A l’ère numérique, les enquêtes internes reposent de plus en plus sur des technologies forensiques (recherche de preuve) avancées embarquant des solutions d’intelligence artificielle. Le cadre juridique de celles-ci s’est durci, en France comme en Europe.
L’explosion des volumes de données (cloud, messageries instantanées, smartphones ou applications collaboratives) rend désormais toute analyse manuelle inopérante. Les enquêtes internes ne se limitent plus aux e-mails : la forensique (recherche de preuve) sur mobile permet d’extraire et de traiter SMS, appels et conversations chiffrées (type WhatsApp ou Signal). Pour faire face à cette diversité et à cette masse d’informations, les entreprises s’appuient sur des outils forensiques spécialisés capables d’exploiter efficacement les contenus numériques : e-mails, fichiers, journaux système, disques durs, téléphones, etc. L’ère du papier a cédé la place à l’e-discovery, encadrée par des protocoles stricts garantissant l’intégrité et la recevabilité des preuves. Des logiciels d’analyse intelligente, enrichis par l’IA, permettent de filtrer, classer et hiérarchiser les données utiles. Ils repèrent automatiquement mots-clés, transactions anormales et structures de communication suspectes, tout en gérant le multilinguisme. En parallèle, les outils de data analytics permettent d’identifier dans les bases comptables des anomalies révélatrices de fraude : paiements irréguliers, conflits d’intérêts, schémas de contournement, etc.
Le recours à ces technologies peut également répondre aux attentes croissantes des autorités, soucieuses de s’assurer du sérieux et de la profondeur des investigations menées. En France, si l’Agence française anticorruption (AFA) et le Parquet national financier (PNF) mentionnent l’e-discovery dans leur guide conjoint de 2023, l’intelligence artificielle n’y figure pas encore. Cela pourrait toutefois évoluer rapidement, au regard de la sophistication croissante des outils disponibles et du fait que le PNF lui-même s’est doté de compétences informatiques internes. Aux Etats-Unis, le Department of Justice (DOJ) a officiellement intégré ces dernières années des attentes précises quant à l’usage de l’intelligence artificielle, des analyses de données et des outils technologiques dans les programmes de compliance et les enquêtes internes des entreprises. Ces orientations apparaissent notamment dans les documents de référence du DOJ et dans les discours de ses hauts responsables, en particulier dans le cadre des Deferred Prosecution Agreements (DPA) ou des évaluations de programmes de conformité.
Face à ces enjeux, les équipes en charge des enquêtes sont aujourd’hui pluridisciplinaires par nature et rassemblent des experts en forensic IT, en cybersécurité et en audit comptable, mais aussi des juristes enquêteurs formés aux entretiens sensibles. Le cabinet CMS a par exemple développé sa propre plateforme, CMS Evidence, pour héberger et examiner les preuves numériques en interne, optimisant ainsi pour nos avocats à la fois le contrôle des données sensibles et les coûts opérationnels. Cette approche transversale est essentielle pour produire des rapports solides, exploitables tant à des fins internes que contentieuses. Souvent, un commissaire de justice est même associé dès la phase d’extraction, afin de sécuriser juridiquement la méthode utilisée et d’anticiper toute contestation future. Cette rigueur permet de garantir la traçabilité complète des éléments collectés, depuis leur récupération initiale jusqu’à leur éventuelle présentation en justice.
Validité probatoire et risques juridiques associés aux investigations forensiques
L’usage de technologies forensiques dans les enquêtes internes expose les entreprises à plusieurs risques juridiques, allant de la protection des données à la recevabilité des preuves. L’essor de l’e-discovery et de l’intelligence artificielle dans le traitement des données accentue encore les enjeux de conformité.
La collecte et l’analyse de données doivent impérativement respecter le RGPD et le droit du travail. Plusieurs principes s’imposent : finalité, proportionnalité ; information des salariés ; limitation des accès. La CNIL encadre strictement les dispositifs d’alertes professionnelles. Son référentiel, actualisé en 2023 pour intégrer les exigences de la loi Waserman n° 2022-401 du 21 mars 2022 (transposition de la directive UE 2019/1937 sur les lanceurs d’alerte), impose que les données soient pertinentes, nécessaires, sécurisées, avec des durées de conservation limitées.
L’usage de l’e-discovery assisté par IA soulève des questions juridiques spécifiques en matière de loyauté, de transparence et de contrôle. La validité probatoire des éléments issus de ce traitement algorithmique pourra reposer sur le respect de plusieurs conditions cumulatives :
- l’intégrité de la chaîne de collecte et de conservation des données ;
- la traçabilité des opérations d’analyse et des critères de tri utilisés ;
- la possibilité de réplication des résultats en cas de contestation judiciaire, et
- la neutralité des paramètres algorithmiques employés.
Le recours à des solutions d’intelligence artificielle ne saurait dispenser des obligations fondamentales en matière de preuve. Toute automatisation (filtrage, tri et hiérarchisation des documents) doit rester strictement nécessaire aux objectifs définis par l’enquête et respecter le principe de minimisation. Ces traitements doivent impérativement être encadrés par un processus de validation humaine (« human-in-the-loop »), garant de la fiabilité et de l’absence de biais algorithmique. En effet, la détection d’échanges internes « suspects » par IA peut générer des faux positifs s’ils sont sortis de leur contexte, ce qui fragilise la valeur probatoire des éléments retenus.
Le juge pourrait procéder alors à un contrôle de proportionnalité entre la méthode de collecte et le droit à un procès équitable. Dans le cas des outils d’analyse automatisée, ce contrôle pourrait notamment porter sur la manière dont les documents ont été filtrés, sur la justification du recours à un traitement algorithmique (au lieu d’un tri humain) et sur la possibilité de vérifier ou de contester les résultats obtenus. Le juge pourrait également s’assurer que les preuves apportées par l’IA sont confrontées à d’autres éléments, comme des témoins lors d’auditions, ainsi que le soulignait un de nos confrères au centenaire de l’Association internationale de droit pénal (AIDP) de juin 2024. Un exercice d’équilibrage qui n’est pas propre à la France en effet, puisqu’il devient de plus en plus fréquent, par exemple dans la jurisprudence britannique, que les tribunaux évaluent la collecte de preuves numériques à l’aune des principes de proportionnalité et de confidentialité.
Il est donc essentiel d’intégrer dans le plan d’enquête des mesures permettant de garantir la transparence et la reproductibilité du processus analytique. Cela inclut la documentation des filtres appliqués, la conservation d’une copie brute des données avant traitement et la désignation d’un responsable de validation des résultats. En pratique, il est essentiel de cadrer l’enquête dès le départ (personnes concernées, boîtes mail analysées et données cibles) et de formaliser ces règles dans un plan d’enquête afin d’attester du respect du cadre fixé.
Une réglementation européenne de plus en plus structurante
Sans viser directement les enquêtes internes, plusieurs règlements européens récents affectent leur conduite.
Le règlement (UE) 2024/1689 sur l’intelligence artificielle (AI Act) introduit une classification des systèmes d’IA selon leur niveau de risque. Les IA utilisées dans les domaines de l’emploi (ressources humaines) ou de la justice sont dites « à haut risque » et soumises à des exigences strictes : documentation, auditabilité, supervision humaine, qualité et sécurité des données. Lorsqu’elles sont déployées dans le cadre d’une enquête interne (pour analyser des messageries, détecter des comportements suspects ou orienter une décision disciplinaire), ces IA pourraient entrer dans cette catégorie. A compter d’août 2026, les entreprises devront alors s’assurer de la conformité des outils utilisés, sous peine de lourdes sanctions.
Le règlement « e-Evidence » (UE 2023/1543), applicable en 2026, institue un mécanisme d’injonctions judiciaires transfrontalières permettant à une autorité judiciaire européenne de solliciter directement un fournisseur de services numériques situé dans un autre Etat membre pour obtenir ou conserver des preuves électroniques.
Pour l’avocat chargé d’une enquête interne, cette architecture juridique impose plusieurs exigences pratiques :
- identifier précisément où sont stockées les données sensibles (cloud, serveurs européens ou extra-européens) ;
- mettre en place un protocole de traçabilité et de gouvernance des données numériques collectées ;
- anticiper les conséquences juridiques d’une éventuelle communication directe par un hébergeur à une autorité étrangère (notamment sur le respect du contradictoire, le secret professionnel ou la stratégie de défense) ;
- intégrer aux plans d’enquête interne des dispositifs de coordination juridique et technique avec les prestataires pour réagir rapidement à toute demande d’accès à des preuves électroniques.
Le règlement (UE) 2023/2854 (Data Act) prolonge cette dynamique : en cas d’intérêt public ou de demande d’enquête, certaines entreprises devront fournir l’accès aux données qu’elles détiennent ou exploitent. Cela renforce l’exigence d’anticipation juridique et opérationnelle, en particulier pour les entreprises actives dans des secteurs régulés ou sensibles.
En somme, le cadre européen pousse vers une professionnalisation accrue des enquêtes internes. Il ne les freine pas, mais impose des protocoles solides, respectueux des droits fondamentaux et capables de répondre aux attentes croissantes des régulateurs, des juridictions et des partenaires internationaux.
Par Anne-Laure Villedieu et Nicolas Tollet, avocats associés, CMS Francis Lefebvre, et Kevin Bannon, head of CMS Evidence.
Article paru dans Option Finance le 12 novembre 2025
