OSINT et cadre légal : RGPD, éthique et limites juridiques en France et en Europe

L’OSINT repose sur une promesse séduisante : les informations sont publiques, donc librement exploitables. Cette idée, largement répandue parmi les praticiens, constitue pourtant l’un des contresens juridiques les plus dangereux du domaine. En France et en Europe, la frontière entre une investigation légitime et une collecte illégale de données est souvent plus fine qu’on ne l’imagine.

Ce cinquième et dernier chapitre du guide OSINT défensif aborde la dimension que beaucoup de praticiens repoussent à plus tard : le cadre légal et éthique. Pourtant, c’est précisément cette dimension qui détermine si votre programme OSINT est un atout de conformité ou un risque juridique pour votre organisation. Comprendre ces limites n’est pas une contrainte : c’est la condition pour que vos investigations soient recevables, défendables et pérennes.

Le principe : données publiques ne signifie pas données librement exploitables

Le malentendu fondamental de l’OSINT tient en une phrase : l’accessibilité d’une information ne donne aucun droit sur son utilisation. Un profil LinkedIn visible par tous, un numéro de téléphone dans un annuaire en ligne, une photo sur un réseau social : ce sont des données personnelles au sens du RGPD, que l’information soit publique ou non.

Une confusion répandue et risquée

La CNIL le rappelle régulièrement : la collecte de données personnelles accessibles en ligne est soumise aux mêmes obligations que toute autre collecte. Dans sa délibération SAN-2020-012, la CNIL a sanctionné la société Clearview AI d’une amende de 20 millions d’euros pour avoir collecté des milliards de photographies publiquement accessibles sans base légale. Le caractère public des images n’a constitué ni un fait justificatif, ni une excuse.

Concrètement, cela s’applique à toute démarche OSINT en entreprise. Votre audit d’exposition qui collecte les adresses email depuis des fuites publiques, les profils sociaux des dirigeants ou les métadonnées de documents en ligne ? C’est un traitement de données personnelles soumis au droit européen.

RGPD et OSINT : les obligations fondamentales

Le Règlement général sur la protection des données (RGPD) constitue le socle juridique principal pour toute activité OSINT en Europe. Plusieurs de ses principes impactent directement la manière dont les investigations en source ouverte peuvent être conduites.

Base légale : l’intérêt légitime comme fondement principal

L’article 6 du RGPD impose de disposer d’une base légale pour tout traitement de données personnelles. Pour les activités OSINT défensives en entreprise, la base la plus pertinente est l’intérêt légitime (article 6.1.f). L’entreprise peut invoquer la nécessité de protéger ses actifs, détecter des menaces ou assurer sa conformité réglementaire.

Cependant, l’intérêt légitime n’est pas un blanc-seing. Il exige une mise en balance documentée entre les intérêts de l’entreprise et les droits des personnes concernées. Un audit d’exposition portant sur les données de vos propres collaborateurs avec leur information préalable sera bien plus facilement justifiable qu’une investigation approfondie sur les employés d’un concurrent.

Minimisation et limitation des finalités

Le principe de minimisation des données (article 5.1.c) impose de ne collecter que les données strictement nécessaires à l’objectif poursuivi. En pratique, cela signifie qu’un analyste OSINT ne peut pas aspirer l’intégralité du profil numérique d’une personne sous prétexte qu’il cherche une information spécifique.

La limitation des finalités (article 5.1.b) interdit de réutiliser les données collectées lors d’un audit de sécurité à des fins commerciales, de ressources humaines ou de surveillance individuelle. Chaque investigation doit être cadrée par un objectif précis et documenté.

Droit à l’oubli et archives OSINT

Le droit à l’effacement (article 17), communément appelé droit à l’oubli, pose un défi particulier aux activités OSINT. Lorsqu’une personne a obtenu le déréférencement d’une information par un moteur de recherche, la collecter et la stocker dans une base OSINT interne revient à contourner l’exercice de ce droit. Les archives de la Wayback Machine ou les caches de moteurs de recherche contiennent fréquemment des données que leurs propriétaires ont demandé à supprimer.

Point de vigilance : stocker des données qu’une personne a fait effacer d’un service en ligne peut constituer une violation directe de l’article 17 du RGPD, même si ces données restent techniquement accessibles via des archives tierces.

Obligation d’information

L’article 14 du RGPD impose d’informer les personnes dont les données sont collectées indirectement, c’est-à-dire sans interaction directe avec elles. Cette obligation s’applique pleinement à l’OSINT. Des exceptions existent lorsque l’information s’avère impossible ou nécessiterait des efforts disproportionnés, mais elles doivent être documentées et justifiées au cas par cas.

AI Act et traitement automatisé des données OSINT

L’entrée en application progressive du règlement européen sur l’intelligence artificielle (AI Act) depuis 2024 ajoute une couche réglementaire significative aux activités OSINT qui recourent à des outils automatisés.

Classification des systèmes OSINT par niveau de risque

L’AI Act classe les systèmes d’IA selon quatre niveaux de risque. Plusieurs catégories d’outils OSINT sont directement concernées :

• Risque inacceptable (interdit) : les systèmes d’identification biométrique à distance en temps réel dans l’espace public, la notation sociale (social scoring), et la collecte non ciblée d’images faciales sur internet pour constituer des bases de données de reconnaissance faciale
• Haut risque : les systèmes de profilage utilisés pour évaluer la fiabilité ou le comportement de personnes physiques, les outils d’analyse biométrique et les systèmes utilisés par les forces de l’ordre pour l’évaluation des risques
• Risque limité : les systèmes de détection de deepfakes, les chatbots interagissant avec les personnes faisant l’objet d’une investigation

En pratique, un outil OSINT qui agrège automatiquement des données issues de multiples sources pour construire un profil comportemental d’un individu pourrait être qualifié de système à haut risque, imposant des obligations de conformité lourdes : évaluation d’impact, supervision humaine, documentation technique et traçabilité des décisions.

Conséquences pour les pipelines OSINT automatisés

Les entreprises qui utilisent des scripts ou des plateformes automatisées pour surveiller leur exposition doivent évaluer si ces outils entrent dans le périmètre de l’AI Act. L’automatisation de la collecte, du croisement et de l’analyse de données personnelles sans intervention humaine significative constitue un facteur aggravant dans cette classification.

NIS2 et obligations de veille en cybersécurité

La directive NIS2, applicable depuis octobre 2024, crée pour les entités essentielles et importantes une obligation de cyber-vigilance qui légitime, voire impose, certaines pratiques OSINT.

L’OSINT comme outil de conformité NIS2

L’article 21 de NIS2 exige des entités concernées qu’elles mettent en place des mesures de gestion des risques incluant la veille sur les menaces (threat intelligence). L’OSINT défensif, par la surveillance des fuites de données, la détection d’usurpations d’identité et la veille sur les vulnérabilités exposées, répond directement à cette obligation.

Les entreprises soumises à NIS2 disposent ainsi d’une base légale renforcée pour justifier leurs activités OSINT défensives. L’obligation réglementaire de veiller à la sécurité de leurs systèmes d’information constitue un intérêt légitime particulièrement solide au regard du RGPD.

Notification d’incidents et découvertes OSINT

L’article 23 de NIS2 impose de notifier les incidents significatifs aux autorités compétentes sous 24 heures (alerte précoce) puis 72 heures (notification complète). Lorsqu’une activité OSINT défensive révèle une compromission de données ou une vulnérabilité critique, cette découverte peut déclencher l’obligation de notification.

Droit français spécifique

Au-delà du cadre européen, le droit français pose des limites supplémentaires qui encadrent directement les investigations OSINT.

Code pénal : atteinte à la vie privée et collecte frauduleuse

L’article 226-1 du Code pénal sanctionne d’un an d’emprisonnement et de 45 000 euros d’amende le fait de porter atteinte à l’intimité de la vie privée en captant, enregistrant ou transmettant des paroles ou des images sans le consentement de la personne concernée. L’utilisation d’outils OSINT pour surveiller la vie privée d’un individu au-delà du cadre professionnel justifié entre pleinement dans le champ de cet article.

L’article 226-18 punit de cinq ans d’emprisonnement et de 300 000 euros d’amende la collecte de données personnelles par un moyen frauduleux, déloyal ou illicite. Le caractère déloyal peut être retenu lorsque la collecte s’effectue à l’insu des personnes concernées et sans base légale valide, même si les données sont techniquement accessibles.

Droit à l’image et jurisprudence

Le droit à l’image, protégé par l’article 9 du Code civil, interdit l’utilisation de la photographie d’une personne identifiable sans son consentement. En matière d’OSINT, la collecte systématique de photos de collaborateurs ou de dirigeants depuis des réseaux sociaux pour constituer un dossier d’investigation doit être strictement encadrée.

La jurisprudence française tend à sanctionner les investigations disproportionnées. L’arrêt de la Cour de cassation du 25 novembre 2020 (n° 17-19.523) a confirmé que la collecte d’informations en ligne, même publiques, pouvait constituer une atteinte à la vie privée dès lors qu’elle excède ce que la finalité légitime justifie.

OPSEC : protéger l’analyste pendant l’investigation

La sécurité opérationnelle (Operational Security, OPSEC) constitue un volet souvent négligé des pratiques OSINT. Un analyste qui investigue sur des menaces potentielles sans protéger sa propre identité s’expose à des représailles, du harcèlement ou une compromission de son organisation.

Pourquoi l’analyste doit se protéger

Les cibles d’une investigation OSINT, qu’il s’agisse d’acteurs malveillants ou de concurrents, disposent souvent des mêmes compétences en renseignement. Un analyste dont l’identité est exposée peut devenir lui-même la cible d’une contre-investigation ou d’attaques de spear phishing ciblées.

Mesures de protection essentielles

Cloisonnement technique :

• Utiliser un VPN dédié aux activités d’investigation, distinct de celui utilisé pour les activités professionnelles courantes
• Travailler depuis des machines dédiées ou des machines virtuelles configurées spécifiquement pour l’OSINT
• Ne jamais conduire d’investigation depuis un réseau ou un équipement rattaché à l’identité personnelle de l’analyste

Identités opérationnelles :

• Créer et maintenir des comptes sock puppet (comptes fictifs dédiés à l’investigation) conformément aux limites légales, en particulier en veillant à ne pas commettre d’usurpation d’identité au sens de l’article 226-4-1 du Code pénal
• Séparer rigoureusement les identités personnelles, professionnelles et opérationnelles
• Renouveler régulièrement les identités opérationnelles pour limiter la traçabilité

Protocoles organisationnels :

• Documenter chaque investigation dans un registre horodaté
• Définir des procédures d’escalade en cas de découverte d’activité criminelle
• Former les analystes aux techniques de contre-surveillance numérique

Éthique de l’OSINT : au-delà du cadre légal

La conformité juridique ne suffit pas. Ce qui est légal n’est pas toujours éthique, et en OSINT les zones grises sont partout.

Le principe de proportionnalité

Toute investigation OSINT doit être proportionnée à la menace identifiée ou à l’objectif poursuivi. Cartographier l’intégralité de la vie numérique d’un collaborateur qui a simplement publié une photo de son badge sur Instagram n’est pas proportionné. Vérifier si des identifiants de l’entreprise apparaissent dans des bases de données compromises l’est.

L’évaluation d’impact préalable

Avant toute investigation, il est recommandé de conduire une évaluation d’impact informelle : quelles sont les personnes potentiellement affectées ? Quelles données seront collectées ? Quelles conséquences l’investigation pourrait-elle avoir sur ces personnes ? Cette démarche, inspirée de l’analyse d’impact relative à la protection des données (AIPD) du RGPD, permet de cadrer l’investigation avant qu’elle ne dérape.

L’approche Bellingcat : transparence et intérêt public

L’organisation d’investigation en source ouverte Bellingcat a contribué à établir un standard éthique de référence en matière d’OSINT. Leur approche repose sur trois piliers : la transparence méthodologique (documenter et publier la méthode d’investigation), la vérifiabilité (permettre à quiconque de reproduire l’analyse) et la primauté de l’intérêt public (ne publier que ce qui sert un objectif légitime d’information).

Construire une charte éthique OSINT

Chaque organisation pratiquant l’OSINT devrait formaliser ses principes dans une charte éthique interne définissant les types d’investigations autorisés, les données exclues de la collecte (données de santé, orientation politique, vie sentimentale), les procédures de validation hiérarchique et les conditions de conservation et de destruction des données collectées.

Actions concrètes pour les entreprises

Structurer le cadre interne :

• Rédiger une politique OSINT interne définissant le périmètre autorisé, les méthodes acceptées et les rôles responsables
• Réaliser une analyse d’impact (AIPD) pour les activités OSINT impliquant un traitement systématique de données personnelles
• Désigner un référent OSINT en lien avec le DPO pour arbitrer les cas limites

Former et encadrer les équipes :

• Former les analystes aux limites juridiques spécifiques à leur juridiction (RGPD, Code pénal, AI Act)
• Organiser des exercices pratiques confrontant les analystes à des dilemmes éthiques réalistes
• Mettre en place un processus de validation préalable pour les investigations sensibles

Documenter et tracer :

• Maintenir un registre des traitements OSINT au sens de l’article 30 du RGPD
• Horodater et archiver chaque étape d’investigation pour constituer une piste d’audit défendable
• Définir des durées de conservation strictes et automatiser la suppression des données périmées

Sécuriser les pratiques :

• Déployer une infrastructure OPSEC dédiée (VPN, machines virtuelles, comptes opérationnels)
• Auditer régulièrement les pratiques internes pour vérifier le respect de la charte éthique
• Établir un canal de signalement pour les dérives observées

Vous cherchez à structurer un programme OSINT conforme au RGPD et à l’AI Act ? Nos consultants en conformité vous accompagnent de la charte éthique à l’implémentation opérationnelle.

📚 Sources et références ▼

Réglementation européenne

• RGPD - Règlement (UE) 2016/679 relatif à la protection des données personnelles
• AI Act - Règlement (UE) 2024/1689 établissant des règles harmonisées sur l'intelligence artificielle
• Directive NIS2 - Directive (UE) 2022/2555 sur la cybersécurité

Autorités de contrôle et guides pratiques

• CNIL - Délibération SAN-2020-012 (sanction Clearview AI)
• CNPD Luxembourg - L'OSINT et la protection des données
• ENISA - Threat Landscape Report et bonnes pratiques de cyber-veille

Droit français

• Article 226-1 du Code pénal - Atteinte à la vie privée
• Article 226-18 du Code pénal - Collecte frauduleuse de données
• Article 9 du Code civil - Respect de la vie privée et droit à l'image

Ressources spécialisées OSINT

• Ledieu Avocats - OSINT, cadre juridique et limites légales (2025)
• Bellingcat - Guide éthique de l'investigation en source ouverte