Achats Responsables & Devoir de Vigilance
Module 2 : Cartographier les risques fournisseurs
2.3 Notation & hiérarchisation : matrice criticité × probabilité
Avec 3 000 fournisseurs et 15 catégories de risques, comment savoir par quoi commencer ? La matrice criticité × probabilité — héritée de la gestion des risques classique — reste l'outil opérationnel le plus utilisé en pratique.
La matrice 5×5 : positionnement des risques
Score = Criticité × Probabilité. Zones vertes (1-5) : surveillance. Jaune (6-12) : action planifiée. Orange (13-19) : action prioritaire. Rouge (20-25) : action immédiate.
Coter la criticité (gravité)
La criticité mesure la gravité de l'impact si le risque survient. Pour les risques droits humains et environnement, la cotation suit généralement une échelle à 5 niveaux :
| Niveau | Définition | Exemple |
|---|---|---|
| 5 — Catastrophique | Atteinte irréversible à la vie, à l'intégrité ou à un écosystème majeur | Décès d'ouvriers, effondrement d'usine, pollution d'un fleuve |
| 4 — Majeur | Atteinte grave et durable, séquelles importantes | Travail forcé identifié, maladies professionnelles graves |
| 3 — Modéré | Atteinte significative mais réversible | Non-paiement de salaires, heures supplémentaires illégales |
| 2 — Mineur | Atteinte limitée, réparable | Manquement ponctuel à la communication, retard de paiement |
| 1 — Négligeable | Atteinte symbolique sans préjudice réel | Erreur administrative, dépassement de quelques heures occasionnel |
Trois critères additionnels modulent la cotation, selon le guide OCDE :
- Échelle : nombre de personnes ou ampleur géographique affectée.
- Portée : caractère réversible ou irréversible.
- Caractère remédiable : possibilité de réparation.
Coter la probabilité
La probabilité estime la fréquence de survenance du risque. Pour les risques sur les fournisseurs, on s'appuie sur 4 sources de données :
- Risque géographique : indices Country Risk (Verisk Maplecroft, ITUC Global Rights Index, Transparency International CPI, Freedom House). Un fournisseur en Bangladesh ou en Birmanie a un risque mécaniquement plus élevé qu'un fournisseur allemand.
- Risque sectoriel : OCDE, OIT, ONG sectorielles publient des cartographies sectorielles (textile, cosmétique, automobile, électronique, agroalimentaire, minier). Le secteur minier a un profil de risque très différent du secteur des services informatiques.
- Risque spécifique du fournisseur : historique des incidents, audits passés, signalements reçus, médiatisation.
- Risque structurel : taille du fournisseur (PME locale vs multinationale), maturité ESG (médaille EcoVadis), existence de syndicats, certifications.
| Niveau | Définition statistique |
|---|---|
| 5 — Très probable | > 50 % de probabilité dans l'année |
| 4 — Probable | 20-50 % de probabilité dans l'année |
| 3 — Possible | 5-20 % de probabilité dans l'année |
| 2 — Rare | 1-5 % de probabilité dans l'année |
| 1 — Très rare | < 1 % de probabilité dans l'année |
Hiérarchiser : la règle de Pareto 20/80
Pour un grand groupe industriel, la cartographie complète peut produire plusieurs milliers de couples fournisseur × risque. Tout traiter en parallèle est inefficient. La pratique consensus consiste à :
- Identifier les zones rouge et orange de la matrice (scores ≥ 13). Typiquement, c'est 5 à 15 % des couples — c'est sur eux qu'on concentre les ressources.
- Appliquer Pareto 20/80 : 20 % des fournisseurs concentrent généralement 80 % du risque significatif. La cartographie identifie ces 20 %.
- Plan d'action priorisé : pour chaque risque rouge, une action immédiate (audit surprise, demande d'explication, plan de remédiation, suspension partielle des commandes).
- Plan d'action programmé pour les risques orange : audit dans les 6 mois, formation, intégration dans le contrat à renouvellement.
- Surveillance pour les zones jaunes et vertes : revue annuelle, contrôles aléatoires.
Cette logique est compatible avec l'OCDE : elle ne demande pas de tout traiter en même temps, mais de tout cartographier et de prioriser intelligemment. La capacité à démontrer ce raisonnement est ce que le juge cherchera en cas de contentieux.
Les outils de scoring du marché
Plusieurs outils SaaS proposent une cartographie automatisée des risques fournisseurs :
EcoVadis IQ
Croise les notes EcoVadis avec des données géographiques (pays à risque) et sectorielles. Sortie : scoring par fournisseur, alertes automatiques. ~ 30 000-100 000 €/an selon volume.
Verisk Maplecroft
Spécialiste des country risk indices : 200+ indicateurs ESG par pays, mise à jour trimestrielle. Standard pour la cartographie géographique. Abonnement annuel.
RepRisk
Monitore en temps réel les incidents ESG sur 230 000 entreprises (presse, ONG, réseaux sociaux). Alerte automatique sur les fournisseurs en crise. Très utilisé par les fonds d'investissement.
Sayari, Kharon
Spécialistes du supply chain mapping : reconstituent les chaînes de sous-traitance jusqu'au Tier 3+ via croisement de bases (douanes, registres commerce, GES). Indispensable pour les chaînes opaques.
Le coût total d'une stack vigilance complète (EcoVadis IQ + Verisk + RepRisk + outil interne) tourne autour de 150 000-500 000 €/an pour un grand groupe, hors équipe interne. À comparer à un seul contentieux vigilance évité.
Cas pratique : un groupe textile français
Un groupe textile français à 2 Md€ de chiffre d'affaires, 8 000 fournisseurs (dont 1 500 actifs Tier 1) répartis en Europe (40 %), Asie (45 %) et Afrique du Nord (15 %). Trajet de cartographie :
- Inventaire : extraction de l'ERP achats, segmentation par catégorie (matières premières, confection, accessoires, logistique, services).
- Pré-scoring géographique via Verisk : 320 fournisseurs en zone à risque élevé (Bangladesh, Vietnam, Birmanie, Pakistan), 410 en zone à risque modéré (Chine, Turquie, Maroc).
- Sollicitation EcoVadis pour les 1 500 Tier 1 : 70 % de retour, score moyen 51/100, 18 % en zone rouge (< 40).
- SMETA pour les 320 sites en pays à risque : audit déclenché ; 23 sites avec non-conformités majeures identifiées (heures supplémentaires illégales, refus syndicat, salaire inférieur au minimum local).
- Plan d'action : 23 sites en plan de remédiation 6 mois ; 4 sites suspendus pour défaut grave ; 2 désengagements responsables (préavis 12 mois + accompagnement de la transition pour les salariés).
Coût annuel total du dispositif : ~ 600 000 € (outils + équipe RSE de 4 ETP + audits SMETA externes). À comparer aux 3 procédures vigilance évitées sur 5 ans (estimées chacune à 800 k€ de frais juridiques + 1-3 % de capitalisation = plusieurs dizaines de M€). ROI évident.
Erreurs fréquentes à éviter
Erreurs courantes
- Cartographier sans agir : produire une carte des risques mais ne pas la traduire en plan d'action est juridiquement plus risqué que de ne pas cartographier (preuve de connaissance du risque).
- Coter trop bas par confort : sous-coter les risques pour éviter d'avoir à investir crée une exposition contentieuse forte.
- Tier 1 seulement : ignorer les Tier 2-3 alors que c'est là que se concentrent souvent les pires risques.
- Cartographie figée : ne pas actualiser annuellement.
Bonnes pratiques
- Coter avec un comité pluri-disciplinaire (achats + RSE + juridique + opérations).
- Associer le CSE et les ONG sectorielles : crédibilité et anticipation.
- Tracer chaque décision dans le plan de vigilance publié (transparence = défense).
- Mettre en place une revue annuelle obligatoire de la cartographie.
- Intégrer aux KPI achats : sans incitation managériale, rien ne bouge.
À retenir
- Matrice 5×5 Criticité (gravité) × Probabilité = score 1-25. Zones : vert (1-5) / jaune (6-12) / orange (13-19) / rouge (20-25).
- Criticité : niveau 5 (catastrophique : décès) à niveau 1 (négligeable). Modulée par échelle, portée, caractère remédiable.
- Probabilité : croisement 4 dimensions — géographique, sectorielle, fournisseur spécifique, structurelle.
- Pareto 20/80 : 20 % des fournisseurs concentrent 80 % du risque. Concentrer les ressources sur les zones rouge/orange.
- Outils : EcoVadis IQ + Verisk Maplecroft + RepRisk + supply chain mapping (Sayari, Kharon). Stack ~ 150-500 k€/an.
- Cartographier sans agir = pire que ne pas cartographier (preuve de connaissance du risque).
Workflow type d'une cartographie annuelle
Inventaire
Extraction ERP, segmentation
Pré-scoring
Géo + secteur (Verisk, OCDE)
Évaluation
EcoVadis / SMETA
Notation
Matrice 5×5 (comité)
Plan
Action priorisée + budget