La messagerie ProtonMail a récemment communiqué l'adresse IP de militants écologistes aux autorités françaises dans le cadre d'une enquête. Une révélation qui passe mal auprès de certains utilisateurs alors que ProtonMail met en avant la confidentialité de son service. La « confidentialité suisse » est notamment utilisée comme argument, en plus d'une absence de logs et d'un chiffrement des données.
L'affaire concerne le « camp climat » monté en 2020 dans le Xe arrondissement de Paris. Des militants écologistes du groupe Youth for Climate avaient alors occupé des bâtiments privés dans le but de lutter contre la gentrification de la capitale. Ils avaient ensuite été délogés par la police.
Pour communiquer, les manifestants passaient par ProtonMail, souvent cité comme une référence en matière de confidentialité. Cependant, l'entreprise a tout de même été forcée de partager l'adresse IP de ces utilisateurs dans le cadre d'une enquête française. Les autorités tricolores sont passées par l'intermédiaire de l'agence européenne Europol afin de demander au gouvernement suisse d'ordonner à ProtonMail la communication de ces informations.
Sous le coup de la loi suisse, ProtonMail a été obligé de coopérer. Si l'éditeur se défend d'enregistrer l'historique de connexion de ses clients, il a rappelé sur Reddit à cette occasion qu'il est légalement obligé de le faire à partir du moment où une démarche judiciaire suisse est enclenchée :
Dans ce cas, Proton a reçu une injonction juridique obligatoire du Département fédéral de la justice suisse à laquelle nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel ou de contester cette demande particulière, car un acte contraire à la loi suisse a effectivement eu lieu.
En vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Cela n'est évidemment pas fait par défaut, mais seulement si Proton obtient un ordre légal pour un compte spécifique. En aucun cas, cependant, notre chiffrement ne peut être contourné, ce qui signifie que les emails, pièces jointes, calendriers, fichiers et autres ne peuvent être compromis par des demandes légales.
Some thoughts on the French "climate activist" incident. It's deplorable that legal tools for serious crimes are being used in this way. But by law, @ProtonMail must comply with Swiss criminal investigations. This is obviously not done by default, but only if legally forced.
— Andy Yen (@andyyen) September 5, 2021
ProtonMail juge l'utilisation de cette loi abusive et inappropriée, et a contesté plus de 700 demandes de ce genre en 2020. L’entreprise rappelle également être un des seuls fournisseurs de messagerie proposant un site en .onion pour une utilisation via le réseau décentralisé TOR.
