Données personnelles : Pourquoi la messagerie Protonmail a-t-elle livré une adresse IP aux autorités suisses ?

JUSTICE La société helvète Protonmail, qui propose des services de messagerie chiffrée, a été contrainte de livrer à la justice l’adresse IP d’un militant pour le climat

Hélène Sergent
— 
L'entreprise Protonmail a été vivement critiquée par les internautes après avoir transmis l'adresse IP d'un de ses clients aux autorités suisses, sur demande de la justice française.
L'entreprise Protonmail a été vivement critiquée par les internautes après avoir transmis l'adresse IP d'un de ses clients aux autorités suisses, sur demande de la justice française. — JOEL SAGET / AFP
  • La messagerie suisse Protonmail, qui a bâti sa réputation sur la protection de la vie privée de ses clients, a confirmé avoir transmis aux autorités suisses l’adresse IP d’un de ses utilisateurs, militant pour le climat, dans le cadre d’une enquête judiciaire française.
  • Les accords internationaux de coopération ratifiés par la Suisse comme la France ont contraint l’entreprise à répondre à cette demande.
  • L’entreprise s’est défendue en expliquant qu’elle ne pouvait pas connaître l’identité de cet utilisateur ni son statut de militant pour le climat.

C’est une publicité dont se serait bien passée l’entreprise de messagerie chiffrée Protonmail. Lundi 5 septembre, le site de l’organisation communiste « Secours rouge » a révélé que cette société, basée en Suisse, avait livré l’adresse IP, c’est-à-dire le numéro d’identification de l’ordinateur d’un de ses utilisateurs, aux autorités helvètes.

Ce client, militant pour le climat, est aujourd’hui dans le viseur de la justice française. Confirmée par Protonmail, cette information a suscité l’incompréhension de nombreux internautes. Créée en 2013, cette entreprise a en effet bâti sa réputation sur une promesse de respect de la vie privée et des données personnelles de ses clients.

  •  Qu’est-ce qui est reproché à Protonmail ?
     

Le 1er septembre dernier, le site militant Paris-luttes.info a publié un long récit sur les mesures judiciaires visant, depuis un an, les activistes pour le climat mobilisés contre la gentrification du quartier de la place Sainte-Marthe, dans le 10e arrondissement de Paris. Dans cette affaire, le site révélait que « le collectif Youth For Climate et ses affiliés communiquaient via une adresse mail sécurisée » gérée par Protonmail. Pour tenter d’identifier le ou la créatrice de cette adresse e-mail, des policiers français ont envoyé à la société suisse une réquisition judiciaire.

Transmise à Europol (l’agence européenne spécialisée dans la répression de la criminalité) et validée par les autorités suisses, cette demande a contraint Protonmail à transmettre l’adresse IP reliée à l’adresse électronique qui était dans le viseur des policiers français. Passée sous les radars, cette information a été reprise le 5 septembre par le site « Secours rouge » et par plusieurs internautes, qui ont directement interpellé l’entreprise sur Twitter et le forum Reddit. Or, jusqu’à ce lundi 5 septembre, l’entreprise Protonmail assurait sur son site que « par défaut », elle n’enregistrait « aucune métadonnée telle que l’adresse IP utilisée pour se connecter ».

  •  Pourquoi l’entreprise a été contrainte de répondre à cette demande ?
     

En France, dans le cadre d’une enquête préliminaire, un officier de police judiciaire (OPJ) peut réclamer auprès d’acteurs privés – comme les opérateurs téléphoniques ou les banques – des informations relatives à certains de leurs clients. « Lorsqu’il s’agit d’un acteur privé établi sur le territoire Français, l’entreprise est tenue de répondre », explique Alexandre Archambault, avocat au barreau de Paris spécialiste du numérique.

Mais, comme c’était le cas dans cette affaire, lorsqu’il s’agit d’une société installée dans un autre pays que la France, cette dernière peut refuser de répondre à cette réquisition. En cas de refus, les policiers peuvent ensuite s’appuyer sur les dispositifs de coopération internationale. C’est ce qu’ont fait les autorités françaises en sollicitant Europol. Leurs réquisitions ayant ensuite été validées par les autorités suisses, l’entreprise était obligée de répondre à la demande de la France.

« La Suisse a ratifié la Convention de Budapest qui vise à lutter contre la cybercriminalité il y a 10 ans. Ainsi, les prestataires établis sur son territoire peuvent être tenus de transmettre des informations sur leurs utilisateurs lorsque la demande est relayée par les autorités nationales. Mais cette convention porte mal son nom car elle ne se cantonne pas uniquement à la cybercriminalité », poursuit Alexandre Archambault. Initialement utilisé pour des cas graves dans des affaires de terrorisme ou de pédopornographie, ce dispositif de coopération s’est étendu au fil des ans à de très nombreuses infractions pénales. Dans ce cas précis, il s’agissait par exemple d’une réquisition pour une affaire de dégradation de biens.

  •  Comment l’entreprise Protonmail s’est-elle défendue ?
     

Dès le 6 septembre, l’entreprise de messagerie chiffrée a communiqué en publiant une clarification sur son site Internet. « Nous sommes profondément préoccupés par cette affaire et déplorons que les outils juridiques pour les crimes graves soient utilisés de cette manière », a indiqué en préambule Protonmail. Si l’entreprise a confirmé qu’elle avait été tenue de communiquer l’adresse IP, elle a assuré à ses utilisateurs qu’en aucun cas le cryptage des messageries ne pouvait être contourné, « ce qui signifie que les e-mails, pièces jointes, calendriers, fichiers, etc. ne peuvent être compromis par des ordres juridiques », rassure l’entreprise.

Protonmail s’est également défendue en expliquant qu’en raison de la stricte confidentialité de ses services, elle ne connaissait pas l’identité de ses utilisateurs. « À aucun moment nous n’étions au courant que les utilisateurs ciblés étaient des militants du climat. Nous savons seulement que la demande de données du gouvernement suisse est passée par des canaux généralement réservés aux crimes graves », ajoute la société. Accusée de ne pas avoir suffisamment clarifié ses conditions d’utilisation, Protonmail les a depuis modifiées comme l'a révélé sur Twitter le site Open Terms Archive. On peut y lire désormais : « Si vous êtes en infraction avec la loi suisse, Protonmail peut être légalement obligé de fournir votre adresse IP aux enquêteurs ».