Boeing, Titan et les signaux faibles : pourquoi les organisations deviennent-elles aveugles ?

Les déboires récents de Boeing posent une question simple et inconfortable : comment des organisations réputées parmi les plus sûres du monde en arrivent-elles à laisser passer des défauts mortels ? Les crises du 737 MAX, les retards du Starliner et les problèmes de qualité en usine ne sont pas seulement des défaillances techniques. Elles mettent en lumière un problème plus profond : la façon dont l’entreprise décide, arbitre et écoute (ou non) ses propres experts.

En préambule, un petit rappel des faits pour les deux exemples principaux que nous mobiliserons dans cet article : les accidents du Boeing 737 MAX et le naufrage du sous‑marin Titan. Les 737 MAX ont été impliqués dans deux crashs mortels à quelques mois d’intervalle, conduisant à l’immobilisation mondiale de la flotte pendant une longue période. Le sous‑marin touristique Titan a implosé lors d’une plongée vers l’épave du Titanic, entraînant la mort de toutes les personnes à bord.

Priorité aux profits au détriment de la sécurité

Dans le cas du 737 MAX, la succession d’erreurs est désormais bien documentée. Deux éléments en particulier ont été mis en avant pour expliquer les déboires de Boeing :

• Le système MCAS : une conception risquée reposant sur un seul capteur pour limiter les coûts.

• La formation : réduite au strict minimum pour éviter le passage sur simulateur, au détriment de la sécurité.

Si on prend un peu de recul, ces éléments peuvent s'expliquer par une priorité mise sur l'aspect commercial et sur la rentabilité des actionnaires. Entre 2012 et 2018, Boeing a privilégié la rémunération des actionnaires par une forte hausse des rachats d'actions, tandis que ses investissements en R&D stagnaient. Derrière les choix techniques, les enquêtes décrivent une culture où la promesse commerciale et le time-to-market ont trop souvent pris le dessus sur la prudence d’ingénierie.

On retrouve cette dérive dans l'industrie automobile avec le scandale du "Dieselgate" chez Volkswagen : la volonté de dominer le marché mondial a poussé l'organisation à tricher sur les émissions polluantes via un logiciel frauduleux, plutôt que d'investir dans de réelles solutions techniques coûteuses.

Blocages et lourdeurs des grandes entreprises historiques

Face à ces dérives, une explication intuitive s’impose : Boeing serait devenu "trop vieux, trop gros, trop bureaucratique". Avec le temps, les structures se rigidifient, les règles se multiplient, les couches hiérarchiques s’empilent, et l’organisation perd sa capacité à se remettre en question.

La recherche en sociologie des organisations parle d’"inertie structurelle" pour décrire ce phénomène. Plus une entreprise est installée, plus elle est enchevêtrée dans des routines, des processus, des engagements vis‑à‑vis de clients, de régulateurs, d’actionnaires. Cette inertie rend difficile la remise en cause de l'existant, qu’il soit technique (un design d’avion, une architecture logicielle) ou procédural (les circuits de validation, les standards internes).

L’explosion de la navette Challenger en 1986 montre bien cette dérive. Malgré les alertes des ingénieurs de Morton Thiokol sur les joints toriques fragiles au froid, la NASA a décidé le lancement pour respecter un calendrier politique et médiatique.

Dans ce contexte, les alertes des ingénieurs doivent remonter des chaînes hiérarchiques longues, se conformer à des formats standardisés, affronter la force d’habitudes qui ont "toujours fonctionné". L’exception devient progressivement la norme, les petites déviations sont tolérées, puis intégrées, jusqu’à ce que l’accident survienne.

Pièges de la sur-confiance dans les jeunes organisations

L'implosion du submersible Titan de la société OceanGate vient pourtant remettre en question cette lecture centrée sur l’âge. On ne parle plus ici d’un géant centenaire, mais d’une entreprise jeune, agile, se revendiquant à la pointe de l’innovation. Cet exemple met en avant deux raisons pour lesquelles de jeunes entreprises peuvent courir droit à la catastrophe :

• Le rejet des standards : un choix assumé de contourner les procédures classiques de certification, perçues comme un frein à la "disruption".

• La sur-confiance entrepreneuriale : des alertes d'experts externes activement écartées au nom de la "vision" du fondateur.

Ce contre-exemple oblige à nuancer l’hypothèse du "vieillissement" : une organisation jeune, agile, innovante peut tout autant refuser de voir les signaux faibles – non pas parce qu’elle est figée, mais parce qu’elle est emportée par sa propre sur-confiance, son culte de la rupture et la pression économique de la course à la nouveauté.

On l’a vu avec le drone Zano : ce nano-drone promettait en 2014 des capacités autonomes révolutionnaires (tracking GPS, essaimage, caméra HD), levant 3,5 millions de dollars. Mais l’ambition marketing a dépassé la réalité technique, avec des prototypes pas au point, des retards massifs et une faillite fin 2015, n’ayant livré qu’une fraction des 15 000 unités commandées.

Le cœur du problème ne tient donc pas seulement à l’âge, mais à la façon dont l’organisation gère la tension permanente entre innovation, sécurité et contraintes économiques.

Silence des experts et étouffement des signaux d'alerte

Si l’on place côte à côte les cas Boeing et Titan, un motif commun apparaît : ce sont surtout l’organisation, la culture interne et la façon de décider qui ont déraillé, bien plus que la seule technologie.

Dans chaque cas, des signaux d’alerte existaient (mémos, anomalies récurrentes, incidents précurseurs) mais ils ont été minimisés ou contournés. Dans les structures matures, la logique business conduit à banaliser les risques ("ça passera"). Dans les structures jeunes, c’est le culte du fondateur visionnaire qui installe une sur-confiance dangereuse. Dans les deux cas, les contre-pouvoirs techniques perdent leur poids réel dans les décisions finales.

Solutions pour concilier l'innovation et la sécurité

La question n’est pas de choisir entre sécurité et innovation, mais de construire un équilibre dynamique entre ces deux pôles pour éviter que l'un ne tue l'autre. Sur la base des principes issus des High Reliability Organizations (Weick, Roberts), des approches Safety‑II et Resilience Engineering (Hollnagel) et des travaux sur la sécurité psychologique (Edmondson), on peut proposer plusieurs pistes pour articuler sécurité, innovation et performance.

• Instaurer des "garde-fous durs" et une liberté au sein de ce cadre : définir des seuils de sécurité non négociables (tests, exploitation) dont le dépassement stoppe le projet. En deçà, les équipes conservent une totale autonomie pour expérimenter et innover.

• Attribuer un pouvoir de veto factuel à la sécurité : la fonction sûreté doit pouvoir bloquer un projet sur la base de preuves techniques et quantitatives (essais, normes). Ce cadre explicite évite tant l'effacement de la sécurité que la dérive bureaucratique.

• Structurer le conflit entre business, technique et sûreté : organiser leur confrontation plutôt que de gommer les tensions. Cet arbitrage permanent et documenté empêche qu’une logique (souvent économique) n'écrase durablement les autres.

• Transformer la sécurité en levier d'innovation : investir en R&D dans la sûreté (monitoring IA, maintenance prédictive) pour en faire un moteur de performance. Ces technologies réduisent les pannes et optimisent les opérations tout en protégeant l'actif.

• Institutionnaliser la remontée des signaux faibles : créer des espaces de parole où ingénieurs et opérateurs peuvent questionner les choix techniques sans crainte. Sans cette sécurité psychologique, les lanceurs d'alerte se taisent et les risques s'accumulent.

Leçons du modèle aérien pour transformer la culture interne

Un bon exemple de transformation réussie est celui de l’aviation civile américaine après l’accident United Airlines Flight 173 (1978), qui a conduit au déploiement du Crew Resource Management (CRM).

En 1978, le vol United 173 s’écrase près de Portland : focalisé sur un problème de train d’atterrissage, l’équipage laisse le carburant s’épuiser, incapable de remettre en cause l’autorité du commandant. L’enquête montre que la cause principale n’est pas technique, mais organisationnelle : hiérarchie trop rigide, difficultés à contester le chef de bord, mauvaise gestion collective de l’attention.

À partir de ce cas et d’autres incidents similaires, la FAA et plusieurs compagnies (dont United, puis American, Delta, etc.) vont déployer progressivement le CRM :

• Formation systématique des équipages à la communication, à la répartition des rôles et à la gestion des ressources (humaines, informationnelles, temporelles).

• Instauration de règles explicites donnant au copilote le droit, et le devoir, d’alerter, voire de contester le commandant lorsque la sécurité est en jeu.

• Intégration des facteurs humains dans les entraînements simulateur, avec des scénarios centrés sur la coopération, les signaux faibles, la remise en question des décisions du chef de bord.

• Évolution des évaluations pour ne plus juger seulement la compétence technique individuelle, mais aussi la capacité à travailler en équipage, à écouter et à être écouté.

En parallèle, le système de collecte et de partage des incidents et quasi‑incidents se renforce, avec des remontées anonymisées permettant de diffuser les leçons à l’échelle de la profession, et pas seulement au sein d’une seule compagnie.

Sur le temps long, cela se traduit par une baisse marquée des accidents liés à des erreurs d’équipage "non contestées", une culture cockpit où le commandant reste décisionnaire mais n’est plus incontestable, et une diffusion du modèle CRM vers d’autres secteurs (bloc opératoire, centrales, contrôle aérien) avec des gains comparables en fiabilité.

Au fond, la clé n’est pas l’âge des organisations, mais leur capacité à maintenir dans la durée un équilibre vivant entre des forces opposées.

Vous souhaitez faire le point sur votre situation ? Contactez-nous pour un diagnostic lucide et objectif.