Dans un monde où l’information est omniprésente, le renseignement d’origine source ouverte – Open Source Intelligence, « OSINT », ou en français « ROSO » – est devenu un outil crucial. Les professionnels de la cybersécurité ou encore les entreprises utilisent l’OSINT afin de rester compétitives et se protéger.
D’une manière générale, l’OSINT consiste à recueillir des informations provenant de sources ouvertes et accessibles au public (réseaux sociaux, sites web, etc.)
L’essentiel sur l’OSINT en quelques slides
Quelques précisions et liens utiles, dans le texte ci-dessous.
Une utilisation accrue de l’OSINT
L’objectif principal de l’OSINT est de compiler des données disparates pour en tirer des conclusions utiles, que ce soit, par exemples, pour la sécurité nationale, la cybersécurité, les enquêtes journalistiques ou les recherches privées. Les techniques d’OSINT permettent notamment de détecter des failles de sécurité ou de rassembler des preuves dans le cadre de litiges.
A titre d’illustration, les techniques faisant appel à de l’OSINT sont utilisées dans de nombreux domaines comme :
- Dans le cadre d’enquête sur la manipulation de l’opinion publique et la lutte contre les opérations de désinformation (voir par exemple l’enquête sur l’ingérence russe dans le champ informationnel africain),
- Pour identifier des menaces, des vulnérabilités voire des auteurs d’une cyberattaque (par la collecte d’adresses IP utilisées et en recoupant des informations.
Au-delà d’une approche technique, l’OSINT soulève des questions juridiques, qui, selon les cas d’usage, nécessitent de se conformer à des règles strictes pour protéger les droits des individus et des organisations.
Il est donc impératif de respecter les réglementations en vigueur concernant la vie privée, la propriété intellectuelle ou encore les droits d’accès aux données. Seule une pratique encadrée, proportionnée et éthique de l’OSINT permettra de tirer pleinement parti de ses avantages tout en évitant les risques juridiques.
L’OSINT et le droit pénal
L’OSINT doit impérativement respecter le principe de légalité de l’accès aux données. La différence entre une recherche légitime et une atteinte à un Système de Traitement Automatisé de Données (STAD) peut être ténue. Selon l’article 323-1 du Code Pénal, un accès est qualifié de « frauduleux » s’il est réalisé sans autorisation. Par exemple, accéder à des pages en libre accès qui ne devraient pas être référencées, telles que des documents marqués « confidentiels », peut soulever un risque juridique.
L’OSINT et le droit de la propriété intellectuelle
La pratique de l’OSINT implique fréquemment des techniques dites de « scraping » (ou moissonnage), qui consistent à extraire automatiquement des contenus depuis un site Internet à l’aide de scripts ou de programmes dédiés. Le scraping peut porter atteinte aux droits du producteur de la base de données.
Pour rappel, l’article L342-1 du Code de la propriété intellectuelle, dispose qu’il est interdit d’extraire « (…) une partie qualitativement ou quantitativement substantielle du contenu d’une base de données (…) ». Ainsi, scraper l’intégralité d’un site web peut constituer une infraction, punie de trois ans d’emprisonnement et de 300 000 euros d’amende, conformément à l’article L343-4 du même code.
En outre, l’OSINT doit respecter les règles propres aux droits d’auteur. Publier un contenu protégé par le droit d’auteur sans autorisation constitue un délit de contrefaçon, tel que défini à l’article L335-3 du Code de la propriété intellectuelle.
Selon les cas d’usage, il est intéressant de garder à l’esprit l’exception de fouilles de données (« data mining ») dans le cadre de la reproduction numérique. La fouille de données se définie comme la « mise en œuvre d’une technique d’analyse automatisée de textes et données sous forme numérique afin d’en dégager des informations, notamment des constantes, des tendances et des corrélations ». Les dispositions de l’article L122-5-3-II du Code de la Propriété Intellectuelle précisent que des « copies ou reproductions numériques d’œuvres auxquelles il a été accédé de manière licite peuvent être réalisées sans autorisation des auteurs en vue de fouilles de textes et de données menées à bien aux seules fins de la recherche scientifique » par des organismes de recherche et institutions du patrimoine culturel (musés, bibliothèques …) et « à leur demande par d’autres personnes, y compris dans le cadre d’un partenariat sans but lucratif avec des acteurs privés ».
Sans préjudice des dispositions mentionnées ci-dessous, « des copies ou reproductions numériques d’œuvres auxquelles il a été accédé de manière licite peuvent être réalisées en vue de fouilles de textes et de données menées à bien par toute personne sauf si l’auteur s’y est opposé de manière appropriée » comme le précise l’article L122-5-3-III du CPI.
En d’autres termes, dans le cadre de l’OSINT, ces dispositions peuvent être utiles à condition de mettre en place une gouvernance afin de garantir notamment la licéité de l’accès aux œuvres, l’absence d’un mécanisme de « opt out » de la part du titulaire des droits ainsi que le fait que « les copies et reproductions sont stockées avec un niveau de sécurité approprié puis détruites à l’issue de la fouille de textes et de données » comme dispose l’article L122-5-3-III précité.
L’OSINT et la protection des données à caractère personnel
Le respect du RGPD et de la loi Informatique et Libertés est essentiel dans la pratique de l’OSINT.
Comme le précise la CNIL : « La réutilisation d’information disponible publiquement n’est pas interdite par principe. Cependant, elle doit notamment respecter les principes de protection des données contenus dans le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés (loyauté de la collecte, base légale du traitement, information des personnes, finalité, etc.) » (Recoupement d’informations en ligne : ce que vous publiez peut dévoiler votre vie privée, 6 février 2024).
La Cnil a publié des recommandations spécifiques pour encadrer la pratique dite de la Recherche sur Internet de Fuites d’Informations (RIFI). Elle insiste sur la répartition des rôles et des responsabilités entre l’entreprise cliente (le responsable du traitement) et l’entreprise prestataire (sous-traitant).
Pour justifier l’utilisation de la RIFI, plusieurs conditions doivent être remplies :
- démontrer un intérêt légitime et prouver que la RIFI est nécessaire pour atteindre l’objectif visé,
- un équilibre doit être trouvé entre l’intérêt de l’organisme et les droits des personnes concernées,
- la durée de conservation des données doit être limitée et déterminée en fonction de l’objectif de la recherche et les données non pertinentes doivent être supprimées après l’analyse,
- les droits des personnes doivent être respectés, incluant le droit d’accès, de rectification, d’effacement, de limitation du traitement ou encore d’opposition.
Récemment la Cnil a publié des recommandations pour les réutilisateurs de données publiées sur Internet : ces dernières tout en élargissant le champ d’étude, le guide co-édité en 2019 par la Cnil et la CADA sur l’ouverture et la réutilisation des données publiques.
Sur le plan opérationnel, ces fiches fournissent une grille d’analyse générale permettant à tout réutilisateur de données en ligne d’identifier les actions à entreprendre, selon son cas d’usage, afin de respecter la réglementation applicable en matière de protection des données à caractère personnel.
L’OSINT et le recueil de preuve
L’OSINT joue un rôle crucial dans le domaine judiciaire en apportant des éléments de preuves pour les actions civiles, commerciales ou pénales. En droit civil, le 22 décembre 2023, l’Assemblée plénière de la Cour de cassation a opéré un revirement de jurisprudence, en admettant désormais que la production d’une preuve déloyale peut être recevable. Ainsi, un mode de preuve déloyale n’est plus nécessairement écarté des débats : le juge doit se livrer à un contrôle de proportionnalité en mettant en balance les droits en cause.
En droit pénal, le principe de la liberté de la preuve permet d’utiliser divers moyens de preuve, y compris ceux issus de l’OSINT, conformément à l’article 427 du Code de procédure pénale.
Ainsi, l’usage de l’OSINT devient un outil opérationnel puissant pour les acteurs judiciaires, offrant des moyens probants supplémentaires et diversifiés pour étayer les dossiers, tout en nécessitant une évaluation rigoureuse de leur admissibilité et de leur impact sur les droits des parties en cause.
Pour résumer, en naviguant avec soin dans ces « eaux juridiques », les praticiens peuvent maximiser les avantages de l’OSINT tout en minimisant les risques juridiques.
A ce titre, Mathias Avocats accompagne les acteurs de l’OSINT, les experts et leurs clients, dans le cadre de la définition de stratégies visant à optimiser leurs actions dans le respect du droit.
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !