L'enquête interne au prisme du RGPD : mener une enquête sans violer la protection des données
L’enquête interne est devenue un instrument central de la vie des entreprises, tant en matière de gouvernance que de conformité. Son usage s’est accru sous l’impulsion de la loi Sapin 2 du 9 décembre 2016 relative à la lutte contre la corruption et de la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte. Qu’elle fasse suite à un signalement de harcèlement, à une alerte professionnelle ou à un contrôle de conformité, elle suppose d’auditionner des personnes, de collecter des témoignages et de rédiger un rapport. Or, à chacune de ces étapes, l’entreprise traite des données personnelles.Longtemps, la dimension « protection des données » de l’enquête interne a été négligée, éclipsée par les enjeux de procédure et de preuve. Cette époque est révolue. Par une décision du 1er décembre 2025, le Conseil d’État a confirmé l’application pleine et entière du RGPD aux enquêtes internes et les pouvoirs de la CNIL en la matière. Cet article n’aborde pas la conduite matérielle de l’enquête, mais sa conformité au droit des données personnelles : quelle base légale, quels droits pour les personnes concernées, quelle analyse d’impact, et quels risques en cas de manquement.

Par Maître Arnaud Sirven, Avocat en droit social Mis à jour le 4 juillet 2026
À retenir Une enquête interne est un traitement de données personnelles soumis au RGPD. Le Conseil d’État l’a confirmé le 1er décembre 2025 (n° 498023) : les salariés visés par une enquête, qu’ils soient mis en cause, victimes ou témoins, conservent leurs droits, notamment le droit d’accès à leurs données et le droit de s’y opposer. Point décisif, l’enquête fondée sur l’obligation de sécurité de l’employeur ne relève pas d’une « obligation légale » au sens du RGPD mais de l’intérêt légitime, ce qui ouvre le droit d’opposition, sauf motifs légitimes et impérieux à démontrer. L’employeur doit informer les personnes, répondre aux demandes d’accès dans un délai d’un mois en occultant les données des tiers, réaliser une analyse d’impact pour les dispositifs d’alerte, et documenter le tout. Le non-respect de ces règles expose à des sanctions de la CNIL, à un risque d’indemnisation et à l’irrecevabilité des preuves recueillies.
L’enquête interne est devenue un instrument central de la vie des entreprises, tant en matière de gouvernance que de conformité. Son usage s’est accru sous l’impulsion de la loi Sapin 2 du 9 décembre 2016 relative à la lutte contre la corruption et de la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte. Qu’elle fasse suite à un signalement de harcèlement, à une alerte professionnelle ou à un contrôle de conformité, elle suppose d’auditionner des personnes, de collecter des témoignages et de rédiger un rapport. Or, à chacune de ces étapes, l’entreprise traite des données personnelles.
Longtemps, la dimension « protection des données » de l’enquête interne a été négligée, éclipsée par les enjeux de procédure et de preuve. Cette époque est révolue. Par une décision du 1er décembre 2025, le Conseil d’État a confirmé l’application pleine et entière du RGPD aux enquêtes internes et les pouvoirs de la CNIL en la matière. Cet article n’aborde pas la conduite matérielle de l’enquête, mais sa conformité au droit des données personnelles : quelle base légale, quels droits pour les personnes concernées, quelle analyse d’impact, et quels risques en cas de manquement.
Une enquête interne est un traitement de données personnelles
Toute enquête interne constitue un traitement de données personnelles au sens du RGPD. La donnée personnelle se définit très largement comme toute information se rapportant à une personne physique identifiée ou identifiable (article 4 du RGPD), ce qui couvre aussi bien les identités que les courriels professionnels du salarié. Le traitement, quant à lui, désigne toute opération portant sur ces données : collecte, enregistrement, conservation, utilisation, communication.
Une enquête interne réunit précisément ces éléments. Organisant l’audition de supposées victimes, de témoins et, le cas échéant, de personnes mises en cause, en vue d’établir un rapport, elle implique par nature des informations sur des personnes identifiées, ainsi qu’une collecte, une conservation et une utilisation de ces informations. Il en résulte, sans ambiguïté, qu’elle constitue un traitement de données personnelles.
Les données traitées sont souvent nombreuses et parfois sensibles. Une enquête met en jeu les identités des personnes impliquées, le contenu des auditions, des témoignages écrits, mais aussi des courriels professionnels, que la Cour de cassation qualifie de données personnelles (Cass. soc., 18 juin 2025, n° 23-19.022). Lorsqu’elle porte sur des faits de harcèlement ou de violence, elle peut en outre toucher à des données touchant à la santé ou à la vie personnelle, dont le traitement appelle une vigilance renforcée. Plusieurs catégories de personnes sont concernées : la personne mise en cause, la personne qui se dit victime et les témoins, chacune disposant de droits sur ses données.
Le Conseil d’État a consacré cette analyse. Reprenant la doctrine de la CNIL, il a confirmé l’application du RGPD aux enquêtes internes réalisées à la suite d’une dénonciation, ainsi que les pouvoirs de la CNIL de sanctionner les manquements (CE, 1er décembre 2025, n° 498023). Dans cette affaire, trois salariés impliqués dans une enquête interne avaient tenté de faire valoir leurs droits en matière de données personnelles, et la CNIL avait rappelé la société à ses obligations.
Exemple : À la suite d’un signalement, une entreprise ouvre une enquête et recueille les témoignages de plusieurs salariés, extrait des courriels de la messagerie professionnelle de la personne mise en cause et rédige un rapport. Chacune de ces opérations est un traitement de données personnelles. Les personnes citées, y compris les témoins, disposent de droits sur les données les concernant, que l’entreprise doit être en mesure d’honorer.
En clair : dès que vous ouvrez une enquête interne, vous manipulez des données personnelles : noms, témoignages, courriels, comptes rendus d’audition. Le RGPD s’applique donc, et les personnes concernées conservent leurs droits. Ce n’est pas une simple formalité, c’est un cadre juridique contrôlé par la CNIL et le juge.
Sur quelle base légale fonder l’enquête ? L’enjeu décisif
La base légale de l’enquête détermine l’étendue des droits des personnes concernées, et c’est le point le plus délicat. Le RGPD exige que tout traitement repose sur l’une des bases légales de son article 6. Deux d’entre elles étaient en discussion dans l’affaire tranchée par le Conseil d’État : le respect d’une obligation légale à laquelle l’employeur est soumis (article 6, paragraphe 1, point c) et la poursuite de l’intérêt légitime de l’employeur (article 6, paragraphe 1, point f).
Cette distinction n’est pas théorique, car elle commande le droit d’opposition. Lorsque le traitement est nécessaire au respect d’une obligation légale, la personne concernée ne peut pas s’y opposer. Lorsqu’il repose sur l’intérêt légitime, la personne peut s’y opposer, sauf pour l’employeur à démontrer des motifs légitimes et impérieux. Toute la question était donc de savoir dans quelle catégorie se range l’enquête interne déclenchée en matière de santé et de sécurité.
Le choix de la base légale n’est pas un exercice formel que l’on renseigne après coup dans un registre. Il détermine concrètement l’étendue des droits que les salariés pourront exercer et, par ricochet, les obligations de l’employeur. Se tromper de base légale, ou ne pas l’avoir identifiée, revient à s’exposer à des demandes auxquelles on n’a pas préparé de réponse. C’est pourquoi la qualification retenue par le Conseil d’État mérite une attention particulière.
Le Conseil d’État a tranché nettement : l’enquête fondée sur l’obligation de sécurité relève de l’intérêt légitime, non de l’obligation légale. Il juge que, si l’employeur est tenu de diligenter une enquête interne au titre de son obligation de protéger la santé et la sécurité des travailleurs, le traitement de données personnelles éventuellement mis en œuvre à cette occasion ne saurait être regardé comme constituant une obligation légale au sens du point c) de l’article 6 du RGPD. Le traitement pouvait en revanche être regardé comme nécessaire aux intérêts légitimes de l’employeur, au sens du point f). Il en découle que le droit d’opposition des salariés était ouvert, et qu’il revenait à l’employeur d’examiner leur demande et de motiver son éventuel refus.
Cette solution a de quoi surprendre, et une partie de la doctrine s’en montre réservée. Le considérant 45 du RGPD invite en effet à une conception large de l’obligation légale, une même disposition légale pouvant fonder plusieurs traitements. On aurait donc pu rattacher l’enquête, imposée par l’obligation de sécurité, à une obligation légale. Le Conseil d’État a fait un autre choix, dont il faut tirer les conséquences pratiques.
En clair : la nuance paraît technique mais elle change tout pour vous. Puisque l’enquête repose sur votre intérêt légitime et non sur une obligation légale, les salariés peuvent s’opposer au traitement de leurs données. Vous ne pouvez pas balayer leur demande : vous devez l’examiner et, si vous refusez, expliquer pourquoi.
Ce que dit le référentiel de la CNIL sur les dispositifs d’alerte
Le référentiel de la CNIL distingue selon l’origine du dispositif d’alerte, ce qui éclaire la question de la base légale. Selon ce référentiel, le traitement lié à un dispositif d’alerte professionnelle relève d’une obligation légale lorsque ce dispositif résulte d’une source interne du droit français, comme la loi Sapin 2, d’un engagement international ratifié par la France, ou du droit dérivé des organisations européennes. À défaut, lorsque la mise en place du dispositif ne résulte pas d’une obligation légale, c’est le fondement de l’intérêt légitime qui s’applique.
Cette grille explique la solution retenue par le Conseil d’État. L’enquête déclenchée sur le fondement de l’obligation de sécurité, et non d’un dispositif d’alerte expressément imposé par un texte, se rattache à l’intérêt légitime. L’interprétation reste toutefois discutée : exclure de la catégorie de l’obligation légale les enquêtes fondées sur l’obligation de sécurité laisse une partie de la doctrine perplexe. Pour l’employeur, la prudence commande de partir du principe que le droit d’opposition est ouvert et de préparer une motivation solide.
En clair : si votre dispositif d’alerte découle directement d’une loi comme Sapin 2, il peut relever de l’obligation légale. Mais une enquête lancée au titre de votre seule obligation de sécurité relève, elle, de l’intérêt légitime. Dans le doute, considérez que les salariés peuvent s’opposer, et soyez prêt à motiver votre refus.
Les droits des personnes visées par l’enquête
Les salariés concernés par une enquête interne conservent l’ensemble des droits garantis par le RGPD. Qu’ils soient mis en cause, plaignants ou témoins, ils bénéficient des droits d’information, d’accès, d’opposition et d’effacement. C’est précisément le non-respect de ces droits que la CNIL a sanctionné dans cette affaire, qui a donné lieu à un rappel de la société à ses obligations légales.
Ces droits ne sont pas suspendus par le caractère confidentiel de l’enquête. La confidentialité, si elle est légitime et souvent nécessaire, ne fait pas obstacle à l’exercice des droits, elle en module seulement les modalités, par exemple en imposant l’occultation des données des tiers. L’erreur la plus fréquente consiste à opposer la confidentialité de l’enquête pour refuser purement et simplement toute demande, ce qui expose directement à la sanction.
Le droit d’information
L’employeur doit informer les personnes concernées du traitement de leurs données. Cette information, due au titre des articles 12 à 14 du RGPD, doit être complète et compréhensible : finalité de l’enquête, base légale, catégories de données, destinataires, durée de conservation et droits des personnes. Dans l’affaire jugée, la CNIL a précisément reproché à la société de ne pas avoir fourni aux salariés des informations complètes et compréhensibles sur le traitement de leurs données.
Cette obligation soulève une difficulté propre à l’enquête interne : le moment et le contenu de l’information. Informer trop tôt ou de façon trop détaillée pourrait, dans certains cas, nuire à l’efficacité de l’enquête, par exemple en permettant la dissimulation de preuves. Le RGPD prévoit des aménagements lorsque l’information est susceptible de compromettre la finalité du traitement, mais ces aménagements sont d’interprétation stricte et ne dispensent pas d’informer les personnes, au plus tard à un stade où l’information ne compromet plus l’enquête. L’employeur doit donc arbitrer avec soin entre la confidentialité nécessaire à l’enquête et le droit à l’information des personnes concernées, sans jamais faire l’impasse sur ce droit.
En clair : vous devez dire aux personnes concernées que leurs données sont traitées et pourquoi. Vous pouvez, dans certaines limites, différer cette information si la révéler immédiatement compromettrait l’enquête, mais vous ne pouvez pas la supprimer. L’information reste due, au plus tard quand elle ne met plus l’enquête en péril.
Le droit d’accès
Le salarié a le droit d’accéder aux données personnelles le concernant, même dans le cadre d’une enquête. La circonstance que ses données fassent l’objet d’un traitement dans une enquête interne ne fait pas obstacle, par principe, à l’exercice de son droit d’accès garanti par l’article 15 du RGPD. L’employeur doit répondre, en principe dans un délai d’un mois à compter de la demande (article 12, paragraphe 3). Ce délai s’impose strictement : le Conseil d’État a jugé que même les circonstances exceptionnelles de la crise sanitaire ne permettaient pas d’y déroger, les délais du RGPD n’étant pas des délais de procédure.
Le droit d’accès n’est toutefois ni absolu ni illimité. L’employeur peut refuser d’y donner suite lorsque la demande est manifestement infondée ou excessive, à condition de le démontrer. Surtout, il doit concilier ce droit avec les droits et libertés des tiers : plutôt que de refuser en bloc, il lui appartient d’occulter, dans les documents communiqués, les informations susceptibles de porter atteinte aux droits d’autrui. La Cour de justice de l’Union européenne a d’ailleurs jugé que le droit d’obtenir une copie de ses données s’impose même lorsque la demande poursuit un but étranger au contrôle de la licéité du traitement, par exemple un but probatoire en vue d’un recours (CJUE, 27 mai 2024, aff. C-312/23, Addiko Bank).
Le droit d’accès aux données ne se confond cependant pas avec un accès au dossier complet de l’enquête. L’employeur doit minimiser les données qu’il communique, en s’en tenant à celles qui sont personnelles au salarié demandeur. La Cour de cassation a jugé que le respect des droits de la défense et du principe de la contradiction n’impose pas que le salarié ait accès au dossier et aux pièces recueillies au cours de l’enquête interne, ni qu’il soit confronté à ses collègues, dès lors que les éléments servant à fonder une éventuelle décision pourront être discutés ultérieurement devant le juge (Cass. soc., 29 juin 2022, n° 20-22.220).
Ce délai d’un mois est intangible. Dans cette affaire, la société avait tenté de justifier son retard par l’ordonnance du 25 mars 2020 relative à la prorogation des délais pendant l’état d’urgence sanitaire. Le Conseil d’État a écarté l’argument : ces dispositions ne s’appliquent pas aux délais prévus par le RGPD, qui ne sont pas des délais de procédure administrative ou juridictionnelle. Autrement dit, aucune circonstance générale ne dispense l’employeur de répondre dans le délai imparti, et le dépassement caractérise à lui seul un manquement à l’article 12, paragraphe 3, du RGPD.
En clair : un salarié peut vous demander l’accès à ses propres données, et vous devez répondre sous un mois. Mais accéder à ses données n’est pas accéder à tout le dossier d’enquête : vous communiquez ce qui le concerne personnellement, en masquant ce qui touche les autres. Répondre par un refus pur et simple, ou laisser passer le délai, est le meilleur moyen d’être sanctionné.
Exemple : Un salarié mis en cause demande l’accès aux données le concernant dans l’enquête. Plutôt que de refuser au motif que l’enquête est confidentielle, l’employeur lui communique les données personnelles qui le visent, après avoir occulté les noms des témoins et les informations relatives aux autres salariés. Il agit ainsi dans le délai d’un mois et respecte à la fois le droit d’accès et les droits des tiers.
Le droit d’opposition et le droit à l’effacement
Puisque l’enquête repose sur l’intérêt légitime, les personnes peuvent s’opposer au traitement de leurs données. Le droit d’opposition de l’article 21 du RGPD, et le cas échéant le droit à l’effacement de l’article 17, sont donc ouverts. Face à une telle demande, l’employeur ne peut pas simplement l’ignorer : il doit y répondre et motiver son refus en justifiant de motifs légitimes et impérieux qui prévalent sur les intérêts et les droits de la personne, ou de la nécessité de constater, exercer ou défendre un droit en justice.
En pratique, une telle motivation n’est pas hors de portée en matière de santé et de sécurité au travail : la nécessité de faire la lumière sur des faits de violence ou de harcèlement peut constituer un motif légitime et impérieux. Encore faut-il que l’employeur formalise cette motivation. Dans l’affaire jugée, c’est l’absence de motivation du refus, et non le refus lui-même, qui a été sanctionnée.
Exemple : Un salarié mis en cause dans une enquête demande que ses données ne soient plus traitées. L’employeur ne peut pas se contenter de refuser. Il doit répondre par écrit et expliquer, par exemple, que la poursuite du traitement est indispensable pour établir la réalité de faits de harcèlement dénoncés et pour se défendre en cas de contentieux. Cette motivation, exigée par le RGPD, sécurise la position de l’entreprise.
L’analyse d’impact sur les dispositifs d’alerte et les enquêtes
Les traitements liés aux alertes professionnelles et aux enquêtes qui en résultent doivent faire l’objet d’une analyse d’impact. La CNIL a inscrit, dans sa liste des traitements pour lesquels une analyse d’impact relative à la protection des données est obligatoire, les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle, ainsi que les enquêtes internes en résultant (délibération n° 2018-327 du 11 octobre 2018).
L’employeur qui met en place un dispositif d’alerte professionnelle doit donc, en amont, conduire cette analyse d’impact, puis, s’agissant du régime des données, se référer utilement au référentiel de la CNIL relatif aux traitements destinés à la mise en œuvre d’un dispositif d’alerte, publié le 6 juillet 2023. Ce référentiel précise notamment les bases légales, les durées de conservation et les modalités d’exercice des droits.
L’analyse d’impact n’est pas un exercice de pure forme. Elle conduit à décrire le traitement lié aux alertes et aux enquêtes, à en évaluer la nécessité et la proportionnalité, à identifier les risques pour les droits des personnes concernées, notamment le lanceur d’alerte et la personne mise en cause, et à définir les mesures propres à les atténuer. C’est précisément dans ce cadre que se pensent la confidentialité de l’auteur du signalement, la sécurité des données recueillies et la durée de leur conservation. Réaliser cette analyse en amont, avant de déployer le dispositif, permet d’anticiper les difficultés plutôt que de les découvrir lors d’une réclamation.
En clair : si votre entreprise dispose d’une ligne d’alerte ou d’un dispositif de signalement, vous devez avoir réalisé une analyse d’impact avant de la déployer. Les enquêtes qui découlent de ces alertes entrent dans le champ de cette obligation. C’est un point de conformité fréquemment oublié.
Minimisation, confidentialité et conservation des données d’enquête
La conformité de l’enquête suppose aussi de maîtriser le périmètre, la sécurité et la durée de conservation des données. Le principe de minimisation impose de ne traiter que les données strictement nécessaires à la finalité de l’enquête, et de ne communiquer, en cas de demande d’accès, que les données personnelles au demandeur en occultant celles des tiers. La confidentialité doit être assurée : l’accès aux données de l’enquête doit être réservé aux seules personnes qui en ont besoin, et sécurisé.
La durée de conservation doit être définie et limitée. Les données collectées dans le cadre d’une enquête ne peuvent pas être conservées indéfiniment : elles doivent l’être pour la durée nécessaire au traitement de l’enquête et à la gestion de ses suites, puis supprimées ou archivées selon des règles préétablies. Le référentiel de la CNIL sur les dispositifs d’alerte fournit des repères utiles sur ce point.
Ces exigences participent du principe de responsabilité qui irrigue le RGPD : l’employeur doit non seulement respecter ces règles, mais aussi pouvoir démontrer qu’il les a respectées. Documenter la finalité de l’enquête, les catégories de données traitées, les personnes ayant accès aux informations, les mesures de sécurité et les durées de conservation constitue donc une précaution essentielle. Cette traçabilité est précisément ce que la CNIL vérifie en cas de réclamation, et ce qui permet à l’entreprise de démontrer sa diligence.
En clair : une enquête bien menée du point de vue des données, c’est une enquête où l’on ne collecte que le nécessaire, où l’accès aux informations est restreint et sécurisé, et où les données ne restent pas indéfiniment dans les serveurs de l’entreprise. Ces trois réflexes, documentés, limitent fortement le risque.
Le déclenchement de l’enquête et son articulation avec le RGPD
L’obligation de mener une enquête découle de l’obligation de sécurité, mais elle n’emporte pas dispense des règles sur les données. L’employeur est tenu de diligenter une enquête interne lorsqu’il est informé de faits susceptibles de caractériser un harcèlement ou une violence et qu’il ne dispose pas d’éléments établissant leur matérialité (Cass. soc., 29 juin 2011, n° 09-70.902 ; Cass. soc., 9 juillet 2014, n° 13-16.797). À l’inverse, lorsqu’il dispose déjà d’éléments suffisants, il n’est pas tenu d’initier une telle enquête (Cass. soc., 12 juin 2024, n° 23-13.975).
Cette obligation, induite des articles L. 4121-1 et L. 4121-2 du Code du travail, explique que l’enquête soit souvent perçue comme une contrainte légale. Mais, comme l’a jugé le Conseil d’État, cette obligation d’enquêter ne transforme pas le traitement des données en traitement fondé sur une obligation légale au sens du RGPD. Autrement dit, l’employeur doit enquêter, mais il doit le faire dans le respect des droits des personnes sur leurs données, sans pouvoir se retrancher derrière son obligation de sécurité pour écarter ces droits.
Cette dissociation est au cœur de la décision du 1er décembre 2025. L’obligation d’enquêter et la base légale du traitement des données sont deux questions distinctes. L’employeur peut être tenu d’agir sur le terrain du droit du travail tout en n’étant pas dispensé, sur le terrain du RGPD, de fonder son traitement sur l’intérêt légitime et d’en tirer les conséquences quant aux droits des personnes. Confondre les deux plans conduit précisément à l’erreur sanctionnée par la CNIL.
Exemple : Informé de faits pouvant caractériser un harcèlement, un employeur ouvre une enquête, comme l’y oblige son devoir de sécurité. Un salarié entendu demande à s’opposer au traitement de ses données. L’employeur ne peut pas répondre que l’enquête étant obligatoire, l’opposition est exclue. Il doit examiner la demande, puis la refuser en motivant sa réponse par la nécessité d’établir les faits et de se défendre en cas de litige.
En clair : vous devez mener l’enquête quand des faits graves sont portés à votre connaissance, mais cette obligation ne vous dispense pas du RGPD. Les deux logiques coexistent : enquêter, oui, mais en respectant les droits des salariés sur leurs données.
Les risques en cas de non-conformité
Le non-respect du RGPD dans une enquête interne expose l’entreprise à trois types de risques. Le premier est administratif. Toute personne concernée peut introduire une réclamation auprès de la CNIL (articles 77 et 78 du RGPD ; article 8 de la loi du 6 janvier 1978). La CNIL instruit la réclamation et peut, à l’issue, prononcer un avertissement et un rappel à ses obligations légales, sur le fondement de l’article 20 de la loi du 6 janvier 1978. C’est exactement ce qui s’est produit dans cette affaire, où la société a été rappelée à ses obligations pour trois manquements : ne pas avoir motivé le refus du droit d’opposition, ne pas avoir fourni une information complète, et ne pas avoir répondu aux demandes d’accès.
La procédure de réclamation obéit à des règles précises. Le silence gardé par la CNIL pendant trois mois sur une réclamation vaut décision implicite de rejet (décret n° 2019-536 du 29 mai 2019). Mais ce rejet implicite ne crée aucun droit au profit de l’entreprise visée : le Conseil d’État a jugé que la CNIL peut décider de poursuivre ou de reprendre l’instruction au-delà du délai de trois mois et prononcer ensuite l’une des mesures prévues par l’article 20 de la loi du 6 janvier 1978. L’entreprise ne peut donc pas se prévaloir de ce silence pour faire échec à un avertissement ultérieur. Cet avertissement, assorti d’un rappel aux obligations légales, est une mesure que la CNIL peut prononcer dès lors qu’un manquement est constaté.
Le deuxième risque est civil. Les salariés lésés peuvent solliciter, devant le juge judiciaire, l’indemnisation du préjudice subi du fait des manquements de l’employeur. Ce préjudice pourrait, selon la doctrine, prendre les traits d’un préjudice nécessaire dans certaines hypothèses (Cass. soc., 18 juin 2025, n° 23-19.022). La question du préjudice réparable en cas de violation du RGPD reste toutefois débattue. La chambre sociale de la Cour de cassation a jugé que la seule violation du RGPD n’ouvre pas, à elle seule, droit à réparation, le salarié devant établir un préjudice matériel ou moral. La démonstration d’un dommage reste donc, en principe, nécessaire, mais un salarié dont les droits d’accès ou d’opposition ont été méconnus ne manquera pas d’arguments pour caractériser une atteinte.
Le troisième risque, souvent le plus concret, est probatoire. Le non-respect des exigences en matière de données personnelles est susceptible de rendre illicites les éléments de preuve recueillis, voire le rapport d’enquête lui-même (Cass. soc., 9 avril 2025, n° 23-13.159). Une enquête menée au mépris du RGPD peut ainsi se retourner contre l’employeur : le rapport qu’il comptait produire pour justifier une sanction ou un licenciement peut être écarté.
Ce risque probatoire est particulièrement sensible, car l’enquête interne a souvent pour objet même de fonder une décision disciplinaire. Un employeur qui aurait collecté des données en violation du RGPD, omis d’informer les personnes ou refusé sans motif l’exercice de leurs droits fragilise l’ensemble de la procédure. Il est vrai qu’une preuve illicite n’est pas nécessairement écartée : le juge met en balance le droit à la preuve et les droits des personnes, et peut admettre la preuve si sa production est indispensable et proportionnée. Mais l’employeur qui a respecté le RGPD en amont se place dans une position bien plus solide pour défendre la recevabilité de son rapport que celui qui a négligé ces règles.
En clair : l’intérêt d’une enquête est de pouvoir en tirer des conséquences, par exemple une sanction. Si l’enquête a méconnu le RGPD, le rapport risque d’être écarté et la sanction de tomber avec lui. Respecter la protection des données, ce n’est donc pas seulement éviter la CNIL, c’est préserver l’utilité même de l’enquête.
En clair : une enquête non conforme au RGPD, c’est un triple risque. Une sanction de la CNIL, une demande d’indemnisation du salarié, et surtout le risque que votre rapport d’enquête soit jugé illicite et écarté devant les prud’hommes. Autrement dit, tout le travail d’enquête peut être réduit à néant.
Vers un cadre légal des enquêtes internes ?
Les enquêtes internes restent dépourvues d’un cadre législatif spécifique, ce qui nourrit l’insécurité juridique. Leur régime puise aujourd’hui dans des sources éparses : le RGPD, la loi Sapin 2 relative à la lutte contre la corruption, la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte, l’obligation de sécurité du Code du travail, ainsi que des guides professionnels.
Ces guides convergent sur la nécessité de respecter le RGPD. Le Conseil national des barreaux, dans son guide de juin 2020 sur l’avocat français et les enquêtes internes, conseille de respecter l’ensemble des obligations en matière de protection des données. L’Agence française anticorruption et le Parquet national financier ont retenu la même analyse dans leur guide pratique de mars 2023 sur les enquêtes anticorruption. Le Défenseur des droits, dans une décision-cadre du 5 février 2025 relative aux enquêtes internes réalisées à la suite de signalements pour discrimination, évoque également l’obligation de confidentialité au regard du RGPD. Enfin, le référentiel de la CNIL du 6 juillet 2023 offre un outil complet pour les dispositifs d’alerte. La convergence de ces sources confirme que la conformité au RGPD n’est pas une option, mais une exigence transversale des enquêtes internes.
Une proposition de loi visant à donner un cadre législatif aux enquêtes internes a été déposée en décembre 2025. L’intention est utile, mais le régime proposé reste, à ce stade, embryonnaire, et la question des données personnelles n’y est pas traitée. En attendant une éventuelle réforme, la conformité au RGPD demeure donc la boussole des employeurs qui conduisent des enquêtes internes.
En clair : il n’existe pas encore de loi dédiée aux enquêtes internes, et le projet en cours ne règle pas la question des données personnelles. En pratique, c’est donc le RGPD, tel qu’interprété par la CNIL et le Conseil d’État, qui fixe les règles à respecter.
Récapitulatif
Les points essentiels de la conformité RGPD d’une enquête interne :
- Une enquête interne est un traitement de données personnelles soumis au RGPD (CE, 1er décembre 2025, n° 498023).
- L’enquête fondée sur l’obligation de sécurité relève de l’intérêt légitime, pas de l’obligation légale, ce qui ouvre le droit d’opposition des personnes.
- Les personnes concernées ont droit à l’information, à l’accès à leurs données (réponse sous un mois), à l’opposition et à l’effacement.
- L’accès aux données n’est pas l’accès au dossier complet : l’employeur communique les seules données du demandeur en occultant celles des tiers (Cass. soc., 29 juin 2022, n° 20-22.220).
- Les dispositifs d’alerte et les enquêtes qui en résultent nécessitent une analyse d’impact (délib. CNIL n° 2018-327).
- Il faut minimiser les données, en assurer la confidentialité et fixer une durée de conservation.
- Les manquements exposent à des sanctions de la CNIL, à un risque d’indemnisation et à l’irrecevabilité du rapport d’enquête (Cass. soc., 9 avril 2025, n° 23-13.159).
FAQ : vos questions sur l’enquête interne et le RGPD
Une enquête interne est-elle un traitement de données personnelles ?
Oui. Une enquête interne qui organise des auditions de victimes, de témoins et de personnes mises en cause en vue d’un rapport constitue un traitement de données personnelles au sens de l’article 4 du RGPD. Le Conseil d’État l’a confirmé le 1er décembre 2025 (n° 498023), avec pour conséquence l’application du RGPD et le contrôle de la CNIL.
Sur quelle base légale repose une enquête interne ?
Sur l’intérêt légitime de l’employeur, et non sur une obligation légale. Le Conseil d’État a jugé que le traitement de données mis en œuvre lors d’une enquête interne, même déclenchée au titre de l’obligation de sécurité, relève de l’article 6, paragraphe 1, point f) du RGPD, et non du point c). Cette qualification ouvre le droit d’opposition des personnes concernées.
Un salarié peut-il s’opposer au traitement de ses données dans une enquête interne ?
Oui, en principe. Comme l’enquête repose sur l’intérêt légitime, le salarié peut exercer son droit d’opposition (article 21 du RGPD). L’employeur ne peut pas ignorer cette demande : il doit y répondre et, s’il refuse, motiver sa décision par des motifs légitimes et impérieux ou par la nécessité de constater, exercer ou défendre un droit en justice.
Un salarié peut-il accéder à ses données dans une enquête interne ?
Oui. Le droit d’accès de l’article 15 du RGPD s’applique, même dans le cadre d’une enquête. L’employeur doit répondre en principe dans un délai d’un mois. Il peut refuser une demande manifestement infondée ou excessive, à condition de le démontrer, et doit occulter les informations portant atteinte aux droits des tiers plutôt que de refuser en bloc.
Le salarié a-t-il accès au rapport et au dossier d’enquête ?
Non, le droit d’accès aux données ne se confond pas avec l’accès au dossier complet. L’employeur communique les seules données personnelles du salarié demandeur, en minimisant et en occultant les données des tiers. La Cour de cassation a jugé que les droits de la défense n’imposent pas l’accès au dossier ni aux pièces recueillies pendant l’enquête (Cass. soc., 29 juin 2022, n° 20-22.220), les éléments pouvant être discutés ultérieurement devant le juge.
Faut-il une analyse d’impact (AIPD) pour une enquête interne ?
Oui pour les dispositifs d’alerte et les enquêtes qui en résultent. La CNIL a inscrit la gestion des alertes et signalements en matière professionnelle, ainsi que les enquêtes internes en découlant, parmi les traitements devant faire l’objet d’une analyse d’impact (délibération n° 2018-327 du 11 octobre 2018). Le référentiel CNIL du 6 juillet 2023 sur les dispositifs d’alerte complète ce cadre.
Combien de temps peut-on conserver les données d’une enquête interne ?
Le temps nécessaire au traitement de l’enquête et à la gestion de ses suites, pas davantage. Les données doivent être conservées pour une durée limitée et définie à l’avance, puis supprimées ou archivées. Le référentiel de la CNIL sur les dispositifs d’alerte fournit des repères sur les durées applicables selon les situations.
Quelles sanctions en cas d’enquête interne non conforme au RGPD ?
Trois types de risques. Un risque administratif : la CNIL peut prononcer un avertissement et un rappel aux obligations légales à la suite d’une réclamation (article 20 de la loi du 6 janvier 1978). Un risque civil : les salariés lésés peuvent demander l’indemnisation de leur préjudice. Un risque probatoire : le non-respect du RGPD peut rendre illicites les preuves recueillies, voire le rapport d’enquête (Cass. soc., 9 avril 2025, n° 23-13.159).
L’employeur est-il obligé de mener une enquête interne ?
Oui lorsqu’il est informé de faits susceptibles de caractériser un harcèlement ou une violence sans disposer d’éléments établissant leur matérialité (Cass. soc., 29 juin 2011, n° 09-70.902). S’il dispose déjà d’éléments suffisants, il n’y est pas tenu (Cass. soc., 12 juin 2024, n° 23-13.975). Cette obligation d’enquêter ne dispense jamais du respect du RGPD.
Les courriels professionnels d’un salarié sont-ils des données personnelles ?
Oui. Les courriels émis ou reçus par le salarié grâce à sa messagerie professionnelle sont des données personnelles au sens du RGPD (Cass. soc., 18 juin 2025, n° 23-19.022). Leur traitement dans le cadre d’une enquête interne est donc soumis aux règles de protection des données, y compris au droit d’accès du salarié.
Existe-t-il une loi spécifique sur les enquêtes internes ?
Pas encore. Les enquêtes internes n’ont pas de cadre législatif dédié et puisent dans des sources éparses : RGPD, loi Sapin 2, loi du 21 mars 2022 sur les lanceurs d’alerte, obligation de sécurité, guides professionnels. Une proposition de loi a été déposée en décembre 2025, mais elle laisse de côté la question des données personnelles. Le RGPD reste donc la référence.
Le rapport d’enquête peut-il être écarté par le juge ?
Oui, en cas de non-conformité au RGPD. Le non-respect des exigences en matière de données personnelles est susceptible de rendre illicites les éléments de preuve recueillis, voire le rapport d’enquête lui-même (Cass. soc., 9 avril 2025, n° 23-13.159). Une enquête irrégulière peut donc se retourner contre l’employeur, en le privant du rapport qu’il comptait produire pour justifier une sanction ou un licenciement.
Le silence de la CNIL sur une réclamation protège-t-il l’entreprise ?
Non. Le silence gardé par la CNIL pendant trois mois vaut décision implicite de rejet de la réclamation (décret n° 2019-536 du 29 mai 2019), mais ce rejet ne crée aucun droit au profit de l’entreprise. Le Conseil d’État a jugé que la CNIL peut reprendre l’instruction au-delà de ce délai et prononcer un avertissement. L’entreprise ne peut donc pas se prévaloir de ce silence pour échapper à une sanction.
Comment motiver un refus au droit d’opposition d’un salarié ?
En justifiant de motifs légitimes et impérieux, ou de la nécessité de constater, exercer ou défendre un droit en justice. En matière de santé et de sécurité, la nécessité d’établir la réalité de faits de harcèlement ou de violence peut constituer un tel motif. L’essentiel est de formaliser cette motivation par écrit : dans cette affaire, c’est l’absence de motivation, et non le refus en lui-même, qui a été sanctionnée.
Une enquête interne peut-elle porter sur des données sensibles ?
Oui, et cela renforce les précautions à prendre. Une enquête sur des faits de harcèlement, de violence ou de discrimination peut toucher à des données relatives à la santé ou à la vie personnelle. Ces données appellent une vigilance particulière : minimisation stricte, accès restreint, sécurité renforcée et durée de conservation limitée. C’est aussi l’une des raisons pour lesquelles une analyse d’impact est requise pour les dispositifs d’alerte.
Vous devez mener une enquête interne en toute conformité ?
Base légale, information des personnes, droit d’accès et d’opposition, analyse d’impact, durée de conservation, sécurité : une enquête interne conforme au RGPD suppose d’intégrer la protection des données à chaque étape, faute de quoi le rapport d’enquête lui-même peut être fragilisé.
Auron Avocat accompagne les employeurs dans la sécurisation de leurs enquêtes internes au regard du RGPD : détermination de la base légale, gestion des demandes d’accès et d’opposition, information des personnes concernées, articulation avec les dispositifs d’alerte et défense en cas de réclamation devant la CNIL ou de contentieux prud’homal.
N’attendez pas une réclamation ou un litige : la conformité de l’enquête se prépare avant son ouverture.
Contactez Auron Avocat pour une consultation personnalisée.



