Cartographie des risques juridiques : comment procéder ?

Par Cerise Nourry, Manager & Marina Soyer, Senior Analyst, Day One

« Les dangers visibles nous causent moins d’effroi que les dangers imaginaires » (Macbeth - William Shakespeare). 400 ans plus tard, le risque clairement identifié et pondéré cause toujours moins de désordre et de périls que celui qui ne l’est pas.

La cartographie des risques juridiques peut être définie comme une démarche d’identification, d’évaluation, de hiérarchisation et de gestion des risques juridiques inhérents aux activités d’une organisation. Elle permet de visualiser et de mesurer les risques juridiques. Véritable outil de pilotage de l’entreprise et de sa stratégie, elle permet de valoriser pleinement sa ressource Juridique.

Comment mener à bien cette cartographie des risques juridiques ? Retour sur les approches menées avec nos clients en Directions Juridiques.

1- Définir les objectifs et le périmètre de la cartographie des risques juridiques

Les objectifs de la cartographie des risques juridiques

• Pour la Direction Générale, la cartographie des risques juridiques offre une vue globale et hiérarchisée sur les principaux risques juridiques encourus et leurs impacts sur le business.

• Pour la Direction Juridique, elle est un levier structurant qui permet d’organiser le travail en le hiérarchisant par rapport aux risques pour l’entreprise et en s’organisant en mode projet. Elle rend compréhensible et évident l’apport du Juridique pour l’entreprise. Elle permet également de s’assurer que les ressources/moyens alloués à la prévention des risques juridiques identifiés dans la cartographie sont suffisants.

• Pour l’ensemble des collaborateurs dans/hors Direction Juridique, elle rend possible le partage d’une culture et un langage commun sur les risques et facilite l’élaboration d’un plan permettant d’engager des actions immédiates et prioritaires. Par ailleurs, elle permet d’identifier les propriétaires de risques, c’est-à-dire les personnes ou entités qui auront la responsabilité du risque et l’autorité pour le gérer.

Les notions

Pour réaliser une cartographie des risques juridiques, il est nécessaire de valider en interne les notions de « risques juridiques » et d’« impact » qui peuvent varier d’une entreprise à l’autre, d’un département à l’autre, voire d’un juriste à l’autre.

• Le risque juridique peut être défini comme l’expression et/ou la manifestation du non-respect des dispositions légales ou réglementaires auxquelles l’organisation est soumise pour toutes ses activités et relevant du périmètre de la Direction Juridique.

• Le périmètre de la cartographie des risques juridiques correspond en effet au périmètre couvert par la Direction Juridique. Il est donc essentiel de définir clairement ce qui sort de son champ. Exemple : si le droit du travail et le droit fiscal ne sont pas gérés par la Direction Juridique mais par la Direction des Ressources humaines et la Direction Financière, la cartographie des risques juridiques ne couvrira pas les risques juridiques attachés.

• Une fois le périmètre défini, il faut s’accorder sur les échelles « de l’impact » / « niveau de risque » et de « probabilité d’occurrence » et les mettre en cohérence avec les échelles de la cartographie des risques majeurs de l’entreprise.
• La notion d’impact intègre un certain nombre d’éléments qui dépassent le strict cadre financier :
- Impact financier : coût direct, amendes, dommages et intérêts, honoraires des conseils…
- Réputation Acceptabilité sociale : les dommages de réputation et perte d'affaires,
- Risque pénal et/ou de sanctions administratives sur le dirigeant : la responsabilité légale basée sur les clauses contractuelles, etc.

2- Identifier les risques juridiques et évaluer leur impact et leur probabilité d’occurrence

Identifier les risques : la chaîne de valeur comme compas

Une identification efficiente des risques juridiques doit reposer sur la chaîne de valeur de l’entreprise. La chaîne de valeur est établie sur la base des connaissances des métiers de l’entreprise et de la documentation interne (organigrammes du groupe et document d’enregistrement universel ou tout document qui détaille les processus de l’entreprise et/ou son organisation et sa stratégie). Son analyse permettra d’identifier les processus des métiers opérationnels, transverses et supports constituant la chaîne de valeur ainsi que les maillons les plus exposés. Il faut alors recenser auprès des juristes les risques ainsi que leurs causes pour chaque maillon de la chaîne. On obtient alors une liste aussi complète que possible des risques juridiques.

Evaluer l’impact et la probabilité d’occurrence

Les juristes et certains opérationnels susceptibles d’être propriétaires de risques juridiques évaluent l’impact et la probabilité de ces risques juridiques. Définir en amont, pour chaque risque, le scénario à l’origine du risque et son fondement juridique, facilite l’évaluation du risque.

3- Formaliser la cartographie des risques juridiques et définir un plan d’action

La cartographie des risques juridiques se matérialise (i) par un schéma visuel de cartographie, (ii) par une fiche de risque et (iii) par un plan d’action. Elle doit permettre d’identifier en un regard :
• les risques par niveau d’impact et par probabilité d’occurrence,
• les propriétaires de risques, les traitements préventifs existants et à mettre en place,
• les plans d’actions et les mesures immédiates à mettre en œuvre pour les risques prioritaires : qui est en charge ? quand ? Quels moyens doivent être développés ?

4- Mettre en place un processus annuel de revue de la cartographie des risques juridiques

La cartographie des risques juridiques nécessite une mise à jour annuelle. Cela implique de repartir de la cartographie existante et de prendre en compte un certain nombre d’éléments comme :
• la mise à jour des sources internes et externes utilisées pour la cartographie initiale,
• les incidents remontés en interne ou les incidents remontés dans la presse auprès de concurrents, les contentieux…,
• les enseignements des campagnes d’audit ou de contrôle interne.

Mais aussi tous les changements significatifs intervenus dans l’activité, et notamment : évolution du modèle économique, existence de nouveaux processus ou transformation de ceux existants, changements affectant l’organisation (ex : nouvel organigramme, fusion-acquisition…), évolution significative du contexte règlementaire ou économique.

Il est fortement conseillé d’articuler la mise à jour de la cartographie des risques juridiques avec la mise à jour de la cartographie des risques majeurs de l’entreprise et des autres éventuelles démarches de maitrise des risques de l’entreprise (cartographie des risques corruption, plan d’audit annuel, campagne de contrôle interne…).