Notre DRH préparait sa démission en pillant nos bases de données RH : l’enquête qui a tout prouvé — Cas réel

Récit basé sur une affaire réelle traitée par Visiopole Investigations en 2025. Prénoms, secteur d’activité et certains détails ont été modifiés pour préserver la confidentialité des parties. Les éléments factuels, méthodes d’enquête et résultats judiciaires sont authentiques.

Acte 1 — La confiance accordée à la mauvaise personne

Dans une ETI de services informatiques de 320 salariés implantée en Île-de-France, la directrice des ressources humaines — appelons-la Sandrine — occupait un poste stratégique depuis sept ans. Elle avait la confiance totale de la direction. Ses droits d’accès reflétaient cette confiance : l’intégralité des données RH lui était accessible. Fiches de paie de tous les salariés, évaluations annuelles confidentielles, données disciplinaires, classifications des postes et grilles salariales complètes, tableaux de bord RH stratégiques incluant les prévisions de recrutement et les plans de succession.

En janvier 2025, Thomas, le directeur général, est alerté par son DSI d’un signal inhabituel dans les logs du serveur RH : plusieurs exports massifs de bases de données ont été effectués depuis le compte de Sandrine au cours des quatre dernières semaines, vers des supports de stockage externes non répertoriés. Les heures des exports — entre 19h et 21h — correspondent à des plages horaires inhabituelles pour Sandrine, connue pour quitter les bureaux à 17h30.

Thomas convoque discrètement son DSI. La question est simple : est-ce une erreur de manipulation, une sauvegarde maladroite, ou quelque chose de plus préoccupant ? Le DSI ne peut pas répondre sans une analyse plus approfondie — et cette analyse ne peut pas être menée en interne sans risquer d’alerter Sandrine.

C’est l’avocat de l’entreprise qui recommande de mandater un détective privé agréé avant toute décision. La raison est juridique : si la fraude est avérée, le licenciement pour faute grave devra s’appuyer sur des preuves légalement obtenues. Une investigation informatique interne — même bien conduite — pourrait être contestée lors du conseil de prud’hommes si elle ne respecte pas les règles de collecte des preuves numériques.

Acte 2 — Le paradoxe de la fraude interne au niveau de la direction

La fraude interne commise par un cadre de direction est l’une des situations les plus délicates à traiter pour une entreprise. Elle l’est sur le plan humain — la trahison d’une personne de confiance est toujours déstabilisante. Mais surtout sur le plan probatoire.

Sandrine, en tant que DRH, connaissait mieux que quiconque les procédures disciplinaires de l’entreprise. Elle savait précisément ce qui est légal et ce qui ne l’est pas dans la collecte de preuves. Elle savait que l’entreprise ne pouvait pas accéder à ses communications personnelles. Elle savait qu’une fouille de son bureau ou de ses effets personnels sans son accord l’exposerait à une procédure nulle.

« Les fraudeurs les plus difficiles à coincer sont ceux qui connaissent les règles mieux que vous. Un DRH sait exactement ce que vous pouvez faire et ce que vous ne pouvez pas faire. Notre mission était de trouver les preuves dans l’espace légal qu’il lui avait laissé — et il y en avait. »

— Nicolas Bilbao, Directeur de Visiopole Investigations, agréé CNAPS n° AUT-075-2119-11-04-20200762210

Le mandat confié à Visiopole Investigations est précis : documenter l’existence d’une activité professionnelle de Sandrine en lien avec un concurrent, identifier la nature des données exportées dans la limite des sources légalement accessibles, et constituer un dossier exploitable devant le conseil de prud’hommes.

Acte 3 — Neuf jours, deux phases, une vérité documentée

Jours 1 à 3 — L’enquête OSINT : ce que les sources ouvertes révèlent

L’enquêteur commence par une phase OSINT intensive. Toutes les informations collectées sont légalement accessibles au public.

En 72 heures, le tableau se précise nettement :

• Le profil LinkedIn de Sandrine a été mis à jour il y a six semaines. Elle a ajouté discrètement une ligne « Conseil RH indépendant » sous son titre actuel — une mention que seuls ses contacts de second degré peuvent voir, mais qui est accessible via une recherche spécifique.
• Une recherche sur l’INPI révèle la création, trois mois plus tôt, d’une société de portage à son nom, avec comme objet social « conseil en ressources humaines et recrutement de cadres ».
• Cette société de portage est référencée sur le site internet d’un concurrent direct de l’ETI — un cabinet de recrutement spécialisé dans les profils IT — comme « partenaire RH ». La page partenaires du site concurrent mentionne Sandrine par son prénom et son expertise en « gestion des talents dans les ESN de taille intermédiaire ».
• Sur une plateforme professionnelle de mise en relation, Sandrine a publié il y a cinq semaines une offre de mission pour une « prestation de conseil en cartographie des compétences » — une formulation directement issue du vocabulaire interne de son employeur actuel, que l’enquêteur identifie grâce aux documents publics de l’entreprise.

Ces éléments établissent clairement que Sandrine préparait son départ depuis au moins trois mois, qu’elle avait déjà noué des liens actifs avec un concurrent direct, et qu’elle commercialisait ses services en utilisant des connaissances acquises dans le cadre de ses fonctions.

Jours 4 à 7 — L’analyse des empreintes numériques légales

Dans la limite stricte des preuves numériques légalement accessibles, l’enquêteur procède à une analyse complémentaire. Il ne peut pas accéder aux données personnelles de Sandrine ni à ses communications. Mais il peut analyser les traces publiques laissées par les équipements et les connexions sur les systèmes auxquels l’entreprise a légalement accès — les logs du serveur RH, auxquels le DSI a accès dans le cadre de ses fonctions.

L’enquêteur travaille avec le DSI pour structurer et interpréter ces logs de façon à ce qu’ils soient juridiquement exploitables. Les données de logs d’accès du serveur RH appartiennent à l’entreprise — elles peuvent légalement être analysées par un tiers mandaté, à condition que la procédure soit documentée et respecte les droits de la défense de la salariée.

L’analyse révèle :

• 47 sessions d’export sur la période de quatre mois, toutes initiées depuis le compte authentifié de Sandrine.
• Les exports couvrent l’intégralité des données RH : 320 fiches salariales complètes, 8 années d’évaluations annuelles, les données de classification et grilles salariales, les tableaux de bord prévisionnels.
• Les destinations des exports sont deux clés USB non répertoriées dans l’inventaire informatique de l’entreprise, et un service de stockage cloud personnel dont l’adresse IP de connexion est distincte du réseau d’entreprise.
• Le dernier export — complet, incluant les prévisions de recrutement pour l’exercice suivant — date de 72 heures avant l’envoi par Sandrine d’une lettre de démission à Thomas.

Jours 8 et 9 — La construction du rapport

Le rapport d’enquête final — 54 pages — est structuré en deux parties distinctes que l’avocat de l’entreprise exploitera séparément.

La première partie couvre les éléments OSINT : activité professionnelle parallèle de Sandrine, liens avec le concurrent, utilisation du vocabulaire interne propriétaire dans ses offres de service. Elle constitue la base de la qualification de violation de l’obligation de loyauté et de l’obligation de confidentialité.

La seconde partie structure les éléments issus des logs serveur : chronologie des exports, volume des données concernées, destinataires identifiés. Elle constitue la base de la qualification de vol de données et de violation du RGPD par une responsable de traitement.

Acte 4 — Procédure disciplinaire et action judiciaire combinées

Armé du rapport, l’avocat de Thomas enclenche simultanément deux procédures.

La procédure disciplinaire

Sandrine est convoquée à un entretien préalable au licenciement. Elle se présente accompagnée d’un avocat. Lorsque les éléments du rapport lui sont présentés — chronologie des exports, connexions au cloud personnel, activité parallèle documentée — son conseil demande un délai pour « prendre connaissance des pièces ». La procédure suit son cours : licenciement pour faute grave notifié, avec rupture immédiate et sans indemnités.

Sandrine saisit le conseil de prud’hommes. Sa défense s’articule autour de deux axes : la contestation de la légalité de l’analyse des logs, et la négation de tout lien entre les données exportées et son activité parallèle. L’avocat de l’entreprise démontre que l’analyse des logs a été conduite dans le strict cadre des droits de l’employeur sur ses propres systèmes, avec un tiers mandaté agréé. Le rapport Visiopole est déclaré recevable.

Le conseil de prud’hommes confirme le licenciement pour faute grave.

L’action civile en réparation

En parallèle, l’entreprise assigne Sandrine et son nouveau cabinet partenaire devant le tribunal de commerce pour violation du secret des affaires (loi du 30 juillet 2018), concurrence déloyale et violation du RGPD. Le tribunal condamne Sandrine à verser 42 000 € de dommages et intérêts et ordonne la restitution et destruction certifiée de l’ensemble des données extraites.

Une plainte pour vol de données est également déposée auprès du parquet. Elle est en cours d’instruction.

Acte 5 — Trois leçons pour les directions générales

La fraude interne de haut niveau se prépare toujours à l’avance — et laisse des traces OSINT bien avant de laisser des traces internes. La création de la société de portage de Sandrine, son référencement chez le concurrent, ses offres de mission publiées en ligne : tout cela précédait les exports de données de plusieurs semaines. L’OSINT a fourni le contexte qui a rendu les logs serveur interprétables. Sans ce contexte, les exports auraient pu passer pour des sauvegardes maladroites.

La légalité de la collecte de preuves est plus importante que la preuve elle-même. Dans ce dossier, l’entreprise disposait de logs serveur accablants. Mais si l’analyse avait été menée de façon informelle par le DSI sans mandat formalisé, Sandrine aurait pu contester leur recevabilité. La décision de passer par un détective privé agréé, avec mandat écrit et procédure documentée, a transformé des données internes en preuves juridiquement inattaquables.

La vérification des antécédents à l’embauche est la meilleure prévention. Thomas reconnaît aujourd’hui que des signaux existaient lors du recrutement de Sandrine, sept ans plus tôt. Une vérification d’antécédents approfondie sur un poste DRH — qui donne accès aux données les plus sensibles de l’entreprise — est un investissement de 800 à 1 500 € qui peut éviter des dommages de plusieurs dizaines de milliers d’euros.

Pour comprendre le cadre complet des enquêtes en entreprise et les méthodes de constitution de preuves : consultez notre guide complet pour les avocats et les directions juridiques.

Articles et pages en lien

• Détective privé pour entreprise — nos services
• Guide complet : concurrence déloyale et détective privé
• Vérification d’antécédents candidat : prévenir la fraude à l’embauche
• Techniques d’enquête : filature et OSINT
• Preuves numériques : méthodes légales de collecte
• Rapport d’enquête : valeur juridique et structure
• Détective privé pour avocats : stratégie probatoire
• Tarifs détective privé entreprise 2026

FAQ — Fraude interne DRH et détective privé

Un employeur peut-il mandater un détective privé pour enquêter sur sa propre DRH ?

Oui. L’employeur peut mandater un détective privé agréé CNAPS pour constituer des preuves dans le cadre d’une procédure disciplinaire, y compris contre un cadre de direction. Le détective peut analyser les empreintes numériques légalement accessibles (logs serveur appartenant à l’entreprise, sources OSINT publiques) et constituer un rapport recevable devant le conseil de prud’hommes, à condition de respecter les principes de légalité, loyauté et proportionnalité.

L’analyse des logs informatiques d’un salarié par un tiers mandaté est-elle légale ?

Oui, sous conditions. Les logs d’accès aux systèmes de l’entreprise appartiennent à l’entreprise. Leur analyse par un tiers mandaté (détective privé, expert informatique) est légale dès lors que l’employeur a le droit d’accéder à ces données dans le cadre de ses systèmes, que le mandat est formalisé par écrit, et que le salarié peut accéder aux pièces le concernant dans le cadre de la procédure contradictoire. L’usage d’un détective agréé sécurise juridiquement cette procédure.

Quelles sont les sanctions pour un DRH qui exporte des données RH confidentielles avant de partir ?

Sur le plan disciplinaire : licenciement pour faute grave, sans indemnités ni préavis. Sur le plan civil : dommages et intérêts pour violation du secret des affaires (loi du 30 juillet 2018), concurrence déloyale et violation du RGPD. Sur le plan pénal : le vol de données est constitutif d’un abus de confiance (art. 314-1 du Code pénal, jusqu’à 3 ans d’emprisonnement et 375 000 € d’amende) et d’une atteinte à un système de traitement automatisé de données (art. 323-1).

Comment détecter en amont qu’un cadre RH prépare une fraude avant son départ ?

Les signaux d’alerte incluent des exports inhabituels de bases de données (détectables via les logs serveur), la création d’une société personnelle dans le même secteur (vérifiable via INPI/Pappers), des mises à jour suspectes du profil LinkedIn, et des connexions à des heures atypiques depuis des équipements non répertoriés. Une surveillance des logs serveur RH par le DSI, combinée à un mandat de détective privé agréé dès l’identification des signaux, permet d’agir avant que la fraude soit consommée.

Combien coûte une enquête pour fraude interne d’un cadre dirigeant ?

Le coût varie entre 2 000 et 6 000 € HT selon la complexité du dossier et la durée de la mission. L’affaire décrite dans cet article a coûté 3 800 € HT et a permis d’obtenir 42 000 € de dommages et intérêts, plus le licenciement pour faute grave confirmé. La TVA est récupérable par les entreprises assujetties. Devis gratuit sur demande.