ProtonMail pointe du doigt la France après avoir divulgué l'adresse IP d'un militant à la police

La messagerie chiffrée ProtonMail se retrouve sous le feu des critiques après avoir communiqué à la justice suisse l’adresse IP d’un activiste, à la demande de la police française. L’entreprise, qui affirme n’avoir pas eu d’autre choix, critique les manœuvres de la France pour obtenir ces informations.

Le service de messagerie chiffrée ProtonMail, qui a fait de la confidentialité son fer de lance, pourrait bien voir sa réputation entachée. La semaine dernière, on apprenait par Paris-luttes.info que l’entreprise, basée en Suisse, avait divulgué l’adresse d’un militant du mouvement Youth for Climate à la justice helvétique, elle-même sollicitée par la police française par le biais de l’agence européenne de lutte contre la criminalité, Europol.

L’activiste en question avait pris part à une série d’occupations dans le quartier de la place Sainte Marthe, à Paris, afin de lutter contre sa gentrification. ProtonMail a souligné qu’ils ignoraient que les personnes ciblées étaient des militants.

Face au tollé provoqué par ces révélations, ProtonMail cherche depuis à se montrer rassurant : « Dans ce cas, Proton a reçu des autorités suisses un ordre juridiquement contraignant auquel nous sommes obligés de nous conformer. Il n’y avait aucune possibilité de faire appel de cette demande particulière », a écrit dans un billet de blog Andy Yen, fondateur et directeur général de Proton.

Some thoughts on the French "climate activist" incident. It's deplorable that legal tools for serious crimes are being used in this way. But by law, @ProtonMail must comply with Swiss criminal investigations. This is obviously not done by default, but only if legally forced.

— Andy Yen (@andyyen) September 5, 2021

« En aucun cas, notre cryptage ne peut être contourné, ce qui signifie que les courriels, les pièces jointes, les calendriers, les fichiers, etc. ne peuvent pas être compromis par des ordres juridiques », a-t-il également ajouté, précisant que l’entreprise ne fournit jamais d’informations à des gouvernements étrangers directement et ne répond qu’aux autorités suisses, ou aux requêtes approuvées par ces dernières.

Si ProtonMail explique que les requêtes venues de l’étranger ne sont pas inhabituelles — 195 requêtes de ce genre ont été approuvées par les autorités suisses en 2020, contre 13 seulement en 2017 —, elle reproche à la France son usage « inapproprié » des lois anticriminalités et le passage par des « canaux habituellement réservés aux crimes graves ».

« Il est inapproprié pour les autorités françaises d’avoir utilisé des mesures conçues pour des infractions pénales graves pour poursuivre cette enquête », a déclaré un porte-parole de ProtonMail à EURACTIV France, en référence à la procédure menée via Europol. Et d’ajouter : « Nous pensons également que les autorités suisses auraient dû faire preuve de plus de diligence avant d’approuver la demande ».

« Nous continuerons à faire campagne contre ces lois et ces abus, et nous continuerons à contester les demandes injustifiées des gouvernements chaque fois que cela sera possible », a par ailleurs promis l’entreprise.

Si ProtonMail cherche à minimiser l’affaire, en vantant les normes juridiques garanties par la loi suisse, elle invite néanmoins ses utilisateurs à utiliser le navigateur Tor pour accéder au service, rendant ainsi plus difficile l’identification de l’adresse IP.

L’affaire fait beaucoup réagir car elle illustre la différence entre protection de la vie privée et anonymat — nuance pas toujours bien mise en avant par les entreprises technologiques proposant des services misant sur la confidentialité des données.

« Un rappel utile : malgré les promesses marketing, aucun service de messagerie n’offre une assurance tous risques contre la surveillance abusive », a tweeté le journaliste Olivier Tesquet, spécialiste des questions numériques et de la surveillance.