Guide ORG SV Système de Gestion Ed1 v3 Février2022
Guide ORG SV Système de Gestion Ed1 v3 Février2022
Guide ORG SV Système de Gestion Ed1 v3 Février2022
L’EXPLOITANT
Guide des attendus
Approbation du document
Nom Responsabilité Date Visa
Benoit Lefort 10/02/2022
Inspecteur Opérations aériennes Rédacteur
DSAC-N
Andy Dufour 10/02/2022
Vérificateur
Chef du pôle Opérations avions
François-Xavier Dulac 10/02/2022
Directeur technique Navigabilité et Approbateur
Opérations
Pour tout commentaire ou suggestion à propos de ce guide, veuillez contacter la direction de la sécurité de
l’aviation civile à l’adresse suivante : [email protected]
Édition 1
Guide DSAC
Page : 2/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Sommaire
Gestion documentaire ............................................................................................................................................ 2
Historique des révisions ................................................................................................................................... 2
Approbation du document ................................................................................................................................ 2
Sommaire................................................................................................................................................................. 3
1. Préambule ........................................................................................................................................................... 4
2. Références réglementaires ................................................................................................................................ 5
3. Attendus d’un système de gestion ................................................................................................................... 8
3.0. Généralités .................................................................................................................................................. 8
3.1. Organisation et chaîne de responsabilité ..............................................................................................10
3.2. Politique du système de gestion ............................................................................................................24
3.3. Gestion des risques .................................................................................................................................26
3.4. Maintien des compétences du personnel ..............................................................................................45
3.5. Documentation de l’exploitant et archivage ..........................................................................................47
3.6. Surveillance de la conformité..................................................................................................................55
3.7. Gestion des changements .......................................................................................................................60
3.8. Gestion des interfaces .............................................................................................................................64
3.9. Mesure de la performance du système de gestion ...............................................................................66
Annexe 1 : Glossaire ............................................................................................................................................68
Annexe 2 : Sommaire détaillé du Guide .............................................................................................................70
Édition 1
Guide DSAC
Page : 3/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
1. Préambule
La réglementation opérationnelle AIR-OPS (Règlement EU N°965/2012) requiert que les organisations qui
réalisent les opérations suivantes mettent en œuvre un système de gestion :
• opérations à des fins de transport commercial (CAT),
• opérations à des fins de transport non commercial au moyen d’aéronefs complexes (NCC)
• opérations spécialisées à des fins commerciales (SPO)
• opérations spécialisées à des fins non commerciales au moyen d’aéronefs complexes (SPO).
Les exploitants d’avions non complexes, d’hélicoptères non complexes, de ballons ou de planeurs réalisant
exclusivement des opérations non commerciales (NCO) ne sont pas soumis à l’exigence de mise en œuvre d’un
système de gestion.
L’objectif de ce guide est d’expliciter les attendus d’un système de gestion lorsqu’il est requis. Il ne s’agit pas d’un
guide d’approbation. Dans les cas où la réglementation opérationnelle prévoit une approbation liée au système
de gestion, le traitement de celle-ci est abordé dans les guides suivants :
Édition 1
Guide DSAC
Page : 4/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
2. Références réglementaires
Exigences communes
ORO.SPO.100
pour SPO commerciaux
Système de gestion
ORO.GEN.200(a)(1)
(organisation)
ORGANISATION ET CHAINE DE
Exigences en termes de
personnel (Cadre ORO.GEN.210(a)
responsable)
RESPONSABILITE
ORO.GEN.210(b)
Exigences en termes de
ORO.AOC.135(a)
personnel (Responsables
ORO.AOC.135 (a) (uniquement SPO
désignés)
commercial)
ORO.GEN.210(c)(d) (e)
Exigences en matière de
ORO.AOC.135(b)
personnel (adéquation et
ORO.AOC.135(b) (uniquement SPO
compétences)
commercial)
Exigences en matière de ORO.AOC.135(c)
personnel (supervision et ORO.AOC.135(c) (uniquement SPO
contrôle opérationnel) commercial)
DU SG
POL
Système de gestion
ORO.GEN.200(a)(2)
(politique)
Édition 1
Guide DSAC
Page : 5/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Catégorie d’exigence Applicable CAT Applicable NCC Applicable SPO
COMPETENCES DU GESTION DES RISQUES Système de gestion (gestion
ORO.GEN.200(a)(3)
des risques)
A traiter comme tout
autre risque
+ ORO.FTL.120 / A traiter comme tout A traiter comme tout
Gestion du risque fatigue
Arrêté du autre risque autre risque
25/03/2008 si
applicables
Compte-rendu d’événements ORO.GEN.160
Analyse des vols ORO.AOC.130
MAINTIEN DES
PERSONNEL
Système de gestion
ORO.GEN.200(a)(4)
(formation)
Système de gestion
ORO.GEN.200(a)(5)
(documentation)
DOCUMENTATION DE L’ EXPLOITANT ET ARCHIVAGE
Archivage ORO.GEN.220
ORO.AOC.150
Exigences relatives à la (également
ORO.AOC.150
documentation applicable au SPO
commercial)
ORO.MLR.100
& AMC1
AMC 3 à
Manuel d’exploitation -
l’ORO.MLR 100
Généralités AMC 2 à AMC 4 à
[CAT A vers A :
l’ORO.MLR 100 l’ORO.MLR 100
AMC 2 à
l’ORO.MLR 100]
Manuel d’exploitation –
ORO.MLR.101
Structure pour le CAT
Liste minimale d’équipement
ORO.MLR.105
(LME)
Carnet de route ORO.MLR.110
Archivage ORO.MLR.115
Documents, manuels et
informations devant se trouver CAT.GEN.MPA.180 NCC.GEN.140 SPO.GEN.140
à bord
Informations à conserver au
CAT.GEN.MPA.185
sol
Édition 1
Guide DSAC
Page : 6/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Catégorie d’exigence Applicable CAT Applicable NCC Applicable SPO
Système de gestion
(surveillance de la ORO.GEN.200(a)(6)
conformité)
ORO.GEN.120 (a)
SPO.GEN.101
Moyens de conformité
(= ORO.GEN.120
DE LA CONFORMITE
(a))
SURVEILLANCE
ORO.GEN.120 (b)
Moyens de conformité ou (c) selon parties
ORO.GEN.120 (b) ORO.GEN.120(c)
(autorisation/déclaration) approuvées ou
déclarées
Termes d’agrément et
privilèges du détenteur d’un ORO.GEN.125
CTA
Maintien de la validité du CTA/
ORO.GEN.135 ORO.SPO.120
de l’autorisation SPO
Réaction immédiate à un
ORO.GEN.155
problème de sécurité
Constatations ORO.GEN.150
ORO.GEN.130 ORO.DEC.100(d)
CHANGEMENTS
GESTION DES
Changements
ORO.SPO.115
GESTION DES
INTERFACES
Édition 1
Guide DSAC
Page : 7/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3. Attendus d’un système de gestion
3.0. Généralités
Références réglementaires
ORO.GEN.200 Système de gestion
AMC à l’ORO.GEN.200 Management system
GM à l’ORO.GEN.200 Management system
Références réglementaires
ORO.GEN.200 (b) Système de gestion (Complexité)
AMC1 ORO.GEN.200 (b) Size, nature and complexity of the activity
Même si les exigences réglementaires de haut niveau (ORO.GEN.200 (a)) sont les mêmes pour tous, on ne peut
pas attendre d’un petit exploitant qu’il déploie des méthodes de travail aussi développées que celles d’un plus
gros. C’est pourquoi, la réglementation prévoit que les exploitants non complexes mettent en place des méthodes
et moyens plus simples ou plus adaptés, afin d’y répondre.
Il est donc important en premier lieu de déterminer si l’exploitant est complexe ou non complexe au sens de
l’AMC1 ORO.GEN.200(b). Ces critères sont présents dans le guide DSAC ‘Surveillance des exploitants
d’aéronefs’. Ils sont rappelés ci-dessous.
Un exploitant qui compte plus de 20 équivalents temps plein (ETP) impliqués dans les activités soumises au
règlement (UE) n°2018/1139 et à ses règlements d’applications est un exploitant complexe.
Outre le critère du nombre d’ETP, le caractère complexe d’un exploitant est déterminé en prenant en compte les
critères suivants :
Édition 1
Guide DSAC
Page : 8/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Non complexe
Dans la suite du guide, ce type d’encart indique les spécificités applicables aux
organismes non complexes.
Toutefois, il est important de garder à l’esprit ce qui suit :
• L’AIR-OPS met à disposition des exploitants deux jeux distincts d’AMC/GM selon que l’organisme
est non complexe ou complexe (en plus des AMC/GM communs applicables indifféremment à
tous).
• Leur volume et la différence en termes de complexité des processus SG qui y sont décrits
introduisent des attendus différents en termes de complexité des processus du système de
gestion à mettre en œuvre pour répondre aux six points d’un système de gestion décrit dans
l’ORO.GEN.200(a).
• En réalité, en dépit de cette discontinuité des AMC/GM, l’adaptation requise par
l’ORO.GEN.200(b) est progressive. Il n’y a pas de discontinuité mais une adaptation progressive
et continue de la complexité des processus SG à mettre en œuvre, en fonction de la complexité
de l’exploitation et de l’évolution de ses activités. L’objectif reste unique : s’assurer que l’ensemble
du périmètre de l’exploitation est géré.
Édition 1
Guide DSAC
Page : 9/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1. Organisation et chaîne de responsabilité
Références réglementaires
ORO.GEN.200 (a)(1) (AMC1, GM1 et 2) Système de gestion
ORO.GEN.210 Exigences en termes de personnel
ORO.AOC.135 (CAT & SPO commercial) Exigences en termes de personnel
3.1.1. Introduction
Dans tous les cas (CAT, NCC, SPO) l’exploitant désigne :
• un cadre responsable (CR) qui a autorité pour veiller à ce que toutes les activités soient financées
et exécutées conformément aux exigences applicables
• une ou des personnes qui ont la responsabilité de veiller à ce que l’exploitant reste conforme aux
exigences applicables et à un niveau de sécurité acceptable
• un responsable de la gestion de la sécurité (RGS)
• un responsable de la surveillance de la conformité (RSC)
Pour le CAT et le SPO commercial, la réglementation identifie quatre domaines d’activité :
• opérations en vol
• opérations au sol
• formation des équipages
• maintien de la navigabilité
Pour chacun de ces quatre domaines, les personnes en charge de veiller à ce que l’exploitant reste conforme aux
exigences applicables (gestion et supervision) sont appelées responsables désignés (RD) :
Édition 1
Guide DSAC
Page : 10/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Cadre responsable
ZZZ
Responsable de la
Responsable de la
surveillance de la
gestion de la sécurité
conformité
XXX
YYY
Les liens entre les différents responsables mentionnés dans l’organigramme peuvent être hiérarchiques ou
fonctionnels. Dans ce dernier cas, ce lien correspond à un lien de subordination différent du lien hiérarchique et
doit être représenté différemment du lien hiérarchique dans l’organigramme.
Les relations entre les différents responsables qui ne sont ni hiérarchiques ni fonctionnelles n’ont pas à être
représentées sur l’organigramme.
Au-delà du schéma possible présenté ci-dessus, une multitude de schémas différents sont envisageables. Pour
démontrer l’efficacité de l’organisation qu’il compte retenir, l’exploitant devrait :
• A priori :
o analyser les potentiels écueils liés à ce schéma et en déterminer l’acceptabilité ;
o décrire les moyens mis en place pour atteindre les objectifs attendus par la
réglementation (avenants de contrats, délégation des responsabilités, protocole de
fonctionnement entre différents service de l’exploitation) ;
• A posteriori :
o vérifier dans le cadre de sa surveillance interne que les moyens mis en place permettent
effectivement d'atteindre les objectifs (en s'attachant aux potentiels écueils identifiés
préalablement).
Note : La surveillance de l'autorité portera notamment sur ces aspects-là.
Édition 1
Guide DSAC
Page : 11/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.2. La chaîne de responsabilité
Références réglementaires
ORO.GEN.200 (a)(1) Système de gestion
ORO.GEN.130 Changements
ORO.MLR.100 Manuel d’exploitation
L’exploitant définit clairement les chaines de responsabilités au sein de son organisation et prévoit un système de
retour d’information vers le CR pour permettre à ce dernier de s’assurer que les actions correctives et/ou
événements de sécurité sont à la fois identifiés et rapidement pris en compte.
Il décrit dans son manuel d’exploitation (section A-1) les devoirs et les engagements à rendre compte
(accountability), responsabilités (responsability), liens hiérarchiques et tâches des personnes visées au 3.1.1 ci-
dessus, ainsi que la façon dont ces responsabilités sont déclinées au sein de son organisation (voir également la
section Supervision du présent guide). Une personne de l’organisation peut déléguer certaines de ses
responsabilités mais ne peut pas déléguer ses devoirs de comptabilité (ex : CR et sa responsabilité ultime en
termes de sécurité).
Dans le cas du CAT, la DSAC approuve le positionnement dans la chaine hiérarchique (ou fonctionnelle) des
personnels exerçant une responsabilité relative au fonctionnement du système de gestion et non les personnes
elles-mêmes (Voir le guide DSAC 'Demande de certificat de transporteur aérien (CAT)’).
3.1.2.1. Les postes clés
3.1.2.1.1. CR – Cadre responsable
Références réglementaires
ORO.GEN.210 Exigences en termes de personnel
Le cadre responsable (CR) :
• met à disposition les moyens financiers et humains nécessaires en adéquation entre les
ressources et les besoins d’exploitation ;
• est chargé d’établir et de maintenir un système de gestion efficace ;
• définit la politique de sécurité et veille à son application ;
• définit les responsabilités des personnels en matière de sécurité/conformité ;
• doit rendre compte et assure la responsabilité directe en ce qui concerne la sécurité, notamment
en acceptant le niveau de risque de son exploitation ;
• est garant en dernier ressort de la conformité de son exploitation au regard d’une part des normes
et d’autre part des règles propres à l’exploitant (décrites dans le manuel d’exploitation et le manuel
de gestion de la navigabilité (MGN)).
La position hiérarchique du cadre responsable au sein de l’exploitant doit lui permettre d’avoir l’autorité, y compris
sur les aspects financiers, pour garantir que les activités d’exploitation et de maintenance seront effectuées
conformément aux exigences applicables.
Dans le cas du CAT (à l’exception du CAT A vers A), le règlement navigabilité (UE) N°1321/2014, §M.A.706 (b)
requiert que le cadre responsable pour le CTA et le dirigeant responsable pour l’agrément Part-CAMO (gestion
du maintien de la navigabilité ‘CAMO’) soient la même personne. En effet le règlement exige un CAMO intégré à
l’exploitant en CAT.
Dans le cas du NCC et du SPO, le règlement navigabilité (UE) N°1321/2014 précise que les aéronefs immatriculés
dans un État membre doivent être entretenus dans un atelier Part-145 (ou Part CAO pour les aéronefs non
complexes) et être suivis par un CAMO. Il n’y a pas en revanche, contrairement au CAT, d’obligation que le CAMO
soit intégré à l’exploitation. Il n’est donc pas requis que le cadre responsable pour le NCC ou le SPO et le dirigeant
responsable pour l’agrément Part-CAMO soient la même personne.
L’exploitant s’assure que :
• lorsqu’il n’est pas le dirigeant statutaire de l’exploitant au sens juridique (PDG, DG ou autre haut
décisionnaire), le CR dispose bien du pouvoir décisionnaire final en matière de sécurité des vols ;
Édition 1
Guide DSAC
Page : 12/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• le CR exerce en pratique sa responsabilité en matière de sécurité des vols et de conformité des
opérations (notamment en participant aux instances de pilotage du système de gestion).
3.1.2.1.2. RD – Responsables désignés
Références réglementaires
ORO.GEN.210(b) Exigences en termes de personnel
ORO.AOC.135 (a), AMC1, GM1, GM2
Les critères ci-dessous constituent des profils acceptables pour les RD. Des profils différents pourront être
acceptables à partir du moment où l’exploitant démontre que la personne sera en mesure de remplir ses fonctions.
Critères communs à tous les RD
Critères organisationnels :
• Sauf accord de l’autorité, il n’est pas responsable désigné d'un autre exploitant.
• Chaque RD rend compte en dernier ressort au CR.
• Le RD consacre suffisamment de temps à ses fonctions d’encadrement.
Profil type :
• avoir une compétence technique et une expérience de l'encadrement (de préférence dans une
structure comparable) adaptées à sa fonction ;
• justifier d’une connaissance exhaustive :
o de la réglementation applicable (acquise par une formation et/ou son expérience) ;
o des spécifications opérationnelles de son exploitant ;
o du référentiel documentaire interne de son exploitant, et des requis associés ;
• avoir une connaissance des systèmes de gestion (de préférence dans le domaine aéronautique) ;
• justifier d’une expérience professionnelle appropriée d’au moins 5 ans, dont au minimum 2 ans
dans le domaine aéronautique.
Dans le cadre de l’instruction d’un CTA ou d’un changement de RD, la DSAC peut au travers d’entretien évaluer
l’adéquation du profil retenu
Critères particuliers
RDOV - Responsable désigné opérations vol
Le RDOV devrait détenir (ou avoir détenu) une licence et des qualifications valides appropriées au type
d’opérations effectuées au sein de l’exploitation. Si sa licence et ses qualifications ne sont pas à jour, son adjoint
devrait détenir une licence et des qualifications valides.
RDFE - Responsable désigné formation des équipages
Le RDFE devrait être instructeur avec une qualification en cours de validité sur l'un des types d'appareils de
l’exploitant. Il devrait avoir une connaissance approfondie des programmes de formation des équipages (PNT,
PNC, etc.).
RDOS - Responsable désigné opérations sol
Le RDOS devrait avoir une connaissance approfondie des procédures sol de l’exploitant.
RDMN - Responsable désigné maintien de navigabilité
A) CAMO intégré :
Note : Dans le cas d’une activité CAT couverte par le règlement (UE) n°1008/2008, le CAMO doit être intégré au
sein de l’opérateur.
Dans le cas d’un CAMO intégré, le RDMN (AIR OPS) et le RDE (CAMO, Part-M) sont confondus. Il doit avoir les
connaissances pertinentes et les requis appropriés en termes d’expérience en ce qui concerne le maintien de
navigabilité, comme décrit dans la Part-CAMO du règlement (UE) n°1321/2014.
Édition 1
Guide DSAC
Page : 13/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Dans le cas d’un organisme agréé Part 145 intégré à l’exploitant, le RDMN/RDE devrait se situer à un niveau
hiérarchique suffisant pour lui permettre d’exercer correctement ses responsabilités notamment de supervision
de la contractualisation des actions de maintenance réalisée par le Part 145. Il est possible de cumuler les
fonctions de RDE du Part-CAMO et du Part 145.
Dans le cas où l’exploitant utilise un organisme agréé Part 145 sous-traité, l’autorité1 de l’exploitant peut
considérer comme acceptable que le poste de RDMN/RDE soit assuré par une personne employée par cet
organisme Part 145 sous réserve d’une justification apportée par l’exploitant motivée par une étude de sécurité.
tel qu’indiqué par l’AMC1 CAMO.A.305(b)(2).
B) CAMO non intégré (pour les exploitants non redevables du règlement (UE) n°1008/2008, par exemple
exploitants CAT A vers A ou exploitants SPO) :
Dans le cas d’un exploitant qui sous-traite la gestion du maintien de navigabilité à un CAMO externe, l’exploitant
doit nommer un RDMN qui ne peut pas externaliser ses responsabilités au CAMO. En général le RDMN sera
donc différent du RDE du CAMO sous-traitant. Le RDMN doit avoir les connaissances et les requis adaptés à la
responsabilité et aux tâches qu’il doit assurer.
Note : La description des fonctions et responsabilités ainsi que les noms des RD devront figurer dans le manuel
d’exploitation.
3.1.2.1.3. RSC – Responsable de la surveillance de la conformité
Références réglementaires
AMC1, GM1 ORO.GEN.200 (a)(6)
Généralités
Un responsable de la surveillance de la conformité (RSC) est désigné par l’exploitant. Son rôle principal est de
vérifier que les activités des différents domaines opérationnels (opérations en vol, maintien de la navigabilité des
aéronefs, formation des équipages et opérations au sol) sont conduites conformément aux normes requises par
l'Autorité, ainsi qu’aux exigences définies par l'exploitant, elles-mêmes conformes à la réglementation. Il vérifie en
outre que chacune de ces activités est effectivement supervisée par le RD correspondant.
• Il a directement accès au CR ;
• Il a accès à toutes les parties de l’organisation et si nécessaire, à celles des sous-traitants.
• En outre, le RSC devrait justifier au moment de sa prise de fonction :
• d'une compétence dans le domaine de la surveillance de la conformité, ainsi que dans les
domaines opérationnel et/ou technique (s’il effectue lui-même les audits relatifs à ces domaines) ;
• d’une connaissance de la réglementation applicable.
Dans l'idéal cette compétence et cette connaissance devraient résulter de son expérience, toutefois l’une des
deux peut être acquise par une formation.
Notes : une expérience d’audité dans des fonctions antérieures peut valoir expérience de la surveillance de la
conformité ; par ailleurs, la connaissance de l’AIR-OPS et du domaine peuvent s’acquérir par une formation en
interne ou en externe, mais également, pour le RSC d’un exploitant en création, en coordonnant étroitement
l’écriture du manuel d’exploitation et en établissant la matrice de conformité correspondante.
D'autres profils peuvent répondre aux exigences de l'AIR-OPS pour remplir la fonction de RSC à condition que
l’exploitant justifie un niveau de conformité équivalent.
Lorsque la taille de l’exploitant le justifie, le RSC peut s’appuyer sur un ou des correspondants conformité ayant
des compétences spécifiques dans les différents domaines si lui-même n’a pas ces compétences.
Responsable de la surveillance de la conformité OPS et Maintenance
Pour rappel, en transport aérien commercial sous licence, conformément au M.A.201(h) (Règlement (UE)
1321/2014), l’exploitant ne peut pas sous-traiter la gestion du maintien de la navigabilité des aéronefs en liste de
flotte sur son CTA à un organisme externe ; il doit lui-même être agrée Part-CAMO. En revanche, l’entretien des
aéronefs quant à lui peut être sous-traité (à un organisme agréé Part 145).
1Bienque le responsable de maintien de navigabilité (RDMN) soit mentionné dans l’ORO.AOC.135, celui-ci est approuvé par
OSAC conformément au règlement (UE) n° 1321/2014.
Édition 1
Guide DSAC
Page : 14/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
En exploitation NCC, SPO et CAT A vers A, la gestion du maintien de navigabilité peut être sous-traitée à un
organisme agréé Part CAMO et la maintenance peut être sous-traitée à des organismes agréés Part 145 (ou Part
CAO pour les aéronefs non complexes).
Les règlements n’imposent pas d’avoir une personne unique identifiée comme étant en charge de la surveillance
de la conformité des opérations effectuées sous CTA et de la gestion du maintien de navigabilité CAMO. Ainsi,
un exploitant peut choisir d'avoir un responsable de la surveillance de la conformité pour les opérations effectuées
sous CTA et un responsable de la surveillance de la conformité des opérations CAMO différents. Ces deux
responsables doivent toutefois respecter les exigences associées à leurs fonctions, notamment :
Références réglementaires
AMC1 ORO.GEN.200 (a)(1), §a (COMPLEX OPERATORS)
AMC1 ORO.GEN.200 (a)(1) ; (2) ; (3) ; (5), §c (NON-COMPLEX OPERATORS)
Le cadre responsable identifie un responsable de la gestion de la sécurité, chargé de la mise en œuvre, du
développement et du pilotage du système de gestion. La position du RGS dans l’organisation lui permet d’avoir
accès à toutes les activités entrant dans le périmètre du système de gestion y compris celles relatives aux activités
d’entretien.
Le RGS devrait pouvoir justifier de compétences en matière de gestion de la sécurité (formation, expérience, etc.).
En fonction de la taille de l’exploitant, de la nature et de la complexité de ses activités, le RGS peut être assisté
par des collaborateurs et s’appuyer sur des correspondants sécurité dans les différentes entités de l’exploitant
notamment pour la partie concernant le suivi du maintien de navigabilité et pour la partie entretien lorsque
l’exploitant détient un agrément Part 145.
Quelle que soit l’organisation choisie, le RGS reste le point focal unique en matière de mise en œuvre, de
développement et de pilotage du système de gestion. En particulier, son rôle est de veiller au bon fonctionnement
des processus de gestion des risques (détaillés en section 3) et de surveiller la mise en œuvre d’actions visant à
réduire les risques identifiés.
En outre, il est garant de l’efficacité de ce système.
Un accès direct du RGS au CR favorise une gestion efficace de la sécurité.
3.1.2.1.5. Les règles de cumul de fonctions
Certaines responsabilités peuvent être assumées par une même personne. Toutefois, l’encadrement doit être
adapté à la taille de l’exploitant et à la nature de ses opérations, et chaque responsable doit pouvoir consacrer
suffisamment de temps à sa fonction (cf. AMC1 et 2 ORO.AOC.135(a)).
N.B. : Il appartient alors à l’exploitant d’apporter des éléments factuels sur la capacité des responsables à mener
leur tâche (contractualisation des temps dévolus à ces tâches) avant la mise en œuvre d’une telle organisation et
Édition 1
Guide DSAC
Page : 15/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
de s’assurer en continu que ce cumul n’est pas un obstacle à la bonne réalisation de chacune des fonctions
concernées.
Cumul de la fonction de RD avec d’autres fonctions
… avec la fonction de CR
Ce cas de figure est fréquent pour les structures non complexes. Un tel cumul n’est possible que si la charge de
travail induite le permet. L’exploitant s’assure alors que la personne est en mesure d’assumer l’ensemble des
responsabilités liées à chacune des fonctions tenues (profil, compétences, temps alloué, etc.).
… avec d’autres fonctions de RD
Un responsable désigné peut être responsable désigné dans d’autres domaines, au sein de l’exploitation. Dans
ce cas, l’exploitant s’assure que la personne est en mesure d’assumer l’ensemble des responsabilités liées à
chacune des fonctions tenues (profil, compétences, temps alloué, etc.).
Dans des cas ponctuels et après accord de la DSAC, un responsable désigné peut également exercer des
fonctions de responsables désignés chez d’autres exploitants. Les mêmes conditions d’assurance par l’exploitant
de disponibilité et de capacité à réaliser les tâches imparties s’applique.
Cumul de la fonction de RSC avec d’autres fonctions
• Il ne peut être l'un des RD (AMC1 ORO.GEN.200(a)(6) §c)3)ii)) en raison du conflit d’intérêt
inhérent.
• Il ne peut être le CR.
Non complexe
Pour les structures non complexes, les postes de CR et de RSC peuvent être
combinés, à condition :
Non complexe
Pour les structures non complexes, le RGS peut être le CR ou une personne ayant
un rôle opérationnel au sein de l’exploitant.
Édition 1
Guide DSAC
Page : 16/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.2.1.6. Externalisation des postes clés
Cas d’un RSC externe
La fonction de RSC peut être externalisée sous réserve que :
Édition 1
Guide DSAC
Page : 17/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.2.2. Les autres responsabilités en matière de sécurité / conformité
Pour un fonctionnement efficace du système de gestion, il est nécessaire de bien définir les responsabilités en
matière de sécurité et de conformité au sein de l’organisme. Cela s’applique au CR, aux RDs, au RGS, au RSC
mais également à tous les agents dont l’activité a ou peut avoir un impact sur la sécurité.
Les responsabilités sont portées à la connaissance de tous (par exemple : manuel, fiches de postes, etc.).
Certaines tâches du système de gestion ne peuvent être réalisées par une personne « partie prenante ». Ainsi, il
convient de vérifier que des solutions sont prévues pour les audits internes (ex. : audits par des sociétés
extérieures si besoin) et, si possible, pour l'analyse des évènements (ex. : analyse conjointe avec des agents
d’autres services).
La répartition des tâches peut être différente d’un exploitant à l’autre, mais toutes les tâches doivent être
attribuées.
Non complexe
Structure unipersonnelle : La plus petite structure possible est composée d’une
seule et unique personne cumulant l’ensemble des responsabilités. Dans cette
configuration, il appartient à l’exploitant de décider s’il conserve la fonction de RSC
ou s’il la sous-traite, en s’attachant à vérifier que l’organisation adoptée garantit la
bonne réalisation des tâches qui relèvent de la responsabilité d’un RSC,
notamment :
Édition 1
Guide DSAC
Page : 18/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.3. Les instances de gouvernance
3.1.3.1. Les instances réglementaires
3.1.3.1.1. Le Safety Review Board ‘SRB’ (exploitant complexe)
Références réglementaires
AMC1 ORO.GEN.200 (a)(1), §b
L’exploitant met en place un SRB. Ce comité de haut niveau réunit les principaux responsables en charge de la
stratégie sécurité de l’organisme, en support du CR. Le SRB devrait être présidé par le CR et réunir au minimum
les RDs, le RGS et le RSC. Il a pour rôle de :
• s’assurer que les ressources allouées sont suffisantes pour atteindre les objectifs de sécurité ;
• effectuer une évaluation complète, systématique et documentée du système de gestion ;
• mesurer les performances en matière de sécurité et de conformité du système de gestion, par
rapport à la politique et aux objectifs que l’organisme s’est fixés ;
• mesurer l’efficacité de fonctionnement du système de gestion :
o en termes de gestion des risques
Le SRB est notamment l’occasion de passer en revue les résultats de l’analyse des
événements et de la gestion des risques ;
o en termes de surveillance de la conformité
Le SRB est notamment l’occasion de passer en revue les résultats des inspections, des audits
et autres indicateurs ;
• surveiller que les actions nécessaires sont prises dans un délai approprié et évaluer leur efficacité.
Lors de ces réunions, le SRB devrait identifier et corriger les dérives pour empêcher, si possible, les éventuels
non-conformités ou événements de sécurité. Les décisions prises lors de ces réunions devraient être tracées.
Le CR devrait décider de la fréquence, de la forme et de la structure des SRB. Ces modalités devraient être
documentées. Une fréquence de deux réunions du SRB par an semble être une bonne pratique. La réunion du
SRB peut s’adapter à la situation de l’exploitant (elle devrait par exemple être avancée en cas de recrudescence
des évènements de sécurité).
Le RGS peut participer au SRB mais ce n’est pas une obligation réglementaire. Toutefois, il doit communiquer au
CR toutes les informations pertinentes en matière de sécurité de façon à ce que ce dernier puisse disposer des
éléments nécessaires à sa prise de décision.
Non complexe
Pour les exploitants non complexes, la mise en place d’un SRB n’est pas exigée.
En revanche, les objectifs de ce type d’instance restent applicables dans ce cas.
Ils doivent donc prévoir une évaluation systématique et périodique de leur système
de gestion selon des modalités qu’ils auront définies.
3.1.3.1.2. Le Safety Action Group ‘SAG’ (exploitant complexe)
Références réglementaires
GM2 ORO.GEN.200 (a)(1)
L’exploitant peut instituer des ‘Safety Action Group’ (SAG) sur une base régulière ou pour répondre à un besoin
précis.
Un ou plusieurs SAG peuvent exister en fonction de la taille et la complexité de l’exploitant, et en fonction
également des domaines d’expertises. Il rassemble l’encadrement (RD et superviseurs), ainsi que des personnes
des domaines opérationnels.
Le SAG doit être le relai du SRB. Il reçoit des consignes stratégiques du SRB et lui rend compte.
Le rôle d’un SAG est :
Édition 1
Guide DSAC
Page : 19/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• d’évaluer l’impact des changements sur la sécurité des activités;
• de s’assurer que des actions sont prises dans les délais impartis en réponse aux problèmes de
sécurité identifiés et qu’elles s’avèrent efficaces ;
• de s’assurer de l’efficacité des recommandations précédemment émises dans le cadre de la
promotion de la sécurité.
Dans tous les cas, les modalités de coordination entre les différents groupes, les différents correspondants et les
différentes personnes impliquées doivent être définies et documentées.
Non complexe
La notion de SAG ne s’applique pas aux exploitants non complexes.
3.1.3.2. Les autres instances
Pour faire fonctionner son système de gestion, l’exploitant peut avoir recours à d’autres instances (ex. : revues de
direction spécifiques sur la conformité ou la sécurité, des réunions de conformité ou sécurité dans des entités
métier…). En particulier, la mise en place par l’exploitant d’une revue périodique de la surveillance de la conformité
interne afin de faire le bilan sur la surveillance réalisée, le suivi des actions correctives ainsi que leur efficacité est
une bonne pratique.
Le rôle et le fonctionnement (présidence, participants, fréquence) de ces instances, ainsi que la façon dont elles
s’articulent avec les instances réglementaires (SRB et, le cas échéant SAG) doivent être décrits dans la
documentation du système de gestion.
Édition 1
Guide DSAC
Page : 20/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.4. Supervision
Références réglementaires
ORO.GEN.210 Exigences en termes de personnel
Exigences en matière de personnel (CAT, et SPO
ORO.AOC.135
commercial de part ORO.SPO.100)
3.1.4.1. Généralités
Le principe de supervision des opérations est un concept organisationnel « statique » visant à s’assurer que
chaque exigence réglementaire est bien placée sous la supervision et la responsabilité :
Références réglementaires
ORO.GEN.210 (b)
ORO.AOC.135 (c) (CAT, et SPO commercial de part ORO.SPO.100)
Par définition, les RD (ou « personnes désignées ») ont la responsabilité du maintien de la conformité
réglementaire des opérations qui relèvent de leur compétence. Par leurs compétences et les connaissances des
Édition 1
Guide DSAC
Page : 21/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
règlements applicables, les RD (ou « personnes désignées ») sont, en permanence, en mesure d’exercer leur
responsabilité de vérification de la conformité.
Cette responsabilité s’exerce dans la gestion au quotidien de l’activité dont ils ont la charge notamment via :
Références réglementaires
AMC1 ORO.AOC.135 (a), §(c) (CAT, et SPO commercial de part ORO.SPO.100)
Dans le cas du CAT et du SPO commercial, l'exploitant doit faire en sorte que la continuité de la supervision puisse
être assurée en l'absence des responsables désignés.
La continuité de la supervision peut être assurée par un adjoint ou via une procédure montrant comment est
déléguée la supervision en cas d'absence du responsable désigné. Une autre personne du domaine sous la
responsabilité du RD concerné peut également assurer ce rôle de suppléant.
Dans le cas où le RD est un personnel navigant, la continuité de la supervision peut être assurée par la nomination
d’un adjoint sol.
À noter
Adjoint ou suppléant ?
Un suppléant supplée pour une durée déterminée sur l’ensemble du
périmètre alors que l’adjoint assure en permanence une partie des
attributions.
L’adjoint peut être également suppléant pour une durée déterminée.
Édition 1
Guide DSAC
Page : 22/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.1.5. Contrôle de l’exploitation
Références réglementaires
ORO.GEN.110 Responsabilités de l’exploitant
ORO.AOC.140 Exigences relatives aux installations (CAT, et SPO
commercial de part ORO.SPO.100)
Le contrôle opérationnel vise à s’assurer qu’en situation opérationnelle, les principes prévus par la supervision
des opérations sont respectés afin de s’assurer que l’exigence de haut niveau de l’ORO.GEN.110 est respectée :
« chaque vol est exécuté conformément aux dispositions du manuel d’exploitation et aux clauses de son
certificat ». C’est un principe dynamique que l’exploitant doit être en mesure d’exercer en permanence (lorsqu’un
vol est déclenché de manière prévue ou imprévue). Il doit, par exemple, permettre de s’assurer que :
• tout PN programmé est à jour des formations, entrainements et contrôles exigés au titre de la
réglementation ou du manuel d’exploitation,
• les règles de programmation (temps de service et de repos) pour l’équipage affecté sur le vol sont
respectées,
• sur la base des dernières informations disponibles, la préparation des vols est conforme aux
exigences réglementaires.
Dans le cas du CAT et du SPO commercial la réglementation précise que l’exercice du contrôle opérationnel
nécessite des ressources et des installations dédiées car il joue un rôle essentiel pour assurer le respect de la
conformité du déroulement des vols.
À noter
Les exploitants ont souvent recours à un logiciel ou à un service
(quart-ops, CCO) pour assurer, tout ou partie de leur contrôle
opérationnel sur leurs vols, à travers les alertes et alarmes qu’il peut
générer/traiter.
Les principes de contrôle opérationnel doivent être décrits dans le manuel d’exploitation.
Pour le CAT et le SPO, la règlementation précise qu’ils doivent être décrits dans la section A2, §2.3 (AMC3
ORO.MLR.100 / AMC4 ORO.MLR.100).
Édition 1
Guide DSAC
Page : 23/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.2. Politique du système de gestion
Références réglementaires
ORO.GEN.200 (a)(2) (AMC1 et GM1) Système de gestion
ORO.GEN.130 Changements (CAT)
L’exploitant doit définir une politique de son système de gestion nommée politique de sécurité. Elle inclut une
description de la doctrine et des principes généraux en matière de sécurité.
Le CR a le pouvoir de s’assurer que toutes les opérations peuvent être financées et mises en œuvre selon les
exigences réglementaires. En outre, il a “la responsabilité finale de toutes les questions relatives à la sécurité”.
C’est à ce titre qu’il s’engage au travers de la politique de sécurité sur sa volonté de :
Édition 1
Guide DSAC
Page : 24/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• fournir les ressources humaines et financières nécessaires à sa mise en œuvre ;
• décliner les objectifs généraux en objectifs particuliers, chaque responsable le fera dans son
domaine de responsabilité.
Dans le cas du CAT, la DSAC approuve la politique du système de gestion (Voir le guide DSAC ‘Demande de
certificat de transporteur aérien (CAT)’).
Références réglementaires
ORO.GEN.200(a)(3) (dont AMC1) Système de gestion
Comme dans tout système de gestion, l’exploitant doit se fixer des objectifs, en termes de niveau de sécurité, de
conformité ou de performance de son système de gestion. Ils doivent être cohérents avec la situation et les besoins
de l’exploitant (taille, type d’exploitation, sujets pouvant poser des problèmes de sécurité, etc.). Les objectifs
peuvent être aussi bien qualitatifs (exprimant des tendances) que quantitatifs (chiffrés).
Le nombre d’objectifs définis doit être adapté à la situation et aux besoins de l’exploitant.
Les objectifs doivent être définis dans la documentation de l’exploitant, pertinents, réévalués périodiquement (ex :
à chaque SRB ou instance équivalente) et suivis (pas seulement à chaque réévaluation).
À noter
Les objectifs doivent être ‘SMART’ :
• S : spécifiques
•
•
•
M : mesurables
A : atteignables
R : réalistes
• T : temporels
Exemples d’objectifs :
- Conformité – Réduire le nombre de non-conformités détectées lors de la surveillance interne (qualitatif)
- Sécurité – Atteindre zéro approche non stabilisée non suivie de remise des gaz (quantitatif)
- Performance du SG – Augmenter la notification d’événements (volume et taux) (qualitatif)
Le chapitre 9 « Mesure de la performance du système de gestion » donne d’autres exemples et aborde leur
utilisation.
Édition 1
Guide DSAC
Page : 25/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3. Gestion des risques
Références réglementaires
ORO.GEN.200 (a) (3) (AMC1, GM1 et 3) Système de gestion
(AMC1 ORO.GEN.200(a)(1);(2);(3);(5)) (Exploitants non complexes – Général)
ORO.GEN.205 (AMC1 et GM1 et 2) Activités sous traitées
ORO.AOC.130 (AMC1 et GM1) Analyse des vols (CAT)
ORO.GEN.160 Compte rendu d’événements
ORO.FTL / Sous-partie Q de l’EU-OPS Système de gestion du risque fatigue (applicable au
CAT seul)
3.3.1. Préambule
3.3.1.1. Objectifs
Etant donné la multiplicité des types d’exploitation, une réglementation ne peut pas prescrire des règles de sécurité
visant à encadrer l’ensemble des particularités. Pour cette raison, le législateur a mis en place les systèmes de
gestion. L’objectif de cette exigence de l’AIR-OPS est d’aller au-delà d’une règle purement prescriptive, qui, si elle
est nécessaire pour la sécurité des vols nécessite d’être complétée par des dispositions propres à chaque
exploitation.
La gestion des risques vise à empêcher l’occurrence d’événements ultimes lorsque l’exploitation est exposée à
des dangers. Elle consiste à identifier les dangers, évaluer les risques inhérents afin de les hiérarchiser et, lorsque
nécessaire, définir les actions d’atténuation qui permettent de maintenir les risques à un niveau acceptable, tout
en tenant compte des contraintes liées l’exploitation.
Il relève de la responsabilité du CR d’accepter en dernier lieu le niveau de risque de son exploitation, de valider
les mesures qui permettent de maintenir le risque au niveau souhaité, et d’assurer les conditions de leur mise en
œuvre.
La gestion des risques pourra également permettre d'adapter la surveillance interne de la conformité des
opérations (ciblage des thèmes surveillés, fréquence et volume des actes de surveillance).
3.3.1.2. Fonctionnement du système de gestion des risques
Le processus de gestion des risques peut se découper en plusieurs étapes dont les éléments attendus en sortie
sont les éléments d’entrée de l’étape suivante :
Elément de sortie à utiliser en données d’entrée de
Etape § de ce guide
l’étape suivante
Collecte des données Données de sécurité 3.3.2
Identification des dangers Liste des dangers révélés par chaque donnée 3.3.3
Evaluation du risque Niveau de priorité/risque de chaque donnée 3.3.4
Atténuation du risque Plan d’actions et de suivi des actions 3.3.5.a, b et c
Vérification de l’efficacité Indicateurs de sécurité 3.3.5.d et e
La vérification de l’efficacité des actions fait le lien entre l’atténuation et la collecte de données, le processus
fonctionne donc en boucle.
Le processus de gestion des risques se fait à différents niveaux :
• Réactif [connaitre le passé] : en réagissant à des événements passés survenus en exploitation
ou à d’autres exploitants.
Exemple : erreur de masse détectée lors d’un contrôle au sol déclenchant une note de rappel
• Proactif [comprendre le présent] : en recherchant activement les conditions dangereuses dans
les processus existants de l’exploitant.
Exemple : analyse statistique décidée en SRB de toutes les erreurs de masse et centrage
notifiées par le personnel ou constatées lors de contrôles de conformité ou effectués dans le cadre
de la supervision opérationnelle
Édition 1
Guide DSAC
Page : 26/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• Prédictif [préparer le futur] : en analysant les processus internes dans leur environnement projeté
et en identifiant les problèmes potentiels du futur.
Exemple : étude de l’impact sur la sécurité du changement du logiciel utilisé pour établir le devis
de masse et centrage (DCS)
Afin d’illustrer un possible fonctionnement du système de gestion des risques pour un exploitant aérien, le schéma
ci-dessous propose une représentation synthétique des concepts explicités ci-dessus.
Afin de lire ce schéma, il convient de noter que :
• les parties bleues représentent les processus internes à l’exploitant ;
• les parties violettes les sources de données externes ;
• le schéma s’organise en trois niveaux parallèles, une pour chacun des processus. Réactif,
proactif, prédictif, fonctionnent en parallèle, sans prédominance d’un des niveaux ;
• il s’agit uniquement d’un schéma de principe : il n’y a pas de question d’échelle entre les
différentes épaisseurs de niveaux et les parties violettes ne sont pas à cheval entre les différents
processus (l’environnement externe les alimente indifféremment) ;
• les indications en noir sur le schéma sont des exemples permettant de rendre la représentation
plus concrète. Elles n’ont pas vocation à être exhaustives ;
• Des couleurs sont utilisées pour représenter des processus optionnels : l’analyse des données de
vol (cf. 3.3.2.1.2) est en vert, et le système de gestion de la fatigue (cf. 3.3.6) est en jaune.
.
On peut lire le schéma comme suit. Au niveau réactif, des informations parviennent au système par exemple par
les remontées des équipages Un travail d’analyse permet d’identifier les différents éléments rentrant en jeu au
cours de l’événement. Certains peuvent venir alimenter le modèle de gestion des risques (qui peut se présenter
sous la forme d’une cartographie) avec de nouveaux dangers ou une évaluation mise à jour. La criticité de
l’évènement est ensuite évaluée et des mesures de mitigation adéquates sont définies.
Au niveau proactif, des données sont collectées afin d’enrichir le système de gestion, par exemple avec des
indicateurs ou la veille externe. Les résultats passent au filtre de l’étude de risque afin d’affiner le modèle de
Édition 1
Guide DSAC
Page : 27/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
gestion des risques. Dans tous les cas, des actions sont mises en place en fonction de l’exposition au risque de
l’exploitant et le fonctionnement de cette boucle proactive en continu permet de s’assurer que ces actions
demeurent pertinentes et efficaces.
Au niveau prédictif, à l’occasion d’un changement, les possibilités de collecte de données sont plus réduites mais
l’avis d’expert est toujours possible. Selon l’ampleur du changement, une étude de changement peut s’avérer
nécessaire et cette étude déterminera si le changement mérite ou non une étude de risque détaillée. Des dangers
temporaires et permanents pourront être identifiés selon le changement. Ceux évalués permanents peuvent
alimenter le modèle de gestion des risques alors que les temporaires peuvent être gérés avec l’étude de
changement pour seul support. Dans tous les cas, des mesures sont décidées pour atténuer chaque risque évalué
comme non acceptable.
3.3.1.3. Modèle de gestion des risques
Les définitions suivantes permettent de poser un cadre pratique à la gestion des risques. Nous allons en particulier
définir les outils de description du risque ainsi que la notion d’acceptabilité de ce risque.
Pour ordonner son processus d’identification et d’analyse des dangers et servir de support à sa gestion des
risques, l’exploitant adopte un format adapté à ses méthodes et à son exploitation. Une liste de dangers pour
lesquels les risques sont évalués peut notamment être utilisée pour les exploitations simples.
Danger : Un état ou objet incertain qui a le potentiel de causer des blessures, des dommages à l’équipement ou
aux structures, une perte de matériel ou une réduction de la capacité à exécuter les fonctions assignées.
Une méthode d’analyse est nécessaire pour caractériser les dangers de l’exploitation. Dans le monde de la
sécurité aérienne, le modèle du ‘bowtie’ est un des outils pour l’analyse des risques. Ce modèle nous servira de
support d’explication. Voici quelques définitions associées à ce modèle :
‘Bowtie’ (de l’anglais ‘bow-tie’, nœud papillon) : modèle graphique représentant les moyens de maîtrise d’un
risque. Un ‘bowtie’ peut être réalisé pour chaque situation à risque. Un ‘bowtie’ est composé des éléments
suivants : événement indésirable lié à un danger, menaces, événement ultime, barrière. Ceux-ci s’articulent
comme suit :
Evénement
Menace
ultime
Barrière de Barrière de Barrière de
prévention prévention récupération
Evénement
Menace
indésirable
Barrière de
prévention
Evénement
Menace
ultime
Barrière de Barrière de Barrière de Barrière de
prévention prévention récupération récupération
Plusieurs menaces peuvent être à l’origine d’un événement indésirable qui peut lui-même être la cause de
plusieurs événements ultime. Pour éviter cette succession d’événements, des barrières sont mises en place.
Evénement indésirable (EI) : événement correspondant à une perte de maitrise d’un processus opérationnel,
peut être de nature technique, procédurale ou humaine.
Exemples : approche non stabilisée, perte de séparation en vol
Menace : élément pouvant causer l’évènement indésirable. C’est le point de génération du risque au sein du
processus.
Exemples : conditions météorologiques dégradées, clairance mal comprise par l’équipage
Evénement ultime (EU) : le point de non-retour du processus de libération du risque, un accident au sens de
l’annexe 13 de l’OAC dans le cas de l’aviation civile.
Exemples : sortie de piste, collision en vol
Édition 1
Guide DSAC
Page : 28/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Ces notions peuvent également être visualiser sur un modèle en bol, la menace agissant sur une zone d’équilibre
stable afin de mener vers un état d’équilibre instable qu’est l’EI, et enfin vers un échappement de ce dernier
équilibre vers l’EU.
Barrière : moyen mis en place pour empêcher la menace de dégénérer en événement indésirable (barrière de
prévention) ou pour éviter que l’évènement indésirable s’actualise en événement ultime (barrière de récupération).
C’est l’outil de maîtrise du risque au sein du processus. Certaines barrières sont mises en place par l’exploitant,
d’autres par les acteurs en interface.
Exemples : l’ATC transmet à l’équipage les informations météorologiques pertinentes, l’équipage collationne la
clairance.
Dans la modélisation en bol précédente, les barrières sont les freins évitant d’atteindre l’EI, puis l’EU et si
nécessaire d’atténuer l’EU.
Dans le modèle Bowie, ces barrières représentent les possibles points d’arrêt d’un scénario.
Scénario : progression au sein d’un ‘bowtie’ menant d’une menace à un événement ultime. La réalisation effective
d’un scénario résulte de la défaillance de toutes les barrières mises en place entre la menace et l’événement
ultime. Ci-dessous, un exemple de scénario identifié au sein d’un ‘bowtie’ :
Evénement
Menace
ultime
Barrière de Barrière de Barrière de
prévention prévention récupération
Evénement
Menace
indésirable
Barrière de
prévention
Evénement
Menace
ultime
Barrière de Barrière de Barrière de Barrière de
prévention prévention récupération récupération
Risque : conséquences potentielles d’un danger en prenant en compte l’hypothèse la plus défavorable.
Niveau de risque : qualification du risque exprimée par le produit de la probabilité et de la gravité de l’événement
ultime du scénario associé.
Acceptable : est considéré comme acceptable un niveau de risque inférieur à un seuil défini préalablement par
l’exploitant.
Action d’atténuation : mesure mise en place par l’exploitant pour réduire la probabilité et/ou la gravité de la
conséquence liée à un scénario (on parle également d’atténuation des risques). Souvent, les actions
d’atténuation mises en place par l’exploitant consistent à créer ou renforcer des barrières existantes.
Édition 1
Guide DSAC
Page : 29/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.1.4. Etude de sécurité
L’étude de sécurité (ou étude d’impact sur la sécurité dans le cadre des changements) est un processus formel
de gestion des risques utilisé pour étudier une problématique précise de sécurité. Lorsque l’étude fait suite à un
événement, on parle communément d’Enquête interne (celle-ci est plus ou moins approfondie selon le besoin).
Sinon on utilise couramment le terme générique d’Etude de sécurité.
L’exploitant décrit son processus d’étude de sécurité dans la documentation de son système de gestion. En
pratique, la réalisation d’une étude de sécurité est tracée au moyen de formulaires conformes à ce processus.
Les études de sécurité sont archivées en tant qu’enregistrements du système de gestion.
Une étude de sécurité est structurée selon les trois étapes constitutives de la gestion des risques : identification
des dangers, évaluation des risques, atténuation des risques. La bonne structuration de l’étape ‘identification des
dangers’ de l’étude de sécurité conditionne le succès du reste de l’étude.
Une étude de sécurité devrait comprendre les phases suivantes (voir détail et application aux §3.3.3, 3.3.4, 3.3.5) :
Édition 1
Guide DSAC
Page : 30/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.2. Collecte des données
Les processus d’identification des dangers fonctionnent en permanence :
• lors du démarrage du système de gestion, des analyses sont réalisées pour initialiser
l’identification des dangers ;
• au fil de son activité, l’exploitant mène en permanence des analyses pour actualiser les dangers
qu’il a identifiés et s’assurer qu’ils restent représentatifs de son exploitation.
3.3.2.1. Réactive
L’identification des dangers repose sur la collecte des différentes données présentées ci-dessous en vue de leur
analyse.
3.3.2.1.1. Le report interne
Références réglementaires
ORO.GEN.200(a)(3) (dont AMC1 et GM1) Système de gestion
ORO.AOC.130 (dont AMC1, GM1 et 2) Analyse des vols (CAT)
ORO.GEN.160 (dont AMC1) Compte rendu d’événements
Règlement (EU) n°376/2014 concernant les comptes rendus, l’analyse et le suivi d’événements dans l’aviation
civile
Règlement (EU) n°2015/1018 établissant une liste classant les événements dans l’aviation civile devant être
obligatoirement notifiés conformément au règlement (UE) n°376/2014 du Parlement européen et du Conseil
Réglementation liée aux limitations de temps de vol et de service et exigences en matière de repos
(ORO.FTL.205(f), OPS 1.1120) (CAT)
Réglementation liée aux transports de marchandises dangereuses (CAT.GEN.MPA.200, NCC/SPO.GEN.150)
Exigences Part-CAMO et Part 145
Report des événements
L’exploitant doit mettre en place un processus de report d’évènements. Celui-ci doit prendre en compte les
comptes rendus d’événements obligatoires et les comptes rendus volontaires.
Le règlement (UE) n°376/2014 décrit les exigences pour les exploitants en termes de notification à l’autorité,
d'analyse et de suivi des événements de sécurité. Un livret explicatif complet et pédagogique produit par la DSAC
explique les exigences réglementaires et les bonnes pratiques en la matière. Il est accessible à l’adresse suivante :
https://www.ecologie.gouv.fr/notifier-incident
Traitement des événements
L’ensemble des événements reportés doit être analysé, le but étant d’identifier les causes/facteurs contributifs afin
de détecter d’éventuelles non-conformités, de définir les éventuelles actions à mettre en œuvre et d’alimenter le
modèle de gestion des risques.
Le niveau d’analyse doit être adapté à la gravité et à la récurrence des événements.
L’analyse du risque pourra être effectuée selon une des méthodes décrites dans le cas général au §3.3.4.3. Le
niveau de risque d’un événement, pris indépendamment de la thématique de risque mise en évidence, est souvent
caractérisé par la proximité à l’accident. Ce type d’analyse qualitative peut permettre d’effectuer ce type d’étude
afin de caractériser la criticité d’un événement.
La ou les personnes en charge de cette mission doivent être identifiées et compétentes. Elles peuvent s’appuyer
sur l’expertise des personnes compétentes dans l’entreprise et des personnes concernées par l’évènement mais
l'identité du notifiant et des personnes mentionnées dans les comptes rendus d'événements doivent rester
confidentielles en vue de promouvoir une culture juste (voir le Guide culture juste à destination des opérateurs).
Il n’est en aucun cas possible que l’analyse soit faite uniquement par la ou les personnes directement impliquées
dans l’évènement (pour ne pas être juge et partie).
L’ensemble des événements doit être enregistré et suivi, ainsi que les actions correctives en résultant.
Un retour d’information aux agents ayant notifié un évènement lié à la sécurité (dans le cas où le recueil n’est pas
anonyme) permet de préserver et d’encourager la notification d’évènements.
Édition 1
Guide DSAC
Page : 31/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.2.1.2. L’analyse des vols
Références réglementaires
AMC1 ORO.GEN.200 (a) (1)
ORO.AOC.130 Analyse des vols (CAT avions > 27 T)
AMC1 ORO.AOC.130 et Appendice Compte rendu d’événements
GM1 ORO.AOC.130
L’analyse des vols est une des sources internes d’informations de sécurité. Ce programme est obligatoire pour
les avions de masse maximale au décollage (MTOW) supérieure à 27 tonnes exploités en CAT. Il consiste à
utiliser de manière proactive les données de vol (paramètres enregistrés à bord) des opérations de routine en vue
d’améliorer la sécurité de l’aviation. Il ne peut être utilisé à des fins de sanction et doit être assorti des garanties
adéquates pour protéger la ou les sources des données.
À noter
Technologies utilisées
Les données peuvent être enregistrées sur des équipements et
systèmes embarqués qui peuvent varier d’un QAR (Quick Access
Recorder) à bord des aéronefs à systèmes numériques jusqu’au
FDR le plus basique installé à bord des aéronefs plus anciens ou
moins sophistiqués.
Responsabilité
Par définition, le programme d’analyse des vols alimente le système de gestion des risques.
Il est donc sous la responsabilité du RGS. Lorsque le programme d’analyse des vols est géré au quotidien par
une autre personne, un lien fonctionnel entre celle-ci et le RGS doit être instauré afin que ce dernier dispose des
informations pertinentes pour gérer les risques inhérents à l’exploitant et ainsi jouer le rôle de point focal en matière
de gestion de la sécurité que lui confère la réglementation.
Le RGS est responsable de l’identification des problèmes liés à la sécurité et de leur transmission aux
responsables désignés des processus concernés. Ces derniers sont responsables de prendre les actions
correctives adéquates dans des délais adaptés à la gravité du problème identifié.
But du programme
Le programme doit permettre à l’exploitant :
• Détection de dépassements : il s’agit d’identifier les écarts par rapport aux limites du manuel de
vol et des procédures opérationnelles standards (SOP). Une liste d’événements types devrait être
dressée afin de couvrir les principaux domaines intéressant l’exploitant. Un échantillon de liste est
proposé en appendice 1 à l’AMC1 ORO.AOC.130. Les seuils définis pour la détection des écarts
devraient être mis à jour, si nécessaire, afin de refléter les procédures opérationnelles en cours.
• Mesure des paramètres des vols types : système permettant de définir ce que sont les pratiques
standards. Pour ce faire, un échantillon de données peut être collecté pour chaque vol.
Édition 1
Guide DSAC
Page : 32/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• Statistiques : séries de mesures collectées afin d’alimenter le processus d’analyse. Afin d’élaborer
le nombre d’occurrences et les tendances, ces mesures devraient comprendre le nombre de vols
effectués et analysés ainsi que des informations sur l’aéronef et l’étape.
Des éléments complémentaires sont disponibles dans le guide DSAC de bonnes pratiques ‘Méthodes
de sélection et de traitement des paramètres d’analyse des vols’.
Outils pour l’analyse des données de vol, leur évaluation et le contrôle du processus
L’efficacité de l’analyse des informations provenant des données de vol dépend des moyens technologiques mis
en place. Ces derniers doivent comprendre un moyen de réaliser des graphiques et des tableaux des paramètres
de vol, de visualiser les incidents les plus significatifs, d’accéder aux moyens d’interprétation, à des liens vers
d’autres sources d’information relatives à la sécurité ainsi qu’à des présentations statistiques.
Politique de récupération et d’analyse des données de vol
Sauf dans le cas où l’exploitant met en œuvre l’ATQP, la réglementation ne fixe pas d’objectif chiffré pour le taux
de récupération. Toutefois, l’exploitant doit définir une politique en matière de récupération des données de vol,
afin de lui permettre d’obtenir des informations suffisamment représentatives de ses opérations. Ainsi le taux de
récupération des données et le ciblage des vols analysés doivent être adaptés. De même l’analyse des données
de vol doit être faite de manière suffisamment fréquente pour que des actions correctives puissent être prises sur
les problèmes significatifs de sécurité.
Archivage des données de vol
La totalité des données d’un vol doit être archivée jusqu’à ce que les processus d’examen soient clos. A la suite
de quoi l’exploitant peut décider de ne conserver que la partie de ces données liée à la résolution du problème
pour l’analyse des tendances. Les responsables du programme peuvent vouloir conserver des échantillons de
données désidentifiées d’un vol complet pour différents objectifs liés à la sécurité (analyse détaillée, entraînement,
tests, etc.).
Politique d’accès aux données
La politique de sûreté et d’accès aux données de vol doit limiter l’accès à l’information à des personnes autorisées.
Lorsque l’accès aux données de vol est nécessaire pour des questions de navigabilité ou de maintenance, une
procédure doit être mise en place afin d’éviter que l’identité de l’équipage ne soit révélée.
Formation et communication
Les résultats du programme d’analyse des vols doivent être exploités à des fins de formation et de
communication. Par exemple, l’exploitant pourra communiquer les enseignements tirés de l’analyse des
données de vol au travers de bulletins ou de « flash » sécurité des vols vers les PN d’une part mais aussi au
moyen de rapports réguliers à l’attention de l’industrie et de l’autorité. L’exploitant pourra également utiliser des
exemples de scénario mis en exergue par l’analyse des vols en formation théorique ou lors de séances au
simulateur. Dans tous les cas, l’exploitant devra veiller à désidentifier les données d’analyse des vols utilisées
dans le cadre de son programme de promotion de la sécurité.
‘Protocole’
Un document doit être signé par toutes les parties intéressées (l’encadrement de l’exploitant, des représentants
des pilotes nommés par les organisations syndicales ou les pilotes eux-mêmes) et contenir au minimum :
• le but du programme ;
• la politique d’accès aux données qui doit être restreint à des personnes spécifiquement
identifiées ;
• la méthode pour obtenir un retour désidentifié des équipages dans le cas où des informations de
contexte supplémentaires sont nécessaires ;
• la politique d’archivage des données notamment les mesures prises pour qu’elles soient
sécurisées, et les personnes en charge de cet archivage ;
• les conditions dans lesquelles un accompagnement des équipages (briefing, réentrainement) est
proposé ; celui-ci devra être conduit de façon constructive et non punitive ;
• les conditions de levée d’anonymat en cas de négligence ou en cas de persistance d’un problème
de sécurité significatif ;
Édition 1
Guide DSAC
Page : 33/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• les modalités de participation des représentants des PN à l’évaluation des données, à la décision
relative aux actions à prendre et à leur suivi, ainsi qu’à la réflexion relative à d’éventuelles
recommandations ;
• la politique de publication des résultats du programme.
Note : Des informations complémentaires sont disponibles dans le GM1 ORO.AOC.130 et dans le guide du groupe
européen EAFDM ‘Guidance for National Aviation Authorities On the oversight of Flight Data Monitoring
programmes’.
3.3.2.2. Proactive et prédictive
3.3.2.2.1. La veille externe
Les données peuvent provenir de sources externes, par exemple de rapports d’incidents/accidents de bureaux
d’enquête (BEA), de bulletins sécurité, de publications d’autorités (info sécurité DGAC, SIB EASA, …), de
publications des constructeurs, etc.
Non complexe
Pour les structures non complexes qui ont parfois peu de remontées d’événements
en raison de leur plus faible activité, la veille externe est primordiale pour recueillir
des informations et identifier des dangers. Elle peut se faire en s’informant des
différentes publications mais aussi en partageant des informations avec des
exploitants dont l’activité et l’organisation présentent des similarités.
A titre d’exemple, les sites internet suivants peuvent présenter un intérêt pour la veille externe des exploitants.
Certains permettent de s’inscrire afin d’être notifié de toute nouveauté. La liste ci-dessous n’est pas exhaustive :
• https://www.ecologie.gouv.fr/info-securite-dgac
• https://www.ecologie.gouv.fr/objectif-securite
• https://www.ecologie.gouv.fr/collaborative-aerodrome-safety-highlights-cash
• http://www.bea.aero/
• http://ad.easa.europa.eu/sib-docs/page-1
• https://meteor.dsac.fr/documentation.php
• https://flightsafety.org/toolkits-resources/
• https://aviation-safety.net
• http://www.skybrary.aero
• https://asrs.arc.nasa.gov/
3.3.2.2.2. Données issues de la formation des équipages
Les résultats provenant de la formation des équipages au sein d’un exploitant sont riches en informations pouvant
être exploitées par le système de gestion.
3.3.2.2.3. Les résultats de la surveillance
Les résultats des différents actes de surveillance interne (audits, contrôles de conformité et de supervision) et
issus de la surveillance externe (audits DSAC, contrôles SAFA/SANA, contrôles FOI) sont autant de données qui
doivent être prises en compte pour identifier les dangers.
3.3.2.2.4. Autres sources de données internes
Pour une analyse plus globale (dans une démarche proactive et prédictive), l’exploitant peut collecter des données
sur un périmètre plus large au moyen d’études systématiques (questionnaire, enquête de terrain, brainstormings,
séminaires internes) ou ponctuelles dans le cadre d’un changement.
Édition 1
Guide DSAC
Page : 34/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.3. Identification des dangers
Toutes les méthodes décrites ci-après ont le même objectif : rechercher les dangers pesant sur l’exploitation,
caractériser les conséquences potentielles de ces dangers (événement indésirable, événement ultime) ainsi que
les éventuelles barrières. Elles se traduisent concrètement par la mise à jour du modèle de gestion des risques
(cartographie, liste des dangers, ‘bowties’, …).
Les informations de sécurité issues de ces analyses doivent être enregistrées de manière ordonnée (par exemple
sous forme de ‘bowtie’), afin d’être réutilisées dans le cadre d’analyses ultérieures (proactives ou prédictives). Le
choix de l’outil de stockage et des modalités de classement sera fonction du volume d’information à stocker.
Pour faciliter une exploitation ultérieure, les éléments d’analyse doivent être enregistrés au même titre que
l’événement lui-même, et une traçabilité des actions entreprises est nécessaire.
3.3.3.1. Réactive
La méthode réactive se fonde sur l’analyse des événements qui se sont déjà produits. Il s’agit aussi bien de ceux
qui sont détectés par le système de recueil d’événement de l’exploitant, par l’analyse des vols ou encore la veille
externe.
Pour chacun de ces événements, l’exploitant recherche les dangers à l’origine ou ayant participé à l’occurrence.
En fonction de l’événement, une enquête plus ou moins approfondie (‘enquête interne’) peut être nécessaire pour
rassembler toutes les informations utiles aux fins d’une identification exhaustive de ces dangers.
Si des dangers non encore pris en compte sont identifiés, ils sont enregistrés pour alimenter le modèle de gestion
des risques de l’exploitant (cartographie, liste des dangers, ‘bowtie’, …).
Dans tous les cas, l’exploitant enregistre l’occurrence des dangers identifiés ainsi que les éventuelles défaillances
des barrières pour utilisation dans le cadre du processus d’évaluation des risques décrit ci-après.
3.3.3.2. Proactive
La méthode proactive est fondée sur la recherche active de problématiques de sécurité existantes au sein de
l’exploitation.
Les problématiques de sécurité peuvent être détectées suite à des faits et événements visibles mettant en avant
de manière évidente des risques (événement significatif, dérive d’indicateur) mais aussi par l’examen de
conditions latentes (récurrence de la défaillance d’une barrière, existence d’un danger dans un contexte bien
particulier).
Les moyens utilisés pour mener à bien une analyse proactive pourront être d’une grande variété en fonction de la
problématique rencontrée. En effet, certaines problématiques se prêteront bien à une approche quantitative sur
la base de données fiables (exemple : atterrissage dur étudié par ADV), tandis que d’autres seront mieux traitées
par une approche qualitative d’experts, sur la base de données plus diffuses (exemple : risque fatigue associé à
une rotation spécifique). Les moyens et les outils dépendent donc de la problématique de sécurité.
Dans tous les cas l’analyse proactive est formalisée dans une étude de sécurité (ou étude d’impact sur la sécurité)
dont elle constitue la première étape d’identification des dangers. (voir le §3.3.1.c pour le déroulé complet d’une
étude de sécurité).
Les paragraphes suivants détaillent les étapes de la méthode proactive.
Identification de la problématique de sécurité
La capacité d’identification d’une problématique de sécurité repose sur une bonne circulation des informations au
sein du système de gestion. La ou les personne(s) en charge de l’analyse proactive doivent en effet être en mesure
d’être informées d’une telle problématique.
La décision de lancement d’une analyse proactive doit se faire lors d’une instance alimentée par l’ensemble des
canaux de remontées d’informations de sécurité de l’exploitant.
Le SAG semble être une instance appropriée. Toutefois, en fonction de la complexité de l’exploitant, une instance
de plus bas niveau peut être privilégiée.
Identification du groupe de travail
Pour mener à bien une étude proactive, l’exploitant identifie la ou les personnes susceptibles de contribuer à une
analyse complète de la problématique identifiée. En fonction de la taille de l’exploitant, il peut être pertinent de
créer un groupe de travail réunissant :
Édition 1
Guide DSAC
Page : 35/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• les experts (correspondant SV, instructeur, ingénieur, technicien,…) pour apporter les éléments
techniques sur la problématique de sécurité ;
• les agents opérationnels (membre d’équipage, technicien, personnel sol) pour apporter l’expertise
du métier.
Cette liste n’est pas limitative, et toute personne susceptible d’apporter d’autres éléments utiles à la
compréhension de la problématique pourra être sollicitée. Afin de garantir la traçabilité du processus de décision,
la liste des personnes présentes aux différentes réunions sera enregistrée.
Il est également nécessaire de désigner un responsable de l’analyse proactive, qui s’assurera de son bon
déroulement et de sa clôture en bonne et due forme.
Définition de la problématique de sécurité
L’analyse débute par la définition concise et précise de la problématique de sécurité. L’objet d’une telle définition
est l’établissement d’une compréhension commune de la problématique par l’ensemble des participants à
l’analyse.
Analyse de la problématique de sécurité
Une fois le périmètre de la problématique de sécurité bien défini, son analyse peut être entamée. Les étapes de
celle-ci sont les suivantes :
1. Identification des événements indésirables
2. Identification des menaces
3. Identification des événements ultimes
4. Identification des barrières
Exemple : plusieurs événements ayant pour origine des erreurs d’insertion de la masse ou des vitesses dans le
FMS sont identifiés par l’exploitant et remontés en SRB. Lors de ce SRB, le cadre responsable décide de lancer
une étude de sécurité au sujet des erreurs d’insertion.
Le responsable de cette étude réalise les tâches suivantes :
• Recherche dans les événements passés de l’exploitant de l’ensemble des événements faisant
état d’une erreur avérée ou potentielle d’insertion. Identification et classification des dangers
correspondants ;
• Interview de plusieurs instructeurs de l’exploitant visant à identifier et comprendre d’éventuelles
occurrences de telles erreurs lors des séances de formation ;
• Recherche dans la littérature spécialisée disponible sur internet des causes possibles qui peuvent
correspondre aux systèmes dont dispose l’exploitant ;
• Etude de l’ensemble des processus de l’exploitant visant à fournir les données aux équipages
pour identifier d’éventuelles faiblesses ;
• Etude de l’ergonomie des systèmes dont dispose l’exploitant pour identifier d’éventuelles sources
d’erreurs ;
• Etude des procédures d’insertion des paramètres pour vérifier leur fiabilité.
Il synthétise le résultat de ses recherches en une liste de dangers dont le niveau de risque sera évalué par la
suite.
3.3.3.3. Prédictive
L’analyse prédictive a pour objectif d’anticiper les potentiels dangers futurs, dus à des changements internes ou
externes, à l’évolution de l’exploitant et de l’environnement dans lequel elle évolue.
Comme l’analyse proactive, elle est formalisée dans une étude de sécurité (ou étude d’impact sur la sécurité) dont
elle constitue la première étape d’identification des dangers en reprenant les quatre même phases :
Édition 1
Guide DSAC
Page : 36/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• Analyse de la problématique de sécurité (c'est-à-dire l’identification des dangers proprement dite,
comprenant l’identification des évènements indésirables, des menaces, des événements ultimes
et des barrières existantes)
3.3.3.4. Résultats
Une liste de dangers (en lien avec des événements indésirables, des événements ultimes et des barrières), mise
en forme selon un format retenu par l’exploitant (ce guide utilise le format ‘bowtie’) est donc extraite des sources
suivantes :
• Les événements notifiés par les personnels de l’exploitant mais aussi des sous-traitants et des
tiers (comptes rendus obligatoires et volontaires)
• L’analyse des données de vols
• Les résultats de la surveillance interne et externe
• Les résultats de la veille externe
• Les résultats d’enquêtes ad hoc
Cette liste est initialement non hiérarchisée. Elle alimente le processus d’évaluation des risques, décrit dans le
paragraphe suivant, qui va s’attacher à créer cette hiérarchisation pour définir des priorités en matière
d’atténuation des risques (dont le processus est décrit plus bas).
Édition 1
Guide DSAC
Page : 37/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.4. Evaluation des risques
Références réglementaires
ORO.GEN.200 (a) (3)
AMC1 ORO.GEN.200 (a)(3)
3.3.4.1. Quand procéder à une évaluation des risques ?
Dès qu’un nouveau danger est identifié, une évaluation des risques qu’il induit doit être menée. Cette évaluation
doit être représentative de la situation au moment où celle-ci est effectuée. En particulier, toute mesure
d’atténuation déjà en place (qu’elle soit prescrite par la réglementation ou définie par l’exploitant) doit être prise
en compte.
Par ailleurs, toute détection d’un événement ou toute analyse proactive ou prédictive menée peut amener à devoir
réévaluer les niveaux de risques des dangers correspondants.
En tout état de cause, l’exploitant mènera une revue régulière de ses évaluations pour s’assurer qu’elles sont et
demeurent valides compte-tenu de l’évolution de ses connaissances et de son exploitation.
3.3.4.2. Sources d’information
L’évaluation des risques se fonde sur l’ensemble des dangers identifiés dans le cadre des processus
d’identification des dangers décrits dans le paragraphe précédent.
3.3.4.3. Méthodes
En fonction des données disponibles, deux approches sont possibles :
Édition 1
Guide DSAC
Page : 38/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Lorsqu’une telle évaluation quantitative est possible, l’exploitant pourra se fonder sur la matrice suivante :
N.B. : Les chiffres ci-dessous sont donnés à titre indicatif. Selon la taille et la typologie de l’exploitation des chiffres
différents peuvent être plus adaptés.
Sans
Négligeable
conséquence
Sans
Négligeable
conséquence
Cette matrice est inspirée de la méthode ARMS, développée par le ARMS Working Group. Le document intitulé
« The ARMS Methodology for Operational Risk Assessment in Aviation Organisation », décrivant cette méthode,
est librement disponible sur internet.
Édition 1
Guide DSAC
Page : 39/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Pour utiliser cette matrice, l’exploitant identifie le scénario menant à l’événement ultime le plus crédible, puis
évalue la gravité de cet événement ultime, et enfin évalue l’efficacité des barrières restantes entre l’événement
rapporté et l’événement ultime associé. Pour l’évaluation de l’efficacité, on prendra les définitions suivantes :
Erreur lors du
chargement Perte de
Contrôle par Contrôle par contrôle en vol
l’agent de le Détection et
chargement superviseur récupération
Masse et
Calcul par le pilote
centrage
incorrect
Calcul croisé incorrects
de l’équipage
Passagers Performances
mal placés insuffisantes :
Contrôle du Marges Détection et collision au
placement opérationnel récupération décollage
par les PNC -les par le pilote
suffisantes
Édition 1
Guide DSAC
Page : 40/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Il est donc attendu de l’exploitant que sa représentation reflète au mieux et en continu son exploitation, notamment
en prenant en compte toute évolution de celle-ci (nouveaux événements survenus, changements, …). En
particulier l’évaluation des risques doit être régulièrement revue (réévaluation des risques déjà identifiés ou
identification de nouveaux risques).
L’exploitant ne pouvant travailler sur tous les menaces et tous les événements indésirables à la fois, il doit donc
définir des priorités et travailler sur l’atténuation des risques qu’il juge les plus préoccupants, dans la limite de ses
ressources (ces ressources devant cependant être suffisantes pour atteindre un niveau de sécurité jugé
acceptable). Une cartographie des risques peut être le support de représentation de ces priorités identifiées par
l’exploitant. Ces priorités doivent être justifiées et validées par le niveau hiérarchique adéquat (ex : SRB). De
même que pour la phase d’identification, la phase de définition des priorités doit être reconduite régulièrement et
tracée.
Le modèle de gestion des risques est donc un objet vivant, dont la forme est très libre, mais qui doit permettre à
l’exploitant d’identifier ses risques, de les maîtriser, et de définir les priorités de sécurité qui en découlent.
Il n’y a pas de format défini pour le modèle de gestion des risques de l’exploitant. Pour les organismes non-
complexes, elle peut prendre la forme d’un tableau comportant plusieurs colonnes : EI, probabilité, gravité,
barrières, etc.
Non complexe
Il n’y a pas de format défini pour le modèle de gestion des risques de l’exploitant.
Pour les organismes non-complexes, elle peut prendre la forme d’un tableau
comportant plusieurs colonnes : EI, probabilité, gravité, barrières, etc.
Les GM3 ORO.GEN.200(a)(3) et GM1 SPO.OP.230 donnent des exemples de « risk registers ».
Références réglementaires
ORO.GEN.200 (a) (3)
AMC1 ORO.GEN.200 (a)(3)
3.3.5.1. Quand mettre en place des actions d’atténuation ?
Une fois le niveau de risque déterminé, il convient d’en évaluer l’acceptabilité, et d’agir en conséquence. Le tableau
ci-dessous résume les actions attendues, en fonction de l’acceptabilité du risque :
Niveau Des actions d’atténuation immédiates sont nécessaires. En fonction de l’événement, une
inacceptable restriction de l’exploitation doit être envisagée, pour éviter de nouvelles occurrences.
Niveau Une investigation est nécessaire, pour déterminer la nécessité d’actions d’atténuation. En
intermédiaire cas de doute, le traitement associé au niveau inacceptable est appliqué.
Niveau L’événement est enregistré, sans nécessité d’action d’atténuation. Des actions
acceptable d’amélioration peuvent toutefois être envisagées.
En dernier ressort, il relève de la responsabilité du CR d’accepter le niveau de risque de son exploitation, de
valider les mesures qui permettent de maintenir le risque au niveau souhaité, et d’assurer les conditions de leur
mise en œuvre.
3.3.5.2. Proposition d’actions d’atténuation
Si un niveau de risque évalué s’avère inacceptable, des actions d’atténuation doivent être prises.
Ces actions d’atténuation consistent à rajouter des barrières de prévention ou de récupération (création d’une
nouvelle procédure opérationnelle, …) ou à renforcer les barrières existantes (réentrainement, campagne de
communication, …). Ceci peut aller jusqu’à limiter ou suspendre le type d’exploitation qui générait un risque
particulièrement inacceptable pour l’exploitant (ne plus desservir un aéroport donné, arrêter d’exploiter un type
d’aéronef).
Agir sur les barrières de prévention permet de diminuer la probabilité d’occurrence de l’événement indésirable,
tandis qu’agir sur les barrières de récupération permet de diminuer la probabilité d’occurrence de l’événement
ultime.
Édition 1
Guide DSAC
Page : 41/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Les actions d’atténuation du risque sont alors définies avec les acteurs concernés. Cette étape peut se faire au
travers de réunions de travail notamment par référence à des pratiques recommandées ou comparaison avec des
mesures prises par d’autres exploitants.
Une fois les mesures définies, le risque corrigé est réévalué en tenant compte de ces mesures (risque résiduel).
Le niveau de risque évalué étant représentatif de la situation actuelle (voir 3.3.4.1), les mesures proposées se
doivent d’être des mesures supplémentaires ou renforçant des mesures déjà existantes. Ces mesures ne peuvent
donc consister en des exigences réglementaires ou des mesures déjà mises en place par l’exploitant.
Plusieurs décès (3
Catastrophique ou plus), perte de
l’aéronef
INACCEPTABLE
1 ou 2 décès,
plusieurs blessés
Risque Risque graves,
Majeur
résiduel initial dommages
majeurs à
l’aéronef
Quelques blessés,
dommages
Mineur
mineurs à
ACCEPTABLE l’aéronef
Sans
Négligeable
conséquence
Édition 1
Guide DSAC
Page : 42/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.6. Risques liés à la fatigue
Références réglementaires
ORO.FTL.120 Fatigue Risk Management
Arrêté temps de vol (25/03/2008) et instruction
Sous-partie Q de l’EU-OPS
La mise en œuvre d’un système de gestion du risque lié à la fatigue (SGRF) est nécessaire dans certains cas en
CAT avion :
• exploitants redevables de l’ORO.FTL lorsque certaines dispositions sont utilisées : voir le guide
DSAC ‘Régime de spécification de temps de vol’,
• exploitants redevables de la sous-partie Q de l’EU-OPS :
o utilisation de temps de service prolongés (service fractionné) (article 3 de l’arrêté du 25 mars
2008),
o utilisation de repos réduits (article 5 de l’arrêté du 25 mars 2008).
o prolongations de temps de service de vol au-delà de 18h sur autorisation spécifique de l’autorité
(article 7 de l’arrêté du 25 mars 2008),
o utilisation des dispositions VMU (article 10 de l’arrêté du 25 mars 2008),
o utilisation des dispositions alternatives concernant la compensation du décalage horaire dans le
cadre des vols d’affaire (article 11 c) de l’arrêté du 25 mars 2008).
Cependant, même lorsqu’un SGRF n’est pas requis et quel que soit le type d’exploitation, le risque lié à la fatigue
doit être géré comme tout autre risque au sein du SGS de l’exploitant.
A ces fins, l’exploitant peut mettre en place :
3.3.7. Gestion du risque pour les opérations avec contamination par cendres volcaniques prévues
ou connues
Références réglementaires
GM2 ORO.GEN.200 (a) (3) Risk management of flight operations with known or
forecast volcanic ash contamination
Afin d’être en mesure de prendre la décision d’exploiter ou non dans un environnement contaminé par des cendres
volcaniques ou susceptible de l’être, l’exploitant procède au préalable, dans le cadre de son système de gestion,
à l’évaluation des risques particuliers liés à la contamination prévue de l’espace aérien ou avérée des aérodromes
ou sites d’exploitations concernés.
Le GM2 ORO.GEN.200(a)(3) donne des indications sur la manière de mener à bien ce processus depuis la prise
en compte des données d’entrée jusqu’à la définition de procédures d’exploitation dédiées, en guise de mesures
d’atténuation.
A l’issue de processus, le CR est en mesure de prendre la décision d’exploiter ou non en cas de contamination
prévue ou avérée par des cendres volcaniques, et de valider les mesures (processus documentés, procédures)
permettant de maitriser le risque lié à une telle exploitation.
Édition 1
Guide DSAC
Page : 43/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Références réglementaires
AMC1 ORO.GEN.200 (a) (3), §g Emergency Response Plan
AMC 1 ORO.GEN.200(a)(1);(2);(3);(5) Management system (non complex)
Règlement (UE) N° 996/2010 sur les enquêtes et la
prévention des accidents et des incidents dans
l’aviation civile
L’exploitant établit un plan de gestion de crise afin d’établir les actions à prendre en cas d’urgence et d’identifier
les personnes ou services qui en auront la charge. On l’appelle plan d’intervention d’urgence ou Emergency
Response Plan (ERP).
L’exploitant doit définir les critères de déclenchement de l’ERP et assurer une transition ordonnée et sûre des
opérations normales aux opérations en situation d’urgence.
L’ERP contient les actions et prévoit les rôles et responsabilités de chacun en vue non seulement de gérer la
situation de crise (sécuriser un périmètre, évacuer des personnes, etc.), mais encore d’assurer que les opérations
qui continueraient puissent être conduites en toute sécurité.
Le plan décrit les modalités de retour à la situation normale à l’issue de la crise.
Il est coordonné avec les plans d’intervention d’urgence des autres organismes avec lesquels une interface
d’activité existe. Les modalités de cette coordination sont décrites dans la documentation de l’exploitant.
Ce plan est adapté à la taille et à la nature de l’exploitant ainsi qu’à la complexité de ses opérations.
Exemples de circonstances où le déclenchement d’un plan d’intervention d’urgence pourrait être utile :
• mise à disposition rapide (moins de 2h après l’annonce d’un accident) de la liste des personnes
ainsi que des marchandises dangereuses à bord de l’aéronef ;
• assistance, matérielle et psychologique, aux victimes d’accidents aériens et à leurs proches ;
• désignation d’un responsable susceptible d’être un interlocuteur qualifié auprès des
administrations concernées et des familles.
La circulaire OACI n°285-AN/166 (remaniée par la circulaire 9973-AN/486 de 2013) donne des éléments
d’orientation sur l’assistance aux victimes d’accidents d’aviation et à leurs proches.
Édition 1
Guide DSAC
Page : 44/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.4. Maintien des compétences du personnel
3.4.1. La formation
L’exploitant doit s’assurer que son personnel est formé et compétent pour effectuer ses tâches.
Pour cela, il établit un plan de formation initiale et continue, et s’assure que ses sous-traitants font de même pour
leurs employés.
En matière de Gestion de la sécurité, le plan de formation contient au minimum :
Édition 1
Guide DSAC
Page : 45/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• etc.
La formation est adaptée en fonction du public visé. Les différentes formations peuvent prendre la ou les formes
suivantes, en fonction du contenu et du public visé :
3.4.2. La communication
Afin de maintenir la conscience du risque de ses personnels, dans un but d’amélioration continue de la sécurité,
l’exploitant met en place un système de communication et de partage des informations relatives à la sécurité.
L’exploitant y transmet les enseignements qu’il a retirés de son système de gestion à tous les personnels
concernés et, lorsque c’est approprié, au reste de l’industrie (constructeurs, autres exploitants).
Cette communication peut prendre la forme par exemple de communication écrite (bulletin d’information, revue
sécurité des vols, …), de réunions régulières avec le personnel, de forum.
Elle pourra permettre :
Édition 1
Guide DSAC
Page : 46/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.5. Documentation de l’exploitant et archivage
Références réglementaires
ORO.GEN.200 (a)(5) (AMC1 et 2 et GM1) Système de gestion
ORO.GEN.220 (AMC1 et GM1) Archivage
ORO.AOC.150 Exigences relatives à la documentation
ORO.MLR.100, 101 (CAT), 105, 110 et 115 Manuel d’exploitation
CAT.GEN.MPA.185 Informations à conserver au sol
Références réglementaires
ORO.MLR.100 Manuel d’exploitation – Généralités
ORO.MLR.101 Manuel d’exploitation – Structure pour CAT (sauf A-A)
AMC1 à l’ORO.MLR.100 Généra
AMC 2 (NCC et CAT A-A) Contenu du manuel d’exploitation
AMC 3 (CAT sauf A-A)
AMC4 (SPO) à l’ORO.MLR.100
3.5.1.1.1. Structure pour le CAT, hors CAT [A-A], et le SPO
Pour le CAT, hors CAT [A-A], la structure principale du manuel d’exploitation est imposée par la réglementation :
Édition 1
Guide DSAC
Page : 47/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Structure telle que préconisée dans la réglementation :
(en italique des parties qui ne sont pas expressément nommées comme telles dans le texte réglementaire et sur
lesquelles une plus grande souplesse existe)
Édition 1
Guide DSAC
Page : 48/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.5.1.1.3. Structure pour le NCC
La structure du manuel d’exploitation NCC n’est pas imposée par le Règlement mais la liste des informations qu’il
doit contenir est donnée dans l’AMC2 ORO.MLR.100 :
(a) Table des matières ;
(b) Le statut de contrôle des amendements et la liste des pages ou des paragraphes en vigueur, à moins
que le manuel en entier ne soit ré-émis et qu’il dispose d’une date d’effectivité sur chaque page ;
(c) Droits, responsabilités et structure hiérarchique du personnel de gestion et d'exploitation ;
(d) Description du système de gestion ;
(e) Système de contrôle opérationnel ;
(f) Limitations de temps de vol ;
(g) Procédures d'exploitation standards (SOP) ;
(h) Limitations météorologiques ;
(i) Procédures d'urgence ;
(j) Action en cas d’accidents / incidents ;
(k) Procédures de sûreté ;
(l) Liste minimale d'équipements (LME) ;
(m) Qualifications et formation du personnel ;
(n) Archivage ;
(o) Opérations normales ;
(p) Limites opérationnelles liées aux performances ;
(q) Utilisation / protection des données archivées des enregistreurs de vol (FDR) / enregistreurs de
conversations (CVR), le cas échéant ;
(r) Marchandises dangereuses.
Au choix de l’exploitant NCC, ces informations peuvent être présentées selon une structure en 4 parties similaire
à celle du manuel d’exploitation CAT.
3.5.1.1.4. Principes communs
L’exploitant peut opter pour un unique manuel d’exploitation commun couvrant l’ensemble de ses exploitations
CAT, NCC et SPO à condition que les parties spécifiques à une exploitation soient bien identifiées (ex : couleur
des bords de page).
Tous les membres du personnel d’exploitation doivent pouvoir accéder facilement aux parties du manuel qui
concernent leurs tâches. Chaque membre d’équipage doit recevoir une copie personnelle des sections du manuel
d’exploitation qui concerne ses tâches, dans le but de pouvoir consulter les procédures en dehors des vols. Un
accès à un extranet ou une Gestion Electronique de Documentations (GED) peut tout à fait remplir la fonction de
copie personnelle, sous réserve que l’exploitant ait démontré que son système de mise à disposition de la
documentation sous version électronique soit fiable et facilement accessible.
L’exploitant définit sa politique concernant la langue de rédaction du manuel d’exploitation. Cette politique doit
permettre à chaque personnel de comprendre les parties qui le concernent.
L’exploitant doit s’assurer que les informations extraites de documents approuvés (par exemple : manuel de vol),
et toute mise à jour qui y a été apportée, sont correctement reportées dans le manuel d’exploitation. Cela
n’empêche pas l’exploitant d’utiliser des données ou consignes plus restrictives dans le manuel d’exploitation.
3.5.1.2. Documentation décrivant le fonctionnement du système de gestion
3.5.1.2.1. Contenu de la documentation décrivant le fonctionnement du système de gestion
La documentation décrivant le fonctionnement du système de gestion devrait au minimum contenir :
• la terminologie ;
Édition 1
Guide DSAC
Page : 49/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• les règlements opérationnels applicables ;
• le périmètre du système de gestion ;
• l’engagement du CR ;
• la politique et les objectifs de sécurité ;
• un organigramme ;
• la répartition des tâches et des responsabilités ;
• une description des moyens matériels ;
• la description des processus liés à la Gestion de la Sécurité (sous la responsabilité du RGS) :
o la remontée d’événements et leur traitement ;
o l’identification, l’évaluation et l’atténuation des risques ;
o la mesure des performances en matière de sécurité ;
o la planification des interventions d’urgence ;
o la gestion des changements ;
o la promotion de la sécurité ;
• les programmes de formation (sécurité et conformité) ;
• une procédure de maîtrise et de diffusion de la documentation ;
• la description des processus liés à la fonction de Surveillance de la Conformité (sous la
responsabilité du RSC);
o l’élaboration du programme de surveillance ;
o la réalisation des audits (préparation, conduite, rapport, suivi des constats) ;
o le traitement des actions correctives ;
o le système d'enregistrement ;
• le programme de Surveillance de la Conformité ;
3.5.1.2.2. Forme de la documentation du système de gestion
La documentation du système de gestion peut être regroupée au sein d’un même manuel ou être répartie dans
plusieurs manuels ou parties de manuel (ex. : manuel d’exploitation). Des procédures peuvent également exister
pour compléter les différents manuels.
Dans tous les cas, l’exploitant doit lister l’ensemble des textes (manuels, procédures, formulaires, guides, etc.) en
vigueur constituant sa documentation.
3.5.1.3. Gestion de navigabilité
Dans le cadre de l’agrément Part-CAMO(*) de l’exploitant, l’approbation des documents/manuels suivants est
déléguée à OSAC :
Références réglementaires
ORO.MLR.105 Liste Minimale d’Equipements
La liste minimale d’équipements (MEL), est une liste d’équipements :
Édition 1
Guide DSAC
Page : 50/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.5.1.5. Carnet de route
Références réglementaires
ORO.MLR.110 Carnet de route
Les détails concernant l’aéronef, son équipage et chaque voyage doivent être consignés pour chaque vol, ou série
de vols, sous la forme d’un carnet de route (ou document équivalent) :
• immatriculation ;
• date ;
• nom des membres de l’équipage ;
• fonctions des membres de l’équipage ;
• lieu de départ ;
• lieu d’arrivée ;
• heure de départ (bloc) ;
• heure d’arrivée (bloc) ;
• heures de vol ;
• nature du vol ;
• incidents, observations (le cas échéant) ;
• signature du commandant de bord.
Ces informations peuvent très bien être enregistrées dans le CRM (Compte-Rendu Matériel ou Technical Log
Book) ou dans le plan de vol exploitation.
À noter
Qu’entend-t-on par « série de vols » ?
Des vols consécutifs, qui commencent et finissent :
Références réglementaires
CAT.GEN.MPA.180
Documents, manuels et informations devant se trouver
NCC.GEN.140
à bord
SPO.GEN.140
Dans le cas général (voir exception dans le texte réglementaire, notamment les allégements pour le CAT A vers
A), les documents, manuels et informations suivants doivent se trouver à bord pour chaque vol :
• le manuel de vol de l’aéronef (AFM), ou document(s) équivalent(s) (sauf si l’ensemble des
données sont disponibles dans le Manex) ;
• l’original du certificat d’immatriculation ;
• l’original du certificat de navigabilité (CDN) ;
• l’original du certificat acoustique, y compris la traduction anglaise, si un tel certificat a été délivré
par l’autorité chargée de la délivrance du certificat acoustique ;
• une copie, certifiée conforme4 lorsque l’aéronef est amené à se déplacer à l’étranger, du certificat
de transporteur aérien (CTA), une copie de la déclaration (DEC), une copie de l’autorisation SPO
à haut risque (SPO à haut risque), selon le cas ;
4La copie d'un document français destinée à une administration française n'a pas besoin d'être certifiée conforme.
La copie certifiée conforme peut être exigée uniquement pour les documents français destinés à des
administrations étrangères (source : www.service-public.fr).
Édition 1
Guide DSAC
Page : 51/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• les spécifications techniques applicables au type d’aéronef, délivrées avec le CTA, ou la liste des
approbations spécifiques dans les autres cas ;
• l’original de la licence radio de l’aéronef, le cas échéant ;
• le/les certificat(s) d’assurance de responsabilité civile ;
• le carnet de route de l’aéronef, ou équivalent ;
• le compte rendu matériel de l’aéronef, conformément à l’annexe I (partie M) du règlement (UE)
n°1321/2014 ;
• les données détaillées du plan de vol circulation aérienne (ATS) déposé, si applicable ;
• les cartes actualisées et appropriées pour la route suivie par le vol proposé et toutes les routes
sur lesquelles on peut raisonnablement penser que le vol pourrait être dérouté ;
• les procédures et informations relatives aux signaux visuels à utiliser par un aéronef d’interception
et un aéronef intercepté ;
• les informations relatives aux services de recherche et de sauvetage pour la zone du vol prévu,
aisément accessibles dans le compartiment de l’équipage de conduite ;
• les parties du manuel d’exploitation nécessaires aux membres d’équipage pour exercer leurs
fonctions, qui sont facilement accessibles aux membres d’équipage;
• la MEL ;
• la documentation appropriée pour la préparation du vol sous la forme d’avis aux navigants
(NOTAM) et de services d’information aéronautique (AIS) ;
• les informations météorologiques appropriées ;
• le manifeste des marchandises et/ou des passagers, si applicable ;
• toute autre documentation pouvant être pertinente pour le vol ou qui est exigée par les États
concernés par ce vol.
auxquels s’ajoutent, dans le cas du CAT :
• la documentation de masse et centrage ;
• le plan de vol exploitation, si applicable ;
• la notification des catégories spéciales de passagers (SCP) et des chargements spéciaux, si
applicable ;
Références réglementaires
ORO.MLR.100 Manuel d’exploitation
ORO.AOC.150 Exigences relatives à la documentation (également
applicable au SPO commercial)
3.5.2.1. Modifications
Tout amendement du manuel d’exploitation doit, avant son entrée en vigueur, être diffusé aux personnels
d’exploitation.
Dans le cas du CAT, s’il s’agit d’un amendement non relatif à une approbation de l’autorité, celui-ci doit être notifié
à l’autorité conformément à la procédure de gestion des changements approuvée selon le paragraphe
ORO.GEN.130.
Dans tous les cas, s’il s’agit d’un amendement relatif à une approbation de l’autorité, l’exploitant devra obtenir
l’approbation celle-ci avant l’entrée en vigueur dudit amendement.
Lorsque des amendements ou révisions immédiats sont nécessaires, dans l’intérêt de la sécurité, ils peuvent être
publiés et appliqués immédiatement, à condition que toute approbation requise ait fait l’objet d’une demande.
Édition 1
Guide DSAC
Page : 52/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.5.2.2. Diffusion
L’exploitant doit s’assurer que :
• sa documentation (ou les parties pertinentes de sa documentation) et ses mises à jour sont
diffusées à ses personnels et à ses sous-traitants pour diffusion à leur propre personnel, ainsi
qu’à l’autorité ;
• cette documentation est disponible et accessible à toutes les personnes susceptibles d’en avoir
besoin ;
• la forme sous laquelle est diffusée la documentation et la liste des destinataires sont adaptées
(papier, électronique, affichage, tous les personnels concernés, personnel d’encadrement qui
diffusent ensuite, …) ;
• les mises à jour des procédures de travail sont bien assimilées par les personnels concernés.
3.5.2.3. Maîtrise
L’exploitant devrait établir une procédure pour la maîtrise de sa documentation, y compris les documents d’origine
extérieure tels que les normes et règlements. Cette procédure devrait préciser les processus de création,
d’approbation, de diffusion et de modification des documents.
Une liste de référence indiquant la révision en vigueur des documents devrait être établie et facilement accessible
pour empêcher l’utilisation de documents non valables et/ou périmés.
L’exploitant a la possibilité de sous-traiter la rédaction et l’élaboration de sa documentation à un tiers.
L’appropriation de la documentation et de ses procédures associées est un élément fondamental pour que le
système de gestion puisse être mis en œuvre de manière efficace et, à cet égard, l’exploitant ne peut se contenter
d’adopter un système documentaire « clé en main ».
3.5.3. Archivage
Références réglementaires
ORO.MLR.115 Archivage
L’exploitant doit décrire dans sa documentation quels documents il choisit d’archiver (et au minimum ceux requis
par la réglementation), pour quelle durée, à quel endroit ils sont stockés, et quelle sont les personnes en charge
de cet archivage.
3.5.3.1. Système de gestion
Des enregistrements précis, complets et facilement accessibles relatifs aux résultats du système de gestion
devraient être conservés par l'exploitant. Les enregistrements sont des données essentielles permettant à un
exploitant d'analyser et de déterminer les causes fondamentales des non-conformités ou des événements.
Pour le CAT, les dossiers suivants doivent être conservés pendant 5 ans :
• programmes d'audits/inspections ;
• comptes rendus d'audits et d’inspections qualité ;
• réponses aux constats ;
• compte rendus d'actions correctives ;
• compte rendus de suivi et de clôture ;
• comptes rendus des différentes instances (SRB, SAG si applicable, etc) ;
• études de sécurité, études de changement ;
• analyses des événements (actions, suivi, clôture).
Pour le SPO et le NCC, les dossiers suivants doivent être conservés pendant 5 ans :
• la copie de la Déclaration
• les autorisations détenues
• le manuel d’exploitation
En outre, pour le SPO à haut risque, les éléments suivants doivent être conservés pendant 5 ans :
Édition 1
Guide DSAC
Page : 53/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• les évaluations de risque
• les procédures de l’exploitant (SOP) associées
3.5.3.2. Préparation et exécution du vol
L’exploitant doit conserver pendant 3 mois les informations suivantes utilisées pour la préparation et l’exécution
des vols :
• licence PNT / certificat PNC : tant que le membre d’équipage exerce chez l’exploitant
• formations, contrôles et qualifications des membres d’équipage : 3 ans
• dossiers relatifs à l’expérience récente : 15 mois
• compétences de route et d’aérodrome : 3 ans
• formation marchandises dangereuses : 3 ans (selon le cas)
• formations des autres personnels (selon programme défini par l’exploitant) : les 2 derniers
dossiers de formation.
L’exploitant doit mettre à disposition du membre d’équipage qui le demande le dossier de formation le concernant.
3.5.3.4. Dossier de vol conservé au sol pendant la durée du vol
Pour le CAT, pendant toute la durée du vol, les informations suivantes sont conservées au sol (ou à bord dans
une pochette ignifugée), jusqu’à ce qu’elles soient archivées :
À noter
Archivage papier ou électronique ?
L’archivage peut être papier ou électronique, ou une combinaison
des deux. Les données archivées doivent être raisonnablement
accessibles.
De même, l’archivage peut être réalisé en plusieurs endroits (ex :
CRM à la technique et reste du dossier de vol aux opérations), si
l’exploitant s’assure que l’archivage est complet et facilement
accessible.
Édition 1
Guide DSAC
Page : 54/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.6. Surveillance de la conformité
Références réglementaires
ORO.GEN.200 (a)(6) (AMC1 et 2 et GM1) Système de gestion
ORO.GEN.220 (AMC1 et GM1) Archivage
ORO.AOC.150 Exigences relatives à la documentation (CAT et SPO
commercial)
ORO.MLR.100, 101 (CAT), 105, 110 et 115 Manuel d’exploitation
CAT.GEN.MPA.185 Informations à conserver au sol
• que les activités de l'exploitant sont surveillées pour s'assurer qu'elles sont conformes aux
exigences réglementaires applicables et aux exigences additionnelles établies par l'exploitant,
• que ces activités sont correctement menées sous la supervision du RD correspondant.
Par conséquent la surveillance interne de la conformité est une approche en deux phases. Il s’agit :
• dans la première phase, d’établir des procédures qui garantissent que les
exigences réglementaires sont transcrites au sein de l’organisation et placées sous
la responsabilité d’un RD ;
• dans la seconde phase, de s’assurer que ces procédures sont suivies au travers
d’une supervision au quotidien par le management de proximité ainsi qu’au travers
d’une surveillance régulière sous forme d’audits et inspections indépendants des
processus
3.6.1.1.1. Phase 1
Dans cette phase, l’exploitant transpose les normes (exigences réglementaires, etc…) dans des procédures. Cette
démarche consiste non pas en une recopie des normes mais en la description de la façon dont l’exploitant entend
que son personnel effectue ses tâches.
Les procédures sont établies par la personne responsable du processus.
A l’issue de cette première phase l’exploitant dispose ainsi :
• de Procédures, c'est-à-dire d’une description claire pour ses personnels de la façon dont
l’exploitant attend qu’ils travaillent
• d’une Grille (ou « matrice ») de conformité (table de références croisées), démontrant que
toutes les exigences applicables ont bien été prises en compte par (transposées dans) les
procédures appropriées.
La grille de conformité, est donc l’outil pour :
Édition 1
Guide DSAC
Page : 55/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Exemple de grille de conformité :
Exigence Référentiel Exploitant Commentaires
Règle N AMC1 § 1 à 5 Manex A-08 § x.y
AMC1 § 6 à 8 Manex A-08 § z
Règle N+1 Manex B-02
Règle N+2 Procédure SGS n°xx
Règle N+3 Manuel SGS section 2.3
etc etc
3.6.1.1.2. Phase 2
Cette phase consiste pour l’exploitant à s’assurer que les procédures sont suivies.
La conformité de l’exploitation aux procédures relève, en premier lieu, de la responsabilité au quotidien des
managers/superviseurs sous la responsabilité ultime des RD dans le cadre de leur activité de supervision.
Elle fait, en second lieu dans le cadre de la surveillance de la conformité, l’objet d’une vérification interne
indépendante, aux moyens d’audits et de contrôles. Celle-ci :
• Commence par la grille de conformité, en faisant référence aux normes applicables qui ont été
transposées, ce qui permet d’identifier les procédures qui entrent dans le périmètre de l’audit
• Puis consiste à vérifier que les procédures sont suivies, non pas en se référant aux normes mais en
se référant aux détails décrits dans le référentiel de l’exploitant
3.6.1.1.3. Synthèse des deux phases
Exhaustivité : L’outil utilisé doit permettre de démontrer facilement et de façon synthétique que
l’ensemble des exigences réglementaires applicables a bien été pris en compte dans la phase 1.
Assurance de la conformité : Si l’outil est renseigné avec les résultats des actes de surveillance
+ ainsi réalisés, il permet à l’exploitant d’avoir une image précise et à jour de sa conformité.
Maintien de la conformité – Gestion des Changements : L’utilisation de l’outil permet de faciliter
et de documenter l’étape “étude d’impact sur le maintien de la conformité” lors de la gestion
des changements.
Édition 1
Guide DSAC
Page : 56/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.6.1.2. Exigences
Le système de gestion comprend une fonction de surveillance de la conformité qui a pour objectif de s’assurer
que les opérations se font en conformité avec les référentiels applicables (règlementation applicable et référentiel
exploitant).
La fonction de surveillance de la conformité doit être adaptée à la taille de l’exploitant ainsi qu’à la complexité de
ses activités.
Cette fonction doit être indépendante de la réalisation des opérations afin de fournir à l’exploitant un regard
extérieur lui permettant d’évaluer de façon objective la conformité de ses opérations.
La description de l’organisation et du fonctionnement de cette fonction doit être documentée.
Pour mettre en œuvre cette fonction, le CR désigne un RSC, qui lui rend compte directement pour lui permettre
de s’assurer de la mise en œuvre effective des actions correctives.
Le rôle principal du RSC est de vérifier que les activités des différents domaines opérationnels (opérations en vol,
maintien de la navigabilité des aéronefs, formation des équipages et opérations au sol) sont conduites
conformément aux normes requises par l'Autorité, ainsi qu’aux exigences définies par l'exploitant. Il vérifie en
outre que chacune de ces activités est effectivement supervisée par le RD correspondant.
Le RSC devrait s'assurer que le programme de surveillance de la conformité est convenablement défini,
continuellement mis en œuvre, revu et amélioré.
3.6.1.3. Modalités
Il existe deux types d’actes de surveillance, les audits et les inspections (ou « contrôles »).
3.6.1.3.1. Inspection (ou « contrôle »)
Une inspection est une évaluation indépendante et documentée de la conformité par l'observation et le jugement
assortie le cas échéant de mesures, d’essais, afin de vérifier la conformité aux exigences applicables.
3.6.1.3.2. Audit
Un audit est un processus systématique, indépendant et documenté permettant d'obtenir des preuves et d’évaluer
de manière objective en vue de déterminer dans quelle mesure des exigences sont respectées.
Les audits devraient comporter au moins les procédures qualité et procédés suivants :
Édition 1
Guide DSAC
Page : 57/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
À noter
Indépendances des auditeurs
Les auditeurs ne devraient pas avoir d'engagement au jour le jour
dans le domaine opérationnel ou dans l'activité d'entretien audité.
L'exploitant devrait développer des procédures appropriées pour
s'assurer que les personnes directement responsables des activités
auditées ne sont pas sélectionnées dans l'équipe d'audit.
Les qualifications et les responsabilités des auditeurs devraient être clairement définies dans la documentation
pertinente.
L’exploitant devrait tenir à jour une liste des auditeurs et des contrôleurs.
Plus généralement, l'exploitant devrait identifier les personnes de la société qui possèdent l'expérience, la
responsabilité et l'autorité pour :
• effectuer les contrôles/inspections et les audits, y compris lorsqu’il a recours à des personnes
externes à l’exploitant ;
• identifier et enregistrer tout problème ou tout constat, et les preuves nécessaires pour justifier ce
problème ou ce constat ;
• initier ou recommander des actions correctives aux problèmes ou constats au travers de chaînes
de compte rendu désignées ;
• vérifier la mise en œuvre des actions correctives dans les temps impartis ;
• rendre compte directement au RSC.
Dans le cas où des personnes externes à l’exploitant réalisent des audits ou inspections :
Édition 1
Guide DSAC
Page : 58/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
À noter
Cycle de surveillance
La durée du cycle est à considérer entre deux audits de même
thème.
Il revient à l’exploitant de se positionner sur la durée de son cycle de
surveillance.
Le choix du cycle, sous la responsabilité du cadre responsable, ne
doit pas répondre à des questions de ressources mais doit être
décidé sur la base d’une démonstration de maitrise de cette fonction
de surveillance de la conformité des activités et des risques inhérents
aux opérations de l’exploitant. Le cycle peut être différent suivant les
activités à surveiller (en particulier pour la surveillance des escales).
La DSAC pourra juger de la pertinence de ce cycle sur la base des
résultats issus de la surveillance interne de l’exploitant comparés à
ceux issus de la surveillance qu’elle réalise. En cas de divergence
trop forte, des constats pourront être émis sur le fait que le choix du
cycle de surveillance n’est pas adapté à la taille et à la complexité de
l’exploitant (ORO.GEN.200(b) et AMC1 ORO.GEN.200(a)(6)
§(a)(2)).
Lorsque l’exploitant détermine le programme de surveillance interne, les changements significatifs dans
l'encadrement, l'organisation, l'exploitation ou les technologies devraient être pris en compte de même que les
modifications réglementaires.
• le niveau de sévérité de la constatation (ex : écart majeur, écart, remarque) et le délai approprié
de réponse qu’il convient d’apporter (ex : besoin d'une action corrective immédiate pour un écart
majeur) ;
• l'analyse des causes racine : l’objectif de cette analyse est d’arriver à une compréhension de la
cause initiale et profonde de la non-conformité ainsi que l’enchaînement de conséquences qu’elle
a entraîné et qui a débouché, in fine, sur la non-conformité. L’identification appropriée de la cause
racine et de ce cheminement est cruciale dans la définition d’actions correctives efficaces afin
d’éviter la répétition de la constatation. Différentes méthodes existent dans la littérature (ex :
méthode des 5 « pourquoi »);
• les actions curatives pour s’assurer de la rectification ponctuelle de la non-conformité. Ces actions
doivent permettre de rétablir la conformité des opérations et devraient être rapidement mises en
œuvre à l’issue de l’identification de la non-conformité ;
• les actions correctives nécessaires pour s'assurer que la non-conformité ne se reproduise pas,
elles doivent donc en particulier répondre à toutes les problématiques identifiées dans l’analyse
des causes racine ;
• une programmation des actions correctives ;
• l'identification des départements et personnes en charge de la mise en œuvre des actions
correctives ;
• l’allocation des ressources par le CR, si nécessaire.
Toute non-conformité identifiée suite à un acte de surveillance devrait être communiquée au RD concerné ou, si
nécessaire, au CR. Le RD concerné est généralement responsable de la définition et de la mise en œuvre de
l’action corrective.
Le CR a la responsabilité ultime de donner les moyens de mise en œuvre des actions correctives et de s'assurer,
par l'intermédiaire du RSC, que les actions correctives ont rétabli la conformité aux normes exigées par l'Autorité
et à toute exigence supplémentaire définie par l'exploitant.
Édition 1
Guide DSAC
Page : 59/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
L’exploitant doit prévoir une étape postérieure à l’accomplissement des actions correctives, visant à vérifier leur
mise en œuvre dans les conditions prévues et à vérifier leur efficacité. Ces tâches sont de la responsabilité du
RSC.
L’ensemble de ces étapes doit être documenté.
En plus des actions correctives issues de la surveillance de la conformité, l’analyse des vols, l’analyse des
événements et les autres processus de la gestion des risques peuvent aussi conduire à la définition et la mise en
œuvre d’actions correctives.
L’exploitant doit définir les modalités de coordination pour le suivi de l’ensemble de ces actions.
À noter
Constatations notifiées par l’Autorité
ORO.GEN.150
Les constatations de niveau 1 ou 2 notifiées par l’Autorité doivent
être prises en compte par l’exploitant au travers de sa fonction de
surveillance de la conformité. Le suivi de ces constatations doit être
similaire à celui attendu pour les constatations internes.
Les observations notifiées par l’Autorité doivent également être
prises en compte par l’exploitant dans son système de gestion.
Toutefois, elles n’appellent pas de réponse systématique vers
l’Autorité.
Édition 1
Guide DSAC
Page : 60/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.7. Gestion des changements
Références réglementaires
ORO.GEN.130 Changements (CAT)
(AMC1, GM 1 & 2 ORO.GEN.130(a), GM 1
ORO.GEN.130(b))
ORO.DEC.100(d) Déclaration (NCC & SPO)
ORO.GEN.200(a)(3) Gestion des risques
(AMC1 ORO.GEN.200(a)(3) §e) Gestion des risques liés aux changements
Édition 1
Guide DSAC
Page : 61/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
o L’analyse au regard de la sécurité
o Les parties du référentiel de l’exploitant modifiées
o La validation interne et la déclaration de conformité
• Les critères de détermination des changements non soumis à l’approbation préalable de l’autorité.
• Pour les changements nécessitant une approbation préalable :
o Les délais de demande d’approbation : la demande doit parvenir à l’Autorité au moins 30 jours
avant la date prévisionnelle du changement.
o L’identification de la personne responsable de formuler la demande d’approbation.
o La description du contenu du dossier à transmettre à l’autorité :
▪ Description du changement ;
▪ Demande formelle d’approbation ;
▪ Déclaration de conformité par le cadre responsable ou le RSC ;
▪ Matrice de conformité ;
▪ Etude de sécurité pour des changements introduisant des évolutions significatives
(exemples non exhaustifs : réorganisation du système de gestion, introduction d’un
nouvel équipement aéronef, ...) ;
▪ Documents associés (notamment parties du référentiel de l’exploitant modifiées) ;
▪ Documents techniques justificatifs (AFM, MMEL, OSD, …).
• Pour les changements ne nécessitant pas d’approbation préalable :
o L’identification de la responsabilité de la notification du changement à l’Autorité
préalablement à sa mise en vigueur ;
o Le délai standard de pré-notification à l’autorité avant l’entrée en vigueur du changement.
o La description du contenu du dossier à transmettre à l’autorité :
▪ Description du changement ;
▪ Documents associés (notamment parties du référentiel de l’exploitant modifiées ;
▪ Date d’entrée en vigueur
o Eléments complémentaires pouvant être fournis à la demande de l’autorité :
▪ Matrice de conformité
▪ Etude de sécurité
▪ Documents techniques justificatifs
• Les modalités de mise en œuvre du changement dans l’entreprise après la notification à l’Autorité
ou la réception de l’approbation.
• Les modalités de suivi du changement après sa mise en œuvre et notamment la vérification de
l’efficacité des mesures d’atténuation.
Les changements minimes qui de manière évidente n’ont pas d’impact sur la sécurité ni sur la conformité peuvent
faire l’objet d’une procédure simplifiée et d’une traçabilité limitée. Il est cependant important de garantir que ces
changements sont connus des différents responsables. Ils peuvent par exemple être abordés lors d’un SAG ou
d’un SRB et enregistrés dans les comptes rendus associés.
Certains changements peuvent être mis en œuvre plusieurs fois par un même exploitant (changements ponctuels
mais récurrents). Il peut s’agir par exemple de la mise en place d’une nouvelle ligne à chaque saison estivale.
Dans ce cas, pour éviter d’avoir à conduire plusieurs fois la même étude, l’organisme peut utiliser les éléments
issus des études de sécurité déjà réalisées.
Pour chaque changement devant donner lieu à une étude de sécurité, l’exploitant peut se poser les questions
suivantes :
• un changement similaire a-t-il déjà fait l’objet d’une évaluation d’impact sur la sécurité ?
Édition 1
Guide DSAC
Page : 62/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
• quels sont les événements indésirables ? (en tenant compte des spécificités du changement
considéré)
• les événements indésirables identifiés sont-ils les mêmes ?
• les mesures en réduction de risque identifiées dans l’étude précédente sont-elles toujours
pertinentes et applicables ?
Les éventuels événements qui ont pu se produire lors de la mise en place d’un changement similaire seront alors
également pris en compte.
L’approbation d’une procédure de gestion des changements non soumis à approbation préalable répartie entre
plusieurs documents est possible, sous réserve que les documents soient référencés dans la documentation du
système de gestion, qu’ils renvoient les uns aux autres et qu’ils contiennent ensemble l’intégralité des requis.
Dans ce cas, l’approbation délivrée doit lister l’ensemble des documents et toute modification de l’un des
documents entraîne la révision de l’approbation.
3.7.2.2. Synthèse de la gestion d’un changement
Responsable
Action Quand et comment
de l’action
Pour tous les changements
Identifier le changement et initier sa
CR ou RD
mise en œuvre
Déterminer et enregistrer les actions
RD concernés
associées au changement
Déterminer et enregistrer l’impact du
Utiliser de préférence une matrice RSC avec les
changement sur la conformité
(ou « grille ») de conformité RD concernés
réglementaire
Déterminer et enregistrer l’impact du Réaliser le cas échéant une étude
changement sur la sécurité de de sécurité (cf. 3.3.1.4). RGS avec les
l’exploitation. Identifier les mesures d’atténuation RD concernés
des risques.
Après prise en compte de l’impact
Valider le changement en interne CR ou RD
sur la conformité et sur la sécurité.
Vérifier l’enregistrement du changement
(personne qui décide d’initier le
changement, résultats des différentes RSC
études, décision, actions à mettre en
œuvre)
Nota : Certaines actions sont
Mettre en œuvre les actions
conditionnées à l’approbation
nécessaires avant l’introduction du RD concernés
préalable de la DSAC (formations
changement
PN notamment)
Changement ne nécessitant pas d’approbation préalable
Tel que défini dans la procédure
Notifier le changement à la DSAC RSC
approuvée
Changement nécessitant une approbation préalable
Demander l’approbation préalable à la Au moins 30 jours avant la date
RSC
DSAC prévue du changement
Finaliser les actions nécessaires avant Après réception de l’approbation
RD concernés
l’introduction du changement de la DSAC
Pour tous les changements
Dès notification à la DSAC ou
Mettre en œuvre le changement après réception de l’approbation CR ou RD
de la DSAC
Suivre le changement (conformité et
Après la mise en œuvre du RSC, RGS et
gestion des risques, efficacité des
changement RD concernés
mesures d’atténuation)
Édition 1
Guide DSAC
Page : 63/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.8. Gestion des interfaces
Parmi toutes les organisations avec lesquelles une interface d’activités peut exister, l’exploitant devrait identifier :
• les sous-traitants : entités qui réalisent une tâche pour le compte de l’exploitant ;
• les tiers : entités qui travaillent sur la plate-forme et dont l’activité peut avoir des impacts sur celle
de l’exploitant (exemples : exploitant d’aérodrome, prestataire de service de navigation aérienne).
Références réglementaires
ORO.GEN.205 (dont AMC1, GM1 et 2) Activités sous-traitées
Les exploitants peuvent décider de sous-traiter certaines activités à des organismes externes pour la fourniture
de services dans des domaines tels que :
• inclure les activités du sous-traitant dans sa fonction de surveillance de la conformité sous la forme
la plus adaptée : réalisation d’audits/inspections, revues de contrats, organisation de réunions de
suivi de la prestation, etc. La réalisation de ces actions de surveillance peut être mutualisée entre
plusieurs exploitants par la mise en commun des actions et de leur suivi, au travers ou non d’un
organisme tiers, tout en s’assurant de la prise en compte des exigences pouvant être propres à
chaque exploitant ;
• prendre en compte les activités sous-traitées dans sa gestion des risques : identification,
évaluation et atténuation des risques, ajout de critères de sécurité dans les contrats, etc.
Les contrats de sous-traitance doivent mentionner les critères de sécurité qui s’imposent au sous-traitant (ex :
notification d’évènements, analyse des évènements, formation, définition et suivi d’indicateurs de sécurité, respect
de l’anonymat, etc.).
Lorsque le sous-traitant dispose lui-même d’un système de gestion, les deux systèmes devraient être coordonnés.
L’information des événements de sécurité identifiés par le sous-traitant opérant dans le cadre de services
contractés avec un exploitants devraient être notifiés vers l’exploitant dans le cadre de son SGS. La possibilité
peut être offerte aux agents des sous-traitants de notifier directement à l’exploitant des éléments concernant la
sécurité.
Édition 1
Guide DSAC
Page : 64/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
tiers qui possèdent un système de gestion sous la forme par exemple d’un protocole ou de participation à des
réunions communes.
La coordination peut porter sur l’analyse des événements transverses à plusieurs activités (par exemple : incursion
sur piste, circulation aérienne, approches non conformes, etc.), l’information sur un changement à venir (par
exemple : travaux impactant la distance de piste, introduction d’un nouveau type aéronef, etc.) ou l’échange de
bonnes pratiques en matière de sécurité.
Édition 1
Guide DSAC
Page : 65/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.9. Mesure de la performance du système de gestion
Références réglementaires
AMC1 ORO.GEN.200 (a)(3), §d Safety performance and measurement
AMC1 ORO.GEN.200 (a)(3), §f Continuous improvement
3.9.1. Généralités
L’exploitant doit surveiller et mesurer ses performances en matière de sécurité et de conformité par rapport à sa
politique et les objectifs qu’il s’est fixés. Pour cela, il doit s’appuyer notamment sur :
• la remontée d’événements ;
• les études de sécurité ;
• la gestion des changements pouvant affecter la sécurité ;
• la conformité des opérations (et notamment les résultats des audits et inspections) ;
• les résultats des audits du système de gestion ;
• le suivi des indicateurs de sécurité et de conformité ;
• le suivi de l’ensemble des actions correctives et préventives et l’évaluation de leur efficacité
Les SRB sont l’occasion pour la direction de faire cette évaluation de performance.
Valeurs cible
Objectifs de sécurité Indicateurs possibles (quelques
exemples)
Réduire le nombre d’approches non
- Taux d’approches non stabilisées en réduction
stabilisées
Réduire le nombre d’erreurs de masse et - Nombre d’erreurs par assistant en escale
en réduction
centrage - Nombre d’erreurs au total
- Nombre de fois où la préparation des vols a dû
Améliorer la maitrise du temps de
être faite dans un temps inférieur à celui optimal < 1%
préparation des vols
défini par l’exploitant
- Nombre d’évènements liés à l’embarquements
Mieux encadrer l’embarquement (rotors
des passagers (ex : passagers ayant échappé 0
tournants) des passagers
à la vigilance du personnel sol)
- Nombre d’événements notifiés ayant une
Prendre en compte la fatigue des pilotes cause liée à la fatigue
…
dans la planification des équipages - Nombre de réponses aux sondages
équipages
Édition 1
Guide DSAC
Page : 66/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Valeurs cible
Objectifs de conformité Indicateurs possibles (quelques
exemples)
Réduire le nombre de dysfonctionnements - Nombre de dysfonctionnements par assistant
-10%
avec les assistants en escale en escale
- Nombre de dysfonctionnements total (avec les
…
assistants en escale)
Améliorer la conformité des opérations - Nombre de constats internes/externes dans le
cycle de surveillance
- Nombre de constats significatifs rapporté au
nombre total de constats
- Délai moyen de mise en place d’actions …
correctives
- Délai moyen de clôture des constats
- Pourcentage des constats ayant fait l’objet
d’une extension de délai
- Valeurs cible
- Objectifs de performance du système
Indicateurs possibles (quelques
de gestion
exemples)
- Augmenter la notification d’événements - - Nombre d’événements notifiés durant le
- …
dernier trimestre
- Améliorer le traitement des événements - - Nombre d’événements ayant fait l’objet d’une - 90%
analyse approfondie
- - Nombre de rapports transmis à la DSAC IR - 100%
- - Délai moyen de traitement d’un évènement - 15 jours
- - Pourcentage d’évènements traités dans les - …
délais
- Réaliser des analyses de risques avant
- - Nombre d’analyses réalisées préalablement à
- en
chaque changement un changement (rapporté au nombre de
augmentation
changements)
- Améliorer la promotion de la sécurité - - Nombre de bulletins sécurité émis dans
- …
l’année
- Assurer/améliorer l’intégration des sous-
- - Nombre de sous-traitants
traitants dans le système de gestion de- - Nombre de sous-traitants ayant mis en œuvre
l’exploitant un système de recueil et de report à l’exploitant
des évènements de sécurité constatés,
rapporté au nombre total de sous-traitants.
- - Nombre de contrats incluant des exigences
- …
relatives à la formation et aux compétences
pour les sous-traitants rapporté au nombre total
de contrats de sous-traitance.
- - Nombre de contrats de sous-traitance
intégrant les clauses relatives au SGS rapporté
au nombre total des contrats de sous-traitance.
- Respecter le planning interne de
- - Nombre d’audits / inspections réalisés par
surveillance rapport au nombre planifié
- - Nombre d’audits / inspections reportés par - …
rapport à la date prévue
- - Nombre de dépassements par thème
L’exploitant doit définir et documenter les modalités de suivi de ses indicateurs (y compris pour les indicateurs
communs à d’autres systèmes/fonctions).
Édition 1
Guide DSAC
Page : 67/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Annexe 1 : Glossaire
Édition 1
Guide DSAC
Page : 68/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
RD(s) Responsables Désignés
RDE Responsable De l’Entretien
RDFE Responsable Désigné Formation des Equipages
RDOV Responsable Désigné Opérations en Vol
RDOS Responsable Désigné Opérations au Sol
RDMN Responsable Désigné Maintien de la Navigabilité
RE Responsable entretien
RQ Responsable qualité
RSC Responsable de la Surveillance de la Conformité
RGS Responsable de la Gestion de la Sécurité
RTC Recurrent Training and Checking (anciennement ECP)
SAG Safety Action Group
SCP Special Categories of Passengers
SIB Safety Information Bulletin
SG Système de Gestion
SGRF Système de Gestion du Risque Fatigue
SPA SPecial Authorisation
SPO SPecialized Operations
SOP Standard Operating Procedure
SRB Safety Review Board
VMU Vol Médical d’Urgence
Édition 1
Guide DSAC
Page : 69/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Annexe 2 : Sommaire détaillé du Guide
Gestion documentaire ............................................................................................................................................ 2
Historique des révisions ................................................................................................................................... 2
Approbation du document ................................................................................................................................ 2
Sommaire................................................................................................................................................................. 3
1. Préambule ........................................................................................................................................................... 4
2. Références réglementaires ................................................................................................................................ 5
3. Attendus d’un système de gestion ................................................................................................................... 8
3.0. Généralités .................................................................................................................................................. 8
3.0.1. Principes et fonctionnement ..............................................................................................................................8
3.0.2. Complexité de l’exploitant ..................................................................................................................................8
3.1. Organisation et chaîne de responsabilité ..............................................................................................10
3.1.1. Introduction .......................................................................................................................................................10
3.1.2. La chaîne de responsabilité .............................................................................................................................11
3.1.2.1. Les postes clés ............................................................................................................................................................ 12
3.1.2.1.1. CR – Cadre responsable ...................................................................................................................................... 12
Édition 1
Guide DSAC
Page : 70/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.3.2.1.2. L’analyse des vols ................................................................................................................................................ 32
Édition 1
Guide DSAC
Page : 71/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
3.5.1.6. Documentation de bord............................................................................................................................................... 51
3.5.2. Gestion de la documentation ...........................................................................................................................52
3.5.2.1. Modifications ............................................................................................................................................................... 52
3.6.1.2. Exigences..................................................................................................................................................................... 57
3.6.1.3. Modalités ...................................................................................................................................................................... 57
3.6.1.3.1. Inspection (ou « contrôle ») .................................................................................................................................. 57
Édition 1
Guide DSAC
Page : 72/73 Version 2
Système de gestion de l’exploitant
du 10/02/2022
Direction générale de l’Aviation civile
Direction de la Sécurité de l’Aviation civile
50, rue Henry Farman
75720 PARIS CEDEX 15
Tél. : +33 (0)1 58 09 43 21
www.ecologie.gouv.fr