Analyse systémique d'un EIG : guide pas à pas

Lorsqu'un événement indésirable grave (EIG) survient dans un établissement de santé, la réglementation impose une analyse approfondie des causes. Cette analyse ne vise pas à désigner un responsable individuel, mais à comprendre comment le système dans son ensemble a permis que l'événement se produise. L'approche systémique repose sur un postulat fondamental : l'erreur est humaine et inévitable, mais un système bien conçu doit empêcher qu'une erreur individuelle ne se transforme en accident pour le patient.

Qu'est-ce que l'analyse systémique ?

L'analyse systémique est une méthode d'investigation qui considère l'événement non pas comme la conséquence d'une faute individuelle isolée, mais comme le résultat d'une combinaison de facteurs organisationnels, humains, techniques et environnementaux. Elle s'appuie sur le modèle du fromage suisse de James Reason : chaque barrière de sécurité (protocole, vérification, équipement) comporte des failles, et l'accident survient lorsque les failles de plusieurs barrières s'alignent.

Cette approche, initialement développée dans l'aéronautique et l'industrie nucléaire, a été adaptée au monde de la santé par Charles Vincent et ses collègues sous le nom de protocole de Londres (ou méthode ALARM — Association of Litigation And Risk Management). La Haute Autorité de Santé recommande cette méthode pour l'analyse des EIGS et en a fait un élément d'évaluation dans le cadre de la certification.

L'analyse systémique se distingue radicalement de l'approche punitive traditionnelle. Là où l'approche punitive s'arrête à la question « qui a commis l'erreur ? », l'analyse systémique pose la question « pourquoi le système a-t-il permis que cette erreur atteigne le patient ? ». Cette différence de perspective est fondamentale car elle conduit à des actions correctrices portant sur l'organisation et non sur les individus.

La méthode ALARM / Protocole de Londres

La méthode ALARM est le cadre d'analyse le plus utilisé en établissement de santé. Elle structure l'investigation en sept catégories de facteurs contributifs, permettant une exploration systématique et exhaustive.

Facteurs liés au patient. L'état clinique du patient, sa complexité, ses commorbidités, sa capacité de communication, son comportement ou sa compliance au traitement. Un patient polypathé, confus ou ne parlant pas français présente des risques spécifiques que le système doit anticiper.

Facteurs liés aux tâches et procédures. Existence, accessibilité et clarté des protocoles. Un protocole inexistant, obsolète, ambigu ou inaccessible constitue un facteur contributif majeur. La question n'est pas seulement « le protocole existait-il ? » mais aussi « était-il connu, compris et applicable dans le contexte ? ».

Facteurs liés aux individus. Compétences, formation, expérience, état de fatigue, stress. Il ne s'agit pas de juger les personnes mais de comprendre si les conditions étaient réunies pour qu'elles puissent exercer correctement leur mission.

Facteurs liés à l'équipe. Communication au sein de l'équipe, transmission d'informations, supervision, répartition des rôles. Les défaillances de communication sont impliquées dans plus de 70 % des EIG selon les études internationales.

Facteurs liés à l'environnement de travail. Charge de travail, effectifs, ergonomie des locaux, équipements disponibles, système d'information. Un service en sous-effectif chronique ou disposant de matériel défaillant expose structurellement aux erreurs.

Facteurs liés à l'organisation et au management. Politique de l'établissement, culture de sécurité, processus décisionnels, allocation des ressources. Ces facteurs latents, souvent éloignés dans le temps et l'espace de l'événement, créent les conditions dans lesquelles les erreurs actives se produisent.

Facteurs liés au contexte institutionnel. Réglementation, contraintes financières, pression de tutelle, contexte sanitaire. Ces facteurs, sur lesquels l'établissement a peu de prise, doivent néanmoins être identifiés pour adapter les barrières internes.

Étape 1 : constituer l'équipe d'analyse

L'analyse systémique nécessite une équipe dédiée, différente dans sa composition d'un CREX classique. Elle comprend généralement le gestionnaire des risques (qui pilote l'analyse), un médecin référent (de préférence extérieur au service concerné pour garantir l'objectivité), un cadre de santé et un ou plusieurs professionnels connaissant le contexte de l'événement sans y avoir été directement impliqués.

L'équipe doit être constituée rapidement après la survenue de l'EIG, idéalement dans les 48 à 72 heures. Ce délai permet de préserver la mémoire des faits tout en laissant le temps de gérer les conséquences immédiates pour le patient.

Étape 2 : reconstruire la chronologie

La première tâche de l'équipe est de reconstituer précisément le déroulement des faits. Cette chronologie s'appuie sur les sources documentaires (dossier patient, prescriptions, transmissions, planning) et sur les entretiens individuels avec les professionnels impliqués.

Les entretiens sont menés dans un cadre bienveillant et confidentiel. L'objectif est de comprendre ce que chaque personne a fait, vu, compris et décidé à chaque étape. Les questions sont ouvertes et factuelles : « Que s'est-il passé ensuite ? », « Qu'avez-vous observé ? », « Quelles informations aviez-vous à ce moment-là ? ». Toute question culpabilisante est proscrite.

La chronologie est formalisée sous forme d'un tableau ou d'une frise temporelle, mentionnant pour chaque étape : l'heure, l'action réalisée, l'acteur concerné et les informations disponibles. Les écarts par rapport à la pratique attendue sont repérés sans jugement.

Étape 3 : identifier les facteurs contributifs

C'est le cœur de l'analyse. Pour chaque écart identifié dans la chronologie, l'équipe recherche les facteurs contributifs en utilisant la grille ALARM. La technique des 5 pourquoi est particulièrement utile à cette étape : face à chaque cause apparente, on demande « pourquoi ? » jusqu'à atteindre les causes profondes.

Prenons un exemple. L'erreur apparente est une administration d'un médicament à un patient allergique. Premier pourquoi : l'allergie n'était pas mentionnée dans le plan de soins. Deuxième pourquoi : la transmission orale n'a pas eu lieu car le changement d'équipe coïncidait avec un afflux de patients. Troisième pourquoi : le système informatique ne génère pas d'alerte automatique sur les allergies. Quatrième pourquoi : cette fonctionnalité n'a jamais été paramétrée car l'établissement considérait que la vérification orale suffisait. On passe ainsi de la « faute » individuelle à des facteurs organisationnels et techniques sur lesquels il est possible d'agir.

Étape 4 : construire l'arbre des causes

L'arbre des causes est une représentation graphique qui visualise les liens entre l'événement final et l'ensemble des facteurs contributifs identifiés. Il se construit de droite à gauche : l'événement est placé à droite, et l'on remonte progressivement vers les causes en posant la question « qu'a-t-il fallu pour que cela se produise ? ».

Trois types de relations logiques structurent l'arbre. L'enchaînement : un fait a conduit à un autre (relation séquentielle). La conjonction : plusieurs facteurs ont dû être présents simultanément pour que l'événement survienne (modèle du fromage suisse). La disjonction : plusieurs causes indépendantes auraient pu, chacune seule, produire le même effet.

L'arbre des causes permet d'identifier les nœuds critiques où une intervention aurait pu interrompre la chaîne causale. Ce sont ces nœuds qui guideront la définition des actions correctrices.

Étape 5 : analyser les barrières de sécurité

Les barrières de sécurité sont les dispositifs — humains, organisationnels ou techniques — conçus pour prévenir l'événement ou en limiter les conséquences. L'analyse doit identifier quelles barrières existaient, lesquelles ont fonctionné, lesquelles ont échoué et lesquelles étaient absentes.

On distingue trois types de barrières. Les barrières de prévention visent à empêcher l'erreur (check-list, double contrôle, alerte informatique). Les barrières de récupération permettent de détecter l'erreur avant qu'elle n'atteigne le patient (surveillance, vérification croisée). Les barrières d'atténuation limitent les conséquences lorsque l'erreur a atteint le patient (protocole d'urgence, antidote).

Pour chaque barrière défaillante, l'analyse identifie la raison de la défaillance : barrière absente (jamais mise en place), barrière inadéquate (mal conçue), barrière contournable (facilement négligée en situation de pression) ou barrière inopérante (dysfonctionnement technique).

Étape 6 : rédiger le rapport d'analyse

Le rapport d'analyse constitue le volet 2 de la déclaration d'EIGS transmis à l'ARS. Il doit être structuré, factuel et anonymisé. Sa structure type comprend le contexte général (type d'établissement, service concerné), la chronologie détaillée des faits, les facteurs contributifs identifiés classés par catégorie ALARM, l'arbre des causes, l'analyse des barrières et le plan d'actions correctrices.

Le rapport doit être rédigé dans un langage accessible, sans jargon excessif, et doit être compréhensible par un lecteur extérieur à l'établissement. L'anonymisation concerne les patients, les professionnels et toute information permettant une identification indirecte.

Étape 7 : définir et suivre les actions correctrices

Les actions correctrices doivent cibler les causes profondes identifiées et renforcer les barrières défaillantes. Pour chaque action, le rapport précise l'objectif, le responsable, l'échéance et l'indicateur de suivi.

Les actions les plus robustes sont celles qui modifient le système plutôt que celles qui reposent sur la vigilance individuelle. Par ordre d'efficacité décroissante : l'élimination du risque (suppression de l'étape dangereuse), la substitution (remplacement par une alternative plus sûre), les barrières techniques (alerte automatique, détrompeur), les barrières organisationnelles (double contrôle, check-list), et en dernier recours la formation et la sensibilisation.

Le suivi des actions dans le temps est critique. Une action non mise en œuvre ou non évaluée rend l'analyse inutile. Un outil numérique de gestion des événements indésirables permet d'automatiser ce suivi et de générer des relances systématiques.

Les pièges à éviter

Plusieurs écueils menacent la qualité de l'analyse systémique. Le biais rétrospectif est le plus insidieux : sachant comment l'événement s'est terminé, les analystes ont tendance à juger évidente une erreur qui ne l'était pas au moment des faits. Pour contrer ce biais, il faut systématiquement se replacer dans le contexte et les informations disponibles au moment de chaque décision.

L'arrêt prématuré de l'analyse conduit à se satisfaire de causes superficielles (« le soignant n'a pas vérifié ») sans explorer les raisons pour lesquelles la vérification n'a pas eu lieu. Les 5 pourquoi sont l'antidote à ce piège.

La confusion entre facteur contributif et cause unique simplifie excessivement la réalité. Un EIG résulte toujours d'une combinaison de facteurs, et l'analyse doit refléter cette complexité.

Enfin, la proposition d'actions irréalistes (« recruter dix infirmiers supplémentaires ») disqualifie l'analyse. Les actions proposées doivent être réalisables dans le contexte réel de l'établissement, même si des recommandations de plus long terme peuvent être formulées séparément.

En synthèse

L'analyse systémique d'un EIG est un exercice exigeant mais indispensable. Elle transforme un événement douloureux en source d'apprentissage pour l'ensemble de l'organisation. Sa réussite repose sur la rigueur méthodologique (application fidèle de la grille ALARM), la bienveillance envers les professionnels impliqués, la capacité à dépasser les causes apparentes pour atteindre les causes profondes, et la traduction des enseignements en actions concrètes et suivies. Les établissements qui maîtrisent cette compétence disposent d'un avantage décisif dans leur démarche d'amélioration continue de la sécurité des soins.