Analyse des spécialistes / Administration

Cartographie des risques d’atteintes à la probité : comment la mettre en œuvre ?

Publié le 16 octobre 2025 à 10h30 - par

La cartographie des risques d’atteintes à la probité constitue la première mesure à mettre en place par une organisation soumise à la loi n° 2016-1691 du 9 décembre 2016, dite Sapin 2, dans le cadre de son dispositif anticorruption. Cette recommandation, reprise par l’Agence française anticorruption, consacre et formalise l’approche par les risques. La cartographie est à la fois un instrument et la méthode visant à identifier, évaluer et hiérarchiser les risques d’atteintes à la probité dans la perspective de prendre les mesures adaptées et proportionnées pour les maîtriser.

Cartographie des risques d’atteintes à la probité : comment la mettre en œuvre ?
© Par J.G Studio - stock.adobe.com

Pour tout comprendre

Texte juridique Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique Texte juridique Avis relatif aux recommandations de l'Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d'influence, de concussion, de prise illégale d'intérêts, de détournement de fonds publics et de favoritisme

Engagement de l’instance dirigeante et définition du rôle de chacun

Préalables nécessaires. Clé de voûte du dispositif de prévention des risques d’atteintes à la probité, faisant le lien entre outils et acteurs, l’instance dirigeante de la structure publique a un rôle déterminant : impulsion de la politique de prévention, mise en œuvre effective des différents outils et dispositifs de prévention des risques d’atteintes à la probité, allocation raisonnable des moyens humains, financiers et techniques nécessaires au déploiement du dispositif anticorruption dans sa structure. Elle doit communiquer sur l’existence et la mise en place du dispositif de prévention des risques auprès des membres de l’organisation (élus, agents) et des tiers (administrés, prestataires et fournisseurs, partenaires). Elle manifeste ainsi son engagement dans la démarche et donne la visibilité nécessaire au déploiement d’un dispositif anticorruption spécifique et approprié à la structure. Il s’agit d’éviter l’écueil selon lequel cet exercice, souvent redouté par les assujettis, jugé chronophage et difficile, ne mobiliserait pas l’ensemble des acteurs autour de sa bonne réalisation.
Par instance dirigeante, selon les recommandations de l’Agence française anticorruption (AFA), on peut entendre l’organe délibérant, l’exécutif (maire, président) ou le directeur général des services (DGS) ; dès lors que la fonction emporte la capacité à impulser et à suivre régulièrement la mise en œuvre du dispositif. L’intervention de l’organe délibérant pourra asseoir politiquement la démarche préventive interne et engager la structure dans une quasi-obligation de résultat.
La cartographie des risques doit être réalisée par un groupe de travail pluridisciplinaire et pluriprofessionnel de la structure pour assurer une approche globale. L’appui d’un expert ou d’un consultant peut être utile, surtout pour une première cartographie.

Identification et hiérarchisation des risques bruts

Analyse fine pour objectiver l’exercice. La cartographie des risques prend la forme d’un document régulièrement actualisé, destiné à permettre à l’organisation de connaître les risques d’atteintes à la probité auxquels elle est exposée.
Issue d’une analyse fine des processus de l’organisation, la cartographie est établie sur le fondement d’une méthode offrant l’assurance raisonnable que les risques identifiés sont le fidèle reflet de ceux auxquels l’organisation est réellement exposée.
Il s’agit d’objectiver la connaissance des risques et donc d’en faciliter la prise en compte et le traitement. Toutes les sources d’information internes sur les risques et leur maîtrise sont utilisées. Ainsi, les services, les agents doivent être associés à la démarche au travers d’entretiens, d’ateliers et/ ou de questionnaires permettant de recenser les scenarii à risques selon une typologie des catégories de risques spécifiques. L’ensemble des informations collectées permet de faire une analyse a posteriori des risques qui se sont concrétisés et leurs conséquences ; une analyse a priori des risques (analyses de processus, simulation…) est également réalisée.
Une difficulté souvent ignorée est la subjectivité du risque : sa perception varie d’une personne à l’autre, d’un service à un autre, conduisant à une approche qui oscillera entre extrême relativisation de certains risques et excès de prudence pour d’autres induisant de l’immobilisme.
Échelle d’évaluation des risques. Une fois les risques identifiés, il faut évaluer leur fréquence et déterminer la gravité de chaque risque (impacts induits) dans un but de hiérarchisation, sans tenir compte des moyens de prévention existants et mis en œuvre dans un premier temps. Une échelle d’évaluation des risques doit être définie selon deux indicateurs, la mesure d’impact et la probabilité d’occurrence :

  • Impact du risque (financier, opérationnel, réputationnel, juridique par exemple) classé de 1 à 5 (de faible à élevé) ;
  • Probabilité classée de 1 à 5 (de rare à très probable) au regard de facteurs internes et externes.

Une fois le niveau de criticité connu, il s’agit ensuite de rendre l’analyse des risques lisible et visible sous la forme d’un tableau et/ou d’un graphique.

Évaluation des moyens existants visant à maîtriser les risques bruts

Détermination des risques nets. Il s’agit de réévaluer les risques bruts à la lumière des moyens de prévention mis en œuvre par l’organisation (processus, procédures, contrôles, formations…) en attribuant un niveau de maîtrise pour chaque risque identifié de 1 à 5 (de très bonne maîtrise à aucune maîtrise). Une représentation visuelle permettra de mieux identifier les risques à traiter et ainsi adopter ou adapter les mesures correctives afin de les réduire.

Exploitation de la cartographie des risques

Élaboration du plan d’action. Une fois les risques évalués à leur juste niveau et correctement hiérarchisés, un plan d’action de nature à en assurer la maîtrise doit être élaboré.
La phase de diagnostic doit conduire à identifier et prioriser les mesures de prévention et de réduction du risque à mettre en place au regard de leur faisabilité. Un calendrier de mise en œuvre devra être établi. Selon que l’objectif poursuivi est de supprimer le risque, réduire sa probabilité de survenance ou minimiser son impact, des mesures diverses pourront être adoptées :

  • Mesures de prévention : éviter la survenue du risque ;
  • Mesures de récupération : contrôler le risque avant que les conséquences deviennent dommageables pour l’entité ;
  • Mesures d’atténuation des effets : atténuer le risque pour le rendre acceptable.

La cartographie doit être validée par l’instance dirigeante avant qu’elle ne soit mise en œuvre et lors de chaque mise à jour. Elle peut être insérée dans une cartographie couvrant un spectre plus large de risques, qui respecte elle-même les dispositions susvisées.
Le rôle de chacun dans la mise en œuvre du plan d’action doit être déterminé avant d’entrer dans la phase opérationnelle de déploiement concret des actions du plan de gestion des risques.
Mise en œuvre du plan d’action. Le responsable de la cartographie des risques doit piloter l’ensemble du processus, s’assurer de la mise en œuvre effective des actions, mobiliser les acteurs identifiés, communiquer autour du plan d’action et ses enjeux, engager et s’assurer de l’adhésion des collaborateurs. Il doit accompagner les changements et lever les freins.

Formalisation et mise à jour de la cartographie

Processus d’amélioration continue. Une cartographie dynamique doit se traduire par un livrable comportant :

  • La méthodologie utilisée ;
  • Les échelles d’évaluation des risques (impacts et occurrences) ;
  • Une présentation de l’ensemble des risques bruts, nets ;
  • Une fiche de risques pour chaque groupe de processus. Ce document doit être présenté aux instances dirigeantes pour validation du plan d’action. Les managers et les agents doivent également avoir communication des éléments pour une meilleure appropriation comme outil de pilotage des risques.

Le responsable de la cartographie évalue et suit la bonne mise en œuvre des actions et mesures de maîtrise des risques en s’assurant de leur efficacité. Pour ce faire, il peut s’appuyer sur les services d’audit et de contrôle interne.
Le plan d’action sera adapté au fur et à mesure des retours d’expérience et de l’évolution des risques, dans un processus d’amélioration continue.
Une mise à jour annuelle est appréciée sur le même modèle, au regard d’une méthodologie qui donne l’assurance raisonnable qu’elle reflète fidèlement les risques réels auxquels l’entité est exposée. La mise à jour de la cartographie des risques peut être globale (ensemble des risques auxquels l’organisation est exposée) ou intéresser un processus particulier (la commande publique, par exemple).

Jérôme Cladéra, Mission inspection générale et déontologie, Inspection Générale des Services, Bordeaux Métropole

Voir avis relatif aux recommandations de l’Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme (NOR : ECOZ2035293V).

Auteur :

Jérôme Cladéra

Jérôme Cladéra

Mission inspection générale et déontologie, Inspection Générale des Services, Bordeaux Métropole

On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale

Les + Vus

Voir tous les articles publiés