Enquêtes internes : comment s’y préparer

Comment se préparer au mieux au déclenchement (souvent dans l’urgence) d’une investigation interne ? L’anticipation est le maître mot pour que la contribution de la DSI soit la plus efficace possible. Quelles que soient les raisons (demande d’une autorité, obligation réglementaire, lancement d’alerte…) qui conduisent au lancement d’une investigation interne, celle-ci consiste à reconstituer des faits sur la base des informations dont l’entreprise dispose.

On comprend aisément que, dans ce type de processus, le rôle des directions des systèmes d’information est crucial. Compte tenu du développement actuel des investigations internes, en particulier depuis l’entrée en vigueur de la loi «Sapin II» du 9 décembre 2016 (relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique), de plus en plus de DSI y seront confrontées. Comment se préparer au mieux au déclenchement (souvent dans l’urgence) d’une investigation interne ? L’anticipation est le maître mot pour que la contribution de la DSI soit la plus efficace possible. La connaissance et la gestion des données, la préparation d’une documentation adaptée et les prises de contact avec les intervenants extérieurs font partie des solutions à mettre en place pour faciliter les travaux et limiter les risques d’erreurs, le moment venu.

  1. Réaliser une cartographie des systèmes d’information
    De manière générale, il est fortement préconisé de mettre en place et à jour régulièrement une cartographie des systèmes les plus susceptibles de faire l’objet d’une enquête, notamment :
    • Les systèmes basés sur des custodians (les messageries électroniques, les messageries instantanées, voire les enregistrements téléphoniques dans certains secteurs…).
    • Les systèmes structurés non basés sur des custodians (applications de gestion de transactions…).
    • Les systèmes non structurés (répertoires partagés et systèmes de type Sharepoint ou OneDrive).
    L’entreprise doit, idéalement, être en mesure de préciser sans délai, en cas d’investigation :
    • Quelles sont ses politiques de rétention.
    • Quelles sont les informations qui peuvent être restaurées.
    • Quelles sont les informations qui ont été purgées.
    • Où les données se trouvent.
    • Qui sont les personnes à solliciter pour préserver et/ou collecter les données lorsqu’une enquête se déclenchera.
  2. Mettre en place une gouvernance de l’information
    Sur ce point, concrètement, l’entreprise doit être en mesure de recenser pour chaque salarié ou custodian, les outils de communication mis à sa disposition (chats, e-mails, plus rarement, les audios enregistrés, voire les visioconférences) et qui sont susceptibles d’être analysés. La restauration de ces informations est parfois complexe dans les situations de changements de postes ou d’entités au sein d’un groupe employant ces personnes, car les données peuvent être hébergées en divers endroits et soumises à des législations différentes.
  3. Organiser la gestion des archives
    Les entreprises doivent mettre en place des procédures de purge et des politiques de rétention des données, en conformité avec les dispositions légales applicables (notamment le RGPD). La documentation en amont des politiques de rétention de données et des migrations de systèmes joue un rôle essentiel. Cette documentation sera susceptible d’être produite en justice et pourra démontrer que l’entreprise prend le sujet au sérieux. Au-delà d’un instrument d’organisation interne, elle est donc aussi un élément de défense des intérêts juridiques de l’entreprise.
  4. Connaître les délais et les modalités de restauration
    Ce point est particulièrement crucial dans les situations d’urgence. Si, pour la plupart des outils, cette question ne pose pas de problème, la situation peut s’avérer parfois plus complexe dans l’hypothèse d’une migration, au sein de la période faisant l’objet de l’enquête, avec un risque de déperdition d’information, notamment de métadonnées, dont la préservation est capitale pour une exploitation optimale des données.
  5. Établir des procédures de collecte
    Ces procédures doivent expliciter les rôles respectifs des différents intervenants internes et externes qui seront sollicités pour extraire les données pertinentes. Elles devront accorder une importance particulière à la sécurité technique et juridique des transferts (éventuellement internationaux) et à la documentation de la préservation de l’intégrité des données tout au long du processus d’enquête (chain of custody).
  6. Préparer une documentation relative à la préservation des données
    Sur cet aspect, une collaboration avec la direction juridique sera nécessaire, puisqu’il s’agit d’informer les personnes susceptibles de détenir des données pertinentes de la nécessité de les préserver pour toute la durée de l’enquête (legal hold) et d’être en mesure de documenter cette notification, parfois envoyée à des centaines de personnes lors d’enquêtes complexes.
  7. S’assurer que le règlement intérieur prévoit la possibilité d’une investigation interne
    Les investigations internes sont relativement récentes en France et tous les règlements intérieurs ne prévoient pas de règles pour les sécuriser. L’adaptation en amont des règlements intérieurs, par des spécialistes en droit social et de la protection de données personnelles, permet de faciliter le déroulement des enquêtes.
    Par ailleurs, les entreprises les plus susceptibles de faire régulièrement l’objet d’enquêtes pourront envisager l’opportunité d’investir dans des logiciels dédiés afin de faciliter la gestion des legal holds.
  8. Mettre en place des panels en coopération avec la direction juridique
    La présélection d’avocats et de prestataires spécialisés en eDiscovery, en dehors d’une situation d’urgence, permet une coopération en amont, notamment par le biais de formations ou de simulations qui permettront de s’assurer que le dispositif mis en place est satisfaisant.
  9. Constituer des pistes d’audit
    Il est indispensable, dans un souci de preuve mais aussi d’efficience, que l’entreprise soit en mesure de consigner les démarches entreprises dans le cadre d’investigations internes, dès son origine, afin de pouvoir les justifier auprès des autorités, parfois des années plus tard. Une attention particulière doit donc être accordée à la définition en amont de politiques permettant de documenter précisément ses pistes d’audit.

Cet article a été rédigé pour Best Practices par Julie Thompson, regional director chez Consilio et Jean-Julien Lemonnier, avocat associé au cabinet Stephenson Harwood.


  1. La stratégie : intégrer les enjeux numériques dans le plan stratégique de l’entreprise.
  2. L’innovation : diffuser la culture numérique et promouvoir les technologies innovantes.
  3. Les risques : prendre en compte les risques numériques (technologiques et cyber) dans les enjeux stratégiques et les processus métiers.
  4. Les données : gérer, valoriser et protéger les données de l’entreprise.
  5. L’architecture : aligner l’architecture du SI avec les enjeux stratégiques.
  6. Le portefeuille de projets : optimiser la valeur du patrimoine SI et gérer ses évolutions.
  7. Les projets : maîtriser la réalisation des projets et solutions.
  8. Les ressources humaines : organiser et manager les talents et les compétences.
  9. Les prestataires et fournisseurs : piloter les relations avec les fournisseurs des solutions et services numériques.
  10. Les services : fournir des services numériques conformes aux attentes client.
  11. Le budget et la performance : piloter le budget et la performance du SI.
  12. Le marketing et la communication : valoriser les services et communiquer sur les enjeux technologiques et en situation de crise.

Source : Guide de la gouvernance des systèmes d’information, Afai-Isaca, Cigref, Ifaci.