Les techniques d’Open Source INTelligence (OSINT) ou Renseignement en sources ouvertes (Roso), autrefois réservées aux services régaliens, sont de plus en plus utilisées par les entreprises. Les enjeux de conformité sont d’autant plus prégnants avec l’usage de l’IA. Zoom sur l’OSINT et les bons réflexes pour y recourir en toute légalité.
Open Source INTelligence (OSINT), enjeux juridiques et stratégies à adopter pour optimiser ses actions dans le respect du droit
L'OSINT consiste à recueillir des informations disparates provenant de sources ouvertes et accessibles au public (réseaux sociaux, sites web, etc.). Ces techniques permettent notamment de détecter des failles de sécurité ou de rassembler des preuves dans le cadre de litiges. Les entreprises y ont recours pour identifier des menaces, des vulnérabilités, voire des auteurs d’une cyberattaque, notamment par la collecte d’adresses IP utilisées et en recoupant des informations.
Quelles questions juridiques soulève l’utilisation de l’OSINT ?
De nombreux domaines du droit sont concernés par l’OSINT, notamment le droit pénal et celui de la propriété intellectuelle, la réglementation relative aux données personnelles. Selon les cas d’usage, celui de cette technique nécessite de se conformer à des règles pour protéger tant les droits des individus (droit à la vie privée, etc.) que des organisations (protection des actifs). La nécessité, la proportionnalité, l’intérêt légitime sont des éléments clés pour gérer le risque juridique.
L’OSINT doit respecter le principe de la légalité de l’accès aux données. La différence entre une recherche légitime et une atteinte à un Système de traitement automatisé de données (STAD) peut être ténue. Selon l’article 323-1 du Code pénal, un accès est qualifié de "frauduleux" si ce dernier est réalisé sans autorisation. Le code de la propriété intellectuelle conditionne la « data mining », ou fouille de données, à une gouvernance spécifique qui garantit plusieurs fondamentaux : la licéité d’accès aux œuvres, un mécanisme d’opt-out pour les personnes titulaires des droits, un niveau de sécurité approprié et la destruction des copies (l’article L122-5-3 du code de la propriété intellectuelle).
"Une gouvernance doit être mise en place afin de garantir notamment la licéité de l’accès aux œuvres"
De quels procédés techniques dépend l’OSINT ?
La pratique de l’OSINT implique régulièrement des techniques dites de « scraping », ou de moissonnage, qui consistent à extraire automatiquement des contenus depuis un site Internet à l’aide de programmes dédiés. Le scraping peut porter atteinte aux droits du producteur de la base de données (cf. article L342-1 du code de la propriété intellectuelle), indépendamment du contenu qui peut être protégé. Rappelons que publier un contenu protégé par le droit d’auteur sans autorisation constitue un délit de contrefaçon. D’une manière générale, dans le cadre de l’OSINT, une gouvernance doit être mise en place afin de garantir notamment la licéité de l’accès aux œuvres.
En matière de protection des données à caractère personnel et de la vie privée, que préconisent les autorités ?
Le respect du RGPD et de la loi informatique et libertés reste essentiel dans la pratique de l’OSINT. Comme le précise la Cnil : "La réutilisation d’information disponible publiquement n’est pas interdite par principe. Cependant, elle doit notamment respecter les principes de protection des données (RGPD) et la loi informatique et libertés (loyauté de la collecte, base légale du traitement, information des personnes, finalité, etc.)."
Le CEPD (Comité européen de la protection des données) a également rappelé, dans ses lignes directrices sur le traitement des données à caractère personnel (publiées le 8 octobre 2024), les conditions permettant d’invoquer l’intérêt légitime. La formation restreinte a également sanctionné à hauteur de 240 000 euros une société qui se constituait une base de coordonnées à partir de LinkedIn et d’autres sites web (usage du scrapping), pour des manquements à des principaux fondamentaux du RGPD (comme le défaut de base légale, des durées disproportionnées de conservation des données ainsi que des défauts de transparence, d’information et de droits d’accès des personnes).
Quels bons réflexes les entreprises doivent-elles mettre en place ?
La Cnil a émis des recommandations clés pour encadrer la pratique dite de la Recherche sur Internet de fuites d’informations (Rifi). Celles-ci aiguilleraient les entreprises désireuses de recourir à l’OSINT. La commission insiste sur la répartition des rôles et des responsabilités entre l’entreprise cliente (le responsable du traitement) et l’entreprise prestataire (le sous-traitant). Pour justifier l’utilisation de la Rifi, il faut démontrer un intérêt légitime, autrement dit la base légale du traitement, et démontrer que la Rifi est nécessaire pour atteindre l’objectif. Il est nécessaire de documenter le processus, notamment avec la réalisation d’une mise en balance des intérêts, entre autres avec la justification des délais de conservation, le respect de la licéité du traitement.
"L’usage de l’OSINT devient un outil opérationnel pour tous les acteurs judiciaires"
Les entreprises devront être particulièrement vigilantes. Selon les usages, l’utilisation de l’OSINT devra donner lieu à une analyse de risques, et à une évaluation de l’impact sur la vie privée des personnes concernées. Le recours à de telles solutions nécessite donc une importante démarche en amont de mise en conformité.
L’OSINT, un outil pour collecter des preuves ?
L’OSINT joue effectivement un rôle crucial dans le domaine judiciaire en apportant des éléments de preuves pour les actions civiles, commerciales ou pénales, y compris dans le cadre d’enquêtes internes. En droit civil, le 22 décembre 2023, l’Assemblée plénière de la Cour de cassation a opéré un revirement de jurisprudence, en admettant désormais que la production d’une preuve en principe déloyale peut être recevable : le juge doit se livrer à un contrôle de proportionnalité en mettant en balance les droits en cause. Cet arrêt important tend à rapprocher le droit civil du droit pénal qui est régi par le principe de la liberté de la preuve. Cette jurisprudence a été confirmée par la Cour de cassation du 24 septembre 2024, qui admet, dans un procès prud’homal, une preuve portant atteinte à la vie privée du salarié dès lors qu’il n’existe pas d’autre moyen pour l’employeur de justifier le licenciement. Néanmoins, il convient de démontrer que cette production est indispensable : en dehors de ces cas précis, l’obtention de preuve sans consentement reste déloyale et par principe illicite (Cour de cassation, 30 avril 2024). L’usage de l’OSINT devient un outil opérationnel pour tous les acteurs judiciaires, offrant des moyens probants supplémentaires et diversifiés pour étayer les dossiers, tout en nécessitant une évaluation rigoureuse de leur admissibilité et de leur impact sur le respect des droits des différentes parties en cause.
Derniers points de vigilance pour les entreprises
Parmi les bonnes pratiques, figure notamment le fait de réviser les termes du contrat de travail des personnes chargées de la mission d’investigation, y compris des enquêtes internes afin d’y ajouter une clause de confidentialité renforcée, notamment pour y intégrer l’utilisation d’IA. Il est également recommandé d’élaborer un code de déontologie éthique tenant compte des différents cas d’usage et d’établir une description technique détaillée de la méthode de recherche. La démarche de recherche doit être documentée (durée de conservation, base légale, etc.). Une vigilance particulière doit être portée à la sécurité et la confidentialité des données. Seule une pratique encadrée, proportionnée et éthique de l’OSINT permettra de tirer pleinement parti de ses avantages tout en évitant les risques juridiques. La mise en place d’une telle gouvernance sera un atout pour les entreprises.
SUR L’AUTEUR
Avocate au barreau de Paris et fondatrice du cabinet, il y a plus de 20 ans, Garance Mathias et son équipe interviennent dans les domaines de la cybersécurité (gestion de crises, négociation de contrats complexes, etc.), de l’IA et des principaux enjeux du numérique afin d’offrir un accompagnement sur mesure aux clients. Le cabinet a également choisi d’avoir une activité de formation certifiée Qualiopi avec une ingénierie pédagogique adaptée notamment aux dirigeants et à leurs équipes de gouvernance. Garance Mathias enseigne la protection des données à caractère personnel, l’IA et la cybersécurité et est co-autrice de plusieurs ouvrages sur la valorisation des actifs ou encore sur le rôle du DPO.
