OSINT : quelle conformité avec le RGPD ? (3/4)

  • Avertissement : cet article engage uniquement son auteur.ce guide.

Si l’activité d’OSINT ne dispose à ce jour d’aucun cadre juridique spécifique, elle est néanmoins tenue de s’insérer dans l’environnement réglementaire français, ainsi que de respecter les réglementations européennes en vigueur – en l’occurrence – le Règlement Européen sur la Protection des Données (RGPD).

La CNIL a publié des recommandations s’agissant de la pratique de RIFI (Recherche sur Internet de Fuites d’Informations), qui est une branche de l’OSINT.

Établir les responsabilités

Elle préconise notamment de répartir les rôles et les responsabilités des acteurs, car chaque opération de RIFI doit être encadrée par un contrat passé entre l’entreprise cliente (qui sera le responsable de traitement) et l’entreprise prestataire (qui sera le sous-traitant). Ce contrat permet notamment de préciser les obligations de chaque partie et de reprendre les exigences de l’article 28 du RGPD1.

Définir les finalités

Les objectifs ou finalités du traitement seront également précisées dans ce contrat, avec une description précise de ce qu’engendre la réalisation d’une veille active ou la remédiation à une fuite de données avérée.

Il convient également de s’assurer que la RIFI est autorisée, car son utilisation repose obligatoirement sur l’une des bases légales prévues par le RGPD, comme la base légale de l’intérêt légitime notamment du responsable de traitement (si celui-ci a des données ayant fuité et les recherche).

Six grandes conditions doivent être remplies pour justifier de l’utilisation d’un RIFI :

Justifier d’un intérêt légitime à faire une RIFI

La sécurité du réseau et des systèmes d’information constitue un intérêt légitime (considérant 49 du RGPD) que le responsable de traitement pourrait mettre en avant. En effet, la RIFI a pour objet d’assurer la protection des informations d’un organisme en repérant d’éventuelles fuites de données, révélatrices de failles de sécurité au sein de ses réseaux ou systèmes d’information et portant atteinte à la protection des données personnelles.

Démontrer que la RIFI est nécessaire pour atteindre l’objectif visé

Compte tenu du caractère intrusif des opérations réalisées dans le cadre de la RIFI (collecte et analyse massive de données), l’organisme qui y recourt devrait pouvoir mettre en avant le fait que, compte tenu de sa situation particulière, il n’existe pas d’autres moyens efficaces de repérer certaines fuites de données.

Cela peut être particulièrement le cas lorsque les fuites de données ont pour origine les agissements de personnes mal intentionnées travaillant pour l’organisme et disposant d’un accès légitime à ces données en raison de leurs fonctions. Dans une telle hypothèse, la fuite de données peut être difficilement détectable malgré l’existence de mesures déjà en place au sein de l’organisme concerné.

Assurer un juste équilibre entre l’intérêt de l’organisme qui utilise la RIFI et les droits des personnes dont les données personnelles sont traitées

Lorsque la base légale d’un traitement est « l’intérêt légitime du responsable de traitement », ce dernier doit pouvoir démontrer que les personnes concernées peuvent s’attendre à ce que leurs données personnelles soient utilisées pour l’objectif qu’il poursuit. Dans le contexte de la RIFI, cela signifie que les personnes doivent pouvoir s’attendre à ce que leurs données soient collectées et analysées pour garantir la sécurité et la protection du patrimoine informationnel de l’organisme, au regard notamment de l’importance stratégique de leurs fonctions, ou des projets sur lesquels elles travaillent.

Ainsi, les dirigeants d’un organisme exposé à des risques d’accès illégitimes peuvent raisonnablement s’attendre à ce que leur nom fasse l’objet d’une veille, la question se pose en revanche pour un salarié qui n’exerce aucune fonction à responsabilité ou en lien avec la sécurité des systèmes d’information, ou n’est impliqué dans aucun projet sensible.

Toutefois, les attentes raisonnables des personnes concernées ne sont pas le seul élément à prendre en compte. En effet, l’objectif de sécurité visé par le responsable de traitement doit être suffisamment important pour ne pas créer de déséquilibre au détriment des droits et intérêts des personnes concernées. Il est ainsi important que l’organisme tienne compte d’éléments tels que, la nature de son activité et des données qui doivent être protégées mais également l’objectif de protection de la vie privée des personnes dont les données ont pu être rendues publiquement accessibles. Plus les données à protéger sont sensibles et nombreuses, plus des opérations de RIFI peuvent être, au cas par cas, jugées proportionnées.

Définir une durée de conservation des données limitées

Pour rappel, la RIFI n’implique pas systématiquement la collecte de données personnelles. Ces dernières sont collectées uniquement lorsqu’elles sont pertinentes vis-à-vis de la finalité du traitement et qu’elles correspondent aux mots-clés qui ont été définis en amont de la recherche. Ainsi, les données non pertinentes ne sont jamais conservées à l’issue de la phase d’analyse de correspondance.

Concernant les données collectées, comme pour tout fichier, une durée de conservation limitée doit être définie. Celle-ci doit être déterminée en fonction de l’objectif de la recherche. Ainsi, si la RIFI porte sur un aspect particulier d’un projet stratégique (par exemple, une étape de soumission d’une réponse à un appel d’offre important), la durée devra tenir compte des spécificités de celui-ci.

S’agissant des résultats issus de la recherche, lorsque la RIFI permet de retrouver les données qui ont initialement fuité, celles-ci pourront être conservées le temps nécessaire aux poursuites judiciaires et, le cas échéant, à l’analyse de l’origine de la violation.

Si malgré toutes les précautions prises, la RIFI conduit à collecter des données qui ne sont pas recherchées par l’organisme, celles-ci devront être supprimées immédiatement après leur collecte (voir, ci-après, les garanties à mettre en œuvre).

Enfin, s’agissant des mots-clés utilisés aux fins de recherche, ceux-ci peuvent être conservés pour la durée du contrat de RIFI.

Utiliser tous les moyens pour ne pas collecter des données non pertinentes

L’organisme souhaitant recourir à la RIFI doit s’assurer que tous les moyens sont mobilisés pour ne pas collecter de données qui ne proviennent pas de ses systèmes d’information.

Il doit en particulier mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (par exemple des données de santé, d’infraction ou en lien avec la vie sexuelle…), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI.

Si malgré les mesures prises, des données sensibles qu’il ne recherche pas sont traitées, l’organisme devra, là encore, les supprimer immédiatement. Sur ce point, il est possible d’avoir le même raisonnement que pour les traitements de données personnelles effectués par le biais de moteurs de recherche auxquels le principe d’interdiction de traitement de données sensibles ne s’applique qu’a posteriori lorsque le moteur de recherche est informé du caractère sensible de la donnée qu’il détient (sur ce point, voir les mesures techniques et organisationnelles développées ci-après).

Les prestataires de RIFI doivent s’assurer que les techniques utilisées dans le cadre de leurs missions ne portent pas atteinte aux systèmes de traitement automatisé de données (ce qui est puni par la loi), par exemple :

  • aucune vulnérabilité ne doit être exploitée afin de rechercher l’information ;

  • aucune mesure de sécurité ne doit être forcée ni contournée de manière volontaire (aucun mot de passe ne doit être cassé, des mots de passe par défaut ne doivent pas être utilisés afin de s’introduire dans un système, etc.) ;

  • seules les informations accessibles sans contournement de sécurité doivent être collectées.

Respecter les droits des personnes

Chaque entreprise qui décide de recourir à la RIFI doit veiller au respect des droits des personnes concernées.

Si l’information des personnes en lien avec l’organisme (clients, salariés, dirigeants, etc.) peut être réalisée, par exemple, par le biais de la politique de confidentialité, de la charte informatique ou du contrat de travail, afin d’effectuer une information individuelle, la RIFI est susceptible d’impliquer le traitement (ou au moins la consultation) de données concernant des personnes avec lesquelles l’organisme n’a pas de lien.

En effet, la RIFI implique l’analyse d’un nombre important de contenus publiés en ligne pour identifier ceux qui correspondent aux motsclés déterminés par l’entreprise ayant recours à la RIFI. Par conséquent, l’information individuelle des personnes concernées peut s’avérer très complexe.

Dans l’hypothèse d’une collecte des données qui ne s’effectue pas directement auprès des personnes, le RGPD peut dispenser l’organisme d’effectuer une information individuelle si la fourniture de cette information se révèle impossible ou exigerait des efforts disproportionnés. Cette exception doit néanmoins être interprétée strictement par le biais d’une analyse au cas par cas et ne peut constituer une règle générale. Dans ce cas, l’organisme devra rendre ces informations publiques, par exemple, en mettant celles-ci à disposition sur son site web, ou en réalisant une information vers les personnes si elles sont ultérieurement identifiées et joignables.

Si la RIFI révèle l’existence d’une violation de données au sein du système d’information de l’entreprise et que celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement devra communiquer à chaque personne concernée les informations concernant cette violation afin qu’elle puisse prendre les mesures appropriées.

Enfin, les personnes disposent d’un droit d’accès à leurs données personnelles, à l’effacement et à la rectification de cellesci, ainsi que d’un droit à la limitation, du traitement mis en œuvre, et d’opposition à celui-ci, qui devront être mis en œuvre par le responsable de traitement.

Afin de limiter les conséquences de la pratique d’une RIFI sur les droits des personnes concernées, la CNIL préconise les mesures suivantes, à savoir :

  • Que les mots-clés définis auparavant soient liés de manière directe aux objectifs poursuivis ;

  • Que les mots-clés en question ne comportent pas de données personnelles : pour cela, la CNIL encourage l’utilisation de marqueurs numériques (« canary token ») insérés auparavant dans les bases de données, afin que les données soient synthétiques et ne correspondent pas à celles d’une personne physique réelle ;

  • Que la configuration de la pratique de RIFI ne cible pas de données sensibles telles que des données concernant la santé, la vie sexuelle ou l’orientation politique ou sexuelle d’une personne ;

  • La recherche devrait être automatisée et lever des alertes à partir de mots-clés ;

  • Le sites web visés par la RIFI ne devraient pas comporter des données sensibles par nature (sites de rencontres, sites d’expression politique ou religieuse, etc.) ;

  • La recherche peut nécessiter la création d’un compte utilisateur sur un site web licite. Pour rappel, il est interdit d’usurper les identifiants d’une personne afin d’accéder à un système ;

  • Des personnes peuvent intervenir pour les seuls besoins de valider et analyser les résultats finaux de la recherche. Il convient qu’elles soient habilitées à consulter les données et soient soumises à des obligations renforcées en matière de confidentialité et sensibilisées aux enjeux de protection des données personnelles, par exemple, par un programme de formation obligatoire sur le sujet. »2 .