OSINT : licéité de la collecte et de l’utilisation des informations (2/4)
Contenu du dossier : 4 articles
- OSINT : quels fondements juridiques le justifient ? (1/4)
- OSINT : licéité de la collecte et de l’utilisation des informations (2/4)
- OSINT : quelle conformité avec le RGPD ? (3/4)
- OSINT : quelle recevabilité des informations collectées ? (4/4)
La dimension « open source » de l’OSINT peut sembler lui conférer une licéité de facto. Mais si l’obtention et la consultation d’une information issue d’une base de données en libre accès ne constitue pas, a priori, des actes illicites, les conditions dans lesquelles ils sont réalisés peuvent, elles, être préjudiciables.
Le principe de respect de la vie privée
Lorsque les enquêtes visent des personnes physiques, le principal enjeu de l’activité d’OSINT est le respect de la vie privée.
La conception civile protège ainsi la vie privée contre toute atteinte portée au droit au nom, à l’adresse, à la sépulture, à l’image, à la voix, à l’honneur, aux opinions religieuses et philosophiques, aux amours, aux amitiés amoureuses, au divorce, au mariage, ou encore à la santé.
Dans la jurisprudence de la Cour Européenne des Droits de l’Homme, font ainsi partie de la vie privée les convictions religieuses, philosophiques, morales ou politiques d’une personne, mais encore sa santé, sa vie familiale, ainsi que tous les rapports affectifs que celle-ci peut entretenir, sans les limiter aux rapports familiaux ou conjugaux. La vie privée concerne également le sexe et la vie sexuelle des personnes. Elle s’étend surtout à la vie professionnelle et à la vie matérielle, habituellement considérées comme faisant partie de la vie publique. Cette position repose en réalité sur une conception subjective de la vie privée qui reconnaît à la volonté de la personne le pouvoir d’intégrer dans le cadre de la vie privée une activité pourtant publique lorsqu’il souhaite la tenir secrète.
En matière pénale, la cour d’appel de Paris a ainsi précisé que la « vie privée s’entend de l’intimité de l’être humain en ses divers éléments afférents notamment à sa vie familiale, à sa vie sentimentale, à son image ou à son état de santé qui doivent être respectés en ce qu’ils ont trait à l’aspect le plus secret de la personne ».
Les conditions de la collecte des données
En matière pénale, l’article 226-1 du code pénal condamne le fait de porter atteinte à l’intimité de la vie privée d’autrui au moyen d’un procédé quelconque. Il définit pour cela un certain nombre de comportements : le 1° incrimine ainsi différents comportements d’espionnage auditif ; le 2° vise quant à lui des comportements d’espionnage visuel.
Les actes visés à l’article 226-2 du code pénal protègent la vie privée contre la conservation, la divulgation ou l’utilisation de tout enregistrement ou document obtenu à l’aide de l’un des actes prévus à l’article 226-1 du code pénal.
Ainsi, lors de la collecte d’information, le prestataire d’OSINT doit veiller à ne pas traiter et diffuser/utiliser des contenus constitutifs de l’infraction de l’article 226-1 du code pénal (enregistrement illicite) afin de ne pas encourir les peines de l’infraction prévue à l’article 226-2.
Par ailleurs, l’article 323-3 du Code pénal sanctionne le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient et l’article 321-1 sanctionne le recel qui est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit.
Ainsi, si le prestataire d’OSINT collecte des informations provenant d’un vol de données en toute connaissance, et les transmet à son client, il pourrait être poursuivi pour recel de l’infraction de l’article 323-3.
Le prestataire d’OSINT doit donc être extrêmement vigilant quant à l’origine des données qu’il collecte afin de ne pas de rendre coupable des infractions exposées ci-dessus. Aussi, il convient de s’intéresser aux moyens du prestataire d’OSINT pour accéder à l’information, notamment par la création de faux comptes.
Par exemple, pour accéder à des informations d’un compte privé sur un réseau social, le prestataire d’OSINT peut être tenté de créer un faux compte, en faisant usage d’une fausse identité. Un tel agissement peut entrer dans la qualification d’usurpation d’identité, réprimée pénalement (article 226-4-1 du code pénal).
L’usage d’un faux compte pour accéder à des informations d’un compte privé pourrait également, suivant les circonstances, engager la responsabilité civile du prestataire d’OSINT.
Aussi, les réseaux sociaux prévoient parfois dans leurs conditions générales d’utilisation, l’interdiction de tels comportements. Par exemple, les CGU d’Instagam stipulent :
« Utilisations interdites d’Instagram. La fourniture d’un Service ouvert et sûr à une vaste communauté nécessite que chacun y apporte sa contribution.
- Vous ne pouvez pas usurper l’identité d’autrui ni fournir des informations erronées.
Vous n’avez pas l’obligation de révéler votre identité sur Instagram, mais vous devez nous fournir des informations exactes et à jour (y compris les informations d’inscription), ce qui peut inclure de fournir des données personnelles. Vous ne pouvez pas usurper l’identité de quelqu’un ou d’une chose que vous n’êtes pas et vous ne pouvez pas créer de compte pour une autre personne, sauf si vous avez son autorisation expresse. » https://help.instagram.com/581066165581870/?locale=fr_FR
Même dans le cas d’une recherche en OSINT fondée sur une base légitime, les moyens employés pour collecter et utiliser les informations conditionnent donc leur licéité. Il est, par conséquent, essentiel que le prestataire d’OSINT soit vigilant dans sa pratique.