Pour gérer vos consentements :

Affaire ProtonMail : une piqûre de rappel sur la confidentialité des messageries

ProtonMail a-t-il menti aux utilisateurs de sa messagerie électronique ? L’entreprise fait face à de lourdes accusations dans ce sens. En cause, la transmission, à la police française, d’informations qui ont permis de remonter vers des militants du collectif Youth for Climate.

À la racine, il y a une série d’occupations dans le quartier de la place Sainte-Marthe (Paris 10e), au nom de la lutte contre sa gentrification. Les faits ont donné lieu à des arrestations, des perquisitions et des condamnations. ProtonMail s’est retrouvé impliqué dans l’enquête policière du fait que Youth for Climate avait utilisé sa messagerie. Une réquisition lui est parvenue en janvier dernier par l’intermédiaire de la justice suisse, en relais d’Europol. Et l’entreprise y a accédé. En fournissant deux éléments : une IP et une empreinte de navigateur.

Désormais que cet acte est public, ProtonMail tente d’en répondre. Son principal dirigeant Andy Yen résume la situation : cette requête effectuée dans le cadre de la législation antiterroriste a beau être discutable, il était impossible de s’y opposer*.

Dans ce contexte, ProtonMail tente d’apporter des garanties. Entre autres, la possibilité de s’appuyer sur son VPN, qui échappe aux obligations légales de communication de métadonnées. Ou d’utiliser son site Tor (où l’inscription nécessite quand même un numéro de téléphone).

ProtonMail, imprécis ou taiseux ?

ProtonMail a aussi entrepris de mettre à jour sa politique de confidentialité. Parmi les éléments ajoutés (on pourra comparer à la version en vigueur au 7 décembre 2020, soit quelques semaines avant la réquisition) :

  • Une mention sur la période de conservation des données. Déterminée, nous explique-t-on, par l’intérêt légitime de ProtonMail (lutte contre le spam)… et par toute obligation légale.
  • Un avertissement quant à l’obligation d’enregistrement des IP dans le cadre d’enquêtes criminelles en Suisse
  • Une précision relative à la possibilité, pour ProtonMail, d’accéder à « certains identifiants d’appareils » nécessaires pour envoyer des notifications push

La politique de confidentialité comportait déjà des références à l’enregistrement des IP. Mais axées sur la lutte contre la fraude et l’usage abusif du service (spam, DDoS…).

Le principal ajout dans le rapport de transparence touche au même domaine. ProtonMail explique que la justice suisse a le pouvoir de décider si des IP doivent faire l’objet d’une surveillance dans le cadre d’une enquête criminelle.

* ProtonMail affirme s’être opposé à « plus de 700 » réquisitions en 2020. Le tableau ci-dessous résume la situation.

Illustration principale © LoloStock – Adobe Stock

Recent Posts

HTTPA : vers une attestation d’intégrité sur TLS ?

Greffer à HTTPS un mécanisme d'attestation de l'intégrité des environnements d'exécution : c'est l'idée de…

2 heures ago

Microsoft : qui affiche les rémunérations les plus élevées ?

Satya Nadella, Christopher Young, Amy Hood... Le top management de Microsoft bénéficie à plein de…

3 heures ago

Des Surface Pro sujettes à une faille TPM

Microsoft alerte sur une faille qui permet de faire passer pour sain un appareil qui…

7 heures ago

Capella : la nouvelle ombrelle DBaaS de Couchbase

Changement de marque pour l'offre Couchbase Cloud, qui devient Capella et gagne une option supplémentaire…

9 heures ago

Les 12 tendances Tech à suivre en 2022, selon Gartner

L'intelligence artificielle générative et la "data fabric" font partie des grandes tendances technologiques mises en…

1 jour ago

Cybersécurité : est-il efficace de multiplier les outils ?

Plus de la moitié des centres opérationnels de sécurité d'entreprises croulent sous les alertes émanant…

1 jour ago