Guides & Ressources pratiques
Gestion de crise en entreprise : étapes et enjeux juridiques
Matrice de risques : méthode, criticité et exemple
Points clés de l'article
- La matrice de risques croise probabilité d'occurrence et gravité d'impact pour hiérarchiser les risques sur une grille visuelle exploitable.
- Les échelles de cotation (3 ou 5 niveaux) doivent être définies avec des critères objectifs et chiffrés pour éviter toute subjectivité.
- La criticité se calcule en multipliant la probabilité par la gravité : ce score détermine les seuils d'alerte et les priorités d'action.
- La construction suit 5 étapes : inventaire des risques, définition des échelles, cotation, positionnement dans la matrice, plan d'action.
- Pour satisfaire les exigences réglementaires (Sapin II, RGPD, devoir de vigilance), la matrice doit être documentée, actualisée et traçable.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Matrice de risques : définition et utilité en entreprise
Construire les échelles de probabilité et de gravité
Calcul de la criticité et seuils d'alerte
Étapes de construction de la matrice de risques
Exemple de matrice de risques commenté
Du tableau à la cartographie des risques réglementaire
Erreurs fréquentes et limites de l'outil
Matrice de risques : définition et utilité en entreprise
Une matrice de risques est un tableau à double entrée qui positionne chaque risque identifié selon 2 axes : sa probabilité de survenance et la gravité de son impact. Le croisement de ces 2 dimensions produit une cartographie visuelle qui permet de distinguer les risques critiques des risques acceptables.
Pour un directeur juridique, cet outil répond à un besoin concret : hiérarchiser les risques de l'entreprise alors que les obligations de cartographie se multiplient. La loi Sapin II impose depuis 2016 une cartographie des risques de corruption. Le RGPD exige une analyse d'impact sur les traitements à risque. La loi sur le devoir de vigilance (2017) requiert une identification des risques d'atteintes aux droits humains et à l'environnement. Dans chacun de ces cadres, la matrice constitue le socle méthodologique de référence.
Son utilité dépasse la conformité réglementaire. Elle structure le dialogue entre la direction juridique, la direction générale et les opérationnels. Un risque coté « critique » dans la matrice justifie l'allocation de ressources. Un risque coté « faible » peut être accepté ou surveillé sans mobiliser d'équipe dédiée. La matrice transforme une liste de risques en outil de décision.
Construire les échelles de probabilité et de gravité
La fiabilité d'une matrice dépend de la qualité de ses échelles de cotation. 2 approches coexistent : l'échelle à 3 niveaux (faible, moyen, élevé) et l'échelle à 5 niveaux, plus granulaire.
Échelle de probabilité à 5 niveaux :
| Niveau | Libellé | Critère indicatif |
|---|---|---|
| 1 | Très improbable | Moins de 1 occurrence en 10 ans |
| 2 | Peu probable | 1 occurrence tous les 5 à 10 ans |
| 3 | Possible | 1 occurrence tous les 2 à 5 ans |
| 4 | Probable | 1 occurrence par an |
| 5 | Quasi certain | Plusieurs occurrences par an |
Échelle de gravité à 5 niveaux :
| Niveau | Libellé | Critère indicatif |
|---|---|---|
| 1 | Négligeable | Impact financier < 10 000 €, aucune atteinte réputationnelle |
| 2 | Mineur | Impact financier 10 000 – 100 000 €, gestion interne |
| 3 | Modéré | Impact 100 000 – 500 000 €, couverture médiatique locale |
| 4 | Grave | Impact 500 000 – 2 M€, sanction réglementaire possible |
| 5 | Critique | Impact > 2 M€, mise en cause pénale, atteinte durable à la réputation |
Le choix entre 3 et 5 niveaux dépend de la taille de l'entreprise et du nombre de risques à coter. Une PME avec 15 risques identifiés fonctionnera avec 3 niveaux. Un groupe exposé à 80 risques a besoin de 5 niveaux pour différencier les priorités.
L'erreur la plus fréquente consiste à définir des échelles sans critères objectifs. « Impact élevé » ne signifie rien si aucun seuil chiffré n'est associé. Chaque niveau doit être ancré sur des données mesurables : montant financier, durée d'interruption d'activité, type de sanction encourue.
Calcul de la criticité et seuils d'alerte
La criticité d'un risque se calcule par la formule : Criticité = Probabilité × Gravité. Sur une échelle à 5 niveaux, le score varie de 1 (risque négligeable et très improbable) à 25 (risque critique et quasi certain).
Ce score brut doit être traduit en zones d'action. La pratique courante distingue 3 zones :
- Zone verte (criticité 1 à 6) : risque acceptable. Surveillance périodique, pas d'action corrective immédiate.
- Zone orange (criticité 7 à 14) : risque à traiter. Plan d'action à définir avec un responsable et un délai.
- Zone rouge (criticité 15 à 25) : risque inacceptable. Action corrective prioritaire, reporting à la direction générale.
Les seuils ne sont pas universels. Ils doivent être validés par le comité des risques ou la direction générale, car ils engagent l'appétence au risque de l'entreprise. Une société cotée dans un secteur régulé (banque, santé) fixera un seuil rouge plus bas qu'une startup en phase d'amorçage.
La définition des seuils d'alerte engage la responsabilité de l'entreprise face aux régulateurs. Un accompagnement juridique spécialisé permet de calibrer ces seuils en cohérence avec le cadre réglementaire applicable.
Échangez avec un avocat spécialisé en conformité
Étapes de construction de la matrice de risques
La construction d'une matrice de risques suit 5 étapes séquentielles.
1. Inventaire des risques. Recenser l'ensemble des risques par domaine : juridique, financier, opérationnel, réputationnel, réglementaire. Les sources d'identification incluent les audits internes, les incidents passés, les contrôles réglementaires et les entretiens avec les responsables métiers. Un groupe de 500 salariés identifie en moyenne entre 40 et 80 risques lors de cet exercice.
2. Définition des échelles. Fixer les niveaux de probabilité et de gravité avec des critères chiffrés (voir section précédente). Documenter chaque niveau pour garantir une cotation homogène entre les contributeurs.
3. Cotation de chaque risque. Attribuer un score de probabilité et un score de gravité à chaque risque. Cette cotation repose sur des données historiques (fréquence des incidents), des benchmarks sectoriels et le jugement expert des responsables métiers. La cotation doit être réalisée en atelier collectif pour limiter les biais individuels.
4. Positionnement dans la matrice. Placer chaque risque dans la grille selon ses coordonnées (probabilité, gravité). Les risques situés en zone rouge apparaissent visuellement dans le quadrant supérieur droit.
5. Plan d'action et suivi. Pour chaque risque en zone orange ou rouge, définir une action de réduction (contrôle interne, clause contractuelle, assurance, formation), un responsable et une échéance. La matrice est révisée au minimum 1 fois par an ou après tout incident significatif.
Exemple de matrice de risques commenté
Voici un extrait de matrice appliquée à une ETI industrielle de 800 salariés opérant en France et en Allemagne :
| Risque identifié | Probabilité (1-5) | Gravité (1-5) | Criticité | Zone |
|---|---|---|---|---|
| Non-conformité RGPD (transferts de données UE/hors UE) | 4 | 4 | 16 | 🔴 Rouge |
| Litige prud'homal (harcèlement) | 3 | 4 | 12 | 🟠 Orange |
| Rupture d'approvisionnement fournisseur critique | 3 | 5 | 15 | 🔴 Rouge |
| Retard de paiement client (> 60 jours) | 4 | 2 | 8 | 🟠 Orange |
| Incendie sur site de production | 1 | 5 | 5 | 🟢 Vert |
| Violation de clause de non-concurrence par un ex-salarié | 2 | 3 | 6 | 🟢 Vert |
Lecture du tableau. Le risque RGPD atteint une criticité de 16 : la probabilité est élevée (transferts fréquents sans clauses contractuelles types actualisées) et la gravité aussi (l'amende RGPD peut atteindre 4 % du chiffre d'affaires mondial, soit jusqu'à 20 M€). Ce risque exige une action corrective immédiate. En revanche, l'incendie sur site, bien que potentiellement dévastateur (gravité 5), reste très improbable (probabilité 1) : la criticité de 5 le maintient en zone verte, sous surveillance.
Ce type de matrice permet au directeur juridique de présenter au comité exécutif une photographie hiérarchisée des expositions, avec des priorités d'action documentées.
Construire une matrice exploitable par les régulateurs suppose de maîtriser les référentiels de conformité applicables à chaque risque identifié.
Trouvez un avocat en conformité et vigilance
Du tableau à la cartographie des risques réglementaire
La matrice de risques constitue le noyau technique de la cartographie des risques exigée par les textes réglementaires. Toutefois, passer du tableau interne au document opposable aux régulateurs nécessite plusieurs compléments.
L'Agence française anticorruption (AFA) précise dans ses recommandations actualisées en 2024 que la cartographie Sapin II doit inclure : l'identification des processus exposés, la cotation du risque brut (avant mesures) et du risque net (après mesures), ainsi que la description des dispositifs de maîtrise existants. La matrice seule ne suffit pas : elle doit être accompagnée de fiches de risques détaillées et d'un plan de remédiation.
Pour le RGPD, la CNIL attend une analyse d'impact (AIPD) formalisée pour les traitements à risque élevé. La matrice sert à identifier ces traitements, mais l'AIPD impose un format spécifique (description du traitement, évaluation de la nécessité, mesures de sécurité).
En pratique, la matrice doit être :
- Documentée : chaque cotation est justifiée par des éléments factuels.
- Actualisée : mise à jour annuelle ou après tout changement significatif (acquisition, nouveau marché, évolution réglementaire).
- Traçable : les versions successives sont conservées pour démontrer la démarche de progrès aux régulateurs.
Erreurs fréquentes et limites de l'outil
5 erreurs récurrentes dans la construction d'une matrice de risques :
- Échelles sans critères objectifs. Coter la gravité « forte » sans seuil chiffré rend la matrice inexploitable et contestable en cas de contrôle.
- Cotation par une seule personne. Le biais de perception fausse les résultats. La cotation en atelier pluridisciplinaire (juridique, finance, opérations) produit des scores plus fiables.
- Absence de distinction risque brut / risque net. Le risque brut mesure l'exposition avant toute mesure de maîtrise. Le risque net intègre les contrôles existants. Les régulateurs attendent les 2 niveaux de cotation.
- Matrice figée. Une matrice non révisée perd sa pertinence en 12 à 18 mois. Les risques évoluent avec l'activité, la réglementation et l'environnement économique.
- Confusion entre matrice et cartographie. La matrice est un outil de cotation. La cartographie réglementaire inclut en plus l'analyse des processus, les plans d'action et la gouvernance du dispositif.
La matrice présente aussi des limites structurelles. Elle ne capture pas les interdépendances entre risques : un incident cyber peut déclencher un risque RGPD, un risque réputationnel et un risque de rupture d'activité simultanément. Elle ne modélise pas non plus la vitesse de propagation d'un risque. Ces limites justifient de compléter la matrice par des scénarios de crise et des analyses de corrélation pour les organisations les plus exposées.
La matrice reste un outil de pilotage, pas une fin en soi. Sa valeur dépend de la rigueur méthodologique avec laquelle elle est construite et maintenue.
Faites appel à un avocat spécialisé en conformité et vigilance
FAQ
Quelle différence entre matrice de risques et cartographie des risques ?
La matrice est un tableau de cotation qui croise probabilité et gravité pour chaque risque. La cartographie est un dispositif plus large qui inclut la matrice, les fiches de risques détaillées, les mesures de maîtrise et le plan de remédiation. Les régulateurs (AFA, CNIL) exigent une cartographie complète, pas seulement une matrice.
Faut-il utiliser une échelle à 3 ou 5 niveaux ?
L'échelle à 3 niveaux convient aux organisations qui gèrent moins de 20 risques. Au-delà, l'échelle à 5 niveaux permet de différencier les priorités avec plus de précision. Dans les 2 cas, chaque niveau doit être défini par des critères chiffrés et objectifs.
À quelle fréquence mettre à jour la matrice de risques ?
Au minimum 1 fois par an. Une mise à jour intermédiaire s'impose après tout événement significatif : acquisition, lancement d'activité dans un nouveau pays, entrée en vigueur d'une nouvelle réglementation ou survenance d'un incident. L'AFA recommande une actualisation régulière dans ses lignes directrices.
Qui doit participer à la cotation des risques ?
La cotation doit être collective et pluridisciplinaire. Elle réunit la direction juridique, la direction financière, les responsables opérationnels concernés et, le cas échéant, le responsable conformité. Cette approche réduit les biais individuels et produit des scores plus représentatifs de la réalité de l'entreprise.
La matrice de risques est-elle obligatoire en droit français ?
Aucun texte n'impose le format « matrice » en tant que tel. En revanche, la loi Sapin II, le RGPD et la loi sur le devoir de vigilance imposent une identification et une hiérarchisation des risques. La matrice est l'outil méthodologique le plus utilisé pour satisfaire ces obligations, car elle produit une cotation structurée et documentée.
Pour aller plus loin
Matrice et cartographie des risques - Ministère de l’Économie et des Finances
Le processus de management et la cartographie des risques - Ministère de l’Économie et des Finances
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
