Juridique 6 min de lecture

RGPD et enquêteur privé : ce que la CNIL attend en 2026

Intérêt légitime, minimisation, durée de conservation, sous-traitance : les quatre piliers RGPD de l'enquête privée et le risque de rapport irrecevable.

Par Ianis M. — Détective privé agréé CNAPS — Spécialiste contentieux et enquêtes B2B
rgpdcnildetective-priveinteret-legitimesous-traitancedeontologierecevabilite

20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial : c’est l’amende théorique encourue par un opérateur d’enquête qui méconnaîtrait gravement le Règlement général sur la protection des données. Cette menace administrative tient le détective privé dans une tension structurelle. D’un côté, sa mission suppose de collecter de l’information sur une personne sans la prévenir, sous peine de vider la profession de sa substance opérationnelle. De l’autre, le RGPD pose un principe d’information préalable, de minimisation et de transparence. La pratique 2024-2026 a stabilisé une grille opérationnelle en quatre piliers, à laquelle s’ajoute désormais une cinquième exigence devenue cardinale : la conformité RGPD conditionne la recevabilité du rapport en justice, depuis le revirement de l’Assemblée plénière du 22 décembre 2023.

Une tension structurelle, pas un obstacle

L’article 14 du RGPD impose au responsable de traitement, lorsqu’il collecte des données sans les obtenir directement de la personne concernée, de l’en informer dans un délai raisonnable. Cette règle est l’exact opposé de la confidentialité que suppose l’enquête contradictoire. La résolution n’est pas dans une exemption générale — qui n’existe pas — mais dans la mobilisation rigoureuse des dérogations prévues à l’article 14.5 et dans la documentation continue de la légitimité du traitement. La CNIL elle-même a reconnu, dans ses analyses publiques, la spécificité des activités d’enquête licite et le besoin d’un cadre interprétatif adapté.

Quatre piliers structurent la conformité au quotidien.

Pilier 1 — La base légale : l’intérêt légitime sous condition

L’article 6.1.f du RGPD permet de fonder un traitement sur l’intérêt légitime du responsable, à condition que cet intérêt ne soit pas écarté par les droits et libertés fondamentaux de la personne concernée. La CNIL retient un test en trois étapes.

Premièrement, l’intérêt invoqué doit être réel, légitime et déterminé — pas un intérêt vague de « savoir ». Documenter un adultère pour fonder un divorce pour faute, établir une concurrence déloyale pour engager une action en responsabilité, identifier un bénéficiaire effectif réel pour conclure une opération B2B : tous sont des intérêts légitimes caractérisés.

Deuxièmement, le traitement doit être nécessaire — c’est-à-dire qu’aucun moyen moins intrusif ne permet d’atteindre la finalité. C’est la version RGPD du test de proportionnalité que la Cour de cassation applique désormais aussi à la recevabilité de la preuve (voir le détail du revirement 2023).

Troisièmement, l’intérêt du responsable doit être mis en balance avec les droits et attentes raisonnables de la personne enquêtée. Cette mise en balance est documentée par écrit, conservée dans le dossier, et opposable en cas de contrôle CNIL ou de contestation judiciaire.

La base légale n’est pas un slogan ; elle est l’objet d’une note de cadrage rédigée au début de chaque mission, avant toute collecte.

Pilier 2 — La minimisation : périmètre serré, pas de filet large

L’article 5.1.c impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ». Pour un enquêteur, cela exclut la collecte spéculative — celle qui consiste à ramasser toute donnée disponible en espérant qu’elle servira un jour.

Trois pratiques structurent la minimisation :

  • Le mandat délimite le périmètre : objet précis, personnes concernées identifiées ou identifiables, types de données ciblées, exclusions explicites (pas de données de santé sauf justification, pas de données sensibles sauf nécessité absolue documentée).
  • L’enquête s’arrête à la matière utile : une filature documente les sorties pertinentes au but, pas l’ensemble de l’agenda hebdomadaire.
  • Le rapport ne contient que ce qui sert la finalité : les éléments collatéraux observés mais sans rapport avec le mandat sont écartés du livrable et détruits de la base de travail.

La minimisation est l’antithèse du « plus c’est complet, mieux c’est ». Un rapport surchargé d’éléments non pertinents fragilise sa propre recevabilité.

Pilier 3 — La durée de conservation : cinq ans comme repère, pas comme règle absolue

L’article 5.1.e impose de conserver les données « pendant une durée n’excédant pas celle nécessaire au regard des finalités ». Aucun chiffre absolu n’est donné. La pratique converge autour de cinq ans, par référence à plusieurs ancrages cohérents : la prescription quinquennale des actions civiles à l’article 2224 du Code civil, la durée LCB-FT de l’article L. 561-12 du Code monétaire et financier, la durée standard des contentieux prud’homaux.

Cinq ans n’est pas une obligation universelle. Pour une enquête liée à un contentieux fiscal (prescription décennale possible), la durée s’étend ; pour une mission ponctuelle sans suite contentieuse identifiée, elle se contracte. La règle est : durée justifiable, traçable, et documentée dans le registre des traitements (article 30 RGPD) et dans le mandat.

À l’expiration, deux voies : la suppression sécurisée, ou l’archivage anonymisé pour finalité statistique professionnelle si l’anonymisation est techniquement effective.

Pilier 4 — La sous-traitance et la chaîne contractuelle

L’article 28 du RGPD impose un contrat écrit entre le responsable de traitement et son sous-traitant. Pour un détective privé, deux configurations coexistent.

Configuration A — Sous-traitant du donneur d’ordre. L’avocat, l’entreprise ou le particulier qui mandate l’enquête est responsable de traitement ; le cabinet d’enquête est sous-traitant. Le DPA précise : finalité, nature, durée du traitement, catégories de personnes concernées, types de données, obligations de sécurité, conditions d’une sous-traitance ultérieure, sort des données en fin de mission. La CNIL a publié des clauses contractuelles types qui constituent une référence à intégrer au mandat.

Configuration B — Responsable de traitement conjoint. Lorsque le détective conserve une marge d’autonomie professionnelle significative dans le choix des méthodes et des sources, la qualification peut basculer vers un responsable conjoint, au sens de l’article 26 RGPD. Un accord de responsabilité conjointe formalise alors le partage des obligations vis-à-vis de la personne concernée.

La qualification dépend de la réalité contractuelle, pas du libellé. Un mandat qui prétend faire du détective un simple « prestataire » alors qu’il décide concrètement des méthodes ne tient pas en cas de contrôle CNIL ou de contentieux.

La cinquième exigence : la conformité RGPD comme condition de recevabilité

Depuis l’Assemblée plénière du 22 décembre 2023 (n° 20-20.648 et n° 21-11.330), le juge civil applique un contrôle de proportionnalité à toute preuve produite. Une preuve issue d’un traitement de données en violation manifeste du RGPD — base légale absente, collecte disproportionnée, conservation hors délai, absence de DPA — peut être écartée des débats au stade de l’admissibilité, indépendamment de la solidité des constats matériels.

Cette articulation est la nouveauté pratique 2024-2026. La conformité RGPD ne se mesure plus seulement à l’aune du risque administratif CNIL ; elle devient un actif probatoire ou un passif juridique selon que l’enquête s’est ou non astreinte à la grille des quatre piliers. Un rapport d’enquête recevable, tel que nous le décrivons dans notre analyse de ce qu’attend le juge en 2026, incorpore désormais une section de cadrage RGPD documentée.

À retenir

  • L’intérêt légitime (article 6.1.f) est la base légale par défaut de l’enquête privée, sous réserve du test CNIL en trois étapes : intérêt réel, nécessité, mise en balance documentée.
  • L’article 14.5 du RGPD ouvre des dérogations à l’obligation d’information préalable de la personne enquêtée — à mobiliser explicitement et à documenter, pas à présumer.
  • La minimisation (article 5.1.c) exclut la collecte spéculative : périmètre du mandat strict, exclusions explicites, rapport limité à la finalité.
  • La durée de conservation s’aligne en pratique sur cinq ans, par analogie LCB-FT et prescription civile, sauf finalité justifiant un autre arbitrage documenté.
  • Le DPA de l’article 28 est obligatoire entre détective et donneur d’ordre, avec une qualification (sous-traitant ou responsable conjoint) à analyser au cas par cas.
  • Depuis le 22 décembre 2023, la conformité RGPD conditionne la recevabilité judiciaire du rapport : un manquement manifeste peut écarter la preuve, indépendamment de la solidité matérielle des constats.

Pour cadrer une mission en intégrant les exigences RGPD dès le mandat, contactez-nous.

Sources citées

  1. Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) — articles 5, 6, 14 et 28 — EUR-Lex (2016-04-27)
  2. CNIL — L'intérêt légitime : comment fonder un traitement sur cette base légale (2024-01-01)
  3. CNIL — Guide du sous-traitant (article 28 RGPD) (2024-09-01)
  4. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (version consolidée) — Légifrance (2024-01-01)
  5. Cour de cassation, Assemblée plénière, 22 décembre 2023, n° 20-20.648 (contrôle de proportionnalité de la preuve) — Légifrance (2023-12-22)

À propos de l'auteur

Ianis M.

Détective privé agréé CNAPS — Spécialiste contentieux et enquêtes B2B

Fondateur de Détective Company, 10 ans d'enquête en investigation privée. Spécialiste contrefaçon, renseignement d'affaires B2B et investigation numérique (OSINT). Agréments CNAPS AGD-092-2029-01-26-20230827194.

Besoin d'aide ?

Vous avez une question sur votre situation ?

Premier contact gratuit et confidentiel. Nous analysons votre dossier et vous conseillons sur la meilleure approche.

Prendre contact 06 82 36 43 05

Questions fréquentes

Le détective privé est-il responsable de traitement ou sous-traitant au sens du RGPD ?

La qualification dépend de la nature exacte du mandat. Lorsque le donneur d'ordre fixe la finalité (vérifier une suspicion d'adultère, documenter une concurrence déloyale, identifier un bénéficiaire effectif) et délimite les moyens, le détective privé agit en sous-traitant au sens de l'article 28 du RGPD. Lorsqu'il définit lui-même les modalités opérationnelles dans une marge d'autonomie professionnelle significative — choix des heures de surveillance, sélection des sources OSINT, méthodes d'enquête — il bascule en pratique en responsable de traitement conjoint. La CNIL retient une lecture cas par cas, fondée sur la réalité contractuelle. L'option la plus prudente, retenue par les cabinets diligents, est de signer un DPA (Data Processing Agreement) qui formalise les instructions, la finalité et la durée — quelle que soit la qualification finale.

L'enquêteur privé doit-il informer la personne dont les données sont traitées (article 14 RGPD) ?

Le principe est l'information, mais l'article 14.5 du RGPD prévoit des dérogations directement mobilisables par l'enquête privée. La dérogation b — lorsque l'information se révèle impossible ou exige des efforts disproportionnés — est utile pour les recherches OSINT massives. La dérogation d — lorsque les données doivent rester confidentielles au titre d'une obligation de secret professionnel reconnue par le droit — est mobilisée par référence au secret professionnel du détective agréé CNAPS et aux nécessités de l'enquête contradictoire. En pratique, l'information intervient de fait au moment où la personne enquêtée accède au rapport produit dans le cadre d'un contentieux.

Quelle est la durée de conservation acceptable d'un rapport d'enquête et de ses pièces ?

Le RGPD ne fixe pas de durée chiffrée et impose une analyse de proportionnalité (article 5.1.e). La pratique judiciaire s'aligne autour de cinq ans, par analogie avec l'article L. 561-12 du Code monétaire et financier (LCB-FT). Cette durée se justifie par les délais de prescription des actions civiles (cinq ans, article 2224 du Code civil) et la nécessité de pouvoir produire le rapport en cas de contentieux ultérieur. Au-delà, l'archivage anonymisé est possible si une finalité statistique ou de référence professionnelle est documentée. La durée doit être indiquée dès le mandat et le registre des activités de traitement (article 30 RGPD).

Que se passe-t-il si l'enquête est conduite en méconnaissance du RGPD ?

Deux risques cumulatifs. Sur le plan administratif, la CNIL peut prononcer une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83.5 RGPD), précédée le cas échéant d'une mise en demeure et d'injonctions. Sur le plan judiciaire et depuis le revirement de l'Assemblée plénière de la Cour de cassation du 22 décembre 2023, le test de proportionnalité s'applique à l'admissibilité de la preuve : un rapport collecté en violation manifeste du RGPD — sans base légale claire, avec une collecte disproportionnée ou une conservation excessive — peut être écarté des débats malgré la solidité des constats matériels. La conformité RGPD est donc devenue une condition de fait de la recevabilité, et non plus seulement une obligation administrative parallèle.

À lire aussi

Juridique

Violences intrafamiliales : la loi du 18 mars 2024 expliquée

Suspension automatique de l'autorité parentale, retrait total en cas de condamnation : ce que la loi Santiago change pour les enquêtes intrafamiliales en 2026.
Juridique

Preuves « déloyales » et détective privé : le revirement jurisprudentiel 2023-2026 expliqué

Le 22 décembre 2023, la Cour de cassation a opéré un revirement majeur sur l'admissibilité des preuves déloyales. Ce que ça change concrètement pour le rapport d'un détective privé en 2026.
Juridique

Détective privé ou huissier : quelles différences ?

Détective privé ou commissaire de justice (huissier) : rôles, compétences, preuves, tarifs. Guide pratique pour choisir le bon professionnel.
Partager
Contact

Parlons de votre situation

Contact gratuit et confidentiel. Nos experts répondent 24h/24, 7j/7.

Prendre contact 06 82 36 43 05