OSINT (Open Source INTelligence) : quel cadre légal ?

L’OSINT (Open Source INTelligence), aussi appelé Recherche en Sources Ouvertes (ROSO) en français, est une pratique qui consiste à consulter des sources en accès libre. L’OSINT permet notamment de constituer une base de données favorisant la compréhension d’un sujet complexe, en liant des informations entre elles. Cette pratique de renseignement est utilisée par des enquêteurs, des journalistes, ou encore des professionnels de la sécurité et de l’informatique. Si l’OSINT n’est pas exclusivement exercé sur internet, le développement des nouvelles technologies ces 20 dernières années a fortement potentialisé la pratique. 

Pourquoi avoir recours à l’OSINT ?

Le recours à l’OSINT peut se révéler judicieux pour obtenir et utiliser une information, et permettre de se positionner vis-à-vis de la concurrence. L’OSINT est également indispensable dans la protection de l’information, et dans le but de détecter les failles susceptibles de pénaliser sa propre entreprise (RIFI). Enfin, l'OSINT permet d'accéder à des informations essentielles pour conserver une certaine influence et faire valoir ses intérêts. 

Dans le cadre de l’activité d’OSINT le traitement de données personnelles peut être justifié en se fondant notamment sur l’intérêt légitime de la société cliente ou sur le consentement de la personne concernée (lorsque le client, personne physique, fait appel à une société d’OSINT pour trouver des informations sur sa propre personne) ou encore sur le fondement d’une obligation légale lorsque que le client est soumis, dans des cas spécifiques, à une obligation de réaliser une enquête. 

Notre analyse sera focalisée sur l’activité d’OSINT lorsqu’elle est exercée par une personne/société privée pour le compte d’un client.   

Le régime juridique de l’activité d’OSINT est complexe car il n’existe pas, à l’heure actuelle, en droit français, de cadre légal dédié à ce sujet.  Ainsi, il convient en premier lieu de s’intéresser aux conditions d’exercice de l’activité d’OSINT (1), puis d’identifier les règles applicables à la collecte et au traitement des informations (2). Ensuite, il est important de définir les conditions de recevabilité des rapports d’OSINT comme preuve dans le cadre contentieux (3). Enfin, un logiciel permettant de faire de l’OSINT doit répondre à certaines conditions(4).  

1) Encadrement de l’exercice de l’activité d’OSINT   

a) Exemples de fondements juridiques pouvant justifiant l’activité d’OSINT 

L’OSINT n’est pas, par principe, interdit, dans la mesure où aucune règle de droit français n’interdit formellement le fait, pour une personne/société privée, de consulter et de compiler des sources sous la forme d’une pratique de renseignement.  

Aussi, il est possible d’appréhender les règles applicables à l’OSINT suivant le régime applicable au contexte de la demande du client.   

Par exemple, dans le cas où le client est un organisme soumis à la loi Sapin II, en cas d’alerte, le client doit effectuer une enquête interne ou phase d’instruction.   

Afin de constituer le dossier, l’organisme peut vouloir faire appel aux services d’un prestataire d’OSINT pour la recherche de preuve. L’activité du prestataire d’OSINT sera donc conditionnée par le régime de la loi Sapin II, à savoir que le contrat entre l’organisme et le prestataire devra prévoir une obligation de confidentialité renforcée, le prestataire devra respecter la procédure d’enquête interne de l’entreprise pour mener ses investigations et les règles de la protection des données personnelles devront être respectées notamment.   

Aussi, la CJUE a constaté que la directive nº 95/46/CE ne précisant pas "les modalités de la recherche et de la détection des manquements à la réglementation, il y a lieu de considérer que cette directive n’empêche pas un tel organisme professionnel d’avoir recours à des enquêteurs spécialisés, tels que des détectives privés chargés de cette recherche et de cette détection, afin d’accomplir sa mission (CJUE, 7 nov. 2013, aff. C-473/12, IPI c/ Geoffrey E., Grégory F.)". Par analogie, dans le cadre de la recherche et de la détection des manquements à la réglementation,  le recours à un prestataire d’OSINT serait tout à fait possible.   

Enfin, il est important de préciser, que dans tous les cas, les règles relatives au respect de la vie privée (en droit civil et en droit pénal), ainsi que celles en matière de traitement de données personnelles ont vocation à s’appliquer.   

@b) Propositions relatives à l’établissement  de conditions d’exercice de l’OSINT  

L’activité d’OSINT par un acteur privé peut être assimilée à l’activité de détective privé (agent de recherche privé) dans la mesure où ces deux activités ont pour objet la recherche d’information par un acteur privé pour le compte d’un client.   

Cependant, comme nous l’avons vu dans la partie a) « Conditions d’exercice », l’activité d’OSINT n’est, pour l’heure, soumise à aucune autorisation, tel qu’un agrément, comme c’est effectivement le cas pour les agents de recherche privé.  

Obtention d’un agrément  

Ainsi, en dehors des cas où le prestataire d’OSINT effectue des investigations pour le compte d’un client, sans être titulaire d’un mandat de justice, ou des cas où il effectue des recherches sur le fondement d’une obligation légale de son client (par exemple, dans le cadre de la procédure d’alerte de la loi Sapin II), il pourrait être intéressant de soumettre l’activité d’OSINT à la délivrance d’un agrément précédé d’une formation spécifique.   

Code de bonnes conduites 

Par ailleurs, l’établissement d’un code de bonnes conduites des professionnels de l’OSINT pourrait être une solution alternative ou complémentaire à l’agrément.   

Code des bonnes pratiques RGPD  

Enfin, l’activité d’OSINT impliquant des traitements de données à caractère personnel, il serait intéressant de travailler en coopération avec la CNIL afin d’établir un guide des bonnes pratiques qui n’entravent pas l’essence de l’activité, tout en prévoyant un cadre respectueux de la vie privée.   

2) La licéité des informations collectées dans le cadre de la recherche d’OSINT 

a) Le respect de la vie privée 

Lorsque les enquêtes visent des personnes physiques, le principal enjeu de l’activité d’OSINT est le respect de la vie privée.   

En matière pénale, l'article 226-1 du code pénal condamne le fait de porter atteinte à l'intimité de la vie privée d'autrui au moyen d'un procédé quelconque.   

Les actes visés à l'article 226-2 du code pénal, quant à eux, protègent la vie privée contre la conservation, la divulgation ou l'utilisation de tout enregistrement ou document obtenu à l'aide de l'un des actes prévus à l'article 226-1 du code pénal.  

Par ailleurs l’article 323-3 du Code pénal sanctionne le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient et l’article 321-1 sanctionne le recel qui est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d'intermédiaire afin de la transmettre, en sachant que cette chose provient d'un crime ou d'un délit.  

Ainsi, si le prestataire d’OSINT collecte des informations provenant d’un vol de données en toute connaissance, et les transmet à son client, il pourrait être poursuivi pour recel de l’infraction de l’article 323-3.   

Aussi, il convient de s’intéresser aux moyens du prestataire d’OSINT pour accéder à l’information, notamment par la création de faux comptes.   

Par exemple, pour accéder à des informations d’un compte privé sur un réseau social, le prestataire d’OSINT peut être tenté de créer un faux compte, en faisant usage d’une fausse identité. Un tel agissement peut entrer dans la qualification d’usurpation d’identité, réprimée pénalement (article 226-4-1 du code pénal). L’usage d’un faux compte pour accéder à des informations d’un compte privé pourrait également, suivant les circonstances, engager la responsabilité civile du prestataire d’OSINT.  

Aussi, les réseaux sociaux prévoient parfois dans leurs conditions générales d’utilisation, l’interdiction de tels comportements comme les CGU d’Instagram.   

3) Le respect du RGPD et de la loi informatique et libertés 

La CNIL a publié des recommandations s’agissant de la pratique de RIFI (Recherche sur Internet de Fuites d’Informations), qui est une branche de l’OSINT.   

Elle préconise notamment de répartir les rôles et les responsabilités des acteurs, car chaque opération de RIFI doit être encadrée par un contrat passé entre l’entreprise cliente (qui sera le responsable de traitement) et l’entreprise prestataire (qui sera le sous-traitant). Ce contrat permet notamment de préciser les obligations de chaque partie et de reprendre les exigences de l’article 28 du RGPD.  

Plusieurs conditions doivent être remplies pour justifier de l’utilisation d’un RIFI :   

• Justifier d’un intérêt légitime à faire une RIFI  

• Démontrer que la RIFI est nécessaire pour atteindre l’objectif visé  

Par exemple, quand les fuites de données ont pour origine les agissements de personnes mal intentionnées travaillant pour l’organisme et disposant d’un accès légitime à ces données en raison de leurs fonctions. 

• Assurer un juste équilibre entre l’intérêt de l’organisme qui utilise la RIFI et les droits des personnes dont les données personnelles sont traitées  

Cela signifie que les personnes doivent pouvoir s’attendre à ce que leurs données soient collectées et analysées pour garantir la sécurité et la protection du patrimoine informationnel de l’organisme, au regard notamment de l’importance stratégique de leurs fonctions, ou des projets sur lesquels elles travaillent.  

Ainsi, les dirigeants d’un organisme exposé à des risques d’accès illégitimes peuvent raisonnablement s’attendre à ce que leur nom fasse l’objet d’une veille.  

• Définir une durée de conservation des données limitées   

Celle-ci doit être déterminée en fonction de l’objectif de la recherche. Pour rappel, les données non pertinentes ne sont jamais conservées à l’issue de la phase d’analyse de correspondance.  

• Utiliser tous les moyens pour ne pas collecter des données non pertinentes  

Il doit en particulier mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (par exemple des données de santé, d’infraction ou en lien avec la vie sexuelle…), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI.  

• Respecter les droits des personnes    

Les personnes disposent d’un droit d’accès à leurs données personnelles, à l’effacement et à la rectification de cellesci, ainsi que d’un droit à la limitation, du traitement mis en œuvre, et d’opposition à celui-ci, qui devront être mis en œuvre par le responsable de traitement.  

Afin de limiter les conséquences de la pratique d’une RIFI sur les droits des personnes concernées, la CNIL préconise un certain nombre de mesures.  

4) Conditions de recevabilité des rapports en matière contentieuse 

De manière générale, il faut être attentif à la différence entre la production de l’élément de preuve, et l’admission de l’élément en tant que preuve.   

Il convient également de prendre en compte :   

• La provenance de la pièce   

• L’authenticité de la pièce   

• L’anonymat ou non des sources   

• La protection des témoins et des victimes   

• Le respect des législations en vigueur   

a) Le droit français  

En droit pénal français, le principe est la liberté de la preuve. Cela semble aller dans le sens d’une recevabilité des rapports d’OSINT dans la mesure où l’article 427 du code de procédure pénale dispose : « hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve et le juge décide d'après son intime conviction. Le juge ne peut fonder sa décision que sur des preuves qui lui sont apportées au cours des débats et contradictoirement discutées devant lui. »  

Pour ce qui est du droit civil, la Cour de cassation a admis, à travers une décision du 18 mai 2005, la possibilité pour les juges du fond de s’appuyer sur un rapport d’enquête privée, admettant du même coup la licéité de principe du recours à ce mode de preuve en matière de divorce. 

En droit public, le Conseil d'État a estimé que l'employeur public est tenu d'une obligation de loyauté à l'égard de ses agents et en déduit qu'il ne saurait « fonder une sanction disciplinaire à l'encontre de l'un de ses agents sur des pièces ou documents qu'il a obtenus en méconnaissance de cette obligation [de loyauté], sauf si un intérêt public majeur le justifie » (CE 16 juill. 2014, req. N° 355201). La déloyauté des procédés mis en œuvre pour obtenir une preuve est donc ici prise en considération. Cette preuve pourrait cependant être admise si un intérêt public majeur le justifie. En l'espèce, le Conseil d'État livre une interprétation sensiblement moins exigeante de la loyauté de la preuve en admettant que la sanction puisse s'appuyer sur le rapport d'une agence de détectives dès lors que ce rapport reposait « sur des constatations matérielles du comportement de [l'agent] à l'occasion de son activité et dans des lieux ouverts au public ». 

b) La règlementation mondiale   

En ce qui concerne la règlementation mondiale, plusieurs pistes sont à prendre en compte.   

Le statut de Rome de la Cour Pénale Internationale, prévoit en son article 54 que le procureur peut apprécier de manière souveraine chaque élément de preuve, et pour qu’un élément soit considéré comme tel il faut que celui-ci remplisse trois critères, à savoir :   

• La pertinence   

• La valeur probante   

• La prise en compte des exigences d’un procès équitable   

A côté de cela, le protocole de Berkeley est la première publication contenant des directives mondiales concernant des données numériques publiques (photos, vidéos, autres informations publiées sur les médias sociaux comme Facebook, Twitter, Youtube) en tant que preuves lors d’enquêtes sur les violations du droit pénal international, des droits de l’homme et du droit humanitaire international.   

Il a été conçu par le Centre des droits de l’homme de l’Université de Californie à Berkeley et par le Haut-Commissariat des Nations unies aux droits de l’homme (HCDH).   

Il est énoncé notamment que l’ensemble des personnes participantes sont responsables de la sécurité d’une enquête et des personnes concernées. Ainsi il est important de doubler les précautions relatives à la sécurité concernant l’infrastructure, le matériel, les logiciels et les réseaux, mais aussi sur le comportement des enquêteurs et de l’ensemble des personnes avec qui ces derniers interagissent.  

Le protocole avance des principes professionnels, méthodologiques et éthiques : 

• Les principes professionnels sont la responsabilité, la compétence, l’objectivité, la légalité et la sensibilisation à la sécurité. 

• Les principes méthodologiques sont la précision, la minimisation des données, la conservation et la sécurité dès la conception. 

• Les principes éthiques quant à eux abordent la dignité, l’humilité, l’inclusivité, l’indépendance et la transparence. 

Ce protocole donne donc des directives larges concernant le cadre de l’utilisation de l’OSINT, mais pouvant servir de base pour une règlementation à venir.  

  5) Conditions de légalité d’un logiciel d’OSINT 

Lorsque le client est une personne privée, le fonctionnement du logiciel ne doit pas permettre la commission des infractions de droit pénal mentionnées ci-dessus (« II. A ») et suivant l’article 323-3-1, non plus « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». 

Lorsque le client est une personne publique investie de pouvoirs d’investigation, le logiciel doit se conformer aux règles applicables à ladite personne publique.  

Enfin, le logiciel doit être conçu en conformité avec le RGPD et la loi Informatique et Libertés. 

Auteur.ice.s : Caroline Demangeon et Marius Saussereau

Co-autrice : Oriana Labruyère

Les textes de référence :  

• Article 6.1 f du RGPD (base légale de l’intérêt légitime) 

• Article 14.5b du RGPD (exemption d’information des personnes en cas d’effort disproportionné) 

• Article 34 du RGPD (notification d’une violation de données à la personne concernée) 

• Considérant 49 du RGPD (intérêt légitime de la sécurité du réseau et des systèmes d’information) 

• Article 12 et 14 du RGPD (information des personnes) 

• Articles 323 à 323-8 du code pénal (peines en cas d’atteinte à un système de traitement automatisé de données). 

• https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000711604/ (Sapin I) 

• https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033558528/ (loi Sapin II) 

• Le protocole de Berkeley en pièce jointe 

• https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037108959/2022-04-21 (Article 427 du Code de Procédure pénale) 

• https://www.icc-cpi.int/sites/default/files/Statut-de-Rome.pdf (Statut de Rome de la Cour pénale internationale)