top of page
Rechercher

Acceptabilité des risques en sûreté physique : comment fixer un seuil qui tient en cas d'incident

  • 25 déc. 2025
  • 9 min de lecture

Toute organisation qui dispose d'un dispositif de sûreté accepte, à un moment ou à un autre, un certain niveau de risque résiduel. Caméras installées mais pas toutes les zones couvertes. Contrôle d'accès en place mais pas sur les accès secondaires. Procédures d'urgence documentées mais pas testées depuis deux ans. Ce sont des choix — souvent implicites, rarement formalisés.

C'est là que réside le problème. Accepter un risque est une décision de gestion parfaitement légitime. Ne pas la formaliser, en revanche, expose l'organisation à une responsabilité qu'elle ne maîtrise plus : en cas d'incident, ce n'est plus la direction qui aura arbitré le niveau de risque acceptable, mais un juge.


Accepter un risque n'est pas renoncer à se protéger

Le risque zéro n'existe pas. En sûreté physique comme ailleurs, tout dispositif de protection laisse un risque résiduel — soit parce que les mesures supplémentaires auraient un coût disproportionné par rapport à la menace, soit parce que certains scénarios restent hors de portée d'une protection raisonnable, soit parce que des contraintes opérationnelles rendent certaines mesures inapplicables au quotidien.

Accepter ce risque résiduel ne signifie pas l'ignorer. Cela signifie l'avoir évalué, l'avoir mis en regard de sa probabilité et de son impact, et avoir conclu — de manière documentée — que les mesures en place sont proportionnées et suffisantes au regard du contexte de l'organisation.

Cette décision, quand elle est bien construite, est défendable. Quand elle n'existe pas, ou qu'elle n'a jamais été formalisée, l'organisation est dans une position de vulnérabilité juridique permanente : toute défaillance peut être interprétée comme une négligence, faute de preuve du contraire.


Trois catégories, pas deux : acceptable, tolérable, intolérable

La gestion des risques distingue trois niveaux d'acceptabilité qui n'ont pas la même signification opérationnelle.

Le risque acceptable est celui que l'organisation juge suffisamment faible pour ne pas nécessiter de mesures de contrôle supplémentaires. Des mesures additionnelles peuvent être envisagées sur une base volontaire, mais elles ne sont pas requises. Dans un contexte de sûreté physique, c'est par exemple le risque d'intrusion sur un site peu attractif pour une menace externe, avec des mesures de base en place.

Le risque tolérable est celui que l'organisation accepte de supporter parce qu'elle a mis en place des mesures de réduction raisonnables, et que le risque résiduel est jugé proportionné aux bénéfices de l'activité. Il implique une surveillance active et un engagement à maintenir les mesures en place. C'est la catégorie la plus fréquente en sûreté d'entreprise : on ne peut pas tout protéger au même niveau, mais on a fait des choix documentés.

Le risque intolérable est celui qui dépasse les limites acceptables quelles que soient les contreparties. En sûreté physique, il s'agit typiquement des risques d'atteinte grave à l'intégrité des personnes sur lesquels aucun arbitrage économique ne peut s'appliquer. Ces risques doivent être traités prioritairement, sans exception.

La confusion entre ces trois niveaux est fréquente et dangereuse : traiter un risque tolérable comme acceptable (sans surveillance), ou laisser un risque intolérable dans la catégorie tolérable par inertie, sont deux erreurs qui ont des conséquences juridiques directes.


Ce que le droit français dit sur l'acceptabilité des risques

Le droit français encadre précisément l'acceptabilité des risques en matière de sûreté des personnes, à travers l'obligation de sécurité de l'employeur prévue par l'article L4121-1 du Code du travail. Cet article impose à l'employeur de prendre toutes les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés.

Pendant longtemps, cette obligation a été interprétée comme une obligation de résultat : le seul constat d'une atteinte à la sécurité d'un salarié suffisait à engager la responsabilité de l'employeur, quelles que soient les mesures de prévention prises. Cette interprétation a progressivement évolué vers une obligation de moyens renforcée : l'employeur qui peut démontrer avoir pris les mesures de prévention raisonnables et proportionnées ne voit plus sa responsabilité systématiquement engagée.

Ce glissement jurisprudentiel est important pour la pratique. Il signifie concrètement que la documentation du raisonnement qui a conduit à accepter un risque résiduel — le contexte analysé, les mesures envisagées, l'arbitrage réalisé — constitue une protection juridique réelle. L'organisation qui peut montrer qu'elle a raisonné, pesé les options et pris des décisions informées est dans une position très différente de celle qui n'a aucun document sur lequel s'appuyer.

Cette logique est également présente dans les exigences réglementaires plus récentes. La directive NIS2, transposée en droit français en 2024, impose aux organisations concernées de documenter leurs mesures de gestion des risques, y compris pour la sûreté physique de leurs infrastructures. La notion de "mesures proportionnées" y est centrale : il ne s'agit pas de tout protéger au maximum, mais de démontrer que les choix de protection sont justifiés au regard de l'exposition réelle.


Les quatre facteurs qui déterminent votre seuil d'acceptabilité réel

Définir un seuil d'acceptabilité en sûreté physique n'est pas un exercice théorique. Il repose sur quatre facteurs qui, combinés, permettent de calibrer ce niveau de façon défendable.

La gravité des conséquences possibles

C'est le critère le plus déterminant. Un risque dont les conséquences seraient une atteinte à l'intégrité physique des personnes présentes appelle un seuil d'acceptabilité beaucoup plus bas qu'un risque dont les conséquences seraient exclusivement matérielles. Cette hiérarchie est à la fois éthique — la vie humaine n'est pas un poste de coût — et juridique, puisque la responsabilité pénale de l'employeur peut être engagée en cas de mise en danger des personnes.

En pratique, la gravité doit s'évaluer sur deux axes : l'intensité des conséquences en cas de réalisation du risque, et la réversibilité de ces conséquences. Un risque aux conséquences graves et irréversibles justifie un investissement de protection que ne justifierait pas un risque aux conséquences limitées et récupérables.

La probabilité et la fréquence d'exposition

Un risque rare mais à fort impact n'appelle pas le même traitement qu'un risque fréquent à impact modéré. La combinaison de ces deux dimensions — souvent représentée dans une matrice de criticité — permet de hiérarchiser les priorités de protection.

Ce qui importe ici, c'est d'intégrer le contexte réel d'exposition de l'organisation. Un établissement de santé ouvert au public 24h/24 avec des flux de personnes incontrôlés n'a pas la même probabilité d'exposition qu'un site industriel fermé avec une seule entrée contrôlée. Le seuil d'acceptabilité doit être calibré sur l'exposition réelle, pas sur une exposition théorique.

Les moyens raisonnables disponibles

Le principe de proportionnalité est central dans la définition du risque acceptable. Une mesure de protection est "raisonnable" lorsque son coût — financier, organisationnel, opérationnel — est proportionné au niveau de risque qu'elle réduit. Des mesures qui perturberaient gravement l'activité ou qui représenteraient un investissement sans rapport avec le niveau de menace réel ne sont pas exigibles.

C'est précisément ici qu'intervient le principe ALARP (As Low As Reasonably Practicable) : le risque doit être réduit autant que possible, dès lors que cela reste faisable dans des conditions économiques et opérationnelles raisonnables. Au-delà de ce seuil, le risque résiduel est considéré comme tolérable — à condition que cette conclusion ait été documentée.

L'exposition perçue par les équipes

Ce quatrième facteur est souvent sous-estimé dans les approches formelles de gestion des risques, mais il a une importance pratique et juridique réelle. Lorsque les salariés expriment un sentiment d'insécurité face à un risque identifié, ce signal doit être intégré dans l'analyse d'acceptabilité — même si l'évaluation objective du risque le classe comme faible.

La jurisprudence sociale française a reconnu que le sentiment d'insécurité des salariés, non traité par l'employeur, pouvait constituer un manquement à l'obligation de sécurité. Ignorer les remontées des équipes sur des points de vulnérabilité perçus n'est pas seulement une erreur managériale — c'est un risque juridique à part entière.


Le piège de l'acceptabilité implicite

La grande majorité des organisations en France pratiquent une forme d'acceptabilité implicite des risques : des choix de protection ont été faits, des ressources ont été allouées à certains dispositifs plutôt qu'à d'autres, des zones ont été considérées comme moins prioritaires. Mais ces choix n'ont jamais été formalisés dans un document qui en explique la logique.

C'est une situation paradoxale. Les décisions ont été prises — mais elles ne sont pas défendables, parce qu'elles n'ont jamais été articulées. En cas d'incident sur une zone ou pour un scénario qui n'avait pas été protégé, l'organisation ne peut pas démontrer qu'elle avait raisonné sur le sujet. Elle ne peut que constater qu'elle n'avait pas pris de mesure.

L'acceptabilité implicite expose à deux risques distincts. Sur le plan juridique, elle prive l'employeur des preuves de diligence qui permettraient de limiter sa responsabilité. Sur le plan opérationnel, elle signifie que les décisions de sûreté ont été prises sans grille de lecture partagée — chaque responsable a arbitré selon sa perception, et personne ne sait précisément ce qui a été accepté et pourquoi.

Formaliser l'acceptabilité des risques, c'est transformer des décisions implicites en décisions explicites et traçables. C'est l'une des fonctions essentielles d'une politique de sûreté bien construite.


Le principe ALARP appliqué à la sûreté physique

Le principe ALARP — As Low As Reasonably Practicable — est le cadre de référence le plus pertinent pour formaliser un seuil d'acceptabilité en sûreté physique. Il est issu des pratiques de gestion des risques industriels mais s'applique parfaitement au contexte de la sûreté des organisations.

Son application pratique repose sur une logique en trois zones.

Zone intolérable : les risques dont les conséquences sont trop graves pour être acceptés quelles que soient les contraintes. Ces risques doivent être traités en priorité absolue, sans arbitrage possible. En sûreté physique, cette zone correspond aux scénarios d'atteinte grave aux personnes présentes sur le site.

Zone ALARP : les risques qui ont été réduits autant que raisonnablement possible, mais pour lesquels un risque résiduel subsiste. C'est dans cette zone que se trouvent la plupart des risques réels d'une organisation. La décision d'accepter le risque résiduel y est légitime — à condition d'avoir démontré que toutes les mesures raisonnables ont été prises.

Zone acceptable : les risques suffisamment faibles pour ne pas nécessiter de mesures supplémentaires. Des mesures volontaires peuvent être envisagées, mais elles ne sont pas requises.

La valeur de ce cadre n'est pas dans sa sophistication technique — elle est dans sa capacité à structurer une conversation entre la direction, les opérationnels et les responsables de sûreté sur la question centrale : jusqu'où avons-nous réduit ce risque, et est-ce que c'est suffisant ?


Comment formaliser un seuil d'acceptabilité dans votre politique de sûreté

Formaliser un seuil d'acceptabilité ne requiert pas un document de 50 pages. Il requiert une démarche structurée en quatre étapes qui peuvent être intégrées à votre politique de sûreté existante.

Étape 1 : Identifier les risques résiduels explicitement. Pour chaque domaine de votre dispositif de sûreté — périmètre, contrôle d'accès, vidéoprotection, procédures d'urgence — lister les points qui ont délibérément été laissés sans mesure supplémentaire, ou pour lesquels la couverture est partielle. Ce n'est pas un inventaire des failles, c'est un inventaire des choix.

Étape 2 : Documenter le raisonnement pour chaque risque résiduel. Pourquoi ce risque a-t-il été classé comme tolérable ou acceptable ? Quelle analyse a conduit à cette conclusion ? Quelles mesures ont été envisagées et pourquoi elles n'ont pas été retenues ? Ce raisonnement, même succinct, constitue la preuve de diligence en cas de mise en cause ultérieure.

Étape 3 : Définir les conditions de révision. Un risque classé acceptable dans un contexte donné peut devenir tolérable ou intolérable si le contexte change — montée de la délinquance dans le secteur, changement d'activité, nouveau prestataire, modification des locaux. Fixer les événements déclencheurs d'une révision de l'acceptabilité, et la fréquence de révision périodique.

Étape 4 : Valider au bon niveau de gouvernance. La décision d'accepter un risque résiduel significatif ne peut pas rester au niveau opérationnel. Elle doit être validée par la direction et, selon la taille de l'organisation, par le CODIR ou le conseil d'administration. Cette validation crée une responsabilité partagée et protège les opérationnels d'une mise en cause individuelle.


Ce que l'acceptabilité change dans votre approche opérationnelle

Travailler explicitement sur l'acceptabilité des risques produit un effet concret sur la manière dont une organisation gère sa sûreté au quotidien.

Le premier effet est la priorisation réelle des ressources. Quand on sait ce qu'on accepte et ce qu'on ne peut pas accepter, on sait aussi où concentrer les budgets de sûreté. Les organisations qui n'ont pas formalisé leur seuil d'acceptabilité tendent à répartir leurs ressources en fonction de la visibilité ou de la pression immédiate — pas en fonction du niveau de risque réel.

Le deuxième effet est la cohérence des décisions dans le temps. Sans référentiel d'acceptabilité, chaque décision de sûreté est prise isolément. Avec un seuil documenté, les équipes peuvent évaluer de nouvelles situations en référence à un cadre stable — et la direction peut valider ou infléchir des décisions avec une information complète.

Le troisième effet est la lisibilité pour les parties prenantes. Assureurs, auditeurs, services de l'État, partenaires : de plus en plus d'interlocuteurs demandent à comprendre comment une organisation a évalué et traité ses risques résiduels. Un cadre d'acceptabilité documenté est un atout de crédibilité, pas seulement un outil interne.

Pour construire ce cadre, le point de départ est toujours un diagnostic rigoureux de l'exposition réelle — avant de décider ce qu'on accepte, encore faut-il savoir ce à quoi on est vraiment exposé. C'est l'objet d'un audit de sûreté professionnel, qui précède toujours, dans la méthodologie CARINEL, la définition d'une politique de sûreté et de ses seuils d'acceptabilité.

CARINEL accompagne les organisations dans la définition et la documentation de leurs seuils d'acceptabilité des risques, dans le cadre d'une démarche d'audit de sûreté ou de conseil en politique de sûreté.

📞 01 89 71 59 06

Commentaires

Les commentaires sur ce post ne sont plus acceptés. Contactez le propriétaire pour plus d'informations.
bottom of page