Pourquoi c’est important : Proton Mail est fier de la confidentialité offerte par son service de messagerie électronique de cryptage de bout en bout, mais il pourrait ne pas offrir autant d’anonymat qu’il le suggère. L’entreprise a été critiquée pour avoir remis l’adresse IP d’un militant français pour le climat à la police suisse, qui l’a ensuite transmise aux autorités françaises.
Tel que rapporté par TechCrunch, la polémique a été déterrée dans un rapport de police français. Il a révélé comment ProtonMail agissait sur une demande envoyée aux autorités suisses par les Français via Interpol, l’obligeant à remettre l’adresse IP.
La personne en question faisait partie d’un groupe anti-gentrification qui a repris cette année une poignée de locaux commerciaux et d’appartements près de la place Sainte Marthe à Paris, faisant la une des journaux nationaux. Le groupe a publié un article sur un site Web anticapitaliste le 1er septembre affirmant que la police française avait envoyé une demande à ProtonMail via Europol pour découvrir l’identité de la personne qui a créé son compte de messagerie « jmm18@protonmail.com ».
Andy Yen, PDG de Proton, souligne que la société basée en Suisse est obligée d’obéir aux lois du pays, comme indiqué dans ses politiques. « Proton a reçu un ordre juridiquement contraignant des autorités suisses auquel nous sommes obligés de nous conformer. Il n’y avait aucune possibilité de faire appel de cette demande particulière », a-t-il écrit.
Yen ajoute qu’il n’enregistre pas les adresses IP par défaut mais peut être contraint de collecter des informations sur les comptes appartenant à des utilisateurs faisant l’objet d’une enquête pénale suisse. Il a déclaré que le cryptage du service ne pouvait pas être contourné et que la société ne fournissait pas de données aux gouvernements étrangers.
En vertu du droit suisse, ProtonMail doit informer un utilisateur si un tiers fait une demande pour que ses données soient utilisées dans une enquête pénale. Yen a déclaré que « des raisons de confidentialité et juridiques » l’ont empêché de préciser quand la personne dans cette affaire a été informée. Selon TechCrunch, il semble que huit mois se soient écoulés entre le lancement de la journalisation et sa divulgation au titulaire du compte.
ProtonMail suggère d’utiliser son site d’oignon et son VPN si l’anonymat est un problème. Yen a déclaré qu’à l’avenir, la société « clarifierait mieux les obligations de ProtonMail en cas de poursuites pénales ».