Les enquêtes internes à l’heure des nouveaux défis

BLR n° 51 – 12/06/2025

Photo de couverture : l’une des tables rondes du Global Anticorruption & Compliance Summit 2025

Face à la multiplication des réglementations et à l’évolution technologique, les entreprises doivent repenser leurs approches d’investigation. L’enquête interne, jadis perçue comme un simple outil de gestion des crises, soulève aujourd’hui des questions fondamentales : constitue-t-elle un facteur de risque supplémentaire ou demeure-t-elle indispensable à une gouvernance efficace ? Parallèlement, l’intégration des dispositifs d’alerte et des résultats d’enquête dans les stratégies anticorruption transforme la prévention des risques. Enfin, l’intelligence artificielle promet de révolutionner les pratiques d’investigation, mais à quel coût et avec quelles garanties ? Ces enjeux redéfinissent les contours de la compliance moderne. Retour sur trois conférences qui ont animé le GACS, journée dédiée à la compliance et l’anticorruption, qui s’est déroulé le 10 avril dernier sous l’égide des Business & Legal Forums.

Enquêtes internes : atout stratégique ou bombe à retardement ?

Dans un contexte de montée en puissance de la justice négociée, l’enquête interne s’impose comme un mécanisme incontournable pour les entreprises. Longtemps considérée avec méfiance, elle représente aujourd’hui un enjeu majeur de gestion des risques et de conformité.

« L’enquête interne peut faire peur », reconnaît Uriel Goldberg, associé (Finexsi). « Avant on pouvait prétendre ne pas savoir. Avant il y avait même la possibilité pour l’entreprise de se porter en tant que victime. Ce temps est révolu. »

Cette évolution s’explique notamment par l’évolution du cadre législatif. Comme l’explique Laurence Ballone-Burini, directrice juridique d’Eiffage Construction : « Tout a changé depuis la loi Sapin II, si ce texte n’oblige pas à mettre en place un dispositif d’enquête interne, ce dernier accompagne logiquement l’obligation de mettre en place un dispositif pour les signalements. »

L’enquête interne consiste en une investigation au sein d’une organisation pour rechercher des faits constituant une possible violation d’une norme interne ou externe. Ses objectifs sont clairs : établir les faits (à charge et à décharge) et les qualifier juridiquement, même si cet exercice s’avère complexe car « faits et qualifications peuvent évoluer dans le temps de l’enquête », souligne Vincent Filhol.

Pour Olivier Catherine, secrétaire général de Sonepar, « le principal facteur déclencheur reste le signalement, qu’il soit interne ou externe ». Cependant, il relève qu’«une minorité des alertes sont confirmées par l’enquête, beaucoup d’entre elles portant sur des sujets RH, davantage que d’intégrité.» La question de la recevabilité du signalement se pose systématiquement. « Une enquête est toujours ouverte, sauf si le signalement est manifestement grotesque ou imprécis », précise-t-il. Cette approche reflète la nécessité de donner de la crédibilité au dispositif : « Il faut que l’enquête soit perçue comme impartiale, appliquée de manière équitable, sans favoriser l’entreprise ou quiconque. »

L’enjeu de gouvernance est central. Olivier Catherine insiste sur l’importance d’ « inscrire ces principes dans le code de conduite, mais surtout dans les procédures de conformité ». Il faut « documenter en interne les étapes du processus, en respectant la confidentialité, la présomption d’innocence et les droits de la défense ».

La constitution de l’équipe d’enquête revêt une importance particulière. Laurence Ballone-Burini recommande plus d’une personne « sans toutefois être trop nombreux pour préserver l’efficacité ou encore les biais d’opinion ou d’affinité ». Elle met en garde contre les limites des équipes internes : « les « enquêteurs internes » n’ont pas les compétences des professionnels, or le sujet mérite les plus grandes précautions. »

Le recours à des prestataires externes présente des avantages spécifiques. Comme l’explique Olivier Catherine : « En cas de CJIP, l’intervention d’un prestataire externe permet d’apporter une plus grande force probante aux conclusions de l’enquête, grâce à l’indépendance de l’acteur impliqué. »

Vincent Filhol précise les cas nécessitant une intervention externe : « Si la mise en cause est un membre du comité exécutif ou plus généralement, une personne ayant des responsabilités particulières au sein de l’entreprise, il est délicat de mener l’enquête uniquement en interne. » Pour « des faits graves, sensibles, ou mettant directement en jeu la responsabilité de la personne morale », faire appel à des avocats est fortement recommandé. En outre, le cadre imposé par l’intervention d’un cabinet d’avocats (donc extérieur à l’entreprise), et les garanties liées à la déontologie des avocats, peuvent contribuer à une « solennité, une légitimité, et une neutralité toutes propices à l’efficacité des investigations », selon Vincent Filhol.

Géraldine Hivert de Grandi, VP group litigation chez Thales, insiste sur l’importance d’anticiper : « Il faut réagir dans un délai raisonnable, surtout lorsqu’il s’agit d’une enquête ou d’un signalement sur un sujet important. » Elle met en garde : « Si une autorité coercitive intervient sur les mêmes faits, on ne pourra pas se justifier en disant : « J’avais l’intention, mais pas tous les éléments… » »

La question de la restitution au lanceur d’alerte divise les experts. Laurence Ballone-Burini préconise que « le lanceur d’alerte puisse avoir accès aux principaux éléments de l’enquête et de sa conclusion », ne serait-ce que parce qu’il a la faculté également de poursuivre ses révélations auprès d’autorités externes, dans ce cas la confiance à son égard doit être mesurée. Evidemment, il faudra prendre des précautions sur la communication.

À l’inverse, un autre praticien se montre plus prudent : « Une simple phrase est communiquée, indiquant si les faits ont été avérés ou non », par crainte de « mettre en lumière des zones de vulnérabilité de l’entreprise ».

L’enquête interne représente un défi majeur pour les entreprises. Uriel Goldberg résume parfaitement ce dilemme : « Une enquête interne mal menée peut constituer un risque réputationnel. À l’inverse, ne pas enquêter peut-être encore plus préjudiciable. »

Cette nouvelle donne impose aux entreprises de développer une approche structurée, méthodique et courageuse. Comme le souligne Géraldine Hivert de Grandi, il faut « du discernement, du courage, travailler en équipe » et « faire passer les idées de manière pédagogique au management ». L’enquête interne n’est plus une option mais un impératif stratégique qui demande expertise et vigilance.

Anticorruption : quand l’alerte devient un outil de prévention

Comment transformer les alertes et contentieux passés en véritables outils de prévention des risques ? Après huit ans de mise en œuvre de la loi Sapin 2, les praticiens font le bilan sur ce volet parfois négligé des dispositifs anticorruption.

Autre illustration, l’AFA a récemment publié une centaine de chroniques de jurisprudence inédites, complétées par une étude portant sur 504 décisions de justice rendues en 2021 et 2022. Ces publications, mises en perspective avec le bilan annuel 2024 du Parquet national financier et 59 conventions judiciaires d’intérêt public (CJIP), méritent d’être exploitées dans les travaux de cartographie des risques de corruption.

A cet égard, il convient tout d’abord de prendre en compte la documentation disponible en source ouverte. Par exemple, l’entreprise peut mettre en place une veille concernant les conventions judiciaires d’intérêt public au travers de publications envoyées à tous les opérationnels. L’objectif est d’analyser cette mine d’informations que constituent les CJIP quant aux scénarios de corruption et aux mesures de prévention.

Les praticiens saluent ces publications tout en suggérant que les autorités s’assurent périodiquement qu’elles restent compatibles avec les secrets des affaires et le principe du « droit à l’oubli ». A cet égard, Renaud Jaune, Senior Counsel chez Baker McKenzie et ancien Sous-Directeur de l’AFA rappelle que cette préoccupation ne s’était pas posée lors des premières publications de CJIP sur le site de l’AFA, mais qu’elle pourrait désormais être intégrée dans les réflexions de l’agence.

L’AFA assume pleinement sa mission de transparence. Pour Bolly Phum, adjoint à la cheffe du département de contrôle des acteurs économiques à l’AFA, « l’objectif pour l’entreprise visée par une CJIP est de transformer cette expérience comme une opportunité : levier pour rassurer ses partenaires et se positionner comme une entreprise exemplaire ». Il recommande de « valoriser les labels et certifications de contrôle continue » et d’utiliser la CJIP comme « levier pour actionner des changements radicaux au sein de l’entreprise ».

L’analyse des publications révèle deux tendances préoccupantes selon l’AFA : « les entreprises n’ont pas toujours des cartographies qui reflètent la réalité » et doivent accentuer la « collaboration entre les départements, plus particulièrement département Juridique / Conformité / Sûretés ». Bolly Phum insiste : « la direction de la conformité doit avoir accès aux incidents sûretés.»

L’utilisation de données publiques suppose une volonté réelle de s’approprier la législation anticorruption. Or, selon les autorités, cette volonté fait parfois défaut. Bolly Phum observe que « ces publications sont souvent traitées en actualités au sein des entreprises et ne sont pas transformées en un outil de mise à jour des dispositifs, notamment pour la cartographie des risques de corruption. »

Autre axe de travail sur lequel les praticiens s’accordent : mettre en place intelligemment les obligations de conformité et non pas de manière mécanique. François Gassmann, responsable conformité dans une société prestataire de services d’investissements, relève l’intérêt de conduire sérieusement le contrôle des cadeaux et invitations, car ce processus peut comporter des informations importantes pour la prévention. On peut ainsi procéder à une « analyse date à date dans la fiche de contrôle avec mention du pourcentage de non-répondants ». De même, un praticien affirme qu’il mise sur la signature d’une déclaration annuelle d’engagement éthique renforcée : « si on ne récolte pas 100% des signatures, relancer, ne pas lâcher ». Cette méthode vise à garantir l’absence de conflit d’intérêt et donc l’occurrence de risques.

Enfin, les praticiens s’accordent à considérer que les dispositifs d’alerte apportent des informations utiles sur les fragilités internes à l’organisation. Sur ce point, un expert souligne l’importance d’opérer avec sérieux même si certaines semblent abusives. La réponse, dans ce cas, consiste à effectuer un traitement diligent afin de filtrer les seules alertes sérieuses : « qui dit alerte abusive, dit traitement plus rapide que les autres », ce qui permet d’éliminer les fausses alertes.

Du côté des autorités publiques, les praticiens sollicitent des clarifications. Ainsi, depuis la transposition de la directive Lanceurs d’alerte en 2022, un débat s’est fait jour sur l’étendue des obligations qui s’appliquent à l’intérieur des groupes et sur la compatibilité de ces règles avec celles issues de l’article 17 de la loi Sapin 2. Renaud Jaune propose de sortir de ce débat par le haut, en mutualisant les procédures de traitement des alertes, quitte à opérer sur une base anonyme lorsque l’instance de traitement appartient à une autre entité juridique du groupe : « Evidemment, cette solution n’est pas la plus efficiente pour nos clients : l’idéal serait que les autorités règlent une fois pour toutes les discordances entre la directive Lanceurs d’alerte et la volonté exprimée dans la loi Sapin 2. Mais il faut reconnaître que c’est une solution efficace sur le plan opérationnel, en ce sens qu’elle atteint l’objectif de se doter d’un dispositif d’alerte interne unique tout en respectant l’anonymat des données.»

En définitive, le sujet nécessite un engagement fort des instances dirigeantes. C’est ce que souligne François Gassmann en insistant sur « la nécessité d’une relation privilégiée avec les instances dirigeantes avec pour objectif de permettre au département Conformité d’apporter le meilleur conseil ». Ce qui implique d’éviter le « manque d’informations sur les tenants et aboutissements du dossier ». C’est dire que l’accès à l’information et sa bonne exploitation restent les deux facteurs clés de succès.

Intelligence artificielle et conformité : entre promesse d’efficacité et impératif de vigilance

À l’heure où les flux d’informations explosent et où les exigences réglementaires se complexifient, l’intelligence artificielle s’impose progressivement comme un outil incontournable dans la conduite des enquêtes internes et judiciaires.

Selon une étude FTI Consulting auprès de plus de 200 directeurs juridiques, 44% déclarent déjà avoir recours à l’IA de façon récurrente, en particulier pour la gestion documentaire, la gestion des risques, la détection de fraudes, ou encore la veille réglementaire. Des outils prometteurs pour améliorer l’efficacité et réduire les coûts, mais qui suscitent encore des réserves concernant la perte de contrôle, la confidentialité et la sécurité des données.

Ce qui change aujourd’hui, c’est la montée en puissance des IA génératives capables d’analyser en quelques secondes des volumes de données massifs, autrefois inexploitables dans des délais raisonnables. « L’IA est un outil extrêmement puissant qui peut permettre de réduire considérablement les délais de traitement des enquêtes internes, mais il doit être manié avec prudence », a averti Philippe Mettoux, directeur juridique du groupe SNCF. Le groupe ferroviaire a développé un outil de type ChatGPT en interne, cloisonné par des « murailles de Chine » pour garantir la protection des informations sensibles.

Chez Bouygues, Pascale Chancel estime que « l’IA offre un impact positif pour gagner en temps et en efficacité, notamment dans le traitement de données non structurées », tout en rappelant que « cela reste un outil d’aide à la décision uniquement ».

À La Banque Postale, les équipes multiplient les proof of concept pour accroitre l’efficacité et la couverture des risques de non-conformité. Des couches d’IA sont mobilisées pour mieux cibler les investigations, traquer les anomalies, effectuer des synthèses ou développer des analyses par mots-clés.

Si cette phase amorce la première révolution dans les méthodes de travail de la conformité, un point devient évident : à ce stade de l’IA, la vérification humaine reste indispensable. « La confiance n’exclut pas le contrôle », rappelle Jaques Sudre de La Banque Postale. L’art du prompt et la capacité à challenger les résultats générés par l’IA vont devenir désormais des compétences-clés pour les collaborateurs.

Du côté du Parquet national financier, Jérôme Simon, premier vice-procureur financier souligne que « l’utilisation de l’IA fait encore l’objet de réflexions dans trois domaines d’application identifiés : l’exploitation de données, l’analyse multilingue dans le cadre de contentieux internationaux, et la retranscription automatisée. » Sur la recevabilité des résultats d’IA dans le cadre d’une enquête interne, le principe reste que « la preuve est libre, sauf preuve déloyale », à condition de respecter les principes de transparence et du contradictoire. « L’utilisation de l’IA impose d’être encore plus rigoureux et transparent sur la méthodologie utilisée et son explication. » ajoute Thomas Sely, managing director, ediscovery & forensic technology chez de FTI Consulting.

L’exemple de la SNCF d’un détournement de fonds publics illustre bien le potentiel des IA dans le traitement rapide et ciblé de données. Mais cette efficacité ne doit jamais occulter les garde-fous juridiques. Comme l’a rappelé Cyril Naudin, head of investigation and compliance (FTI Consulting), « l’IA ne répond qu’à des instructions, elle peut donc intégrer des biais selon ses source. La maitrise et la qualité des prompts sont des étapes indispensables dans l’utilisation de l’IA dans les enquêtes et investigations ».  L’intégration de l’IA dans les enquêtes internes et judiciaires ne pourra pleinement porter ses fruits qu’à une condition : rester au service d’une justice humaine, transparente et contradictoire.

NB : Cet article, rédigé par Florence Henriet,, n’aurait pu voir le jour sans les contributions précieuses de Candice Zimmermann, directrice juridique et conformité, co-responsable de la commission managers juridiques (AFJE) de Coline Fortuna, étudiante à l’École de Guerre Économique, en Master 2 Stratégie et Intelligence Juridique et de Marie-Astrid d’Evry, directeur de la valorisation éditoriale et directeur de la rédaction, LEXIS NEXIS.

Créés en 2008, les Business & Legal Forums ont pour ambition d’accompagner les dirigeants des entreprises, les représentants des pouvoirs publics, des ONG et des conseils souhaitant réfléchir, identifier et « benchmarker » leurs pratiques professionnelles pour tendre vers toujours plus d’éthique et de performance.  Avec plus 6 000 participants et 400 tables rondes à son actif, les Business & Legal Forums invitent à explorer le champ des possibles. Tout savoir et participer aux prochaines rencontres