À l’ère du numérique, les données publiques sont devenues une mine d’or. Recherche de candidats, veille concurrentielle, cybersécurité… l’OSINT (Open Source Intelligence) s’impose comme un outil puissant.
L’OSINT consiste à collecter et analyser des informations disponibles publiquement : réseaux sociaux, sites web, bases de données ouvertes, images, métadonnées… Ces données peuvent être croisées pour reconstituer un profil très précis. Mais derrière cette promesse se cache une réalité souvent ignorée : une donnée accessible publiquement reste une donnée personnelle protégée par le RGPD. Le RGPD ne repose pas sur la notion de “public ou privé”, mais sur :
Une donnée publique reste une donnée personnelle. Le fait qu’une information soit accessible ne signifie pas qu’elle peut être collectée et exploitée librement
1- Les principaux risques juridiques de l’OSINT en RGPD
L’utilisation de l’OSINT dans un contexte professionnel implique nécessairement un traitement de données personnelles au sens du RGPD. Ainsi, collecter des informations issues de sources ouvertes sans base légale constitue une violation du RGPD. C’est notamment le cas lorsque des pratiques de scraping de profils LinkedIn sont mises en œuvre sans finalité précise ou lorsque des entreprises créent des fichiers RH informels à partir de données publiques. En l’absence de finalité déterminée et de base juridique, ces traitements peuvent être requalifiés en traitements illicites, exposant l’organisation à des sanctions de la CNIL.
Le recours à l’OSINT repose souvent sur le croisement de données personnelles issues de différentes sources. Cette pratique peut permettre de révéler des informations sensibles telles que les habitudes de vie, les opinions personnelles, la localisation d’un individu. Même si ces données sont publiques, leur combinaison peut constituer une atteinte disproportionnée à la vie privée, en violation des principes fondamentaux du RGPD, notamment la minimisation et la proportionnalité.
L’utilisation de l’OSINT dans les processus RH constitue un risque majeur de non-conformité au RGPD. Lors d’un recrutement, la consultation d’informations issues des réseaux sociaux peut entraîner des dérives, notamment lorsque l’employeur accède à des données personnelles telles que les opinions politiques, l’orientation sexuelle ou encore la situation familiale du candidat. Ces informations, souvent qualifiées de données sensibles au sens du RGPD, ne doivent en aucun cas être utilisées dans un processus de sélection. De telles pratiques exposent l’entreprise à des risques importants, notamment en matière de discrimination à l’embauche, de contentieux prud’homaux, ainsi qu’à des sanctions administratives prononcées par la CNIL.
2. Transformer un risque en levier de conformité
L’OSINT peut être mobilisé de manière conforme dans plusieurs contextes professionnels, sous réserve du respect des principes de licéité, de proportionnalité et de minimisation des données. Il peut notamment servir à vérifier des informations strictement professionnelles dans un cadre défini, à alimenter des démarches de veille concurrentielle ou encore à renforcer la cybersécurité en identifiant l’exposition de données sensibles accessibles en ligne. Toutefois, certaines pratiques présentent des risques juridiques significatifs. L’utilisation de l’OSINT pour établir un scoring de candidats à partir de leurs profils sur les réseaux sociaux, sans transparence ni base légale appropriée, constitue un exemple fréquent de dérive. De même, la constitution de bases de données dissimulées à partir d’informations publiques ou la mise en place de dispositifs de surveillance excessive des salariés sont contraires aux exigences du RGPD. Ces pratiques peuvent entraîner des sanctions, notamment de la part de la CNIL, ainsi qu’un risque réputationnel important pour les organisations concernées.
La mise en œuvre de démarches d’OSINT en entreprise doit impérativement s’inscrire dans un cadre structuré afin de garantir la conformité au RGPD et de limiter les risques juridiques. Plusieurs bonnes pratiques, directement issues des exigences du règlement et des recommandations des autorités de contrôle, doivent être respectées.
En premier lieu, toute collecte de données issues de sources ouvertes doit reposer sur une finalité clairement définie et légitime. Conformément à l’article 5 du RGPD relatif à la limitation des finalités, les données personnelles ne peuvent être collectées que pour des objectifs précis, explicites et déterminés. À défaut, le traitement est susceptible d’être qualifié d’illégal. Les lignes directrices de la CNIL rappellent que la simple accessibilité publique d’une information ne suffit pas à justifier son exploitation.
Par ailleurs, le principe de minimisation des données impose de ne collecter que les informations strictement nécessaires à la finalité poursuivie. Ce principe, également prévu à l’article 5 du RGPD, est central dans les pratiques d’OSINT, qui reposent souvent sur la tentation d’agréger un grand volume de données. Une collecte excessive ou disproportionnée constitue un manquement fréquent relevé par les autorités de contrôle européennes, notamment le Comité européen de la protection des données.
En outre, toute activité OSINT impliquant des données personnelles doit être documentée dans le registre des traitements, conformément à l’article 30 du RGPD. Lorsque le traitement présente des risques élevés pour les droits et libertés des personnes, une analyse d’impact relative à la protection des données (AIPD) peut également être requise. Cette démarche permet d’anticiper les risques liés au croisement de données et à la réidentification des individus.
L’obligation de transparence et d’information des personnes concernées doit également être prise en compte. Même dans un contexte de collecte indirecte via des sources publiques, l’article 14 du RGPD prévoit que les personnes doivent, dans certains cas, être informées de l’utilisation de leurs données. Cette exigence est particulièrement sensible dans les domaines des ressources humaines ou de la veille nominative.
Enfin, il est essentiel d’encadrer les pratiques OSINT en interne. Cela passe par la mise en place de politiques claires, telles qu’une charte d’utilisation de l’OSINT, la formation des équipes aux enjeux de protection des données et l’intégration de règles spécifiques dans les processus métiers, notamment en RH, marketing et cybersécurité. Les recommandations de l’Agence nationale de la sécurité des systèmes d'information soulignent l’importance de sensibiliser les collaborateurs aux risques liés à l’exploitation des données accessibles en ligne.
Une gouvernance rigoureuse de l’OSINT permet ainsi de transformer un outil potentiellement risqué en levier stratégique, tout en garantissant le respect des exigences du RGPD.
