Par Nicolas Brooke associé, et Mathilde Gérot, avocate, Signature Litigation

La loi Sapin 2 et le RGPD sont à envisager de manière globale par les entreprises en tant que socle général de la compliance. Tout d’abord, elles poursuivent un objectif commun, à savoir assurer un comportement éthique dans l’entreprise, à tous ses échelons. Ensuite, elles impliquent le recours à des méthodes similaires, à savoir la collecte d’informations relatives à des faits illicites qui ont pu se produire dans le cadre des activités de l’entreprise et leur analyse, puis la détermination des mesures de mise en conformité qui s’imposent le cas échéant, voire d’actions judiciaires à envisager et enfin, la documentation des mesures adoptées aux fins d’en justifier en cas de contrôle de l’autorité compétente. Nous constatons toutefois qu’en pratique, l’articulation de la mise en œuvre d’enquêtes internes et du RGPD n’est pas toujours aisée. En effet, il s’avère parfois délicat de trouver l’équilibre entre le respect de la vie privée des personnes d’une part, et la nécessité de mener à bien une enquête aux fins de mettre un terme à des comportements inappropriés d’autre part. Ces zones de tension sont particulièrement exacerbées dans trois domaines :
- l’information des personnes et l’accès à leurs données personnelles confrontées à la confidentialité de l’enquête ;
- la détermination de l’étendue de l’enquête au regard du principe de minimisation des données personnelles ;
- et l’appréciation du caractère proportionnel de la durée de conservation des informations, en ce compris des données personnelles, dans le cadre d’une telle enquête.

Concilier confidentialité de l’enquête et droit à l’information des personnes
Chacun dispose du droit à l’information prévu par les articles 13 et 14 du RGPD. Ce droit constitue l’émanation du principe de transparence qui irrigue le RGPD et plus généralement, le droit relatif à la protection des données personnelles. Son objet est de permettre à toute personne d’être informée, par le responsable du traitement, des traitements de données personnelles mis en œuvre à son égard. Cette information porte sur plusieurs éléments, au titre desquels l’identité et les coordonnées du responsable du traitement, les finalités et la base juridique de ce dernier, la durée de conservation des données personnelles collectées, ou encore l’existence du droit de demander au responsable du traitement l’accès auxdites données.
L’enquête interne, quant à elle, s’effectue toutefois le plus souvent de manière confidentielle, soit parce que la loi l’impose (à titre d’illustration, l’identité du lanceur d’alerte doit demeurer secrète aux termes de la loi Sapin 2), soit du fait du caractère sensible du sujet sur lequel porte l’enquête, ou encore pour prémunir l’entreprise contre d’éventuelles destructions de preuve.
La CNIL exige toutefois que la personne mise en cause par une alerte soit informée des faits qui lui sont reprochés et des droits dont elle dispose. Aux termes des articles précités du RGPD, la personne dont les données personnelles (e-mails, messagerie téléphonique professionnelle…) seront exploitées doit être informée au préalable du traitement envisagé et des droits dont elle dispose à cet égard. Dès lors, comment concilier les intérêts en présence ?
S’agissant du risque de destruction de preuves, l’exception prévue à l’article 14.5 b. du RGPD peut utilement être invoquée afin de reporter le moment de l’information des personnes concernées si cette information est «susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement». En tout état de cause, l’obligation d’information ne sera que différée dans le temps. Il appartiendra alors à l’entreprise de procéder à l’information des personnes concernées, et de répondre aux éventuelles demandes de droit d’accès, dès lors que les raisons ci-dessus évoquées ayant permis de repousser le moment de l’information, ne se justifieront plus.
Le RGPD ne prévoit pas d’exceptions similaires s’agissant du droit d’accès aux données personnelles, notamment aux travaux d’enquête qui peuvent faire référence auxdites données. Relevons à cet égard que lorsque ces travaux sont menés par un avocat, le secret professionnel, d’ordre public, devrait pouvoir être opposé selon nous en toutes circonstances. Mais cette question n’a pas, à notre connaissance, été tranchée. C’est également la position retenue par le Conseil national des barreaux dans son guide relatif aux enquêtes internes qui considère que l’exception prévue à l’article 14.5.d. du RGPD, bien qu’elle ne concerne pas directement le droit d’accès mais seulement le droit à l’information, devrait pouvoir permettre à un avocat de ne pas donner suite à l’exercice d’un droit d’accès s’il devait le conduire à violer son secret professionnel.

Le principe de minimisation confronté à l’enquête interne
Au début d’une enquête, il est souvent difficile voire impossible de déterminer quelle sera l’étendue des éléments à collecter et sur quelle période de temps. Il est en outre délicat d’estimer la durée que prendront les travaux. De telles incertitudes paraissent, a priori, difficilement conciliables avec le principe dit de minimisation prévu à l’article 5, c) du RGPD, aux termes duquel les données collectées doivent être «adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées».
En pratique, cela signifie qu’il convient de mettre en place, de manière continue tout au long de l’enquête, un système de vérification de la pertinence et de l’adéquation des données personnelles collectées au regard de la finalité poursuivie par l’enquête. Par exemple, lorsque des faits sont signalés et qu’ils contiennent des données personnelles, que ce soit par le biais d’un dispositif d’alerte ou de toute autre voie (hiérarchique, extérieure, etc.), le responsable du traitement doit étudier les éléments portés à son attention et déterminer ce qui est strictement nécessaire à l’enquête et requiert d’être conservé. Toute donnée personnelle dont il apparaît qu’elle n’est ni pertinente ni adéquate à ce qui est nécessaire au regard des finalités poursuivies par le traitement, en particulier lorsqu’elle est de nature sensible (ex : sur les origines raciales, les croyances religieuses, ou la santé), doit être supprimée immédiatement et de manière définitive, sauf si ces données sont nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice – ce qui peut bien souvent être le cas dans le contexte d’une enquête interne.

L’appréciation du caractère proportionnel de la durée de conservation des informations collectées dans le cadre d’une enquête interne
Les informations collectées dans le cadre d’une enquête, en ce compris les données personnelles, doivent souvent, pour les besoins de ladite enquête, être conservées pendant des durées variables. En effet, il n’est pas inhabituel que des enquêtes se prolongent pendant plusieurs années. Comment donc concilier ce besoin de conservation des données tout au long de l’enquête avec le principe de proportionnalité de la durée de conservation des données personnelles ?
Le raisonnement adopté par la CNIL rejoint celui évoqué ci-dessus au sujet du principe de minimisation des données. Toute donnée dont l’adéquation ou la pertinence n’est plus avérée doit être supprimée. Par exemple, lorsqu’il est mis un terme à une enquête interne car les faits suspectés ne sont finalement pas avérés, les données personnelles collectées à cette occasion doivent être immédiatement supprimées. Dans le cas où les investigations menées dans le cadre d’une enquête interne conduisent à l’ouverture d’une procédure disciplinaire ou contentieuse, la conservation des données personnelles collectées se justifie alors, et ce, jusqu’au terme de ladite procédure.
La réponse est moins évidente quand l’enquête interne se poursuit pendant de longues années sans qu’aucune action, de nature disciplinaire ou judiciaire, ne soit initiée. Il nous semble que le pragmatisme doive, là encore, servir de boussole à l’entreprise qui s’interroge sur la conservation desdites données. Si la destruction de ces données a pour conséquence de mettre à mal une enquête interne, qui, malgré sa longueur, est toujours en cours et progresse, elle ne nous semble pas souhaitable et difficilement justifiable, y compris pour des raisons de protection de la vie privée.
Le recours à l’archivage, et en particulier au système d’archives intermédiaires, est susceptible de constituer une solution acceptable, à la fois protectrice de la vie privée et des données personnelles des personnes concernées, mais également de l’intérêt légitime de l’entreprise à mener à bien une enquête interne.