Guide 13 juin 2026 ⏱️ 9 min de lecture

Détective privé et RGPD : monter votre registre avant le contrôle CNIL

Depuis 2022, la CNIL et le CNAPS croisent leurs contrôles sur les cabinets d'enquêtes privées. Un registre des traitements absent ou bâclé entraîne des amendes allant jusqu'à 4 % du chiffre d'affaires et peut justifier un retrait d'agrément. Voici comment construire le vôtre.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

L'article 30 du RGPD impose à tout détective privé de tenir un registre des activités de traitement, quelle que soit la taille du cabinet.
Trois traitements minimum sont à inscrire : enquêtes en cours, prospection commerciale et gestion des sous-traitants.
La base légale principale est l'intérêt légitime (art. 6.1.f RGPD), avec test de mise en balance documenté.
Une cyber-assurance dédiée couvre les conséquences d'une fuite de données du registre ou des dossiers d'enquête.

Pourquoi le détective privé est en première ligne RGPD

L'activité d'enquête privée repose à 100 % sur le traitement de données personnelles : identité, adresse, comportement, photographies, géolocalisation, informations bancaires fournies par le client. Cette nature de traitement, croisée avec le caractère secret de l'investigation, place les ARP dans la catégorie des responsables de traitement à risque élevé au sens du RGPD.

La CNIL et le CNAPS ont signé en avril 2022 un protocole de coopération qui institue un échange systématique d'informations entre les deux autorités. Concrètement : une plainte CNIL contre un ARP est désormais quasi automatiquement transmise au CNAPS, et inversement. Les cabinets qui ont fait l'objet d'un contrôle CNIL en 2023-2024 (au moins 18 contrôles ciblés selon les rapports annuels) ont tous été sanctionnés en cascade par les deux autorités.

Le minimum vital pour passer un contrôle : un registre tenu à jour, un protocole de purge, une information aux personnes concernées et un contrat de sous-traitance pour chaque prestataire informatique.

Les trois traitements à inscrire au minimum

Beaucoup de cabinets pensent à tort qu'un seul traitement "enquêtes" suffit. La CNIL exige une séparation par finalité. Pour un cabinet d'enquête type, trois fiches sont indispensables :

Fiche 1 — Réalisation des missions d'enquête

Finalité : recherche, vérification ou production d'éléments de preuve dans le cadre d'un mandat d'enquête.
Base légale : intérêt légitime du client (article 6.1.f) avec test de mise en balance documenté.
Catégories de données : identité, coordonnées, géolocalisation, photographies, comportement public, relations professionnelles et privées.
Destinataires : client mandant, son conseil juridique, juridictions saisies.
Durée de conservation : 5 ans après la fin de la mission (art. L622-19 CSI), puis suppression ou anonymisation.
Mesures de sécurité : chiffrement des disques, coffre-fort numérique, contrôle d'accès nominatif, journalisation des consultations.

Fiche 2 — Gestion commerciale et prospection

Finalité : démarchage de clients (avocats, entreprises, particuliers), gestion des devis et facturation.
Base légale : intérêt légitime pour la prospection BtoB, consentement pour le BtoC.
Données : nom, prénom, fonction, coordonnées, historique des échanges.
Durée : 3 ans après le dernier contact ou la fin du contrat.

Fiche 3 — Gestion des fournisseurs et sous-traitants

Finalité : suivi des prestataires (hébergeur, expert-comptable, confrères ARP).
Base légale : exécution du contrat.
Données : identité, coordonnées, RIB, attestations professionnelles.
Durée : durée du contrat + 10 ans pour les pièces comptables.

Selon le cabinet, on ajoute une quatrième fiche "ressources humaines" si le cabinet salarie des enquêteurs.

Le test de mise en balance : la pièce maîtresse

L'intérêt légitime est la base juridique de quasiment toutes les enquêtes privées. Mais cette base légale n'est valable que si vous pouvez démontrer un test de mise en balance entre l'intérêt poursuivi et les droits de la personne fichée. La CNIL exige que ce test soit écrit, daté et conservé.

Un test type tient en six rubriques :

Identification de l'intérêt légitime du client (recouvrement d'une créance, défense en justice, lutte contre la concurrence déloyale).
Description du traitement projeté (filature, recherche d'adresse, consultation de sources ouvertes).
Caractère nécessaire et proportionné du traitement.
Identification des risques pour la personne (atteinte à la vie privée, à la réputation, conséquences professionnelles).
Mesures de mitigation (limitation de la durée, des moyens, suppression rapide).
Conclusion motivée : l'intérêt légitime prévaut-il ou non.

Un test rédigé au début de la mission, en moins de trente minutes, vaut largement les semaines de procédure CNIL qu'il évite.

L'information de la personne concernée : une obligation aménagée

Le RGPD impose en principe d'informer la personne dont les données sont traitées (article 14). Mais l'article 14.5.b prévoit une exemption lorsque l'information rendrait impossible ou compromettrait gravement la finalité du traitement — ce qui est par essence le cas d'une enquête privée.

Cette exemption n'est pas automatique. Elle suppose que vous documentiez par écrit :

en quoi l'information préalable rendrait l'enquête inopérante ;
les mesures alternatives prises pour protéger les droits de la personne (information différée, limitation de la durée, droits Y compris d'accès et de rectification une fois la mission close).

Beaucoup d'ARP oublient cette documentation et invoquent l'exemption oralement. C'est la cause de sanction n° 1 lors des contrôles CNIL ciblés.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Sécurité technique : le dossier sensible du contrôle

Le contrôleur CNIL inspecte systématiquement les mesures techniques. Un cabinet d'enquête doit pouvoir démontrer :

Chiffrement intégral des postes (BitLocker sur Windows Pro, FileVault sur Mac).
Authentification forte sur les accès distants (VPN + MFA).
Coffre-fort numérique pour les rapports finalisés, séparé de la messagerie.
Politique de mots de passe (12 caractères minimum, renouvellement annuel, gestionnaire de mots de passe).
Sauvegardes chiffrées (règle 3-2-1 : 3 copies, 2 supports, 1 hors site).
Journalisation des accès aux dossiers d'enquête.
Procédure de gestion des incidents avec notification à la CNIL sous 72 h (art. 33 RGPD).

Une fuite de dossier d'enquête est l'un des sinistres les plus coûteux pour un cabinet : 80 000 € en moyenne entre notifications, expertise forensique, indemnisations et conséquences réputationnelles. La cyber-assurance spécialisée prend en charge ces postes, à condition que les mesures de sécurité minimales soient en place. Sans elles, l'assureur peut invoquer la déchéance pour non-respect des obligations contractuelles.

Le calendrier annuel : 4 rendez-vous pour rester conforme

La conformité RGPD n'est pas un projet, c'est une routine. Un calendrier réaliste pour un cabinet d'enquête :

Période	Action
Janvier	Revue annuelle du registre, mise à jour des destinataires et durées
Avril	Audit des accès informatiques, suppression des comptes inactifs
Juillet	Purge des dossiers de plus de 5 ans (art. L622-19 CSI)
Octobre	Exercice de notification d'incident (test à blanc 72 h)

Quatre demi-journées par an suffisent à entretenir le dossier. Pour un panorama complet du métier, consultez la fiche détective privé.

Questions fréquentes

Suis-je obligé de désigner un DPO ?

Pas obligatoirement. La désignation d'un DPO est obligatoire pour les traitements à grande échelle de données sensibles. Un cabinet d'enquête de taille moyenne n'y est pas tenu, mais la CNIL recommande fortement la désignation d'un référent RGPD interne, formé et identifié dans le registre.

Puis-je conserver indéfiniment les rapports d'enquête "au cas où" ?

Non. Au-delà de 5 ans, la conservation devient illicite, sauf si une procédure judiciaire est en cours et l'impose. La CNIL contrôle systématiquement les dates des dossiers archivés et sanctionne la sur-conservation.

Quel format pour mon registre des traitements ?

Aucun format n'est imposé par la CNIL. Un tableur Excel ou un document Word tenu à jour suffit. L'important est la fiabilité du contenu, la datation des mises à jour et la facilité de présentation lors d'un contrôle.

Mon hébergeur de messagerie est-il un sous-traitant RGPD ?

Oui, dès qu'il traite des données personnelles pour votre compte (mails clients, données de mission). Vous devez signer un contrat de sous-traitance conforme à l'article 28 RGPD avec lui. Les grands hébergeurs (Microsoft 365, Google Workspace, OVH) proposent ces clauses standard à signer en ligne.

Que faire si un ancien filaturé me demande l'accès à son dossier ?

Vous devez répondre dans un délai d'un mois. L'accès peut être restreint (art. 23 RGPD) pour protéger les droits du client mandant et la confidentialité de l'enquête, mais le refus doit être motivé. Conservez la trace de la demande et de la réponse : c'est un grand classique des contrôles CNIL.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Détective privé — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Détective privé →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.