Antoine Franz (Sahar) Osint : "Ce n'est pas parce qu'une donnée a été rendue publique, même de façon volontaire, que le RGPD ne s'applique pas"
Le co-fondateur et président-directeur général de Sahar, start-up spécialisée dans le traitement de données massives, précise les règles que doivent respecter les acteurs de l'open source intelligence (Osint).
JDN. Quelles sont les règles légales à respecter dans la pratique de l'Osint ?
Antoine Franz. Ce sont principalement les règles qui concernent la protection des données à caractère personnel. On pense souvent que des données qui ont été rendues publiques par leurs auteurs peuvent être exploitées librement. Mais ce n'est pas parce qu'une donnée a été rendue publique, même de façon volontaire, que le Règlement général de la protection des données (RGPD) ne s'applique pas. Pour le comprendre, il faut préciser ce qu'est une donnée personnelle. Il s'agit simplement d'une information permettant d'identifier, directement ou indirectement, une personne. Un message rendu public par son auteur dans un forum est donc protégé par le RGPD.
Quand on traite des données à caractère personnel pour pratiquer l'Osint, il faut toujours se demander si on a le droit de traiter ces données. Tout en sachant que le traitement inclut la collecte et l'exploitation de la donnée. Pour y être autorisé, il faut soit le consentement des personnes dont les données sont traitées, soit disposer d'un intérêt légitime à effectuer le traitement.
Toutefois, il est assez rare qu'une enquête d'Osint puisse être menée avec le consentement des personnes. C'est donc surtout la base légale de l'intérêt légitime qui est invoquée par les acteurs de l'Osint pour justifier leur activité. L'intérêt légitime nécessite un équilibre entre les intérêts de l'organisation qui pratique l'Osint et les droits et libertés des personnes dont les données sont traitées, notamment leur droit à la vie privée.
Cet équilibre nécessite que les moyens mis en œuvre dans la pratique de l'Osint soient proportionnés au regard de la finalité poursuivie. Par exemple, il n'est pas proportionnel de collecter les millions de commentaires que contient un forum si une seule information est digne d'intérêt.
Comment est contrôlé le respect de ces règles légales ?
Le RGPD prévoit qu'un responsable de traitement, tel qu'un acteur de l'Osint, doit effectuer une analyse d'impact si les droits et libertés d'un citoyen dont il traite les données personnelles sont susceptibles d'être atteints. Il s'agit d'un document appelé Analyse d'impact relative à la protection des données. Celui-ci décrit le risque encouru pour la personne concernée. Aussi, ce document doit indiquer les mesures mises en œuvre par le responsable du traitement pour minimiser ce risque. Ce document doit être conservé et tenu à la disposition de la Commission nationale de l'informatique et des libertés en cas de contrôle de sa part.
Un acteur de l'Osint qui ne respecte pas ces règles peut être condamné à de lourdes sanctions administratives et pécuniaires en vertu du RGPD. Mais aussi à des condamnations civiles et pénales si une atteinte à la vie privée ou au secret a été caractérisée.
Comment intégrer ces obligations dans la pratique de l'Osint ?
L'Osint traite nécessairement des données personnelles. La meilleure façon pour les acteurs de l'Osint de prendre en compte les obligations du RGPD est donc de développer des outils par des approches privacy by design. Les outils doivent être guidés, dès leur conception, par le respect des principes de proportionnalité et de minimisation.
Le principe de minimisation commande de traiter le moins possible de données personnelles pour atteindre l'objectif poursuivi. Par exemple, chez Sahar, on a mis en œuvre des mécanismes de contrôle, avec des règles éthiques, permettant d'analyser en temps réel que le principe de proportionnalité est respecté. Il est d'ailleurs beaucoup plus simple de procéder ainsi, pour les acteurs de l'Osint, plutôt que de vérifier a posteriori si les règles ont été respectées. C'est pourquoi, je conseille aux acteurs qui veulent se lancer dans l'Osint de s'imprégner des principes de proportionnalité, de minimisation et de mettre en place des processus de description des finalités avant même de développer leurs solutions.
Y a-t-il des règles coutumières propres à la communauté de l'Osint à respecter ?
Bien sûr. D'abord, il existe une culture de partage des sources et des méthodes d'enquête entre les acteurs de l'Osint. Il demeure l'idée que chaque acteur contribue à un savoir-faire commun qui les dépasse. Ensuite, il existe le principe éthique de l'intégrité qui interdit de détourner des sources ouvertes en leur faisant dire ce qu'elles ne disent pas. Enfin, la proportionnalité que j'ai évoquée est aussi érigée en principe éthique. C'est pourquoi il existe des comités éthiques chez Sahar. Ceux-ci sont chargés de vérifier que notre pratique de l'Osint respecte ces principes.
Actuellement, certains acteurs souhaitent légiférer dans le secteur de l'Osint. Pouvez-vous nous en dire plus et qu'en pensez-vous ?
Il existe effectivement la formation d'une offre législative initiée notamment par l'Alliance pour la confiance numérique, des membres de l'Institut des hautes études de défense nationale et portée par le député Philippe Latombe. Leur idée est d'adapter la loi pour mieux encadrer certaines activités de l'Osint comme l'exploitation de leaks. Toutefois, l'exploitation de leaks est différente de la collecte, l'exploitation et l'analyse de données disponibles en sources ouvertes. Dans le premier cas, il s'agit d'informations issues de fuites de données. Dans le second cas, dont j'ai parlé jusqu'à maintenant, il s'agit de données rendues volontairement publiques par leurs auteurs.
L'exploitation de leaks se situe dans une zone juridique floue car les données récupérées ne sont pas rendues publiques volontairement par leurs auteurs. Le code pénal peut donc assimiler cette exploitation de données volées à du recel. Sans connaître tous les détails de l'offre législative, je sais que ceux qui la portent souhaitent introduire des exceptions dans la loi permettant de clarifier les cas où le traitement de leaks peut être autorisé. Je pense que leur proposition intégrera l'idée que ce traitement doit respecter le principe de proportionnalité que j'ai exposé. Je trouve cela positif que des acteurs français se regroupent pour réfléchir sur cette thématique. La réglementation représente une opportunité pour un secteur technologique en pleine consolidation.