OSINT et détective privé en France : ce que la loi autorise

Temps de lecture estimé : 10 minutes

OSINT et détective privé en France : ce que la loi autorise vraiment

L’OSINT — renseignement en sources ouvertes — est devenu en quelques années l’un des outils centraux de l’enquête privée en France. Réseaux sociaux, registres publics, archives en ligne : la masse d’informations librement accessibles a littéralement transformé les méthodes d’investigation. Mais entre ce qui est techniquement possible et ce que la loi française autorise réellement, la ligne est parfois mince.

Ce qu’il faut comprendre, c’est que pratiquer l’OSINT sans cadre juridique clair, c’est s’exposer à des risques sérieux — tant pour le prestataire que pour le client qui a mandaté la mission. Concrètement, tout le monde peut consulter un profil LinkedIn public. Mais à partir de quand cette consultation devient-elle une investigation privée soumise à agrément ? Et comment les preuves collectées deviennent-elles exploitables devant un juge ?

Cet article fait le point sur ce qu’un détective privé agréé peut légalement faire avec l’OSINT en France, les limites à ne pas franchir, et les conditions pour que les informations collectées aient une vraie valeur juridique.

L’OSINT, c’est quoi exactement ?

Le terme est souvent mal compris. L’OSINT (Open Source Intelligence), ou renseignement en sources ouvertes, désigne la collecte et l’analyse d’informations issues de sources librement accessibles au public. Pas de piratage, pas d’infiltration : uniquement ce que n’importe qui peut consulter légalement.

Sources ouvertes : de quoi parle-t-on concrètement ?

La palette est large. Pour un agent de recherches privées (ARP), les sources exploitables incluent :

• Réseaux sociaux publics — publications visibles, likes, abonnements, commentaires ouverts
• Registres d’entreprises — Infogreffe, RNE, BODACC, Journal Officiel (mandataires, dépôts de bilan, modifications statutaires)
• Bases de données publiques — SIRENE, marchés publics, brevets INPI
• Sources médiatiques — presse, communiqués, interviews, podcasts
• Archives numériques — Wayback Machine, forums ouverts, anciens profils

Une branche spécifique de l’OSINT, le SOCMINT (Social Media Intelligence), se concentre exclusivement sur les réseaux sociaux. Concrètement, c’est ce qu’utilisent les ARP pour retracer un parcours professionnel, identifier un réseau de relations, ou détecter une incohérence dans un dossier.

OSINT vs piratage : une frontière juridique claire

C’est là que beaucoup se trompent. L’OSINT légal s’arrête strictement aux données accessibles sans authentification ni contournement technique. Dès qu’on parle d’accéder à un compte privé, d’intercepter des communications ou de créer un faux profil pour obtenir des informations, on quitte l’OSINT pour entrer dans le champ pénal.

À retenir : L’OSINT désigne uniquement la collecte d’informations issues de sources librement accessibles. Pour un détective privé, cela inclut les profils publics, les registres d’entreprises et les publications en ligne — jamais les données protégées ou privées.

Ce que la loi française autorise (et ce qu’elle interdit)

Entre nous : c’est souvent sur ce point que les entreprises et les particuliers qui cherchent à mandater un prestataire se font avoir. Beaucoup de « spécialistes OSINT » opèrent dans un vide juridique total. Le cadre légal, lui, est clair.

Pourquoi l’agrément CNAPS change tout

En France, toute activité consistant à recueillir des informations pour le compte d’un tiers — même à partir de sources ouvertes — est soumise à l’agrément du CNAPS (Conseil National des Activités Privées de Sécurité), en vertu de l’article L621-1 du Code de la sécurité intérieure (CSI). Un prestataire sans agrément qui propose des missions d’investigation commet un délit.

Attention : Tout prestataire proposant des services d’investigation numérique sans agrément CNAPS exerce illégalement en France. Il s’expose à des sanctions pénales prévues à l’article L622-1 du CSI — et son client peut voir les preuves collectées contestées en justice.

Le RGPD, une contrainte ou une garantie pour le client ?

Le RGPD s’applique aussi à l’OSINT, y compris lorsque les données sont publiques. Un ARP agréé doit justifier d’une finalité licite, respecter la minimisation des données collectées et fixer une durée de conservation limitée. Ce qu’il faut comprendre, c’est que cette contrainte est aussi une protection pour le client : elle garantit que les informations collectées sur son mandat ne seront pas utilisées à d’autres fins.

Voici ce que la loi autorise ou interdit concrètement dans le cadre d’une mission OSINT :

Action	Statut légal	Texte de référence
Consulter un profil LinkedIn public	Autorisé	Données librement accessibles
Analyser des publications publiques sur les réseaux sociaux	Autorisé	Données librement accessibles
Consulter Infogreffe, BODACC, RNE	Autorisé	Registres publics ouverts
Créer un faux compte pour accéder à un profil privé	Interdit	Art. 226-4-1 CP (usurpation d’identité)
Accéder à un compte ou système sans autorisation	Interdit	Art. 323-1 CP (accès frauduleux)
Intercepter des communications privées	Interdit	Art. 226-15 CP
Mener une investigation pour un tiers sans agrément CNAPS	Interdit	Art. L621-1 et L622-1 CSI

Quelles informations un détective privé peut-il collecter via l’OSINT ?

C’est la question que posent le plus souvent les chefs d’entreprise et les juristes qui découvrent ce domaine. La réponse est moins restrictive qu’on ne le croit — à condition de rester dans le périmètre des sources ouvertes.

Réseaux sociaux : ce qui est public est exploitable

Toute publication visible sans être connecté, ou sans être ami/abonné, est légalement exploitable. Cela inclut les photos, les commentaires, les check-ins géolocalisés, les mentions professionnelles, les changements de statut. Plus précisément, c’est souvent là que se cachent les incohérences les plus révélatrices dans un dossier : une personne en arrêt maladie qui publie des photos de tournoi de golf, un dirigeant qui annonce une nouvelle activité concurrente avant la fin de sa clause de non-concurrence…

Registres et bases de données légales en France

Le droit français offre un accès public à un volume considérable d’informations sur les personnes morales et physiques impliquées dans la vie économique :

• Infogreffe et RNE — composition du capital, mandataires sociaux, dépôts de comptes
• BODACC — ventes de fonds de commerce, procédures collectives, radiation
• Journal Officiel — associations, nominations, appels d’offres
• Base SIRENE (INSEE) — existence légale d’une entreprise, activité déclarée
• INPI — brevets, marques déposées, historique de propriété intellectuelle

Concrètement, un ARP peut croiser toutes ces sources pour reconstituer l’historique complet d’une structure, de ses dirigeants, et des signaux d’alerte éventuels — sans jamais avoir besoin d’accéder à des données privées.

OSINT et due diligence : l’enquête numérique au service des entreprises

C’est sans doute le segment où l’OSINT apporte le plus de valeur ajoutée concrète. Et pourtant, il reste sous-utilisé par les entreprises françaises — souvent parce qu’elles ne savent pas qu’un cadre professionnel existe pour ce type de mission.

Vérification de partenaires commerciaux : ce que l’OSINT révèle

Avant de signer avec un associé, un investisseur ou un prestataire stratégique, une due diligence numérique permet de vérifier : le parcours professionnel déclaré (et ses éventuelles incohérences), l’existence de procédures judiciaires publiques, des signaux d’alerte en ligne (contentieux connus, témoignages négatifs sourcés, antécédents de faillite). Ce type de vérification préalable est standard dans les fusions-acquisitions internationales. En France, il reste encore trop marginal dans les PME.

Concurrence déloyale en ligne : détecter avant d’agir

Un ancien commercial qui démarche vos clients via LinkedIn en violation de sa clause de non-concurrence. Une ex-salariée qui publie des contenus identiques à vos formations sur une nouvelle structure. Un concurrent qui utilise votre base de données clients sans autorisation. Ce sont des cas réels, documentables via l’OSINT — et qui nécessitent, pour être exploités juridiquement, l’intervention d’un ARP agréé capable de sécuriser les preuves.

C’est dans ce cadre que des agences comme inveny.fr, basée à Lyon et agréée par le CNAPS, interviennent dans des missions de due diligence numérique et d’enquêtes sur la concurrence déloyale en ligne. Fondée en 2020 par Paul Cercy, l’agence opère dans le Rhône et en Auvergne-Rhône-Alpes, et peut mobiliser via le GIE ALLARYS — un réseau de 10 cabinets représentant 22 agences — une couverture nationale pour les dossiers multi-sites.

Conseil pratique : Une due diligence OSINT se commande idéalement avant la signature d’un contrat ou d’un partenariat stratégique — pas après la découverte d’un problème. Le coût d’une mission préventive est sans commune mesure avec celui d’un contentieux.

Comment les preuves OSINT deviennent recevables devant un tribunal ?

C’est la question qui revient systématiquement auprès des juristes et des dirigeants qui ont mandaté un ARP. Et pour cause : collecter une information, c’est une chose. Pouvoir l’utiliser devant un juge, c’en est une autre.

Le rapport d’enquête ARP : un document à valeur probante

Le droit pénal français repose sur le principe de liberté de la preuve, posé par l’article 427 du Code de procédure pénale. Tout moyen de preuve peut être soumis au débat — mais le juge évalue sa loyauté. Une preuve obtenue par stratagème, piratage ou violation de la vie privée sera écartée. Une preuve collectée légalement, à partir de sources ouvertes, par un professionnel agréé, sera au contraire recevable.

Le rapport circonstancié rédigé par l’ARP joue un rôle central : il documente la méthode de collecte, les sources utilisées, les dates et heures d’observation, et garantit la traçabilité de l’information. C’est ce rapport qui fait foi devant les juridictions civiles et prud’homales.

Quand associer huissier et détective pour sécuriser la chaîne de preuve

Pour les dossiers à fort enjeu — fraude en ligne avérée, vol de données, harcèlement numérique — la complémentarité entre l’ARP et le commissaire de justice (ex-huissier) est décisive. L’ARP identifie et documente les éléments probants ; le commissaire de justice réalise un constat numérique officiel avec captures horodatées et métadonnées préservées. Cette chaîne de preuve duale est particulièrement solide devant les tribunaux.

Selon les dispositions de l’article 427 du Code de procédure pénale, hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve, et le juge décide d’après son intime conviction. Source : legifrance.gouv.fr

À savoir : Pour qu’une preuve numérique soit exploitable en justice, elle doit être collectée avant l’ouverture de toute procédure judiciaire. Une fois la procédure lancée, certaines méthodes de collecte peuvent être contestées par la défense et fragiliser l’ensemble du dossier.

Ce que l’OSINT ne peut pas remplacer

Pour être totalement transparent : l’OSINT est un outil puissant, mais il a des limites réelles que tout mandant doit connaître avant de lancer une mission.

D’abord, les données privées, cryptées, supprimées ou protégées par des paramètres de confidentialité sont hors de portée légale, par définition. L’OSINT ne dit rien de ce que quelqu’un fait en privé — uniquement de ce qu’il rend visible publiquement. Ensuite, les informations collectées doivent être contextualisées et croisées par un professionnel : une photo sur un réseau social peut être ancienne, mal interprétée ou sortie de son contexte.

Plus précisément, les situations qui nécessitent une surveillance terrain, des auditions de tiers ou des vérifications physiques dépassent le périmètre de l’OSINT seul. Un ARP agréé combine en général plusieurs méthodes d’investigation selon les besoins du dossier — l’OSINT n’en est qu’une composante, certes souvent décisive.

Attention : L’exercice de l’activité d’agent de recherches privées sans agrément CNAPS est un délit passible de sanctions pénales (art. L622-1 du Code de la sécurité intérieure). Vérifiez systématiquement l’agrément de tout prestataire avant de lui confier une mission d’investigation.

Questions Fréquentes

L’OSINT est-il légal en France pour un détective privé ?

Oui, à condition de se limiter strictement aux sources librement accessibles et d’exercer sous agrément CNAPS. La collecte d’informations publiques à des fins d’investigation pour le compte d’un tiers est légale dès lors qu’elle respecte le Code de la sécurité intérieure (art. L621-1) et le RGPD. Sans agrément, la même activité constitue un délit, quelle que soit la légalité des sources utilisées.

Un détective privé peut-il surveiller les réseaux sociaux de quelqu’un ?

Oui, pour les profils et publications visibles sans authentification. Un ARP agréé peut légalement analyser tout contenu publiquement accessible : publications, commentaires, photos, check-ins, abonnements visibles. En revanche, accéder à un compte privé via un faux profil ou en contournant les paramètres de confidentialité est interdit par l’article 226-4-1 du Code pénal (usurpation d’identité numérique) et l’article 323-1 (accès frauduleux à un système informatique).

Les preuves collectées via l’OSINT sont-elles recevables devant un tribunal ?

Oui, sous deux conditions cumulatives : une collecte loyale à partir de sources légales, et une documentation rigoureuse de la méthode. Le principe de liberté de la preuve (art. 427 CPP) permet au juge d’accepter tout mode de preuve dès lors qu’il est soumis au débat contradictoire. Le rapport circonstancié d’un ARP agréé, éventuellement complété par un constat de commissaire de justice, offre une chaîne de preuve solide devant les juridictions civiles, prud’homales et pénales.

Quelle est la différence entre l’OSINT et l’espionnage ?

La frontière est celle de l’accès autorisé. L’OSINT exploite uniquement des données que n’importe qui peut consulter librement — sans contournement technique ni stratagème. L’espionnage (ou plus précisément les infractions prévues aux articles 323-1 et 226-15 du Code pénal) implique un accès non autorisé à des systèmes ou communications privées. Concrètement : lire la page LinkedIn publique d’un concurrent, c’est de l’OSINT. Accéder à ses emails professionnels sans autorisation, c’est un délit passible de prison.

Faut-il un agrément CNAPS pour pratiquer l’OSINT professionnellement ?

Oui, dès que la mission consiste à recueillir des informations pour le compte d’un tiers. L’article L621-1 du Code de la sécurité intérieure soumet à agrément toute activité d’agent de recherches privées, y compris lorsqu’elle repose exclusivement sur des sources ouvertes. Seules les personnes physiques ou morales titulaires d’un agrément CNAPS valide peuvent légalement facturer ce type de prestation.

Qu’est-ce que le RGPD change pour les enquêtes OSINT ?

Le RGPD s’applique même aux données publiques dès lors qu’elles permettent d’identifier une personne physique. Un ARP agréé doit justifier d’une finalité licite (mandat client documenté), collecter uniquement les données strictement nécessaires (minimisation), et limiter la durée de conservation. La CNIL peut être consultée pour toute question relative au traitement de données personnelles dans le cadre d’une investigation : cnil.fr.

L’OSINT légal, entre les mains du bon professionnel

Les sources ouvertes recèlent une quantité d’informations considérable — souvent suffisante pour établir des faits, documenter des comportements ou préparer une action juridique. Mais leur exploitation dans un cadre d’enquête privée n’est pas une activité libre.

La valeur d’un ARP agréé CNAPS ne se mesure pas seulement à sa capacité à trouver des informations — elle tient aussi à sa capacité à les documenter de manière irréprochable, à respecter les règles de collecte loyale, et à produire un rapport qui résistera à la contradiction devant un juge. Entre nous : c’est précisément ce qui distingue une investigation professionnelle d’une veille Google réalisée à la va-vite.

En 2026, l’OSINT pratiqué par un détective privé agréé en France est un outil d’investigation rigoureux, encadré et juridiquement solide — à condition que la mission soit confiée à un professionnel qui maîtrise autant le renseignement en sources ouvertes que les contraintes légales qui l’entourent.