Fonctionnalités Tarifs Blog Certification HAS Glossaire Contact

Cartographie des risques a priori : la méthode pour anticiper avant l'incident

Repérer ce qui pourrait mal tourner avant que cela n'arrive : c'est tout l'objet de la cartographie des risques a priori. Une démarche exigée par la HAS, aussi bien pour la certification des établissements de santé que pour l'évaluation des ESSMS, quelle que soit la taille de la structure. Dans une petite équipe qui n'a ni service qualité étoffé ni marge de manœuvre en cas d'incident grave, elle est même plus utile qu'ailleurs. Contrairement aux outils réactifs (déclaration d'événement indésirable, CREX, analyse systémique), elle ne part pas d'un incident déjà survenu : elle l'anticipe. Voici la méthode en six étapes, les sources qui l'encadrent, et les pièges à éviter quand on la met en œuvre avec une équipe restreinte.

En bref

  • La cartographie des risques a priori est une démarche proactive : elle identifie les risques avant l'incident, à la différence des outils a posteriori (déclaration d'EI, CREX, analyse systémique).
  • Elle repose sur une méthode en six étapes : cadrage, identification, cotation, hiérarchisation, plan de traitement, suivi.
  • La gestion des risques fait partie des exigences du référentiel de certification HAS et du référentiel d'évaluation des ESSMS, quelle que soit la taille de la structure.
  • Dans une petite structure, l'enjeu n'est pas de faire aussi lourd qu'un grand établissement, mais de faire proportionné et vivant.

Cartographie des risques a priori : de quoi parle-t-on ?

La gestion des risques en santé distingue deux approches complémentaires. L'approche a posteriori part d'un événement qui s'est déjà produit : c'est le principe de la déclaration d'événement indésirable, du CREX ou de l'analyse systémique. L'approche a priori, elle, ne repose sur aucun incident préalable : elle consiste à se demander, en amont, ce qui pourrait mal se passer dans un processus ou une activité, avant que cela n'arrive.

Cette distinction entre gestion des risques proactive et réactive est au cœur du programme national pour la sécurité des patients (PNSP), porté par le ministère de la Santé (Direction générale de l'offre de soins et Direction générale de la santé), avec la contribution de la Haute Autorité de Santé. La cartographie des risques en est l'outil central : elle consiste à recenser les risques d'un processus ou d'une activité, à les représenter de façon synthétique et hiérarchisée, pour faire apparaître les risques majeurs et prioriser les actions de prévention en conséquence.

Une cartographie des risques ne remplace pas les outils a posteriori : elle les complète. Une cartographie bien construite s'enrichit d'ailleurs des enseignements tirés des événements indésirables déjà déclarés et des analyses déjà conduites. C'est ce qui en fait, avec le temps, un outil vivant plutôt qu'un exercice théorique réalisé une fois pour toutes.

Pourquoi cette démarche est stratégique dans une structure de moins de 50 salariés

Dans un petit EHPAD, un cabinet de groupe, une clinique de taille modeste ou une maison de santé, plusieurs facteurs rendent la cartographie des risques particulièrement utile, et pas seulement obligatoire sur le papier.

D'abord, la question des ressources. Une petite structure dispose souvent de moins de redondance qu'un grand établissement : moins de professionnels pour se relayer, moins de doublons de compétences, parfois une seule personne référente sur un sujet critique (circuit du médicament, hygiène, maintenance des équipements). Un risque qui se concrétise y a donc, à gravité égale, un impact organisationnel proportionnellement plus lourd.

Ensuite, la question réglementaire. La gestion des risques figure explicitement parmi les exigences évaluées par la HAS, aussi bien dans le référentiel de certification des établissements de santé que dans le référentiel d'évaluation de la qualité des ESSMS. Ni l'un ni l'autre référentiel ne prévoit de seuil d'effectif en dessous duquel cette exigence disparaîtrait : elle s'applique, à un niveau de formalisation proportionné à l'activité et aux moyens de l'établissement.

Enfin, la question de l'agilité. Une petite équipe a un avantage réel sur ce sujet : la circulation de l'information y est plus directe, et une décision de traitement d'un risque peut être prise et déployée rapidement, sans les lourdeurs de coordination d'une grande organisation. Encore faut-il que la cartographie soit dimensionnée pour rester utilisable par une équipe qui n'a pas de temps plein à y consacrer.

La méthode en six étapes

1. Cadrer la démarche et réunir un groupe de travail pluridisciplinaire

Une cartographie des risques ne doit pas être l'affaire d'une seule personne, même dans une petite structure. Réunissez un petit groupe représentatif des métiers concernés : soignant, cadre ou coordinateur, personnel administratif, et le cas échéant un intervenant technique ou logistique. Définissez le périmètre traité (un processus, un secteur d'activité, ou l'ensemble de l'établissement pour une première cartographie globale) et un calendrier réaliste. Mieux vaut un périmètre restreint mené à son terme qu'un périmètre trop large abandonné à mi-parcours.

2. Identifier les risques

L'identification combine plusieurs sources. Le retour d'expérience du terrain d'abord : interrogez les équipes sur les situations qui les inquiètent au quotidien, celles où « on s'en sort mais de justesse ». Les données déjà disponibles ensuite : événements indésirables déclarés, remarques d'audits internes, plaintes et réclamations, résultats des indicateurs de qualité et de sécurité des soins. Les référentiels professionnels enfin, qui pointent les risques classiques de votre secteur d'activité (circuit du médicament, risque infectieux, chutes, identitovigilance, continuité de service en cas d'absence).

À ce stade, l'objectif est l'exhaustivité raisonnable, pas la perfection. Une liste de risques trop courte laisse des angles morts ; une liste trop longue et non priorisée devient inexploitable pour une équipe restreinte. L'étape de cotation qui suit sert précisément à trier.

Vos événements indésirables déjà déclarés sont une des meilleures sources d'identification pour cette étape. Encore faut-il pouvoir les relire par type et par lieu sans y passer une journée : c'est ce que permet un outil qui centralise ces déclarations, comme on le détaille plus bas.

3. Coter chaque risque

Chaque risque identifié est ensuite coté selon deux critères : sa gravité potentielle (l'impact si le risque se concrétise) et sa fréquence estimée (la probabilité qu'il survienne). Le croisement des deux donne un niveau de criticité, qui permet de comparer des risques de nature très différente sur une même échelle. Cette méthode de cotation, ses échelles et le calcul de la criticité initiale et résiduelle sont détaillés dans notre guide sur le calcul de criticité : le principe est le même qu'il s'agisse de coter un événement déjà survenu ou un risque encore hypothétique.

4. Hiérarchiser et représenter la cartographie

Les risques cotés sont ensuite classés du plus critique au moins critique, typiquement sous forme de matrice ou de tableau synthétique par processus ou par secteur d'activité. Cette représentation visuelle est ce qui donne son nom à la démarche : elle doit permettre, en un coup d'œil, de voir où se concentrent les risques les plus sérieux, sans avoir à parcourir des dizaines de lignes de détail.

5. Construire le plan de traitement des risques

Pour chaque risque prioritaire, quatre options de traitement sont possibles : réduire le risque (action de prévention), accepter le risque en l'état si son niveau est jugé tolérable et documenté comme tel, transférer le risque (assurance, sous-traitance encadrée par contrat), ou supprimer l'activité à l'origine du risque si aucune autre option n'est satisfaisante. Le plan de traitement qui en résulte doit rejoindre votre programme d'amélioration de la qualité et de la sécurité des soins : une cartographie qui reste un document isolé, sans lien avec le PAQSS, perd l'essentiel de son utilité.

6. Suivre, actualiser, réévaluer

Une cartographie des risques n'est jamais définitive. Elle doit être révisée à chaque changement significatif (nouvelle activité, nouveaux locaux, réorganisation, sous-effectif prolongé) et faire l'objet d'une actualisation formelle au moins annuelle. Les événements indésirables déclarés depuis la dernière version, les résultats des audits internes et l'évolution des indicateurs internes constituent la matière première naturelle de cette actualisation : la boucle entre gestion a posteriori et gestion a priori se referme ainsi année après année.

Le lien avec la certification HAS et l'évaluation ESSMS

La gestion des risques n'est pas un chapitre isolé du référentiel de certification HAS : elle irrigue plusieurs critères, du management de la qualité et des risques à la sécurité de la prise en charge médicamenteuse, en passant par la culture de sécurité. Une cartographie des risques à jour et exploitée constitue un élément de preuve tangible que les experts-visiteurs peuvent consulter, et qui nourrit directement le compte qualité, notamment sa rubrique « profil de risques ».

Côté médico-social, le référentiel d'évaluation de la qualité des ESSMS intègre également la gestion des risques parmi ses objectifs, avec une attention particulière portée par les évaluateurs à la manière dont l'établissement anticipe les risques liés à l'accompagnement des personnes, et pas seulement à la façon dont il réagit une fois l'incident survenu.

Les erreurs fréquentes en petite structure

La première erreur consiste à copier le format d'un grand établissement : une cartographie de plusieurs dizaines de pages, avec des dizaines de risques référencés, est rarement tenable pour une équipe de quelques professionnels qui n'a pas de temps dédié à la qualité. Mieux vaut une cartographie resserrée sur les risques réellement significatifs de l'activité, régulièrement mise à jour, qu'un document exhaustif figé après sa première version.

La deuxième erreur est de construire la cartographie sans les équipes de terrain, en chambre, à partir de la seule documentation existante. Les risques les plus révélateurs remontent presque toujours des professionnels qui vivent l'activité au quotidien, pas des procédures écrites.

La troisième erreur est de faire reposer l'ensemble de la démarche sur une seule personne, souvent le responsable qualité ou le directeur lui-même. Dans une structure de moins de 50 salariés, cette concentration crée un point de fragilité supplémentaire : en cas d'absence prolongée ou de départ de cette personne, la cartographie n'est plus ni comprise, ni mise à jour, ni appropriée par personne d'autre.

La quatrième erreur, la plus fréquente, est de réaliser la cartographie une fois, en vue d'une échéance (visite de certification, évaluation externe), puis de ne plus jamais la rouvrir. Une cartographie non actualisée donne une fausse impression de maîtrise et perd toute valeur opérationnelle dès que l'activité évolue.

Outiller sa cartographie des risques au quotidien

La cartographie des risques a priori gagne à s'appuyer sur les données déjà produites par la gestion a posteriori de l'établissement, plutôt que d'être construite à part. Un logiciel qualité comme OxcaSanté, pensé pour des équipes sans service qualité à temps plein, permet par exemple de qualifier chaque déclaration d'événement indésirable par type d'événement, par lieu et par secteur d'activité ou service, puis d'en visualiser la répartition sous forme de graphiques. Pour une équipe restreinte, cela signifie repérer en quelques clics où se concentrent les événements déjà survenus, un indice précieux pour orienter la cartographie a priori vers les zones réellement à risque plutôt que de partir d'une feuille blanche.

L'essentiel reste néanmoins méthodologique : aucun outil ne remplace le travail collectif d'identification et de hiérarchisation des risques. Le logiciel sert à capitaliser sur les données existantes et à garder la cartographie vivante, pas à la produire seul.

Questions fréquentes

Qu'est-ce que la cartographie des risques a priori ?

C'est une démarche proactive qui consiste à recenser les risques d'un établissement avant qu'ils ne se concrétisent en événement indésirable, à les coter selon leur gravité et leur fréquence, puis à les hiérarchiser pour prioriser les actions de prévention. Elle se distingue de l'analyse a posteriori, qui part d'un événement déjà survenu.

La cartographie des risques est-elle obligatoire dans une petite structure de santé ?

La gestion des risques figure parmi les exigences du référentiel de certification des établissements de santé et du référentiel d'évaluation de la qualité des ESSMS de la Haute Autorité de Santé, quelle que soit la taille de l'établissement. Une structure de moins de 50 salariés doit donc démontrer une démarche de gestion des risques proportionnée à son activité, mais ne peut s'en dispenser.

À quelle fréquence faut-il actualiser sa cartographie des risques ?

Une cartographie des risques n'est jamais figée. Elle doit être revue à chaque changement significatif d'activité, d'organisation ou de locaux, et faire l'objet d'une actualisation formelle au moins une fois par an, en s'appuyant notamment sur les événements indésirables déclarés depuis la dernière version.

Sources et méthodologie

Cet article s'appuie sur le programme national pour la sécurité des patients (Haute Autorité de Santé), le référentiel de certification des établissements de santé pour la qualité des soins (version 2025, HAS) et le référentiel d'évaluation de la qualité des ESSMS (HAS). Les étapes détaillées de mise en œuvre (cadrage, identification, cotation, hiérarchisation, plan de traitement, suivi) correspondent à la méthodologie communément enseignée et diffusée par les structures régionales d'appui à la qualité et à la gestion des risques en santé. Cette méthode de terrain, cohérente avec le cadre fixé par la HAS, ne provient toutefois pas d'un document unique de la HAS consacré exclusivement à la cartographie des risques : elle est ici présentée avec un niveau de confiance élevé sur les principes (démarche a priori, cotation gravité/fréquence, hiérarchisation, plan de traitement), et un niveau de confiance modéré sur le formalisme exact d'un modèle de cartographie, qui varie d'un secteur et d'un établissement à l'autre.

Reliez vos événements indésirables à votre cartographie des risques

Avec OxcaSanté, qualifiez vos déclarations par type, lieu et secteur, et visualisez leur répartition pour nourrir votre démarche a priori.

Réserver une démo