vol avec incident ne varient que
légèrement par rapport à bien d’autres vols, ce qui indique peut-être une nécessité de modifier la technique
opérationnelle ou la formation. Il serait par exemple possible de déterminer si un incident ayant entraîné un
contact queue-sol à l’atterrissage est un incident isolé ou s’il est symptomatique d’un problème plus large de
fausse manœuvre, telle qu’un arrondi trop haut au toucher des roues ou une mauvaise gestion de la poussée.
16.3.9 Les programmes de surveillance des moteurs peuvent utiliser l’analyse automatisée des données
des enregistreurs de bord pour obtenir une analyse de tendance fiable, car les données relatives aux moteurs
qui sont codées manuellement ont une précision, une opportunité et une fiabilité limitées. Il est aussi possible
de surveiller d’autres aspects de la cellule et des systèmes.
16.3.10 En résumé, les programmes FDA offrent un large spectre d’applications pour la gestion de la
sécurité ainsi que pour l’amélioration de l’efficacité et de la rentabilité opérationnelles. Les données
cumulées de nombreux vols peuvent être utiles pour :
a) déterminer les normes d’exploitation quotidienne ;
b) repérer les tendances dangereuses ;
c) identifier les dangers dans les procédures d’exploitation, les flottes, les aéroports, les procédures
ATC, etc. ;
d) surveiller l’efficacité des mesures de sécurité spécifiques prises ;
e) réduire les coûts d’exploitation et de maintenance ;
f) optimaliser les procédures de formation ;
g) constituer un outil d’évaluation des performances pour les programmes de gestion des risques.
Exigence de l’OACI
re
16.3.11 L’Annexe 6, 1 Partie, contient des dispositions exigeant l’intégration des programmes FDA
dans les SGS des exploitants. Les exploitants de gros aéronefs assurant des vols commerciaux
internationaux sont tenus d’avoir un programme FDA non punitif contenant des garanties adéquates pour
protéger la/les source(s) de données. Ils peuvent recourir aux services d’un sous-traitant spécialisé pour
gérer ce programme.
er
À compter du 1 janvier 2005, les exploitants d’avions dont la
masse maximale certifiée au décollage excède 27 000 kg établiront
et maintiendront un programme d’analyse des données de vol dans
le cadre de leur système de gestion de la sécurité des vols.
re
Annexe 6, 1 Partie, Chapitre 3
Utilisation d’un programme FDA
16.3.12 Généralement, les renseignements FDA sont utilisés pour :
a) la détection de dépassements ;
b) des mesures de routine ;
c) les enquêtes sur les incidents ;
d) le maintien de la navigabilité ;
e) le chaînage des bases de données (ou l’analyse intégrée de la sécurité).
Détection de dépassements
16.3.13 Les programmes FDA peuvent être utilisés pour détecter des dépassements ou des événe-
ments liés à la sécurité, tels que des écarts par rapport aux limites spécifiées dans le manuel de vol, aux
SOP ou aux bonnes pratiques aéronautiques. Un ensemble d’événements clés (habituellement fourni par le
vendeur de logiciel FDA en consultation avec l’exploitant/le constructeur) fixe les principaux centres d’intérêt
des exploitants.
Exemples : Vitesse de rotation élevée au décollage, avertissement de décrochage, avertissement GPWS,

dépassement de la vitesse maximale volets sortis, approche rapide, position trop basse/élevée par
rapport à la trajectoire de descente, atterrissage dur.
16.3.14 L’analyse des données de vol fournit des renseignements utiles qui peuvent compléter les
informations données dans les comptes rendus des équipages.
Exemples : Atterrissage avec volets réduits, descente d’urgence, panne de moteur, décollage interrompu,
remise des gaz, avertissement du TCAS ou du GPWS, défaillances des systèmes.
16.3.15 Les compagnies peuvent aussi modifier l’ensemble standard d’événements clés (en fonction
de l’accord passé avec leurs pilotes), pour tenir compte de situations exceptionnelles auxquelles les pilotes
sont confrontés régulièrement, ou les SOP qu’elles utilisent.
Exemple : Pour éviter des comptes rendus de nuisance liés au non-respect d’un départ normalisé aux
instruments (SID).
16.3.16 Elles peuvent aussi définir de nouveaux événements (avec l’accord des pilotes) pour résoudre
des problèmes spécifiques.
Exemple : Restrictions portant sur l’utilisation de certains braquages des volets en vue d’accroître la
durée de vie des composants.
16.3.17 Il faut veiller à ce que, pour éviter un dépassement, les équipages de conduite ne tentent de voler
selon le profil FDA plutôt que de suivre les SOP. Ce genre de réaction pourrait rapidement aggraver la situation.
Mesures de routine
16.3.18 On tend de plus en plus à conserver les données de tous les vols et pas seulement celles des
vols ayant connu des événements majeurs. Un ensemble de paramètres sont sélectionnés en vue d’offrir
une base suffisante pour pouvoir caractériser chaque vol et effectuer une analyse comparative d’un large
spectre de variantes opérationnelles. Des tendances peuvent être mises en évidence avant l’obtention d’un
nombre d’événements statistiquement significatif. Les tendances plus ou moins fortes qui émergent sont
surveillées avant qu’elles n’aient atteint les seuils de déclenchement associés à des dépassements.
Exemples de paramètres surveillés : la masse au décollage ; le braquage des volets ; la température ;

les vitesses de rotation et de décollage par rapport aux vitesses types ; le taux et l’assiette de tangage
pendant la rotation ; les vitesses, hauteurs et moments de rentrée du train.
Exemples d’analyses comparatives : comparaison des taux de tangage des avions à masse au décol-
lage élevée et à masse au décollage basse ; approches dans de bonnes conditions météorologiques
par rapport aux approches dans de mauvaises conditions ; touchers des roues sur piste longue par
rapport aux touchers sur piste courte.
Enquêtes sur les incidents
16.3.19 Les données enregistrées fournissent de précieux renseignements pour assurer le suivi des
incidents qui doivent être obligatoirement signalés et d’autres comptes rendus techniques. Des données
enregistrées quantifiables ont été des compléments utiles à ajouter aux impressions et informations dont se
souvenaient les équipages de conduite. Les données enregistrées donnent aussi une indication précise de
l’état et de la performance des systèmes, ce qui peut constituer une aide pour déterminer les relations de
cause à effet.
Exemples d’incidents où des données enregistrées pourraient être utiles :
a) des urgences, telles que :
1) décollages interrompus à vitesse élevée ;

2) problèmes de commandes de vol ;
3) défaillances des systèmes ;
b) une charge de travail élevée dans le poste de pilotage, corroborée par les indicateurs suivants :
1) une descente tardive ;

2) une interception tardive du radiophare d’alignement et/ou de la pente de descente ;
3) un important changement de cap sous une hauteur spécifique ;
4) une configuration d’atterrissage tardive ;
c) des approches non stabilisées et précipitées, écarts d’alignement de descente, etc. ;
d) des dépassements par rapport aux limites opérationnelles prescrites (telles que les vitesses maximales
volets sortis, les surchauffes des moteurs, les vitesses aérodynamiques, les conditions d’amorce de
décrochage) ;
e) des rencontres de turbulences de sillage, un cisaillement du vent à bas niveau, des rencontres de
turbulences ou d’autres accélérations verticales.
Maintien de la navigabilité
16.3.20 Les données de routine et les données d’événements peuvent servir à soutenir la fonction de
maintien de la navigabilité. Par exemple, les programmes de surveillance des moteurs tiennent compte des
mesures de performance des moteurs pour déterminer l’efficacité opérationnelle et prédire les pannes imminentes.
Exemples d’utilisations pour le maintien de la navigabilité : mesures du niveau de poussée du moteur et

de la traînée de la cellule ; avionique et autres modes de surveillance du fonctionnement des systèmes ;
performance des commandes de vol ; utilisation des freins et du train d’atterrissage.
Analyse intégrée de la sécurité
16.3.21 Toutes les données recueillies dans le cadre d’un programme FDA devraient être conservées
dans une base de données centrale, consacrée à la sécurité. En reliant cette base de données FDA à
d’autres bases de données de sécurité (telles que les systèmes de comptes rendus d’incidents et les
systèmes de comptes rendus de défectuosités techniques), il est possible d’obtenir une compréhension plus
complète des événements par le recoupement de renseignements provenant de diverses sources. Il
convient toutefois de veiller à garantir la confidentialité des renseignements FDA lorsqu’on relie ceux-ci à
des données identifiées.
Exemple d’intégration : Un atterrissage dur donne lieu à un compte rendu d’équipage, ainsi qu’à un
compte rendu d’événement FDA et à un rapport technique. Le compte rendu d’équipage fournit le
contexte, l’événement FDA donne la description quantitative, et le rapport technique décrit le résultat.
16.3.22 L’intégration de toutes les sources disponibles de données concernant la sécurité donne au
SGS de l’exploitant des informations viables sur le niveau général de sécurité de l’exploitation.
Équipement FDA
16.3.23 Les programmes FDA font généralement appel à des systèmes qui saisissent les données de
vol, les transforment en un format approprié pour l’analyse et génèrent des rapports et représentations
visuelles qui sont autant d’aides pour évaluer les données. Le niveau de sophistication des équipements
est très variable. En général, toutefois, les capacités suivantes d’équipements sont requises pour garantir
l’efficacité des programmes FDA :
a) un système embarqué de saisie et d’enregistrement des données sur une vaste gamme de
paramètres en vol (tels que l’altitude, la vitesse anémométrique, le cap, l’assiette de l’aéronef et la
configuration de l’aéronef) ;
b) un moyen de transférer les données enregistrées à bord de l’aéronef à une station de traitement
des données au sol. Par le passé, ce transfert entraînait souvent le déplacement physique de l’unité
de mémoire de l’enregistreur à accès rapide (QAR) (bande magnétique, disque optique ou semi-
conducteurs). Pour réduire l’effort physique requis, des méthodes ultérieures de transfert ont fait
appel aux technologies sans fil ;
c) un système informatique au sol (utilisant un logiciel spécialisé) pour analyser les données (de vols
spécifiques et/ou les données consolidées de plusieurs vols), détecter les écarts par rapport aux
performances attendues, produire des rapports pour faciliter l’interprétation des données de sortie, etc. ;
d) un logiciel facultatif offrant une capacité d’animation des vols afin d’intégrer toutes les données et de
les présenter sous la forme d’une simulation en conditions de vol, ce qui facilite la visualisation des
événements réels.
Équipements embarqués
16.3.24 Les aéronefs modernes à visualisation d’habitacle et à commandes de vol électriques sont
équipés des bus numériques nécessaires permettant la saisie de données par un enregistreur aux fins
d’analyse ultérieure. Des équipements enregistrant des paramètres supplémentaires peuvent être installés
en rattrapage sur des aéronefs plus anciens. Toutefois, il est peu probable que des aéronefs anciens (non
numériques) permettent l’enregistrement d’un nombre de paramètres suffisants pour soutenir un programme
FDA viable.
16.3.25 Le nombre de paramètres enregistrés par le FDR obligatoire peut être déterminant pour la
portée d’un programme FDA. Malheureusement, dans certains cas, le nombre de paramètres à enregistrer
et la capacité d’enregistrement requis par la loi aux fins d’enquêtes sur des accidents peuvent se révéler
insuffisants pour appliquer un programme FDA efficace. C’est pourquoi beaucoup d’exploitants optent pour
une capacité d’enregistrement supplémentaire, capable d’être facilement téléchargée pour analyse.
16.3.26 Enregistreurs à accès rapide (QAR). Des QAR sont installés dans l’aéronef et enregistrent
les données de vol sur un support amovible à faible coût, tel qu’une cassette, un disque optique ou un
support d’enregistrement à semi-conducteurs. L’enregistrement peut être retiré de l’aéronef après plusieurs
vols. Des QAR utilisant de nouvelles technologies sont à même de traiter plus de 2 000 paramètres à des
cadences d’échantillonnage beaucoup plus élevées que celles des FDR. Cette extension du cadre de
données accroît sensiblement la résolution et la précision des sorties des programmes d’analyse au sol.
16.3.27 Pour éliminer la nécessité de retirer le support d’enregistrement du QAR afin de transférer les
données de l’aéronef jusqu’à la station au sol, les systèmes plus récents téléchargent automatiquement les
renseignements enregistrés via des systèmes sans fil sécurisés lorsque l’aéronef se trouve à proximité de la
porte. Dans d’autres systèmes encore, les données enregistrées sont analysées à bord pendant le vol. Les
données chiffrées sont ensuite transmises à une station au sol au moyen de communications par satellite.
La composition de la flotte, la structure des routes et des considérations de coûts détermineront la méthode
la plus rentable à utiliser pour retirer les données de l’aéronef.
Équipements de lecture et d’analyse au sol
16.3.28 Les données sont téléchargées du système d’enregistrement de l’aéronef dans une unité de
lecture et d’analyse basée au sol, où elles sont conservées dans un environnement sécurisé afin de
protéger ces informations sensibles. Diverses plates-formes numériques, y compris des ordinateurs individuels
en réseau, sont capables d’héberger les logiciels nécessaires pour lire les données enregistrées. Des logiciels
de lecture sont disponibles sur le marché mais la plate-forme informatique requerra des interfaces frontales
appropriées (habituellement fournies par les fabricants des enregistreurs) pour traiter la variété d’entrées
enregistrées disponibles aujourd’hui.
16.3.29 Les programmes FDA génèrent de grandes quantités de données requérant des outils analy-
tiques spécialisés. Ces outils, disponibles dans le commerce, facilitent l’analyse de routine des données de
vol, qui permet de révéler des situations requérant des mesures correctrices.
16.3.30 Le logiciel d’analyse vérifie les données de vol téléchargées pour y rechercher les anomalies.
Les logiciels de détection de dépassements comprennent généralement un grand nombre d’expressions
logiques de bascule tirées d’une grande variété de sources, telles que les courbes de performances, les
SOP, les données relatives à la performance fournies par le constructeur des moteurs, ainsi que la disposition
de l’aérodrome et les critères d’approche. Les expressions logiques de bascule peuvent être de simples
dépassements, tels que des valeurs critiques, mais il s’agit le plus souvent d’expressions composées qui
définissent un certain régime de vol, une certaine configuration d’aéronef ou une certaine situation concernant
la charge marchande. Les logiciels d’analyse peuvent aussi appliquer des ensembles de règles différents en
fonction de l’aéroport ou de la géographie. Par exemple, des aéroports sensibles au bruit peuvent utiliser
des alignements de descente plus élevés que la normale sur les trajectoires d’approche survolant des zones
habitées.
16.3.31 Événements et mesures peuvent être affichés sur un écran d’ordinateur au sol sous divers
formats. Les données de vol enregistrées sont habituellement affichées sous la forme de traces à codage
en couleurs avec éléments techniques connexes, de simulations de poste de pilotage ou d’animations de la
vue extérieure de l’aéronef.
Application pratique de l’analyse des données de vol
Processus FDA
16.3.32 Généralement, les exploitants suivent un processus en circuit fermé lorsqu’ils appliquent un
programme FDA, par exemple :
a) Établissement d’une ligne de départ. Les exploitants commencent par établir une ligne de départ
précisant les paramètres opérationnels par rapport auxquels des changements peuvent être détectés
et mesurés.
Exemples : Taux d’approches instables ou d’atterrissages durs.
b) Mise en évidence de circonstances inhabituelles ou dangereuses. L’utilisateur détermine lorsque

des circonstances non normalisées, inhabituelles ou essentiellement dangereuses se produisent ;
en les comparant aux marges de sécurité de la ligne de départ, il est possible de quantifier les
changements.
Exemple : Augmentations des approches instables (ou d’autres événements dangereux) en des
endroits spécifiques.
c) Identification des tendances dangereuses. Des tendances peuvent être détectées sur la base de
la fréquence des événements. Outre une estimation du niveau de gravité, les risques sont évalués
afin de déterminer lesquels pourraient devenir inacceptables si la tendance se poursuivait.
Exemple : Une nouvelle procédure a provoqué des vitesses élevées de descente, proches du seuil
de déclenchement d’avertissements GPWS.
d) Atténuation du risque. Une fois qu’un risque inacceptable a été identifié, des mesures appropriées
d’atténuation du risque sont adoptées et mises en œuvre.
Exemple : Après la découverte de vitesses élevées de descente, les SOP sont modifiées afin
d’améliorer la maîtrise de l’aéronef pour garantir des vitesses optimales/maximales de descente.
e) Suivi de l’efficacité. Une fois qu’une mesure correctrice a été mise en œuvre, le suivi de son effi-
cacité permet de confirmer qu’elle a réduit le risque identifié et que ce risque n’a pas été transféré
ailleurs.
Exemple : Confirmer que d’autres mesures de sécurité sur le terrain d’aviation présentant des
vitesses élevées de descente ne pâtissent pas des changements de procédures d’approche.
Analyse et suivi
16.3.33 Les renseignements FDA sont généralement recueillis sur une base mensuelle. Ils devraient
ensuite être examinés par un groupe de travail, qui identifiera les dépassements spécifiques et l’émergence
de tendances inopportunes et diffusera les informations aux équipages de conduite.
16.3.34 En cas de carences manifestes dans la technique de pilotage des pilotes, les informations
sont désidentifiées afin de protéger l’identité de l’équipage de conduite. Les renseignements sur des dépas-
sements spécifiques sont transmis à un représentant convenu des équipages de conduite afin que celui-ci
ait une conversation confidentielle avec le pilote. Le représentant des pilotes fournit le contact nécessaire
avec le pilote afin de clarifier les circonstances, d’obtenir des retours d’informations et de donner des conseils
et recommandations sur des mesures appropriées, telles que des cours de recyclage pour le pilote (suivis
dans une optique positive et non punitive), des révisions des manuels d’exploitation et des manuels de vol,
des modifications des procédures ATC et des procédures opérationnelles de l’aéroport, etc.
16.3.35 L’examen des dépassements spécifiques est complété par un archivage de tous les événements
dans une base de données, qui est utilisée pour trier, valider et afficher les données dans des rapports de
gestion faciles à comprendre. Au fil du temps, ces données archivées peuvent brosser un panorama des
tendances et dangers émergents qui, sinon, passeraient inaperçus. Lorsque l’apparition d’une tendance
inopportune devient manifeste (dans une flotte ou lors d’une phase de vol particulière ou dans un aéroport
spécifique), le département de la formation de la flotte peut mettre en œuvre des mesures pour inverser la
tendance en modifiant des exercices de formation et/ou des procédures opérationnelles. Tout comme dans
d’autres parties des opérations requérant des mesures, les données peuvent ensuite être utilisées pour
confirmer l’efficacité de toute mesure adoptée.
16.3.36 Il peut être justifié d’inclure les leçons tirées du programme FDA dans les programmes de
promotion de la sécurité de la compagnie. Toutefois, il faut veiller à ce que tout renseignement acquis via le
programme FDA soit minutieusement désidentifié avant de l’utiliser dans toute initiative de formation ou de
promotion.
16.3.37 Comme dans tout processus en circuit fermé, le contrôle du suivi est requis pour évaluer
l’efficacité de toute mesure correctrice prise. Il est crucial de recevoir des informations en retour des
équipages de conduite pour identifier et résoudre les problèmes de sécurité. Ces retours d’informations
pourraient notamment comprendre des réponses aux questions suivantes :
a) Les résultats escomptés sont-ils obtenus suffisamment tôt ?
b) Les problèmes ont-ils été réellement corrigés ou seulement transférés dans une autre partie du
système ?
c) De nouveaux problèmes ont-ils été introduits ?
16.3.38 Tous les succès et échecs devraient être enregistrés et il faudrait chaque fois comparer les
objectifs planifiés du programme avec les résultats escomptés. Ainsi se crée une base permettant d’évaluer
le programme FDA et de poursuivre le développement du programme.
Conditions d’efficacité des programmes FDA
16.3.39 Plusieurs conditions essentielles à la réussite des programmes FDA sont décrites ci-dessous.
Protection des renseignements FDA
16.3.40 La direction des compagnies aériennes et les pilotes ont des inquiétudes légitimes au sujet de
la protection des renseignements FDA, notamment en ce qui concerne :
a) l’utilisation des renseignements à des fins disciplinaires ;
b) l’utilisation des renseignements pour prendre des mesures coercitives à l’encontre d’individus ou de
la compagnie, sauf en cas d’acte délictueux ou de non-respect intentionnel de la sécurité ;
c) la divulgation de renseignements aux médias et au grand public en vertu des dispositions du droit
national régissant l’accès à l’information ;
d) la divulgation de renseignements pendant un procès au civil.
16.3.41 L’intégrité des programmes FDA repose sur la protection des renseignements FDA. Toute
divulgation à des fins autres que la gestion de la sécurité peut compromettre la fourniture volontaire de
renseignements FDA, ce qui nuirait à la sécurité de l’aviation. Dès lors, il est de l’intérêt commun des États,
des compagnies aériennes et des pilotes de prévenir tout usage abusif des renseignements FDA.
La confiance : un élément essentiel
16.3.42 De même que la confiance établie entre la direction et ses pilotes est la clé de la réussite des
systèmes de comptes rendus d’incidents, elle est aussi la pierre angulaire de la réussite d’un programme
FDA. Cette confiance peut être facilitée par :
a) une participation précoce de l’association des pilotes à la conception, à la mise en œuvre et au

fonctionnement du programme FDA ;
b) un accord formel entre la direction et les pilotes, décrivant les procédures d’utilisation et de protection
des données (À l’Appendice 3 de ce chapitre figure un exemple d’accord entre une compagnie
aérienne et ses équipages.) ;
c) l’optimalisation de la sécurité des données par :
1) le respect d’accords rigoureux passés avec les associations de pilotes ;
2) la limitation stricte de l’accès aux données à des individus sélectionnés au sein de la compagnie ;
3) le maintien d’un contrôle rigoureux afin de garantir que les données identifiantes soient supprimées
dès que possible des enregistrements des données de vol ;
4) la garantie que les problèmes opérationnels soient résolus promptement par la direction ;
5) la destruction, dès que possible, de toutes les données identifiées.
16.3.43 Pendant le suivi, l’accès aux renseignements relatifs à l’identité des membres d’équipage ne
devrait être permis qu’à des personnes dûment autorisées et utilisé uniquement à des fins d’enquête. Après
analyse, les renseignements permettant cette identification devraient être détruits.
Nécessité d’une culture de la sécurité
16.3.44 Les programmes FDA fructueux se distinguent par une gestion cohérente et compétente.
Voici quelques indicateurs d’une culture efficace de la sécurité :
a) la direction a montré son engagement à promouvoir une culture proactive de la sécurité, à vivement
encourager la coopération et la responsabilisation à tous les niveaux de l’organisation et des
associations aéronautiques (pilotes, équipages de cabine, AME, agents techniques d’exploitation,
etc.) ;
b) une politique non punitive au sein de la compagnie (Le principal objectif du programme FDA doit
être de détecter des dangers, pas d’identifier les individus qui pourraient avoir commis un acte
dangereux.) ;
c) la gestion du programme FDA est assurée par un membre spécifique du personnel appartenant au
département soit de la sécurité soit de l’exploitation et disposant d’un haut degré de spécialisation et
d’un important soutien logistique ;
d) les risques potentiels sont identifiés par des personnes ayant les compétences appropriées, qui
établissent les corrélations entre les résultats de l’analyse (Par exemple, il faut des pilotes expéri-
mentés sur le type d’aéronef analysé pour réaliser un diagnostic exact des dangers opérationnels
ressortant des analyses des données de vol.) ;
e) l’accent est mis sur le suivi des tendances de la flotte qui émergent des données cumulatives de
nombreux vols plutôt que sur des événements spécifiques. L’identification de problèmes systémiques
est plus intéressante pour la gestion de la sécurité que celle d’événements (parfois isolés) ;
f) un système bien structuré de désidentification des données protège la confidentialité de ces données ;
g) un système de communication efficace permet de diffuser les informations relatives aux dangers (et
les évaluations ultérieures des risques) aux départements et services externes pertinents, afin que
des mesures de sécurité puissent être prises à temps.
Mise en œuvre d’un programme FDA
16.3.45 En général, la mise en œuvre d’un programme FDA requiert l’exécution des étapes suivantes :
a) mise en œuvre d’accords avec les associations de pilotes ;
b) mise en place et vérification des procédures opérationnelles et de sécurité ;
c) installation des équipements ;
d) sélection et formation de membres du personnel dévoués et expérimentés, pour la mise en œuvre

du programme ;
e) lancement de l’analyse et de la validation des données.
16.3.46 Compte tenu du temps requis pour conclure des accords entre direction et équipages et pour
élaborer les procédures, une jeune compagnie aérienne n’ayant aucune expérience en FDA ne pourrait
probablement pas avoir un système opérationnel en moins de douze mois. Il faudra peut-être une deuxième
année avant que n’apparaissent les premiers avantages en termes de sécurité et de coûts. Des amélio-
rations des logiciels d’analyse ou l’utilisation de fournisseurs externes de services spécialisés peuvent
raccourcir ces délais.
16.3.47 L’intégration du programme FDA et d’autres systèmes de contrôle de la sécurité dans un SGS
cohérent accroîtra les retombées positives potentielles. Les informations liées à la sécurité recueillies à
partir d’autres programmes du SGS replacent les renseignements FDA dans leur contexte. Le programme
FDA, quant à lui, peut fournir des informations quantitatives utiles à des enquêtes qui, sinon, se baseraient
sur des rapports subjectifs moins fiables.
Buts et objectifs d’un programme FDA
16.3.48 Définir les objectifs du programme. Comme pour tout projet, il est nécessaire de définir
l’orientation et les objectifs du travail. Il est recommandé d’adopter une approche graduelle afin de jeter les
bases d’éventuelles expansions ultérieures dans d’autres domaines. L’utilisation d’une approche modulaire
permettra expansion, diversification et évolution par l’expérience.
Exemple : Un système modulaire permet de se limiter dans un premier temps aux questions de sécurité
de base. On pourra ajouter le contrôle de l’état des moteurs, etc., au cours de la deuxième phase. Il
faudra veiller à assurer la compatibilité avec d’autres systèmes.
16.3.49 Fixer les objectifs. Un ensemble d’objectifs progressifs, commençant par la lecture des données
de la première semaine pour ensuite passer aux premiers rapports de production puis à l’analyse de routine
régulière, permettra de donner une impression de progression à mesure que les objectifs intermédiaires
seront atteints.
Exemples :
Objectifs à court terme :
a) élaborer les procédures de téléchargement des données, tester les logiciels de lecture et repérer les
défectuosités des aéronefs ;
b) valider et examiner les données relatives aux dépassements ;
c) établir un format de rapport de routine acceptable pour les utilisateurs, qui mette en évidence les
dépassements spécifiques et facilite l’acquisition de statistiques pertinentes.
Objectifs à moyen terme :
a) rédiger un rapport annuel — y inclure les indicateurs clés de performance ;
b) ajouter d’autres modules d’analyse (par ex. le maintien de la navigabilité) ;
c) préparer l’ajout de la prochaine flotte dans le programme.
Objectifs à long terme :
a) mettre en réseau les renseignements FDA avec tous les systèmes d’information sur la sécurité de la
compagnie ;
b) veiller à insérer l’analyse des données de vol dans toute proposition de programme avancé de
formation ;
c) utiliser la surveillance d’état et d’utilisation pour réduire les stocks des rechanges.
16.3.50 Dans un premier temps, le ciblage de quelques aspects intéressants connus permettra de
prouver l’efficacité du système. Par rapport à une approche « tous azimuts », non dirigée, une approche
ciblée sera probablement plus susceptible de porter des fruits rapidement.
Exemples : Des approches précipitées ou des pistes en mauvais état sur certains aérodromes ; une
consommation anormale de carburant sur certains segments de vol ; etc. L’analyse de ce type de
problèmes connus peut générer des informations utiles pour l’analyse d’autres aspects.
L’équipe d’analyse des données de vol
16.3.51 L’expérience a montré que la taille de l’« équipe » nécessaire pour gérer un programme FDA
pouvait varier d’une personne pour une petite flotte (cinq aéronefs) à une section spécifique pour de grandes
flottes. Diverses fonctions à remplir sont décrites ci-dessous mais toutes ne nécessitent pas l’affectation d’une
personne à temps plein. Par exemple, le service technique pourrait ne fournir qu’un soutien à temps partiel.
• Chef d’équipe. Les chefs d’équipe doivent gagner la confiance et le soutien total à la fois de la
direction et des équipages de conduite. Ils travaillent indépendamment des cadres hiérarchiques
en vue d’émettre des recommandations qui seront perçues par tous comme ayant un haut degré
d’intégrité et d’impartialité. La personne qui occupe ce poste doit avoir de bonnes compétences en
analyse, présentation et gestion.
• Interprète des données relatives aux opérations aériennes. Cette personne est habituellement
un pilote en fonction (ou un commandant de bord ou un instructeur retraité depuis peu), qui connaît
le réseau de routes et les aéronefs de la compagnie. Sa connaissance approfondie des SOP, des
caractéristiques de conduite des aéronefs, des terrains d’aviation et des routes sera utilisée pour
replacer les renseignements FDA dans un contexte crédible.
• Interprète des données techniques. Cette personne interprète les données FDA relatives aux
aspects techniques de l’exploitation des aéronefs et connaît bien les besoins d’informations des
départements des groupes motopropulseurs, des structures et des systèmes et tous les autres
programmes de suivi technique utilisés par la compagnie aérienne.
• Représentant des équipages de conduite. Cette personne fournit le lien entre les directeurs de la
flotte ou de la formation et les équipages de conduite concernés par les événements mis en
évidence par le programme FDA. Cette fonction requiert de bonnes aptitudes en relations humaines
et une attitude positive vis-à-vis de la formation à la sécurité. Cette personne est normalement un
représentant de l’association des pilotes et elle devrait être la seule personne autorisée à relier les
renseignements d’identification avec l’événement. Le représentant des pilotes doit, par son intégrité
et la sûreté de son jugement, gagner la confiance des membres d’équipage et des directeurs.
• Assistant d’ingénierie et de soutien technique. Cette personne est habituellement un spécialiste

de l’avionique qui participe à la supervision des exigences minimales de fonctionnement des
systèmes FDR. Ce membre de l’équipe doit maîtriser l’analyse des données de vol et les systèmes
connexes, nécessaires pour appliquer le programme.
• Coordonnateur de la sécurité aérienne. Cette personne recoupe les renseignements FDA avec
d’autres programmes de contrôle de la sécurité aérienne (tels que le programme obligatoire ou
confidentiel de comptes rendus d’incidents de la compagnie et le LOSA) afin de replacer toutes les
informations dans un contexte intégré, crédible. Cette fonction peut réduire les répétitions d’enquêtes
de suivi.
• Agent chargé de la gestion et du fonctionnement du programme. Cette personne est chargée

de la gestion quotidienne du système, de l’élaboration des rapports et des analyses. Méthodique et
ayant quelques connaissances de l’environnement opérationnel général, cette personne assure le
bon fonctionnement du programme.
16.3.52 Tous les membres de l’équipe FDA devront avoir la formation ou l’expérience nécessaires
pour leurs domaines respectifs d’analyse des données. Chaque membre de l’équipe doit se voir attribuer un
temps réaliste à consacrer régulièrement à des tâches d’analyse des données de vol. Si les ressources
humaines disponibles sont insuffisantes, l’ensemble du programme produira des résultats décevants, voire
échouera.
Systèmes FDA de série
16.3.53 Les QAR disponibles sur la plupart des gros aéronefs modernes peuvent être analysés sur un
système de lecture et d’analyse présentant la configuration adéquate. Bien que les exploitants eux-mêmes
puissent configurer les diverses équations d’événements et niveaux de dépassement, les fournisseurs de
logiciels de lecture au sol offrent des systèmes de base et des programmes FDA avancés pour toute une
gamme de types d’aéronefs différents. Il n’est généralement pas rentable pour de nouveaux exploitants de
configurer eux-mêmes des systèmes FDA, même si la plupart des fournisseurs sont disposés à étudier la
pertinence et les niveaux des bascules d’événements avec tout nouvel exploitant.
16.3.54 Certains constructeurs d’aéronefs soutiennent activement les programmes FDA concernant
leurs aéronefs. Ils fournissent aux compagnies aériennes des mallettes comprenant outils et logiciels,
manuels d’information sur leurs méthodes et procédures FDA et une aide complémentaire pour les
exploitants qui appliquent leur programme. (Ils considèrent que le partage de données et d’informations
fournies par la compagnie aérienne est un moyen d’améliorer leurs aéronefs, leurs SOP et leur formation.)
16.3.55 La plupart des vendeurs de systèmes offrent une année de maintenance et d’assistance
technique à l’achat du système mais facturent ensuite des frais annuels. En outre, des candidats acheteurs
devront tenir compte d’autres facteurs de coût, tels que :
a) les frais d’installation ;
b) les frais de formation ;
c) les frais de mise à jour des logiciels (souvent inclus dans les contrats de maintenance) ;
d) d’autres frais de licence de logiciels qui pourraient être nécessaires.
16.3.56 Les programmes FDA sont souvent classés parmi les systèmes de sécurité les plus onéreux
en termes d’investissement initial, de licences de logiciels et d’exigences en personnel. En réalité, ils
peuvent épargner à la compagnie des frais énormes grâce à la réduction du risque d’accidents majeurs, à
l’amélioration des normes opérationnelles, à l’identification de facteurs externes ayant une incidence sur
l’exploitation et à l’amélioration des programmes de suivi technique.
16.4 PROGRAMME D’AUDIT DE SÉCURITÉ EN SERVICE DE LIGNE (LOSA)
Introduction
16.4.1 Comme nous l’avons déjà dit, les conséquences négatives du comportement humain peuvent
être gérées de façon proactive. Les dangers peuvent être détectés, analysés et validés sur la base des
renseignements recueillis par le biais de la surveillance des opérations quotidiennes. Les audits de sécurité
en service de ligne (LOSA) constituent une des méthodes de surveillance des opérations aériennes
ordinaires à des fins de sécurité. Les programmes LOSA fournissent donc un autre instrument de gestion
proactive de la sécurité.
16.4.2 À l’instar des programmes FDA, le LOSA facilite l’identification des dangers par l’analyse des
performances réelles en vol. Alors que la FDA fournit des données précises sur les dépassements par
rapport aux performances attendues de l’aéronef, le LOSA apporte des informations sur la combinaison des
performances systémiques et humaines. Il facilite la compréhension du contexte dans lequel s’est produite
la performance qui peut avoir précipité un dépassement.
16.4.3 Le LOSA est un outil qui permet de comprendre les erreurs humaines commises au cours
d’opérations aériennes. Il est utilisé pour identifier les menaces pour la sécurité de l’aviation qui mènent à
des erreurs humaines, pour réduire au minimum les risques que de telles menaces pourraient engendrer et
pour mettre en œuvre des mesures destinées à gérer ces erreurs dans le contexte opérationnel. Grâce au
LOSA, les exploitants peuvent évaluer leur résistance aux risques opérationnels et aux erreurs commises
par le personnel de première ligne. En s’appuyant sur une approche guidée par les données, ils peuvent
classer ces risques par ordre de priorité et identifier les mesures à prendre pour réduire le risque
d’accidents.
16.4.4 L’observation des opérations aériennes quotidiennes normales permet de recueillir des données
sur les performances des équipages de conduite et sur les facteurs situationnels. Ainsi, le LOSA facilite la
compréhension à la fois des bonnes performances et des défaillances. Les dangers découlant d’erreurs
opérationnelles peuvent être identifiés et des contre-mesures efficaces peuvent être élaborées.
16.4.5 Le LOSA utilise des observateurs expérimentés et formés spécialement pour recueillir des
données sur les performances des équipages de conduite et sur les facteurs situationnels sur des vols
« normaux ». Pendant les vols audités, les observateurs enregistrent les circonstances induisant des erreurs
et les réactions de l’équipage à ces circonstances. Les audits sont effectués dans des conditions strictement
non punitives, sans crainte que des mesures disciplinaires viennent sanctionner les erreurs détectées. Les
équipages de conduite ne sont pas tenus de justifier leurs actes.
16.4.6 Les données du LOSA fournissent aussi une photographie de l’exploitation du système qui peut
guider des stratégies en matière de gestion de la sécurité, de formation et d’exploitation. Tout comme pour
les programmes FDA, les renseignements recueillis par le biais du LOSA peuvent constituer une riche
source d’informations pour l’identification proactive de dangers systémiques pour la sécurité. Une des grandes
qualités du LOSA réside dans sa capacité à repérer des exemples de performances exceptionnelles qui
peuvent être soulignés et utilisés comme modèles dans le cadre des formations. (Traditionnellement,
l’industrie recueillait des informations sur les comportements humains défaillants et revoyait les programmes
de formation en fonction de ces informations.) Avec le LOSA, les interventions de formation peuvent être
basées sur les meilleures performances opérationnelles. Par exemple, sur la base des données LOSA, la
formation CRM peut être modifiée pour intégrer les meilleures pratiques de gestion de conditions dangereuses
spécifiques et pour gérer des erreurs typiques liées à ces conditions.
Rôle de l’OACI
16.4.7 L’OACI approuve le LOSA en tant que moyen de surveiller les opérations aériennes normales.
Elle soutient les initiatives de l’industrie aéronautique dans le domaine du LOSA en agissant en tant que
partenaire facilitateur du programme. Le rôle de l’OACI couvre les aspects suivants :
a) promouvoir l’importance du LOSA au sein de la communauté de l’aviation civile internationale ;
b) faciliter la recherche dans le but de recueillir les données nécessaires ;
c) agir en tant que médiateur dans les aspects culturellement sensibles de la collecte des données.
16.4.8 L’OACI a publié un manuel, Audit de sécurité en service de ligne (LOSA) (Doc 9803), afin de
donner aux exploitants des éléments indicatifs sur les programmes LOSA.
Terminologie
Menaces
16.4.9 Au cours de vols normaux, les équipages sont régulièrement confrontés à des circonstances
externes qu’ils doivent gérer. Ces circonstances accroissent la complexité opérationnelle de leur tâche et
constituent un certain risque pour la sécurité. La gravité de ces menaces peut varier sur toute la gamme,
depuis les niveaux relativement bénins (par exemple l’encombrement des fréquences) jusqu’aux menaces
majeures (telles qu’une alarme incendie moteur).
16.4.10 Certaines menaces sont prévisibles (telles qu’une importante charge de travail pendant
l’approche) et l’équipage peut s’y préparer à l’avance, par exemple : « Dans le cas d’une remise des
gaz… ». D’autres menaces sont imprévisibles. Comme elles se produisent sans avertissement, aucun
briefing préalable n’est possible (par exemple, un avis TCAS).
Erreurs
16.4.11 L’erreur est une composante normale de tout comportement humain. Les erreurs commises
par les équipages de conduite tendent à réduire la marge de sécurité et à augmenter la probabilité
d’accidents. Heureusement, les humains utilisent généralement très efficacement les mécanismes permettant
d’atteindre un équilibre entre les exigences conflictuelles de la production et de la sécurité.
16.4.12 Toute action ou toute absence d’action de l’équipage de conduite qui entraîne des écarts par
rapport au comportement attendu est considérée comme une erreur. Les erreurs de l’équipage peuvent se
définir en termes de non-conformité aux règlements et aux procédures d’exploitation normalisées (SOP) ou
en termes d’écarts inattendus par rapport aux attentes de la compagnie ou de l’ATC. Les erreurs peuvent
être mineures (afficher une altitude erronée puis la corriger rapidement) ou majeures (omettre un point
essentiel d’une liste de vérification).
16.4.13 Le LOSA repose sur cinq catégories d’erreurs d’équipage, à savoir :
a) Erreur de communication : communication erronée, mauvaise interprétation ou défaut de commu-

niquer des renseignements pertinents entre les membres de l’équipage ou entre l’équipage et un
agent externe (par exemple l’ATC ou le personnel d’exploitation au sol) ;
b) Erreur de compétence : manque de connaissances ou d’aptitudes psychomotrices (pilotage) ;
c) Erreur de décision opérationnelle : erreur dans le processus de décision qui, n’étant pas norma-
lisée par les règlements ou les procédures d’exploitation, compromet cependant inutilement la
sécurité (par exemple, une décision de l’équipage de traverser une zone connue de cisaillement du
vent, lors d’une approche, au lieu de la contourner) ;
d) Erreur de procédure : écart de conformité aux règlements et/ou aux procédures d’exploitation.
L’intention était bonne mais l’exécution mauvaise. Cette catégorie inclut également les erreurs dues
à un oubli de la part de l’équipage ;
e) Erreur de non-conformité intentionnelle : écart délibéré par rapport aux règlements et/ou aux
procédures d’exploitation (par ex. infractions).
Gestion des menaces et des erreurs
16.4.14 Comme les menaces et les erreurs font partie intégrante des opérations aériennes quotidiennes,
il faut en acquérir une compréhension systématique pour pouvoir les gérer en toute sécurité. Le LOSA offre
une perspective éclairée sur les menaces et les erreurs, qui permet d’élaborer des stratégies appropriées
d’adaptation. Les données quantifiables du LOSA sont particulièrement utiles pour répondre à des questions
telles que :
a) Quelles menaces les équipages rencontrent-ils le plus fréquemment ? Où et quand se manifestent-

elles et quels sont les types de menaces les plus difficiles à gérer ?
b) Quelles sont les erreurs les plus souvent commises par les équipages et quelles sont celles qui sont
les plus difficiles à gérer ?
c) Quelles sont les répercussions des erreurs mal gérées ? Combien de ces erreurs aboutissent à une
situation d’aéronef « indésirable » (par ex. approche finale rapide/lente) ?
d) Existe-t-il des différences importantes entre les aéroports, les flottes aériennes, les routes ou les
phases des vols en termes de menaces et d’erreurs ?
Contre-mesures systémiques
16.4.15 Partant du principe que l’erreur est inévitable, les contre-mesures les plus efficaces dépassent
la simple tentative de prévenir les erreurs. Elles doivent mettre en évidence les circonstances dangereuses
suffisamment tôt pour permettre aux équipages de conduite de prendre les mesures correctrices avant que
l’erreur n’entraîne des conséquences néfastes. En d’autres termes, elles « piègent » l’erreur.
16.4.16 Les contre-mesures les plus efficaces tentent d’améliorer l’environnement de travail quotidien
dans lequel les équipages de conduite sont confrontés aux menaces inévitables à la sécurité des vols et
elles donnent aux équipages une « deuxième chance » de corriger leurs erreurs. De telles contre-mesures
systémiques comprennent des changements dans la conception des aéronefs, dans la formation des
équipages, dans les procédures opérationnelles de la compagnie, dans les décisions de gestion, etc.
Définition des caractéristiques du LOSA
16.4.17 Les caractéristiques suivantes du LOSA assurent l’intégrité de sa méthodologie et de ses

données :
a) Observations de type « siège de service » au cours de vols ordinaires : les observations LOSA
se limitent aux vols réguliers (contrairement aux vérifications de compétence en route ou à d’autres
vols d’entraînement). Des pilotes inspecteurs ne feraient qu’aggraver le niveau de stress déjà élevé,
ce qui donnerait une image déformée des performances. Les meilleurs observateurs apprennent à
passer inaperçus et à ne pas intimider, n’enregistrant que des détails minimums dans le poste de
pilotage.
b) Soutien combiné de la direction et des pilotes : pour qu’un LOSA soit un succès en tant que
programme de sécurité viable, il est essentiel que la direction et les pilotes appuient le projet. Leur
soutien combiné assure au projet un juste équilibre, qui garantira que tout changement nécessaire
sera effectué sur la base des renseignements LOSA obtenus. Tout comme la mise en œuvre d’un
programme FDA fructueux, un audit LOSA ne pourra être mené sans l’approbation des pilotes,
obtenue via un accord conclu avec la direction. Un comité directeur LOSA, constitué de repré-
sentants des pilotes et de la direction partage la responsabilité de planifier, programmer et soutenir
les observateurs et de vérifier les données.
c) Participation volontaire des équipages : il est extrêmement important de maintenir l’intégrité du

programme LOSA chez un transporteur aérien pour en assurer le succès à long terme. Une façon
d’y arriver consiste à recueillir toutes les observations avec la participation volontaire des équipages.
Avant d’effectuer des observations LOSA, l’observateur doit d’abord obtenir la permission de
l’équipage à observer. Si un transporteur aérien qui effectue un LOSA reçoit un nombre inhabituel
de refus des équipages à observer, il peut en déduire l’existence de problèmes critiques de confiance,
qu’il faudra résoudre en premier lieu.
d) Collecte uniquement de données désidentifiées et confidentielles, relatives à la sécurité : les

observateurs LOSA ne notent ni les noms, ni les numéros de vol, dates ou autres informations
susceptibles de permettre l’identification de l’équipage. Cette discrétion assure un haut niveau de
protection contre les mesures disciplinaires. Les compagnies aériennes ne devraient pas gâcher
une opportunité d’obtenir un aperçu de leurs activités d’exploitation en faisant craindre aux pilotes
qu’une observation LOSA puisse être utilisée contre eux dans des procédures disciplinaires. En
d’autres termes, le LOSA ne doit pas seulement être perçu comme non punitif ; il doit être non punitif.
e) Observations ciblées : toutes les données sont recueillies sur le formulaire d’observation LOSA
spécialement élaboré à cette fin. (Des exemples de formulaires sont inclus dans le Doc 9803.)
Généralement, les types d’informations suivants sont recueillis par l’observateur LOSA :
1) données démographiques sur le vol et l’équipage, par exemple villes reliées, type d’avion, durée
du vol, années d’expérience dans la compagnie et à ce poste et connaissance mutuelle des
membres de l’équipage ;
2) description écrite de ce que l’équipage a bien fait, de ce qu’il a fait médiocrement et de la façon
dont il a géré les menaces ou erreurs au cours de chaque phase du vol ;
3) évaluation des performances en CRM (gestion des ressources en équipage) à l’aide de

marqueurs validés de comportement ;
4) feuille de notes techniques pour les phases de descente/approche/atterrissage, soulignant le

type d’approche suivi, identifiant la piste d’atterrissage et indiquant si l’équipage a bien respecté
les paramètres d’approche stabilisée ;
5) feuille de travail sur la gestion des menaces décrivant en détail chaque menace et la manière
dont elle a été traitée ;
6) feuille de travail sur la gestion des erreurs dressant la liste des erreurs observées et décrivant la
façon dont chaque erreur a été traitée, ainsi que le résultat final ;
7) interview des membres de l’équipage au cours des périodes peu chargées du vol, par exemple,
en croisière, pour demander aux pilotes quelles sont leurs suggestions pour améliorer la sécurité,
la formation et les opérations en vol.
f) Des observateurs fiables, entraînés et compétents : avant tout, les observateurs sont des pilotes
de ligne, des pilotes instructeurs, des pilotes de sécurité, des pilotes d’encadrement, etc. Des obser-
vateurs LOSA expérimentés d’une compagnie aérienne n’ayant aucun lien avec le transporteur seront
peut-être plus objectifs et peuvent servir de point d’ancrage aux observateurs du transporteur,
surtout lorsque ce dernier introduit un nouveau programme LOSA. Indépendamment de la source, il
est crucial que les observateurs jouissent du respect et de la confiance nécessaires pour garantir
que le LOSA sera accepté par les pilotes de ligne. Les observateurs doivent être formés aux
concepts de gestion des menaces et des erreurs et à l’utilisation des formulaires d’évaluation LOSA.
Une évaluation normalisée est vitale pour assurer la validité du programme.
g) Centre fiable de conservation des données : pour garantir la confidentialité des données, les
transporteurs aériens doivent disposer d’un centre fiable de conservation des données. Aucune
observation ne peut être détournée ou indûment diffusée dans la compagnie aérienne sans
compromettre l’intégrité du LOSA. Certaines compagnies aériennes recourent à une « tierce partie »
neutre pour assurer une analyse objective des résultats.
h) Tables rondes sur la vérification des données : les programmes fondés sur des données,
comme le LOSA, exigent des procédures de gestion de la qualité des données et des vérifications
d’uniformité. Dans le cas du LOSA, des tables rondes réunissant des représentants de la direction
et des associations de pilotes passent en revue les données brutes, à la recherche d’anomalies. Il
faut valider la cohérence et la précision de la base de données avant de pouvoir procéder à
l’analyse statistique.
i) Objectifs d’améliorations dérivés des données : au fil de la collecte et de l’analyse des données,
des tendances se font jour. Certaines erreurs se produisent plus fréquemment que d’autres,
certains aéroports ou activités présentent plus de problèmes que d’autres, certaines SOP sont
ignorées ou modifiées et certaines manœuvres posent des difficultés spécifiques. Ces tendances
deviennent des objectifs d’améliorations. La compagnie aérienne élabore ensuite un plan d’action et
met en œuvre les stratégies de changement appropriées en recourant aux experts disponibles au
sein de la compagnie. Des audits LOSA ultérieurs permettront de mesurer l’efficacité des
changements.
j) Communication des résultats aux pilotes de ligne : à la clôture d’un LOSA, l’équipe de direction
de la compagnie aérienne et l’association des pilotes ont l’obligation de communiquer les résultats
aux pilotes de ligne. Ceux-ci désireront voir non seulement les résultats mais aussi le plan d’amélio-
ration dressé par la direction.
Processus de changement pour la sécurité
16.4.18 Comme d’autres outils de gestion des risques, un changement pour la sécurité exige un
processus en boucle fermée : détection et analyse des problèmes, élaboration des stratégies, fixation des
priorités, mise en œuvre des mesures correctrices et suivi de l’efficacité pour identifier tout problème résiduel.
16.4.19 Le LOSA attire l’attention de l’organisation sur les problèmes de sécurité les plus importants
dans les opérations quotidiennes. Toutefois, il ne fournit pas de solutions; celles-ci doivent découler des
stratégies organisationnelles. L’organisation doit évaluer les données LOSA obtenues, identifier les dangers
qui posent les plus gros risques pour l’organisation, puis prendre les mesures nécessaires pour y remédier.
Le LOSA ne peut réaliser son plein potentiel que s’il existe un désir et une volonté de la part de
l’organisation d’agir en fonction des leçons tirées du LOSA. Si elles ne donnent pas lieu à la prise de
mesures de sécurité dignes de ce nom, les données LOSA rejoindront les énormes banques de données
relatives à la sécurité, inutilisées, déjà disponibles dans la communauté de l’aviation civile internationale.
16.4.20 Voici quelques stratégies types de changement pour la sécurité à prendre par des compagnies
aériennes à la suite d’un audit LOSA :
a) redéfinir les philosophies et lignes directrices opérationnelles ;
b) modifier les procédures existantes ou en appliquer de nouvelles ;
c) prévoir une formation spécifique en gestion des menaces et erreurs et en contre-mesures à la

disposition des équipages ;
d) revoir les listes de vérification pour s’assurer de la pertinence de leur contenu, puis diffuser des
lignes directrices claires en vue de leur mise en œuvre et exécution ;
e) définir les tolérances en matière d’approche stabilisée, par opposition aux paramètres d’« approche
parfaite » décrits dans les SOP existantes.
16.4.21 Les premiers succès du LOSA ont été surtout perceptibles dans les domaines suivants :
a) amélioration de la gestion des erreurs par les équipages de conduite ;
b) réduction des erreurs dans l’exécution des listes de vérification ;
c) réduction des approches non stabilisées.
Application du LOSA
16.4.22 Entreprendre un audit LOSA est une initiative majeure de sécurité, qui ne peut être menée à
la légère. Si le LOSA convient très bien à de grandes compagnies aériennes ayant des SGS qui ont déjà fait
leurs preuves, il est de plus en plus adopté par des transporteurs de taille moyenne à petite. Comme pour la
réussite des programmes de formation en FDA et CRM, les connaissances et l’expérience de spécialistes
sont requises pour concevoir et conduire un LOSA efficace.
16.4.23 Les organisations qui souhaitent appliquer un programme LOSA devraient consulter le manuel
Audit de sécurité en service de ligne (LOSA) (Doc 9803) et une compagnie aérienne ayant l’expérience de
l’application du LOSA. En particulier, il est essentiel d’organiser une formation officielle à la méthodologie et
à l’utilisation des outils spécialisés du LOSA et au traitement des données hautement sensibles recueillies.
16.4.24 Comme le soutien de toutes les parties est requis pour assurer la réussite du programme
LOSA, des représentants des départements des opérations aériennes, de la formation et de la sécurité ainsi
que des représentants de l’association des pilotes devraient se rencontrer dès le début et se mettre
d’accord sur des points tels que :
a) les exigences opérationnelles du LOSA et la probabilité de conduire un audit fructueux ;
b) les objectifs du programme ;
c) les ressources disponibles pour guider la conduite de l’audit ;
d) la création d’un comité directeur du LOSA chargé de collaborer à la planification et de contribuer à

faire accepter le programme par le personnel (notamment celui des départements des opérations
aériennes, de la formation, de la sécurité, ainsi que l’association des pilotes, cette liste n’étant pas
imitative) ;
e) le département approprié qui devrait être chargé de la gestion du programme (par exemple, le
département de la sécurité) ;
f) la sélection et la formation d’observateurs crédibles ;
g) la fixation d’un calendrier, la définition des préoccupations ciblées (par ex. les approches stabilisées),
la flotte couverte, etc. ;
h) les protocoles à suivre par les équipages de conduite et les observateurs ;
i) les protocoles de protection des données ;
j) le processus d’analyse ;
k) les exigences formelles de compte rendu ;
l) la communication des résultats ;
m) le processus de mise en œuvre des changements nécessaires pour réduire ou éliminer les dangers
identifiés.
16.4.25 Les meilleurs résultats sont obtenus lorsque le LOSA est appliqué dans un environnement de
confiance. Les pilotes de ligne doivent être convaincus qu’il n’y aura aucune répercussion au niveau
individuel, sinon leur comportement ne reflétera pas la réalité quotidienne et le LOSA ne sera guère plus
qu’une version approfondie de la vérification de compétence en route. À cet égard, il peut être instructif de
lire le protocole d’accord présenté à l’Appendice 3 de ce chapitre, au sujet du programme FDA.
16.5 PROGRAMME DE SÉCURITÉ EN CABINE
Généralités
16.5.1 La sécurité en cabine a pour objectif de réduire au minimum les risques encourus par les
occupants des aéronefs. En réduisant ou éliminant les dangers pouvant entraîner des lésions corporelles ou
des dommages matériels, le programme de sécurité en cabine vise à fournir un environnement plus sûr aux
occupants des aéronefs.
16.5.2 La gamme de menaces pour l’aéronef et ses occupants comprend les éléments suivants :
a) turbulences en vol ;
b) fumée ou feu dans la cabine ;
c) décompression ;
d) atterrissages d’urgence ;
e) évacuations d’urgence ;
f) passagers indisciplinés.
16.5.3 L’environnement et les conditions de travail des équipages de cabine sont influencés par divers
aspects de la performance humaine, susceptibles de modifier la façon dont les équipages de cabine
réagissent à des menaces, erreurs et autres situations indésirables. Certaines des questions de performance
humaine les plus courantes touchant la performance des équipages de cabine sont décrites brièvement à
l’Appendice 4 de ce chapitre.
16.5.4 Les équipages de cabine sont généralement les seuls représentants de la compagnie aérienne
que les passagers voient à bord de l’avion. Du point de vue des passagers, les équipages de cabine sont là
pour fournir un service en vol. Du point de vue de la direction, le rôle des équipages de cabine est peut-être
davantage de créer une image favorable de la compagnie. D’un point de vue réglementaire et opérationnel,
les équipages de cabine sont présents dans la cabine pour gérer les situations inopportunes qui pourraient
survenir dans la cabine de l’aéronef et pour donner conseils et assistance aux passagers en cas d’urgence.
16.5.5 À la suite d’un accident majeur d’aviation, l’attention des enquêteurs se portera probablement
d’abord sur les opérations de conduite. Ensuite, en fonction des éléments de preuve, l’enquête peut
s’étendre à d’autres aspects. L’événement déclencheur d’un accident commence rarement dans la cabine
passagers. Toutefois, une réaction inappropriée des équipages de cabine à des événements survenant
dans la cabine peut avoir des conséquences plus graves. Par exemple :
a) chargement incorrect des passagers (par ex. paramètres de poids et d’équilibre) ;
b) incapacité de sécuriser adéquatement la cabine et les offices avant le décollage et l’atterrissage et

en cas de turbulences ;
c) réaction tardive à des avertissements (par ex. turbulences en vol) ;
d) réaction inappropriée à des événements survenant dans la cabine (par ex. des courts-circuits
électriques, de la fumée, des émanations ou un feu dans un four) ;
e) omission de signaler des observations importantes (telles que des fuites de fluides, ou des ailes
couvertes de neige ou de glace) à l’équipage de conduite.
16.5.6 Une bonne partie des activités de routine des équipages de cabine étant centrées sur le
service cabine, un effort supplémentaire est requis pour garantir que le service cabine ne soit pas fourni au
détriment des responsabilités premières, relatives à la sécurité des passagers. Il est crucial que la formation
et les procédures opérationnelles destinées aux équipages de cabine abordent l’ensemble complet des
questions susceptibles d’avoir des incidences sur la sécurité.
16.5.7 Bien que l’OACI n’exige pas de licence pour les équipages de cabine, le Chapitre 12 de
l’Annexe 6 — Exploitation technique des aéronefs précise les exigences concernant :
a) les fonctions attribuées en cas d’urgence ;
b) le rôle pendant les évacuations d’urgence ;
c) l’utilisation des équipements d’urgence ;
d) les temps limites de vol et de période de service de vol ;
e) la formation.
16.5.8 Les exploitants sont tenus d’instaurer et de poursuivre un programme de formation approuvé
(recyclages réguliers compris), qui devra être mené à bien par toutes les personnes avant que celles-ci ne
puissent être désignées comme membres d’équipage de cabine. Cette formation vise à assurer la compétence
des équipages de cabine pour faire face à des situations d’urgence.
16.5.9 Le document Rédaction d’un manuel d’exploitation (Doc 9376) donne des éléments indicatifs
supplémentaires pour la formation des équipages de cabine, notamment :
a) la formation conjointe avec les équipages de conduite pour la gestion des urgences ;
b) la formation pour pouvoir aider l’équipage de conduite (équipage de deux pilotes) en cas d’incapacité
soudaine de l’équipage de conduite.
16.5.10 Le manuel Éléments d’orientation sur les facteurs humains dans les audits de sécurité
(Doc 9806) fournit aussi des éléments indicatifs sur la formation aux facteurs humains liés aux fonctions de
sécurité dans la cabine passagers, y compris la coordination entre équipage de conduite et équipage de
cabine.
16.5.11 La Circulaire intitulée Facteurs humains, Étude n°15 — Les facteurs humains dans la sécurité
de la cabine (Cir 300) donne des éléments indicatifs sur les facteurs humains dans les équipes en mettant
l’accent sur le travail dans l’environnement de la cabine. D’autres chapitres abordent les aspects relatifs à la
communication et à la coordination ainsi qu’au traitement des événements anormaux.
Manuel de sécurité de vol de l’exploitant (OFSH) — Compendium sur la sécurité en cabine
16.5.12 Reconnaissant le défi que pose la mise en place d’un programme de sécurité en cabine,
plusieurs grands exploitants et représentants clés de l’industrie aéronautique ont élaboré une approche
systématique de la gestion de la sécurité en cabine. Le Compendium sur la sécurité en cabine annexé au
Manuel de sécurité de vol de l’exploitant (OFSH) étend les systèmes de gestion de la sécurité à la cabine.
Ce Compendium documente les pratiques de sécurité qui ont fait leurs preuves dans le monde. Non
seulement il décrit les procédures de sécurité de routine et d’urgence, mais il comprend aussi plusieurs
appendices contenant des documents de référence, des exemples de listes de vérification, des listes
d’équipements minimums, etc.
Gestion de la sécurité en cabine
Engagement
16.5.13 La fourniture d’un service cabine peut être perçue comme une fonction de marketing ou de
service à la clientèle ; toutefois, la sécurité en cabine est manifestement une fonction opérationnelle. La
politique de la compagnie doit refléter ce fait et la direction ne doit pas se limiter aux paroles lorsqu’il s’agit
de prouver sa volonté de garantir la sécurité en cabine. Parmi les indicateurs habituels de l’engagement de
la direction envers la sécurité en cabine, citons :
a) l’affectation de ressources suffisantes (effectifs adéquats pour les postes d’équipages de cabine,
formation initiale et continue, installations de formation, etc.) ;
b) définition claire des responsabilités, y compris l’établissement, le suivi et l’application de SOP

concrètes pour la sécurité ;
c) encouragement d’une culture positive de la sécurité.

Culture positive de la sécurité
16.5.14 La mise en place d’une culture positive de la sécurité pour les équipages de cabine commence
au niveau de l’organisation du département. Si, comme dans beaucoup de compagnies aériennes, les
équipages de cabine reçoivent leurs principales instructions du département du marketing plutôt que de
celui des opérations aériennes, la sécurité en cabine ne figurera pas en tête de leurs priorités. Parmi les
autres aspects à envisager pour promouvoir une culture positive de la sécurité, citons :
a) la relation entre l’équipage de conduite et l’équipage de cabine, notamment :
1) l’esprit de coopération, marqué par le respect et la compréhension mutuels ;

1
2) des communications efficaces entre l’équipage de conduite et l’équipage de cabine ;
3) des révisions régulières des SOP pour garantir la compatibilité entre les procédures du poste de
pilotage et celles de la cabine ;
4) des briefings prévol communs pour l’équipage de conduite et l’équipage de cabine ;
5) des débriefings communs à la suite d’événements liés à la sécurité, etc. ;
b) la participation des équipages de cabine à la gestion de la sécurité :
1) participation du directeur de la sécurité aux questions relatives à la sécurité en cabine ;
2) possibilités d’offrir des conseils et connaissances spécialisés sur la sécurité en cabine (réunions
du comité de sécurité, etc.) ;
3) participation à l’élaboration des politiques, des objectifs et des SOP concernant la sécurité en
cabine ;
4) participation au système de comptes rendus d’incidents de la compagnie, etc.
SOP, listes de vérification et briefings
16.5.15 Comme pour les opérations du poste de pilotage, la sécurité en cabine exige un respect strict
de SOP concrètes et bien conçues, y compris l’utilisation de listes de vérification et les briefings des
équipages de cabine. Les procédures couvrent entre autres les aspects suivants : embarquement des
passagers ; attribution des places ; rangement des bagages à main ; accessibilité et disponibilité des issues
de secours ; briefing de sécurité des passagers ; rangement et utilisation des équipements de service ;
rangement et utilisation des équipements médicaux d’urgence (oxygène, défibrillateur, trousse de premiers
secours, etc.) ; traitement des urgences médicales ; rangement et utilisation des équipements d’urgence
non médicaux (extincteurs, inhalateurs protecteurs, etc.) ; procédures d’urgence en vol (fumée, feu, etc.) ;
annonces de l’équipage de cabine ; procédures en cas de turbulences (y compris la sécurisation de la
cabine) ; traitement des passagers indisciplinés ; évacuations d’urgence ; débarquement de routine.
1. Comme les mesures de sécurité exigent la fermeture à clé de la porte du poste de pilotage pendant le vol, un effort supplémentaire
est nécessaire pour maintenir des communications efficaces à bord entre l’équipage de conduite et l’équipage de cabine.
16.5.16 Les Procédures pour les services de navigation aérienne — Exploitation technique des
aéronefs (PANS-OPS, Doc 8168) comprennent des éléments indicatifs sur les SOP, les listes de vérification
et les briefings des équipages. Le Compendium sur la sécurité en cabine du Manuel de sécurité de vol de
l’exploitant (OFSH) comprend aussi des éléments indicatifs pour la mise en place de procédures sûres tant
pour les opérations normales que pour les opérations d’urgence.
2
Compte rendu de danger et d’incident
16.5.17 Les équipages de cabine doivent être capables de rendre compte de dangers, d’incidents ou
de préoccupations relatives à la sécurité quand ils les remarquent, sans crainte de se mettre dans l’embarras
ou d’être la cible d’accusations ou de mesures disciplinaires. Les équipages de cabine, leurs supérieurs
hiérarchiques et le DS ne devraient avoir aucun doute sur :
a) les types de dangers dont il faut rendre compte ;
b) les mécanismes appropriés de compte rendu ;
c) la sécurité de leur emploi (après avoir rendu compte d’une préoccupation relative à la sécurité) ;
d) toute mesure de sécurité prise à la suite de la détection de dangers.
Formation à la sécurité en cabine
16.5.18 Les équipages de cabine ont des tâches et responsabilités liées à la sécurité et leur formation
devrait clairement refléter ce fait. Bien que la formation ne puisse jamais recréer tous les types de situations
auxquels les équipages de cabine puissent être confrontés, elle peut transmettre les connaissances,
aptitudes, attitudes de base et la confiance qui permettront aux équipages de cabine de traiter les situations
d’urgence. La formation des équipages de cabine devrait dès lors comprendre :
a) un cours d’initiation couvrant la théorie de base sur le vol, la météorologie, la physiologie du vol, la
psychologie du comportement des passagers, la terminologie de l’aviation, etc. ;
b) une formation pratique (si possible au moyen de simulateurs de cabine pour les exercices feu/fumée
en cabine et les exercices d’évacuation) ;
c) un contrôle en cours de vol (formation en cours d’emploi) ;
d) des recyclages et réévaluations annuels ;
e) des connaissances et aptitudes en CRM, y compris les activités de coordination avec l’équipage de
conduite ;
f) des exercices communs de formation avec les équipages de conduite pour s’entraîner aux procé-
dures utilisées en vol et pour les évacuations d’urgence ;
g) une familiarisation à la fonction et à l’utilisation de certains aspects du SGS de la compagnie (tels

que les comptes rendus de dangers et d’incidents) ; etc.
2. Le Chapitre 7 fournit des éléments indicatifs sur la mise en place et l’utilisation de systèmes de comptes rendus d’incidents.
16.5.19 En cas d’urgence, le savoir-faire des équipages de cabine sera requis quasiment sur-le-
champ. Une formation efficace à la sécurité pour les équipages de cabine exige donc une pratique régulière
afin de conserver la promptitude nécessaire en cas d’urgence.
16.5.20 Le Manuel d’instruction (Doc 7192), Partie E-1 — Formation du personnel commercial de bord
à la sécurité, concerne la formation à la sécurité des équipages de cabine.
Normes de sécurité en cabine
16.5.21 Les inspections de sécurité, enquêtes de sécurité et audits de sécurité sont des outils qui
peuvent être utilisés pour garantir le maintien des normes requises de sécurité en cabine. Une fois qu’un
exploitant est certifié, les normes de sécurité en cabine peuvent être confirmées par un programme permanent
d’inspections :
a) inspections de l’aéronef (par ex. issues de secours, équipements de secours et offices) ;
b) inspections prévol (aire de trafic) ;
c) inspections en vol de la cabine (par ex. briefings des passagers et démonstrations, briefings de
l’équipage et utilisation des listes de vérification, communications entre les membres d’équipage,
discipline et conscience de la situation) ;
d) inspections de la formation (par ex. installations, qualité de la formation et dossiers) ;
e) inspections des bases d’exploitation (par ex. affectation des équipages, régulation des vols,
système de comptes rendus d’incidents de sécurité et réaction à de tels incidents), etc.
16.5.22 Le programme d’audits de sécurité interne de la compagnie devrait s’étendre au département

des équipages de cabine. Le processus d’audit devrait comprendre un examen de toutes les opérations
dans la cabine ainsi qu’un audit des procédures de sécurité en cabine, de la formation, du manuel des
équipages de cabine, etc.
————————
EXEMPLE DE POLITIQUE D’ENTREPRISE CONCERNANT

LES COMPTES RENDUS NON PUNITIFS DE DANGERS
POLITIQUE NON PUNITIVE DE COMPTE RENDU DE LA COMPAGNIE XYZ
1. La compagnie aérienne XYZ s’engage à appliquer les normes d’exploitation des vols les plus sûres
possible. À cette fin, il est impératif que nous recevions des comptes rendus libres et francs de tous les
incidents et événements susceptibles de compromettre la sécurité de nos opérations. Dès lors, il incombe à
chaque membre du personnel de communiquer toute information qui puisse avoir une incidence sur
l’intégrité de la sécurité des vols. Ce type de communication doit être totalement libre de toute forme de
rétorsion.
2. La compagnie aérienne XYZ ne prendra aucune mesure disciplinaire à l’encontre de tout membre
du personnel qui signale un incident ou un événement lié à la sécurité des vols. La présente politique ne
s’applique pas aux informations que la compagnie reçoit d’une source autre que le membre du personnel ou
qui concernent un acte illicite ou un mépris délibéré ou volontaire des règlements ou des procédures
promulguées.
3. La responsabilité première de la sécurité des vols incombe aux cadres hiérarchiques mais la
sécurité des vols est l’affaire de tout un chacun.
4. Notre méthode de collecte, d’enregistrement et de diffusion des informations obtenues à partir des
rapports de sécurité aérienne (ASR) a été élaborée de façon à protéger, dans les limites permises par la loi,
l’identité de tout membre du personnel qui fournit des informations relatives à la sécurité des vols.
5. Je prie instamment tout le personnel d’utiliser notre programme de sécurité des vols pour aider la
compagnie XYZ à se hisser au premier rang en tant que compagnie offrant le niveau de sécurité des vols le
plus élevé à sa clientèle et à son personnel.
Signature : _________________________________
Président et Directeur général
————————
16-APP 1-1
EXEMPLES DE POINTS À SIGNALER À UN SYSTÈME

DE COMPTES RENDUS D’ÉVÉNEMENTS
D’UNE COMPAGNIE AÉRIENNE
Voici une liste des types d’occurrences ou d’événements liés à la sécurité à communiquer dans le cadre du
système de comptes rendus d’incidents de la compagnie. Cette liste n’est ni exhaustive ni classée par ordre
d’importance. (Le signalement de certains points peut être obligatoire en vertu des lois ou règlements
nationaux.)
• Toute défectuosité du système qui a une incidence négative sur la conduite ou l’exploitation de
l’aéronef ;
• Une alarme fumée ou feu, y compris l’activation des détecteurs de fumée des toilettes et les
incendies dans les offices ;
• Une urgence est déclarée ;
• L’aéronef est évacué via les issues/toboggans de secours ;
• Les équipements ou les procédures de sécurité sont défectueux, inadéquats ou usagés ;
• De graves carences dans la documentation d’exploitation ;
• Un chargement incorrect de carburant, de fret ou de marchandises dangereuses ;
• Un écart important par rapport aux SOP ;
• Une remise des gaz est effectuée à une altitude inférieure à 1 000 ft ;
• Un moteur est coupé ou tombe en panne dans quelque phase du vol que ce soit ;
• Des dégâts se produisent au sol ;
• Un décollage est interrompu après passage à la puissance de décollage ;
• L’aéronef quitte la piste ou la voie de circulation ou toute aire de stationnement ;
• Une erreur de navigation entraînant une importante déviation par rapport à la route ;
• Un écart d’altitude de plus de 500 ft se produit ;
• Une approche non stabilisée sous les 500 ft ;
• Le dépassement des paramètres limites pour la configuration de l’aéronef ;
16-APP 2-1
• Une panne ou détérioration du système de communications ;
• Un avertissement de décrochage se produit ;
• Activation du GPWS ;
• Une vérification après atterrissage dur est requise ;
• Conditions de surface dangereuses, par ex. verglas, neige fondante et mauvais freinage ;
• L’aéronef atterrit en n’ayant plus que son carburant de réserve ou moins ;
• Réception d’un RA du TCAS ;
• Un grave incident ATC, par ex. un quasi-abordage, une incursion sur piste et une autorisation ATC
incorrecte ;
• De graves turbulences de sillage, turbulences, cisaillements du vent ou autres phénomènes

météorologiques sévères ;
• Des membres d’équipage ou des passagers deviennent gravement malades, sont blessés ou sont
frappés d’incapacité soudaine ou décèdent ;
• Des passagers violents, armés ou en état d’ivresse ou auxquels il faut appliquer des dispositifs
de contrainte ;
• Violation des procédures de sécurité ;
• Impacts d’oiseaux ou dommages causés par un corps étranger (FOD) ;
• Tout autre événement considéré comme susceptible d’avoir un effet sur la sécurité ou sur
l’exploitation de l’aéronef.
————————
EXEMPLE DE PROTOCOLE D’ACCORD ENTRE

UNE COMPAGNIE AÉRIENNE ET UNE ASSOCIATION
DE PILOTES POUR L’APPLICATION D’UN PROGRAMME
D’ANALYSE DES DONNÉES DE VOL (FDA)
1. CONTEXTE
Le programme d’analyse des données de vol, PROGRAMME FDA, fait partie intégrante du système
de gestion de la sécurité de LA COMPAGNIE. Les données de vol enregistrées peuvent contenir
des renseignements susceptibles d’améliorer la sécurité des vols mais susceptibles aussi, en cas
d’usage abusif, d’être préjudiciables aux membres d’équipages ou à la compagnie aérienne dans
son ensemble. Le présent document décrit les protocoles qui permettront de tirer de ces données
les meilleurs avantages en termes de sécurité tout en répondant au besoin de la compagnie
d’être perçue comme gérant la sécurité et en garantissant simultanément un traitement équitable au
personnel.
Le PROGRAMME FDA est conforme à l’esprit de l’instruction permanente numéro X (SIN X) de LA

COMPAGNIE — « Compte rendu d’incident de sécurité » — puisque « L’objectif d’une enquête sur
tout accident ou incident est d’établir les faits et la cause et de prévenir ainsi toute nouvelle
occurrence. L’objectif n’est pas de désigner des coupables ou des responsables. »
re
Le PROGRAMME FDA est également conforme à l’esprit de l’Annexe 6 (1 Partie, Chapitre 3) :
« Les programmes d’analyse des données de vol ne seront pas punitifs et contiendront des
garanties adéquates pour protéger les sources de données ».
2. INTENTIONS GÉNÉRALES
2.1 Tant LA COMPAGNIE que L’ASSOCIATION DES PILOTES reconnaissent depuis longtemps que
pour tirer le meilleur parti possible d’un PROGRAMME FDA, il faut travailler à l’amélioration
de la sécurité des vols dans un esprit de coopération mutuelle. Un ensemble rigide de règles
peut, dans certains cas, devenir une entrave ou une contrainte, voire aller à l’encontre du but
recherché. La préférence est donnée à un système dans lequel les personnes participant au
PROGRAMME FDA sont libres d’explorer de nouvelles voies par consentement mutuel, en
gardant toujours à l’esprit que le PROGRAMME FDA est un programme de sécurité, pas un
programme disciplinaire. En l’absence de règles rigides, le maintien du succès d’un PROGRAMME
FDA dépend de la confiance mutuelle, confiance qui a toujours été une caractéristique clé du
programme.
2.2 L’objectif principal de la surveillance des données opérationnelles de vols par le PROGRAMME
FDA est d’améliorer la sécurité des vols. Dès lors, l’intention de toute mesure correctrice prise
16-APP 3-1
après la mise en évidence d’un problème par le PROGRAMME FDA est d’apprendre le plus
possible afin :
a) de prévenir une répétition du problème ;
b) d’accroître nos connaissances opérationnelles générales.
2.3 L’intention générale est que les problèmes révélés par le PROGRAMME FDA soient, dans la
mesure du possible, résolus sans identification des équipages concernés. Toutefois, dans certains
cas, il se peut que l’anonymat ne soit pas approprié et le présent document énonce des protocoles
à suivre dans de tels cas, afin de respecter SIN X.
2.4 Il est admis que LA COMPAGNIE doit vérifier les mesures prises à la suite d’enquêtes menées
dans le cadre du PROGRAMME FDA. Cette vérification sera menée au sein de LA COMPAGNIE
selon des modalités qui satisfont aux exigences de LA COMPAGNIE et elle ne sera pas incluse
dans les dossiers des membres d’équipages.
2.5 Il est aussi prévu que des données de vol enregistrées soient fournies à des tierces parties (AAC,
FAA, universités, constructeurs, etc.) à des fins de recherche sur la sécurité des vols. L’ASSOCIATION
DES PILOTES sera informée de chaque fourniture de telles données et si les données doivent être
identifiées pour être utiles (c’est-à-dire qu’elles doivent pouvoir être liées à un vol spécifique), LA
COMPAGNIE conviendra avec L’ASSOCIATION DES PILOTES des conditions de confidentialité
auxquelles ces données seront fournies.
3. COMPOSITION
La composition et les responsabilités du groupe d’enregistrement des données de vol (le « groupe
du PROGRAMME FDA ») sont définies dans le FCO Y. Le groupe se réunit une fois par mois. Il se
compose des membres suivants :
— le président (directeur des opérations aériennes du PROGRAMME FDA) ;

— un représentant de la section de la formation de chaque flotte ;
— un représentant de l’enregistrement des données de vol (service technique) ;
— un représentant du service de soutien technique des vols ;
— un analyste des données de vol du département des opérations aériennes ;
— des représentants de L’ASSOCIATION DES PILOTES (actuellement deux représentants
court-courriers et un représentant long-courrier).
La composition et les responsabilités du groupe de travail sur l’enregistrement des données

opérationnelles de vols sont définies dans le FCO Y. Le Groupe se réunit tous les deux mois. Il se
compose des membres suivants :
— le président (directeur des opérations aériennes du PROGRAMME FDA) ;

— un analyste des données de vol du département des opérations aériennes ;
— un directeur de l’enregistrement des données de vol (service technique) ;
— un représentant du service de soutien technique des vols ;
— un représentant des services de sécurité ;
— un représentant du groupe de la sécurité de l’AAC ;
— un représentant de L’ASSOCIATION DES PILOTES.
Chapitre 16. Exploitation aérienne — Appendice 3 16-APP 3-3
4. TRAITEMENT
4.1 Portée
Cette section concerne les « événements » découverts par l’application de routine du PROGRAMME
FDA. Si un pilote dépose un rapport de sécurité aérienne (ASR) ou signale un événement à son
directeur, la responsabilité de mener une enquête incombe à la flotte, bien que le groupe du
PROGRAMME FDA puisse offrir son aide. Dans ce cas, le pilote est, bien entendu, identifié.
4.2 La liste ci-dessous énumère certaines des mesures de suivi possibles, utilisables pour enquêter sur
un problème révélé par le PROGRAMME FDA. Elle n’a pas la prétention d’être exhaustive et
n’exclut aucune autre action, convenue entre LA COMPAGNIE et L’ASSOCIATION DES PILOTES,
qui soit conforme aux intentions générales énoncées ci-dessus.
LA COMPAGNIE, représentée par le directeur des opérations aériennes du PROGRAMME FDA et

le représentant de la flotte siégeant au PROGRAMME FDA, et L’ASSOCIATION DES PILOTES,
représentée par le représentant compétent de L’ASSOCIATION DES PILOTES, discuteront et
conviendront entre elles du choix de l’action la plus appropriée à des circonstances spécifiques.
Un directeur de flotte peut demander des mesures de suivi. Il adressera sa requête au représentant
de sa flotte siégeant au PROGRAMME FDA, qui consultera le directeur des opérations aériennes
du PROGRAMME FDA et le représentant compétent de l’ASSOCIATION DES PILOTES, comme
stipulé ci-dessus.
4.2.1 Il peut être demandé à L’ASSOCIATION DES PILOTES de téléphoner aux membres
d’équipage pour un débriefing de l’« événement ». La nature de cet appel peut aller de
louanges pour une situation bien gérée, à un rappel de la procédure d’exploitation
normalisée concernée, en passant par une demande de plus amples informations sur
l’événement et ses causes.
La direction de la flotte peut demander que des questions ou points spécifiques soient
soumis aux pilotes pendant cet/ces appel(s).
Dans ce cas, les pilotes restent non identifiés et un compte rendu de débriefing sera
conservé conformément à la Section 5 du présent accord.
4.2.2 Il peut être demandé à L’ASSOCIATION DES PILOTES de contacter un pilote qui a un taux
supérieur à la moyenne d’événements détectés par le PROGRAMME FDA, afin de conseiller
ce pilote et de rechercher toute raison sous-jacente.
Dans ce cas aussi, la direction de la flotte peut demander que des questions ou points
spécifiques soient soumis aux pilotes pendant cet/ces appel(s).
Dans ce cas aussi, les pilotes restent non identifiés et un compte rendu de débriefing sera
conservé conformément à la Section 5 du présent accord.
4.2.3 Les enquêtes évoquées aux § 4.2.1 et 4.2.2 ci-dessus peuvent signaler qu’il ne sera peut-
être pas possible de clore le dossier sans que d’autres mesures soient prises. Voici des
exemples de mesures supplémentaires possibles :
— le dépôt d’un ASR — voir le § 4.2.4 ci-dessous ;

— une demande que le pilote parle directement à la direction de la flotte — voir le

§ 4.2.5 ci-dessous ;
— une exigence que le pilote suive une formation pour maîtriser à nouveau la norme
requise dans un domaine particulier — voir le § 4.2.6 ci-dessous.
4.2.4 Si l’« événement » mérite manifestement le dépôt d’un ASR, mais qu’aucun ASR n’a été
remis, il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter le(s) pilote(s) à en
déposer un.
Un ASR déposé dans ces circonstances sera traité comme s’il avait été déposé au moment
de l’événement.
4.2.5 Il peut être demandé à L’ASSOCIATION DES PILOTES d’inviter un pilote à un débriefing
mené par la direction de la flotte. Si le pilote accepte, il sera considéré comme ayant signalé
l’événement de lui-même, de sorte que le paragraphe 10.1 de SIN X est d’application : « Il ne
relève normalement pas de la politique de LA COMPAGNIE d’entreprendre une procédure
disciplinaire en réaction au signalement de tout incident relatif à la sécurité des vols. »
Un compte rendu d’un tel débriefing sera envoyé au pilote concerné et une copie sera
conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.
Si le pilote décline l’invitation susmentionnée, le débriefing par L’ASSOCIATION DES

PILOTES sera poursuivi jusqu’à ce que le dossier puisse être clos. Un compte rendu de ce
débriefing sera conservé conformément à la Section 5 du présent document.
4.2.6 Il peut être demandé à un pilote de suivre le recyclage qui peut être jugé nécessaire
après consultation de la flotte concernée. LA COMPANIE organisera cette formation et
L’ASSOCIATION DES PILOTES agira en tant qu’intermédiaire entre LA COMPAGNIE et le
pilote.
Un compte rendu de cette formation sera envoyé au pilote concerné et une copie sera
conservée par LA COMPAGNIE, conformément à la Section 5 du présent document.
4.3 Si un événement ou une série d’événements est considéré comme suffisamment grave pour avoir
mis en danger l’aéronef ou ses occupants, il sera demandé à L’ASSOCIATION DES PILOTES de
lever l’anonymat des pilotes. L’ASSOCIATION DES PILOTES reconnaît que, dans l’intérêt de la
sécurité des vols, elle ne peut fermer les yeux sur des comportements déraisonnables, négligents
ou dangereux de la part de pilotes et elle accédera normalement à ce genre de demande.
La levée de l’anonymat sera effectuée par le représentant le plus ancien de l’ASSOCIATION DES
PILOTES, après consultation avec le président de L’ASSOCIATION DES PILOTES. Le repré-
sentant le plus ancien de L’ASSOCIATION DES PILOTES notifiera au pilote la procédure de levée
de l’anonymat et lui signalera qu’il ou elle peut être accompagné(e) d’un représentant de
L’ASSOCIATION DES PILOTES à tout entretien ultérieur.
Si le Département des opérations aériennes de LA COMPAGNIE et L’ASSOCIATION DES

PILOTES ne peuvent s’accorder sur le fait qu’un événement est suffisamment grave pour justifier
une levée d’anonymat, une décision finale sera prise par une personne désignée. Cette personne
sera soit le directeur de la sécurité de LA COMPAGNIE ou un autre cadre supérieur désigné de LA
COMPAGNIE et il/elle se verra confirmé(e) dans ce rôle par L’ASSOCIATION DES PILOTES, qui
réaffirmera son acceptabilité chaque année.
4.4 Mépris délibéré des SOP
Si l’on découvre, par le biais du PROGRAMME FDA uniquement, qu’un pilote a délibérément fait fi
des SOP de LA COMPAGNIE, ce pilote sera soumis à la procédure suivante :
— Si la transgression des SOP n’a pas mis en danger l’aéronef ou ses occupants, le
débriefing peut être effectué par le représentant de L’ASSOCIATION DES PILOTES, ce qui
préservera l’anonymat du pilote ; mais le pilote recevra une lettre contenant un
avertissement clair qu’une deuxième violation entraînera une levée d’anonymat.
— Si la transgression des SOP a réellement mis en danger l’aéronef et ses occupants, LA

COMPAGNIE demandera la levée de l’anonymat selon la procédure énoncée au § 4.3
ci-dessus.
4.5 Si un pilote ne coopère pas avec L’ASSOCIATION DES PILOTES au sujet des dispositions du
présent accord, LA COMPAGNIE recevra l’approbation de L’ASSOCIATION DES PILOTES pour
prendre la responsabilité de contacter ce pilote et entreprendre toute action ultérieure.
L’ASSOCIATION DES PILOTES rappellera à ce pilote que la SIN X contient l’avertissement

suivant : « Si un membre du personnel ne signale pas un incident lié à la sécurité qu’il a causé ou
découvert, il s’exposera à des mesures disciplinaires complètes. »
5. CLÔTURE DU DOSSIER
La plupart des événements découverts via le PROGRAMME FDA ne sont pas suffisamment graves
pour justifier des mesures de suivi et sont donc automatiquement « clos ». Les événements
requérant des mesures de suivi sont considérés comme « ouverts » et ne seront clos que lorsque
les mesures de suivi seront terminées.
LA COMPAGNIE tiendra un dossier de tous les événements nécessitant des mesures. Pour chacun
de ces événements, les mesures prises seront consignées, ainsi que la date de clôture. Ce dossier
sera conservé dans la base de données du PROGRAMME FDA en regard de l’événement même.
Aucun document n’en sera conservé dans les dossiers des pilotes.
Une lettre sera envoyée par la direction de la flotte à chaque pilote ayant participé aux mesures de
suivi, à moins que la mesure de suivi se soit limitée à un débriefing par téléphone réalisé par le
représentant de L’ASSOCIATION DES PILOTES pour un événement unique. Cette lettre mentionnera
le problème d’origine, la discussion qui a eu lieu et/ou la mesure prise et le résultat escompté.
Cette lettre ne sera pas adressée au nom du pilote mais sera remise à L’ASSOCIATION DES
PILOTES pour transmission au pilote concerné.
Contenu du dossier repris dans la BASE DE DONNÉES DU PROGRAMME FDA (FPD) :
Les éléments suivants seront repris dans les fichiers de la FPD en regard de l’événement même :
a) un compte rendu de tout débriefing téléphonique réalisé par L’ASSOCIATION DES

PILOTES ;
b) un compte rendu de tout débriefing réalisé par la direction de la flotte ;
c) une copie de toute lettre envoyée au pilote ;
d) un compte rendu de tout recyclage donné au pilote ;
e) tout autre document pertinent.
Le dossier ne contiendra rien qui puisse permettre d’identifier le pilote par son nom.
Publicité du dossier et identité du pilote :
Le niveau d’accès de la direction des opérations aériennes à la FPD révélera uniquement qu’une
action est « ouverte » ou « close » pour chaque événement — le dossier de l’action réelle n’est pas
visible. Il est impossible de relier les événements à un vol ou à un pilote particulier.
Le niveau d’accès du directeur des opérations aériennes du PROGRAMME FDA à la FPD révélera
les actions réelles menées et permettra d’associer un pilote, par son numéro de PROGRAMME
FDA à 5 chiffres, à cet événement. L’identité réelle du pilote n’est pas disponible.
L’accès du représentant de L’ASSOCIATION DES PILOTES à la FPD est le même que celui du
directeur des opérations aériennes du PROGRAMME FDA, mais le représentant de L’ASSOCIATION
DES PILOTES dispose en outre d’un disque de décodage afin d’identifier un pilote à partir de son
numéro de PROGRAMME FDA à 5 chiffres.
Il incombe au directeur des opérations aériennes du PROGRAMME FDA de détecter, dans un délai
raisonnable, les pilotes ayant plus d’une action mentionnée en regard de leur numéro de
PROGRAMME FDA à 5 chiffres et de signaler ce fait à la flotte.
6. DEMANDE DE DONNÉES LIÉES À LA SÉCURITÉ (SDR)
Les données de vol relatives aux 15 premières et 15 dernières minutes de chaque vol sont enre-
gistrées dans une base de données appelée SDR. Ces données sont disponibles pour consultation
par un directeur des opérations aériennes si et seulement si :
a) un ASR a été déposé pour cette portion de ce vol, ou
b) le commandant de bord de ce vol a donné sa permission explicite pour que ces données
soient consultées.
Pour pouvoir consulter les données dans la SDR, le directeur des opérations aériennes doit
indiquer, dans la SDR même, la raison de la consultation de ces données. Cette raison est
enregistrée dans chaque cas et les représentants de L’ASSOCIATION DES PILOTES peuvent
consulter ces enregistrements.
7. CONSERVATION DES DONNÉES
Pour chaque événement détecté par le PROGRAMME FDA, la FPD enregistre les données de vol
brutes qui peuvent être consultées sous forme de traces ou d’animations des instruments. En outre,
la FPD enregistre des renseignements, non consultables par la direction des opérations aériennes,
qui identifient le vol (date et immatriculation) et le pilote (par son numéro de PROGRAMME FDA à
5 chiffres).
Ces données et renseignements sont nécessaires pour analyser l’événement et pour suivre, de
façon anonyme pendant un certain temps, les taux d’événements des différents pilotes.
Par ailleurs, la SDR enregistre quelques données de vol brutes de chaque vol, comme le décrit la
Section 6 ci-dessus.
LA COMPAGNIE ne conservera pas ces données plus longtemps que nécessaire et effacera en
tout cas toutes les données de vol et tous les moyens d’identifier les vols et les équipages dans les
deux ans suivant le vol.
Pour les vols de plus de deux ans, la base de données du PROGRAMME FDA (FPD) conservera
un fichier des événements du PROGRAMME FDA dont toutes les données d’identification du vol et
de l’équipage auront été supprimées.
8. ACCÈS DES REPRÉSENTANTS DE L’ASSOCIATION DES PILOTES

AUX INFORMATIONS CONFIDENTIELLES
Pour remplir les obligations découlant du PROGRAMME FDA, le représentant de L’ASSOCIATION

DES PILOTES devra avoir accès à des informations qui sont confidentielles pour LA COMPAGNIE
et peuvent relever de la Loi sur la protection des données relatives à la vie privée. Un représentant
désigné devra signer un accord de confidentialité qui précise les conditions auxquelles les infor-
mations reçues de LA COMPAGNIE peuvent être utilisées. S’il enfreint les clauses de cet accord, il
sera suspendu de ses fonctions au sein du groupe du PROGRAMME FDA et pourra faire l’objet de
procédures disciplinaires de la part de LA COMPAGNIE.
Pour contacter le membre d’équipage concerné par un événement détecté par le PROGRAMME
FDA (voir Section 4), le représentant de L’ASSOCIATION DES PILOTES aura besoin de :
— l’identification du vol (date, immatriculation et numéro de vol) ;
— la capacité d’identifier l’équipage de ce vol et la manière de le contacter ;
— une copie électronique des données de vol et un moyen de les consulter.
LA COMPAGNIE fournira à chaque représentant de L’ASSOCIATION DES PILOTES un ordinateur

portable sur lequel des logiciels auront été préinstallés, afin de répondre aux exigences suivantes :
— l’identification du vol sera fournie par courriel par le Groupe du PROGRAMME FDA ;
— l’identité des membres d’équipage et leurs coordonnées seront déterminées par accès à
distance au système d’affectation des équipages de conduite de LA COMPAGNIE ;
— les données de vol seront envoyées par courriel par le groupe du PROGRAMME FDA et
seront consultées au moyen des logiciels préinstallés.
Pour identifier un pilote à partir de son numéro de PROGRAMME FDA à 5 chiffres (voir le § 4.2.2),
le représentant de L’ASSOCIATION DES PILOTES recevra un disque de décodage à utiliser avec
la FPD.
Lorsqu’il aura terminé son travail avec le groupe du PROGRAMME FDA, le représentant de
L’ASSOCIATION DES PILOTES restituera l’ordinateur portable et le disque à LA COMPAGNIE.
Aucune copie des logiciels fournis par LA COMPAGNIE ne peut être conservée.
Signature au nom de LA COMPAGNIE : Signature au nom de L’ASSOCIATION

DES PILOTES :
__________________________________ _________________________________
Nom : ____________________________ Nom : ____________________________
Date : ____________________________ Date : ____________________________
————————
ASPECTS DE LA PERFORMANCE HUMAINE

CONCERNANT LA SÉCURITÉ EN CABINE1
L’environnement et les conditions de travail des équipages de cabine sont influencés par un ensemble
hétérogène de facteurs humains. Voici quelques-uns des facteurs les plus courants à prendre en
considération lors de l’élaboration d’un programme de sécurité en cabine :
a) Gestion des ressources en équipage (CRM). Comme les équipages de cabine comptent de plus
en plus de membres, les membres des équipages de cabine doivent travailler en équipe. La
formation CRM pour les équipages de cabine pourrait comprendre :
1) Les aptitudes en communication et en gestion des relations interpersonnelles. L’hésitation à

communiquer des données importantes à d’autres membres de l’équipe pourrait compromettre
un vol. Une assurance polie est requise pour assurer un travail d’équipe efficace ;
2) La conscience de la situation. Pour maintenir une perception exacte de l’évolution des événements,
il faut poser des questions, recouper les informations, affiner et actualiser les perceptions ;
3) Les aptitudes en résolution des problèmes et prise de décision ainsi que le discernement
peuvent être cruciaux s’il survient une urgence en vol ou une situation requérant une évacuation
d’urgence ou un amerrissage forcé ;
4) Les aptitudes de leadership/suivisme. Si, dans leurs fonctions, les équipages de cabine ont
besoin d’aptitudes de leadership bien développées, chaque membre de l’équipage de cabine
doit respecter le pouvoir de commandement pendant une urgence.
b) Fatigue. La dysrythmie circadienne (c’est-à-dire le décalage horaire) et d’autres troubles du cycle

normal du sommeil sont inhérents à ce travail. Toutefois, la fatigue peut gravement compromettre la
réaction des équipages de cabine en cas d’urgence. Une vigilance maximale est requise pendant
les phases d’approche et d’atterrissage, souvent à la fin d’une longue période de service.
c) Facteurs liés à la personnalité. Les membres d’équipages de cabine doivent être capables de
gérer différents types de personnalités. En outre, la diversité culturelle peut influencer les résultats
en cas d’urgence, non seulement parmi les passagers, mais aussi au sein d’équipages dont les
membres sont issus de cultures différentes.
d) Charge de travail et stress. Le rythme de travail dans les cabines est très variable, surtout sur les
vols long-courriers. Il est fondamental pour les équipages de cabine d’apprendre à gérer le stress
de charges de travail intenses suivies de périodes d’ennui afin de maintenir une conscience de la
situation et l’acuité mentale nécessaires en cas d’urgence.
1. Pour mieux comprendre les facteurs humains intervenant dans les programmes de sécurité en cabine, voir le Manuel d’instruction
sur les facteurs humains (Doc 9683), les Éléments d’orientation sur les facteurs humains dans les audits de sécurité (Doc 9806) et
Facteurs humains, Étude n° 15 — Facteurs humains dans la sécurité de la cabine (Cir 300).
16-APP 4-1
e) Compétence. La compétence, qui découle de l’expérience et de la réalité présente, est vitale pour
maximaliser l’efficacité. La multiplicité des réalités résultant de transferts d’un type d’aéronef à un
autre peut compromettre l’efficacité des interventions en cas d’urgence, en raison de transferts
d’habitudes difficiles, voire inadéquats.
f) Conception des équipements. Pendant les audits de sécurité, il faudrait s’intéresser aux facteurs
de conception des équipements susceptibles de compromettre une exécution sûre des tâches par
les membres d’équipages de cabine (exigences de force, facilité d’accès, convivialité, etc.).
Chapitre 17
SERVICES DE LA CIRCULATION AÉRIENNE (ATS)
17.1 SÉCURITÉ DES ATS
Généralités
17.1.1 Si les accidents d’aviation causés par des lacunes dans les services ATS sont rares, les consé-
quences de tels accidents sont potentiellement catastrophiques. La sécurité des ATS exige une approche
systématique de la gestion de la sécurité et les systèmes ATS actuels offrent des défenses multicouches
grâce notamment à :
a) la rigueur des critères de sélection et de la formation des contrôleurs ;
b) des normes de performance clairement définies, telles que les critères de séparation ;
c) un respect strict des SOP qui ont fait leurs preuves ;
d) une importante coopération internationale ;
e) l’utilisation des progrès technologiques ;
f) un système continu d’évaluation, de suivi et d’amélioration.
17.1.2 Maintenir des distances de séparation sûres entre les aéronefs tout en activant le flux de trafic
dans une situation hautement dynamique pose des défis particuliers. La charge de travail des contrôleurs
ainsi que la densité et la complexité du trafic génèrent de plus en plus de risques importants pour l’aviation.
La fréquence des déclenchements de l’alarme de proximité et des quasi-abordages, incursions sur piste,
pertes techniques de la séparation requise, etc., est révélatrice du potentiel permanent d’accident dans la
fourniture de services ATS.
17.1.3 Comme les volumes de trafic et la complexité continuent à augmenter, les superviseurs ATS,
les enquêteurs travaillant sur des occurrences ATS et les directeurs de la sécurité vont devoir renforcer leur
connaissance des effets de la performance humaine sur les actes du personnel ATS. (L’Appendice 1 de ce
chapitre énumère les aspects des facteurs humains les plus courants pouvant influencer la performance
humaine dans la prestation de services ATS.)
17.1.4 La fourniture de services ATS doit en outre relever le défi du changement organisationnel. Bien
que les autorités nationales fournissent traditionnellement les services ATS, ces services sont en cours de
privatisation dans un nombre croissant d’États. D’autres États intègrent des consortiums régionaux, comme
EUROCONTROL, pour la fourniture de ces services.
17.1.5 D’un point de vue réglementaire, la supervision de la sécurité pour les aérodromes et les
services ATS a traditionnellement été réalisée selon une démarche dirigiste, en vertu de laquelle des exigences
détaillées étaient publiées et le respect de ces exigences était confirmé par une inspection. Cette approche
17-1
a encouragé une culture de la sécurité fondée sur le respect des exigences et peu d’attention était accordée
à une gestion proactive de la sécurité. Face aux volumes croissants de trafic aérien et à un taux d’accidents
constant, de plus en plus d’efforts sont consentis pour améliorer la sécurité par la mise en œuvre de
systèmes de gestion de la sécurité (SGS), y compris de SGS pour les aérodromes et les organismes ATS.
17.1.6 Cette approche de la gestion de la sécurité décrite dans le présent manuel repose sur les
« meilleures pratiques » des industries où la gestion de la sécurité est depuis longtemps intégrée aux
opérations. Bien que ce chapitre soit consacré spécifiquement aux services ATS, une bonne compréhension
du reste de ce manuel sera utile pour appliquer un SGS efficace dans les ATS.
17.1.7 L’Annexe 11 — Services de la circulation aérienne exige que les fournisseurs ATS mettent en
œuvre un SGS accepté afin de garantir la sécurité de la fourniture de services ATS. Un tel SGS garantira
l’identification des dangers réels et potentiels pour la sécurité et la mise en œuvre des mesures correctrices
nécessaires, ainsi qu’une surveillance continue en vue d’assurer le maintien d’un niveau acceptable de
sécurité.
17.1.8 Les Procédures pour les services de navigation aérienne — Gestion du trafic aérien (PANS-ATM,
Doc 4444) donnent des éléments indicatifs concernant la gestion de la sécurité dans les services ATS. La
gestion de la sécurité dans les services ATS devrait aborder, entre autres :
a) la surveillance des niveaux généraux de sécurité et la détection de toute tendance inopportune,

notamment :
1) la collecte et l’évaluation des données liées à la sécurité ;
2) l’examen des comptes rendus d’incidents et autres comptes rendus liés à la sécurité ;
b) un examen de la sécurité des organismes ATS, notamment :
1) des questions de réglementation ;
2) des questions opérationnelles et techniques ;
3) des questions portant sur les licences et la formation.
c) des évaluations de la sécurité dans le cadre de la mise en œuvre planifiée d’une réorganisation de
l’espace aérien, de l’introduction de nouveaux équipements, systèmes ou installations et de l’application
de procédures ATS nouvelles ou modifiées ;
d) des mécanismes permettant de détecter la nécessité de mesures de renforcement de la sécurité.
Fonctions de l’autorité de réglementation de la sécurité des ATS
17.1.9 Comme l’explique le Chapitre 3, les États exigent qu’une autorité de réglementation supervise
l’application de leurs lois et réglementations nationales régissant la sécurité aérienne. En matière de sécurité
des services ATS, les fonctions principales de cette autorité de réglementation sont les suivantes :
a) l’élaboration et la mise à jour des réglementations nécessaires ;

Chapitre 17. Services de la circulation aérienne (ATS) 17-3
b) la fixation d’objectifs nationaux de performance en matière de sécurité ;
c) la fourniture d’une supervision des fournisseurs ATS.
Directeur de la sécurité (DS)
17.1.10 Les fonctions et rôles d’un DS ainsi que les principes sur lesquels se fonde l’organisation de la
gestion de la sécurité ont été décrits au Chapitre 12.
17.1.11 L’idéal serait que le DS d’un organisme ATS n’ait pas d’autres responsabilités que la sécurité.
Le DS devrait être un membre de l’équipe directoriale de l’organisation et il doit se situer à un niveau suffi-
samment élevé dans la hiérarchie directoriale pour qu’il puisse communiquer directement avec d’autres cadres
dirigeants. Voici quelques exemples de tâches à inclure dans la description des fonctions du DS de l’ATS :
a) élaborer, tenir à jour et promouvoir un SGS efficace ;
b) surveiller le fonctionnement du SGS et rendre compte de la performance et de l’efficacité du

système au directeur général ;
c) signaler à l’attention de la direction tout changement identifié comme nécessaire au maintien ou à

l’amélioration de la sécurité ;
d) agir comme point de contact central pour tous les échanges avec l’autorité de réglementation de la
sécurité ;
e) fournir conseils et aide en tant qu’expert en matière de sécurité ;
f) favoriser une prise de conscience et une compréhension de la gestion de la sécurité dans toute
l’organisation ;
g) agir en tant que coordonnateur proactif des questions de sécurité.
17.2 SYSTÈMES DE GESTION DE LA SÉCURITÉ DES ATS
17.2.1 Le Chapitre 12 cite les dix étapes préalables à la mise en place d’un SGS. Ces dix étapes
s’appliquent également à la gestion de la sécurité dans les services ATS et le chapitre en question devrait
être lu parallèlement à cette section. De plus, les considérations suivantes s’appliquent à la gestion de la
sécurité dans les services ATS.
Indicateurs de performance en matière de sécurité et objectifs de sécurité
17.2.2 Les notions d’indicateurs de performance en matière de sécurité et d’objectifs de sécurité ont
été introduites aux Chapitres 1 et 5. Avant de tenter de déterminer si la performance d’un système en
matière de sécurité ou l’incidence sur la sécurité de changements planifiés de ce système est acceptable, il
faudra décider des critères qui seront utilisés pour juger de cette acceptabilité. Les dispositions de l’OACI
relatives à la gestion de la sécurité et destinées aux exploitants d’aéronefs, aux exploitants d’aérodromes
et aux fournisseurs ATS exigent notamment qu’un niveau acceptable de sécurité soit atteint. Ce niveau
acceptable de sécurité sera déterminé par l’État ou les États concerné(s).
17.2.3 L’Annexe 11 exige que les États fixent un niveau acceptable de sécurité applicable à la fourniture
de services ATS dans leur espace aérien et à leurs aérodromes.
17.2.4 Pour déterminer ce qu’est un niveau acceptable de sécurité, il faut tout d’abord décider
d’indicateurs appropriés de performance en matière de sécurité, puis établir ce qui représente un résultat
acceptable. Les indicateurs de performance en matière de sécurité choisis doivent convenir à l’application.
Voici quelques mesures types qui pourraient être utilisées pour la gestion de la sécurité des services ATS :
a) la probabilité maximale d’un événement indésirable, tel qu’un abordage, une perte de séparation ou
une incursion sur piste ;
b) le nombre maximal d’incidents par 10 000 mouvements d’aéronefs ;
c) le nombre maximal acceptable de pertes de séparation par 10 000 traversées transatlantiques ;
d) le nombre maximal d’avertissements de conflit à court terme (STCA) par 10 000 mouvements
d’aéronefs.
17.2.5 Comme les accidents d’aviation sont rares, les taux d’accidents ne sont pas de bons indicateurs
de la performance en matière de sécurité. Ils peuvent présenter un intérêt limité au niveau mondial, régional
ou national. En fait, l’absence d’accidents peut masquer l’existence, au sein du système, de nombreuses
conditions dangereuses qui, réunies, font le terreau des accidents. Les taux d’accidents sont encore moins
utiles en tant qu’indicateurs de sécurité lorsqu’ils sont appliqués à des aérodromes ou à des régions
d’information de vol (FIR) spécifiques. Pour toute FIR donnée, par exemple, le temps probable entre deux
accidents en route pourrait dépasser les 100 ans.
17.2.6 Des indicateurs plus utiles de la performance des ATS en matière de sécurité pourraient être
les taux d’incidents, notamment les signalements de déclenchements de l’alarme de proximité, les pertes
techniques de séparation, les avertissements du TCAS et messages d’alerte, les pertes de couverture radar
et les pannes du système d’alimentation électrique.
17.2.7 La valeur des indicateurs basés sur les événements liés à la sécurité est toutefois tributaire de
celle des systèmes de comptes rendus ou de surveillance par lesquels de tels événements sont enregistrés
et suivis. Pour que le système soit efficace, il faut que la culture de l’organisation encourage le dépôt et
l’enregistrement des comptes rendus requis. L’importance de la culture de la sécurité d’une organisation a
été examinée au Chapitre 4 et les limites potentielles de l’utilisation des informations provenant des
systèmes volontaires de comptes rendus d’incidents ont été évoquées au Chapitre 7.
17.2.8 Pour chaque objectif quantitatif de performance en matière de sécurité qui a été fixé, il doit être
possible de mesurer ou d’estimer de façon quantitative le niveau de sécurité atteint. L’application d’un
objectif de ce type à des opérations en route au sein d’une seule FIR ou à des approches aux instruments à
un seul aérodrome livrera une fréquence probable d’accidents si faible que les données sur les accidents
réels ne permettront pas d’indiquer de façon valable si l’objectif est atteint.
17.2.9 Des objectifs quantitatifs sont utilisés, par exemple, pour évaluer la sécurité des opérations
dans l’espace aérien à minimums de séparation verticale réduits (RVSM). Toutefois, dans ce cas, l’évalua-
tion du niveau de sécurité atteint se fait au moyen de modèles mathématiques de risques d’abordages, qui
peuvent estimer le taux probable d’accidents à partir des données d’écarts d’altitude des aéronefs qui n’ont
pas entraîné d’accident. Des modèles similaires sont utilisés pour estimer le risque d’abordage à la suite de
déviations latérales par rapport aux trajectoires dans l’espace aérien à spécifications de performances
minimales de navigation (MNPS) de l’Atlantique Nord et dans l’espace aérien océanique où les minimums
de séparation basés sur la qualité de navigation requise (RNP) sont appliqués.
17.2.10 Les techniques utilisées dans cette forme d’évaluation de la sécurité dépassent la portée du
présent manuel. De plus amples informations sur les modèles de risques de collision sont données dans le
Manuel sur la méthode de planification de l’espace aérien pour l’établissement des minimums de séparation
(Doc 9689).
Organisation de la sécurité
17.2.11 L’organisation de la gestion de la sécurité au sein d’un centre ou d’un organisme ATS dépendra,
dans une grande mesure, du volume et de la complexité des activités. Ainsi, dans un grand centre, tel que
celui d’un aéroport international, plusieurs activités ATS distinctes sont effectuées (contrôle en route,
terminal, contrôle des arrivées et des départs, contrôle tour, sol, etc.). L’efficacité des processus
décisionnels en matière de sécurité dépendra en grande partie de la façon dont les divers intérêts de tous
les prestataires de services sont intégrés dans un « système » cohérent.
17.2.12 Le directeur du centre ou de l’organisme ne pourra pas à lui seul appliquer un SGS. Outre la
coopération et l’engagement des autres directeurs et membres du personnel, le directeur du centre ou le
chef d’unité devra probablement s’appuyer sur les indications et l’aide d’un DS attitré. Lors de la désignation
d’un DS, la direction doit se garder de déléguer la responsabilité de la sécurité au DS mais doit plutôt
répartir cette responsabilité entre tous les directeurs et membres du personnel.
Gestion des risques
17.2.13 Comme d’autres activités aéronautiques, la fourniture de services ATS exige une approche
décisionnelle basée sur les risques. Les processus décrits ailleurs dans le présent manuel sont requis pour
réduire ou éliminer les risques de la fourniture de services ATS. La gestion des risques exige un système
cohérent d’identification des dangers, d’évaluation des risques et de mise en œuvre de mesures viables de
maîtrise des risques. (Voir les Chapitres 6 et 13.)
17.2.14 Les Procédures pour les services de navigation aérienne — Gestion du trafic aérien (PANS-ATM,
Doc 4444) exigent que tous les comptes rendus d’incidents ou comptes rendus concernant l’état de fonction-
nement des installations et systèmes ATS (tels que l’interruption ou la dégradation des communications, de
la surveillance et d’autres systèmes et équipements importants pour la sécurité) soient systématiquement
examinés par l’autorité appropriée en charge des services ATS, afin de détecter toute tendance dans le
fonctionnement de ces systèmes qui puisse compromettre la sécurité.
1
Systèmes de comptes rendus d’incidents
17.2.15 Dans le cadre d’un SGS d’ATS, un système confidentiel et volontaire de comptes rendus
d’incidents de sécurité constitue un des meilleurs moyens de détecter les dangers. Le Doc 4444 exige un
système formel de comptes rendus d’incidents pour le personnel des ATS afin de faciliter la collecte des
informations sur les dangers ou les carences réels ou potentiels en matière de sécurité qui sont liés à la
fourniture de services ATS.
17.2.16 En plus des exigences de compte rendu d’accident et d’incident imposées par l’État,
l’organisme ATS peut définir les types de dangers, d’événements ou d’occurrences comportant un potentiel
1. Le Chapitre 7 fournit de plus amples informations sur les principes et le fonctionnement des systèmes efficaces de comptes rendus
d’incidents.
de risque que le personnel doit signaler. Un système efficace de comptes rendus prévoit que toute situation
ou circonstance qui, de l’avis d’un membre du personnel, fait courir un risque d’accident soit signalée sur
une base volontaire dans un environnement non punitif et non accusateur.
2
Intervention en cas d’urgence
17.2.17 Le personnel ATS doit être prêt à continuer à fournir des services en pleine situation d’urgence,
notamment après un accident, une panne d’électricité ou une rupture des communications, une perte de
couverture radar et une menace pour la sécurité. Des procédures d’urgence doivent être en place pour
guider les opérations sans compromettre davantage la sécurité. L’intervention appropriée de l’organisme
requiert un solide plan d’intervention en cas d’urgence (ERP).
17.2.18 L’ERP devrait refléter un effort de collaboration entre la direction et le personnel opérationnel
qui devra l’exécuter, en particulier les contrôleurs. Des procédures de secours doivent être en place et être
testées régulièrement pour garantir la fourniture ininterrompue de services, afin de maintenir le flux sûr,
rapide, efficace et ordonné du trafic aérien, éventuellement à un niveau dégradé, par exemple, par le
passage à un contrôle aux procédures en cas de panne radar.
3
Enquêtes de sécurité
17.2.19 Lorsqu’un accident ou un grave incident se produit, des enquêteurs compétents doivent être
disponibles pour mener une enquête afin :
a) de mieux comprendre les événements ayant mené à cette occurrence ;
b) d’identifier les dangers et réaliser des évaluations des risques ;
c) d’émettre des recommandations en vue de réduire ou d’éliminer les risques inacceptables ;
d) de communiquer les messages de sécurité aux intervenants appropriés.
17.2.20 Les enquêtes sur des incidents mineurs, tels que des pertes de séparation, peuvent révéler
des dangers systémiques. Afin d’assurer une efficacité maximale, la direction devrait se concentrer sur la
détermination des risques plutôt que sur l’identification des personnes à sanctionner. La méthode utilisée
sera fonction de la culture de la sécurité de l’organisation. La crédibilité du processus d’enquête dépendra
en grande partie de la compétence technique et de l’objectivité des enquêteurs.
4
17.2.21 Le maintien de normes élevées dans les services ATS requiert un programme visant à
contrôler et surveiller les activités de tous les contrôleurs et du personnel de soutien administratif, ainsi que
la fiabilité et les performances des équipements à leur disposition.
2. Voir le Chapitre 11 pour obtenir des indications sur la planification des interventions en cas d’urgence destinées à gérer un accident
ou un incident grave lié aux services ATS.
3. Voir le Chapitre 8 pour obtenir des indications sur la conduite des enquêtes de sécurité.
4. Voir les Chapitres 10 et 14 pour de plus amples indications sur la supervision de la sécurité dans les ATS.
17.2.22 L’objectif de la supervision de la sécurité chez les fournisseurs ATS est de vérifier le respect
des dispositions concernées des :
a) SARP et procédures de l’OACI ;
b) lois et réglementations nationales ;
c) meilleures pratiques nationales et internationales.
17.2.23 Les méthodes de supervision de la sécurité peuvent comprendre des inspections de sécurité
et/ou des audits de sécurité des organismes concernés. La supervision de la sécurité devrait aussi entraîner
un examen systématique des événements importants liés à la sécurité. Comme expliqué au Chapitre 5, les
audits de sécurité sont un des éléments fondamentaux d’un SGS. Les procédures de supervision de la
sécurité doivent être normalisées et documentées afin d’en garantir une application cohérente.
17.2.24 Le personnel responsable de cette fonction de supervision doit avoir une bonne connaissance
et, de préférence, une expérience pratique des procédures de gestion de la sécurité. Le Doc 4444 exige que
les évaluations de la sécurité des organismes ATS soient conduites sur une base régulière et systématique
par du personnel qualifié ayant une compréhension totale des procédures, pratiques et facteurs pertinents
influençant la performance humaine.
17.2.25 Le Doc 4444 exige en outre que les données utilisées dans les programmes de contrôle de la
sécurité soient recueillies dans le plus large éventail de sources possible, étant donné que les consé-
quences de procédures ou systèmes particuliers sur la sécurité peuvent n’être perceptibles qu’après un
incident. Le programme d’audit devrait donc s’étendre aux interfaces de sécurité avec tous les utilisateurs
du système ATS, les exploitants, les directions des aérodromes et tout fournisseur de services travaillant en
sous-traitance.
Gestion du changement
17.2.26 La fourniture de services ATS est une activité dynamique. Le Doc 4444 exige qu’une
évaluation de la sécurité soit effectuée pour toute proposition de réorganisation importante de l’espace
aérien, pour tout changement significatif des procédures de fourniture d’ATS applicables à un espace aérien
ou à un aérodrome défini et pour l’introduction de nouveaux équipements, systèmes ou installations. Voici
quelques exemples de changements significatifs :
a) réduction des minimums de séparation ;
b) nouvelles procédures d’exploitation, y compris les procédures d’arrivée et de départ (STAR et SID) ;
c) réorganisation de la structure de routes ATS ;
d) nouvelle sectorisation d’un espace aérien ;
e) mise en œuvre de nouveaux systèmes et équipements de communications et surveillance ou d’autres

systèmes importants pour la sécurité, notamment ceux qui offrent de nouvelles fonctionnalités et/ou
capacités.
17.2.27 En résumé, une évaluation de la sécurité requiert la participation d’un groupe multidisciplinaire
d’experts qui identifient de façon systématique les dangers et recommandent la prise de mesures destinées
à éliminer les risques inhérents ou à les réduire à un niveau acceptable. Le Chapitre 13 fournit de plus
amples informations sur la conduite des évaluations de la sécurité.
17.2.28 Parmi les facteurs à envisager lors de la conduite d’une évaluation de la sécurité, citons :
a) les types d’aéronefs et leurs caractéristiques de performance, notamment leurs capacités et perfor-
mances de navigation ;
b) la densité et la répartition du trafic ;
c) la complexité de l’espace aérien, la structure des routes ATS et la classification de l’espace aérien ;
d) la configuration de l’aérodrome, y compris les configurations des pistes et voies de circulation et les
préférences ;
e) les capacités de communications air-sol et leur utilisation ;
f) les systèmes de surveillance et d’alerte ;
g) les éléments locaux significatifs relatifs à la topographie ou à des phénomènes météorologiques.
17.3 MODIFICATION DES PROCÉDURES ATS
17.3.1 Les systèmes de la circulation aérienne sont particulièrement vulnérables en périodes de

changements de procédures, qu’il s’agisse de modifications de procédures existantes ou d’introduction de
nouvelles procédures. Les techniques de gestion des risques sont utilisées pour passer en revue les effets
des changements proposés. Les principes de la gestion des risques sont énoncés au Chapitre 6. Le
Chapitre 13 énumère sept étapes utiles pour évaluer de nouveaux équipements ou procédures.
17.3.2 L’évaluation des procédures ATS vise à apporter la garantie que, dans la mesure du possible,
les dangers potentiels associés au contrôle des aéronefs ont été identifiés et les mesures d’atténuation des
risques importants associés à ces dangers ont été mises en œuvre. En général, ce processus de gestion
des risques couvre les aspects suivants :
a) identification des dangers (HAZid) ;
b) analyse des dangers, y compris de la probabilité d’une occurrence ;
c) identification et analyse des conséquences ;
d) évaluation par rapport aux critères d’évaluation des risques.
17.3.3 Lorsque la direction propose d’élaborer, valider, changer ou introduire des procédures opéra-
tionnelles, elle devrait, dans la mesure du possible :
a) utiliser les techniques d’identification des dangers, d’évaluation et de gestion des risques avant
d’introduire les procédures ;
b) utiliser une simulation pour élaborer et évaluer les nouvelles procédures ;

c) mettre en œuvre les changements en petites étapes faciles à gérer pour permettre d’acquérir la
certitude que ces procédures sont appropriées ;
d) commencer les changements en périodes de faible densité de trafic.
17.3.4 Comme expliqué au Chapitre 13, il vaut mieux que l’évaluation des risques des procédures
ATS soit menée par un groupe comprenant :
a) les responsables de la conception de la procédure ;
b) le personnel ayant une connaissance et une expérience actuelles du service de contrôle évalué,
c’est-à-dire les utilisateurs du système (le personnel ATS et les pilotes), pour évaluer les procédures
sous l’angle opérationnel ;
c) un spécialiste des services techniques, pour donner un avis technique sur les performances des
équipements ;
d) un spécialiste de la sécurité/des risques, pour guider l’application de la méthodologie ;
e) un spécialiste des facteurs humains.
17.3.5 L’Appendice 1 du Chapitre 13 donne des éléments indicatifs sur la conduite des sessions de
groupes de travail sur l’identification et l’évaluation des dangers, qui sont particulièrement efficaces pour
identifier et analyser les dangers potentiels des procédures ATS.
17.3.6 L’Appendice 2 du présent chapitre fournit de plus amples indications sur l’évaluation des
risques dans les procédures ATS.
17.4 GESTION DES MENACES ET DES ERREURS
17.4.1 Comme l’explique le Chapitre 16, le cadre de gestion des menaces et des erreurs (TEM)
permet de mieux comprendre, d’un point de vue opérationnel, les interactions entre sécurité et performance
humaine dans des contextes opérationnels dynamiques et exigeants. Les menaces pesant sur la sécurité
opérationnelle sont reconnues depuis longtemps mais les principes de la TEM permettent de gérer les trois
composantes de base du cadre TEM : les menaces, les erreurs et les situations indésirables.
17.4.2 Les menaces et les erreurs sont des éléments normaux des opérations quotidiennes. Pour
éviter qu’elles ne dégénèrent en situations indésirables, les ATCO doivent régulièrement gérer de telles
menaces et erreurs. Pour maintenir les marges de sécurité dans les opérations ATC, les ATCO doivent
aussi gérer toute situation indésirable susceptible de découler de telles menaces et erreurs. Leurs actions
peuvent offrir la dernière chance d’éviter une situation fâcheuse.
17.4.3 Les menaces, erreurs et situations indésirables doivent toutes être gérées à l’intérieur d’un
ensemble de complexités contextuelles. Par exemple, les contrôleurs doivent gérer des conditions météo-
rologiques néfastes, des aérodromes entourés de hautes montagnes, un espace aérien encombré, des
défaillances d’aéronefs et les erreurs commises par des personnes extérieures à la salle ATC, telles que
des équipages de conduite, du personnel au sol ou du personnel de maintenance. Le modèle TEM
considère ces complexités comme des menaces parce qu’elles sont toutes susceptibles d’avoir une
incidence négative sur les opérations ATC en réduisant les marges de sécurité.
17.4.4 L’Appendice 3 de ce chapitre examine en détail la TEM dans les ATS.

17.5 ENQUÊTE DE SÉCURITÉ SUR LES OPÉRATIONS NORMALES (NOSS)
17.5.1 Jusqu’à tout récemment, le contrôle de la sécurité s’appuyait sur l’identification par le personnel
de dangers réels et potentiels pour l’exploitation sûre du système et sur le dépôt de comptes rendus par ce
même personnel. Or, si les pratiques dangereuses sont devenues partie intégrante de la méthode normale
d’exploitation, il est peu probable que le personnel concerné reconnaisse ces pratiques comme dange-
reuses et dépose des comptes rendus via le système de comptes rendus d’événements liés à la sécurité.
17.5.2 Des méthodes basées sur l’observation fournissent un moyen supplémentaire de collecte de
données, indépendant des personnes concernées. Plusieurs compagnies aériennes ont mis en œuvre un
programme appelé audit de sécurité en service de ligne (LOSA) pour surveiller les opérations aériennes
dans des conditions d’exploitation normales. (Le LOSA est décrit plus en détail au Chapitre 16.)
17.5.3 Le LOSA est une méthode éprouvée d’identification des dangers et d’élaboration de stratégies
d’adaptation pour les opérations normales du poste de pilotage. L’objectif de cette surveillance est de
recueillir des données sur les menaces opérationnelles, les erreurs des équipages et leur gestion. Les
observations sont faites par des observateurs formés aux techniques LOSA, qui prennent place sur le siège
de service sur des vols réguliers de routine. En surveillant les opérations normales, il est possible d’en
apprendre beaucoup sur les stratégies fructueuses utilisées par les pilotes pour gérer les menaces, erreurs
et situations indésirables normales.
17.5.4 Le processus est en cours pour appliquer les leçons tirées du LOSA à l’ATC. Toutefois, comme
les opérations ATC diffèrent sensiblement des opérations aériennes, la méthodologie en cours d’élabo-
ration, appelée Enquête de sécurité sur les opérations normales (NOSS), sera, elle aussi, différente. L’idée
qui sous-tend le NOSS est de fournir à la communauté ATC un moyen d’obtenir des données solides sur les
menaces, les erreurs et les situations indésirables. L’analyse des données NOSS, combinée à celle des
données liées à la sécurité provenant de sources conventionnelles, devrait permettre de centrer le
processus de changement pour la sécurité sur les domaines qui nécessitent la plus grande attention.
17.5.5 Le NOSS s’appuie sur le modèle TEM. Dans sa forme la plus simple, il se traduit par des
observations par-dessus l’épaule pendant des périodes de service normales. L’analyse de ces données
normatives et des données recueillies pas d’autres moyens (tels que les systèmes de comptes rendus
d’incidents et les enquêtes sur des événements) devrait fournir à la direction de l’ATC un moyen de centrer
le processus de changement pour la sécurité sur les menaces qui érodent le plus les marges de sécurité au
sein du système ATC.
17.5.6 Le NOSS reconnaît que les contrôleurs gèrent régulièrement les menaces, erreurs et situations
indésirables auxquelles ils sont confrontés au quotidien, dans le cadre des opérations normales. Leur
intervention opportune préserve les marges de sécurité souhaitées avant que ne survienne une situation
dangereuse (c’est-à-dire un accident ou un incident). Il est vital de comprendre comment des contrôleurs
efficaces gèrent la situation évolutive pour élaborer les contre-mesures nécessaires afin de préserver les
défenses au sein du système ATS. Comme les stratégies de gestion de la sécurité doivent cibler les
menaces systémiques plutôt que les erreurs individuelles, l’objectif premier du NOSS doit être d’identifier les
menaces et non de se limiter à compter les erreurs.
17.5.7 Au moment de la rédaction du présent manuel, les protocoles d’application du NOSS dans un
environnement de travail réel ne sont pas encore établis.
————————
ASPECTS DES FACTEURS HUMAINS RELATIFS

À LA PERFORMANCE HUMAINE DANS LES
SERVICES DE LA CIRCULATION AÉRIENNE1
1. Voici quelques-uns des aspects des facteurs humains les plus courants pouvant influencer la
performance humaine dans la prestation de services ATS :
a) limites physiologiques :
1) la vue — la capacité de voir physiquement les événements se dérouler (par exemple à partir
d’une tour de contrôle) ;
2) l’audition — la capacité de distinguer différentes voix dans un environnement bruyant ;
3) la fatigue chronique influençant le jugement, les aptitudes cognitives et la mémoire ;
b) variables psychologiques :
1) la mémoire (essentielle pour maintenir une image tridimensionnelle d’une situation dynamique) ;
2) la vigilance par opposition à la distraction et à l’ennui ;
3) les pressions opérationnelles (par ex. des supérieurs hiérarchiques, de la direction et des pairs) ;
4) la motivation et l’état d’esprit (parfois influencés par des pressions de la vie privée ou d’autres
pressions extérieures) ;
5) la résistance au stress (et aux maladies dues au stress) ;
6) le jugement ;
7) les habitudes (par ex. simplifier les procédures) ;
8) la diversité culturelle des nombreux utilisateurs du système ATS (militaires ou civils, différentes
compagnies, des utilisateurs étrangers ou nationaux, la diversité des langues et des schémas
comportementaux) qui peut influencer les attentes des contrôleurs ;
c) facteurs liés aux équipements :
1) la conception des écrans d’affichage et l’aménagement du poste de travail ;
1. Voir le Manuel d’instruction sur les facteurs humains (Doc 9683) pour un examen complet de la performance humaine dans les ATS.
17-APP 1-1
2) la convivialité des logiciels, y compris leur flexibilité pour s’adapter à des situations dynamiques ;
3) l’utilisation de l’automatisation ;
d) problèmes de transfert d’informations :
1) l’encombrement des fréquences ;
2) la confusion d’indicatifs d’appel ;
3) les anticipations auditives ;
4) la compréhension de la langue et l’accent ;
5) l’utilisation d’une terminologie non normalisée ;
e) facteurs liés à la charge de travail :
1) le volume et la complexité du trafic ;
2) le nombre de secteurs utilisés ;
3) la conscience de la situation (maintenir une « vue d’ensemble ») ;
4) les modèles mentaux utilisés dans le processus décisionnel (par ex. règles empiriques) ;
5) le temps écoulé depuis la dernière pause ;
6) l’incidence du travail par équipes, des horaires et des heures supplémentaires ;
7) la fatigue chronique ;
f) facteurs organisationnels :
1) la culture de la sécurité au sein de l’entreprise ;
2) l’approche du travail en équipe (et l’utilisation de la gestion des ressources en équipe [TRM]) ;
3) la pertinence de la formation ;
4) l’expérience, la compétence et l’actualité des connaissances du contrôleur ;
5) la qualité de la supervision de première ligne ;
6) la relation entre les contrôleurs et la direction ;
7) la normalisation effective des procédures et de la terminologie ;
8) le contrôle efficace des opérations quotidiennes.
2. Comme le trafic continue à augmenter en volume et en complexité, les superviseurs ATS, les
enquêteurs travaillant sur des occurrences ATS et les directeurs de la sécurité vont devoir renforcer leur
connaissance des effets de ces facteurs humains sur la performance du personnel ATS.
————————
ÉVALUATION DES RISQUES DES PROCÉDURES ATS
1. OBJET
1.1 L’évaluation des procédures ATS vise à apporter la garantie que, dans la mesure du possible, les
dangers potentiels associés au contrôle des aéronefs ont été identifiés et les mesures d’atténuation des
risques associés à ces dangers ont été mises en œuvre.
1.2 Le présent appendice donne des indications générales sur les processus d’identification des
dangers et d’évaluation des risques qui sont utiles pour élaborer ou modifier des procédures ATS.
2. IDENTIFICATION DES DANGERS (HAZid)
2.1 L’HAZid est une technique descendante, relativement complète, qui décompose les activités liées
à la mise en œuvre des procédures ATS en composantes plus petites et identifie leurs modes potentiels de
défaillance et l’incidence de ces derniers sur la sécurité des services ATS. La technique HAZid est spécifi-
quement utilisée pour identifier :
a) Les dangers liés aux services ATS. Un danger est défini comme une source de préjudice potentiel
ou une situation pouvant entraîner des pertes. Les dangers fondamentaux liés aux services ATS
comprennent :
1) les abordages en vol ;
2) les collisions au sol ;
3) les rencontres des turbulences de sillage ;
4) les événements liés aux turbulences ;
5) les impacts avec le sol.
b) Les scénarios dangereux. Par scénario dangereux, on entend le danger spécifique à l’examen.
Par exemple, lorsqu’on étudie le danger d’abordage en vol à un aéroport, les scénarios dangereux
pourraient être :
1) un abordage entre un aéronef en partance et un aéronef à l’arrivée ;
2) un abordage entre des aéronefs sur des approches parallèles.
c) Les événements déclencheurs. On entend par événements déclencheurs, les raisons génériques
pouvant entraîner la concrétisation du scénario dangereux. Il peut s’agir d’une déviation par rapport
à une trajectoire de vol. Par exemple, divers événements déclencheurs peuvent mener à un scénario
17-APP 2-1
dangereux d’abordage en vol entre un aéronef en partance et un aéronef à l’arrivée : un aéronef

peut ne pas respecter une restriction d’altitude ou un aéronef peut dévier par rapport à une SID ou
une STAR.
d) Les causes des dangers. Les causes des dangers décrivent le démarrage des événements
déclencheurs. Les événements déclencheurs peuvent découler d’influences extérieures, d’erreurs
humaines, de défaillances des équipements ou d’erreurs dans la conception des procédures,
susceptibles de déclencher une chaîne d’événements pouvant engendrer un danger. Lorsqu’un
aéronef s’écarte d’une SID, la cause pourrait être une défaillance des équipements, telle qu’une
défaillance du système de contrôle, ou une erreur humaine, telle que la sélection par le pilote de la
mauvaise SID dans le système de gestion de vol (FMS).
e) Les facteurs de récupération. Les facteurs de récupération désignent les systèmes disponibles
pour prévenir ou réduire la probabilité que des événements déclencheurs ne se transforment en
scénarios dangereux. Pour un abordage en vol, les facteurs de récupération comprennent la
fourniture de services ATC, l’utilisation du TCAS, la règle « voir et éviter » pour le pilote et la
géométrie de la trajectoire de vol.
f) L’échec des facteurs de récupération. Il se peut que les facteurs de récupération ne parviennent
pas à prévenir un abordage en vol. Les échecs des facteurs de récupération pour le TCAS
pourraient être dus à l’absence de transpondeur sur un des aéronefs ou à l’absence de réaction du
pilote aux alertes.
2.2 La méthode HAZid utilise des mots-clés ou prompteurs pour générer systématiquement des écarts
possibles par rapport à la norme pour les tâches ATS et tâches de vol. La procédure examine ensuite l’effet
de chaque écart sur la sécurité liée aux services ATS.
Influences extérieures
2.3 La technique HAZid commence par envisager les influences extérieures sur un seul aéronef sur
une trajectoire fixe. Ces sources d’influences extérieures pourraient être, par exemple :
a) météorologiques ;
b) topographiques ;
c) environnementales ;
d) humaines.
Déviations possibles par rapport à une trajectoire planifiée
2.4 Une fois que les influences extérieures sur la sécurité des vols sont identifiées et enregistrées, la
technique HAZid envisage les déviations possibles par rapport à la trajectoire de vol planifiée et analyse
dans quelle mesure ces déviations peuvent être causées par des événements opérationnels internes. De
telles déviations peuvent devenir des événements déclencheurs de scénarios dangereux. Les sources
habituelles d’événements opérationnels internes sont notamment :
a) la séparation ATC ;
Chapitre 17. Services de la circulation aérienne (ATS) — Appendice 2 17-APP 2-3
b) les aides à la navigation ;
c) la conception de l’aérodrome — les pistes ;
d) la conception de l’espace aérien ;
e) la conception et la maintenance des aéronefs ;
f) l’exploitation des aéronefs.
2.5 Les mots-clés ou prompteurs sont utilisés pour identifier de façon systématique les déviations
possibles par rapport aux trajectoires de vol planifiées. Les déviations possibles sont examinées en
envisageant, de façon ascendante, les éléments suivants :
a) Les procédures en vigueur. Les procédures en vigueur concernent la conception de l’espace

aérien et des aéroports, les procédures ATC et les procédures de vol. Ces procédures peuvent
mener à des scénarios dangereux sans défaillances complémentaires des systèmes. En d’autres
termes, les scénarios dangereux peuvent se concrétiser sans qu’il n’y ait déviation par rapport aux
trajectoires de vol normales. Par exemple, la zone tampon de séparation verticale pour la limite
inférieure de la région de contrôle peut être de 150 m (500 ft). Toutefois, l’espacement de turbulence
de sillage s’applique lorsqu’un aéronef opère jusqu’à 300 m (1 000 ft) au-dessous.
b) Tâches humaines. Les tâches humaines peuvent échouer en raison de divers types d’erreur
humaine. C’est un domaine spécialisé de l’analyse et il faudrait demander des conseils aux
spécialistes appropriés des facteurs humains.
c) Fonctionnalité des équipements. L’analyse des modes et des effets des pannes (FMEA) est
normalement utilisée pour analyser les influences des défaillances des équipements sur le système
ATS. Cette méthode s’applique au niveau fonctionnel, à tous les équipements ATS, aux
équipements embarqués de communication, et aux équipements de navigation, de surveillance, de
commandes de vol et du groupe motopropulseur.
d) Facteurs géométriques. Il peut exister d’autres facteurs non liés à une erreur humaine ou à une
défaillance des équipements mais nécessaires pour qu’un danger se concrétise. Il s’agit généralement
de la description de la géométrie de la rencontre.
3. ANALYSE DES DANGERS
3.1 Une fois les dangers spécifiques identifiés, plusieurs techniques permettent de les évaluer sur les
plans qualitatif et quantitatif. L’application de certaines techniques requiert des compétences spécialisées.
Généralement, le processus d’analyse des dangers comprend :
a) l’élaboration de fiches de défaillances ;
b) l’élaboration d’arbres de défaillances ;
c) l’évaluation quantitative de la probabilité d’une erreur humaine, d’une défaillance d’équipement

et de facteurs opérationnels.
Fiches de défaillances
3.2 Les fiches de défaillances sont utilisées pour enregistrer les résultats du processus HAZid pour
chaque scénario dangereux. Un exemple de scénario dangereux pourrait être un abordage en vol entre un
aéronef en partance et un aéronef à l’arrivée lorsque l’aéronef à l’arrivée ne parvient pas à intercepter le
radiophare d’alignement.
3.3 L’événement déclencheur de ce scénario serait que l’aéronef à l’arrivée se dirige vers la trajectoire
de vol de l’aéronef en partance. La fiche de défaillance mentionnerait les causes possibles de l’événement
déclencheur, notamment des défaillances des équipements embarqués ou au sol, et une erreur humaine
commise soit par le pilote soit par l’ATC (par exemple, une erreur d’indicatif d’appel). Les facteurs de
récupération comprennent les défenses existantes ou absentes, destinées à réduire la probabilité qu’un
événement déclencheur ne se transforme en scénario dangereux. Chaque facteur de récupération est
examiné afin d’établir pourquoi la survenance d’une telle situation n’a pu être évitée.
Arbres de défaillances
3.4 Les informations contenues dans les fiches de défaillances peuvent être utilisées pour élaborer un
arbre de défaillances. Le niveau d’analyse requis pour élaborer l’arbre de défaillances dépendra de la
situation. Toutefois, à titre d’indication générale, un modèle pessimiste simple devrait être utilisé au départ
pour déterminer la probabilité d’une erreur humaine, d’une défaillance des équipements et de facteurs
opérationnels et donc l’exposition à un risque opérationnel. Cette exposition au risque est alors comparée
aux critères de risque pour le niveau ciblé de sécurité. Si le modèle pessimiste donne un résultat inférieur
aux critères cibles, il n’est pas nécessaire d’affecter des ressources supplémentaires car ce résultat ne
modifiera en rien la décision relative à la gestion du risque.
Analyse des conséquences
3.5 Le calcul des pertes dans les évaluations des risques liés aux services ATS repose normalement
sur le nombre potentiel de morts qui puisse résulter de l’issue la plus dramatique possible. Par exemple, une
analyse simple des abordages en vol et des impacts avec le sol présuppose que toutes les personnes à
bord de l’aéronef mourront à la suite d’un abordage et de la plupart des impacts avec le sol.
4. ÉVALUATION DES RISQUES
4.1 Comme décrit au Chapitre 6, une phase clé de la gestion des risques concerne l’évaluation des
risques identifiés. Des évaluations formelles des risques doivent être effectuées :
a) lorsque les procédures ATS subissent des modifications importantes par rapport aux opérations
actuelles ;
b) lorsque les équipements utilisés pour exécuter les tâches ATS subissent des modifications impor-
tantes par rapport à la situation existante ;
c) lorsque des changements de circonstances, tels qu’une augmentation des volumes de trafic et des
différences dans les performances des aéronefs, révèlent que les procédures existantes pourraient
ne pas être appropriées.
4.2 Le Tableau 17-APP 2-1 présente plusieurs étapes permettant d’évaluer les risques inhérents aux
dangers rencontrés dans les procédures ATS.
Tableau 17-APP 2-1. Procédures d’évaluation des risques ATS
Étape 1 Déterminer si la modification entraîne un changement des procédures de contrôle, une

modification des équipements ou les deux.
Étape 2 Décomposer les procédures en composantes gérables. Par exemple, les procédures de
contrôle pourraient être subdivisées en :
a) transfert des procédures de contrôle ;
b) procédures de coordination ;
c) procédures radar ;
d) procédures d’attente ;
e) procédures de contrôle de la vitesse ;
f) procédures d’approche décalée.
Les procédures des utilisateurs des équipements pourraient être subdivisées en :
a) procédures d’installation ;
b) opérations en conditions normales et en conditions d’urgence ;
c) opérations dans des conditions de défaillance partielle ou totale des équipements.
Étape 3 Identifier les dangers potentiels qui affectent la capacité de maintenir une séparation sûre. La
meilleure manière de procéder est de se demander, pour chacune des subdivisions de
l’Étape 2, quels problèmes pourraient se produire et ce qui se passerait si… Il est nécessaire
d’envisager l’incidence de la procédure sur tous les niveaux de capacité et d’expérience des
contrôleurs.
Étape 4 Identifier les circonstances ou séquences d’incidents dans lesquelles un danger pourrait
survenir ainsi que la probabilité d’une occurrence. Une fois la probabilité et les conséquences
d’une occurrence envisagées, certains dangers identifiés pourront être écartés comme
irréalistes. Les raisons pour lesquelles ils ont été écartés doivent être consignées par écrit.
Étape 5 Évaluer la gravité du danger.
Étape 6 Examiner les circonstances du danger et de l’incident et identifier les mesures essentielles et
souhaitables qui, une fois mises en œuvre, atténueront ou élimineront le danger.
Analyse des risques
4.3 Le risque est calculé comme étant le produit de la probabilité d’un événement dangereux et des
conséquences de la concrétisation de cet événement. L’analyse des risques peut être quantitative ou qualitative
selon les informations et données disponibles sur les risques, l’ampleur du danger et d’autres facteurs.
L’utilisation de données quantitatives permet de clarifier la plupart des décisions et devrait être utilisée
lorsque ces données sont disponibles, mais certains des facteurs les plus importants dans la prise d’une
décision peuvent être difficiles à quantifier. (Souvent, lorsqu’on examine les personnes et les procédures
associées à la fourniture d’un service de séparation, les descriptions qualitatives et échelles de comparaison
sont les seuls éléments concrets disponibles.) Il faudrait veiller à aussi prendre ces facteurs-là en considération.
Gestion des risques
4.4 Les principes et étapes de la gestion des risques ont été expliqués au Chapitre 6. La direction doit
décider si :
a) le risque est si grand qu’il doit être carrément refusé ;
b) le risque est, ou a été rendu, si petit qu’il est insignifiant (toutefois, toute mesure qui atténue le
risque en n’exigeant que peu d’efforts ou de ressources doit être mise en œuvre) ;
c) le risque se situe entre les états a) et b) et a été réduit au niveau le plus faible que l’on puisse
atteindre compte tenu des avantages découlant de son acceptation et des coûts de toute mesure
supplémentaire d’atténuation.
————————
GESTION DES MENACES ET DES ERREURS (TEM)

DANS LES ATS
1. GÉNÉRALITÉS
Dans le cadre du modèle TEM, une menace n’est pas un problème en soi mais elle peut en devenir un si
elle n’est pas gérée convenablement. Toutes les menaces ne génèrent pas des erreurs et toute erreur ne
mène pas à une situation indésirable, mais la possibilité existe et devrait donc être reconnue. Par exemple,
des visiteurs dans une salle de contrôle aérien sont une « menace » : leur présence ne constitue pas en soi
une situation dangereuse mais si les visiteurs engagent une conversation avec l’équipe des contrôleurs ATC
ou distraient ceux-ci de toute autre manière, ils pourraient amener le contrôleur à commettre une erreur.
Une fois reconnue comme une menace, cette situation pourra être gérée en connaissance de cause par les
contrôleurs, ce qui réduira au minimum ou préviendra toute distraction et n’entraînera donc pas de réduction
des marges de sécurité dans le contexte opérationnel.
2. CATÉGORIES DE MENACES DANS LE CONTRÔLE

DE LA CIRCULATION AÉRIENNE
2.1 Les menaces dans les services ATC peuvent être groupées en quatre grandes catégories :
a) internes au fournisseur de services ATS ;
b) externes au fournisseur de services ATS ;
c) en vol ;
d) environnementales.
2.2 Comme la conscience de ces menaces contribue au déploiement de contre-mesures individuelles

et organisationnelles afin de maintenir les marges de sécurité pendant des opérations ATC normales, les
paragraphes suivants exposent les sources et la nature des circonstances qui « menacent » la sécurité des
services de la circulation aérienne.
Menaces internes au fournisseur de services ATS
2.3 L’équipement est une source fréquente de menaces pour l’ATC. Défaillances et compromis de
conception comptent parmi les situations auxquelles les contrôleurs doivent faire face à des degrés divers
pendant les opérations quotidiennes. D’autres menaces entrant dans cette catégorie concernent l’éventuelle
mauvaise qualité des communications radio et le fonctionnement parfois défectueux des connexions
téléphoniques avec d’autres centres ATC. La saisie de données dans des systèmes automatisés peut
devenir une menace si l’entrée souhaitée est rejetée par le système et que le contrôleur doit trouver la
raison de ce rejet et le remède à cette situation. Le manque d’équipements adéquats est une menace pour
17-APP 3-1
les installations ATC dans de nombreuses parties du monde. Une menace importante pour les services ATC
est la réalisation de travaux de maintenance (prévus ou non) pendant les opérations ATC normales. En
outre, les activités de maintenance peuvent générer des menaces qui ne se manifestent que lorsque
l’équipement concerné est remis en service.
2.4 Les facteurs liés à l’espace de travail comprennent l’éblouissement, les reflets, la température
de la salle, les chaises non ajustables, le bruit de fond, etc. Le travail du contrôleur est plus difficile si
l’éclairage de la pièce se reflète dans les écrans. Un contrôleur de la tour peut éprouver des difficultés à
percevoir visuellement le trafic la nuit si l’éclairage intérieur se reflète dans les fenêtres de la tour. Un niveau
élevé de bruit de fond, provenant par exemple de ventilateurs nécessaires pour refroidir les équipements,
peut rendre la compréhension précise des messages radio entrants plus difficile. De même, il peut rendre
les messages sortants plus difficiles à comprendre par les destinataires.
2.5 Les procédures peuvent, elles aussi, constituer une menace pour l’ATC. Cette remarque s’applique
non seulement aux procédures de gestion du trafic mais aussi aux procédures de communication et/ou de
coordination interne et externe. Des procédures lourdes ou apparemment inutiles peuvent amener les
contrôleurs à opter pour des raccourcis en vue de faciliter le trafic, raccourcis qui risquent toutefois de
générer des erreurs ou des situations indésirables.
2.6 D’autres contrôleurs du même organisme peuvent être une menace aussi. Il se peut que des
propositions de solutions à des situations de trafic ne soient pas acceptées, que des intentions soient mal
comprises ou mal interprétées et que la coordination interne soit insuffisante. D’autres contrôleurs peuvent
se lancer dans des bavardages, ce qui peut détourner l’attention du trafic. Le contrôleur de relève peut être
en retard. Il se peut que d’autres contrôleurs de l’organisme gèrent le trafic avec moins d’efficacité que
prévu, de sorte qu’ils ne peuvent accepter le trafic supplémentaire qu’un contrôleur veut leur passer.
Menaces externes au fournisseur de services ATS
2.7 Le plan et la configuration de l’aéroport peuvent être une source de menaces pour les
opérations ATC. Un aéroport de base avec juste une voie de circulation courte reliant les aires de station-
nement au milieu de la piste obligera l’ATC à organiser une remontée de piste pour la majeure partie du
trafic à l’arrivée et en partance. Si une voie de circulation parallèle à la piste était disponible, avec des
intersections aux deux extrémités ainsi qu’entre ces extrémités, les aéronefs ne seraient pas contraints de
remonter la piste. Certains aéroports sont conçus et/ou exploités de telle manière que des traversées de
piste sont fréquemment nécessaires tant par des aéronefs circulant par leurs propres moyens que par des
aéronefs remorqués ou d’autres véhicules.
2.8 Une indisponibilité inattendue des aides à la navigation (par exemple en raison de travaux de
maintenance) peut constituer une menace pour l’ATC car elle peut entraîner un manque de précision dans
la navigation et avoir des répercussions sur la séparation des aéronefs. Les systèmes d’atterrissage aux
instruments (ILS) disponibles pour les deux sens de la même piste constituent un autre exemple de cette
catégorie de menaces. Normalement, seul un des ILS est actif, de sorte qu’en cas de changement de piste,
l’ILS destiné au sens de piste du moment peut ne pas encore être activé lorsque l’ATC autorise déjà un
aéronef à l’intercepter.
2.9 L’infrastructure/la conception de l’espace aérien est une autre source potentielle de menaces
pour l’ATC. Si l’aire de manœuvre est limitée, il devient plus difficile de gérer un volume élevé de trafic. Les
zones dangereuses ou réglementées qui ne sont pas actives en permanence peuvent constituer une
menace si les procédures pour communiquer le statut de ces zones aux contrôleurs sont inadaptées. La
fourniture d’un service ATC au trafic est moins exposée à des menaces dans un espace aérien de classe A
que, par exemple, dans un espace aérien de classe E, où du trafic inconnu peut interférer avec du trafic
contrôlé par l’ATC.
2.10 Les organismes adjacents. Les contrôleurs d’organismes adjacents peuvent oublier de coordonner
un transfert de trafic. Le transfert peut être coordonné correctement mais mal exécuté. Les limites de l’espace
aérien peuvent ne pas être respectées. Un contrôleur du centre adjacent peut ne pas accepter une
proposition de transfert non normalisé, ce qui force à trouver une autre solution. Des centres adjacents
peuvent ne pas être en mesure d’accepter la quantité de trafic qu’un organisme veut leur transférer. Il peut
survenir des difficultés linguistiques entre contrôleurs de différents pays.
Menaces en vol
2.11 Les pilotes qui ne connaissent pas bien l’espace aérien ou l’aéroport peuvent constituer une
menace pour l’ATC. Les pilotes peuvent ne pas signaler à l’ATC certaines manœuvres qu’ils peuvent avoir à
effectuer (par exemple éviter des phénomènes météorologiques), ce qui peut représenter une menace pour
l’ATC. Les pilotes oublient parfois de signaler avoir passé un point de cheminement ou une altitude, ou ils
peuvent déclarer faire quelque chose qu’ensuite ils ne feront pas. Dans le cadre du TEM, une erreur d’un
pilote est une menace pour l’ATC.
2.12 Performances des aéronefs. Les contrôleurs connaissent bien les performances normales de la
plupart des types ou catégories d’aéronefs qu’ils gèrent mais, parfois, les performances peuvent différer par
rapport aux attentes. Un Boeing 747 avec une destination proche du point de départ effectuera une montée
beaucoup plus rapide et raide que si sa destination était lointaine. Il lui faudra aussi un roulement au
décollage plus court. Certains aéronefs à turbopropulseurs de la nouvelle génération auront des perfor-
mances supérieures à celles des avions à réaction moyens dans les premières phases suivant le décollage.
Les versions dérivées de types d’aéronefs peuvent avoir une vitesse d’approche finale nettement plus
élevée que les versions antérieures.
2.13 Communications de radiotéléphonie. Les erreurs de collationnement commises par des pilotes
sont des menaces pour l’ATC. (De même, une erreur d’écoute commise par un contrôleur est une menace
pour le pilote.) Les procédures de communications par radiotéléphonie sont conçues pour détecter et
corriger de telles erreurs (donc pour éviter des menaces) mais, dans la pratique, elles ne fonctionnent pas
toujours parfaitement. Les communications entre les pilotes et les contrôleurs peuvent être compromises
par des problèmes linguistiques. L’utilisation de deux langues sur la même fréquence ou le partage d’une
même fréquence par deux organismes ATC ou plus est également considéré comme une menace relevant
de cette catégorie.
2.14 Les contrôleurs de la circulation aérienne connaissent bien les flux de trafic normaux dans leur
zone et la façon dont ces flux sont habituellement gérés. Un trafic supplémentaire, tel que des vols de
photographie aérienne, des levés aériens, des vols d’étalonnage (navaid), des activités de saut en
parachute, des vols de surveillance du trafic routier et des vols de remorquage de panneaux publicitaires,
constitue une menace pour la gestion du trafic normal. Plus tôt le contrôleur est au courant de ce trafic
supplémentaire, mieux il aura l’occasion de gérer cette menace de façon appropriée.
Menaces environnementales
2.15 La météo est sans doute la catégorie la plus courante de menaces pour tous les aspects de
l’aviation, y compris les opérations ATC. La connaissance des conditions météorologiques du moment et
des tendances prévues pour au moins la durée du service du contrôleur facilite la gestion de cette menace.
Par exemple, des changements de direction du vent peuvent entraîner des changements de pistes. Plus le
trafic est dense, plus le choix du moment d’un changement de piste devient crucial. Les contrôleurs
planifieront des stratégies pour que ce changement s’effectue en perturbant le moins possible le flux de
trafic. Pour les contrôleurs en route, la connaissance des zones de temps significatif permettra d’anticiper
des demandes de réacheminement ou de détour.
2.16 Une connaissance appropriée des phénomènes météorologiques locaux (par exemple des turbu-
lences au-dessus de terrains montagneux, des modes de formation de brouillard et l’intensité des orages)
et/ou de phénomènes météorologiques soudains, tels qu’un cisaillement du vent ou des microrafales, contribue
à une gestion réussie des menaces météorologiques.
2.17 Environnement géographique. Les menaces de cette catégorie comprennent le relief accidenté
ou des obstacles dans la zone de responsabilité du contrôleur. Des menaces moins évidentes peuvent
exister, notamment des zones résidentielles qu’il est interdit de survoler sous certaines altitudes ou pendant
certains créneaux horaires. Dans certains aéroports, des changements de pistes sont obligatoires à des
heures spécifiques de la journée pour des raisons environnementales.
3. ERREURS DANS LE CONTRÔLE DE LA CIRCULATION AÉRIENNE
3.1 Les erreurs peuvent être définies ici comme des « actions ou défauts d’agir de la part d’un ATCO
qui mènent à des écarts par rapport aux intentions ou aux attentes de l’organisation ou de l’ATCO ». Des
erreurs non gérées et/ou mal gérées mènent fréquemment à des situations indésirables. Les erreurs
commises dans le contexte opérationnel tendent donc à réduire les marges de sécurité et à augmenter la
probabilité d’événements indésirables.
3.2 Les erreurs peuvent être spontanées (c’est-à-dire sans lien direct avec des menaces spécifiques,
évidentes), liées à des menaces ou elles peuvent faire partie d’une chaîne d’erreurs. Voici quelques
exemples d’erreurs : non-détection d’une erreur de collationnement de la part d’un pilote ; autorisation d’un
aéronef ou d’un véhicule à utiliser une piste déjà occupée ; sélection d’une fonction inappropriée dans un
système automatisé ; erreurs de saisie de données.
4. SITUATIONS INDÉSIRABLES DANS LE CONTRÔLE

DE LA CIRCULATION AÉRIENNE
Les situations indésirables se définissent comme des « conditions opérationnelles où une situation de trafic
non voulue entraîne une réduction des marges de sécurité ». Les situations indésirables découlant d’une
gestion inefficace d’une menace et/ou d’une erreur peuvent mener à des situations périlleuses et réduire les
marges de sécurité des opérations ATC. Souvent considérées comme la dernière étape avant un incident
ou un accident, les situations indésirables doivent être gérées par les ATCO. Voici quelques exemples de
situations indésirables : un aéronef monte ou descend à un niveau où il ne devrait pas se trouver ou un
aéronef tourne dans une direction contraire à celle qu’il devrait prendre. Des événements tels que des
défaillances d’équipements ou des erreurs des équipages de conduite peuvent aussi réduire les marges de
sécurité des opérations ATC, mais ces erreurs-là seraient considérées comme des menaces. Une gestion
efficace des situations indésirables entraînera un rétablissement des marges de sécurité ; dans le cas
contraire, la réaction de l’ATCO peut engendrer une erreur supplémentaire, un incident ou un accident.
Une situation indésirable est souvent, pour le contrôleur, le premier indice

qu’une menace ou une erreur antérieure n’a pas été gérée
de façon appropriée.
5. CONTRE-MESURES EN CAS DE MENACES OU D’ERREURS
5.1 Dans le cadre de l’exécution normale de leurs tâches opérationnelles, les ATCO utilisent des
contre-mesures pour éviter que des menaces, erreurs et situations indésirables ne réduisent les marges de
sécurité des opérations ATC. Parmi les exemples de contre-mesures, citons les listes de vérification, les
briefings et les SOP, ainsi que des stratégies et tactiques personnelles. Les équipages de conduite
consacrent beaucoup de temps et d’énergie à appliquer des contre-mesures pour garantir le maintien des
marges de sécurité pendant les vols. Des observations empiriques effectuées pendant la formation et des
vérifications donnent à penser que jusqu’à 70 % des activités des équipages de conduite peuvent être liées
à l’application de contre-mesures. Un scénario similaire s’applique probablement à l’ATC.
5.2 Toutes les contre-mesures sont nécessairement des actions des ATCO. Toutefois, certaines
contre-mesures utilisées par les ATCO pour gérer des menaces, des erreurs et des situations indésirables
reposent sur des ressources « concrètes », fournies par le système aéronautique. Ces ressources sont déjà
présentes dans le système avant que les ATCO ne se présentent à leur poste et sont dès lors considérées
comme des contre-mesures à base systémique. Parmi les exemples de ressources « concrètes » que les
ATCO utilisent comme contre-mesures à base systémique, citons :
a) l’avertissement d’altitude minimale de sécurité (MSAW) ;
b) l’avertissement de conflit à court terme (STCA) ;
c) les SOP ;
d) les briefings ;
e) la formation.
5.3 D’autres contre-mesures sont plus directement liées à la contribution humaine à la sécurité des
opérations ATC. Il s’agit de stratégies et tactiques personnelles, ainsi que de contre-mesures individuelles et
d’équipe, qui comprennent généralement les aptitudes, connaissances et attitudes qui ont été examinées de
façon approfondie et acquises au fil de la formation sur les facteurs humains et surtout de la formation en
TRM.
6. INTÉGRER LE MODÈLE TEM DANS LA GESTION DE LA SÉCURITÉ
6.1 La distinction entre les différentes catégories de menaces peut paraître futile aux yeux des
contrôleurs d’exploitation : les menaces existent et il faut les gérer au quotidien pendant les heures de
service. Les directeurs de la formation, par contre, peuvent souhaiter déterminer quelles catégories de
menaces sont abordées dans le programme de leur organisme (bien qu’elles ne soient fort probablement
pas présentées comme des menaces pendant la formation). Certaines de ces menaces sont souvent
abordées d’une façon moins formelle, notamment sous la forme d’informations empiriques pendant une
formation en cours d’emploi.
6.2 Citons, à titre d’exemple, le cas d’un aéroport ayant un plan élémentaire, où la remontée de la
piste est requise pour des mouvements. Les contrôleurs travaillant à cet aéroport auront reçu la formation
(en salle de cours, dans le simulateur ou en cours d’emploi) qui leur permet de contrôler le trafic à cet
aéroport et ils auront l’habitude de gérer cette menace. Néanmoins, chaque remontée de piste par un
aéronef constitue une menace pour les opérations ATC et doit être gérée par les contrôleurs.
6.3 Du point de vue d’un directeur de la sécurité ATC, il est important de savoir comment cette
menace spécifique est gérée par les contrôleurs au quotidien. Sont-ils capables de la gérer sans problèmes
majeurs ou les difficultés posées par la gestion de cette menace sont-elles si courantes qu’elles ne sont pas
signalées ? Dans le premier cas, il ne serait sans doute pas nécessaire que le directeur de la sécurité
prenne des mesures spécifiques. Dans le deuxième cas, il est manifestement nécessaire de prendre des
mesures de gestion de la sécurité.
Chapitre 18
EXPLOITATION TECHNIQUE DES AÉRODROMES
18.1 SÉCURITÉ DES AÉRODROMES — GÉNÉRALITÉS
18.1.1 La sécurité, la régularité et l’efficacité des opérations aériennes aux aérodromes revêtent une
importance capitale. C’est pourquoi l’Annexe 14, Volume I, exige que les États certifient les aérodromes
utilisés pour les vols internationaux et recommande la certification des aérodromes ouverts au public. Le
processus de certification des aérodromes comprend l’approbation/acceptation d’un manuel d’aérodrome qui
décrit le système de gestion de la sécurité (SGS) de l’aérodrome. Si un accident catastrophique pendant les
opérations au sol relève du possible, un accident mineur pendant que l’aéronef est au sol, surtout pendant une
escale, est, quant à lui, assorti d’une probabilité élevée. Chaque année, des exploitants d’aéronefs subissent
de lourdes pertes financières à la suite d’accidents survenus pendant les opérations au sol.
18.1.2 Les accidents et incidents survenant en vol font généralement l’objet de comptes rendus
détaillés et d’enquêtes. Par contre, les accidents au sol ne reçoivent pas toujours le même degré d’attention.
Les exploitants, locataires et prestataires de services basés à l’aérodrome ne signalent pas toujours les
accidents et incidents mineurs à la direction de l’aérodrome. Or, ces accidents et incidents mineurs peuvent
être le terreau d’accidents plus graves (voir au Chapitre 4, les paragraphes 4.4.16 à 4.4.18 relatifs à la règle
1/600). Pour assurer une gestion efficace de la sécurité, il est crucial de comprendre les circonstances qui
génèrent des dangers pour la sécurité aéroportuaire.
18.1.3 Aérodromes et opérations aériennes requièrent pratiquement la même approche de la gestion

de la sécurité. En effet, la concentration de nombreuses activités différentes aux aérodromes crée des
circonstances très spécifiques, assorties d’un haut potentiel d’accident.
18.1.4 Les événements au sol doivent être examinés dans le contexte général de l’exploitation
technique des aérodromes. Les aérodromes rassemblent un mélange dynamique d’activités à haut potentiel
de risque. Parmi les facteurs qui participent à ce potentiel de risque, citons :
a) le volume et la complexité du trafic (vols nationaux et internationaux, réguliers et non réguliers, vols
d’affrètement et services spéciaux, aviation commerciale et de loisir, aéronefs à voilure fixe et à
voilure tournante, etc.) ;
b) la vulnérabilité de l’aéronef au sol (peu maniable, fragile, etc.) ;
c) l’abondance de sources à haute énergie (y compris les souffles de réacteurs, les hélices, les carbu-
rants, etc.) ;
d) des conditions météorologiques extrêmes (températures, vents, précipitations et mauvaise visibilité) ;
e) les dangers posés par la faune sauvage (oiseaux et animaux) ;
f) le plan de l’aérodrome (surtout les itinéraires sur les voies de circulation, l’encombrement des aires
de trafic, la conception des bâtiments et structures limitant la visibilité directe, ce qui peut
éventuellement entraîner une incursion sur piste) ;
18-1
g) l’insuffisance des aides visuelles (par ex. la signalisation, le marquage et les dispositifs lumineux) ;
h) la non-adhésion aux procédures en vigueur (surtout à des aérodromes non contrôlés) ;
i) les véhicules sur les aires de trafic ;
j) les problèmes de transfert d’informations (communications) avec les personnes opérant côté piste ;
k) l’utilisation des pistes (y compris l’utilisation simultanée de pistes multiples, les départs à partir d’une
intersection et les pistes préférentielles) ;
l) le contrôle des opérations au sol et sur les aires de trafic (parfois compromis par l’encombrement
des fréquences, l’utilisation d’une terminologie non normalisée, des difficultés linguistiques, des
erreurs d’indicatifs d’appel, etc.) ;
m) l’insuffisance et le manque de fiabilité des aides visuelles et non visuelles à l’approche ;
n) les limitations de l’espace aérien (topographie, obstacles, exigences de réduction du bruit, etc.) ;
o) les questions de sûreté ;
p) les activités de construction sur un aérodrome opérationnel ;
q) les procédures de développement des capacités et l’utilisation d’installations existantes non

conçues pour les générations d’aéronefs les plus récentes.
18.1.5 Dans son contexte opérationnel, l’aérodrome fournit une gamme de services divers pour soutenir
les opérations aériennes. En voici quelques exemples :
a) planification des vols, y compris les services météorologiques ;
b) aides à la navigation, à l’approche et à l’atterrissage ;
c) services de communication ;
d) contrôle de la circulation aérienne, des opérations au sol et sur les aires de trafic ;
e) maintenance des pistes et des aires de trafic (y compris le déneigement et dégivrage, le contrôle
des oiseaux et des animaux sauvages, l’élimination des FOD, etc.) ;
f) entretien des avions de tous types ;
g) sûreté aéroportuaire ;
h) services d’intervention d’urgence de l’aérodrome (c’est-à-dire services de lutte contre les incendies
et de sauvetage) ;
i) gestion des locataires (exploitants d’aéronefs, sous-traitants prestataires de services, etc.) ;
j) gestion de la clientèle (passagers, affréteurs, etc.).

Chapitre 18. Exploitation technique des aérodromes 18-3
18.1.6 Vu la complexité de l’environnement aéroportuaire, une approche systématique de la sécurité

est requise afin de coordonner les différentes activités en vue d’assurer une fourniture sûre de services. Un
SGS offre ce type d’approche cohérente. Il permet d’élaborer la philosophie de la sécurité et les politiques
connexes, de coordonner et mettre en œuvre les procédures opérationnelles et de surveiller, de façon
systématique, les pratiques opérationnelles quotidiennes. Bref, un SGS contribue à créer, au sein de
l’aérodrome, une culture de la sécurité propice à une exploitation sûre.
18.2 CADRE RÉGLEMENTAIRE
Exigences de l’OACI en matière de gestion de la sécurité des aérodromes
18.2.1 Les SARP concernant la mise en œuvre de SGS par les exploitants d’aérodromes figurent
dans l’Annexe 14 — Aérodromes, Volume I — Conception et exploitation technique des aérodromes. Le
Chapitre 1, Section 1.4, exige que le manuel d’aérodrome soumis pour approbation et en vue de l’octroi d’un
certificat d’aérodrome contienne des précisions sur le SGS de l’aérodrome.
18.2.2 Le Manuel sur la certification des aérodromes (Doc 9774) présente, à l’Appendice 1, les
e
renseignements à inclure dans le manuel d’aérodrome. La 5 Partie de cet appendice énumère les
caractéristiques essentielles d’un SGS d’aérodrome.
18.2.3 Le Doc 9774 stipule que le SGS de l’exploitant d’aérodrome doit couvrir la politique de sécurité,
la structure de l’organisation et des responsabilités en matière de sécurité incombant aux individus et au
groupe, la fixation des objectifs de performance en matière de sécurité et les systèmes d’évaluation et
d’audit de sécurité internes, en vue de garantir et de démontrer la mise en place de mécanismes de contrôle
de l’exploitation.
Responsabilités des États
18.2.4 La mise en œuvre des dispositions de l’OACI a des implications à la fois pour les exploitants
d’aérodromes et pour l’organe national de réglementation. De plus en plus, les aérodromes sont exploités
comme des entreprises privées ou privatisées, qui ne sont pas placées sous le contrôle direct de l’État.
Toutefois, l’État, en tant que signataire de la Convention de Chicago, est responsable de la mise en œuvre
des SARP de l’OACI. Les principes de gestion de la sécurité décrits dans le présent manuel ne remplacent
pas l’obligation de respecter les SARP de l’OACI et/ou les réglementations nationales mais font office
d’éléments indicatifs.
18.2.5 Pour assumer sa responsabilité, l’État doit instaurer les dispositions législatives et
réglementaires nécessaires pour exiger des exploitants d’aérodromes qu’ils mettent en œuvre des pratiques
et procédures systématiques de gestion de la sécurité. Les États devront aussi mettre en place des
mécanismes appropriés de supervision afin de garantir que les fournisseurs respectent ces exigences
législatives et réglementaires et maintiennent un niveau acceptable de sécurité dans leurs opérations. La
mise en place d’un cadre réglementaire est décrite dans le Doc 9774.
18.2.6 Les États doivent créer au sein de l’AAC un organe chargé de veiller au respect des exigences
concernant les aérodromes. La structure organisationnelle et la dotation en personnel de cet organe (parfois
appelé Direction des normes et de la sécurité des aérodromes [DASS]) devraient être adaptées à
l’environnement national et à la complexité du système de l’aviation civile. Le Doc 9774 décrit en détail la
création et les responsabilités d’une DASS.
18.2.7 Lorsque la fonction de réglementation et l’exploitation d’un aérodrome sont soumises au

contrôle d’un seul organe (par exemple un département de l’administration ou une autorité gouvernementale),
il est très important qu’une distinction claire soit maintenue entre ces deux fonctions, à savoir la supervision
de la sécurité et la fourniture du service.
18.2.8 Le programme national de sécurité des aérodromes peut être perçu comme s’articulant autour
de deux composantes : une fonction de réglementation et de supervision de la sécurité, qui sera toujours de
la responsabilité directe de l’État, et une composante de gestion de la sécurité, mise en œuvre par le biais
des SGS des exploitants d’aérodromes.
Modalités de respect des obligations légales
18.2.9 Comme exposé au Chapitre 3, l’État peut jouer un rôle actif dans le respect de ses obligations
légales, en supervisant étroitement toutes les activités de l’exploitant d’aérodrome ayant un lien avec la
sécurité, ou un rôle passif, en vertu duquel une plus grande part de responsabilité est déléguée à l’exploitant
d’aérodrome, l’État conservant les responsabilités de supervision. Il y aurait de nombreux avantages à
adopter un système national de réglementation qui se situerait entre ces deux extrêmes et qui devrait :
a) offrir une répartition équilibrée des responsabilités entre l’État et l’exploitant d’aérodrome pour
garantir une exploitation sûre de l’aérodrome ;
b) se justifier du point de vue économique, dans le cadre des ressources de l’État ;
c) permettre à l’État de continuer à assurer la réglementation et la supervision des activités des

exploitants d’aérodromes sans entraver indûment le rôle de direction et de contrôle assumé par les
exploitants d’aérodromes au sein de leurs organisations respectives ;
d) entraîner la mise en place et le maintien de relations harmonieuses entre l’État et les exploitants
d’aérodromes.
18.3 GESTION DE LA SÉCURITÉ DES AÉRODROMES
18.3.1 Traditionnellement, les aérodromes étaient la propriété de l’État, qui en assurait aussi l’exploi-
tation. Cette situation évolue de plus en plus, à mesure que les aérodromes sont transformés en sociétés
(ou privatisés) et que la gestion est transférée des agents de l’État aux autorités aéroportuaires ou à des
entités privées. Toutefois, que l’aérodrome soit géré par l’État ou par une entité privée, la sécurité reste une
préoccupation prioritaire. Un SGS solide peut faciliter une exploitation sûre des aéronefs sur un aérodrome.
Toutefois, l’adoption d’un SGS n’élimine pas la nécessité de respecter les SARP de l’Annexe 14, Volume I,
et les réglementations nationales en vigueur. Dans le cadre d’un SGS aéroportuaire, il incombe à la
direction d’aérodrome de superviser les activités de tous les prestataires de services, locataires, sous-
traitants et autres afin d’assurer l’exploitation la plus sûre et la plus efficace possible de l’aérodrome.
18.3.2 Pour assurer l’efficacité du SGS aéroportuaire, il faut d’abord que l’entreprise ait une connais-
sance solide du secteur aéronautique. La direction de l’aérodrome doit promouvoir une culture positive de la
sécurité. Le résultat dépendra de divers facteurs, dont les ressources affectées à la gestion de la sécurité,
les mécanismes de retour d’information mis en place et leurs modalités de gestion au quotidien, la
promotion du partage des informations liées à la sécurité entre les divers acteurs participant à l’exploitation
de l’aérodrome et une volonté constante d’amélioration.
18.3.3 Les Chapitres 12 à 15 donnent des éléments indicatifs sur les principes et pratiques qui
président à la mise en place d’un SGS efficace. Les dix étapes énoncées au Chapitre 12 s’appliquent
également aux aérodromes.
Portée de la gestion de la sécurité des aérodromes
18.3.4 Un SGS aéroportuaire ne peut que fournir un moyen de contrôler les dangers qui trouvent leur
origine dans le système aéroportuaire ou qui pourraient être favorisés par certains aspects du système
aéroportuaire.
18.3.5 À titre d’exemple de ce dernier cas, le système de sécurité aéroportuaire ne peut directement
remédier aux causes d’un atterrissage d’urgence dû à une défaillance de systèmes d’un aéronef ; il ne peut
en fait que s’attaquer aux conséquences d’un atterrissage d’urgence à cet aérodrome. Toutefois, il est
important que les procédures d’aérodrome pour la gestion des urgences n’aggravent pas la situation
d’urgence.
18.3.6 Dans le présent manuel, le terme Système d’aérodrome couvre non seulement toutes les
personnes, technologies et procédures requises pour l’exploitation d’un aérodrome mais aussi les interfaces
entre elles.
Le SGS de l’exploitant d’aérodrome
18.3.7 S’il incombe à l’État de promulguer les dispositions législatives et réglementaires appropriées
concernant les aérodromes, c’est néanmoins l’exploitant d’aérodrome qui est responsable de la gestion
quotidienne de l’aérodrome.
18.3.8 Vu la complexité des facteurs créant un potentiel de risque aux aérodromes, la direction de
l’aérodrome doit coordonner les activités des divers intervenants présents à l’aérodrome, qui ont souvent
des attentes et des priorités contradictoires. Il faut encourager le partage d’un objectif commun entre ces
intervenants, dont la majorité relèvent d’organismes autres que l’autorité aéroportuaire. En outre, il faut
obtenir des promesses d’affectation de ressources de la part des compagnies aériennes et d’autres
prestataires de services.
18.3.9 Pour instaurer un SGS aéroportuaire, il faut tout d’abord élaborer des politiques de sécurité et
procédures opérationnelles appropriées. Ces politiques et procédures opérationnelles ont plus de chances
d’être appliquées si les intervenants participent à leur élaboration et si elles sont incluses dans des
documents contractuels appropriés, tels que des contrats de location et permis d’exploitation. Un haut
degré de coopération de la part de tous les intervenants sera aussi nécessaire pour atteindre le niveau
souhaité de normalisation et d’interopérabilité qui est nécessaire pour garantir la sécurité des opérations au
sol. L’Appendice 1 du présent chapitre donne un exemple de politique de sécurité d’un exploitant
d’aérodrome.
18.3.10 Il faut veiller à ne pas faire passer les intérêts commerciaux, dont dépend la viabilité financière
de l’aérodrome, avant les questions de sécurité des opérations. Par exemple, une augmentation du nombre
de postes de stationnement d’aéronefs peut accroître les recettes de l’aérodrome mais peut aussi aggraver
l’encombrement des aires de trafic, ce qui pose des risques supplémentaires pour la sécurité. Beaucoup de
grands aérodromes ont un groupe d’utilisateurs ou comité consultatif fort, constitué de représentants des
locataires, exploitants, prestataires de services, etc., de l’aérodrome, qui peut aider la direction de
l’aérodrome à prendre des décisions concernant l’exploitation de l’aéroport.
Directeur de la sécurité et comité(s) de sécurité
18.3.11 Les grands aérodromes auraient intérêt à désigner un directeur de la sécurité attitré (DS).
Toutefois, la désignation d’un DS ne dégage pas le directeur/administrateur d’aérodrome de la respon-
sabilité de gérer efficacement la sécurité.
18.3.12 En outre, les grands aérodromes auront peut-être besoin d’un comité de sécurité. Un tel
comité de sécurité, auquel participe le groupe d’utilisateurs mentionné au § 18.3.10, est un instrument
efficace pour intégrer les divers points de vue. Un tel comité serait, par exemple, essentiel pour élaborer le
plan d’urgence d’aérodrome (examiné au § 18.4).
18.3.13 Logiquement, un DS d’aérodrome coordonnerait les activités du comité de sécurité de

l’aérodrome. De plus, vu l’obligation d’intégrer de nombreux intérêts souvent contradictoires, plusieurs sous-
comités de sécurité pourraient s’avérer nécessaires. Des groupes distincts pourraient, par exemple, être
constitués pour aborder des domaines spécifiques de la sécurité, tels que la sécurité aéroportuaire, la
sécurité des aires de trafic, la circulation des véhicules côté piste, le déneigement et le dégivrage et les
incursions sur piste.
18.3.14 De plus amples indications sur le rôle et les pratiques du DS et des comités de sécurité sont
données aux Chapitres 12 et 15.
Système de comptes rendus d’occurrences liées à la sécurité
18.3.15 Les dangers ne peuvent être maîtrisés que si leur existence est connue. Le compte rendu
d’occurrence fournit à cet égard un puissant outil d’identification proactive des dangers pour la sécurité. Par
le biais d’un système non punitif de comptes rendus d’occurrences, le directeur d’aérodrome peut puiser
dans la diversité des points de vue disponibles dans l’aérodrome pour identifier les situations ou circons-
tances sous-jacentes, susceptibles de menacer la sécurité de l’exploitation aérienne.
18.3.16 Comme décrit au Chapitre 7, il existe deux types fondamentaux de système de comptes
rendus, à savoir :
a) les comptes rendus obligatoires d’accidents et d’incidents, exigés par les réglementations
nationales ;
b) les comptes rendus volontaires d’événements de sécurité, qui peuvent ne pas être signalés dans
le cadre des dispositions de comptes rendus obligatoires.
18.3.17 Toutes les organisations présentes à l’aérodrome, y compris les exploitants d’aéronefs, les
fournisseurs de services d’escale et d’autres organismes, doivent participer activement au système de
comptes rendus d’événements. Toutefois, vu le nombre de groupes d’intervenants concernés et leurs
intérêts et priorités divergents, la mise en place et l’utilisation d’un système efficace de comptes rendus
d’événements dans un aérodrome constituent un énorme défi. De plus, certains de ces intervenants,
notamment les sociétés d’avitaillement, disposent peut-être de leurs propres méthodes de gestion de la
sécurité de leurs opérations.
18.3.18 Lorsqu’ils mettent en œuvre un système de comptes rendus d’événements, le personnel, les
sous-traitants et les locataires d’un aérodrome devraient tous comprendre clairement :
a) les types de dangers dont il faut rendre compte ;

b) les mécanismes de comptes rendus ;
c) leur sécurité d’emploi ;
d) les mesures de suivi prises en rapport avec les dangers détectés.
18.3.19 Étant donné la diversité d’activités des nombreux organismes différents, le maintien de
normes de sécurité élevées aux aérodromes requiert un programme régulier de contrôle et de surveillance.
Aux interfaces entre intervenants (par exemple entre le personnel de l’aérodrome et le personnel des
compagnies aériennes ou des prestataires de services travaillant en sous-traitance), il peut exister une
tendance à éluder les responsabilités, sous le prétexte que « ce n’est pas mon problème ». Il est dès lors
essentiel que les rôles et responsabilités soient clairement définis.
18.3.20 Des changements se produisent partout à mesure que les aérodromes s’agrandissent pour
répondre à la croissance de la demande. De nouvelles pistes et voies de circulation, bâtiments d’aérogare,
magasins et entrepôts, etc., sont susceptibles d’introduire de nouveaux dangers pour la sécurité. Le
directeur d’aérodrome peut exiger qu’une évaluation de la sécurité soit effectuée pour toute proposition de
changement significatif relative aux installations, aux services et à l’exploitation de l’aérodrome.
18.3.21 Un SGS aéroportuaire efficace devrait aussi inclure un programme d’audits de sécurité
couvrant toutes les activités effectuées à l’aérodrome. Ces audits de sécurité porteraient aussi sur les
activités des prestataires de services et des exploitants sur les aires de trafic. Une bonne compréhension
des aspects des facteurs humains associés à certaines catégories du personnel, tels le personnel de
maintenance, les bagagistes et les conducteurs de véhicules, permettra de percevoir les dangers pour la
sécurité. Des accords de coopération avec la direction d’un aérodrome de taille similaire peuvent offrir
l’occasion d’acquérir un savoir-faire et une expérience supplémentaires pour pratiquer des évaluations et
mener des audits de sécurité efficaces.
Audits de sécurité
18.3.22 Les audits de sécurité constituent une activité fondamentale de la gestion de la sécurité et
offrent un moyen d’identifier des problèmes potentiels avant que ceux-ci n’aient une incidence sur la
sécurité. Le Chapitre 14 brosse un panorama des principes et pratiques présidant à la mise en place d’un
programme d’audits de sécurité.
18.3.23 Le Manuel sur la certification des aérodromes (Doc 9774) stipule que l’exploitant d’aérodrome
devrait organiser un audit du SGS aéroportuaire, y compris une inspection des installations et équipements
aéroportuaires. L’exploitant d’aérodrome devrait aussi organiser un audit externe d’évaluation des
utilisateurs de l’aérodrome, y compris des exploitants d’aéronefs, des fournisseurs de services d’escale et
d’autres organisations travaillant à l’aérodrome. Ces audits externes devraient être conduits par des experts
en sécurité dûment qualifiés.
18.4 PLANIFICATION DES MESURES D’URGENCE AÉROPORTUAIRE
18.4.1 De nombreux accidents se produisent aux aérodromes ou dans leur voisinage immédiat, ce qui
grève les ressources des aérodromes. Offrir une aide appropriée et opportune à un aéronef en situation
d’urgence est l’un des défis les plus difficiles pour la direction d’un aérodrome. Pour garantir une
intervention appropriée dans ces moments de grand stress, il est essentiel de disposer d’un plan d’urgence
d’aérodrome (AEP). L’Annexe 14, Volume I, Chapitre 9, Section 9.1, énonce des exigences détaillées
concernant la mise en place et le maintien d’un AEP. Celles-ci couvrent notamment la nécessaire coor-
dination avec d’autres organismes prenant part aux interventions en cas d’urgence. L’AEP reflète un effort
de collaboration entre la direction de l’aérodrome, les intervenants sur place et les personnes qui devront
exécuter le plan. La section suivante développe la planification des mesures d’urgence aéroportuaire.
18.4.2 La planification des mesures d’urgence aéroportuaire vise à réduire au minimum les effets
d’une urgence, surtout en termes de sauvetage de vies humaines et de maintien des opérations aériennes.
L’AEP décrit les procédures permettant de coordonner les interventions des différents organismes (ou
services) de l’aérodrome et des organismes de la communauté environnante qui pourraient contribuer à
faire face à la situation d’urgence.
e
18.4.3 Le Manuel des services d’aéroport (Doc 9137), 7 Partie — Planification des mesures
d’urgence aux aéroports, stipule qu’un AEP devrait être mis en œuvre, que l’accident/incident se soit produit
sur le site de l’aéroport ou en dehors du périmètre de l’aéroport. L’AEP devrait tenir compte des opérations
en toutes conditions météorologiques et prévoir des lieux potentiels d’accidents sur des zones difficiles
entourant l’aérodrome, à savoir des étendues d’eau, des routes, des dépressions et autres zones problé-
matiques. Le Chapitre 11 du présent manuel donne des éléments indicatifs sur l’élaboration d’un AEP.
Intervention coordonnée
18.4.4 L’AEP devrait décrire l’intervention, ou la participation, des organismes qui, de l’avis de l’exploi-
tant de l’aérodrome, joueraient un rôle actif en cas d’urgence. Parmi ces organismes, citons :
a) dans l’enceinte de l’aérodrome :
1) les services de sauvetage et de lutte contre l’incendie ;
2) les services médicaux ;
3) les services de police et/ou de sécurité ;
4) les services administratifs de l’aérodrome, les services ATS, les organismes de maintenance et
les exploitants d’aéronefs ;
b) hors de l’aérodrome :
1) la police ;
2) les services d’incendie locaux ;
3) les services médicaux ;
4) les hôpitaux ;
4) les autorités gouvernementales ;
6) l’armée ;
7) les services de surveillance des ports et des côtes ;
8) d’autres organismes pertinents.
Exercices d’intervention en cas d’urgence aéroportuaire
18.4.5 L’AEP prévoit le cadre théorique pour une riposte coordonnée à des situations d’urgence
survenant sur l’aérodrome ou dans son voisinage immédiat. Toutefois, il est crucial de tester l’AEP afin de
déterminer les éventuelles lacunes du plan. Il faudra, par exemple, peut-être résoudre des malentendus
entre participants quant à l’applicabilité des procédures en vigueur et revoir des estimations irréalistes
d’exigences (temps, ressources, etc.). La mise à l’épreuve du plan permet aussi aux participants
d’apprendre à se connaître, de se familiariser aux installations aéroportuaires, etc., et de découvrir le mode
de fonctionnement d’autres services. Elle confirme en outre les liens de communication vitaux.
18.4.6 Il existe trois méthodes pour tester un AEP :
a) Des exercices complets. Des simulations complètes et réalistes, permettant de tester la totalité
des capacités, installations et services participant à une intervention d’urgence, devraient être
organisées sur une base au moins bisannuelle.
b) Des exercices partiels. Des simulations de fonctions sélectionnées d’intervention en cas

d’urgence, telles que la lutte contre les incendies, devraient être réalisées au moins une fois
pendant l’année au cours de laquelle aucun exercice complet n’est organisé, ou selon les besoins
pour entretenir les compétences.
c) Des exercices sur table. Cette méthode visant à actualiser les procédures, listes de vérification,
listes de numéros de téléphone, etc., et à intégrer les ressources d’intervention en cas d’urgence à
peu de frais devrait être coordonnée au moins sur une base semestrielle.
18.4.7 Voici quelques-uns des points les plus importants à prendre en considération lors de
l’élaboration d’un plan d’exercices pour l’AEP :
a) le personnel du service d’urgence aéroportuaire est régulièrement soumis à des tests portant sur :
1) les procédures d’intervention en cas d’urgence, les premiers secours, etc. ;
2) la lutte contre l’incendie ;
3) les évacuations d’urgence, y compris la connaissance des systèmes d’aéronefs concernés et

des itinéraires d’évacuation, etc. ;
b) la communication et les procédures d’appel sont testées et tenues à jour ;
c) les itinéraires des véhicules de sauvetage et d’incendie sont bien compris, maintenus dégagés et
inspectés régulièrement ;
d) le poste de commandement est désigné, équipé et testé ;
e) des installations de morgue temporaire sont disponibles ;
f) des procédures sont en place (et testées régulièrement) pour :

1) la maîtrise des foules ;
2) l’accès des médias ;
3) l’accueil des familles et des proches des victimes de l’accident ;
g) l’enlèvement de la carcasse de l’aéronef ou la récupération de l’aéronef ;
h) les dispositions pour le rétablissement du service ou la poursuite des opérations aéroportuaires, etc.
18.5 SÉCURITÉ DES AIRES DE TRAFIC DES AÉRODROMES
18.5.1 Les accidents sur les aires de trafic entraînent souvent des dommages relativement mineurs
mais peuvent parfois provoquer des dommages plus graves. Le revêtement de l’aéronef et les équipements
de services d’escale peuvent être endommagés et/ou des membres du personnel, blessés. Parfois, un
contact entre un camion de ravitaillement ou un véhicule de service d’escale et un aéronef peut causer des
dommages mineurs qui peuvent passer inaperçus ou ne pas être signalés mais peuvent contribuer à une
urgence ultérieure en vol.
18.5.2 Les aéronefs peuvent facilement encourir des dommages dont la réparation est onéreuse.
Même des accidents mineurs dans le cadre des services d’escale sont chers car ils génèrent des coûts
indirects tels que des perturbations des horaires et des frais de logement des passagers. Toutefois, comme
de tels événements peuvent ne pas répondre à la définition d’un accident d’aviation, les organisations
aéronautiques les considèrent souvent du point de vue de la santé et de la sécurité au travail ou de la
sécurité environnementale et non comme un aspect crucial du maintien d’opérations aériennes sûres et
efficaces. Souvent, l’idée de créer et d’encourager une culture positive de la sécurité sur les aires de trafic
n’est pas suffisamment développée.
Environnement de travail sur les aires de trafic
18.5.3 Du point de vue de la performance humaine, l’environnement de travail sur les aires de trafic
est souvent tout sauf idéal pour la sécurité des opérations. Des difficultés peuvent être provoquées par
la variété des activités, l’encombrement d’un environnement restreint, les pressions engendrées par des
horaires serrés et, souvent, les mauvaises conditions météorologiques ou un éclairage médiocre.
L’Appendice 2 du présent chapitre décrit certains des facteurs susceptibles de générer des dangers dans
l’environnement de travail des aires de trafic.
18.5.4 Tout bien considéré, le potentiel d’accidents ou de lésions corporelles dans l’environnement
des aires de trafic est élevé. Pour réduire ce potentiel, il faut un effort multidisciplinaire consenti par divers
départements de l’aérodrome et par les membres du personnel des compagnies aériennes, des prestataires
de services et des sous-traitants.
Causes d’accidents sur les aires de trafic
18.5.5 Bien que de nombreux exploitants d’aéronefs aient leurs propres bases de données internes
sur les accidents/incidents, il existe peu de sources publiques de données sur les accidents survenus sur
les aires de trafic. Beaucoup d’événements au sol ne sont signalés à aucune autorité nationale. Néanmoins,
sur la base de l’expérience de l’industrie, les observations générales suivantes peuvent être faites quant aux
causes des accidents sur les aires de trafic :
a) Les réglementations ou procédures d’exploitation normalisées (SOP) sont inadéquates ou ne

sont pas respectées.
b) Une mauvaise discipline et une supervision insuffisante engendrent beaucoup d’accidents

(surtout liés à des excès de vitesse des véhicules).
c) L’équipement. Une utilisation incorrecte ou un usage abusif des équipements de services d’escale
peut causer des accidents sur les aires de trafic.
d) L’environnement dynamique toujours en mouvement (et agitation) rend le maintien de la

conscience situationnelle difficile, même pour du personnel expérimenté.
e) Les conditions météorologiques limitent la performance humaine.
f) La formation par rapport à l’exposition au risque. Les organisations forment généralement leur
personnel qualifié de façon adéquate. Toutefois, une forte proportion de travailleurs relativement
peu qualifiés, présents sur les aires de trafic et exposés quotidiennement à des risques importants,
ne reçoit habituellement que peu de formation et de supervision en matière de sécurité.
g) La performance humaine. Les accidents sur les aires de trafic sont souvent liés à des facteurs
humains découlant d’éléments tels que des erreurs de jugement, des obstacles à la vue, le stress,
la distraction, les pressions horaires (ou exercées par les pairs), le relâchement de la vigilance,
l’ignorance, la fatigue et une supervision ou un contrôle insuffisant.
Gestion de la sécurité sur les aires de trafic
18.5.6 Les opérations sur les aires de trafic présentent des scénarios aux objectifs souvent
contradictoires qui requièrent des prises rapides de décisions en matière de gestion des risques. Pour
trouver le juste équilibre entre, d’une part, l’exigence de sécurité et, d’autre part, les pressions opéra-
tionnelles visant à assurer un temps d’escale court afin d’éviter les retards et perturbations, il faut consentir
des compromis. Des raccourcis peuvent être appliqués aux SOP en vue de faciliter le respect des horaires
de départ, souvent sans conséquences négatives. Le personnel peut être réprimandé (voire pénalisé) pour
ne pas avoir réussi à faire avancer les choses. Cependant, il peut être « puni » si les pratiques suivies ont
contribué à un accident. Comment rompre ce cercle vicieux ?
18.5.7 Les trois pierres angulaires d’un SGS efficace et les activités correspondantes sont exposées
au Chapitre 5. Hormis quelques modifications mineures, elles s’appliquent également à la prévention des
accidents sur les aires de trafic. Certains facteurs méritent une attention particulière, notamment :
a) une formation structurée, axée sur les capacités du personnel et comprenant :
1) une orientation sur la sécurité ;
2) une utilisation sûre des équipements de servitude au sol ;
3) la nécessité de respecter les SOP ;

4) une formation axée sur les compétences, telles que le guidage par placier, et les tâches
saisonnières, telles que le dégivrage ;
b) des SOP concrètes et claires, qui sont comprises, mises en œuvre et respectées ;
c) un système de comptes rendus de dangers et d’incidents qui encourage les contributions de la part
du personnel des services d’escale ;
d) des enquêtes sur les incidents survenus sur des aires de trafic, réalisées par des personnes
compétentes, avec un accent particulier sur les aspects liés à la performance humaine ;
e) une collecte et une analyse efficaces des données pertinentes, relatives à la sécurité au sol ;
f) l’encouragement d’une culture positive de la sécurité pour tout le personnel des aires de trafic, qui
permette à ce personnel de « s’approprier » sa cote de sécurité ;
g) une représentation du personnel des services d’escale et du personnel d’entretien au sol dans les
comités de sécurité avec, éventuellement, un sous-comité distinct pour la sécurité au sol ;
h) la communication aux travailleurs des dangers identifiés et des mesures prises pour réduire les
risques ou les éliminer ;
i) un programme permanent de sensibilisation à la sécurité ;
j) un contrôle de la sécurité des opérations au sol (par le biais d’évaluations et d’audits réguliers).
Circulation des véhicules
18.5.8 Les services d’escale/la manutention au sol d’un aéronef sur les aires de trafic couvrent de
nombreuses activités. Des véhicules tels que les camions de ravitaillement, les camions d’avitaillement, les
équipements de manutention des bagages et du fret, les véhicules de nettoyage, tous convergent vers
l’aéronef quasi simultanément afin de respecter le temps d’escale planifié. Dans de telles conditions, le
risque de collision est omniprésent et le potentiel de conséquences graves est énorme. La vitesse excessive
dans des zones restreintes et à proximité immédiate d’un aéronef est une cause majeure d’accidents sur les
aires de trafic. Une approche systémique est nécessaire pour organiser et contrôler le trafic des véhicules
sur les aires de trafic afin de réduire le risque d’accidents.
18.5.9 La plupart des conducteurs de véhicules sur les aires de trafic ne font pas partie du personnel
de l’exploitant de l’aérodrome. Ils travaillent pour des prestataires de services, tels que des compagnies
aériennes, des sociétés d’avitaillement ou des sociétés de restauration et de nettoyage. Une grande partie
de ce personnel n’est pas soumis au contrôle de l’exploitant d’aérodrome. Néanmoins, ces membres du
personnel ont normalement besoin d’une forme d’autorisation émise par l’exploitant de l’aérodrome pour
rouler sur les aires de trafic. Voici quelques exemples de méthodes de contrôle sûr des véhicules, que les
comités de sécurité d’aérodrome et les DS devraient envisager :
a) Plan de contrôle des véhicules. Ce plan est généralement élaboré par l’exploitant de l’aérodrome
et s’applique à toutes les aires de trafic et à tous les véhicules qui y circulent. Tous les locataires de
l’aérodrome sont tenus de connaître et respecter ce plan, qui doit préciser l’écoulement du trafic, les
règles d’exploitation des véhicules, la signalisation et le marquage pour les véhicules et les
dispositifs de signalisation.
b) Normes de circulation des véhicules. Il s’agit d’un « code de la route » élémentaire régissant la
façon de conduire un véhicule à l’intérieur du périmètre de l’aérodrome et mentionnant entre autres les
limites de vitesse et de proximité des aéronefs, les priorités de passage. Ce code est normalement
édicté par l’autorité aéroportuaire avec l’aide et les conseils des utilisateurs principaux.
c) Limites imposées aux véhicules. Une règle de base consiste à limiter le nombre de véhicules sur
l’aire de stationnement au minimum requis pour effectuer le travail nécessaire. La présence de
chaque véhicule doit être justifiée. Tous les véhicules devraient appartenir à des compagnies,
aucun véhicule privé n’étant autorisé.
d) Formation des conducteurs de véhicules. Avant d’être autorisés à circuler sur les aires de trafic,
tous les conducteurs doivent avoir suivi une formation (et éventuellement avoir reçu une licence).
Ce programme peut être géré par l’exploitant de l’aérodrome ou par d’importants locataires de
l’aérodrome conformément aux lignes directrices édictées par l’exploitant de l’aérodrome.
e) Mise en œuvre. L’efficacité de l’exploitation des véhicules côté piste et de tout plan concernant
cette exploitation dépend de la mise en œuvre et du respect des normes d’exploitation. Une
surveillance et un contrôle étroits sont nécessaires pour veiller à ce que tous les utilisateurs des
aires de trafic respectent les normes de sécurité requises. À cette fin, des mesures coercitives
devront être prises à l’égard de ceux qui ne s’y conforment pas.
18.6 RÔLE DES DIRECTEURS DE LA SÉCURITÉ DES AÉRODROMES

DANS LA SÉCURITÉ AU SOL
18.6.1 Un DS d’aérodrome peut contribuer de façon significative à améliorer la sécurité au sol et

l’efficacité des opérations. La sécurité au sol mérite la même approche systématique et le même souci du
détail que la sécurité des vols. Le programme aéroportuaire de prévention des accidents au sol devrait donc
comporter tous les éléments d’un SGS (systèmes de comptes rendus de dangers et d’incidents, comités de
sécurité, processus de gestion des risques, enquêtes par des personnes compétentes, supervision de la
sécurité, etc.). Un SGS aéroportuaire efficace requiert une solide relation de travail entre les divers
utilisateurs de l’aérodrome et le DS. Le DS devrait s’intéresser à la pertinence des moyens de défense de
l’aérodrome contre les accidents au sol dans des domaines tels que :
a) la maintenance de routine de l’aérodrome (surfaces revêtues et non revêtues, dispositifs lumineux,

signalisation, marquage, etc.) ;
b) la planification de nouvelles constructions ;
c) les inspections de l’aérodrome et des aires de trafic, y compris le contrôle des FOD ;
d) le contrôle des mouvements de véhicules ;
e) la gestion des dangers liés à la faune, surtout aux oiseaux ;
f) les incursions sur piste ;
g) le déneigement et le dégivrage ;
h) les procédures de comptes rendus d’événements et d’enquêtes ;

i) la planification des interventions en cas d’urgence ;
j) les comités de sécurité, surtout le comité de sécurité des aires de trafic ;
k) les communications des informations liées à la sécurité au niveau local.
18.6.2 La Figure 18-1 illustre l’application d’un SGS à un aérodrome et le rôle du DS dans ce
processus.
Système de gestion de la sécurité
Législations,
Comptes
réglementations, Débriefing Suggestions
rendus Audits
normes et d’urgence pour la sécurité
d’accident/ de
pratiques et reçues de tous
incident sécurité
nationales et documentation les niveaux
et enquêtes
internationales
Analyse
Informations
à la direction
Directeur de la sécurité
Bulletin
de sécurité
Recommandation
pour la sécurité
Comité de sécurité de l’aéroport

Comité
Organisations
de sécurité Comité Comité
et autorités
de l’aire SMGC d’urgence
diverses
de trafic
Actions
correctrices
– Procédures nouvelles et révisées

Suivi – Formation
– Campagnes de sécurité
– Amélioration des installations et
– de l’environnement d’exploitation
Figure 18-1. Exemple de SGS aéroportuaire

————————
EXEMPLE DE POLITIQUE DE SÉCURITÉ

D’UN EXPLOITANT D’AÉRODROME
1. Le principal objectif de sécurité de l’« exploitant d’aérodrome » est de réduire au minimum, au

niveau le plus faible que l’on puisse raisonnablement atteindre, le risque que se produise un accident
d’aéronef sur l’aérodrome ou dans le voisinage de celui-ci. Dès lors, la sécurité recevra la plus haute priorité
dans toutes les activités de l’« exploitant d’aérodrome » et primera sur les considérations commerciales,
environnementales et sociales.
2. Pour atteindre son principal objectif de sécurité, l’« exploitant d’aérodrome » appliquera, dans
l’exploitation de l’aérodrome, une approche méthodique et proactive de la gestion systématique de la
sécurité. Un système de gestion de la sécurité sera mis en œuvre pour tous les services de soutien et
activités qui relèvent du contrôle de gestion de l’« exploitant d’aérodrome ».
3. Toute personne participant aux fonctions opérationnelles de l’« exploitant d’aérodrome » assume
personnellement la responsabilité de ses propres actes en matière de sécurité. Comme la sécurité fait partie
intégrante des fonctions de gestion, tous les cadres hiérarchiques sont responsables de la performance en
matière de sécurité de leurs domaines de responsabilité et doivent veiller au respect des exigences de
sécurité.
4. L’« exploitant d’aérodrome » se conformera à toutes les obligations légales et aux exigences de
gestion de la sécurité de l’« autorité de réglementation ».
————————
18-APP 1-1
FACTEURS DE DANGERS DANS L’ENVIRONNEMENT

DE TRAVAIL DES AIRES DE TRAFIC
Les points suivants illustrent certains des facteurs qui contribuent à créer un environnement de travail
dangereux sur les aires de trafic des aérodromes.
a) La manutention au sol des aéronefs comprend les activités requises lors d’une escale d’un aéronef,
notamment :
1) le guidage par placier et le calage des aéronefs à l’arrivée ;
2) l’avitaillement ;
3) la réparation des défectuosités et l’exécution de la maintenance de routine des aéronefs ;
4) le dégivrage et l’antigivrage des aéronefs ;
5) les services de restauration, nettoyage des cabines, ravitaillement en eau potable et entretien
des toilettes des aéronefs ;
6) l’embarquement/le débarquement des passagers ;
7) le chargement et le déchargement des bagages et du fret ;
8) le remorquage et le refoulement des aéronefs.
b) Outre la complexité des opérations sur les aires de trafic, la nature de la manutention au sol génère
un grand potentiel de dangers pour la sécurité en raison notamment des aspects suivants :
1) la taille et la forme des aéronefs par rapport à la propension des conducteurs de véhicules à
commettre des erreurs de perception et de jugement des distances et emplacements ;
2) le revêtement et les appendices (par ex. les antennes et les sondes) fragiles des aéronefs, qui
sont vite endommagés ;
3) le besoin de préserver l’intégrité aérodynamique et structurale de l’aéronef ;
4) les contraintes d’espace et de temps ;
5) le nombre de travailleurs peu qualifiés, peu rémunérés et peu motivés.
c) Plusieurs facteurs humains exacerbent le potentiel d’accident généré par les éléments précités. Les
facteurs suivants caractérisent en général l’environnement de travail et les tâches de manutention
au sol :
18-APP 2-1
1) environnement de travail hostile (bruit, souffle des réacteurs, variations météorologiques et

conditions de luminosité difficiles) ;
2) travail dans un espace limité (souvent de hauteur restreinte) au milieu de l’encombrement d’autres
véhicules et personnels de services d’escale et des mouvements des aéronefs adjacents ;
3) contraintes de temps pour le respect des horaires de départ (ou pour rattraper un retard) ;
4) charge de travail cyclique avec des pics de demande suivis de creux entre des aéronefs en
transit ;
5) fréquent travail par équipes ;
6) obligation de manier toute une gamme d’équipements d’entretien spécialisés et chers ;
7) la main-d’œuvre (surtout les chargeurs-bagagistes) comporte souvent des temporaires peu

qualifiés ;
8) les travailleurs des aires de trafic sont souvent employés par des organismes autres que
l’autorité aéroportuaire (par ex. des compagnies aériennes, des prestataires de services et des
entreprises de restauration) ;
9) les facteurs organisationnels découlant de l’incapacité de la direction d’accorder un même

degré d’attention à la sécurité au sol qu’à la sécurité des vols.
Chapitre 19
MAINTENANCE DES AÉRONEFS
19.1 SÉCURITÉ DE LA MAINTENANCE — GÉNÉRALITÉS
19.1.1 Jusqu’à tout récemment, l’intérêt porté à la réduction systématique des risques était moins
grand dans les activités de maintenance des aéronefs que dans les opérations aériennes. Or, chaque
année, des erreurs de maintenance et d’inspection sont mentionnées comme facteurs ayant contribué à
plusieurs accidents et graves incidents dans le monde.
19.1.2 La sécurité des vols dépend de la navigabilité des aéronefs. La gestion de la sécurité dans les
domaines de la maintenance, de l’inspection, de la réparation et de la révision revêt donc une importance
vitale pour la sécurité des vols. Dès lors, les organismes de maintenance doivent suivre la même approche
disciplinée de la gestion de la sécurité que celle requise pour les opérations aériennes. Toutefois, il peut
être difficile de se conformer à une telle discipline dans le domaine de la maintenance. Les activités de
maintenance peuvent être réalisées par la compagnie aérienne elle-même ou sous-traitées à des orga-
nismes agréés de maintenance et, en conséquence, peuvent avoir lieu bien loin de l’aéroport d’attache de la
compagnie aérienne.
19.1.3 Les conditions propices à des erreurs liées à la maintenance peuvent s’installer longtemps
avant qu’une erreur soit finalement commise. Par exemple, une fissure de fatigue non détectée peut prendre
des années pour se développer jusqu’au point de rupture. Contrairement aux équipages de conduite qui
sont informés quasiment en temps réel de leurs erreurs, le personnel de maintenance ne reçoit habituel-
lement que peu de retours d’informations sur son travail jusqu’à ce qu’une défaillance se produise. Pendant
ce temps, le personnel de maintenance peut continuer à créer les mêmes conditions dangereuses latentes.
En conséquence, le monde de la maintenance prévoit une variété de moyens de défense en matière de
sécurité, dont des redondances multiples des systèmes de bord, dans le but de renforcer le système. Parmi
ces défenses figurent aussi la certification des organismes de maintenance, l’emploi d’AME titulaires d’une
licence, les directives sur la navigabilité, des SOP détaillées, les cartes de travail, l’inspection du travail et
les certifications de conformité et états des travaux effectués.
19.1.4 Le potentiel de risque peut être créé par les conditions dans lesquelles les travaux de mainte-
nance sont souvent effectués, y compris par des variables telles que les questions organisationnelles, les
conditions sur le site de travail, et les aspects de la performance humaine relatifs à la maintenance des
aéronefs. Certains des grands problèmes de maintenance susceptibles d’avoir une incidence sur la sécurité
sont exposés à l’Appendice 1 du présent chapitre.
19.1.5 Dans un contexte de maintenance d’aéronef, le terme « sécurité » est souvent considéré
comme revêtant deux significations : l’une met l’accent sur l’hygiène et la sécurité au travail aux fins de
protéger les AME, les installations et les équipements ; l’autre concerne le processus visant à garantir que
les AME fournissent un aéronef répondant aux normes de navigabilité pour les opérations aériennes. Bien
que les deux puissent être inextricablement liées, ce chapitre se concentre sur la deuxième et n’aborde
guère les questions d’hygiène et sécurité au travail (HST).
19-1
19.2 GESTION DE LA SÉCURITÉ DE LA MAINTENANCE
19.2.1 Vu la nature de la fonction de maintenance, l’environnement de travail des AME et les

nombreux aspects liés aux facteurs humains susceptibles de compromettre la performance souhaitée, une
approche systématique de la sécurité s’impose, c’est-à-dire un système de gestion de la sécurité (SGS). Le
Chapitre 5 décrit comment une gestion de la sécurité à l’échelon du système reconnaît les interdé-
pendances et interactions organisationnelles et la nécessité d’intégrer les efforts consentis en matière de
sécurité dans l’ensemble de l’exploitation. Des SGS efficaces se construisent sur les trois pierres angulaires
suivantes :
a) une approche unifiée de la sécurité au niveau de l’entreprise ;
b) des outils efficaces pour atteindre les objectifs du programme ;
c) un système formel de supervision de la sécurité et d’évaluation du programme.
19.2.2 Chacun de ces aspects d’un SGS est développé ci-dessous.
Approche unifiée de la sécurité au niveau de l’entreprise
19.2.3 L’approche unifiée de la sécurité au niveau de l’entreprise donne le ton quant à la manière dont
l’organisation développe sa philosophie et sa culture de la sécurité. Les facteurs suivants peuvent s’avérer
pertinents dans le choix de l’approche que l’organisation souhaite adopter en matière de gestion de la
sécurité :
a) taille de l’organisme de maintenance (les grands exploitants requièrent en général une plus grande
structure) ;
b) nature des opérations (par ex. 24 heures sur 24, opérations comprenant soit des vols internationaux
ou réguliers, soit des vols locaux ou non réguliers) ;
c) statut de l’organisation (par ex. département d’une compagnie aérienne ou entreprise indépendante) ;
d) maturité de l’organisation et de son personnel (par ex. stabilité et expérience de l’entreprise) ;
e) relations sociales (par ex. passé récent et complexité) ;
f) culture d’entreprise actuelle (ou culture de la sécurité souhaitée) ;
g) portée des travaux de maintenance (par ex. station service ou révision lourde d’un aéronef ou de
systèmes majeurs).
Organisation en fonction de la sécurité
19.2.4 Le Chapitre 12 (voir les Figures 12-1 et 12-2) expose deux exemples de structures
organisationnelles pour une compagnie aérienne, qui reflètent tous deux les liens hiérarchiques directs et
informels entre les départements des opérations, de la sécurité et de la maintenance. Ces canaux de
communication dépendent du climat de confiance et de respect créé dans les relations de travail quoti-
diennes des personnes concernées.
Chapitre 19. Maintenance des aéronefs 19-3
19.2.5 Chez un exploitant d’aéronefs, le directeur de la sécurité (DS) doit avoir des responsabilités et
liens hiérarchiques clairement définis en ce qui concerne la gestion de la sécurité dans le département de la
maintenance. L’organisme de maintenance peut exiger qu’un technicien spécialisé travaille avec le DS. Le
DS aura au minimum besoin des conseils de spécialistes du département de la maintenance.
19.2.6 Le comité de sécurité de la compagnie devrait comprendre des représentants du département

de la maintenance. Chez les grands exploitants, un sous-comité spécifique pour les questions de sécurité
liées à la maintenance peut se justifier.
Gestion de la documentation et des états
19.2.7 Les départements de la maintenance sont fort tributaires de systèmes permettant une saisie,
un stockage et une extraction systématiques des gros volumes d’informations requis pour la gestion de la
sécurité. En voici quelques exemples :
a) les bibliothèques techniques doivent être tenues à jour (notamment pour les instructions techniques,
les certifications de type, les consignes de navigabilité et les bulletins de service) ;
b) les défectuosités et travaux de maintenance réalisés doivent être consignés sur des états détaillés ;
c) les données sur le contrôle des performances et des systèmes doivent être conservées pour les
analyses de tendance ;
d) les politiques, objectifs et buts de l’entreprise en matière de sécurité doivent être documentés et
diffusés de façon officielle ;
e) la tenue à jour des dossiers reprenant la formation du personnel, ses qualifications et l’actualisation
de ses compétences, etc. ;
f) la conservation des informations sur l’histoire, la vie des composants, etc.
19.2.8 Chez un grand exploitant, une grande partie de ces informations seront numérisées. Dès lors,
le succès du SGS d’un organisme de maintenance dépendra en grande partie de la qualité et de la tenue à
jour de ses systèmes de gestion des documents et des états.
Répartition des ressources
19.2.9 Sans ressources adéquates, le meilleur SGS établi sur papier sera dépourvu de toute utilité.
Pour se protéger des pertes dues à un accident, il faudra investir. Il faudra, par exemple, affecter des
ressources à :
a) du personnel compétent pour concevoir et mettre en œuvre le système de sécurité du département

de la maintenance ;
b) une formation à la gestion de la sécurité pour tout le personnel ;
c) des systèmes de gestion des informations pour stocker les données liées à la sécurité et du
personnel ayant les compétences requises pour analyser ces données.
Culture de la sécurité
19.2.10 Dans un organisme de maintenance, si la culture de la sécurité est mauvaise, des pratiques
de travail dangereuses ne seront peut-être pas corrigées, ce qui peut créer des conditions dangereuses
latentes susceptibles de ne générer un problème que des années plus tard. La capacité de la direction à
favoriser une culture positive de la sécurité dans le département de la maintenance dépendra en grande
partie de la méthodologie utilisée pour aborder les questions précitées et pour mettre en œuvre le SGS.
Principaux outils de gestion de la sécurité de la maintenance
19.2.11 Le fonctionnement efficace d’un SGS de la maintenance s’appuie sur un processus déci-
sionnel axé sur les risques, concept qui fait depuis longtemps partie intégrante des pratiques de
maintenance. Ainsi, les cycles de maintenance reposent sur les probabilités que les systèmes et
composants ne connaîtront aucune défaillance pendant la période concernée du cycle. Les composants
sont souvent remplacés parce qu’ils ont atteint leur « limite de fonctionnement », même si, sur le plan
fonctionnel, ils restent en bon état de service. Sur la base des connaissances et de l’expérience, les risques
de défaillances inattendues sont réduits à des niveaux acceptables.
19.2.12 Voici quelques-uns des principaux outils nécessaires au fonctionnement d’un SGS pour la
maintenance :
a) des SOP clairement définies et mises en œuvre ;
b) des affectations des ressources axées sur les risques ;
c) des systèmes de comptes rendus de dangers et d’incidents ;
d) des programmes d’analyse des données de vol ;
e) un contrôle des tendances et des analyses de la sécurité (y compris des analyses coûts-avantages) ;
f) des enquêtes menées par du personnel compétent sur les événements liés à la maintenance ;
g) une formation à la gestion de la sécurité ;
h) des systèmes de communication et de retours d’informations (y compris des échanges d’infor-

mations et la promotion de la sécurité).
Supervision de la sécurité et évaluation du programme
19.2.13 Comme pour tout « système », des retours d’informations sont nécessaires pour s’assurer
que les différents éléments du SGS de la maintenance fonctionnent comme prévu. Le maintien de normes
élevées de sécurité dans un organisme de maintenance requiert contrôles et surveillance réguliers de toutes
les activités de maintenance. C’est tout particulièrement le cas aux interfaces entre membres du personnel
(notamment entre le personnel de maintenance et les équipages de conduite, entre les différents corps de
métiers ou entre équipes qui se relaient) afin d’éviter d’être victime de « défaillances du système ». Le
Chapitre 10 examine les méthodes de maintien de la supervision de la sécurité, notamment la conduite
d’audits de sécurité réguliers.
19.2.14 L’évolution est inévitable dans le secteur aéronautique et la maintenance n’échappe pas à la
règle. Le directeur de la maintenance peut exiger qu’une évaluation de la sécurité soit réalisée pour tout
changement significatif de l’organisation de la maintenance. Les circonstances qui pourraient justifier la
réalisation d’une évaluation de la sécurité comprennent une fusion d’entreprises et l’introduction d’une
nouvelle flotte, de nouveaux équipements, systèmes ou installations. Ainsi, il est possible de repérer toute
nécessité d’adaptations et de prendre les mesures correctrices.
19.2.15 Le SGS de maintenance devrait être évalué régulièrement afin de garantir que les résultats
escomptés sont bel et bien atteints. L’évaluation du programme devrait donner des réponses satisfaisantes
à des questions telles que :
a) Dans quelle mesure la direction a-t-elle réussi à instaurer une culture positive de la sécurité ?
b) Quelles sont les tendances en matière de comptes rendus de dangers et d’incidents (par aspect
technique, par flotte d’aéronefs, etc.) ?
c) Les dangers sont-ils identifiés et résolus ?
d) Des ressources adéquates ont-elles été attribuées au SGS de la maintenance ?
19.3 GESTION DES ÉCARTS PAR RAPPORT AUX PROCÉDURES

DE MAINTENANCE
19.3.1 Le système de maintenance comprend non seulement les AME en atelier mais aussi tous les
autres techniciens, ingénieurs, planificateurs, gestionnaires, magasiniers et autres personnes qui participent
au processus de maintenance. Dans un système aussi large, des écarts par rapport aux procédures et des
erreurs de maintenance sont inévitables et fréquents.
19.3.2 Les accidents et incidents attribuables à la maintenance résultent plus souvent d’actes humains
que de défaillances mécaniques. Souvent, ils sont le résultat d’écarts par rapport aux procédures et
pratiques en vigueur. Même des défaillances mécaniques peuvent refléter des erreurs au niveau de
l’observation (ou du signalement) de défectuosités mineures avant que celles-ci n’évoluent jusqu’à entraîner
une défaillance.
19.3.3 Les erreurs de maintenance sont souvent facilitées par des facteurs indépendants de la volonté
des AME, notamment :
a) les informations requises pour exécuter le travail ;
b) les équipements et outils requis ;
c) les limites de conception des aéronefs ;
d) les exigences du travail ou de la tâche ;
e) les exigences en termes de connaissances techniques ou d’aptitudes ;
f) les facteurs liés à la performance individuelle (c’est-à-dire les facteurs SHEL) ;
g) les facteurs environnementaux ou liés au lieu de travail ;

h) les facteurs organisationnels tels que le climat de l’entreprise ;
i) le leadership et la supervision.
19.3.4 Des organismes de maintenance sûrs favorisent le signalement consciencieux des erreurs de
maintenance, surtout de celles qui compromettent la navigabilité, afin que des mesures efficaces puissent
être prises. À cette fin, il faut une culture dans laquelle le personnel se sente à l’aise pour signaler les
erreurs au supérieur hiérarchique une fois que celles-ci ont été repérées.
19.3.5 De nouveaux systèmes sont en cours d’élaboration pour gérer les écarts par rapport aux procé-
dures (et gérer les erreurs) dans le contexte de la maintenance des aéronefs. En général, ces systèmes
sont des sous-ensembles d’un SGS général de la maintenance et ils présentent les caractéristiques
suivantes :
a) ils favorisent des comptes rendus libres et francs des événements qu’il ne serait normalement pas
obligatoire de signaler ;
b) ils offrent des formations au personnel sur le but et les procédures du SGS de la maintenance, y
compris une définition claire des politiques disciplinaires des départements (par ex. une mesure
disciplinaire ne devrait être nécessaire que pour les cas de négligence ou de non-respect délibéré
des instructions données au sujet des procédures) ;
c) ils recourent à du personnel compétent pour mener des enquêtes de sécurité sur les erreurs
signalées ;
d) ils recherchent des mesures de sécurité appropriées pour assurer le suivi des carences de sécurité
détectées ;
e) ils communiquent les résultats au personnel ;
f) ils fournissent des données appropriées pour l’analyse des tendances.
Système d’aide à la décision pour les erreurs de maintenance (MEDA)
19.3.6 Un des outils de gestion des écarts par rapport aux procédures de maintenance est le
Maintenance Error Decision Aid (MEDA) conçu par la société Boeing. Le MEDA donne au supérieur
hiérarchique de première ligne (et au DS) une méthode structurée pour analyser et repérer les facteurs qui
ont entraîné des erreurs de maintenance et pour recommander des stratégies de prévention des erreurs.
19.3.7 Le processus MEDA comporte cinq étapes de base, à savoir :
a) L’événement. À la suite d’un événement, il incombe à l’organisme de maintenance de sélectionner

les aspects découlant d’erreurs qui seront soumis à l’enquête.
b) La décision. Après avoir résolu le problème et avoir remis l’aéronef en état de service, l’exploitant
décide si l’événement était lié à la maintenance. Si oui, l’exploitant mène une enquête MEDA.
c) L’enquête. L’exploitant mène une enquête en suivant un document structuré (conçu spécialement
pour le MEDA). L’enquêteur y consigne les informations générales sur l’aéronef, les moments où la
maintenance et l’événement ont eu lieu, l’événement qui a précipité l’enquête, l’erreur qui a causé
l’événement, les facteurs qui ont déclenché l’erreur et les stratégies de prévention possibles.
d) Les stratégies de prévention. La direction examine les stratégies de prévention, les classe par
ordre de priorité, les met en œuvre, puis en assure le suivi (améliorations des processus) afin
d’éviter, ou de réduire la probabilité, que des erreurs similaires se produisent à l’avenir.
e) Un retour d’information est donné au personnel de maintenance afin que les AME sachent que
des changements ont été apportés au système de maintenance au terme du processus MEDA. Il
incombe à la direction de souligner l’efficacité de la participation des membres du personnel et de
valider leur contribution au processus MEDA en partageant les résultats d’enquête avec eux.
19.3.8 L’Appendice 2 du présent chapitre donne une description plus détaillée du MEDA.
19.4 PRÉOCCUPATIONS DU DIRECTEUR DE LA SÉCURITÉ
19.4.1 Dans une compagnie, un DS sera souvent confronté à la difficulté de donner des conseils
judicieux à la haute direction sur la partie du SGS qui concerne la maintenance — surtout si le DS n’est pas
issu du secteur de la maintenance d’aéronefs. Il devra relever plusieurs défis, notamment :
a) comprendre la gestion de la sécurité dans le contexte dans lequel les travaux de maintenance sont
effectués ;
b) se forger une crédibilité personnelle surtout en acquérant suffisamment de connaissances sur les
pratiques professionnelles sûres acceptées dans l’industrie et en se tenant au courant des
évolutions technologiques dans le domaine de la maintenance d’aéronefs. (Un des moyens par
lesquels le DS peut améliorer sa compréhension de la nature complexe de la maintenance
d’aéronefs est de discuter avec des chefs de services de maintenance et de se familiariser aux
diverses facettes de la liste de vérification MEDA.) ;
c) nouer et entretenir de bonnes relations de travail avec :
1) les directeurs responsables de la maintenance d’aéronefs et de l’intégration de la sécurité de la

maintenance dans le SGS général de l’entreprise ;
2) les éventuels conseillers techniques ;
d) créer une synergie entre le personnel de maintenance et les autres participants au SGS ;
e) développer un esprit de coopération et de coordination de routine des activités entre les dépar-
tements des opérations aériennes et de la maintenance, surtout pour déterminer si les comptes
rendus de divergences sont suffisants ou pour exploiter un système FDA ;
f) réaliser en temps voulu une analyse crédible des données liées à la sécurité, recueillies au moyen
des divers outils utilisés pour identifier les dangers ;
g) obtenir la participation active et volontaire du département de la maintenance aux comités de

sécurité de la compagnie.
19.4.2 Lorsqu’ils vérifient l’efficacité de la gestion de la sécurité dans le département de la mainte-

nance, les DS feraient bien d’accorder une attention particulière aux points suivants :
a) la suffisance de la documentation de maintenance ;

b) la qualité des communications vers le haut et vers le bas, ainsi que des communications hori-
zontales au sein de l’organisme de maintenance ;
c) les facteurs environnementaux influençant la performance humaine ;
d) la qualité de la formation au niveau tant des connaissances liées aux tâches à accomplir que des
compétences techniques ;
e) les systèmes de comptes rendus d’erreurs et d’analyse des tendances visant à identifier des
dangers systémiques ;
f) les moyens disponibles pour mettre en œuvre les changements nécessaires pour réduire ou
éliminer les carences de sécurité détectées ;
g) l’existence d’une culture de la sécurité non punitive et qui tolère les erreurs.
———————
CONDITIONS DE TRAVAIL DANS LE DOMAINE

DE LA MAINTENANCE
1. Voici quelques-uns des aspects types qui ont une incidence sur les conditions de travail dans
lesquelles les activités de maintenance d’aéronefs sont exécutées :
a) Aspects organisationnels :
1) contraintes de temps pour respecter les horaires de départ et une exploitation en continu ;
2) aéronefs vieillissants exigeant des inspections approfondies pour détecter les signes de fatigue,
de corrosion et vérifier l’état général, etc. ;
3) nouvelles technologies nécessitant de nouveaux outils, de nouvelles procédures de travail, des

recyclages coûteux, etc. ;
4) priorité donnée à la réparation afin de respecter les horaires (par ex. remplacer les pièces
cassées sans déterminer la cause de la défaillance — parfois due à une mauvaise conception
ou à un montage incorrect) ;
5) expansions et fusions de compagnies aériennes, qui entraînent, par exemple, la fusion de

départements de maintenance ayant des pratiques de travail et des cultures de la sécurité
différentes ;
6) externalisation des services, qui sont confiés à des sous-traitants (par ex. pour des entretiens
lourds ou des révisions) ;
7) introduction involontaire de pièces non conformes (moins coûteuses, de qualité inférieure), etc. ;
8) octroi de licences aux AME pour divers aéronefs, générations et types d’aéronefs, et cons-
tructeurs d’aéronefs.
b) Conditions sur le lieu de travail :
1) conceptions d’aéronefs qui ne sont pas conviviales du point de vue de la maintenance (par
exemple, accès difficile aux composants, hauteur inappropriée depuis le sol) ;
2) contrôle des configurations d’aéronefs (constamment soumises à modifications) par rapport à la

normalisation des tâches et procédures de maintenance ;
3) disponibilité (et accessibilité) des pièces de rechange, des outils, de la documentation, etc.;
4) exigences d’accès immédiat aux volumineuses informations techniques et nécessité de tenir à

jour des états de travaux détaillés ;
19-APP 1-1
5) facteurs environnementaux variables (par exemple, les différences de conditions de travail entre
l’aire de stationnement, l’atelier technique ou l’aire de hangar) ;
6) conditions de travail exceptionnelles créées par des activités simultanées et les intempéries sur
l’aire de stationnement ;
7) lacunes dans la fourniture en temps voulu de comptes rendus de divergences compréhensibles

et précis par les équipages de conduite, etc.
c) Facteurs humains dans le secteur de la maintenance :
1) les conditions de travail et d’organisation (telles que décrites ci-dessus) ;
2) les facteurs environnementaux (par ex. la température, l’éclairage et le bruit) ;
3) les facteurs individuels (par ex. charge de travail, exigences physiques et maintenance) ;
4) les horaires (par ex. travail par équipes, travail de nuit et heures supplémentaires) et l’octroi de
périodes de repos suffisantes ;
5) la pertinence des SOP (par ex. exactitude, compréhensibilité et convivialité) ;
6) la qualité de la supervision ;
7) l’utilisation appropriée des cartes de travail, etc. (en d’autres termes, les pratiques de travail
réelles sont-elles conformes aux SOP ?) ;
8) l’efficacité de la formation théorique, de la formation en cours d’emploi, des recyclages et de la

formation aux facteurs humains ;
9) la qualité du transfert aux changements d’équipes et de la tenue à jour des états ;
10) l’ennui ;
11) les facteurs culturels (par ex. le professionnalisme des AME et la franchise dans le signalement
des erreurs et des dangers).
2. Le manuel intitulé Lignes directrices sur les facteurs humains dans la maintenance aéronautique
(Doc 9824) donne des informations sur le contrôle des erreurs humaines et l’élaboration de contre-mesures
pour pallier les erreurs dans la maintenance aéronautique. Il est destiné aux directeurs des organismes de
maintenance, aux exploitants d’aéronefs et aux administrations de l’aviation civile.
———————
SYSTÈME D’AIDE À LA DÉCISION POUR

LES ERREURS DE MAINTENANCE (MEDA)
1. Le MEDA offre un cadre structuré pour documenter les facteurs jouant un rôle dans les erreurs et
pour recommander des stratégies adéquates de prévention des erreurs. Le MEDA repose sur les principes
fondamentaux ci-après :
a) les erreurs de maintenance ne sont pas commises volontairement ;
b) la plupart des erreurs de maintenance résultent d’une série de facteurs contributifs ;
c) nombre de ces facteurs contributifs font partie des processus de l’exploitant et peuvent donc être
gérés.
2. Traditionnellement, la suite donnée à des erreurs de maintenance se limitait trop souvent à identifier
l’événement causé par une erreur de maintenance puis à sanctionner quiconque avait commis l’erreur. Le
processus MEDA va beaucoup plus loin (sans suites disciplinaires, sauf en cas de violation délibérée des
procédures). Après avoir mené l’enquête sur l’événement causé par une erreur de maintenance et avoir
identifié qui avait commis l’erreur, le système MEDA facilite les actions suivantes :
a) la détermination des facteurs qui ont contribué à l’erreur ;
b) l’interview des personnes responsables (et d’autres si nécessaire) pour obtenir tous les
renseignements pertinents ;
c) l’identification des obstacles organisationnels ou systémiques qui n’ont pas réussi à prévenir l’erreur
(et les facteurs contributifs expliquant cette défaillance) ;
d) la collecte, auprès des personnes responsables (et d’autres si nécessaire), d’idées pour améliorer
les processus ;
e) la tenue à jour d’une base de données des erreurs de maintenance ;
f) l’analyse des tendances des erreurs de maintenance ;
g) la mise en œuvre des améliorations à apporter aux processus sur la base des enquêtes et analyses
des erreurs ;
h) la fourniture de retours d’informations à tout le personnel concerné par des améliorations des
processus.
3. Les listes de vérification du système MEDA facilitent la conduite des interviews (c’est-à-dire la
collecte des données) et le stockage des données dans une base de données des erreurs de maintenance.
Pour comprendre le contexte dans lequel les erreurs de maintenance sont commises, voici dix domaines sur
lesquels il faudrait recueillir des données :
19-APP 2-1
a) L’information. Cette catégorie comprend les cartes de travail, les manuels des procédures de
maintenance, les bulletins de service, les instructions techniques, les catalogues illustrés de pièces
de rechange et toutes autres informations écrites ou numériques fournies soit en interne ou par le
constructeur, qui sont considérées comme nécessaires à l’exécution de la tâche de l’AME. Parmi
les facteurs expliquant pourquoi les informations ont été difficiles à obtenir ou n’ont pas été utilisées,
citons :
1) la compréhensibilité (y compris le format, le niveau de détail, l’utilisation de la langue, la clarté

des illustrations et l’exhaustivité) ;
2) la disponibilité et l’accessibilité ;
3) l’exactitude, la validité et la pertinence par rapport à la situation actuelle ;
4) les contradictions.
b) Les équipements/outils. Cette catégorie comprend tous les outils et matériels nécessaires pour
l’exécution correcte des tâches de maintenance ou d’inspection. Outre les foreuses, clefs, tournevis,
etc., habituels, il faut y inclure les équipements d’essais non destructifs, les postes de montage, les
boîtes d’essais et les outils spéciaux mentionnés dans les procédures de maintenance. Parmi les
facteurs expliquant dans quelles circonstances les équipements ou outils peuvent compromettre la
performance de l’AME, citons :
1) un matériel dangereux à utiliser pour l’AME (par ex. absence de dispositifs de protection ou
instabilité) ;
2) un matériel non fiable, endommagé ou usé ;
3) une mauvaise disposition des commandes ou des écrans ;
4) des erreurs de lecture ou d’étalonnage ;
5) un matériel inadapté à la tâche à effectuer ;
6) l’indisponibilité du matériel ;
7) un matériel ne pouvant être utilisé dans l’environnement prévu (notamment en raison de limites
spatiales ou de la présence d’humidité) ;
8) l’absence de notices d’emploi ;
9) un matériel trop compliqué.
c) La conception/la configuration/les pièces des aéronefs. Cette catégorie comprend tous les
aspects des diverses conceptions ou configurations d’aéronefs qui limitent l’accès de l’AME pour
effectuer les activités de maintenance. Elle couvre en outre le mauvais étiquetage ou l’indisponibilité
des pièces de rechange, qui entraîne l’utilisation de pièces de substitution. Parmi les facteurs
pouvant entraîner dans ce cas des erreurs de la part de l’AME, citons :
1) la complexité des procédures d’installation ou d’essai ;
2) la taille ou le poids du composant ;

Chapitre 19. Maintenance des aéronefs — Appendice 2 19-APP 2-3
3) l’inaccessibilité ;
4) la variabilité de la configuration (par ex. due aux différences de modèles d’un même type
d’aéronef ou à des modifications) ;
5) l’indisponibilité des pièces ou leur mauvais étiquetage ;
6) la facilité avec laquelle la pièce peut être mal montée (par ex. en raison d’un retour d’information
insuffisant ou de l’absence de marques d’orientation ou d’indicateurs de sens d’écoulement, ou
de la présence de connecteurs identiques).
d) Le travail/la tâche. Cette catégorie comprend la nature du travail à exécuter, y compris la combinaison
et la succession des diverses tâches composant le travail. Parmi les facteurs pouvant faciliter des
erreurs de maintenance dans ce domaine, citons :
1) la répétitivité ou la monotonie des tâches ;
2) la complexité des tâches ou leur capacité à susciter la confusion (par ex. longue procédure avec
tâches multiples ou simultanées, effort physique ou mental exceptionnel requis) ;
3) la nouveauté ou la modification de tâches ;
4) les variations des tâches ou procédures en fonction du modèle d’aéronef ou de l’endroit où doit
être effectué le travail de maintenance.
e) Les connaissances/aptitudes techniques. Cette catégorie comprend la connaissance des

processus de l’exploitant, des systèmes de l’aéronef et des tâches de maintenance ainsi que les
compétences techniques pour exécuter les tâches ou sous-tâches attribuées sans commettre
d’erreur. Parmi les facteurs connexes pouvant compromettre l’exécution du travail, citons :
1) l’insuffisance des compétences malgré la formation, les difficultés de mémorisation ou un

mauvais processus décisionnel ;
2) l’insuffisance de la connaissance de la tâche due à une formation ou à une expérience pratique

insuffisante ;
3) une mauvaise planification de la tâche entraînant des interruptions de procédures ou la

planification d’un trop grand nombre de tâches pour le temps disponible (par ex. incapacité
d’obtenir d’abord tous les outils et matériels nécessaires) ;
4) une connaissance insuffisante des processus de l’exploitant, notamment en raison d’une

formation et d’une initiation insuffisantes (par ex. incapacité de commander les pièces néces-
saires à temps) ;
5) une connaissance insuffisante des systèmes d’aéronefs (par ex. essai après installation et
localisation des pannes incomplets).
Nombre des carences précitées requièrent une amélioration du suivi et de l’évaluation de la

performance technique concrète de l’AME.
f) Facteurs individuels. Cette notion couvre les facteurs ayant une incidence sur la performance des
individus et variant d’une personne à l’autre, tels que les éléments apportés au travail par l’individu
(par ex. taille/force, santé et événements personnels) ainsi que les éléments résultant de facteurs
interpersonnels ou organisationnels (par ex. les pressions exercées par les pairs, les contraintes de
temps, la fatigue due au travail même, aux horaires ou au travail par équipes). La liste de véri-
fication MEDA mentionne les éventuels facteurs suivants pouvant entraîner des erreurs de
maintenance :
1) la santé physique, y compris l’acuité sensorielle, des maladies ou blessures préexistantes, des
douleurs chroniques, des traitements médicamenteux et l’abus de drogues ou d’alcool ;
2) la fatigue due à la saturation des tâches, à la charge de travail, aux rotations d’équipes, au
manque de sommeil ou à des facteurs personnels ;
3) les contraintes de temps dues au rythme de travail, à la disponibilité des ressources pour
effectuer les tâches attribuées, aux pressions pour respecter l’heure à la porte de minutage,
etc. ;
4) les pressions exercées par les pairs pour suivre les pratiques dangereuses du groupe, le mépris
des informations écrites, etc. ;
5) le relâchement de la vigilance (par ex. dû à une trop grande familiarité avec des tâches répé-
titives ou à des attitudes dangereuses d’invulnérabilité ou d’excès de confiance) ;
6) la taille ou la force inadaptées pour répondre aux exigences de force ou atteindre les éléments
voulus (par ex. dans des espaces confinés) ;
7) des événements personnels tels que la mort d’un membre de la famille, des problèmes conju-
gaux ou un changement de situation financière ;
8) des distractions sur les lieux de travail (par ex. dues à des interruptions dans un environnement
de travail en constante mutation).
g) L’environnement/les installations. Cette catégorie couvre tous les facteurs susceptibles non
seulement d’avoir une incidence sur le confort de l’AME mais aussi de créer des problèmes de
santé ou de sécurité qui peuvent perturber l’AME. Voici quelques-uns des facteurs environ-
nementaux que le système MEDA identifie comme susceptibles d’entraîner des erreurs de
maintenance :
1) des niveaux de bruit élevés qui compromettent les communications ou le retour d’information ou
perturbent la concentration, etc. ;
2) une chaleur excessive qui limite la capacité de l’AME à physiquement manier les pièces ou les
équipements ou cause une fatigue personnelle ;
3) un froid prolongé qui diminue le sens du toucher ou de l’odorat ;
4) l’humidité ou la pluie qui tombe sur l’aéronef, sur des surfaces de pièces ou d’outils, ou entrave
l’usage de documents écrits ;
5) les précipitations entravant la visibilité ou nécessitant des vêtements de protection encombrants ;
6) l’éclairage insuffisant pour lire les instructions ou les affichettes, mener des inspections visuelles
ou exécuter les tâches ;
Chapitre 19. Maintenance des aéronefs — Appendice 2 19-APP 2-5
7) le vent qui entrave la capacité d’entendre ou de communiquer ou irrite les yeux, les oreilles, le
nez ou la gorge ;
8) les vibrations qui rendent la lecture des instruments difficile ou provoquent une fatigue des
mains ou des bras ;
9) la saleté qui gêne les inspections visuelles, et rend le sol ou l’objet à saisir glissant, ou l’encom-
brement de l’espace de travail disponible ;
10) des substances dangereuses ou toxiques qui réduisent l’acuité sensorielle, causent des maux
de tête, des vertiges ou d’autres malaises, ou requièrent le port de vêtements de protection peu
maniables ;
11) des sources d’électricité insuffisamment protégées ou marquées ;
12) une ventilation insuffisante causant malaise ou fatigue ;
13) un espace de travail trop encombré ou mal organisé.
h) Les facteurs organisationnels. Cette catégorie regroupe des facteurs tels que la communication
interne avec les organismes de soutien, le niveau de confiance établi entre la direction et les AME,
la connaissance et l’acceptation des objectifs de la direction et les activités syndicales. Tous ces
aspects peuvent avoir une incidence sur la qualité du travail et donc sur la possibilité que des
erreurs de maintenance soient commises. Voici quelques-uns des facteurs organisationnels que le
système MEDA identifie comme susceptibles d’entraîner des erreurs de maintenance :
1) la qualité du soutien apporté par les organisations techniques (soutien incohérent, tardif ou
médiocre pour d’autres motifs);
2) les politiques d’entreprise qui sont inéquitables ou incohérentes dans leur mise en œuvre ou ne
tiennent pas compte de circonstances particulières, etc. ;
3) les processus de travail de la compagnie, y compris des SOP inappropriées, des inspections
inadéquates du travail et des manuels obsolètes ;
4) des activités syndicales qui détournent l’attention du travail ;
5) des mutations de l’entreprise (par ex. restructurations) engendrant incertitude, délocalisations,

licenciements, rétrogradations, etc.
i) Le leadership et la supervision. Cette catégorie est étroitement liée à celle des facteurs
organisationnels. Bien que les supérieurs hiérarchiques chargés de l’inspection n’exécutent norma-
lement pas de tâches de maintenance, ils peuvent créer un terrain favorable aux erreurs de
maintenance par des carences au niveau de la planification, de l’établissement des priorités et de
l’organisation des tâches. Les supérieurs hiérarchiques et la direction doivent donner une idée claire
des objectifs de la fonction de maintenance et des moyens qui lui permettront d’atteindre ces
objectifs ; dans leurs activités quotidiennes, ils doivent montrer l’exemple, c’est-à-dire que leurs
actes doivent être à la mesure de leurs paroles. Voici quelques domaines où les faiblesses en
matière de leadership et de supervision peuvent créer un environnement de travail propice à des
erreurs de maintenance :
1) planification ou organisation inadéquate des tâches qui se répercute sur le temps ou les
ressources disponibles pour mener à bien le travail dans les règles ;
2) détermination inadéquate des tâches prioritaires ;
3) délégation ou attribution inadéquate des tâches ;
4) attitude ou attentes irréalistes, entraînant un manque de temps pour terminer le travail ;
5) style de supervision excessif ou inapproprié, qui critique après coup les AME ou s’avère
incapable d’associer ceux-ci aux décisions qui les concernent ;
6) réunions excessives ou futiles.
j) La communication. Cette catégorie couvre toute défaillance dans la communication (écrite ou

orale) qui empêche l’AME d’obtenir en temps utile l’information correcte concernant une tâche de
maintenance. Voici quelques exemples d’interfaces entre membres du personnel où, selon le
système MEDA, des défaillances de communication se produisent, ce qui crée un risque d’erreurs
de maintenance :
1) entre départements — directives écrites incomplètes ou vagues, transmission des informations

à un mauvais destinataire, conflits de personnes ou incapacité de transmettre des informations
en temps utile ;
2) entre AME — absence pure et simple de communication ; mauvaise communication due à des
barrières linguistiques, utilisation de mots d’argot ou d’acronymes, etc. ; l’AME omet de poser
des questions en cas de doute ou n’émet pas de suggestions lorsque des changements sont
nécessaires ;
3) entre équipes — transferts inadéquats de travaux en raison de briefings oraux médiocres (ou
bâclés) ou mauvaise tenue des états (cartes de travail, listes de vérification, etc.) ;
4) entre les membres de l’équipe de maintenance et leur chef — lorsque le chef omet de
transmettre des informations importantes aux membres de l’équipe (notamment briefing
insuffisant en début de poste ou retour d’information insuffisant sur les performances); lorsque
les membres de l’équipe omettent de signaler des problèmes ou des opportunités au chef ;
lorsque les rôles et responsabilités ne sont pas clairement définis ;
5) entre le chef de l’équipe de maintenance et la direction — lorsque la direction omet de

transmettre des informations importantes au chef de l’équipe (notamment discussion des buts et
projets, retours d’informations sur les travaux terminés) ; lorsque le chef de l’équipe omet de
signaler des problèmes ou des opportunités à la direction ; etc. ;
6) entre l’équipage de conduite et l’équipe de maintenance — inscriptions vagues ou incomplètes

dans le carnet de route ; signalement tardif de défaillances ; non-utilisation du système
embarqué de communications, d’adressage et de compte rendu (ACARS)/de la liaison de
données ; etc.
RÉFÉRENCES
Association du transport aérien international. Mars 2002, Non-Punitive Policy Survey.
Chappell, Dr. S. 1994, « Using Voluntary Incident Reports for Human Factors Evaluations », Aviation
Psychology in Practice, Avebury Press.
Flight Safety Foundation. Juillet–septembre 1998, « Aviation Safety: U.S. Efforts to Implement Flight
Operational Quality Assurance Programs », Flight Safety Digest.
Flight Safety Foundation. Mai 1999, « FSF Icarus Committee Report: Aviation Grapples with Human-factors
Accidents », Flight Safety Digest.
Flight Safety Foundation. Otobre 1989, « Control of Crew-Caused Accidents », Flight Safety Digest.
Global Aviation Information Network (GAIN). 2001, Cabin Safety Compendium.
Global Aviation Information Network (GAIN). 2002, Operator’s Flight Safety Handbook.
Paries, J., A. Merritt et M. Schmidlin. 1999, Development of a Methodology for Operational Incident
o
Reporting and Analysis Systems (OIRAS), Appel d’offres DGAC N 96/01.
Reason, J. 1992, « Collective Mistakes in Aviation: The Last Great Frontier », Flight Deck, Numéro 4.
Transports Canada. Novembre 1996, TP 12883, Human Factors: Management & Organization:
Management’s Role in Safety.
Transports Canada. 2001, TP 13095, La gestion des risques et la prise de décisions au sein de la Direction
générale de l'Aviation civile.
Transports Canada. Mars 2002, TP 13881, Systèmes de gestion de la sécurité destinés aux exploitants
aériens et aux organismes de maintenance des aéronefs.
United Kingdom Civil Aviation Authority. Avril 2002, CAP 712, Safety Management Systems for Commercial
Air Transport Operations.
United Kingdom Civil Aviation Authority. Juin 2003, CAP 670, Air Traffic Services Safety Requirements.
United Kingdom Civil Aviation Authority. Août 2003, CAP 739, Flight Data Monitoring.
e
Wood, R.H. 2003, Aviation Safety Programs: A Management Handbook, 3 édition, Englewood, Colorado,
Jeppesen.
— FIN —
Réf. 1-1
Page blanche
PUBLICATIONS TECHNIQUES DE L’OACI
Le résumé ci-après précise le caractère des diverses trop détaillées pour être incorporées à une Annexe, ou
séries de publications techniques de l’Organisation de susceptibles d’être amendées fréquemment, et pour
l’aviation civile internationale et décrit, en termes lesquelles la méthode prévue dans la Convention serait
généraux, la teneur de ces publications. Il n’est pas fait inutilement compliquée.
mention des publications spéciales qui ne font pas partie
d’une série: Catalogue des cartes aéronautiques ou Les Procédures complémentaires régionales
Tableaux météorologiques pour la navigation aérienne (SUPPS) ont un caractère analogue à celui des
internationale, par exemple. procédures pour les services de navigation aérienne, car
elles ont été aussi approuvées par le Conseil, mais elles
Les Normes et pratiques recommandées ne sont applicables que dans certaines régions. Elles
internationales sont adoptées par le Conseil en vertu sont établies sous forme de recueil, car certaines d’entre
des dispositions des articles 54, 37 et 90 de la elles s’appliquent à des régions qui se chevauchent, ou
Convention relative à l’aviation civile internationale, et sont communes à plusieurs régions.
constituent les Annexes à la Convention. Sont classées
comme normes internationales les spécifications dont
l’application uniforme par les États contractants est
reconnue nécessaire à la sécurité ou à la régularité de la
navigation aérienne internationale; les spécifications
dont l’application uniforme est reconnue souhaitable Les publications ci-après sont établies sous l’autorité
dans l’intérêt de la sécurité, de la régularité ou de du Secrétaire général, conformément aux principes
l’efficacité de la navigation aérienne internationale sont approuvés par le Conseil.
classées comme pratiques recommandées. La
connaissance de toute différence entre les règlements ou Les Manuels techniques donnent des indications et
usages d’un État et les dispositions d’une norme renseignements qui développent les dispositions des
internationale est essentielle à la sécurité ou à la normes, pratiques recommandées et procédures
régularité de la navigation aérienne internationale. Aux internationales; ils sont destinés à faciliter la mise en
termes de l’article 38 de la Convention, un État qui ne application de ces dispositions.
se conforme pas aux dispositions d’une norme
internationale est tenu de notifier toute différence au Les Plans de navigation aérienne présentent sous
Conseil de l’OACI. La connaissance des différences par une forme concise les plans OACI de mise en oeuvre
rapport aux pratiques recommandées peut aussi des installations et services destinés à la navigation
présenter de l’importance pour la sécurité de la aérienne internationale dans les diverses régions de
navigation aérienne; bien que la Convention n’impose navigation aérienne de l’OACI. Ils sont établis, par
pas d’obligation à cet égard, le Conseil a invité les États décision du Secrétaire général, d’après les
contractants à notifier ces différences en plus des recommandations des réunions régionales de navigation
différences par rapport aux normes internationales. aérienne et les décisions du Conseil au sujet de ces
recommandations. Les plans sont amendés
Les Procédures pour les services de navigation périodiquement pour tenir compte des changements
aérienne (PANS) sont approuvées par le Conseil pour survenus dans les installations et services nécessaires et
être mises en application dans le monde entier. Elles de l’état d’avancement de la mise en application.
comprennent surtout des procédures d’exploitation qui
ne paraissent pas avoir atteint un stade de maturité Les Circulaires permettent de communiquer aux
suffisant pour être adoptées comme normes et pratiques États contractants des renseignements pouvant les
recommandées internationales, ainsi que des intéresser dans le cadre de diverses spécialités. Elles
dispositions présentant un caractère plus définitif, mais comprennent des études sur des questions techniques.
© OACI 2006
6/06, F/P1/250
N o de commande 9859
Imprimé à l’OACI

9859 Manuel SMS

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

9859 Manuel SMS

Hochgeladen von

Copyright:

Verfügbare Formate

Doc 9859

Approuvé par le Secrétaire général

Première édition — 2006

Organisation de l’aviation civile internationale

Le Catalogue des publications

On peut l’obtenir gratuitement auprès du Groupe de la vente des documents, OACI.

Approuvé par le Secrétaire général

Première édition — 2006

Organisation de l’aviation civile internationale

INSCRIPTION DES AMENDEMENTS ET DES RECTIFICATIFS

No Date Inséré par No Date Inséré par

SIGLES ET ABRÉVIATIONS........................................................................................................ XIII

1.1 Généralités............................................................................................................... 1-1

Chapitre 2. PARTAGE DE LA RESPONSABILITÉ DE LA GESTION

2.1 Parties responsables de la gestion de la sécurité ................................................... 2-1

Chapitre 3. PROGRAMME DE SÉCURITÉ DE L’ÉTAT........................................................... 3-1

3.1 Généralités............................................................................................................... 3-1

Chapitre 4. COMPRENDRE LA SÉCURITÉ ............................................................................. 4-1

4.1 Généralités............................................................................................................... 4-1

Chapitre 5. PRINCIPES DE BASE DE LA GESTION DE LA SÉCURITÉ .............................. 5-1

5.1 Philosophie de la gestion de la sécurité .................................................................. 5-1

Appendice 1. Trois pierres angulaires de la gestion de la sécurité............................................ 5-APP 1-1

Chapitre 6. GESTION DES RISQUES ...................................................................................... 6-1

6.1 Généralités............................................................................................................... 6-1

6.3 Évaluation du risque ................................................................................................ 6-3

Chapitre 7. COMPTES RENDUS DE DANGERS ET D’INCIDENTS ....................................... 7-1

7.1 Introduction aux systèmes de comptes rendus ....................................................... 7-1

Appendice 1. Restrictions d’utilisation des données provenant des systèmes volontaires

Chapitre 8. ENQUÊTES DE SÉCURITÉ ................................................................................... 8-1

8.1 Introduction .............................................................................................................. 8-1

Appendice 1. Techniques d’entretien ......................................................................................... 8-APP 1-1

Chapitre 9. ANALYSE DE LA SÉCURITÉ ET ÉTUDES SUR LA SÉCURITÉ......................... 9-1

9.1 Introduction .............................................................................................................. 9-1

Appendice 1. Comprendre les partis pris ................................................................................... 9-APP 1-1

Chapitre 10. CONTRÔLE DES PERFORMANCES EN MATIÈRE DE SÉCURITÉ................. 10-1

10.1 Introduction .............................................................................................................. 10-1

Appendice 1. Exemples d’indicateurs de l’état de santé de la sécurité ..................................... 10-APP 1-1

Chapitre 11. PLANIFICATION DES INTERVENTIONS EN CAS D’URGENCE ..................... 11-1

11.1 Introduction .............................................................................................................. 11-1

12.1 Introduction .............................................................................................................. 12-1

Appendice 1. Modèle de déclaration de politique de sécurité .................................................... 12-APP 1-1

Chapitre 13. ÉVALUATIONS DE LA SÉCURITÉ ..................................................................... 13-1

13.1 Généralités............................................................................................................... 13-1

Appendice 1. Éléments indicatifs sur la conduite des sessions de groupes de travail

Chapitre 14. RÉALISATION D’AUDITS DE SÉCURITÉ .......................................................... 14-1

14.1 Introduction .............................................................................................................. 14-1

Chapitre 15. CONSIDÉRATIONS PRATIQUES POUR APPLIQUER

15.1 Introduction .............................................................................................................. 15-1

Chapitre 16. EXPLOITATION TECHNIQUE DES AÉRONEFS ............................................... 16-1

16.1 Généralités............................................................................................................... 16-1

16.3 Programme d’analyse des données de vol (FDA) .................................................. 16-3

Appendice 1. Exemple de politique d’entreprise concernant les comptes rendus

CHAPITRE 17. SERVICES DE LA CIRCULATION AÉRIENNE (ATS) .................................... 17-1

17.1 Sécurité des ATS ..................................................................................................... 17-1

17.3 Modification des procédures ATS ........................................................................... 17-8

Appendice 1. Aspects des facteurs humains relatifs à la performance humaine

Chapitre 18. EXPLOITATION TECHNIQUE DES AÉRODROMES ......................................... 18-1

18.1 Sécurité des aérodromes – Généralités ................................................................. 18-1

Appendice 1. Exemple de politique de sécurité d’un exploitant d’aérodrome............................ 18-APP 1-1

Chapitre 19. MAINTENANCE DES AÉRONEFS...................................................................... 19-1

19.1 Sécurité de la maintenance – Généralités .............................................................. 19-1

19.4 Préoccupations du directeur de la sécurité ............................................................. 19-7

Appendice 1. Conditions de travail dans le domaine de la maintenance................................... 19-APP 1-1