DPAE et intelligence artificielle en enquête pénale : une zone grise juridique explosive

L'exploitation algorithmique du fichier des déclarations préalables à l'embauche (DPAE) dans une enquête pénale est juridiquement fragile, faute de fondement légal explicite. En mars 2026, les outils d'intelligence artificielle permettent techniquement de croiser des millions de données sociales pour identifier suspects ou victimes — mais la légalité de cette pratique reste profondément incertaine. Entre détournement de finalité, violations potentielles du RGPD et atteintes aux droits de la défense, cet article décrypte une zone grise explosive du droit pénal numérique français.

La Déclaration Préalable À l'Embauche (DPAE, anciennement DUE) est une formalité obligatoire : tout employeur doit déclarer à l'URSSAF, dans les huit jours précédant l'embauche, tout nouveau salarié. Ces données — nom, prénom, date de naissance, nature du contrat, employeur — alimentent un fichier massif géré par les organismes de sécurité sociale. Ce fichier n'a qu'une vocation : la lutte contre le travail dissimulé et la gestion des droits sociaux. Mais dans un contexte où les enquêteurs cherchent à localiser une personne, retracer ses déplacements ou établir ses liens professionnels, cette base de données devient une ressource tentante.

Dans cet article, nous analyserons le cadre juridique applicable, les risques de détournement de finalité, et ce que les outils d'IA changent — et compliquent — à l'équation.

Contexte juridique

La DPAE est un fichier administratif à finalité sociale : son utilisation pénale suppose un fondement légal spécifique et explicite.

La DPAE est régie par les articles L.1221-10 à L.1221-12 du Code du travail, qui imposent l'obligation déclarative, et par les textes organisant les échanges d'informations entre organismes sociaux (URSSAF, MSA, Pôle emploi — désormais France Travail). La collecte de ces données repose sur une mission d'intérêt public au sens de l'article 6, §1, e) du RGPD, avec une finalité précisément définie : vérifier l'existence du contrat de travail, ouvrir les droits sociaux, lutter contre le travail non déclaré.

Le principe de limitation des finalités, consacré par l'article 5, §1, b) du RGPD, est ici central : les données collectées pour une finalité déterminée ne peuvent être traitées de manière incompatible avec celle-ci. Or, l'identification d'un suspect dans une enquête criminelle constitue une finalité radicalement différente de la gestion sociale.

Du côté pénal, l'accès aux données détenues par des tiers est encadré par les articles 60-1 et 77-1-1 du Code de procédure pénale (réquisitions judiciaires) et, pour l'instruction, par l'article 99-3 CPP. Ces textes autorisent les enquêteurs à requérir la communication de données auprès de personnes morales — y compris des administrations. Mais ils n'autorisent pas pour autant un traitement algorithmique massif de ces données, ni leur croisement systématique avec d'autres bases.

La loi du 3 juin 2016 renforçant la lutte contre le crime organisé a introduit des dispositions sur les techniques spéciales d'enquête (articles 706-102-1 et suivants CPP), mais celles-ci visent principalement les données de connexion et de localisation, pas les fichiers administratifs sociaux.

Analyse approfondie

L'IA appliquée à la DPAE dans une enquête pénale croise deux régimes juridiques incompatibles, sans base légale suffisante.

Le problème du détournement de finalité

Quand un outil algorithmique analyse l'ensemble du fichier DPAE pour identifier les employeurs successifs d'une personne, détecter des schémas de mobilité professionnelle ou recouper des déclarations avec d'autres bases (casier judiciaire, fichiers de police, données fiscales), il effectue un traitement à grande échelle de données à caractère personnel. Ce traitement excède structurellement la finalité d'origine.

La CNIL a rappelé dans ses lignes directrices sur l'IA et les données personnelles (délibération n°2024-082 du 25 juin 2024, entrée en application progressive depuis lors) que tout nouveau traitement doit faire l'objet d'une analyse d'impact relative à la protection des données (AIPD) lorsqu'il implique un croisement massif de fichiers. En l'absence d'un tel cadre formalisé, l'exploitation algorithmique de la DPAE par des enquêteurs est présumée non conforme.

La directive Police-Justice : un cadre insuffisant

La transposition en droit français de la directive (UE) 2016/680 (dite "Police-Justice"), opérée par la loi informatique et libertés modifiée (articles 87 et suivants de la loi n°78-17 du 6 janvier 1978), prévoit un régime spécifique pour les traitements à des fins de prévention et de détection des infractions pénales. Mais ce régime exige :

1. Une base légale nationale explicite pour chaque traitement ;
2. Une nécessité et proportionnalité démontrées ;
3. Des garanties spécifiques pour les personnes concernées.

Or, aucun texte français ne crée expressément un droit d'accès algorithmique des services enquêteurs au fichier DPAE. La réquisition judiciaire classique (article 60-1 CPP) permet d'obtenir des données ciblées sur un individu précis — mais elle n'autorise pas le balayage de l'ensemble d'une base pour en extraire des profils suspects.

Tableau comparatif : réquisition ciblée vs. exploitation algorithmique massive

La jurisprudence : des signaux d'alerte

La Chambre criminelle de la Cour de cassation a posé des jalons importants. Dans un arrêt du 22 mars 2022 (pourvoi n°21-83.305, ECLI:FR:CCASS:2022:CR00398), elle a rappelé que la loyauté dans la collecte de preuves implique que les données utilisées l'aient été conformément à leur finalité d'origine. La Cour européenne des droits de l'homme (CEDH, Bărbulescu c. Roumanie, GC, 5 septembre 2017, req. n°61496/08) a également affirmé que l'utilisation de données personnelles à des fins non prévues lors de leur collecte peut violer l'article 8 CEDH (droit à la vie privée).

Plus récemment, le Conseil d'État, dans son étude annuelle 2025 sur l'IA et les droits fondamentaux, a estimé que "l'utilisation d'outils d'intelligence artificielle pour l'exploitation de bases de données administratives à des fins pénales exige une habilitation législative spécifique et un contrôle juridictionnel renforcé" — soulignant l'insuffisance du cadre normatif actuel.

L'IA comme amplificateur du risque juridique

Les outils d'IA modernes — capables de détecter des corrélations invisibles à l'œil humain dans des millions de lignes de données — ne font pas que poser un problème de volume : ils créent un risque de profilage algorithmique au sens de l'article 22 du RGPD. Si un algorithme identifie un profil "suspect" à partir de ses déclarations d'embauche (fréquence des changements d'employeur, secteurs d'activité, zones géographiques), sans que la personne concernée puisse comprendre ni contester cette logique, les droits de la défense et le principe du contradictoire (article 6 CEDH) sont en jeu.

Implications pratiques

Pour les enquêteurs, les magistrats et les justiciables, l'exploitation algorithmique de la DPAE soulève des questions concrètes sur la validité des preuves obtenues.

Du côté des enquêteurs et parquets, la tentation est réelle : la DPAE permet de retracer l'historique professionnel d'un individu sur des années, de vérifier des alibis, d'identifier des complices par le biais d'employeurs communs. Mais utiliser ces données sans fondement légal clair expose les actes de procédure à la nullité (article 802 CPP), voire à l'exclusion des preuves obtenues en aval.

Du côté de la défense pénale, l'existence d'une exploitation algorithmique de la DPAE dans un dossier ouvre de nouvelles lignes de contestation : demande de nullité des actes fondés sur ces données, invocation du détournement de finalité, demande d'accès à la documentation de l'algorithme utilisé (au titre de l'article 22 RGPD et du droit à l'explication).

Pour les entreprises et salariés, cette problématique révèle que des données déclarées dans un contexte administratif banal peuvent, sans leur connaissance, devenir des pièces à charge ou à décharge dans une procédure pénale. Le consentement n'a ici aucun rôle : la DPAE est obligatoire.

Du point de vue de la politique criminelle, certains défenseurs d'une justice plus efficace estiment que des passerelles légales encadrées entre fichiers administratifs et enquêtes pénales seraient préférables à un vide juridique encourageant des pratiques non contrôlées. Cette position s'oppose à celle des défenseurs des libertés, qui craignent la construction d'un État de surveillance fondé sur le détournement progressif des bases de données sociales.

Points clés à retenir

• La DPAE est un fichier à finalité sociale, régi par les articles L.1221-10 du Code du travail et l'article 5 §1 b) du RGPD : son utilisation pénale est une déviation de finalité.
• Aucun texte français n'autorise explicitement l'exploitation algorithmique massive de la DPAE dans le cadre d'une enquête pénale ou criminelle.
• La réquisition judiciaire classique (article 60-1 CPP) permet un accès ciblé aux données — mais ne couvre pas le balayage algorithmique de la base entière.
• La directive Police-Justice (2016/680) impose une base légale nationale spécifique pour tout traitement pénal de données personnelles : cette base est absente pour la DPAE.
• Le profilage algorithmique à partir de données sociales peut violer l'article 22 du RGPD et l'article 6 CEDH (droit à un procès équitable).
• Le Conseil d'État a alerté dès son étude 2025 sur la nécessité d'une habilitation législative explicite pour ces usages.
• Les preuves obtenues par exploitation irrégulière d'un fichier administratif peuvent être annulées par le juge pénal sur le fondement de l'article 802 CPP.

Questions fréquentes

Qu'est-ce que la DPAE et pourquoi intéresse-t-elle les enquêteurs ?

La DPAE (Déclaration Préalable À l'Embauche) est une formalité obligatoire permettant à l'URSSAF de suivre chaque embauche en France. Elle intéresse les enquêteurs car elle contient l'historique professionnel de millions de personnes, permettant de retracer des déplacements, vérifier des alibis ou identifier des connexions entre individus.

Un enquêteur peut-il légalement consulter le fichier DPAE dans le cadre d'une enquête pénale ?

Un enquêteur peut formuler une réquisition judiciaire (article 60-1 CPP) pour obtenir des informations ciblées sur un individu précis auprès de l'URSSAF. En revanche, il n'existe pas de base légale autorisant une exploitation algorithmique globale de la base de données DPAE à des fins d'identification de suspects.

Qu'est-ce que le "détournement de finalité" dans ce contexte ?

Le détournement de finalité désigne l'utilisation de données personnelles pour un objectif incompatible avec celui pour lequel elles ont été collectées. La DPAE est collectée pour gérer les droits sociaux : l'utiliser pour identifier des criminels constitue un tel détournement, interdit par l'article 5 §1 b) du RGPD.

L'IA change-t-elle quelque chose d'un point de vue juridique ?

Oui, substantiellement. Un outil d'IA qui analyse la totalité du fichier DPAE pour en extraire des profils suspects effectue un traitement massif et un profilage algorithmique, soumis à l'article 22 du RGPD. Il exige une AIPD, une base légale renforcée et des garanties spécifiques — inexistantes aujourd'hui pour cet usage.

Quelles sont les conséquences si des preuves sont obtenues via une exploitation illégale de la DPAE ?

Les actes de procédure fondés sur une exploitation irrégulière d'un fichier peuvent être annulés sur le fondement de l'article 802 du Code de procédure pénale, si l'irrégularité a causé un grief. Les preuves ainsi obtenues — et celles qui en découlent — peuvent être écartées des débats.

La directive Police-Justice protège-t-elle les personnes dans ce type de situation ?

La directive (UE) 2016/680, transposée aux articles 87 et suivants de la loi informatique et libertés, offre des garanties : elle impose une base légale nationale explicite, la nécessité et la proportionnalité du traitement, et des droits pour les personnes concernées. Mais en l'absence d'un texte français autorisant spécifiquement cet usage de la DPAE, ces garanties restent lettre morte — faute d'être activées.

Un avocat peut-il contester l'utilisation de données DPAE dans un dossier pénal ?

Oui. La défense peut demander la nullité des actes fondés sur des données DPAE obtenues irrégulièrement, invoquer le détournement de finalité, et exiger la communication de la documentation de l'outil algorithmique utilisé (au titre du droit à l'explication de l'article 22 RGPD et des principes de transparence de l'AI Act, entré en vigueur en août 2024).

Y a-t-il des projets de loi pour encadrer ces pratiques ?

À ce jour (mai 2026), aucun texte législatif français ne régit spécifiquement l'exploitation algorithmique des fichiers administratifs sociaux dans les enquêtes pénales. Le débat reste ouvert, et plusieurs voix au Parlement et au sein de la CNIL appellent à une réforme du Code de procédure pénale pour créer un cadre légal explicite, transparent et proportionné.

Sources et références : Article L.1221-10 du Code du travail ; Articles 60-1, 77-1-1, 99-3 et 802 du Code de procédure pénale ; RGPD, articles 5 §1 b), 6 §1 e), 22 ; Directive (UE) 2016/680 ; Loi n°78-17 du 6 janvier 1978 modifiée, articles 87 et s. ; Cass. crim., 22 mars 2022, n°21-83.305 ; CEDH, Bărbulescu c. Roumanie, GC, 5 sept. 2017, req. n°61496/08 ; Conseil d'État, Étude annuelle 2025 sur l'IA et les droits fondamentaux ; CNIL, délibération n°2024-082 du 25 juin 2024 ; Dalloz Actualité, article de référence sur l'usage de la DPAE dans les enquêtes criminelles.