Nov. 28, 2019


Reference : Frison-Roche, M.-A., General presentation of the cycle of conferences on Les outils de la Compliance  (Compliance Tools) and  "Théorie générale de la cartographie des risques" (Legal Theory of Risk Mapping), conference made in French, in Département d'Economie de Sciences Po & Journal of Regulation & Compliance (JoRC),  La cartographie des risques, outil de la Compliance (Risk Mapping, as Compliance Tool), November 28th, 2019, Sciences Po, Paris. 





Summary of the conference

Risk mapping is both central to the obligations or practices of companies and little apprehended by the legal systems. It is not expressly referred to by the French legal system, except for the special national laws known as "Sapin 2" and "Vigilance". But if we are out of this field, because there is only a description and not a legal definition, even less a legal notion, we do not know what legal regime to apply to the action of mapping risks. It is therefore useful, indeed compelling, to define the legal concept of risk mapping. Starting from what is still the safest ground, namely these two special laws, to go towards less secure legal grounds, such as the doctrine of the authorities or the commitments of the companies, even the ISO certifications obtained in this matter. Through a few judicial decisions and legal reasoning, a legal notion of the action of mapping risks emerges.

It is advisable to proceed in 5 steps (the working document follows another approach).
The first, based directly on the two available laws, apprehends the action of mapping when it comes into execution of a special legal obligation. The decision rendered in 2019 by the French Commission des sanctions of the Agence Française Anticorruption (French Corruption Agency's Sanctions Commission) draws probate games as to the demonstration of the execution of the obligation and the probationary system can be extended. In the same way the decision of the French Conseil constitutionnel (Constitutional Council) in 2017 on the "Vigilance Act" shows that a mechanism referred to as a "modality" is legitimate with regard to the goal, which is, concerning this tool, the establishment of a responsibility for others. It is therefore the concern for the situation of others that can be targeted by the Law thanks to Compliance Tool, especially Risk Mapping.

The second theme aims to map risks as a fact of good management for a company, while the enterprise is not constrained by a legal obligation. This fact is a paradox because the Regulatory Authority and the Judge may, where the conduct that was to be prevented occurs, for example a market abuse or an anti-competitive behavior, either qualify as an aggravating circumstance or as an attenuating circumstance. Consideration of the theory of incentives should lead to the adoption of the American solution, that is to say the qualification of an effective cartography as a mitigating fact. European case law is not yet fixed, especially in terms of Competition Law's compliance.

The third theme is the mapping action carried out by an entity which, in doing so, exercises power over a third party. Because cartography is as much an obligation as a power, possibly on a third party. The Conseil d'Etat (French Council of State) in 2017 qualified risk mapping as an act of grievance, but doing so legitimately, since it was to prevent forest fires efficiently. This solution based on the teleology attached to Compliance Law can be transposed to other areas.

Going further, one may consider transforming this action from de facto status to legal status on the part of the company, if it thus identifies risks for third parties. It would thus give third-party creditors the right to be in a position to measure the risks that weigh on them. Risk mapping would thus be part of a broader unilateral commitment by powerful companies, recognizing the existence of risks for third parties to enable them to know their nature and extent. If this responsibility Ex Ante (characteristic of Compliance Law) is fulfilled, then the Ex Post liability of the company could no longer be retained. This is the ongoing issue of the Johnson & Johnson trial (2019 American judgment), in terms of medical compliance. Because if one can argue that there exists through this kind of risk mapping that the posology a "subjective right to be worried about the risks related to the taking of the drug", the patient remains free in the use of it. The question of whether third-party education is included in the mapping, since the alert is already included in it, is an open question. For now, the answer is negative.

Indeed and in a fifth time, appears the liberal definition of Compliance Law through the apprehension that the Law must make of the cartography of the risks. Beyond the rational act that any person has to control their risks for their own interest, by preventing the damaging effects of that from the crystallization of risk has in fact proved, it is a question of preserving an external interest for the preservation of which the Law must intervene because the subject of law, in particular the company will be less likely to be concerned.

By the imprint of the law, risk mapping expresses the concern for an external interest, either of a system or of a third party. But this support in Ex Ante implies force (Sapin 2, Vigilance, financial market information obligation) or will (social responsibility, ethical commitment, adoption of non-financial standards) relates only to information, its constitution, its intelligibility and its hierarchy. Then it is the actors exposed to the risks, able to understand in Ex Ante the extent as far as they are concerned, either the entity itself, or the thirds, to choose to run them to no.



  • Consult the two sets of slides as basis of the conference: 




Nov. 27, 2019


This Working Paper served as the basis for an intervention in the conference organized in the conference cycle organized by the Journal of Regulation & Compliance (JoRC) on the theme: Compliance Tools, in collaboration with many university partners: this first conference is organized in collaboration with the Sciences po Economics Department and is held on November 28, 2019 at Sciences po and deals with the more specific theme of Risk mapping.

It also serves as the basis for the book edited by Marie-Anne Frison-Roche, Compliance Tools, which will be released in the Regulations & Compliance collection.




Introduction and Summary.

 Most often we only describe the risk mapping mechanism, without qualifying it legally. The legislator does not do more. Thus, in the French legal system, in the law adopted in 2016 for fighting againt corruption, the so-called "Sapin 2 law", the article 17 describes cartography  as "la forme d'une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activité et des zones géographies dans lesquelles la société exerce son activité" " ("the form of documentation regularly updated and intended to identify, analyze and prioritize the risks of exposure of the company to external solicitations at the end of corruption, depending in particular on the sectors of activity and the geographic areas in which the company operates.").

In the law adopted in 2017 for obliging big companies to be "vigilant", the article 1 of this so-called "Vigilance law" of March 27, 2017 aims to do a "cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ("map the risks intended for their identification, analysis and prioritization").

 Il s'agit d'une description et non d'une définition, le texte ne visant que la "forme" que cet élément d'information prend, sans en dire davantage. La lettre du texte descriptif inséré dans la seconde partie de l'article 17 renvoyant à la première partie de celui-ci, qui le vise expressément comme une "modalité" de "l'obligation" de prendre des "mesures destinées à prévenir et à détecter la commission, en France ou à l'étranger, de faits de corruption ou de trafic d'influence". De la même façon lorsqu'on consulte les documents par lesquels les Autorités de Régulation, par exemple l'Autorité de marché financier, présente la façon de bien identifier les risques, y compris les risques de "non-conformité"!footnote-1734, il y a une description des façons de faire, pas de définition, souvent pas de droit. L'on retrouve cette même tendance dans la Compliance elle-même, si souvent réduite dans sa présentation à un process mécanique, souvent peu juridique, ou ne le devenant que sous son mauvais jour : celui de la sanction. Cette conception mécanique d'une Compliance comme process conduit à proposer que des machines et non des êtres humains en établissent les outils, notamment la cartographie des risques. 

Car il est acquis que la cartographie n'est qu'un "outil", la loi la désignait comme une "modalité". Il est donc acquis qu'il faut chercher ce pour quoi est fait l'outil. Soit il est fait pour que la loi ne soit pas méconnue, la cartographie repérant par exemple le risque accrue qu'elle ne le soit pas : c'est qu'il est usuellement désigné sous l'appellation étrange de "risque de conformité". La cartographie permet alors à l'entreprise d'exécuter son "obligation de Compliance", c'est-à-dire de faire en sorte en Ex Ante que la loi soit respectée en éliminant par avance le risque qu'elle ne le soit pas. Ainsi dès 2008, l'OCDE définissait la cartographie des risques par ses objectifs, à savoir mettre en place des moyens efficients pour réduire des risques de fraudes et de corruption et pour mettre en place des enquêtes efficients en concentrant les efforts sur les procédés efficaces". !footnote-1739

Il y a ensuite les risques qui ne regardent pas le Droit, et que l'entreprise gère comme autant de considérations pour son action, comme les risques économiques, naturesl ou politiques, ainsi que les "risques de marché", à propos desquels les Autorités de marchés, comme l'Autorité de marché financier dresse régulièrement une "cartographie des risques"!footnote-1740 . Mais cette cartographie-là ne semble pas regarder le Droit, alors même qu'elle ne relève déjà plus de la seule bonne gestion interne de l'entreprise. Plus l'on lit des cartes et plus l'on observe leur diversité, sans savoir si elles constituent une "modalité" d'une obligation, constituant donc un objet juridique, ou si elle constitue une bonne façon de faire, ce qui est neutre pour le Droit. Mais de quoi aujourd'hui le Droit ne se mêle-t-il pas ? Surtout d'un fait aussi important et prégnant et coûteux que celui-là....

Or, l'on observe à quel point la "cartographie des risques" n'a pour l'instant été que peu pensée en Droit. En effet, lorsqu'il est exposé, et si souvent, qu'elle comprend à la fois des "risques économiques", des "risques politiques", et des "risques de conformité", alors pourtant que dans son ensemble elle n'est instrument d'un Droit de la Compliance, qui organise la totalité de la conformité, le juriste qui sans cesse ordonne n'arrive plus à suivre : comme la "conformité" pourrait-elle n'être qu'une partie d'un mécanisme qui lui-même n'est qu'une partie de la "conformité" ? L'on trouve de très nombreux écrits qui détaillent la cartographie, qui par une sorte d'effet de miroirs, dressent des cartographies des exigences pays par pays, textes par textes, secteurs par secteurs, loi par loi, des exigences de cartographies.... Nous sommes face à un chateau de cartes, toujours plus minutieusement décrite, sans jamais rencontrer de qualification juridique. Par exemple dresser une telle carte constitue-t-il un fait juridique ou un acte juridique ? Je ne vois pas la question même posée. Pourtant, les conséquences de régime en sont immenses. A supposer que cela ne soit qu'un fait juridique, peut-il être justificatif ? Les avocats y ont songé et ont plutôt trouvé porte fermée... Mais pourquoi ne serait-ce pas un acte juridique ? La catégorie juridique des actes juridiques unilatéraux est là pour l'accueillir. Dans ce cas, la cartographie des risques engage l'entreprise et l'on sent que les régulateurs et les juges le conçoivent de plus en plus ainsi. Mais si l'entreprise est engagée, auprès de qui l'est-elle ? Plus précisément encore, si elle devient débitrice de l'obligation de cartographier, même si aucune loi particulière ne le lui prescrit d'une façon précise, alors il existe nécessairement un créancier bénéficiaire de cette obligation. Qui est-il ? Et pourquoi l'est-il ?

L'essentiel de cette contribution est de poser ces questions. Elles sont élémentaires. Elles ouvrent des pistes, celles que l'exercice de qualification juridique, de mise en catégorie juridique et de définition juridique, ouvre. 

Si pour l'instant il a été peu pratiqué, la cartographie des risques étant étrangement laissé aux algorithmes, aptes à entasser des données et inaptes à définir et à qualifier juridiquement, cela tient peut-être au fait plus général que le Droit et le risque sont peu souvent directement associés. Le mécanisme de bonne gestion que constitue la cartographie des risques, notamment dans les organisations qui ne sont pas des entreprises mais sont en charge d'administrer et adoptent sans contrainte cette bonne méthode!footnote-1735, y incite lui-même d'autant moins qu'on peut lire qu'il s'agirait pour l'entité méticuleuse d'identifier par avance notamment le "risque juridique"!footnote-1731, c'est-à-dire l'application qui pourrait lui être fait du Droit, application incertaine, application contrariante. Combien de séminaires à succès sur le "risque pénal"... Comme en défense, les juristes exposent d'une façon trop générale que le Droit est constitué pour lutter contre le risque, lequel est un fait. En effet l'on répète à longueur de rapports que le système juridique est là pour "sécuriser", le réduisant parfois à cette performance technique tenant à sa nature même, par le principe de "sécurité juridique", que l'Etat par sa permanence, sa violence légitime, son imperium, nous donne en échange la paix, que le contrat par la "petite loi" qu'il constitue offre aux parties qui l'édictent un havre de sécurité pour cet îlot de stabilité dans un futur qu'on ne connait jamais tout à fait ; gare à nous si l'on sort de l'ordre juridique car l'on retombe dans le risque... Ainsi, soit l'on est dans le Droit, assujettis au Droit, et l'on bénéficie de sa sécurité spécifique, ce que les économistes désigneraient volontiers comme la "réglementation", soit on est dans la liberté de l'action, et l'on est alors dans le risque.... Il en serait comme pour les marchés, à propos desquels il faut choisir entre la liquidité et la sécurité :  si l'on veut de la liberté d'action, alors il faut moins de réglementation, et donc moins de sécurité, plus de risque.... Cette opposition traditionnelle et si souvent relayée en économie est remise en cause par l'obligation de cartographie des risques car si ceux-ci sont établis, ce n'est pas pour les connaître en soi mais pour les combattre, au-delà de l'obligation classique d'information sur les risques, dont on trouve de nombreux ancrages dans les branches du Droit, notamment le Droit des sociétés, notamment celles exposés aux marchés financiers (I). 

Dès lors, puisqu'il y a sous l'information classique de la prétention politique, de la volonté de "prévenir" le mal, qui se transforme rapidement dans la volonté de "promouvoir" le bien, le nouveau apparaît. La nouveauté est tout d'abord institutionnelle (II). En cela, la loi dite "Sapin 2", à travers l'instauration de l'Agence Française Anticorruption, a institutionnalisé ce mécanisme par lequel les entreprises "exposées" aux marchés financiers ou/et aux investisseurs internationaux, ou/et au commerce internationaux, présentent d'une façon claire et ordonnée -c'est-à-dire par une carte - les risques qu'ils ont identifiés dans leurs actions présentes et futures, doivent plus concrètement rendre des comptes sur leur organisation structurelle. Des autorités publiques vont superviser les entreprises exposées à ces risques. Certes les banques y sont juridiquement accoutumées, mais les banques sont dans un secteur qui est régulé et supervisé. Ce qui est remarquable tient au fait que le Droit de la Compliance vient appliquer via l'exigence de cartographie des risques la technique juridique de supervision à des entreprises qui agissent dans des secteurs qui ne sont pas supervisés, qui ne sont parfois pas même régulés. Ainsi, elles deviennent strucurellement transparentes. Le principe libéral selon lequel une entreprise ne rend compte que de son comportement et non de son organisation interne en est entamé. Ainsi, par la seule technique imposée par le Droit, la méthode de transparence, propre aux entreprises supervisées devient générale, dès l'instant qu'un risque existe. C'est une nouveauté radicale, puisque le risque dont il s'agit n'est pas un risque de secteur et qu'une crise générale n'est plus à craindre. La rupture est ainsi opérée avec le Droit de la supervision qui jusqu'ici était insécable du Droit de la Régulation, l'obligation de cartographie des risques s'appliquant à tout "opérateur crucial" exposé au risque de corruption, en ce que celle-ci doit être combattue d'une façon globale. 

Dès lors, la cartographie des risque est un outil qui, au-delà de la simple description, prend sa définition d'une façon téléologique. Son but est de prévenir des risques qui compromettent des ambitions qui ne sont pas toujours de nature économique mais qui sont de nature politique (III). La lutte contre la corruption n'en est qu'un exemple, la loi dite "vigilance" exigeant elle-aussi une "cartographie des risques" en matière de droits humains, tandis que cette technique est reprise par des textes plus ou moins contraignant en matière environnementale. Certes des entreprises en position de porter de telles ambitions politiques, de force - en raison de leur position - ou de grè - par leur raison d'être ou par leur politique de responsabilité sociétale -, doivent le supporter, les transformant en acteurs politiques majeurs. Elles ne sauraient pour autant se substituer aux Autorités publiques, lesquelles d'une part fixent les "buts monumentaux" qu'il s'agit d'atteindre d'une part et qui d''autre part supervisent en Ex Ante et en Ex Post la mise en place et le fonctionnement de ces outils au sein des entreprises cruciales. 


Voir par exemple les supports destinées aux Compliance Officers dans leur journée de formation organisée par l'AMF, 2015. 


OCDE, OBJECTIVES OF RISKS MAPPING • Put in place efficient means to reduce risks of frauds and corruption; • Have more efficient investigations by concentrating the efforts on “sensitive” processes, methods or persons. 


Autorité des Marchés financiers, Cartographie des risques, 2017


Dyens, S., La nécessité de dreser une cartographie des risques juridiques, 2012. Dans cet article qui présente le Droit comme un risque pour l'action de l'Etat et la bonne fin des politiques publiques, il s'agit de bien organiser en Ex Ante les administrations. 


V. par ex. Elaborer une cartographie des risques....

Sept. 13, 2019

Thesaurus : Doctrine

Référence complète : Hautereau-Boutonnet, M., Le risques de procès climatique contre Total : la mise à l'épreuve contractuelle du plan de vigilance, in Revue des contrats, n°3, Lextenso, 2019, p.95


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

July 4, 2019

Thesaurus : Autorité de Contrôle Prudentiel et de résolution (A.C.P.R.)

July 1, 2019

Thesaurus : Soft Law

Référence complète : Cartographie AMF des marchés et des risques, in Bulletin Joly Bourse, Lextenso, n°04, 2019, p.7


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"



June 5, 2019

Thesaurus : Doctrine

Référence complète : Thierache, C., RGPD vs Cloud Act : le nouveau cadre légal américain est-il anti-RGPD ?, in La Revue juridique Dalloz IP/IT,  n°6, 2019, p.367


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Oct. 3, 2018

Thesaurus : Doctrine

Référence complète : Dyens, S., La cartographie des risques, outils central de la compliance publique, in AJCT, 2018, p.491


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Jan. 12, 2018

Thesaurus : Doctrine

Référence complète : Schlegel, F., La cartographie des risques, pierre angulaire de la réglementation Sapin 2, in La LJA, 2018.


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Dec. 22, 2017

Thesaurus : Soft Law

July 3, 2017

Thesaurus : Soft Law

Référence complète : AMF, cartographie des risques 2017, in Droit financier, Lextenso, 2017, 108 p.


L’AMF a publié sa cartographie 2017 qui constitue un panorama de l’évolution sur un an des risques liés à l’actualité économique, financière et réglementaire. Elle analyse le financement de l’économie, les marchés ainsi que l’épargne des ménages et la gestion collective.


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Feb. 2, 2017

Thesaurus : Doctrine

Référence complète : Brosses (de), S., Gestion, cartographie des risques. Un pilotage vigilant, in Juris associations, Dalloz, n°570, 2017, p.43


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Jan. 2, 2017

Thesaurus : Doctrine

Référence complète : Boursier, M.-E., L'impact de l'ordonnance du 1er décembre 2016 sur la cartographie des risques des entreprises, in Bulletin Joly Bourse, Lextenso, n°116, 2017, p. 6.


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"


Dec. 9, 2016

Thesaurus : 02. Lois

Oct. 3, 2016

Thesaurus : Doctrine

Référence complète : Samuelian, M., Les actions juridiques et réglementaires à l'épreuve des risques cartographiés par l'AMF, in Bulletin Joly Bourse, n°10, Lextenso, 2016, p. 440


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

Dec. 11, 2013

Thesaurus : Doctrine

Référence complète : Collard, Christophe, et Christophe Roquilly. « Les risques juridiques et leur cartographie :proposition de méthodologie », La Revue des Sciences de Gestion, vol. 263-264, no. 5, 2013, pp. 45-55.


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"



Oct. 1, 2012

Thesaurus : Doctrine

Référence complète : Oster, T., Droit de la concurrence et assurance : cartographie des risques au lendemain de l'enquête sectorielle de la commission européenne et de l'adoption du nouveau règlement d'exemption catégorielle, in RGDA, n°4, Lextenso, 2012, p. 959.


Les étudiants de Sciences po peuvent lire l'article via le Drive dans le dossier "MAFR - Régulation & Compliance"

March 7, 2012

Thesaurus : Doctrine

Référence complète : Dyens, S., La nécessité de dresser une cartographie des risques juridiques, in AJ Collectivités Territoriales, 2012, p.131

July 8, 2008

Thesaurus : Doctrine

Référence générale: Bueb, J.-P., Risk mapping methodology. Developing practical tools for procurement. Workshop on Investment and Anti-Corruption Policies in the framework of the International Compact for Iraq, in OECD, Paris, 8-10 juillet 2008, 20 p.


Lire le rapport.