OSINT INVESTIGATIONS

L'OSINT, acronyme de "Open Source Intelligence", désigne en français le "Renseignement d'Origine Sources Ouvertes" (ROSO). Cette méthodologie consiste à collecter et exploiter des informations librement accessibles (journaux, réseaux sociaux, sites web, etc.).

Légalité de la pratique
L’OSINT, en soi, n’est pas illégal, puisqu’il repose sur l'utilisation de sources publiques. Cependant, chaque étape de sa mise en œuvre peut engager la responsabilité de l’utilisateur s'il ne respecte pas certaines exigences juridiques. Il est donc essentiel de suivre des règles précises pour que les résultats puissent être utilisés légalement, que ce soit durant les phases de recherche, de collecte, ou d’exploitation des données.

Place de l’OSINT dans le domaine juridique
L'OSINT joue un rôle de plus en plus central dans le droit, notamment en matière judiciaire, où il peut servir à recueillir des preuves, identifier des auteurs d'infractions ou contester des arguments adverses.

I - Les recherches

Une fois l'objectif défini, il est essentiel de respecter les principes suivants :

Utilisation exclusive de sources "ouvertes"
Les sources ouvertes sont des informations accessibles au public. Toutefois, la collecte via des techniques frauduleuses, comme l'usurpation d'identité sur les réseaux sociaux, est strictement interdite.

Accès légitime aux données
La frontière entre une recherche légitime et une intrusion dans un système automatisé peut être ténue. Un accès non autorisé peut être qualifié de frauduleux selon l'article 323-1 du Code pénal, même si les pages étaient en libre accès.

Prudence dans les recherches sensibles
Il est recommandé d'être vigilant lors de recherches sensibles (ex : crimes) pour éviter toute interférence avec des enquêtes en cours ou des risques personnels. L'OPSEC (sécurité opérationnelle) est essentielle pour protéger l'identité en ligne.

II - La collecte

La collecte de données doit également respecter certaines règles, notamment :

Scraping
Le "scraping", extraction automatique de données, est légal sous certaines conditions. Il est interdit d'extraire une part substantielle d'une base de données sans autorisation, sous peine de sanctions sévères (jusqu'à 3 ans d'emprisonnement et 300 000 euros d'amende).

Fuites d’informations (leaks)
Il est risqué de télécharger des informations issues de fuites (leaks), car cela pourrait être assimilé à du recel, un délit puni par l'article 321-1 du Code pénal.

Open Data
Les données en Open Data sont généralement accessibles à tous, mais il faut respecter les lois relatives à la protection des données personnelles (RGPD, loi "Informatique et Libertés").

III - Exploitation des données

L’utilisation des données collectées n’est pas toujours libre. Il est important de respecter :

Droits d'auteur
La publication d’œuvres protégées (ex : photos) sans autorisation constitue une contrefaçon. Il est donc crucial de vérifier si une œuvre est sous licence libre ou appartient au domaine public avant de l'exploiter.

Respect de la vie privée
Même si une information est publiée sur un profil public, sa republication peut porter atteinte à la vie privée. Toutefois, ce droit peut être équilibré avec le droit à l'information si cela répond à un intérêt légitime.

Doxxing
Le doxxing, qui consiste à divulguer des informations personnelles dans le but de nuire, est puni par la loi (un an d’emprisonnement et 15 000 euros d’amende).

IV - Dimension judiciaire de l'OSINT

L’OSINT est particulièrement utile dans le domaine judiciaire pour :

• Apporter des preuves avant une action judiciaire (civile, commerciale, pénale).
• Identifier les auteurs d’infractions.
• Renforcer un dossier en contredisant des arguments adverses.

1. Production en justice
Les informations collectées via l'OSINT peuvent être produites en justice, à condition d'en démontrer l'authenticité et la validité. Plusieurs méthodes existent pour cela (captures d’écran horodatées, constat d’huissier, etc.).

2. Valeur probante des informations
La traçabilité des étapes de collecte et l'utilisation d'outils d'archivage peuvent renforcer la force probante des données. La jurisprudence récente confirme que des captures provenant de sites comme Wayback Machine peuvent être admissibles.

3. Le rôle des auxiliaires de justice

• L’avocat formé à l’OSINT peut consolider des dossiers, notamment en matière de contrefaçon, concurrence déloyale ou atteintes informatiques.
• Le commissaire de justice (ou huissier) peut réaliser des constats internet, garantissant la force probante des informations recueillies.
• Le détective privé, spécialisé en OSINT, peut également produire des rapports admis en justice.

4. Usage de l’OSINT par les forces de l’ordre
Dans les enquêtes criminelles, l’OSINT permet d'identifier des suspects. L’affaire Johnny Hallyday est un exemple marquant : ses publications Instagram ont permis de prouver sa résidence en France, influençant ainsi un jugement sur sa succession.

Conclusion

L’OSINT est devenu un outil incontournable à l’ère de l'information numérique. Il est légal, à condition de respecter les cadres juridiques. Bien utilisé, il peut fournir des preuves solides et aider à la résolution de nombreux litiges, en particulier dans le monde judiciaire.

Voici les principales recommandations de la CNIL concernant la pratique de RIFI (Recherche sur Internet de Fuites d’Informations), une branche de l’OSINT :

Établir les responsabilités :

• Répartir les rôles entre l’entreprise cliente (responsable de traitement) et l’entreprise prestataire (sous-traitant) via un contrat.
• Préciser les obligations de chaque partie selon l’article 28 du RGPD.

Définir les finalités :

• Les objectifs du traitement doivent être décrits dans le contrat, précisant la veille active ou la remédiation d’une fuite de données.
• Assurer que la RIFI repose sur une base légale du RGPD, comme l’intérêt légitime.

Conditions pour justifier l’utilisation de la RIFI (Recherche sur Internet de Fuites d’Informations) :

1. Justifier d’un intérêt légitime : La RIFI peut être utilisée pour la sécurité des réseaux et des systèmes d’information.
2. Démontrer la nécessité : Montrer que la RIFI est indispensable pour détecter les fuites, surtout en cas d’agissements internes malveillants.
3. Assurer un équilibre avec les droits des personnes : L’intérêt légitime ne doit pas déséquilibrer les droits des personnes concernées. Plus les données sont sensibles, plus la proportionnalité doit être évaluée.
4. Définir une durée de conservation limitée : Les données collectées doivent être conservées uniquement pour la durée nécessaire et en lien avec la finalité.
5. Éviter la collecte de données non pertinentes : Mettre en place des mesures pour limiter la collecte de données non recherchées, notamment des données sensibles.
6. Respecter les systèmes de traitement : Les techniques utilisées ne doivent pas violer les systèmes de traitement automatisé de données.

Respecter les droits des personnes :

• Informer les personnes concernées, dans la mesure du possible, par les politiques de confidentialité ou les chartes.
• En cas d’impossibilité ou de disproportion, rendre l’information publique.
• Respecter les droits d’accès, d’effacement, de rectification, de limitation et d’opposition des personnes.

Mesures préconisées pour limiter l’impact de la RIFI :

• Utiliser des mots-clés liés aux objectifs poursuivis et éviter ceux contenant des données personnelles.
• Ne pas cibler de données sensibles ou des sites contenant des données sensibles par nature.
• Assurer que seules les informations accessibles sans contournement de sécurité sont collectées.
• Former les personnes intervenant dans le processus sur la protection des données personnelles.

Ces recommandations visent à encadrer la pratique de la RIFI tout en garantissant la protection des données personnelles et le respect des droits des individus concernés.