Publications

Cartographie des risques : la méthode pour bâtir un outil de conformité solide

Cartographie des risques : la méthode pour bâtir un outil de conformité solide

Retour à la liste de nos actualités
29.06.2026

Découvrez comment construire une cartographie des risques fiable : méthode, étapes clés, identification des risques et bonnes pratiques pour renforcer votre conformité.

La cartographie des risques est la pierre angulaire de tout dispositif de conformité.

Avant de définir des contrôles, des formations ou des procédures, encore faut-il savoir où se situent les risques et lesquels traiter en priorité.

En matière de LCB-FT, de gestion des risques opérationnels ou en anticorruption, l’identification et la hiérarchisation des risques constituent le point de départ d’un dispositif de conformité cohérent, et l'ACPR, l'AMF, la DGCCRF ou encore l'AFA en font un point de contrôle systématique.

Toutefois, les obligations ne sont ni identiques ni applicables à toutes les organisations dans les mêmes conditions : la réglementation LCB-FT impose aux personnes assujetties une classification des risques, tandis que l’article 17 de la loi Sapin 2 impose une cartographie des risques de corruption aux seules entités entrant dans son champ d’application. Cet article explique, étape par étape, comment bâtir un référentiel de risques pertinent, exploitable et défendable.

Qu'est-ce qu'une cartographie des risques ?

La cartographie des risques est un outil d'identification, d'analyse et de hiérarchisation des risques auxquels une organisation est exposée. Son but est de transformer une intuition diffuse (« nous avons des risques ») en une vision claire et structurée : quels risques précis, à quel niveau, et lesquels traiter en priorité.

Concrètement, la cartographie recense les risques, les évalue selon leur probabilité de survenance et leur impact, puis les hiérarchise pour orienter les moyens vers les zones les plus sensibles. Elle aboutit souvent à une matrice visuelle croisant ces deux dimensions.

En matière de conformité, la cartographie a une portée particulière : c'est le socle dont découlent toutes les autres mesures. Les contrôles, la formation, l'évaluation des tiers, la vigilance client doivent tous procéder de la cartographie. Sans elle, le dispositif fonctionne à l'aveugle, et c'est précisément ce que sanctionnent les autorités.

Pourquoi la cartographie des risques est-elle obligatoire ?

La cartographie n'est pas qu'une bonne pratique de gestion : c'est une obligation réglementaire dans plusieurs dispositifs de conformité. La connaître permet de mesurer son caractère incontournable.

En matière de LCB-FT, les organismes assujettis doivent élaborer une classification des risques de blanchiment et de financement du terrorisme propres à leur activité, qui conditionne l'intensité de leurs mesures de vigilance. Attention toutefois, La confusion commence souvent dès les mots. Là où d’autres dispositifs de gestion des risques parlent de cartographie, la réglementation LCB-FT impose une classification.

- La cartographie propose une vision d’ensemble des risques avec l’intégration de « scénarios de risques »;

- La classification ajuste la vigilance au cas par cas, à l’échelle de chaque relation d’affaires et de ses caractéristiques.

- La cartographie éclaire la route, la classification ajuste chaque pas.

En matière d'anticorruption, la cartographie des risques est l'un des huit piliers du dispositif imposé par la loi Sapin 2 : l'AFA exige qu'elle soit formalisée selon une méthodologie documentée, actualisée régulièrement et validée par l'instance dirigeante.

Dans les deux cas, la cartographie commande l'ensemble du dispositif. Une cartographie absente, superficielle ou non actualisée est un manquement en soi, indépendamment de la qualité des autres mesures. C'est souvent par elle que débute un contrôle de l'ACPR ou de l'AFA.

Exemple concret : lors d'un contrôle, l'AFA vérifie d'abord l'existence et la qualité de la cartographie des risques de corruption, car c'est elle qui justifie le ciblage des contrôles, des formations et de l'évaluation des tiers. Une cartographie générique, non adaptée à l'activité réelle, fait s'effondrer la cohérence de tout le programme.

Quelles sont les étapes pour établir une cartographie des risques ?

Construire une cartographie suit une démarche structurée en plusieurs étapes. Les respecter dans l'ordre garantit un résultat exploitable et défendable.

- La première étape : cadrer le projet en définissant le périmètre, les objectifs, la méthodologie et les contributeurs.

- La deuxième étape : recenser les risques en identifiant, processus par processus et activité par activité, les situations à risque auxquelles l'organisation est exposée.

- La troisième étape : évaluer chaque risque selon sa probabilité de survenance et son impact, pour en déterminer la criticité (le risque brut).

- La quatrième étape : prendre en compte les mesures de maîtrise déjà en place pour apprécier le risque résiduel.

- La cinquième étape : formaliser la matrice des risques, qui hiérarchise visuellement les risques et oriente les priorités.

Une fois la matrice établie, la cartographie débouche sur un plan d'action : pour les risques les plus critiques, quelles mesures renforcer. C'est cette articulation entre identification et action qui donne sa valeur à l'exercice.

Comment recenser et identifier les risques ?

Le recensement est le cœur de la cartographie : un risque non identifié ne sera jamais traité. Cette étape demande méthode et connaissance fine de l'activité.

L'identification se fait généralement processus par processus : on examine chaque activité (souscription, gestion, paiements, achats, relations avec les tiers) pour repérer où le risque peut survenir. Elle s'appuie sur plusieurs sources : entretiens avec les opérationnels, analyse des incidents passés, retours des contrôles, doctrine des autorités, et facteurs de risque sectoriels.

En LCB-FT, l'identification s'organise autour d'axes d'analyse définis par la réglementation et la doctrine : les caractéristiques de la clientèle, les produits et services offerts, les canaux de distribution, les conditions d'exécution des opérations et la dimension géographique (pays à risque). Croiser ces axes permet d'identifier finement les situations sensibles.

Exemple concret : un assureur examine ses produits et identifie que certains contrats (forte valeur de rachat, versements libres importants) présentent un risque de blanchiment plus élevé. Il croise ce facteur avec le canal de distribution et la clientèle concernée pour cibler précisément où renforcer sa vigilance. C'est ce niveau de finesse que les autorités attendent.

Comment évaluer et hiérarchiser les risques ?

Une fois recensés, les risques doivent être évalués et hiérarchisés, car on ne peut pas tout traiter avec la même intensité. C'est l'évaluation qui permet de prioriser.

L'évaluation croise classiquement deux dimensions :

- la probabilité (ou fréquence) de survenance du risque,
- et son impact (ou gravité) s'il se réalise.

Le produit des deux donne la criticité du risque. On distingue souvent le risque brut (avant mesures de maîtrise) du risque net ou résiduel (après prise en compte des contrôles existants), ce dernier étant le plus pertinent pour décider des actions.

Le résultat se matérialise dans une matrice des risques, généralement une grille croisant probabilité et impact, où chaque risque est positionné. Les risques situés dans la zone critique (forte probabilité, fort impact) appellent une action prioritaire ; ceux de faible criticité peuvent être simplement surveillés.
Cette visualisation facilite le dialogue avec la direction et la prise de décision.

Qui doit être impliqué dans la cartographie ?

La cartographie n'est pas l'affaire d'une seule personne : sa qualité dépend de l'implication des bonnes parties prenantes.
Une cartographie construite en vase clos par la seule conformité manque de réalité opérationnelle.

Plusieurs acteurs doivent contribuer :

- les opérationnels qui connaissent les risques concrets de leur activité,
- la fonction conformité qui pilote la méthodologie,
- les fonctions support (juridique, risques, contrôle interne),
- et surtout l'instance dirigeante.

Pour les entités assujetties à l’article 17 de la loi Sapin 2, les dirigeants sont responsables de la mise en œuvre des mesures de prévention et de détection. Il est donc recommandé de formaliser la présentation de la cartographie à l’instance dirigeante, son appropriation des priorités et le suivi du plan d’action.

Cette gouvernance partagée garantit à la fois la pertinence (les opérationnels apportent la réalité du terrain) et l'autorité(la direction valide et engage l'organisation). Le bon réflexe est de formaliser qui contribue, qui valide et selon quelle méthodologie, pour pouvoir le démontrer en cas de contrôle.

À quelle fréquence faut-il actualiser la cartographie ?

Une cartographie n'a de valeur que si elle est à jour : une cartographie figée devient rapidement déconnectée de la réalité des risques. Son actualisation est donc une exigence, pas une option.

La cartographie doit être réexaminée régulièrement et mise à jour à chaque changement significatif :

- nouvelle activité,
- nouvelle implantation géographique,
- acquisition,
- réorganisation interne,
- évolution réglementaire,
- ou survenance d'un incident majeur.

En matière de Sapin 2, l'AFA recommande une actualisation régulière, et plus fréquemment en cas d'évolution notable. En LCB-FT, la règle est plus explicite : la classification des risques doit être régulièrement mise à jour, notamment à la suite de tout événement interne ou externe affectant significativement les activités, les produits, les opérations, les canaux de distribution, les clientèles ou les implantations de l’organisme assujetti.

Exemple concret : un courtier qui se lance dans la distribution à l'international, ou qui commence à distribuer un nouveau type de produit, doit réviser sa cartographie et sa classification des risques LCB-FT pour intégrer les nouveaux risques (pays à risque, canal nouveau, clientèle différente). Conserver une cartographie antérieure inchangée laisserait un angle mort que les autorités sanctionneraient.

Comment la cartographie articule-t-elle tout le dispositif de conformité ?

La cartographie n'est pas un document isolé : elle est le point de départ qui irrigue l'ensemble du dispositif. Comprendre cette articulation évite d'en faire un exercice théorique sans suite.

De la cartographie découlent :

- les mesures de vigilance (l'intensité du KYC et de la due diligence se module selon le risque cartographié),
- les contrôles (ciblés sur les zones critiques),
- la formation (orientée vers les personnels les plus exposés),
- l'évaluation des tiers (proportionnée au risque),
- et le plan d'action de remédiation.

La cartographie alimente aussi le reporting à la direction et le contrôle interne.

Cette transversalité explique pourquoi les autorités y attachent tant d'importance : une cartographie défaillante compromet en cascade toute la cohérence du dispositif. À l'inverse, une cartographie solide et exploitée donne du sens et de l'efficacité à chaque mesure.

Comment réussir et faire vivre sa cartographie des risques ?

La logique gagnante est de traiter la cartographie comme un outil de pilotage vivant, et non comme un document produit une fois pour satisfaire un contrôle. Quelques réflexes en font un véritable levier de conformité.

Concrètement :

- cadrer le projet (périmètre, méthode, contributeurs),
- recenser finement les risques par processus et selon les axes pertinents (clientèle, produits, canaux, opérations, géographie pour la LCB-FT),
- évaluer chaque risque en probabilité et impact, en distinguant risque brut et résiduel
- formaliser une matrice lisible et un plan d'action priorisé,
- impliquer les opérationnels et faire valider par la direction,
- actualiser régulièrement et à chaque changement significatif,
- documenter la méthodologie et les décisions,
- et exploiter la cartographie pour orienter contrôles, formation et vigilance.

La cartographie des risques n'est pas une formalité administrative : bien construite et bien exploitée, elle est le cerveau du dispositif de conformité, celui qui dirige l'effort là où il compte. Un document clair, partagé, actualisé et relié à l'action est la meilleure preuve d'un dispositif maîtrisé face à l'ACPR comme à l'AFA. C'est cette rigueur méthodologique, plus que le volume de procédures, qui distingue une conformité réelle d'une conformité de façade.

Cartographie des risques : méthode et repères

Les clés pour bâtir une cartographie de conformite solide et défendable. Filtrez par thème ou recherchez un mot-clé.

Auteur

Marc
Lafin
Élève Avocat

Sommaire de l'article

J'accède au document
Partager cette actualité sur Linkedin