OSINT et RGPD : comment les réconcilier ?

16/7/2025
Tous les guides
📚 Notions de base

Avez-vous déjà tapé un nom dans Google, pour voir ce qui ressort. Ne serait-ce que le votre ? Si oui, alors vous avez initié, sans nécessairement le savoir, ce qu'on appelle l'OSINT : l'Open Source Intelligence. Une terminologie un peu barbare pour décrire une pratique simple : collecter des renseignements sur une source accessible (ouverte).

Mais que se passe-t-il, lorsque les informations que vous pourriez collecter avec cette méthode, sont des données personnelles vis à vis du RGPD ? Par exemple, les profils LinkedIn, photos sur Instagram, ou ancienne photo de classe sur Copains d'Avant ...

Cette pratique est un classique dans les entreprises, notamment lors des recrutements par exemple, pour découvrir ce que le web détient sur un potentiel candidat.

Ce guide vous décrira comment faire de l'OSINT tout en respectant au mieux le RGPD. Car, contrairement aux idées reçues, ce n'est pas parce que c'est dans le domaine public que le concept de données personnelles disparaît !

Points clés à retenir

  • L’OSINT (Open Source Intelligence) doit respecter strictement le RGPD lors de la collecte et du traitement de données personnelles
  • Le règlement européen s’applique même aux données publiquement accessibles sur Internet
  • Les principes de licéité, minimisation et limitation de finalité encadrent toute activité OSINT
  • La CNIL recommande un cadre contractuel clair entre responsable de traitement et sous-traitant OSINT

Qu'est-ce que l'OSINT ?

L’OSINT, ou renseignement d’origine source ouverte, désigne une méthode de collecte et d’analyse d’informations issues de sources accessibles au public. Cette pratique exploite une vaste gamme de sources : réseaux sociaux (LinkedIn, Instagram, Facebook X, ...), sites web, forums, bases de données publiques, publications en ligne, et bien d’autres ressources disponibles en libre accès.

Le processus OSINT suit la démarche :

  1. on identifie des sources pertinentes,
  2. on collecte manuellement ou automatiquement des données, notamment personnelles,
  3. on filtre
  4. puis on analyse pour produire un renseignement exploitable. Les professionnels utilisent cette méthode dans des domaines variés : recrutement, cybersécurité, veille concurrentielle, due diligence, ou encore investigations internes.

La différence entre une donnée ouverte et une donnée publique

L’un des enjeux majeurs du respect de la protection des données personnelles lorsque l'on pratique l' OSINT réside dans la compréhension de la différence entre données accessibles et données publiques au sens juridique. Une information trouvable sur un réseau social ou un site web n’est pas nécessairement une donnée publique exemptée de protection.

Le RGPD s’applique dès qu’une donnée permet d’identifier, directement ou indirectement, une personne physique - peu importe sa disponibilité sur internet. En d'autres termes : même si une donnée personnelle (d'un européen) est disponible librement sur le web, le RGPD s'applique à toute entreprise qui en fait un traitement (comme, par exemple, sa collecte).

Quel est le cadre juridique du RGPD qui s'applique à l’OSINT ?

Tout d'abord, en tant que responsable de traitement, il vous faut une base légale pour réaliser un traitement. Dans le cadre de l'OSINT, 3 des 6 bases légales du RGPD pourraient être pertinentes :

  1. L’intérêt légitime constitue le fondement le plus fréquemment invoqué pour les activités de renseignement en sources ouvertes. Cette base légale permet de traiter des données personnelles lorsque l’intérêt poursuivi ne porte pas atteinte de manière disproportionnée aux droits et libertés des personnes concernées.
  2. Le consentement peut s’appliquer dans certains cas spécifiques, notamment lorsque les données sont collectées directement auprès des personnes concernées dans le cadre d’une recherche ou d’une enquête ouverte.
  3. L’obligation légale trouve son application lorsque l’OSINT est menée dans le cadre de missions officielles ou de obligations réglementaires spécifiques, particulièrement pour les organismes publics ou les entreprises soumises à des exigences de conformité sectorielles.

La proportionnalité lorsque l'on parle d'intérêt légitime

L’utilisation de l’intérêt légitime impose la réalisation d’un test de proportionnalité rigoureux. Ce processus en trois étapes évalue :

  1. La légitimité de l’intérêt : l’objectif poursuivi doit être réel, présent et suffisamment défini
  2. La nécessité du traitement : aucun moyen moins intrusif ne doit permettre d’atteindre le même objectif
  3. L’équilibre des intérêts : l’intérêt légitime ne doit pas porter atteinte de manière excessive aux droits fondamentaux des personnes

Cette analyse doit être documentée et régulièrement réévaluée, particulièrement lors de changements dans la finalité ou l’ampleur du traitement.

L'obligation de transparence

Le RGPD est aussi synonyme d'obligation de transparence. Cela peut s’avérer complexe en contexte OSINT. En effet, cela sous-entend que les personnes dont les données sont traitées doivent, dans la mesure du possible, être informées de ce traitement. Cette exigence est un donc un véritable défi pour trouver l'équilibre entre proportionnalité et transparence !

Le reste du RGPD s'applique aussi !

Bien entendu, toutes les autres obligations dans le cadre d'un traitement de données à caractère personnel s'appliquent :

  • Êtes vous responsable du traitement (RT) ou sous-traitant (ST) ? Pour rappel, le RT détermine les finalités et les moyens du traitement. Il porte la responsabilité principale de la conformité RGPD et doit s’assurer que son sous-traitant respecte le règlement. Le ST OSINT, quant à lui, traite les données personnelles pour le compte du responsable, selon ses instructions documentées. Il a des obligations propres en matière de sécurité et de confidentialité.
  • N'oubliez pas de documenter cette activité dans votre registre de traitements (avec la finalité, les destinataires, les sous-traitants, la base légale bien entendu, les durées de conservation ou encore les mesures de sécurité).
  • Les droits des personnes concernées par votre démarche d'OSINT s'appliquent également (rectification, effacement, opposition, etc.)

Quelques cas concrets

Recrutement

Vous recrutez ? Et vous consultez systématiquement les profils LinkedIn des candidats ? Normal. Mais ça reste un traitement. Vous devez :

  • Informer le candidat (charte recrutement, politique RH, etc.)
  • Limiter les recherches à ce qui est pertinent pour le poste
  • Ne pas chercher sur les réseaux à vocation privée (Instagram, Facebook)
  • Ne pas collecter de données sensibles (opinions, orientation, etc.)

Conseil DPO : Documentez la procédure dans votre registre, formez vos RH, et n’oubliez pas la transparence dans les mentions d’information.

SOCMINT : surveiller les réseaux sociaux des salariés ? Dangereux terrain

Analyser ce que vos salariés publient publiquement sur les réseaux sociaux pour protéger la réputation de votre marque ? Tentant. Mais dangereux.

  • Pas de surveillance permanente : ce serait disproportionné
  • Informer les salariés que cela peut arriver ponctuellement
  • Interdiction absolue des faux profils ou de l’accès à des comptes privés
  • Risque juridique avéré : la jurisprudence allemande sanctionne même des recherches SOCMINT sans information du candidat

Veille stratégique : ce que vous pouvez (et ne pouvez pas) faire

La collecte d’infos sur vos concurrents, partenaires, marchés... fait souvent partie du quotidien. Tant qu’elle concerne des sociétés ou des personnes morales, vous respirez. Mais dès que vous notez des noms, CV, coordonnées, publications personnelles : RGPD.

Checklist DPO :

  • Précisez la finalité (veille, benchmark, partenariat)
  • Limitez la portée aux données utiles
  • Mentionnez la pratique dans la politique de confidentialité si besoin
  • Ne touchez jamais à des données issues de fuites ou de sources illégales

OSINT et e-réputation : due diligence ou curiosité mal placée ?

Avant de signer avec un influenceur, un freelance, ou un fondateur, vous vérifiez sa réputation ? Classique. Mais encadré.

  • Collecte autorisée si finalité claire : éviter un bad buzz, OK
  • Pas de fichage permanent ou secret
  • Sources professionnelles uniquement de préférence
  • Information recommandée en cas de contractualisation

Astuce : consignez les sources et les motifs d’exclusion pour justifier une décision en cas de recours (droits d’accès, rectification).

Conclusion : OSINT + RGPD = Possible (mais sous condition)

Non, le RGPD ne tue pas l’OSINT. Il l’oblige à être éthique, cadré, et proportionné. En somme, il transforme le chercheur en veilleur responsable. Pour les DPO, c’est une belle opportunité de sensibiliser leurs équipes à des usages de plus en plus fréquents, tout en rappelant que l’accès public n’efface jamais les droits fondamentaux.

Alors, la prochaine fois que vous ferez une recherche OSINT, posez-vous cette question : « Est-ce que je suis à l’aise pour en parler au principal concerné ? » Si la réponse est oui, vous êtes sur la bonne voie.

Foire Aux Questions (FAQ)

L’OSINT est-elle soumise au RGPD même sur des données publiques ? Oui, dès qu’il y a traitement de données personnelles, le RGPD s’applique indépendamment de leur caractère public. Une donnée accessible sur internet n’est pas automatiquement exemptée de protection.

Quelle base légale utiliser pour justifier un traitement OSINT ? L’intérêt légitime est généralement privilégié pour les activités professionnelles d’investigation et de veille. Le consentement ou l’obligation légale peuvent aussi s’appliquer selon le contexte spécifique de la mission.

Combien de temps peut-on conserver des données collectées en OSINT ? La durée doit être strictement proportionnée à la finalité poursuivie. Généralement, elle se limite à la durée de la mission plus le délai de prescription applicable, sauf obligation légale de conservation plus longue.

Comment gérer une demande d’opposition d’une personne enquêtée ? Il faut évaluer si l’intérêt légitime poursuivi l’emporte sur les droits de la personne. Sans motif impérieux légitime, le traitement doit cesser. Cette évaluation doit être documentée et motivée.

Les métadonnées d’images sont-elles considérées comme des données personnelles ? Oui, si elles permettent d’identifier directement ou indirectement une personne physique. Les données GPS, la date, l’appareil utilisé peuvent constituer des données à caractère personnel selon le contexte.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Tout savoir sur les données personnelles : définition et enjeux
23/12/2022
RGPD : comprendre le principe et les enjeux de la finalité
22/5/2024
Données hautement personnelles : définition
11/12/2024
RGPD et prospection BtoB : quelles règles respecter ?
29/4/2024

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025