Proton Mail a divulgué des données d'utilisateurs, ce qui a conduit à une arrestation en Espagne.

Une situation qui soulève des questions sur la sécurité des services de messagerie chiffrée

Proton Mail est réputé pour son engagement envers la vie privée grâce à son chiffrement de bout en bout et sa politique stricte de non-conservation des journaux. Cependant, l’entreprise a été mise sous les projecteurs après avoir répondu à une demande légale des autorités espagnoles qui a conduit à l’arrestation d’un membre présumé de l’organisation indépendantiste catalane, Tsunami Démocratique.

Proton Mail est un service de courrier électronique sécurisé basé en Suisse, réputé pour son engagement en faveur de la protection de la vie privée grâce au chiffrement de bout en bout et à une politique stricte d'absence d'historique. En 2021, Proton Mail a fait l'objet d'une controverse lorsqu'il s'est conformé à une demande légale qui a conduit à l'arrestation d'un militant français pour le climat. En vertu du droit suisse, Proton Mail a été contraint de collecter et de fournir des informations sur l'adresse IP de l'individu aux autorités suisses, qui les ont ensuite communiquées à la police française.

L'affaire récente, qui implique cette fois la police espagnole, met en lumière les problèmes de protection de la vie privée et les limites des services de communication chiffrées sous prétexte de sécurité nationale, et remet sur le devant de la scène un sujet qui fait depuis longtemps l'objet d'un débat.

Le cœur de la controverse vient du fait que Proton Mail a fourni à la police espagnole l'adresse électronique de récupération associée au compte Proton Mail d'un individu utilisant le pseudonyme « Xuxo Rondinaire ». Cette personne est soupçonnée d'être un membre des Mossos d'Esquadra (la police catalane) et d'utiliser ses connaissances internes pour aider le mouvement Democratic Tsunami.

Après avoir reçu le courriel de récupération de Proton Mail, les autorités espagnoles ont demandé à Apple de fournir des détails supplémentaires liés à ce courriel, ce qui a permis d'identifier l'individu.

Cette affaire est particulièrement remarquable parce qu'elle implique une série de demandes émanant de différentes juridictions et entreprises, mettant en évidence l'interaction complexe entre les entreprises technologiques, la protection de la vie privée des utilisateurs et l'application de la loi. Les demandes ont été formulées sous couvert de lois antiterroristes, bien que les activités principales du Democratic Tsunami aient consisté en des manifestations et des barrages routiers, ce qui soulève des questions quant à la proportionnalité et à la justification de telles mesures.

La Réponse de Proton Mail

Proton Mail a expliqué que, bien que le contenu des e-mails, les pièces jointes et les fichiers soient toujours chiffrés et ne puissent être lus, la loi suisse oblige à coopérer avec les demandes légales internationales formalisées par les canaux appropriés (système judiciaire suisse) :

« Nous sommes au courant de l'affaire de terrorisme espagnole impliquant des menaces présumées à l'encontre du roi d'Espagne, mais en règle générale, nous ne commentons pas les affaires spécifiques. Proton dispose d'un minimum d'informations sur les utilisateurs, comme l'illustre le fait que, dans cette affaire, les données obtenues auprès d'Apple ont été utilisées pour identifier la personne soupçonnée de terrorisme. Proton assure la protection de la vie privée par défaut et non l'anonymat par défaut, car l'anonymat nécessite certaines actions de la part de l'utilisateur pour garantir une sécurité opérationnelle adéquate, comme le fait de ne pas ajouter son compte Apple en tant que méthode de récupération facultative. Notez que Proton n'exige pas l'ajout d'une adresse de récupération, car ces informations peuvent en théorie être communiquées sur ordre d'un tribunal suisse, le terrorisme étant contraire à la loi en Suisse ».


Le rapport de transparence de l'entreprise

La dernière version du rapport de transparence de ProtonMail, dont la première version remonte à 2017, indique qu'en 2023, l'entreprise a donné suite à 5 971 demandes (contre 5 957 en 2022) émises par les autorités suisses pour obtenir des informations personnelles des utilisateurs de l'application. Le nombre total de demandes était de 6 318 (contre 6 995 en...