La pratique n’est pas illégale en elle-même puisqu’il s’agit, par définition, d’utiliser des sources ouvertes (publiques). Pour autant, chacune des phases de cette pratique peut engager la responsabilité de son auteur s’il ne respecte pas certains fondamentaux juridiques.
Tout n’est donc pas permis.
Afin que le résultat des recherches réalisées via l’OSINT puisse être utilisé en toute légalité, les règles légales devront être respectées tout au long du processus, c’est-à-dire pendant (I) les recherches (II), la collecte (III) et l’exploitation des données.
L’OSINT a toute sa place dans l’univers du droit, en particulier dans le monde judiciaire (IV).
I - Les recherches.
Après avoir défini précisément son besoin, c’est-à-dire l’information que l’on souhaite obtenir, il est nécessaire de respecter certaines règles pendant les recherches.
1) L’utilisation de sources « ouvertes » uniquement.
Les sources ouvertes sont celles où l’information est accessible et mise à disposition du public. Pour autant, cela ne signifie pas que l’information est toujours aisée à obtenir. En effet, la méthode OSINT repose sur le principe du « pivot » qui désigne le fait d’utiliser une information afin d’en obtenir une autre.
L’utilisation de sources ouvertes uniquement exclut ainsi toute forme de manipulation ou de piratage. Par exemple, il est interdit d’usurper l’identité d’une personne sur un réseau social afin d’obtenir une information de la part d’une personne ou d’une organisation.
2) La nécessité d’avoir un accès légitime aux données.
La frontière entre l’OSINT et la qualification pénale d’atteinte à un Système de Traitement Automatisé de Données (STAD) peut s’avérer parfois fine. Le risque est que l’accès soit qualifié de « frauduleux » au sens de l’article 323-1 du Code pénal, c’est-à-dire sans autorisation.
Par exemple, lorsqu’il est possible d’accéder à des pages en libre accès alors qu’en réalité ces pages ne devraient pas être référencées. Cela peut être le cas lorsque des documents clairement identifiés comme « confidentiels » sont accessibles.
Bien que la jurisprudence ait déjà pu relaxer un prévenu qui était accusé d’être l’auteur d’un « d’accès frauduleux » car le responsable du système avait reconnu sa négligence dans la sécurisation du site [1], cela ne suffit pas à s’éviter de manière certaine toutes poursuites judiciaires.
Cet arrêt de la cour d’appel de Paris concernait un internaute ayant fait des requêtes sur Google et cliqué sur un lien amenant sur l’extranet de l’ANSES où des documents confidentiels pouvaient être consultés sans authentification. La cour d’appel n’a pas retenu l’accès frauduleux car il était arrivé par erreur sur l’extranet à cause d’un défaut de sécurisation du site. Toutefois, le fait qu’il se soit maintenu malgré tout dans le système, tout en sachant de manière certaine qu’il n’y était pas autorisé, a été condamné.
3) Le cas des recherches dites « sensibles ».
Il ne s’agit pas d’un aspect purement légal mais il convient de porter une vigilance particulière lorsque les recherches peuvent être qualifiées de « sensibles » (ex : enquête sur des crimes) afin ne pas interférer avec une enquête pénale qui serait en cours et, par ailleurs, de ne pas se mettre en danger (ex : risque de représailles). Cela s’applique également dans toutes les situations où laisser des traces de son identité pourrait s’avérer préjudiciable par la suite.
« L’OPSEC » - sécurité opérationnelle en français - désigne les méthodes et précautions afin de protéger son identité en ligne. La prise en compte de cette dimension de l’OSINT est essentielle lorsque vous voulez éviter d’alerter une organisation ou une personne que des recherches sont en cours.
Par exemple, si des preuves d’une contrefaçon d’un produit apparaissent à la suite d’une publication sur un réseau social, la collecte de ces éléments pourrait participer à établir une requête aux fins de saisie-contrefaçon afin de demander au juge d’ordonner la saisie des produits soupçonnés de porter atteinte à un droit d’auteur (Article L332-1 du CPI). Entre le moment de la collecte de preuve en ligne et la saisie-contrefaçon, il est important que d’éviter que des éléments de preuve soient détruits entre temps.
A ce sujet, nos avocats se sont formés à l’OPSEC.
II - La collecte.
Certaines méthodes de collecte doivent être effectuées avec précaution afin de rester dans la légalité. Il existe également certains cas spéciaux qu’il faut prendre en compte.
1) Le cas du scraping.
Lors de la phase de collecte, des précautions doivent être prises avant de recourir à des techniques de « scraping », c’est-à-dire l’extraction automatique de contenus à l’aide d’un script ou d’un programme.
Si cette technique est en principe légale, il n’en demeure pas moins que des restrictions existent, notamment au regard du droit du « producteur » de la base de données. Au sens de l’article L342-1 du Code de la propriété intellectuelle, il est interdit d’extraire « une partie qualitativement ou quantitativement substantielle du contenu d’une base de données ».
Autrement dit, il n’est pas possible de scraper l’intégralité d’un site web. A défaut, cela constitue une infraction punie de trois ans d’emprisonnement et de 300 000 euros d’amende, conformément à l’article L343-4 du même code.
2) Le cas du leak.
Un leak est une fuite d’information confidentielle.
Par exemple, à la suite d’un piratage, il arrive que le cybercriminel publie la base de données du serveur auquel il a accédé frauduleusement. Durant les recherches, il est possible de tomber par sur la publication d’un tel leak. Dans ce cas, il peut s’avérer risqué de télécharger ces données car cette action pourrait être assimilée à l’infraction pénal de recel, prévue à l’article 321-1 du Code pénal.
3) Le cas de l’Open Data.
L’Open Data désigne la mise à disposition des données ayant vocation à être librement utilisées, réutilisées et redistribuées par tout le monde.
Ce sont généralement des données d’intérêt public souvent partagées par des institutions, notamment gouvernementales [2].
Par principe, les données en Open Data figurant dans des documents communiqués ou publiés par les administrations peuvent être utilisées par toute personne (physique ou morale, publique ou privée) qui le souhaite, à d’autres fins que celles de la mission de service public pour lesquelles elles ont été produites.
Toutefois, il peut arriver que certains fichiers en Open Data contiennent des données personnelles. C’est le cas par exemple du fichier « Répertoire national des Elus » de l’INSEE publié en Open Data et contenant les noms/prénoms de tous les titulaires d’un mandat électoral en France. Dans ce cas, les ré-utilisateurs des données sont tenus, par exemple, de respecter les dispositions du RGPD et de la loi « Informatique et libertés » du 6 janvier 1978.
III - L’exploitation des données.
La réutilisation des données, leur exploitation n’est pas toujours libre ou licite.
Ainsi, ce n’est pas parce qu’il est possible de collecter les données que l’on peut les utiliser sans aucune restriction, notamment lorsqu’on souhaite rendre de façon pulbique les travaux de ses recherches en sources ouvertes.
1) Les risques d’atteintes aux droits d’auteurs.
Si l’on publie un contenu protégé par un droit d’auteur, cela constitue le délit de contrefaçon prévue à l’article L335-3 du Code de la propriété intellectuelle. Par exemple, la diffusion d’une photo réalisée par un photographe sans avoir obtenu les droits de diffusion auprès de son auteur constitue un acte de contrefaçon.
Avant d’utiliser une œuvre, il faut ainsi déterminer si celle-ci relève du domaine public ou a été publiée par son auteur sous une licence libre permettant les conditions dans lesquelles son utilisation est envisagée. A défaut, l’autorisation de l’auteur doit être obtenue.
Il existe des exceptions, comme par exemple le cas où l’utilisation de ces œuvres n’a pas vocation à être diffusée publiquement (ex : rapport de veille en interne).
2) Les risques d’atteintes à la vie privée.
Les informations collectées sont parfois susceptibles de porter atteinte à la vie privée d’une ou plusieurs personnes. Par exemple, c’est le cas lors de la republication de la photo d’une personne, quand bien même cette photo aurait été postée publiquement par la personne elle-même sur son profil public d’un réseau social.
Toutefois, le risque d’atteinte à la vie privée peut parfois être mis en balance avec le droit à l’information si les éléments divulgués répondent à un besoin légitime d’information au public et si leur publication est strictement nécessaire à cette information.
La Cour d’appel de Bordeaux a eu l’occasion, en 2017, de dégager plusieurs critères pour effectuer cette mise en balance : contribution à un débat d’intérêt général ; notoriété de la personne visée ; mode d’obtention des informations et leur véracité ; contenu ; forme et répercussions de l’article litigieux [3].
3) Le cas du doxxing.
Le doxxing est une pratique consistant à rechercher et à divulguer sur Internet des informations sur l’identité et la vie privée d’un individu dans le but de lui nuire. Le Code pénal définit cette infraction comme
« le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ».
Cette infraction est punie d’un an d’emprisonnement et de 15 000 euros d’amende.
Par exemple, le fait de divulguer publiquement sur un réseau social l’adresse du domicile d’une personne peut constituer cette infraction, quand bien même cette information serait disponible publiquement dans l’annuaire.
IV - La dimension judiciaire de l’OSINT.
L’OSINT est particulièrement utile au monde judiciaire, cela pour plusieurs raisons :
- En amont d’une procédure, ces éléments peuvent apporter des preuves pour préparer toute action contentieuse civile, commerciale ou pénale ainsi que pour préparer toute négociation amiable.
- Au stade d’une enquête pénale par exemple, cette méthode peut contribuer à permettre l’identification de l’auteur de l’infraction.
- Dans le cadre d’un contentieux, l’OSINT va permettre de collecter des preuves pour démontrer votre position et aussi pour contredire les arguments de la partie adverse.
Néanmoins, il existe des règles s’agissant de la production en justice de ces informations, particulièrement concernant leur valeur probante.
1) Peut-on produire en justice des informations collectées grâce à l’OSINT ?
Il est tout à fait possible de produire en justice des informations récoltées en source ouverte, que cela soit au pénal ou au civil.
Sur un plan international, des éléments issus de l’OSINT ont été utilisés à plusieurs reprises pour déclencher l’ouverture d’enquête. Dans son « Plan stratégique 2016-2018 », le Bureau du procureur de la Cour pénale internationale note ainsi que « l’accès à Internet par les victimes, les témoins et les auteurs des crimes créent un environnement dynamique pour surveiller et confirmer la commission de crimes relevant de la compétence de la Cour ».
A titre d’exemple, « Bellingcat », une ONG regroupant des enquêteurs en ligne spécialisés dans la vérification des faits et le renseignement d’origine source ouverte, ont fourni des preuves numériques qui ont été produites devant la Cour pénale Internationale, dans le contexte de la guerre en Syrie [4].
2) La valeur probante des informations récoltées.
Afin de pouvoir produire en justice les informations récoltées, il existe plusieurs solutions, notamment par exemple :
- Ecrire toutes les étapes qui ont permis de parvenir à l’information. Il doit être possible pour un tiers d’accéder à la même information en suivant toutes ces étapes.
- Captures d’écran horodatées.
- Faire appel à un huissier afin qu’il puisse réaliser un constat suivant les règles de l’art en la matière.
- Archivage de la page web grâce à des outils en ligne d’archivage. A ce propos, des jurisprudences récentes reconnaissent la force probante de ces archives. A l’occasion d’un litige devant la cour d’appel de Paris, l’une des parties a produit un procès-verbal d’huissier à partir du site archive.org (Wayback Machine). La partie adverse a demandé que ce dernier soit annulé en soutenant qu’il ne possède pas de force probante. Les juges retiennent qu’il n’y a pas lieu d’écarter cette pièce car les prérequis techniques sur le site d’archivage ont été remplis [5].
3) Le rôle des auxiliaires de justice.
3-1) L’avocat.
L’avocat qui serait formé à la recherche en sources ouvertes pourra renforcer un dossier contentieux ou précontentieux en permettant de collecter des preuves dans les dossiers d’atteintes informatiques, contrefaçon, concurrence déloyale, diffamation, etc.
En outre, cela constitue une aide pour la compréhension des dossiers : obtenir plus rapidement les informations légales d’une société, comprendre son fonctionnement, sa hiérarchie ou encore permettre la mise en place d’une veille juridique plus précise.
Plus largement, l’avocat pourra accompagner son client devant les tribunaux pour faire valoir les preuves récoltées [6].
3-2) Le commissaire de justice (ou huissier de justice).
Le « constat internet » réalisé par un huissier étant un acte authentique, ce dernier fait foi jusqu’à preuve du contraire. Ce mode de preuve est donc particulièrement sécurisant afin d’assurer la force probante d’une information récoltée en source ouverte. Combiner les recherches et les conclusions de l’OSINT avec la force d’un constat d’huissier peut s’avérer intéressant en fonction des besoins, du dossier.
4) Le rôle du détective privé.
Le recours à un détective privé peut s’avérer utile, d’autant que certains se sont spécialisés dans les recherches en sources ouvertes. Ce dernier pourra ainsi produire un rapport qui pourra être admissible devant les tribunaux.
A ce sujet, la jurisprudence avait déjà précisé que « les éléments recueillis par les constatations effectuées par un détective privé sont admissibles en justice selon les mêmes modalités et sous les seules mêmes réserves pour tout autre mode de preuve » [7]. Cependant, les juges du fond apprécieront ce rapport dans sa valeur et sa portée [8]. Cela signifie que le juge devra examiner le rapport mais n’est pas obligé d’en tenir compte.
5) L’usage de l’OSINT par les forces de l’ordre.
A l’occasion d’une enquête criminelle ou délictuelle, les forces de l’ordre peuvent utiliser l’OSINT afin d’identifier l’auteur d’une infraction. Cependant, la réussite de ces enquêtes résulte souvent de la combinaison d’investigations en ligne avec un travail directement sur le terrain [9].
L’affaire Johnny Hallyday (2019) [10] est également un bel exemple de l’usage de l’OSINT dans l’univers judiciaire : dans le cadre du litige concernant sa succession, la question de la compétence de la justice française s’est posée. Le Parquet national financier (PNF) a réussi à déterminer, grâce à ses publications Instagram publiques, que le chanteur passait en réalité entre 130 à 160 jours par an en France, ce qui permettait de le considérer comme résident français et donc de rendre applicable la loi française.
Que faut-il retenir ?
- La pratique de l’OSINT devient incontournable compte tenu de la masse d’informations accessibles et de l’augmentation de pratiques déloyales telles que la création et la diffusion organisée de fausses informations,
- L’intelligence économique, avec l’OSINT, prend sa place dans le quotidien des entreprises qu’il s’agisse de s’assurer des promesses d’un partenaire, de vérifier les arguments soutenus lors d’un litige ou tout simplement de valider la réalité d’une information
- La pratique de l’OSINT est légale à condition d’utiliser vraiment et uniquement des sources ouvertes.
- Le fait qu’une information soit publique ne vous donne pas nécessairement le droit de la republier.
- Il convient de porter une attention particulière au recueil et à la conservation des preuves afin qu’elles puissent produire tous leurs effets et notamment être produites en justice.
- Le monde judiciaire et l’OSINT entretiennent des liens étroits qu’il est intéressant de prendre en compte. Ce n’est pas un outil magique mais cela peut constituer une aide précieuse.
- Il est possible de se former à cette pratique grâce aux associations françaises existantes.