Cartographier les risques juridiques en entreprise

Le 14 juin 2019, Axel Jurgensen a publié un article dans La Vie Eco sur la définition et la mise en place d’une cartographie des risques juridiques en entreprise.

Il y a encore quelques années de cela, s’interroger sur la possibilité de « cartographier le risque juridique » aurait pu sembler incongru et relever d’une prospective fort éloignée des préoccupations et de la réalité des entreprises. Au fil des ans, cet axe de réflexion est pourtant devenu essentiel au sein de la plupart des grandes entreprises, en particulier celles opérant sur un territoire multinational et/ou avec une clientèle diversifiée, jusqu’à en devenir l’une des principales priorités des directeurs financiers des grandes entreprises, selon le baromètre annuel publié par PWC[1]. Cet intérêt s’explique tant par la judiciarisation accrue de la société, et le développement notamment de tout un pan nouveau de normes dites de « soft law » – sources de nouveaux risques -, que par la conscience de plus en plus présente au sein des conseils d’administrations et directions générales, qu’un risque juridique mal géré peut nuire considérablement à l’entreprise sur le plan financier ou pénal et porter atteinte à sa réputation. En témoignent les conséquences des récentes affaires BNP Paribas, Walmart, Volkswagen ou plus récemment LafargeHolcim, dans des domaines différents.

Au-delà de cet intérêt financier et d’image, la mise en place d’une cartographie des risques juridiques présente de nombreux avantages :

  • Elle accroît la compétitivité d’une entreprise, en ce qu’elle permet notamment une gestion plus audacieuse et hiérarchisée des contrats, en fonction des niveaux de risques encourus, et en augmentant ainsi le ROB (« rhythm of business ») ;
  • Elle permet à la direction juridique de revoir sa stratégie, et d’aligner son organisation et ses ressources avec les risques juridiques majeurs identifiés et priorisés par l’entreprise ;
  • Elle valorise l’action de la direction en faisant apparaître les risques et opportunités juridiques qui peuvent impacter la stratégie choisie par le top management ;
  • Elle est enfin source d’efficience, en ce qu’elle permet à la direction juridique de gagner du temps sur les sujets récurrents et à faible niveau de risque, qui pourront dès lors être réalloués, externalisés, traités différemment (digitalisés), ou même simplement arrêtés.

Comment, dès lors, mener à bien ce processus de cartographie des risques juridiques ?

Prérequis et définition des objectifs

Pour mettre en place une cartographie des risques juridique efficiente, il importe d’abord de bien définir le périmètre de cette notion, et les objectifs recherchés, lesquels devront être fixés conjointement par la direction générale et la direction juridique. Selon nous, une cartographie des risques juridique doit avoir pour objet de : fournir à la direction générale de l’entreprise une vue globale et hiérarchisée des principaux risques juridiques encourus et de leur impact sur le business ; permettre à l’ensemble des collaborateurs de l’entreprise, dans et hors équipe juridique, de partager un langage commun sur les risques ; identifier les propriétaires de chaque risque (qu’ils soient opérationnels, juristes ou issus d’autres fonctions supports) et élaborer un plan de gestion des risques permettant d’engager des actions immédiates et prioritaires. Cette feuille de route peut toutefois différer d’une entreprise à une autre et c’est pourquoi il convient de l’arrêter de manière claire avant d’entreprendre le processus.

Par ailleurs, la réalisation d’une cartographie nécessite du temps et mobilise des ressources humaines au sein de l’entreprise. Il est donc nécessaire d’emporter l’adhésion des directions opérationnelles. En effet, l’objectif n’est pas de limiter la conception de ce dispositif à la seule fonction juridique, mais bien d’associer les entités fonctionnelles. Le soutien de la direction générale est donc également indispensable.

Identification des principaux risques juridiques

Une fois les objectifs fixés et l’ensemble des parties prenantes internes impliquées dans le processus, la première étape de la cartographie proprement dite consiste à définir et identifier les principaux risques juridiques. Il s’agit ici :

  • de valider la notion de risques juridiques et d’impacts business qui peuvent varier non seulement d’une entreprise à une autre, mais aussi d’un département à un autre ou d’un juriste à un autre ;
  • de recenser auprès des juristes l’ensemble des risques et leurs causes ;
  • et de définir les différentes typologies de risques possibles (environnement, business, contentieux, conformité, réputation, etc.).

Hiérarchisation des risques juridiques

Le deuxième temps clé de la cartographie consiste à hiérarchiser les risques. Il s’agit ici de regarder chacun des risques recensés et de les cartographier en fonction :

  • du niveau d’impact business pour l’entreprise (négligeable, mineur, modéré, majeur, critique) ;
  • et de la probabilité d’occurrence (rare, probable, certaine).

Un risque juridique peut en effet avoir un niveau de criticité très élevé mais un niveau d’occurrence quasi nulle, ne justifiant ainsi pas nécessairement un traitement prioritaire. Par ailleurs, ces niveaux d’impact et d’occurrence par type de risques seront, là aussi, très différents d’une entreprise à une autre. A titre d’exemple, un risque réputationnel, s’il est toujours dommageable, ne sera ainsi pas apprécié de la même façon par une entreprise dont le commerce auprès du grand public est l’activité principale que par une entreprise technologique de niche inconnue du plus grand nombre. In fine, on priorisera généralement les risques cumulant les deux aspects de fort impact business et de forte probabilité d’occurrence.

Mise en place du plan d’anticipation et de traitement des risques

Enfin le troisième temps, le plus important car c’est seulement à partir de celui-ci que le niveau de risques peu commencer à baisser, consiste en la mise en place du plan d’anticipation et de traitement des risques, pour chacun des risques prioritaires identifiés. Ce plan comprendra notamment :

  • Les personnes en charge de la gestion du risque (« risk owners»)
  • L’identification des causes et facteurs du risque
  • Les actions préventives ou correctives à entreprendre – en mode gestion de projet – en fonction du type de risque encouru
  • Les échéances des actions à entreprendre (calendrier de mise en oeuvre)
  • Les indicateurs de performance (KPIs) liés au traitement du risque
  • Les outils d’analyse, de suivi, et de reporting à développer envers le Top Management

Bien structurée, la cartographie des risques juridiques constitue un levier de croissance et de valorisation tant de l’entreprise, en ce qu’une bonne gestion de ces risques est une garantie de pérennité économique et de bonne réputation, que de la direction juridique elle-même, dans la mesure où elle permet d’organiser le travail de manière plus efficiente, en le hiérarchisant par rapport aux risques pour l’entreprise et en s’organisant en mode projet.

[1] Etude « Priorités 2018 du Directeur Financier », PWC en partenariat avec la DFCG.