Table des matières
L’OSINT (Open Source Intelligence), ou renseignement issu de sources ouvertes, est de plus en plus utilisé dans des contextes variés : enquêtes privées, cybersécurité, veille concurrentielle, ou encore recrutement. Mais dès qu’il s’agit de collecter ou d’utiliser des informations à caractère personnel, le RGPD (Règlement Général sur la Protection des Données) impose un cadre strict. La question centrale est donc la suivante : jusqu’où peut-on aller dans la collecte de données publiques sans enfreindre la réglementation européenne ?
Informations publiques mais données protégées
Une donnée personnelle reste protégée par le RGPD même si elle est librement accessible sur Internet. Par exemple, le nom, la photo, l’adresse email ou le numéro de téléphone d’une personne publiés sur un forum ou un réseau social ne peuvent pas être utilisés sans motif valable. Le caractère public de l’information ne supprime pas les obligations légales liées à sa réutilisation.
La CNIL rappelle qu’il faut un fondement juridique valable pour exploiter ces informations, comme l’intérêt légitime, le consentement, l’exécution d’un contrat ou une obligation légale. Un usage abusif ou détourné peut entraîner des sanctions, même si les données ont été collectées sans piratage.
Consentement et intérêt légitime sous conditions
Le consentement explicite de la personne concernée est l’un des piliers du RGPD. Toutefois, dans le cadre de l’OSINT, ce consentement est rarement recueilli, notamment lors de recherches passives. Il faut alors se fonder sur l’intérêt légitime, une notion juridiquement encadrée.
Mais ce fondement suppose un équilibre entre l’objectif poursuivi et les droits de la personne. Par exemple, une entreprise qui analyse les réseaux sociaux d’un candidat pour évaluer sa réputation doit veiller à ne pas collecter de données sensibles (opinions politiques, orientation sexuelle, appartenance syndicale). À défaut, elle s’expose à des sanctions administratives.
Sanctions prévues en cas de collecte abusive
Depuis son entrée en vigueur en 2018, le RGPD a donné lieu à plus de 2 000 sanctions financières en Europe, représentant plus de 4,5 milliards d’euros d’amendes cumulées (source : enforcementtracker.com, 2024). En France, la CNIL a rappelé à l’ordre plusieurs entreprises pour des usages non encadrés de données récupérées sur le web, y compris dans le cadre d’enquêtes internes ou de veilles sectorielles.
Le montant maximal prévu par le RGPD peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. La gravité de la sanction dépend du volume des données collectées, de leur caractère sensible, et de l’absence de mesures de transparence vis-à-vis des personnes concernées.
Obligations pour les entreprises et les enquêteurs
Toute entité ou personne utilisant l’OSINT de manière professionnelle doit respecter plusieurs obligations :
- Informer les personnes concernées dans les meilleurs délais, sauf exception prévue par la loi
- Limiter la durée de conservation des données collectées
- Garantir la sécurité des informations stockées
- Tenir à jour un registre des activités de traitement
L’utilisation d’outils automatisés de scraping ou de surveillance est particulièrement surveillée. Certains scripts, mal configurés, peuvent récolter massivement des données sans distinction, ce qui constitue une infraction grave au RGPD.
Réseaux sociaux et forums sous surveillance
Même si un profil LinkedIn est public, cela ne signifie pas qu’on peut librement le copier, l’indexer et le conserver dans une base de données interne sans objectif précis. Idem pour les commentaires postés sur Twitter ou les participations à des forums. Dans un arrêt de 2023, la Cour de justice de l’Union européenne a rappelé que l’indexation automatisée de profils sociaux nécessite une justification claire et proportionnée.
Certaines plateformes, comme Facebook ou TikTok, interdisent d’ailleurs dans leurs conditions générales d’utilisation toute collecte de données par des tiers, y compris via des outils d’OSINT. Le non-respect de ces conditions peut aussi entraîner des poursuites contractuelles.