Entreprise & Pro

Comment mettre en œuvre une stratégie de communication de crise?

Une crise ne se règle pas par un communiqué improvisé ni par le silence. Une organisation doit pouvoir protéger les personnes, établir les faits, coordonner ses décisions et parler avec justesse. Voici une méthode opérationnelle pour préparer, déclencher et piloter une communication de crise crédible.

La rédaction Best Annuaire 12 min de lecture
Comment mettre en œuvre une stratégie de communication de crise?
Sommaire (8)
  1. Une communication de crise ne consiste pas seulement à « gérer l’image »
  2. Préparer le terrain : cartographier les risques et bâtir une cellule de crise
  3. Les premières heures : activer, protéger, qualifier l’incident
  4. Construire un message fiable sans promettre ce que vous ignorez
  5. Parler à chaque partie prenante sans créer de messages contradictoires
  6. Respecter les obligations juridiques et les contraintes numériques
  7. Piloter la crise dans la durée et mesurer le retour à la confiance
  8. Transformer l’incident en amélioration concrète

Une communication de crise ne consiste pas seulement à « gérer l’image »

Une crise est un événement qui menace, ou peut menacer, la sécurité des personnes, la continuité d’activité, la confiance des clients, les finances ou la légitimité d’une organisation. Elle peut résulter d’un accident, d’un défaut produit, d’une panne informatique, d’une cyberattaque, d’une alerte sanitaire, d’un conflit social, d’une fraude, d’une accusation publique ou d’une information virale sur les réseaux sociaux.

La communication de crise ne remplace ni l’enquête, ni la décision opérationnelle, ni l’obligation de prévenir les autorités compétentes. Elle a une fonction précise : faire circuler une information fiable, utile et cohérente au bon moment, afin que chacun puisse agir et que le vide informationnel ne soit pas rempli par des rumeurs.

Le premier objectif n’est donc pas de sauver une réputation à tout prix. Il est de réduire le risque pour les personnes, d’expliquer ce qui est connu, de reconnaître ce qui ne l’est pas encore et de rendre visibles les mesures prises. Une parole défensive, approximative ou trop tardive expose souvent l’organisation à une seconde crise : celle de la défiance.

1priorité absolue : la sécurité des personnes
1porte-parole identifié pour éviter les voix contradictoires
3temps à piloter : immédiat, quotidien, post-crise

Préparer le terrain : cartographier les risques et bâtir une cellule de crise

Une stratégie efficace se construit avant l’incident. Une entreprise, une association, une collectivité ou un établissement ne peut pas raisonnablement découvrir ses interlocuteurs, ses procédures de validation et ses outils d’alerte au moment où chaque minute compte.

Partir des risques réellement plausibles

La cartographie ne doit pas être un document abstrait. Elle part des activités, des sites, des publics et des dépendances de l’organisation. Listez les scénarios ayant à la fois une probabilité crédible et un impact élevé : indisponibilité du système de paiement, rappel de produit, accident sur site, atteinte aux données personnelles, rupture d’approvisionnement, propos discriminatoires attribués à un dirigeant, contamination, mouvement social ou mise en cause sur les réseaux sociaux.

Pour chaque scénario, posez des questions concrètes : qui pourrait être exposé ? Qui décide de l’arrêt d’une activité ? Quelles preuves doivent être préservées ? Quelles autorités ou assureurs doivent être contactés ? Quels engagements contractuels lient l’organisation à ses clients ou partenaires ? Quels canaux sont disponibles si le site web ou la messagerie sont indisponibles ?

Composer une cellule de crise à taille utile

La cellule de crise est un groupe de décision et de coordination, pas une réunion élargie. Sa composition varie selon le secteur, mais elle réunit généralement la direction habilitée à arbitrer, le responsable opérationnel concerné, la communication, les ressources humaines, le juridique ou la conformité, la sécurité des systèmes d’information pour un incident numérique, ainsi qu’un référent relation clients. Selon la nature de l’événement, un expert technique, un responsable sécurité ou un conseil externe peuvent la compléter.

Chaque rôle doit être prévu avec un suppléant. Les coordonnées personnelles ou d’astreinte, les accès aux outils, la liste des prestataires utiles et les contacts institutionnels doivent être conservés dans un support accessible hors du réseau principal.

RôleResponsabilité pendant la criseErreur fréquente à éviter
Direction de criseArbitre les priorités, mobilise les moyens et valide les décisions majeures.Reporter les décisions en attendant une certitude totale.
Référent opérationnelÉtablit les faits, pilote les mesures de protection et remonte les impacts.Transmettre des hypothèses comme si elles étaient établies.
CommunicationStructure les messages, organise les canaux et surveille les retours publics.Publier sans validation des faits ni calendrier de mise à jour.
Juridique / conformitéVérifie les obligations, les risques de responsabilité et la protection des preuves.Transformer chaque message en texte incompréhensible ou purement défensif.
RH / managementInforme les équipes, accompagne les managers et traite les conséquences humaines.Laisser les salariés apprendre l’incident par les médias ou les réseaux sociaux.
Porte-paroleIncarne une parole stable, préparée et empathique auprès des publics externes.Répondre à chaud à des questions techniques non vérifiées.

Enfin, testez le dispositif. Un exercice sur table, fondé sur un scénario réaliste, permet de vérifier les numéros d’astreinte, la disponibilité des décideurs, le délai de validation d’un message et les défauts de coordination. Le test est aussi l’occasion d’entraîner les porte-parole aux questions difficiles.

Les premières heures : activer, protéger, qualifier l’incident

Le bon rythme n’est pas la précipitation. C’est la réactivité organisée. Dans les premières minutes, la cellule doit éviter deux dérives opposées : diffuser un démenti imprudent pour « couper court » à une rumeur, ou attendre si longtemps qu’une version inexacte s’impose.

  1. Déclenchez l’alerte et désignez le pilote. Confirmez qui conduit la cellule, qui tient le journal des décisions et qui peut engager des ressources. Un incident mal étiqueté peut rapidement changer de dimension : prévoyez un niveau d’escalade.
  2. Protégez les personnes et l’activité critique. Si nécessaire, stoppez un produit, isolez un système, évacuez un site, suspendez une campagne ou ouvrez une ligne d’assistance. Ne retardez jamais une mesure de sécurité pour préserver l’apparence de normalité.
  3. Établissez une fiche de situation. Notez l’heure de détection, la source de l’alerte, les faits observés, les populations affectées, les actions déjà engagées, les zones d’incertitude et les prochaines décisions attendues.
  4. Préservez les éléments utiles. Conservez les journaux informatiques, photos, témoignages, échanges et versions des publications. Cette traçabilité aide l’enquête, la gestion assurantielle et la défense des droits de l’organisation.
  5. Informez les publics qui doivent agir immédiatement. Salariés exposés, clients concernés, partenaires opérationnels, autorités ou services de secours doivent recevoir l’information avant une communication générale, lorsque leur sécurité ou leur action en dépend.
  6. Fixez la prochaine échéance. Même si toutes les réponses ne sont pas connues, annoncez quand un point actualisé sera fait. Tenez ensuite cet engagement, y compris pour indiquer que l’enquête est toujours en cours.
En crise, le silence n’est pas toujours une faute ; l’absence d’organisation pour expliquer ce silence et donner un prochain rendez-vous d’information en est une.

Le journal de crise est indispensable. Il consigne les décisions, leur auteur, l’heure, les informations disponibles à ce moment précis et les messages diffusés. Il évite les pertes de mémoire, facilite les relais entre équipes et permet d’analyser a posteriori les choix effectués.

Construire un message fiable sans promettre ce que vous ignorez

Un message de crise robuste repose sur une architecture simple. Il doit être compréhensible hors du jargon interne, cohérent avec les faits et adapté au niveau de gravité. Il ne doit ni minimiser un dommage ni tirer des conclusions avant l’enquête.

Le socle en six points

  • Ce qui s’est passé : décrivez les faits confirmés, avec un vocabulaire précis et daté.
  • Les personnes ou services concernés : indiquez qui est potentiellement affecté et, le cas échéant, qui ne l’est pas.
  • Ce qui est fait maintenant : citez les mesures concrètes de protection, de correction ou d’assistance.
  • Ce que les destinataires doivent faire : ne pas utiliser un produit, changer un mot de passe, contacter un service dédié, éviter une zone, vérifier une information, par exemple.
  • Ce qui reste à établir : formulez clairement les incertitudes et la méthode employée pour les lever.
  • Quand viendra la suite : donnez une heure, une date ou une condition de mise à jour identifiable.

La reconnaissance d’une situation difficile est souvent plus utile qu’une formule de contrition générique. Si des personnes ont subi un préjudice ou une inquiétude légitime, il convient de le dire avec respect. En revanche, l’aveu de responsabilité juridique, l’attribution d’une cause ou la promesse d’indemnisation doivent être examinés avec les conseils compétents. L’empathie ne suppose pas de spéculer.

Faire la différence entre fait, hypothèse et engagement

La cellule doit séparer systématiquement trois catégories : les faits vérifiés (ce que l’on sait), les hypothèses (ce qui est en cours d’analyse) et les engagements (ce que l’organisation va faire). Cette discipline réduit les contradictions entre une interview, un message interne, une réponse au service client et une publication sociale.

Préparez aussi une fiche de questions-réponses évolutive. Elle traite les interrogations prévisibles : origine présumée, périmètre, délai de rétablissement, données concernées, recours possible, consignes de sécurité, indemnisation éventuelle et interlocuteur dédié. Elle ne doit jamais devenir un texte figé : datez chaque version.

Parler à chaque partie prenante sans créer de messages contradictoires

Il ne suffit pas de publier un même texte partout. Les publics n’ont ni les mêmes besoins ni les mêmes responsabilités. Le fond factuel doit rester identique, mais l’angle, le niveau de détail et le canal doivent changer.

Une communication utile

  • Donne aux salariés des consignes immédiatement applicables et un point de contact managérial.
  • Explique aux clients les effets concrets, les démarches et les délais de réponse.
  • Fournit aux partenaires les éléments nécessaires à la continuité de leurs opérations.
  • Répond aux médias avec un point factuel, une disponibilité claire et des mises à jour datées.

Une communication contre-productive

  • Réserve toutes les informations aux médias, au risque de démobiliser les équipes.
  • Multiplie les versions selon les canaux pour paraître plus rassurante.
  • Dirige les personnes concernées vers une page d’aide introuvable ou un service saturé.
  • Laisse des dirigeants répondre individuellement, sans éléments de langage validés.

La communication interne est particulièrement déterminante. Les salariés peuvent être sollicités par des proches, des clients ou des journalistes ; ils ont besoin de savoir ce qu’ils peuvent confirmer, vers qui orienter les demandes et quelles consignes appliquer. Informer les managers juste avant ou au même moment que la prise de parole externe est généralement préférable à les laisser découvrir la situation par une notification publique.

Pour les réseaux sociaux, définissez un dispositif de veille, des règles de réponse et une équipe habilitée. Répondez prioritairement aux personnes qui cherchent une instruction ou signalent un problème concret. N’alimentez pas les comptes manifestement malveillants, mais ne confondez pas critique légitime et attaque coordonnée. La modération doit respecter les règles de la plateforme et rester proportionnée.

Respecter les obligations juridiques et les contraintes numériques

Une crise peut déclencher des obligations légales sectorielles : information des autorités, signalement d’un incident, rappel d’un produit, information du comité social et économique selon le contexte, ou notification contractuelle à des partenaires. La cellule juridique doit identifier très tôt les textes applicables, sans se substituer aux autorités ni retarder les mesures de protection.

En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes, le responsable du traitement peut notamment devoir notifier l’autorité de contrôle compétente. En France, la notification à la CNIL doit, lorsque les conditions sont réunies, intervenir dans les 72 heures après en avoir pris connaissance, sauf justification du retard. Si le risque est élevé, les personnes concernées doivent également être informées dans les meilleurs délais, sous réserve des exceptions prévues par le règlement européen sur la protection des données.

Dans une cybercrise, évitez de révéler des détails techniques susceptibles de faciliter une nouvelle attaque : adresses, vulnérabilités non corrigées, procédures d’accès ou éléments d’enquête sensibles. Cela ne justifie pas une communication opaque. Les personnes concernées doivent connaître les conséquences possibles, les mesures prises et les gestes de protection utiles, tels que le changement de mots de passe, la vigilance face à l’hameçonnage ou la surveillance de comptes.

Piloter la crise dans la durée et mesurer le retour à la confiance

Après le premier communiqué ou la première alerte, le travail commence réellement. La cellule doit organiser des points de situation réguliers, avec un rythme adapté à l’évolution des faits. Chaque mise à jour doit apporter une information nouvelle, corriger explicitement ce qui a changé et rappeler le canal d’aide. Répéter la même formule sans réponse concrète finit par être perçu comme une stratégie d’évitement.

Suivez à la fois des indicateurs opérationnels et des signaux de compréhension : volume de contacts au service client, temps de réponse, questions récurrentes, taux d’ouverture des messages internes, demandes des partenaires, articles publiés, informations erronées persistantes et sentiment exprimé dans les retours. Ces éléments ne se résument pas à un simple volume de mentions sur les réseaux sociaux : une faible visibilité peut masquer une forte inquiétude chez les personnes directement touchées.

La sortie de crise ne doit être déclarée que lorsque les risques immédiats sont traités, que les personnes concernées savent où obtenir de l’aide et que la gouvernance habituelle peut reprendre. Une communication de clôture utile rappelle les faits désormais établis, les actions menées, les recours ou accompagnements encore ouverts et les mesures destinées à éviter une répétition.

Transformer l’incident en amélioration concrète

Dans les jours ou semaines qui suivent, conduisez un retour d’expérience à froid. Réunissez les fonctions impliquées, et si possible des représentants des publics affectés ou du service client. L’objectif n’est pas de désigner un coupable ; il est de comprendre ce qui a accéléré ou freiné la réponse.

Examinez notamment le délai de détection, l’exactitude du premier message, la circulation de l’information vers les équipes, les outils indisponibles, les décisions difficiles, la charge supportée par les personnes en première ligne et la qualité de l’assistance fournie. Traduisez les constats en actions datées : mise à jour de la cartographie des risques, ajustement des contacts, amélioration des modèles de messages, formation des managers, exercice de simulation ou renforcement d’une procédure technique.

La crédibilité ne se reconstruit pas par une promesse de communication, mais par des corrections observables. Une organisation qui explique sobrement ce qu’elle a appris, ce qu’elle a changé et ce qu’elle continuera de suivre dispose d’un atout essentiel lors d’un prochain événement : une confiance moins fragile et une équipe mieux préparée.

Questions fréquentes

Quelles sont les premières actions à mener lors d’une crise de communication ?

Commencez par protéger les personnes et limiter les conséquences opérationnelles. Activez ensuite une cellule de crise, qualifiez les faits confirmés, conservez les preuves utiles et informez en priorité les publics qui doivent agir immédiatement. Préparez un premier point factuel, avec une prochaine échéance de mise à jour.

Faut-il communiquer même si toutes les informations ne sont pas connues ?

Oui, lorsque des personnes sont concernées ou que l’information circule déjà, il est généralement préférable de prendre la parole rapidement. Distinguez explicitement les faits établis de ce qui est en cours d’analyse. Indiquez les mesures déjà prises et la date du prochain point plutôt que de combler les incertitudes par des hypothèses.

Qui doit être le porte-parole pendant une crise ?

Le porte-parole doit être légitime au regard du sujet, à l’aise avec les médias et strictement aligné avec la cellule de crise. Selon la gravité, il peut s’agir d’un dirigeant, d’un expert métier ou d’un responsable local. L’essentiel est de limiter les prises de parole non coordonnées et de prévoir un remplaçant.

Comment communiquer en cas de cyberattaque ou de fuite de données ?

Informez rapidement les personnes et organisations qui doivent prendre des mesures de protection, sans divulguer de détails techniques exploitables par des attaquants. Expliquez la nature de l’incident connue, les catégories de données potentiellement concernées, les gestes recommandés et le canal d’assistance. Vérifiez également les obligations de notification, notamment auprès de la CNIL lorsque le RGPD l’impose.

Quelles erreurs nuisent le plus à une communication de crise ?

Les plus dommageables sont le silence prolongé sans échéance d’information, les démentis hâtifs, les messages contradictoires et les promesses impossibles à tenir. Il faut aussi éviter de minimiser l’impact vécu par les personnes concernées ou de laisser les salariés découvrir l’événement par les médias. Une information datée, factuelle et régulièrement actualisée est plus robuste.

Comment savoir si la crise est terminée ?

La crise ne s’achève pas seulement quand l’attention médiatique diminue. Elle est réellement stabilisée lorsque le risque immédiat est traité, que les personnes touchées disposent de réponses et d’un accompagnement, et que les décisions peuvent revenir dans les circuits habituels. Un retour d’expérience formel permet ensuite de consolider les améliorations nécessaires.