Comment réussir sa cartographie des risques en 6 étapes clés ?

Définition et fondement de la cartographie des risques

La cartographie des risques est un outil de gestion qui permet d’identifier et de recenser l’ensemble des risques auxquels une organisation est exposée. Elle présente ces risques de manière synthétique et hiérarchisée, ce qui facilite la détection des risques majeurs et guide les décisions stratégiques de la direction. La cartographie des risques se traduit par une représentation visuelle (généralement une matrice en deux axe) sur laquelle chaque risque identifié est positionné selon deux critères fondamentaux.

Comment caractériser un risque ?

Un risque se caractérise par deux dimensions complémentaires :

• Sa probabilité d’occurrence : à quelle fréquence ce risque est-il susceptible de se matérialiser ? (Très probable, probable, peu probable, très peu probable).
• Son impact potentiel : quelle serait la gravité des conséquences si ce risque survenait ? (Très grave, grave, sérieux, bénin). Cette évaluation prend en compte l’importance des dommages corporels, psychologiques ou matériels, conformément à la grille de référence de la HAS.

Le croisement de ces deux dimensions au sein d’une matrice permet de hiérarchiser les risques et de concentrer les actions de prévention sur les situations présentant les conséquences les plus importantes. Cette analyse permet ainsi de déterminer ce que l’on appelle la « criticité du risque ». Le but de la cartographie est d’aider les responsables à réduire ces risques en commençant bien sûr par les plus graves.

Les deux types de risques à connaître

Le risque inhérent

Le risque inhérent correspond au niveau de danger lié à une activité avant toute mesure de contrôle ou de prévention. Il reflète l’exposition naturelle de l’établissement à un risque, simplement du fait de ses missions et de son fonctionnement. Identifier ce risque constitue le point de départ de toute démarche de cartographie, car cela permet de comprendre ce que l’établissement encourt intrinsèquement.

Le risque résiduel

Le risque résiduel, quant à lui, est le niveau de risque qui reste après la mise en place de toutes les mesures de maîtrise. Il représente le risque que l’établissement accepte en connaissance de cause, une fois que toutes les protections sont actives. L’objectif de la cartographie est de réduire ces risques résiduels à un niveau acceptable et de repérer ceux qui restent trop élevés, afin de prévoir des actions supplémentaires.

Pourquoi cartographier les risques dans le secteur médico-social ?

Une obligation légale ancrée dans la loi du 2 janvier 2002

La loi n° 2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale est l’un des textes fondamentaux du secteur. Elle impose à chaque établissement et service social ou médico-social (ESSMS) une obligation d’évaluation régulière de ses activités et de la qualité des prestations délivrées. En plaçant l’usager au cœur du dispositif, la loi reconnaît que la qualité de l’accompagnement passe nécessairement par une identification et une maîtrise des risques auxquels les personnes accompagnées peuvent être exposées.

À ce titre, l’article L. 311-1, alinéa 1 du Code de l’action sociale et des familles précise : « Évaluation et prévention des risques sociaux et médico-sociaux, information, investigation, conseil, orientation, formation, médiation et réparation ».

Pour mieux comprendre les enjeux et les obligations liés à cette loi, nous vous invitons à consulter notre article dédié à la loi 2002-2.

Cartographie des risques – zoom sur l’évaluation HAS

Depuis le 10 mars 2022, la Haute Autorité de Santé (HAS) dispose d’un référentiel national unique applicable à l’ensemble des ESSMS. Ce référentiel, structuré en 42 objectifs et 157 critères d’évaluation, intègre la démarche qualité et gestion des risques comme une thématique à part entière au chapitre 3 (L’établissement).

Deux critères standards y sont directement consacrés :

• Critère 3.10.1 : l’ESSMS définit sa politique qualité et gestion des risques.
• Critère 3.10.2 : l’ESSMS met en œuvre sa démarche qualité et gestion des risques.

D’autres critères du référentiel sont également liés à la maîtrise des risques spécifiques : gestion du risque médicamenteux (objectif 3.6), prévention du risque infectieux (objectif 3.7), ou encore plan de gestion de crise et de continuité d’activité (critère 3.14.1).

Ces évaluations sont conduites tous les cinq ans par des organismes extérieurs accrédités par le COFRAC, via la plateforme Synaé. Selon le bilan HAS 2024, seulement 19 % des structures maîtrisent la totalité des 18 critères impératifs.

Un enjeu éthique : la protection des personnes vulnérables

Au-delà de la conformité réglementaire, la cartographie des risques répond à une exigence éthique. Les personnes accompagnées dans les ESSMS (personnes âgées, personnes en situation de handicap, enfants…) sont parmi les plus vulnérables de notre société.

La loi du 2 janvier 2002 leur garantit notamment le respect de leur dignité, de leur intégrité et de leur sécurité. Identifier et maîtriser les risques auxquels elles sont exposées n’est donc pas seulement une obligation administrative : c‘est la traduction concrète de l’engagement de chaque professionnel à leur égard.

Cartographie des risques : Quels risques recenser dans un ESSMS ?

La cartographie des risques d’un établissement médico-social couvre plusieurs familles de risques, dont certaines sont directement identifiées par la HAS dans son référentiel d’évaluation. Une cartographie exhaustive ne saurait se limiter aux seuls risques cliniques ou liés à l’accompagnement : elle doit embrasser l’ensemble des dimensions de la vie de l’établissement.

Les risques liés à l’accompagnement des personnes

Ce sont les risques les plus directement visibles, ceux qui touchent au cœur de la mission des ESSMS. Ils font l’objet d’une attention particulière dans le référentiel HAS et dans les recommandations de bonnes pratiques professionnelles (RBPP).

• Chutes, dénutrition et erreurs médicamenteuses

Les chutes constituent l’un des risques les plus fréquents et les plus graves en EHPAD comme dans les structures accueillant des personnes en situation de handicap. La dénutrition, souvent silencieuse, est une autre priorité identifiée par la HAS, notamment chez les personnes âgées. Le risque médicamenteux fait l’objet d’un objectif dédié dans le référentiel (objectif 3.6) et d’un critère impératif : les professionnels doivent respecter la sécurisation du circuit du médicament, de la prescription à l’administration.

• Maltraitance et risques liés à la bientraitance

La prévention de la maltraitance est un critère impératif du référentiel HAS. Elle englobe non seulement les actes de violence physique ou verbale, mais aussi les formes plus insidieuses de négligence, d’infantilisation ou de non-respect du droit à l’intimité. La cartographie des risques doit inclure une analyse des situations susceptibles de créer un terrain propice aux comportements maltraitants : surcharge de travail, isolement professionnel, déficit de formation.

• Souffrance psychique, troubles cognitifs et comportementaux

Les troubles du comportement liés à des pathologies cognitives (maladie d’Alzheimer, troubles psychiatriques) représentent une source de risques spécifiques pour les personnes accompagnées comme pour les professionnels. 

Les risques organisationnels et ressources humaines

• Turnover, absentéisme et qualité de l’accompagnement

Le secteur médico-social est confronté à des tensions de recrutement et à un turn-over parfois élevé, particulièrement dans les établissements accueillant des personnes âgées dépendantes. Ces réalités RH ont un impact direct sur la qualité et la continuité de l’accompagnement. La cartographie doit intégrer ces facteurs de risque internes, en évaluant notamment les niveaux d’encadrement, les taux d’absentéisme et leur corrélation avec les événements indésirables.

• Défaillances de processus internes

La HAS rappelle que la majorité des incidents dans le secteur médico-social trouve son origine dans des défaillances organisationnelles plutôt que dans des fautes individuelles : absence de procédure, procédure non connue ou non appliquée, transmission d’informations déficiente, absence de traçabilité.

Les risques de crise et risques environnementaux

• Crises sanitaires et climatiques : le cadre réglementaire du plan bleu

La crise sanitaire liée au Covid-19 a mis en lumière la nécessité pour les ESSMS de disposer de plans de gestion de crise opérationnels. Pour les EHPAD, le plan bleu constitue le cadre global de préparation aux crises, qu’elles soient d’origine sanitaire, climatique ou sociale. Le critère 3.14.1 du référentiel HAS impose à chaque ESSMS de définir, avec les professionnels, un plan de gestion de crise et de continuité de l’activité, et de le réactualiser régulièrement. Ce plan doit être porté à la connaissance des parties prenantes internes et externes (critère 3.14.2).

• Risques techniques, infrastructurels et numériques

La défaillance d’équipements médicaux ou techniques, les pannes informatiques affectant le dossier de l’usager ou le circuit du médicament, les risques liés à la protection des données personnelles (RGPD) : ces risques, parfois sous-estimés, peuvent avoir des conséquences directes sur la sécurité des personnes accompagnées. Ils méritent une place à part entière dans la cartographie.

Comment construire une cartographie des risques efficace en 6 étapes ?

L’élaboration d’une cartographie des risques est une démarche structurée qui ne s’improvise pas. Elle mobilise l’ensemble des acteurs de l’établissement et s’inscrit dans la durée. Voici les six étapes clés pour la conduire avec rigueur.

Étape 1 – Clarifier les rôles et responsabilités

Avant d’identifier le moindre risque, il est indispensable de définir qui pilote la démarche, qui y contribue et qui valide les résultats. Dans un ESSMS, cette gouvernance implique généralement la direction de l’établissement, le référent qualité, les chefs de service et les représentants des équipes de terrain. La HAS, dans son manuel d’évaluation, insiste sur la capacité de la gouvernance à impulser la démarche qualité et gestion des risques : c’est un signal fort qui doit se traduire par un portage institutionnel visible et partagé.

Les acteurs incontournables

• La direction : portage politique et validation finale de la cartographie
• Le responsable qualité : coordination méthodologique de la démarche
• Les cadres de proximité : remontée des risques terrain
• Les représentants des personnes accompagnées (CVS) : apport du point de vue usager
• Les professionnels de santé et du soin : expertise clinique

Étape 2 – Identifier les risques inhérents aux activités

Cette étape consiste à dresser un inventaire le plus exhaustif possible des risques auxquels l’établissement est exposé, avant toute mesure de contrôle.

Plusieurs méthodes peuvent être combinées : ateliers participatifs avec les équipes, analyse des événements indésirables passés, revue documentaire (bilans d’évaluation précédents, rapports d’inspections), benchmarking avec des établissements similaires et références aux RBPP de la HAS.
Il est recommandé d’organiser cette identification par domaines d’activité (accompagnement, ressources humaines, logistique, gouvernance, etc.) pour ne laisser aucun angle mort.

Étape 3 – Évaluer l’exposition aux risques

Les facteurs de risque à analyser

Une fois les risques identifiés, chacun doit être évalué selon deux dimensions : la probabilité d’occurrence et la gravité de l’impact. Cette double cotation, généralement réalisée sur une échelle de 1 à 4 ou de 1 à 5, permet de positionner chaque risque sur la matrice.

L’évaluation doit prendre en compte les facteurs contextuels : caractéristiques du public accueilli, localisation géographique, mode d’organisation, ancienneté et turnover du personnel.

L’évaluation des facteurs de risque spécifiques au médico-social

Dans le secteur médico-social, certains facteurs méritent une attention particulière : le ratio d’encadrement par rapport aux besoins du public accueilli, le niveau de formation des équipes, la qualité des transmissions entre équipes, la présence ou l’absence de protocoles formalisés, et la maturité de la culture de signalement des événements indésirables au sein de l’établissement.

Étape 4 – Évaluer l’adéquation et l’efficacité des mesures de maîtrise

À ce stade, il s’agit d’examiner les dispositifs de contrôle déjà en place pour chaque risque inhérent identifié : procédures, formations, équipements, systèmes de surveillance, protocoles d’alerte.

Deux questions guident cette évaluation : ces mesures sont-elles suffisantes au regard du niveau de risque ? Et sont-elles réellement appliquées sur le terrain, ou restent-elles théoriques ?

C’est ici que la méthode du traceur ciblé, utilisée par les évaluateurs HAS, prend tout son sens : elle consiste précisément à vérifier, via des entretiens avec les professionnels, si les processus définis sont effectivement maîtrisés dans la pratique quotidienne.

Étape 5 – Hiérarchiser et traiter les risques résiduels

Positionner les risques sur la matrice

Une fois l’efficacité des mesures de maîtrise évaluée, chaque risque est repositionné sur la matrice en tenant compte des contrôles en place : c’est le risque résiduel. La matrice, dont les axes représentent la probabilité et la gravité, fait ainsi apparaître visuellement les zones de risque :

• Zone verte (risque faible) : risques acceptables, à surveiller
• Zone orange (risque modéré) : risques à réduire par des actions programmées
• Zone rouge (risque élevé ou critique) : risques prioritaires nécessitant des actions immédiates

Prioriser les actions et identifier les mesures défaillantes

La cartographie des risques résiduels permet de prioriser les actions correctives et préventives à inscrire dans le plan d’amélioration continue de la qualité (PAQ) de l’établissement. Pour chaque risque rouge ou orange, il convient d’identifier les mesures de maîtrise existantes qui s’avèrent défaillantes ou insuffisantes, et de définir les actions à mettre en œuvre, avec un responsable désigné et un délai de réalisation.

Étape 6 – Cartographie des risques : la formaliser et la tenir à jour

La cartographie des risques n’est pas un document figé. Une fois formalisée, elle doit être validée par la direction et présentée aux instances compétentes (Conseil de la Vie Sociale, Comité de direction).

Elle doit ensuite être révisée régulièrement — au minimum une fois par an, ou à chaque événement significatif (accident grave, changement organisationnel majeur, nouvelle réglementation). La tenue à jour de la cartographie est elle-même un indicateur de maturité de la démarche qualité, qui sera examiné lors des évaluations HAS.

Synthèse sur la cartographie des risques

En définitive, la cartographie des risques s’impose comme un outil central pour structurer la démarche qualité et sécuriser l’accompagnement au sein des ESSMS. Elle ne se limite pas à une obligation réglementaire, mais constitue un véritable levier de pilotage, permettant d’anticiper les difficultés, de prioriser les actions et d’améliorer en continu les pratiques professionnelles. Elle sert également à faciliter la planification des actions correctives grâce à un support simple d’utilisation, clair et facilement lisible par l’ensemble des professionnels.

Dans un secteur où les enjeux humains sont particulièrement forts, elle participe directement à la protection des personnes accompagnées et à la qualité du service rendu. À condition d’être partagée, actualisée et réellement utilisée au quotidien, la cartographie des risques devient ainsi un outil vivant, au service des équipes comme des usagers.