OSINT : quelle recevabilité des informations collectées en matière contentieuse ? (4/4)
Contenu du dossier : 4 articles
- OSINT : quels fondements juridiques le justifient ? (1/4)
- OSINT : licéité de la collecte et de l’utilisation des informations (2/4)
- OSINT : quelle conformité avec le RGPD ? (3/4)
- OSINT : quelle recevabilité des informations collectées ? (4/4)
Une information, bien qu’elle ait été collectée dans le cadre d’une activité d’OSINT fondée sur une base légale légitime, et réalisées dans des conditions assurant le respect des principes juridiques, n’est pas automatiquement recevable en tant que preuve en matière contentieuse.
De manière générale, il faut être attentif à la différence entre la production de l’élément de preuve, et l’admission de l’élément en tant que preuve.
Il convient également de prendre en compte :
-
La provenance de la pièce
-
L’authenticité de la pièce
-
L’anonymat ou non des sources
-
La protection des témoins et des victimes
-
Le respect des législations en vigueur
La législation française et européenne
En droit pénal français, le principe est la liberté de la preuve. Cela semble aller dans le sens d’une recevabilité des rapports d’OSINT dans la mesure où l’article 427 du code de procédure pénale dispose : « hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve et le juge décide d’après son intime conviction. Le juge ne peut fonder sa décision que sur des preuves qui lui sont apportées au cours des débats et contradictoirement discutées devant lui. »
De manière générale, les acteurs principaux à apporter la preuve sont les officiers, les agents de police judiciaire, ainsi que les magistrats. Cependant des éléments peuvent être produits par les parties. La chambre criminelle de la Cour de cassation considère que les juges répressifs ne peuvent écarter les moyens de preuve produits par celles-ci au seul motif qu’ils auraient été obtenus de façon illicite ou déloyale. Il leur appartient uniquement d’en apprécier la valeur probante après les avoir soumis à la discussion contradictoire (Cour de cassation, chambre criminelle, 2002).
Concrètement, le recueil des éléments de preuves numériques va s’opérer par un procès-verbal (de constatation, d’enquête ou d’annexion d’un rapport) de la part des enquêteurs, d’une note d’un assistant spécialisé ou du versement direct au dossier de pièces transmises par les parties.
Il est à noter que l’évolution du droit de la preuve et du principe de loyauté en procédure pénale a offert d’intéressantes applications de la notion de fait justificatif en la matière. La jurisprudence a jugé que la commission de certaines infractions peut être justifiée si elle a été strictement nécessaire à l’exercice des droits de la défense de son auteur et à la production de la preuve dans une instance pénale ou civile.
La jurisprudence a par exemple a considéré qu’un époux indûment accusé de violences conjugales par son épouse produisant une fausse attestation dans le cadre d’une procédure de divorce, était fondé, à produire, pour sa défense, un procès-verbal d’huissier retranscrivant intégralement l’enregistrement d’une conversation entre lui-même et son épouse dans laquelle celle-ci reconnaissait le caractère mensonger de l’attestation (Crim. 31 janv. 2007, no 06-82.383).
Pour ce qui est du droit civil, la Cour de cassation a admis, à travers une décision du 18 mai 2005, la possibilité pour les juges du fond de s’appuyer sur un rapport d’enquête privée, admettant du même coup la licéité de principe du recours à ce mode de preuve en matière de divorce.
En tout état de cause, la seule production d’un rapport d’enquête privée ne saurait suffire. En revanche, lorsqu’il est versé aux débats au soutien ou en complément d’autres éléments de preuve, il est susceptible de constituer un indice supplémentaire sur la réalité des relations adultères nouées par l’un des conjoints et donc d’emporter la conviction du magistrat.
En définitive, l’essentiel, ici comme ailleurs, est de convaincre le juge de l’existence des faits allégués. Et l’on peut une nouvelle fois constater que, lorsqu’il s’agit d’établir la vérité dans le cadre d’une procédure de divorce, en d’autres termes de prouver la faute, le principe du respect de la vie privée constitue rarement un obstacle dirimant1.
En droit public, le Conseil d’État a estimé que l’employeur public est tenu d’une obligation de loyauté à l’égard de ses agents et en déduit qu’il ne saurait « fonder une sanction disciplinaire à l’encontre de l’un de ses agents sur des pièces ou documents qu’il a obtenus en méconnaissance de cette obligation [de loyauté], sauf si un intérêt public majeur le justifie » (CE 16 juill. 2014, req. N° 355201 ). La déloyauté des procédés mis en œuvre pour obtenir une preuve est donc ici prise en considération. Cette preuve pourrait cependant être admise si un intérêt public majeur le justifie. En l’espèce, le Conseil d’État livre une interprétation sensiblement moins exigeante de la loyauté de la preuve en admettant que la sanction puisse s’appuyer sur le rapport d’une agence de détectives dès lors que ce rapport reposait « sur des constatations matérielles du comportement de [l’agent] à l’occasion de son activité et dans des lieux ouverts au public. ».
La règlementation mondiale
En ce qui concerne la règlementation mondiale, plusieurs pistes sont à prendre en compte.
Le statut de Rome de la Cour pénale internationale, prévoit en son article 54 que le procureur « étend l’enquête à tous les faits et éléments de preuve qui peuvent être utiles pour déterminer s’il y a responsabilité pénale », sans que le type de preuve ne soit précisé.
Ainsi les juges vont apprécier de manière souveraine chaque élément de preuve, et pour qu’un élément soit considéré comme tel il faut que celui-ci remplisse trois critères, à savoir :
-
La pertinence
-
La valeur probante
-
La prise en compte des exigences d’un procès équitable
A côté de cela, le protocole de Berkeley est la première publication contenant des directives mondiales concernant des données numériques publiques (photos, vidéos, autres informations publiées sur les médias sociaux comme Facebook, Twitter, Youtube) en tant que preuves lors d’enquêtes sur les violations du droit pénal international, des droits de l’homme et du droit humanitaire international.
Il a été conçu par le Centre des droits de l’homme de l’Université de Californie à Berkeley et par le Haut-Commissariat des Nations unies aux droits de l’homme (HCDH).
Il est énoncé notamment que l’ensemble des personnes participantes sont responsables de la sécurité d’une enquête et des personnes concernées. Ainsi il est important de doubler les précautions relatives à la sécurité concernant l’infrastructure, le matériel, les logiciels et les réseaux, mais aussi sur le comportement des enquêteurs et de l’ensemble des personnes avec qui ces derniers interagissent.
Ces évaluations de sécurité doivent être effectuées à trois niveaux :
-
Au niveau de l’organisation
-
Au niveau de l’enquête ou du cas spécifique
-
Au niveau des activités et des tâches spécifiques
Les mesures de protection doivent être mises en place de manière à permettre une atténuation des risques et des menaces tels qu’ils ont été identifiés dans l’évaluation des risques de l’enquête.
Les évaluations de sécurité doivent d’ailleurs tenir compte de tous les types de préjudices, notamment numériques, financiers, juridiques, physiques, psychosociaux et de réputation. Le rapport estime que certaines des plus grandes vulnérabilités concernant les enquêtes en OSINT sont associés aux données de connexions Internet et aux adresses IP ainsi qu’à l’analyse de manière plus large du comportement des utilisateurs.
Les enquêteurs et l’organisme d’enquête doivent suivre une formation continue en matière de sécurité et déployer des mesures de protection qui seront amenées à évoluer avec le temps en fonction de la nature changeante des menaces ou des vulnérabilités.
Le protocole avance des principes professionnels, méthodologiques et éthiques :
-
Les principes professionnels sont la responsabilité, la compétence, l’objectivité, la légalité et la sensibilisation à la sécurité.
-
Les principes méthodologiques sont la précision, la minimisation des données, la conservation et la sécurité dès la conception.
-
Les principes éthiques quant à eux abordent la dignité, l’humilité, l’inclusivité, l’indépendance et la transparence.
Ce protocole donne donc des directives larges concernant le cadre de l’utilisation de l’OSINT, mais pouvant servir de base pour une règlementation à venir.
Il explique notamment qu’il est important de déterminer quelles lois peuvent s’appliquer afin de savoir ce qu’il est possible de collecter sur une personne et selon quel moyen. Cela pourra également varier selon l’identité des enquêteurs (osinteurs), l’identité de leurs cibles, le but et l’objet de l’enquête, mais aussi les données collectées et les procédures judiciaires associées dans le/les pays en question. Il sera également important de veiller à préserver l’intégrité des données collectées et à documenter les actions qui ont été accomplies afin de les obtenir de manière à rendre la preuve admissible dans un tribunal.
Le seuil nécessaire de preuve numérique sera variable selon le type d’enquête et son objectif final (procédure pénale, litige civil, processus de justice transitionnelle). Il faut cependant garder à l’esprit que la violation du droit à la vie privée d’un individu peut conduire à l’exclusion des preuves.
Conditions de légalité d’un logiciel d’OSINT
Lorsque le client est une personne privée, le fonctionnement du logiciel ne doit pas permettre la commission des infractions de droit pénal mentionnées ci-dessus et suivant l’article 323-3-1, non plus « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3. ».
Lorsque le client est une personne publique investie de pouvoirs d’investigation, le logiciel doit se conformer aux règles applicables à ladite personne publique. Enfin, le logiciel doit être conçu en conformité avec le RGPD et la loi Informatique et Libertés.
La recevabilité des informations collectées via OSINT en tant que preuve en matière pénale reste donc l’apanage du juge, mais les travaux en cours sur le sujet ouvrent la voie à une réglementation plus précise de la pratique qui permettrait une appréciation plus objective.
Les textes de référence :
-
Article 6.1 f du RGPD (base légale de l’intérêt légitime)
-
Article 14.5b du RGPD (exemption d’information des personnes en cas d’effort disproportionné)
-
Article 34 du RGPD (notification d’une violation de données à la personne concernée)
-
Considérant 49 du RGPD (intérêt légitime de la sécurité du réseau et des systèmes d’information)
-
Article 12 et 14 du RGPD (information des personnes)
-
Articles 323 à 323-8 du code pénal (peines en cas d’atteinte à un système de traitement automatisé de données).
-
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000711604/ (Sapin I)
-
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033558528/ (loi Sapin II)
-
Le protocole de Berkeley en pièce jointe
-
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037108959/2022-04-21 (Article 427 du Code de Procédure pénale)
-
https://www.icc-cpi.int/sites/default/files/Statut-de-Rome.pdf (Statut de Rome de la Cour pénale internationale)
1 Dalloz référence Droit et pratique du divorce – E – Autres modes de preuve -122.261. Rapports d’enquête privée.