OSINT : quels fondements juridiques le justifient ? (1/4)

  • Avertissement : cet article engage uniquement son auteur. s dans ce guide.

Contenu du dossier : 4 articles

Introduction :

L’OSINT (Open Source INTelligence), aussi appelé Recherche en Sources Ouvertes (ROSO) en français, est une pratique qui consiste à consulter des sources en accès libre, ce qui constitue une activité de renseignement. L’OSINT permet notamment de constituer une base de données favorisant la compréhension d’un sujet complexe, en liant des informations entre elles. Cette pratique de renseignement est utilisée par des enquêteurs, des journalistes, ou encore des professionnels de la sécurité et de l’informatique. Si l’OSINT n’est pas exclusivement exercée sur internet, le développement des nouvelles technologies ces 20 dernières années a fortement potentialisé la pratique.

Pourquoi avoir recours à l’OSINT ?
Le recours à l’OSINT peut se révéler judicieux pour obtenir et utiliser une information, et permettre de se positionner vis-à-vis de la concurrence. L’OSINT est également indispensable dans la protection de l’information, et dans le but de détecter les failles susceptibles de pénaliser sa propre entreprise (RIFI). Enfin, l’OSINT permet d’accéder à des informations essentielles pour conserver une certaine influence et faire valoir ses intérêts.

Dans ce cadre, le traitement de données personnelles dans le cadre de l’activité d’OSINT peut être justifié en se fondant notamment sur l’intérêt légitime de la société cliente ou sur le consentement de la personne concernée (lorsque le client, personne physique, fait appel à une société d’OSINT pour trouver des informations sur sa propre personne) ou encore sur le fondement d’une obligation légale lorsque que le client est soumis, dans des cas spécifiques, à une obligation de réaliser une enquête.

Le régime juridique de l’activité d’OSINT est complexe car il n’existe pas, à l’heure actuelle en droit français, de cadre légal dédié à ce sujet. Ainsi, il convient en premier lieu de s’intéresser aux conditions d’exercice de l’activité d’OSINT (voir l’article OSINT, quels fondements juridiques le justifie ?), puis d’identifier les règles applicables à la collecte et au traitement des informations (voir les articles OSINT : licéité de la collecte et de l’utilisation des informations et OSINT : quelle conformité avec le RGPD ?). Ensuite, il est important de définir les conditions de recevabilité des rapports d’OSINT comme preuve dans le cadre contentieux. Enfin, dans le cas de l’utilisation d’un logiciel permettant de faire de l’OSINT, il est essentiel de s’assurer que celui-ci répond à certaines conditions (voir l’article OSINT : quelle recevabilité des informations collectées en matière contentieuse ?).

OSINT : Quels fondements juridiques le justifient ?

L’OSINT ne semble pas, par principe, interdit, dans la mesure où nous n’avons identifié aucune règle de droit français interdisant formellement le fait, pour une personne/société privée, de consulter et de compiler des sources sous la forme d’une pratique de renseignement pour son compte. Aussi, il est possible d’appréhender les règles applicables à l’OSINT suivant le régime applicable au contexte de la demande du client.

Par exemple, dans le cas où le client est un organisme soumis à la loi Sapin II, en cas d’alerte, le client doit effectuer une enquête interne ou phase d’instruction. La phase d’instruction d’une alerte est entendue comme la période qui débute par la réception de l’alerte par l’organisme, et qui se termine par la prise de décision quant aux suites réservées à celle-ci. Cette phase permet à l’organisme de mener une enquête sur les faits signalés. Pendant cette période, le dispositif d’alerte peut être utilisé en vue de documenter les diligences accomplies par l’organisme en ce sens (analyse juridique et technique des faits, collecte des preuves, échanges avec différentes parties prenantes, audition des témoins, réalisation d’actes d’expertise, etc.)1.

S’agissant de la collecte de preuve, l’organisme peut vouloir faire appel aux services d’un prestataire d’OSINT. L’activité du prestataire d’OSINT sera donc conditionnée par le régime de la loi Sapin II, à savoir que le contrat entre l’organisme et le prestataire devra prévoir une obligation de confidentialité renforcée. Le prestataire devra respecter la procédure d’enquête interne de l’entreprise pour mener ses investigations et les règles de la protection des données personnelles devront être respectées notamment.

Dans une affaire, la CJUE2 a constaté que la profession d’agent immobilier constituait une profession règlementée en Belgique. L’activité de détective privé agissant pour le compte de l’IPI, qui est chargé de veiller au respect de la déontologie de cette profession réglementée, relève de l’exception prévue à l’article 13, § 1, sous d), de la directive nº 95/46/CE, étant donné que cette directive ne précise pas « les modalités de la recherche et de la détection des manquements à la réglementation, il y a lieu de considérer que cette directive n’empêche pas un tel organisme professionnel d’avoir recours à des enquêteurs spécialisés, tels que des détectives privés chargés de cette recherche et de cette détection, afin d’accomplir sa mission (CJUE, 7 nov. 2013, aff. C-473/12, IPI c/ Geoffrey E., Grégory F.) ».

Aujourd’hui c’est l’article 23 du RGPD3 « Limitations » qui régit ces exceptions. Par analogie, dans le cadre de la recherche et de la détection des manquements à la règlementation, le RGPD permet que les traitements de données personnelles soient sous-traités et le recours à un prestataire d’OSINT serait tout à fait possible.

L’activité de généalogie peut également s’apparenter à de l’OSINT dans la mesure où elle nécessite d’accéder à des ressources pour collecter des données personnelles relatives à la situation familiale d’une personne. Cette activité de généalogie est néanmoins plus réglementée que celle de l’OSINT. En effet, le généalogiste peut procéder à des investigations auprès d’un certain nombre de services d’archives départementales ou municipales où sont conservés les informations et documents relatifs à l’identité d’un défunt et à sa situation familiale.  Il peut également effectuer ses recherches dans les déclarations de succession détenues par les services fiscaux.

Ainsi en vertu de l’article L. 106 du Livre des procédures fiscales, des extraits de ces déclarations peuvent être directement délivrés, pour le besoin de recherches de généalogie successorale, au notaire chargé du règlement d’une succession ou à la personne qui agit à sa demande (i.e un généalogiste mandaté). Précédemment, cette communication ne pouvait avoir lieu que sur ordonnance du juge du tribunal d’instance.  Cependant, il est important de souligner que le généalogiste ne peut obtenir communication des extraits de ces actes que s’il agit sur mandat d’un notaire.

Quant à l’accès aux registres d’état civil de moins de cent ans, la consultation est interdite sans autorisation du procureur de la République (L. n° 79-18, 3 janv. 1979, art. 7 ; D. n° 62-921, 3 août 1962, art. 8, mod. par D. n° 68-148, 15 févr. 1968). Une circulaire du ministère de la justice du 29 septembre 2004 fixe plusieurs recommandations quant à l’accès aux registres d’état civil de moins de cent ans. Elle établit notamment un certain nombre de critères et invite à ne délivrer au généalogiste que des autorisations d’une durée déterminée ne permettant d’obtenir communication des registres que pour un seul dossier de succession à la fois.

La durée des autorisations n’est pas uniforme. D’une part, certains procureurs ne les accordent que pour des périodes de quelques mois, et d’autres pour des périodes d’un ou deux ans.  D’autre part, certains continuent à accorder des autorisations générales alors que d’autres délivrent des autorisations assez restrictives ne permettant communication qu’au cas par cas.

Par ailleurs, selon l’article 30 du décret n° l’article 30 du décret n°-2017-890 du 6 mai 2017 relatif à l’état civil : « Les généalogistes intervenant hors les cas prévus au cinquième alinéa, ne peuvent obtenir la copie intégrale d’un acte de naissance, d’un acte de reconnaissance, d’un acte de mariage et d’un acte de décès qu’en vertu d’une autorisation du procureur de la République. En cas de refus de celui-ci, ils peuvent saisir le président du tribunal judiciaire qui statue par ordonnance de référé. »

De même ils peuvent également obtenir un extrait, avec indication de la filiation, des actes de naissance et des actes de mariage sous réserve qu’ils justifient de l’autorisation de consultation des actes de l’état civil délivrée par l’administration des archives et qu’ils soient porteurs d’un mandat ou d’une demande émanant d’un notaire, d’un organisme d’assurance ou de toute autre personne ayant un intérêt direct et légitime (article 32). Les autres personnes ainsi que les généalogistes intervenant hors le cas prévu au quatrième alinéa ne peuvent se voir délivrer ces extraits que dans les conditions prévues au septième alinéa de l’article 30.

Enfin, il est important de préciser, que dans tous les cas, les règles relatives au respect de la vie privée (en droit civil et en droit pénal), ainsi que celles en matière de traitement de données personnelles, ont vocation à s’appliquer.

Comment établir les conditions d’un exercice légal de l’OSINT ?

L’activité d’OSINT par un acteur privé peut être assimilé à l’activité de détective privé (agent de recherche privé) dans la mesure où ces deux activités ont pour objet la recherche d’information par un acteur privé pour le compte d’un client.

Cependant, comme nous le mentionnions dans l’introduction de cet article, l’activité d’OSINT n’est, pour l’heure, soumise à aucune autorisation, tel qu’un agrément, comme c’est effectivement le cas pour les agents de recherche privé.

Ainsi, « le détective privé ou enquêteur privé ou encore agent de recherches privées (ARP) qui est aujourd’hui le terme officiel, est un professionnel libéral qui exerce en toute indépendance une activité dont le but est de recueillir des informations ou des renseignements destinés à des tiers, en vue de la défense de leurs intérêts. L’activité englobe, d’une manière générale, toute personne effectuant des investigations pour le compte de tiers sans être titulaire d’un mandat de justice . Depuis la modification de la loi n° 83-629 du 12 juillet 1983 relative aux activités de sécurité privée, la profession d’agent de recherches privées est réglementée par le CODE DE LA SECURITE INTERIEURE – Livre 6 -Titre 2. L’accès à la profession est soumis à certaines conditions, notamment l’obtention d’un agrément délivré par une autorité administrative, le CNAPS, et la justification d’une qualification professionnelle. L’ARP agit en tant que mandataire de son client en vertu des articles 1984 à 2010 du Code civil. L’ARP est soumis à l’obligation de moyens et non de résultats, ainsi qu’au secret professionnel en raison de la confidentialité des consultations et des actes qui lui sont demandés »4 .

L’obtention d’un agrément
Ainsi, en dehors des cas où le prestataire d’OSINT effectue des investigations pour le compte d’un client sans être titulaire d’un mandat de justice ou des cas où il effectue des recherches sur le fondement d’une obligation légale de son client (par exemple, dans le cadre de la procédure d’alerte de la loi Sapin II), il pourrait être intéressant de soumettre l’activité d’OSINT à la délivrance d’un agrément précédé d’une formation spécifique.

L’établissement d’un code de bonnes conduites
Par ailleurs, l’établissement d’un code de bonnes conduites des professionnels de l’OSINT pourrait être une solution alternative ou complémentaire à l’agrément.

Le respect d’un code des bonnes pratiques RGPD
Enfin, l’activité d’OSINT impliquant des traitements de données à caractère personnel, il serait intéressant de travailler en coopération avec la CNIL afin d’établir un guide des bonnes pratiques qui n’entravent pas l’essence de l’activité, tout en prévoyant un cadre respectueux de la vie privée (voir l’article OSINT : quelle conformité avec le RGPD ?).

Si les fondements juridiques ne manquent pas pour justifier la nécessité d’un recours à l’OSINT, l’absence d’une cadre légal spécifique à cette activité est un frein qui doit être levé, pour assurer l’intégrité de la profession mais aussi pour garantir le respect de la vie privée et des principes du RGPD.

1 Référentiel applicable aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, adopté le 18 juillet 2019.

2 Cour de justice de l’Union européenne.

3 Règlement général sur la protection des données.

4 https://detective-prive.info/cadre-legal-de-la-profession-de-detective-prive/