Enquête interne en entreprise : quels sont vos droits sur vos données personnelles ?
Oui, un salarié visé par une enquête interne conserve le droit d'accéder à ses données personnelles et de s'opposer à leur traitement. Le Conseil d'État l'a rappelé dans une décision du 1er décembre 2025 (n° 498023) : l'enquête interne repose sur l'intérêt légitime de l'employeur, pas sur une obligation légale. Cette qualification change tout, car elle ouvre des droits que l'employeur ne peut pas écarter d'un simple refus.
L'enquête interne ne dispense pas l'employeur de respecter le RGPD
Lorsqu'un employeur ouvre une enquête interne — à la suite d'un signalement, d'une alerte éthique ou de soupçons de harcèlement — il collecte et traite des données personnelles des salariés concernés : courriels, comptes rendus d'entretien, témoignages, documents internes. Ce traitement est soumis au Règlement général sur la protection des données (RGPD, règlement UE 2016/679).
La question centrale est celle de la base légale de ce traitement, c'est-à-dire le fondement juridique qui autorise l'employeur à traiter ces données. Le RGPD en prévoit six (article 6 du RGPD). Deux sont en jeu ici : l'obligation légale et l'intérêt légitime.
TotalEnergies soutenait que l'enquête interne relevait de son obligation légale en matière de santé et de sécurité au travail. Si cette qualification avait été retenue, elle aurait eu une conséquence directe : les salariés n'auraient pas pu s'opposer au traitement de leurs données, car le droit d'opposition prévu à l'article 21 du RGPD ne s'applique pas aux traitements fondés sur une obligation légale.
Le Conseil d'État a rejeté cet argument. L'employeur peut être tenu de diligenter une enquête interne, notamment lorsqu'il est alerté de faits de harcèlement ou de discrimination. Mais le traitement des données personnelles qui en découle ne relève pas, en lui-même, d'une obligation légale au sens du RGPD. Il repose sur l'intérêt légitime de l'employeur (article 6, paragraphe 1, point f, du RGPD).
Cette distinction n'est pas théorique. Elle détermine l'étendue des droits du salarié. Quand le traitement repose sur l'intérêt légitime, le salarié peut exercer son droit d'opposition (article 21 du RGPD), c'est-à-dire demander que ses données ne soient plus traitées en invoquant des raisons tenant à sa situation particulière. L'employeur ne peut refuser qu'en démontrant des motifs légitimes et impérieux qui prévalent sur les intérêts du salarié, ou que les données sont nécessaires à la constatation, l'exercice ou la défense de droits en justice. En pratique, l'employeur doit examiner chaque demande au cas par cas et motiver précisément un éventuel refus. Un refus global et non motivé constitue un manquement au RGPD.
Le droit d'accès du salarié : un refus ne peut être que ciblé et justifié
Le Conseil d'État a également confirmé que le salarié visé par une enquête interne conserve son droit d'accès aux données personnelles le concernant (article 15 du RGPD). Ce droit permet d'obtenir de l'employeur la confirmation que des données sont traitées, la nature de ces données, les finalités du traitement, et une copie des données elles-mêmes.
TotalEnergies avait opposé un refus global aux demandes d'accès des trois salariés concernés. Le Conseil d'État a jugé ce refus contraire au RGPD. L'employeur ne peut refuser l'accès que dans deux hypothèses limitées : si la demande est manifestement infondée ou excessive, ou si la communication des données porterait atteinte aux droits et libertés d'autrui — par exemple, la protection de l'identité de témoins.
Même dans ce second cas, le refus ne peut pas être total. L'employeur doit procéder à une occultation ciblée (masquer les noms des témoins, caviarder les passages identifiants) tout en communiquant au salarié les données qui le concernent directement. C'est l'application du principe de proportionnalité : la protection des tiers ne justifie pas de priver le salarié de tout accès à ses propres données.
Le délai de réponse est d'un mois à compter de la demande, conformément à l'article 12 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité, mais l'employeur doit en informer le salarié dans le délai initial d'un mois en justifiant cette prolongation. Le Conseil d'État a précisé que les règles nationales de prorogation des délais ne permettent pas d'écarter ce délai européen.
Autre point relevé par la décision : le fait que la CNIL n'ait pas répondu dans un délai de trois mois à la réclamation initiale des salariés n'a pas fait naître de droits au profit de TotalEnergies. Le silence de la CNIL ne régularise pas un manquement au RGPD et n'empêche pas l'adoption ultérieure d'un rappel à l'ordre.
Ce que cette décision change concrètement pour un cadre visé par une enquête interne
La portée de cette décision dépasse largement le cas TotalEnergies. Elle fixe un cadre applicable à toute enquête interne en entreprise, qu'elle soit déclenchée par un signalement éthique, une alerte harcèlement ou un dispositif de compliance.
Pour un cadre ou un cadre dirigeant visé par une enquête interne, les enseignements pratiques sont les suivants.
Dès la notification de l'enquête, vous pouvez adresser à votre employeur une demande écrite d'accès à l'ensemble des données personnelles vous concernant dans le cadre de cette enquête, en visant expressément l'article 15 du RGPD. L'employeur dispose d'un mois pour répondre. Un refus doit être motivé et ne peut être que partiel (occultation des éléments portant atteinte aux droits de tiers).
Parallèlement, vous pouvez exercer votre droit d'opposition (article 21 du RGPD) en exposant les raisons tenant à votre situation particulière — par exemple, le caractère disproportionné du traitement au regard des faits reprochés, ou le risque que les données soient utilisées dans une procédure disciplinaire sans que vous ayez pu en prendre connaissance.
Ces droits ont une portée stratégique concrète. Les données collectées lors d'une enquête interne servent souvent de fondement à une procédure disciplinaire (avertissement, mise à pied, licenciement). Si l'employeur a refusé ou restreint abusivement l'exercice de vos droits RGPD, cela fragilise la procédure disciplinaire qui en découle. Un salarié qui n'a pas eu accès aux éléments retenus contre lui est en position de contester la loyauté de la procédure devant le conseil de prud'hommes.
En cas de refus de l'employeur, vous pouvez saisir la CNIL par voie de réclamation. Le Conseil d'État a confirmé que la CNIL peut prononcer un rappel à l'ordre même si elle n'a pas répondu dans les trois mois suivant la réclamation.
Les documents à conserver sont : la notification de l'enquête interne, vos demandes d'accès et d'opposition datées, les réponses (ou l'absence de réponse) de l'employeur, et tout élément attestant du traitement de vos données.
Points clés de la décision du Conseil d'Etat du 1er décembre 2025 (498023) -
- Le traitement de données personnelles lors d'une enquête interne repose sur l'intérêt légitime de l'employeur, pas sur une obligation légale (CE, 1er décembre 2025, n° 498023).
- Le salarié conserve son droit d'opposition (article 21 du RGPD) : l'employeur ne peut le refuser qu'en démontrant des motifs légitimes et impérieux.
- Le droit d'accès aux données personnelles (article 15 du RGPD) reste ouvert : un refus global est illicite, seule une occultation ciblée est admise.
- Un refus abusif de l'employeur fragilise les procédures disciplinaires fondées sur l'enquête.
Notre cabinet accompagne les salariés cadres et cadres dirigeants confrontés à une enquête interne en entreprise, que ce soit en amont (exercice des droits RGPD, accès aux données, stratégie de défense) ou en aval (contestation d'une sanction disciplinaire fondée sur l'enquête). Vous pouvez prendre rendez-vous afin d'obtenir une analyse personnalisée de votre situation et de vos droits.
