OSINT (Open Source INTelligence) : quel cadre légal ?

Écrit par Marius Saussereau

L’OSINT (Open Source INTelligence), aussi appelé Recherche en Sources Ouvertes (ROSO) en français, est une pratique qui consiste à consulter des sources en accès libre. L’OSINT permet notamment de constituer une base de données favorisant la compréhension d’un sujet complexe, en liant des informations entre elles. Cette pratique de renseignement est utilisée par des enquêteurs, des journalistes, ou encore des professionnels de la sécurité et de l’informatique. Si l’OSINT n’est pas exclusivement exercé sur internet, le développement des nouvelles technologies ces 20 dernières années a fortement potentialisé la pratique.

Image via Freepik

Pourquoi avoir recours à l’OSINT ?

Le recours à l’OSINT peut se révéler judicieux pour obtenir et utiliser une information, et permettre de se positionner vis-à-vis de la concurrence. L’OSINT est également indispensable dans la protection de l’information ou la recherche sur Internet de fuites d’informations (RIFI), dans le but de détecter les failles susceptibles de pénaliser sa propre entreprise. Enfin, l'OSINT permet d'accéder à des informations essentielles pour conserver une certaine influence et faire valoir ses intérêts.

Dans le cadre de l’activité d’OSINT le traitement de données personnelles peut être justifié en se fondant notamment sur l’intérêt légitime de la société cliente ou sur le consentement de la personne concernée (lorsque le client, personne physique, fait appel à une société d’OSINT pour trouver des informations sur sa propre personne) ou encore sur le fondement d’une obligation légale lorsque que le client est soumis, dans des cas spécifiques, à une obligation de réaliser une enquête.

Notre analyse sera focalisée sur l’activité d’OSINT lorsqu’elle est exercée par une personne/société privée pour le compte d’un client.

Le régime juridique de l’activité d’OSINT est complexe car il n’existe pas, à l’heure actuelle, en droit français, de cadre légal dédié à ce sujet.  Ainsi, il convient en premier lieu de s’intéresser aux conditions d’exercice de l’activité d’OSINT (1), puis d’identifier les règles applicables à la collecte et au traitement des informations (2) tout en respectant le RGPD et la loi informatique et libertés (3). Ensuite, il est important de définir les conditions de recevabilité des rapports d’OSINT comme preuve dans le cadre contentieux (4). Enfin, un logiciel permettant de faire de l’OSINT doit répondre à certaines conditions (5). Ces différents sujets ont notamment pu être discutés et débattus à l’Ecole militaire (Paris 7ème) le 6 mars 2024 (6).

1) Encadrement de l’exercice de l’activité d’OSINT

a) Conditions d’exercice de l’activité d’OSINT

L’OSINT n’est pas, par principe, interdit, dans la mesure où aucune règle de droit français n’interdit formellement le fait, pour une personne/société privée, de consulter et de compiler des sources sous la forme d’une pratique de renseignement. 

Aussi, il est possible d’appréhender les règles applicables à l’OSINT suivant le régime applicable au contexte de la demande du client.  

Par exemple, dans le cas où le client est un organisme soumis à la loi Sapin II, en cas d’alerte, le client doit effectuer une enquête interne ou phase d’instruction.  

Afin de constituer le dossier, l’organisme peut vouloir faire appel aux services d’un prestataire d’OSINT pour la recherche de preuve. L’activité du prestataire d’OSINT sera donc conditionnée par le régime de la loi Sapin II, à savoir que le contrat entre l’organisme et le prestataire devra prévoir une obligation de confidentialité renforcée, le prestataire devra respecter la procédure d’enquête interne de l’entreprise pour mener ses investigations et les règles de protection des données personnelles devront être respectées notamment.

Aussi, la CJUE a constaté que la directive nº 95/46/CE ne précisant pas "les modalités de la recherche et de la détection des manquements à la réglementation, il y a lieu de considérer que cette directive n’empêche pas un tel organisme professionnel d’avoir recours à des enquêteurs spécialisés, tels que des détectives privés chargés de cette recherche et de cette détection, afin d’accomplir sa mission (CJUE, 7 nov. 2013, aff. C-473/12, IPI c/ Geoffrey E., Grégory F.)". Par analogie, dans le cadre de la recherche et de la détection des manquements à la réglementation, le recours à un prestataire d’OSINT serait tout à fait possible.

Enfin, il est important de préciser, que dans tous les cas, les règles relatives au respect de la vie privée (en droit civil et en droit pénal), ainsi que celles en matière de traitement de données personnelles ont vocation à s’appliquer.  

b) Propositions relatives à l’établissement de conditions d’exercice de l’OSINT 

L’activité d’OSINT par un acteur privé peut être assimilée à l’activité de détective privé (agent de recherche privé) dans la mesure où ces deux activités ont pour objet la recherche d’information par un acteur privé pour le compte d’un client.  

Cependant, comme nous l’avons vu plus haut, l’activité d’OSINT n’est, pour l’heure, soumise à aucune autorisation, tel qu’un agrément, comme c’est effectivement le cas pour les agents de recherche privé.

Obtention d’un agrément 

Ainsi, en dehors des cas où le prestataire d’OSINT effectue des investigations pour le compte d’un client, sans être titulaire d’un mandat de justice, ou des cas où il effectue des recherches sur le fondement d’une obligation légale de son client (par exemple, dans le cadre de la procédure d’alerte de la loi Sapin II), il pourrait être intéressant de soumettre l’activité d’OSINT à la délivrance d’un agrément précédé d’une formation spécifique.  

Code de bonnes conduites

Par ailleurs, l’établissement d’un code de bonnes conduites des professionnels de l’OSINT pourrait être une solution alternative ou complémentaire à l’agrément.  

Code des bonnes pratiques RGPD

Enfin, l’activité d’OSINT impliquant des traitements de données à caractère personnel, il serait intéressant de travailler en coopération avec la CNIL afin d’établir un guide des bonnes pratiques qui n’entravent pas l’essence de l’activité, tout en prévoyant un cadre respectueux de la vie privée.

2) La licéité des informations collectées dans le cadre de la recherche d’OSINT

a) Le respect de la vie privée

Lorsque les enquêtes visent des personnes physiques, le principal enjeu de l’activité d’OSINT est le respect de la vie privée.  

En matière pénale, l'article 226-1 du code pénal condamne le fait de porter atteinte à l'intimité de la vie privée d'autrui au moyen d'un procédé quelconque.  

Les actes visés à l'article 226-2 du code pénal, quant à eux, protègent la vie privée contre la conservation, la divulgation ou l'utilisation de tout enregistrement ou document obtenu à l'aide de l'un des actes prévus à l'article 226-1 du code pénal. 

Par ailleurs l’article 323-3 du Code pénal sanctionne le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient et l’article 321-1 sanctionne le recel qui est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d'intermédiaire afin de la transmettre, en sachant que cette chose provient d'un crime ou d'un délit. 

Ainsi, si le prestataire d’OSINT collecte des informations provenant d’un vol de données en toute connaissance, et les transmet à son client, il pourrait être poursuivi pour recel.

Aussi, il convient de s’intéresser aux moyens du prestataire d’OSINT pour accéder à l’information, notamment par la création de faux comptes.  

Par exemple, pour accéder à des informations d’un compte privé sur un réseau social, le prestataire d’OSINT peut être tenté de créer un compte, en faisant usage d’une fausse identité. Un tel agissement peut entrer dans la qualification d’usurpation d’identité, réprimée pénalement (article 226-4-1 du code pénal). L’usage d’un faux compte pour accéder à des informations d’un compte privé pourrait également, suivant les circonstances, engager la responsabilité civile du prestataire d’OSINT.

Aussi, les réseaux sociaux prévoient parfois dans leurs conditions générales d’utilisation, l’interdiction de tels comportements comme les CGU d’Instagram.  

3) Le respect du RGPD et de la loi informatique et libertés

La CNIL a publié des recommandations s’agissant de la pratique de RIFI (Recherche sur Internet de Fuites d’Informations), qui est une branche de l’OSINT.  

Elle préconise notamment de répartir les rôles et les responsabilités des acteurs, car chaque opération de RIFI doit être encadrée par un contrat passé entre l’entreprise cliente (qui sera le responsable de traitement) et l’entreprise prestataire (qui sera le sous-traitant). Ce contrat permet notamment de préciser les obligations de chaque partie et de reprendre les exigences de l’article 28 du RGPD. 

Plusieurs conditions doivent être remplies pour justifier de l’utilisation d’un RIFI :  

  • Justifier d’un intérêt légitime à faire une RIFI 

  • Démontrer que la RIFI est nécessaire pour atteindre l’objectif visé 

Par exemple, quand les fuites de données ont pour origine les agissements de personnes mal intentionnées travaillant pour l’organisme et disposant d’un accès légitime à ces données en raison de leurs fonctions.

  • Assurer un juste équilibre entre l’intérêt de l’organisme qui utilise la RIFI et les droits des personnes dont les données personnelles sont traitées 

Cela signifie que les personnes doivent pouvoir s’attendre à ce que leurs données soient collectées et analysées pour garantir la sécurité et la protection du patrimoine informationnel de l’organisme, au regard notamment de l’importance stratégique de leurs fonctions, ou des projets sur lesquels elles travaillent. 

Ainsi, les dirigeants d’un organisme exposé à des risques d’accès illégitimes peuvent raisonnablement s’attendre à ce que leur nom fasse l’objet d’une veille. 

  • Définir une durée de conservation des données limitées  

Celle-ci doit être déterminée en fonction de l’objectif de la recherche. Pour rappel, les données non pertinentes ne sont jamais conservées à l’issue de la phase d’analyse de correspondance. 

  • Utiliser tous les moyens pour ne pas collecter des données non pertinentes 

Il doit en particulier mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (par exemple des données de santé, d’infraction ou en lien avec la vie sexuelle…), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI. 

  • Respecter les droits des personnes   

Les personnes disposent d’un droit d’accès à leurs données personnelles, à l’effacement et à la rectification de celles-ci, ainsi que d’un droit à la limitation, du traitement mis en œuvre, et d’opposition à celui-ci, qui devront être mis en œuvre par le responsable de traitement. 

Afin de limiter les conséquences de la pratique d’une RIFI sur les droits des personnes concernées, la CNIL préconise un certain nombre de mesures.

4) Conditions de recevabilité des rapports en matière contentieuse

De manière générale, il faut être attentif à la différence entre la production de l’élément de preuve, et l’admission de l’élément en tant que preuve.  

Il convient également de prendre en compte :  

  • La provenance de la pièce  

  • L’authenticité de la pièce  

  • L’anonymat ou non des sources  

  • La protection des témoins et des victimes  

  • Le respect des législations en vigueur  

a) Le droit français

En droit pénal français, le principe est la liberté de la preuve. Cela semble aller dans le sens d’une recevabilité des rapports d’OSINT dans la mesure où l’article 427 du code de procédure pénale dispose : « hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve et le juge décide d'après son intime conviction. Le juge ne peut fonder sa décision que sur des preuves qui lui sont apportées au cours des débats et contradictoirement discutées devant lui. » 

Pour ce qui est du droit civil, la Cour de cassation a admis, à travers une décision du 18 mai 2005, la possibilité pour les juges du fond de s’appuyer sur un rapport d’enquête privée, admettant du même coup la licéité de principe du recours à ce mode de preuve en matière de divorce.

En droit public, le Conseil d'État a estimé que l'employeur public est tenu d'une obligation de loyauté à l'égard de ses agents et en déduit qu'il ne saurait « fonder une sanction disciplinaire à l'encontre de l'un de ses agents sur des pièces ou documents qu'il a obtenus en méconnaissance de cette obligation [de loyauté], sauf si un intérêt public majeur le justifie » (CE 16 juill. 2014, req. N° 355201). La déloyauté des procédés mis en œuvre pour obtenir une preuve est donc ici prise en considération. Cette preuve pourrait cependant être admise si un intérêt public majeur le justifie. En l'espèce, le Conseil d'État livre une interprétation sensiblement moins exigeante de la loyauté de la preuve en admettant que la sanction puisse s'appuyer sur le rapport d'une agence de détectives dès lors que ce rapport reposait « sur des constatations matérielles du comportement de [l'agent] à l'occasion de son activité et dans des lieux ouverts au public ».

b) La règlementation mondiale  

En ce qui concerne la règlementation mondiale, plusieurs pistes sont à prendre en compte.  

Le statut de Rome de la Cour Pénale Internationale, prévoit en son article 54 que le procureur peut apprécier de manière souveraine chaque élément de preuve, et pour qu’un élément soit considéré comme tel il faut que celui-ci remplisse trois critères, à savoir :  

  • La pertinence  

  • La valeur probante  

  • La prise en compte des exigences d’un procès équitable  

A côté de cela, le protocole de Berkeley est la première publication contenant des directives mondiales concernant des données numériques publiques (photos, vidéos, autres informations publiées sur les médias sociaux comme Facebook, Twitter, Youtube) en tant que preuves lors d’enquêtes sur les violations du droit pénal international, des droits de l’homme et du droit humanitaire international.   Il a été conçu par le Centre des droits de l’homme de l’Université de Californie à Berkeley et par le Haut-Commissariat des Nations unies aux droits de l’homme (HCDH), publié le 1ER décembre 2020.

Il est énoncé notamment que l’ensemble des personnes participantes sont responsables de la sécurité d’une enquête et des personnes concernées. Ainsi il est important de doubler les précautions relatives à la sécurité concernant l’infrastructure, le matériel, les logiciels et les réseaux, mais aussi sur le comportement des enquêteurs et de l’ensemble des personnes avec qui ces derniers interagissent. 

Le protocole avance des principes professionnels, méthodologiques et éthiques :

  • Les principes professionnels sont la responsabilité, la compétence, l’objectivité, la légalité et la sensibilisation à la sécurité.

  • Les principes méthodologiques sont la précision, la minimisation des données, la conservation et la sécurité dès la conception.

  • Les principes éthiques quant à eux abordent la dignité, l’humilité, l’inclusivité, l’indépendance et la transparence.

Ce protocole donne donc des directives larges concernant le cadre de l’utilisation de l’OSINT, mais pouvant servir de base pour une règlementation à venir. 

  5) Conditions de légalité d’un logiciel d’OSINT

Lorsque le client est une personne privée, le fonctionnement du logiciel ne doit pas permettre la commission des infractions de droit pénal portant atteinte au respect du droit à la vie privée(« II. A ») ni de l’article 323-3-1, non plus « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ».

Lorsque le client est une personne publique investie de pouvoirs d’investigation, le logiciel doit se conformer aux règles applicables à ladite personne publique.

Enfin, le logiciel doit être conçu en conformité avec le RGPD et la loi Informatique et Libertés.

6) La table ronde du 6 mars 2024 « Droit et renseignement d’origine sources ouvertes (ROSO/OSINT) »

En dehors de ses missions de « promotion de l’esprit de défense du territoire national » l’Institut des Hautes Etudes de Défense Nationale (IHEDN) a également pour objectif la création de groupes de travail portant sur des enjeux cyber et numériques que la communauté française rencontre.

C’est donc dans cette volonté que l’IHEDN lançait, quasiment un an auparavant jour pour jour, avec l’aide de l’Alliance pour la Confiance Numérique (ACN), des travaux visant à clarifier ce cadre juridique. La pluralité des acteurs constituant ce groupe (représentants de différents services de l’Etat, administrations et autres autorités administratives, représentants d’entreprises exerçant dans le domaine…) aura permis de cibler de manière complète les difficultés et les éléments de réponses qu’il est possible d’apporter.

Ces dits éléments, repris en grande partie dans cet article, ont donc pu être exposés devant une salle comble à l’occasion de cette table ronde du 6 mars 2024, e. Nous vous invitons donc, en complément de cet article, à découvrir le déroulé de la table ronde : https://cyber-ihedn.fr/video-table-ronde-droit-et-renseignement-dorigine-sources-ouvertes-roso-osint-paris-6-mars-2024/.

Différents cas d’usages de l’OSINT ont été exposés (au sein d’un service d’enquête d’une entreprise recherchant des empreintes numériques sur internet…) tout en les confrontant aux limites qu’ils pouvaient rencontrer.

Les intervenants ont rappelé la nécessité de faire évoluer la qualification du délit de recel d’informations, les activités liées à l’OSINT étant pour le moment trop susceptibles d’être assimilées à ce délit.

Un plan d’actions semble se dessiner selon les experts, en suivant un schéma chronologique logique :

  • Un constat à date : Le cadre réglementaire existant est source d’insécurité juridique ,qu’il s’agisse de la définition des droits et des obligations des acteurs OSINT ou du périmètre des activités concernées

  • Une phase de construction et de clarification : Réflexion sur les méthodes à mettre en place, étude du droit existant, concertations et définition d’un cadre par le législateur

  • Une phase de sécurité juridique : Libération de la pratique avec un cadre clairet sécurisé.

Ce schéma chronologique a déjà permis par le passé de créer un cadre légal pour certaines pratiques (l’ingénierie inverse, la divulgation de vulnérabilité…) . Ainsi, ce groupe de travail, qui a vu ses rangs s’agrandir ses dernières années, a à raison, bon espoir de suivre le même process avec les activités liées à l’OSINT.

Ces réflexions sur le sujet du cadre légal de l’OSINT sont évidemment loin d’être terminées, l’objectif recherché étant la création d’un recueil de référence débouchant par la suite sur une coopération entre le législateur et les parties prenantes assurant de ce fait une pratique libre et sûre de l’OSINT.

Auteur.ice.s : Caroline Demangeon et Marius Saussereau

Co-autrice : Oriana Labruyère

Les textes de référence :  

Marius Saussereau
Précédent

Vers une Europe plus résiliente ! 
Suivant

Cybersecurity and Data Protection Issues at the 2024 Paris Olympic Games