Affaire ProtonMail : une piqûre de rappel sur la confidentialité des messageries

ProtonMail a-t-il menti aux utilisateurs de sa messagerie électronique ? L’entreprise fait face à de lourdes accusations dans ce sens. En cause, la transmission, à la police française, d’informations qui ont permis de remonter vers des militants du collectif Youth for Climate.

À la racine, il y a une série d’occupations dans le quartier de la place Sainte-Marthe (Paris 10^e), au nom de la lutte contre sa gentrification. Les faits ont donné lieu à des arrestations, des perquisitions et des condamnations. ProtonMail s’est retrouvé impliqué dans l’enquête policière du fait que Youth for Climate avait utilisé sa messagerie. Une réquisition lui est parvenue en janvier dernier par l’intermédiaire de la justice suisse, en relais d’Europol. Et l’entreprise y a accédé. En fournissant deux éléments : une IP et une empreinte de navigateur.

Désormais que cet acte est public, ProtonMail tente d’en répondre. Son principal dirigeant Andy Yen résume la situation : cette requête effectuée dans le cadre de la législation antiterroriste a beau être discutable, il était impossible de s’y opposer*.

Dans ce contexte, ProtonMail tente d’apporter des garanties. Entre autres, la possibilité de s’appuyer sur son VPN, qui échappe aux obligations légales de communication de métadonnées. Ou d’utiliser son site Tor (où l’inscription nécessite quand même un numéro de téléphone).

ProtonMail, imprécis ou taiseux ?

ProtonMail a aussi entrepris de mettre à jour sa politique de confidentialité. Parmi les éléments ajoutés (on pourra comparer à la version en vigueur au 7 décembre 2020, soit quelques semaines avant la réquisition) :

• Une mention sur la période de conservation des données. Déterminée, nous explique-t-on, par l’intérêt légitime de ProtonMail (lutte contre le spam)… et par toute obligation légale.
• Un avertissement quant à l’obligation d’enregistrement des IP dans le cadre d’enquêtes criminelles en Suisse
• Une précision relative à la possibilité, pour ProtonMail, d’accéder à « certains identifiants d’appareils » nécessaires pour envoyer des notifications push

La politique de confidentialité comportait déjà des références à l’enregistrement des IP. Mais axées sur la lutte contre la fraude et l’usage abusif du service (spam, DDoS…).

Le principal ajout dans le rapport de transparence touche au même domaine. ProtonMail explique que la justice suisse a le pouvoir de décider si des IP doivent faire l’objet d’une surveillance dans le cadre d’une enquête criminelle.

* ProtonMail affirme s’être opposé à « plus de 700 » réquisitions en 2020. Le tableau ci-dessous résume la situation.

Illustration principale © LoloStock – Adobe Stock