L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) est une association loi de 1901, créée en 2004. Les 19èmes universités des DPO (Délégué à la Protection des Données) organisées par l’AFDCP se sont tenues le 6 et 7 février 2025 à Paris.

Pour rappel, « le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme » (définition de la CNIL).

Selon la CNIL toujours, « sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats ».

Dans son discours d’ouverture, le Président de l’AFDCP, Paul-Olivier Gibert, a rappelé que « la protection des données personnelles était devenu un enjeu stratégique pour les organisations et un sujet central pour la Société : la protection des données n’est pas seulement une obligation légale mais un sujet essentiel pour la confiance des citoyens dans les organisations et la garantie de leurs droits fondamentaux ».

Collant à l’actualité, le thème de l’université 2025 intégrait les nouvelles technologies, dont l’IA, au respect des règles du RGPD.

Paul-Olivier Gibert a souligné que, 10 ans après la rédaction du RGPD*, « le DPO n’était plus seulement le garant du respect de ses règles mais qu’il était devenu un acteur dans la stratégie des organisations ».

OSINT : Que peut apporter au DPO la maîtrise des techniques de renseignement en sources ouvertes ?

Une donnée brute en source ouverte n’a pas en elle-même de valeur particulière mais, bien exploitée, elle peut se révéler très instructive. Valentin Thévenot du groupe BPCE en a donné un exemple historique pour définir l’OSINT: durant la seconde guerre mondiale, les Alliés suivaient avec attention le cours de certains agrumes dans les régions bombardées ; lorsque les cours augmentaient fortement, les alliés pouvaient considéraient alors que leurs bombardements avaient atteint leurs objectifs (les ponts par exemple) ce qui amenait une forte augmentation des coûts de transports des marchandises… Voila une observation de données en source ouverte dont l’analyse se révélait très importante et les transformait en données sensibles.

Respecter les règles du RGDP est une obligation, accéder et se maintenir dans un système sans autorisation est un délit. Donc un site mal sécurisé n’autorise pas à violer ces règles.

L’OSINT consiste à poser une question suffisamment large pour ne pas être suspecté de transgression de ces règles : par exemple, « que sait sur moi Internet ? ».

L’OSINT sert aux journalistes d’investigation, aux services d’enquêtes (police, gendarmerie, justice), etc. pour déterminer des menaces, pour rechercher des personnes, pour faire de l’intelligence économique, de l’analyse successorale, du recrutement, au Fisc pour traquer les contribuables, etc.

Mais l’OSINT est parfois utilisée par des personnes malveillantes exploitant des données : pour faire un cambriolage, pour exercer des violences personnelles ou sexuelles, pour faire du harcèlement, pour mener des attaques cyber (phishing ciblé), pour préparer un attentat terroriste, ou autres.

Il est important de souligner qu’une donnée supprimée, dans un ordinateur ou un téléphone, n’est jamais tout à fait supprimée. C’est valable pour un mot ou un texte, mais aussi pour une photo, une géolocalisation sur Google Maps, etc. etc.

Toutes ces données peuvent donc être utilisées à des fins malveillantes, de surveillance, d’espionnage, ou autres.

Un exemple parmi d’autres : le fait qu’un bodyguard de Président mette sur son téléphone le parcours de son jogging via Google Maps peut amener des terroristes à supposer qu’il sera accompagner du Président… A méditer…

Sans aller sur le terrain du terrorisme, le Fisc allant sur Google Maps ou Google View pour voir si vous avez une piscine ou un abri de jardin non déclarés devrait poser question…

Parler du quotidien qui nous concerne provoque une meilleure prise de conscience de ce qu’on peut faire avec une donnée et de ce qu’il ne faut surtout pas faire avec ses données personnelles.AE

*Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne (UE). Il est entré en application le 25 mai 2018.