Voilà plusieurs années que la CNIL étudie avec soin une discipline baptisée Renseignement d’Origine Source Ouverte (ROSO ou OSINT). Elle consiste à recouper les informations disponibles en ligne sur un individu afin de l'identifier.
Alors que peu de Français semblent porter de l'attention à la protection de leurs données personnelles, la CNIL tire encore une fois la sonnette d'alarme concernant une pratique qui se répand de plus en plus. Le recoupement d'informations en ligne. Elle est pratiquée par de nombreux acteurs : journalistes, cybercriminels ou acteurs de la sécurité, services d'enquêtes ou recruteurs. Il faut voir la présence numérique d'une personne comme un puzzle : chaque information prise individuellement ne permet pas nécessairement l'identification de celle-ci. Toutefois, une fois qu'on en rassemble plusieurs, il est possible de les recoller et de procéder facilement à une identification d'un internaute.
Un puzzle numérique aux conséquences réelles
Le ROSO consiste donc en un assemblage méticuleux de diverses données trouvables publiquement sur internet. La moindre information, aussi anodine soit-elle, peut être utilisée afin de compléter ce fameux puzzle : photographie postée sur un réseau social, commentaires sur un blog, sur un site d'e-commerce, etc.
Ces données, une fois rassemblées, permettent de dresser le portait d'à peu près n'importe qui avec précision et de collecter des informations personnelles le concernant : travail et adresse personnelle par exemple. Pour la CNIL, ce recoupage représente un danger pour l'usager moyen d'Internet, pas spécialement conscient de ce genre de risque.
Une pratique située entre l'utilisation légitime et la surveillance
Même si la CNIL reconnaît bien l'utilité du ROSO dans certains domaines, elle rappelle bien que la réutilisation d'informations publiquement disponibles doit se faire en respectant scrupuleusement les principes de la protection des données dans le RGPD. Cette réutilisation doit également se faire dans le respect de la loi Informatique et Libertés.
Toutefois, elle considère tout de même que recouper des informations via le ROSO demeure une démarche intrusive à l'échelle individuelle. Sur la page de son site concernant cette pratique, elle rappelle : « Par exemple, utiliser le ROSO en vue de révéler des informations relatives à la vie privée, familiale ou professionnelle d'une personne ou permettant de l'identifier ou de la localiser et l’exposant à un risque direct, qui ne peut être ignoré, d’atteinte à sa personne ou à sa famille, est passible de 3 ans d’emprisonnement et de 45 000 euros (article 223-1-1 du code pénal) ».
Se protéger efficacement
Comme à son habitude, la CNIL propose une série de comportements à adopter afin de contrer ou de minimiser les risques liés au ROSO. La plupart tiennent tout de même du bon sens mais cela ne fait jamais de mal de les rappeler. Elle préconise la différenciation des courriels selon les comptes utilisés sur différents sites et (tout de même !) l'utilisation de pseudonymes. Même si cela peut paraître évident, poster des informations sensibles comme l'adresse personnelle, la plaque d'immatriculation ou des documents d'identité est formellement déconseillé. Si la CNIL le rappelle, c'est que ce genre de pratiques n'a pas disparu.
Un peu moins connu, elle déconseille également de poster une photo similaire sur différentes plateformes. Autre très bonne habitude à mettre en place également : s'intéresser aux paramètres de confidentialité des applications souvent utilisées. Un aspect assez fréquemment négligé. En bref, rien ne doit être laissé au hasard ! Chaque détail compte dans la conservation de son (tout relatif) anonymat en ligne.
Source : CNIL
