Imaginez d'un côté la machinerie lourde de l'administration fédérale canadienne. En 2016, le gouvernement lance le projet « Phoenix » pour moderniser la paie de quelque 290 000 fonctionnaires. L'intention est technocratique et financière : centraliser les systèmes, éliminer les conseillers en rémunération locaux — plus d'un millier de postes supprimés — et économiser 70 millions de dollars par an. L'histoire tourne au cauchemar national. Le système est lancé malgré des failles critiques connues et signalées. Des milliers de fonctionnaires ne reçoivent pas leur salaire pendant des mois ; certains perdent leur maison ou vident leur épargne, tandis que d'autres sont trop payés et doivent rembourser des sommes qu'ils n'ont plus. En 2019, le Directeur parlementaire du budget estimait le coût total de l'échec à 2,6 milliards de dollars — chiffre qui a continué d'augmenter depuis. Ce n'est pas une histoire de bug informatique, mais une histoire d'hommes et de femmes terrifiés à l'idée de dire « Non » à leur hiérarchie.
De l'autre côté, plongeons dans les bureaux d'Etsy, la place de marché artisanale en ligne, durant sa phase d'hyper-croissance. L'environnement est techniquement instable : les ingénieurs modifient le code du site en direct entre 30 et 100 fois par jour. Le risque de « casser » la boutique est permanent. Pourtant, lorsqu'un développeur fait une erreur qui met le site hors ligne, il n'est pas convoqué pour une réprimande. Il est susceptible de recevoir le « Three-Armed Sweater Award » — le prix du pull à trois manches, décerné chaque année à l'erreur la plus spectaculaire — , une récompense qui célèbre l'accident le plus instructif de l'année. C'est l'histoire d'une entreprise qui a décidé que l'erreur n'était pas une faute morale, mais une donnée précieuse à capturer.
Ce face-à-face explore comment la peur peut paralyser une organisation techniquement compétente, tandis que la sécurité psychologique peut transformer la faillibilité humaine en moteur de performance.
Le projet Phoenix visait à remplacer des systèmes de paie vieillissants par une solution centralisée basée sur le logiciel commercial Oracle PeopleSoft, développée et déployée par IBM. Le déploiement s'est soldé par un échec opérationnel massif. Les rapports accablants du Vérificateur Général du Canada — publié en 2018 — ont conclu à « un échec incompréhensible de la gestion de projet et de la surveillance ». La cause racine identifiée n'était pas technique : c'était une culture de gestion où les cadres intermédiaires n'osaient pas remonter les mauvaises nouvelles — les tests échoués, les délais intenables — à leur hiérarchie, de peur de représailles ou d'être perçus comme des « bloqueurs » du progrès. Les tableaux de bord présentés aux ministres affichaient du vert tandis que les indicateurs opérationnels viraient au rouge.
L'analyse R6 identifie une pathologie sévère sur les axes de la posture et de la coordination :
Niveau stratégique (S). La stratégie reposait sur une logique de production et de centralisation (S3a) agressive — « faire plus avec moins » — déconnectée de la réalité du terrain. Les décideurs ont ignoré les signaux d'alerte pour protéger le calendrier politique, créant une distorsion de la réalité. C'est une faillite de la posture de lucidité (S1a) : l'organisation a préféré la cohérence de son plan à la vérité des faits.
Niveau organisationnel (O). Le système souffrait d'une rupture critique de la cohérence informationnelle (O1a). La fonction première de O1a est d'assurer la remontée fiable de l'information pour garantir la lucidité décisionnelle. Ici, la gouvernance a involontairement instauré un filtre de conformité de façade. De plus, en supprimant les experts en rémunération locaux avant que le système ne fonctionne, le gouvernement a détruit la capacité de coopération (O2b) nécessaire pour gérer la transition — éliminant précisément ceux qui auraient pu corriger les erreurs en temps réel.
Niveau individuel (I). Dans ce climat, la compétence de responsabilité (I1a) a été pervertie. Au lieu d'exercer une responsabilité éthique — signaler le danger pour l'utilisateur final —, les individus ont adopté une posture de survie : obéir aux ordres. La peur a inhibé l'exercice de la responsabilité réelle. Le système a transformé des professionnels compétents en exécutants silencieux, incapables d'activer les boucles d'alerte.
Etsy opère en environnement DevOps, où développement et opérations sont fusionnés pour une vitesse maximale. Pour gérer ce risque structurel, l'entreprise a institutionnalisé la « Just Culture » et la pratique du « Blameless Post-Mortem ». Lorsqu'un incident survient, l'objectif n'est jamais de trouver « qui » a fait l'erreur, mais « comment » le système a permis que cette erreur se produise. Si un ingénieur supprime une base de données par mégarde, la question n'est pas « pourquoi as-tu été négligent ? », mais « pourquoi l'outil t'a-t-il laissé faire cela si facilement ? ». Le prix du pull à trois manches — un vrai pull tricoté par un artisan Etsy, accroché dans les bureaux — va chaque année à l'erreur la plus spectaculaire, pas la plus grave. Ce sont les accidents les plus surprenants, ceux qui révèlent l'écart le plus instructif entre ce qu'on attendait et ce qui s'est passé, qui sont récompensés.
L'analyse R6 met en évidence une maîtrise exceptionnelle des boucles d'apprentissage sur l'axe posture :
Niveau organisationnel (O). Etsy utilise l'incident comme carburant pour sa capacité de transformation (O1b). Chaque erreur déclenche une enquête systémique formelle qui aboutit toujours à une amélioration du processus, de l'outil ou de la documentation. L'organisation ne cherche pas la stabilité par l'interdiction de l'erreur — une approche rigide et illusoire —, mais par la résilience adaptative. Le Post-Mortem est un mécanisme de transformation continue : il convertit un échec individuel en actif collectif.
Niveau individuel (I). Cette culture reconfigure la compétence de responsabilité (I1a). Chez Etsy, être responsable ne signifie pas « ne jamais se tromper », mais « signaler son erreur immédiatement, sans peur, et participer activement à son analyse ». Cette sécurité psychologique accélère drastiquement le temps de résolution. Elle libère également la capacité d'innovation (I1b) : les ingénieurs osent tester des nouveautés car ils savent que le système les soutiendra en cas de pépin.
La comparaison entre Phoenix et Etsy illustre deux philosophies opposées face à la complexité.
Dans le cas Phoenix, l'organisation a tenté de garantir le contrôle par la contrainte hiérarchique et la peur de l'échec. En cherchant à supprimer l'erreur humaine par l'autorité, elle a fini par supprimer l'information sur l'erreur. C'est un système qui étouffe le signal. Le coût de cette rigidité a été astronomique — des milliards de dollars, car les problèmes n'ont été traités que lorsqu'ils sont devenus catastrophiques et impossibles à cacher. Le silence coûte cher.
À l'inverse, Etsy a construit un système qui amplifie le signal. En acceptant l'erreur humaine comme une propriété inévitable d'un système complexe, l'entreprise a transformé un coût (la panne) en investissement (l'apprentissage). La « liberté de l'erreur » n'est pas du laxisme : c'est une méthode rigoureuse pour augmenter la robustesse technique du système. Là où Phoenix a échoué par silence et déni, Etsy réussit par la parole libérée et la lucidité radicale.
La sécurité psychologique n'est pas une soft skill bienveillante pour faire plaisir aux équipes — c'est une condition technique sine qua non de la performance et de la sécurité financière. Un système où la vérité ne remonte pas est un système qui pilote à l'aveugle et finit invariablement dans le mur.
La leçon est puissante et immédiate : si vous voulez de la fiabilité technique, vous devez construire une infrastructure de confiance humaine. Ne demandez plus « qui est le coupable ? » — ce qui ferme la communication —, demandez « que nous apprend cet incident sur notre système ? » — ce qui l'ouvre. Transformez la peur en curiosité, et vous passerez d'une organisation qui subit ses risques à une organisation qui les maîtrise.