Canada : quel cadre légal pour le SOCMINT ?

Le SOCMINT (renseignement issu des réseaux sociaux) est une sous-discipline de l’OSINT fréquemment utilisée par les forces de l’ordre mais aussi par les entreprises privées, les journalistes et les chercheurs en droits humains. Cette pratique permet d’extirper des informations sur des individus à partir des profils d’utilisateurs, des interactions entre les internautes ou encore des métadonnées associées aux contenus publiés sur les plateformes.

Au Canada, aucun texte législatif ne traite directement de cette discipline. C’est en se penchant sur d’autres lois, telles que celles sur la protection des renseignements personnels du Code criminel canadien, ainsi que certaines dispositions dans la Loi québécoise concernant le cadre juridique des technologies de l’information, que l’on peut tenter de tracer les contours légaux de cette discipline.

Facebook, Instagram… Des espaces publics ou privés?

Les praticiens du SOCMINT s’aventurent souvent en terrain miné. En effet, sur les réseaux sociaux, la notion d’information « publique » est plus complexe qu’elle ne le laisse croire. Mais rares sont ceux qui s’embarrassent des potentiels risques légaux de cette pratique. En témoigne d’ailleurs la quantité de litiges liés à la collecte d’informations sur les plateformes.

« Régulièrement, l’information que l’on retrouve sur les réseaux sociaux est amenée en cour, notamment en droit du travail », souligne Nicolas Vermeys, directeur adjoint du laboratoire de cyberjustice et professeur à la faculté de droit de l’Université de Montréal. Le cœur de l’enjeu, bien souvent, réside dans la manière dont les profils virtuels sont paramétrés. Si une information est publique, sa collecte peut être plus difficilement considérée comme intrusive que si les données recueillies proviennent d’un profil privé.

Un bémol subsiste, avertit toutefois Nicolas Vermeys : « Le mot “public” porte à confusion. Une information publique sur les réseaux sociaux est “publique” dans le sens que n’importe qui peut la voir. Mais elle n’est pas “publique” dans le sens que n’importe qui peut l’utiliser. » Ni à n’importe quelles fins.

Il est d’ailleurs important de souligner que la collecte de données personnelles provenant de plateformes tierces, sans le consentement de la personne concernée, est contraire à la loi. « Selon les lois québécoises et canadiennes qui traitent directement ou indirectement de protection des renseignements personnels, la collecte de données personnelles sur un tiers – peu importe la raison de la collecte – doit être faite à la connaissance de, et auprès de la personne », explique Nicolas Vermeys.

Néanmoins, établir l’illégalité d’une telle pratique est une autre paire de manches. Pour tenir quelqu’un responsable d’une faute et être en mesure d’exiger un dédommagement, il faut tout d’abord démontrer qu’une loi a été enfreinte ou qu’une personne raisonnable n’aurait pas agi de la sorte. Ensuite, il faut réussir à prouver qu’il y a eu un préjudice. Finalement, il faut être capable d’établir un lien entre la faute commise et le préjudice.

Cependant, des exceptions existent, notamment pour les journalistes, qui ont le droit de récolter et de partager des informations d’intérêt public. Les exceptions restent toutefois limitées, pondère Nicolas Vermeys : « Par exemple, vous ne pouvez pas mettre une voiture devant chez moi et commencer à filmer dans ma maison ! C’est un peu la même chose pour les réseaux sociaux : êtes-vous allé chercher des informations réellement publiques, ou s’agit-il d’informations que vous avez dû fouiller pour obtenir ? »

Le métier des personnes ciblées joue également un rôle important pour déterminer si une information a été récoltée de façon abusive. Par exemple, les traces numériques d’un influenceur, dont le gagne-pain consiste à gagner en popularité sur les réseaux sociaux, seront moins protégées par la loi que celles d’un professeur d’université, dont l’expectative de vie privée sera plus grande.

Le moissonnage de données : légal ou pas ?

Le moissonnage de données, ou scraping, qui consiste en l’utilisation d’une application pour extraire des informations utiles d’un site web, est une technique utilisée par nombre d’OSINTers. De nombreux outils de scraping conçus par des chercheurs en sources ouvertes sont d’ailleurs partagés gratuitement sur GitHub.

Au Québec, la pratique du moissonnage de données est encadrée par l’article 24 de la Loi concernant le cadre juridique des technologies de l’information. Celui-ci indique que « l’utilisation de fonctions de recherche extensive dans un document technologique qui contient des renseignements personnels et qui, pour une finalité particulière, est rendu public, doit être restreinte à cette finalité ».

Un exemple de pratique illégale de moissonnage de données ? Le défunt site web Globe24h, qui rendait accessible des décisions juridiques collectées à travers différents sites de jurisprudence à travers le monde, en plus de les répertorier sur Google. « Si vous cherchiez votre nom sur Google et que vous êtes divorcé, le premier résultat sortant, c’était votre jugement de divorce », illustre Nicolas Vermeys. L’entreprise, jugée frauduleuse – des frais de gestion étaient exigés de la part des particuliers pour le retrait de documents – a été sanctionnée par la cour fédérale.

Dans l’attente d’un cadre législatif plus clair, pratiquer le SOCMINT revient à marcher sur une corde raide. Une leçon durement apprise par la firme israélienne Voyager Labs, dont les activités représentent un parfait exemple des dérives du SOCMINT : accusée d’avoir moissonné les données de 600 000 utilisateurs de Facebook et d’Instagram par le biais de plusieurs milliers de faux profils, la compagnie de surveillance est aujourd’hui poursuivie par Meta (maison-mère de Facebook et d’Instagram), elle-même sur la sellette pour de nombreux scandales liés à la protection de la vie privée de ses utilisateurs.