L'illusion du contrôle et de la sécurité

J'ai eu le plaisir d'intervenir hier lors d'un séminaire de responsables de communication interne d'un grand groupe industriel, pour présenter les outils, les usages et le jargon internet actuels, et parler de la communication en entreprise à l'ère de la publication personnelle. Deux des questions posées me donnent l'occasion d'un billet sur les peurs des directions générales par rapport aux nouveaux usages des TIC.

La première, est la peur d'une perte de contrôle de l'information. La formulation de la question était quelque chose comme "je n'aurais jamais le temps de tout contrôler". J'avais donné comme idée d'amélioration de l'annuaire classique d'entreprise, qui ne sert qu'à trouver des adresses et des numéros de téléphones, d'y ajouter les fonctionnalités d'un réseau social en permettant aux gens de compléter leur profil avec CV, compétences, liens, etc. Et mon interlocutrice d'exprimer sa crainte que tout le monde puisse raconter n'importe quoi, sans qu'elle puisse le vérifier.
Ma première réaction est que, effectivement, si l'on incite de plus en plus les collaborateurs à communiquer, le service communication n'aura pas les moyens de tout vérifier. Mais est-ce un problème, ou bien cette peur qui conduit à ne rien faire n'est pas en elle-même un plus grand problème, c'est-à-dire qu'elle paralyse tout le système ? Et malgré des canaux très balisés, j'ai eu droit à quelques exemples marquants de problèmes que rencontrent les communiquants : lavage de linge sale en public sur Boursorama, tracts disséminés aux salariés mais pas à la direction, montrant que tout système rigide se contourne, en général sous le manteau donc de manière encore plus difficile à contrôler. C'est un cercle vicieux.

Ce qui me donne la transition sur la seconde peur, la sécurité : "la direction de la sécurité n'autorisera jamais ces outils, trop dangereux, trop de risques de dissémination d'informations confidentielles", etc. Dans d'autres groupes où la sécurité est plus classiquement l'affaire de l'informatique, on pourra retrouver les mêmes arguments dans la bouche du DSI. Là j'ai une anecdote qui illustre très bien cette illusion, totale et néfaste, du contrôle absolu exercé par des gens qui sont en dehors du terrain.

Cette histoire se passe dans l'industrie du nucléaire, où l'on manipule des déchets radioactifs avec des procédures extrêmement lourdes pour des questions évidentes de sécurité des personnes. Les ouvriers chargés de transporter les "châteaux" de plomb remplis de matières fissiles doivent suivre une procédure très codifiée, qui fait que le simple déchargement d'un château du camion prend un temps considérable. Les ouvriers portent une tenue de protection et un badge dosimètre qui mesure la dose de rayonnements qu'ils ont reçue en service. La nature humaine étant ce qu'elle est, il est arrivé ce qui suit. Ne comprenant pas pourquoi les crânes d'œuf, qui leur expliquent en costard depuis leur bureau comment ils doivent décharger un camion, ont encore rajouté une énième étape à la longue liste de tâches, un gars dit aux autres "regardez, on saute ça et ça, hop, hop, on bascule le truc à la main en dix secondes et on a gagné une heure". Résultat, ils ont effectivement gagné un temps considérable mais leur dosimètre a pris une couleur qui déplait fortement au responsable sécurité, qui, n'ayant pas assisté à la scène, se dit "flûte, ma nouvelle procédure n'était pas assez fiable" et... en rajoute une couche ! C'est un cercle vicieux.

Ce schéma existe dans le monde des grandes entreprises aujourd'hui, c'est celui de la personne de terrain qui, excédée par le contraste entre ce qu'elle sait pouvoir faire chez elle avec internet et ce que son service informatique lui propose (ou lui interdit de faire !) sur son poste de travail, fini par "se débrouiller" toute seule en dehors du système d'information de l'entreprise.

Je pourrais en rajouter, comme le fait (ce cas est véridique) qu'un service informatique soit tout fier d'avoir imposé le cryptage et l'impossibilité d'imprimer des courriels, sans se rendre compte que tout le monde peut modifier un message sans que ça se voit avant de le retransmettre et qu'il suffit d'appuyer sur "ctrl-print screen" pour imprimer l'écran ! Ou qu'il est techniquement et psychologiquement plus facile de détourner une information circulant par courriel qu'une page web sécurisée sur l'intranet.

Je pourrais aussi rappeler qu'aux tous débuts du courrier électronique, certains trouvaient absolument impensable que n'importe qui puisse écrire à leur patron, en court-circuitant la hiérarchie ! Aujourd'hui on aurait plutôt tendance à se moquer de ces managers qui ne répondent jamais à leurs courriels.

Je pense que la clé est dans la compréhension d'un certain nombre de points essentiels :
- que la communication comme la sécurité ne sont pas le monopole de tel ou tel service, mais l'affaire de tous
- qu'il existe plusieurs types de communications et qu'il ne faut pas mélanger les genres, c'est-à-dire que la communication officielle, validée, en provenance du service communication (organisation formelle) a sa place et son utilité à côté de la communication de terrain (organisation informelle)1. Je soutiens même qu'il existe une véritable attente de la part du terrain pour une information officielle et validée, en particulier lors de périodes de changements ou de crises
- qu'il faut cesser de vivre dans l'illusion du contrôle total de l'information, ça n'existe pas
- qu'il faut bien analyser, dans les craintes, ce qui est valide de ce qui est irrationnel. Là chaque entreprise est différente, mais la peur irrationnelle est un paralysant très efficace pour tout le monde

Je pense qu'il y a beaucoup plus à gagner à favoriser une communication ouverte et visible de tous, avec une plus grande responsabilisation de chacun, que quelques canaux très balisés qui entrainent des détournements sous-terrains difficiles à repérer.

(1) Sur le sujet de l'organisation formelle vs l'organisation informelle, je vous renvoie à ma présentation : l'intranet social.