Données personnelles : on vous explique l'affaire Protonmail, qui scandalise de nombreux militants pour le climat
A la demande de la police française, Protonmail, un service suisse de messagerie électronique chiffrée, a livré l'adresse IP d'un militant de Youth for Climate. Une décision qui choque pour un service qui a bâti sa réputation sur la sécurité et le respect de la vie privée.
Une messagerie "sécurisée", "chiffrée" et bénéficiant de la "confidentialité suisse". Ces slogans de Protonmail, un service apprécié des militants et des journalistes, ne semblent plus d'actualité après les révélations, lundi 6 septembre, de l'organisation communiste Secours rouge, confirmées par l'entreprise basée en Suisse. A la demande de la police française, Protonmail a livré l'adresse IP − le numéro qui permet d'identifier un ordinateur − d'un militant écologiste de Youth for Climate.
Franceinfo vous explique cette affaire qui choque profondément les milieux militants.
Une enquête déclenchée par l'occupation d'un local parisien
Tout commence avec l'occupation, en décembre 2020, du local d'un restaurant, vide depuis plusieurs années et en travaux, dans le 10e arrondissement de Paris. Les occupants, un collectif baptisé L'Arche, au sein duquel on retrouve des membres de Youth for Climate, veulent protester contre la gentrification du quartier Sainte-Marthe. Le locataire des murs, qui gère également le restaurant Le Petit Cambodge, frappé par les attentats du 13-Novembre, dépose plainte, le tribunal ordonne leur expulsion et la police évacue les lieux en janvier 2021.
Mais l'enquête ne s'arrête pas là. Pendant l'occupation, les militants ont utilisé une adresse e-mail Protonmail pour coordonner leurs actions. Via Europol et les autorités suisses, les policiers français demandent à l'entreprise helvète de fournir l'adresse IP liée à ce compte e-mail. Dans ce dossier, sept personnes sont renvoyées devant le tribunal correctionnel pour "violation de domicile" et seront jugées en février 2022, précise Reporterre.
Une entreprise obligée de répondre à la demande des autorités suisses
Dans un communiqué signé par son PDG, Protonmail (en anglais) assure qu'elle n'a pas eu d'autre choix que de répondre à cette demande. "Proton a reçu une ordonnance de la part des autorités suisses à laquelle nous étions légalement obligés de nous soumettre. Il n'y avait pas de possibilité de faire appel", explique l'entreprise. Elle précise qu'elle ne collecte pas par défaut des informations sur ses utilisateurs mais uniquement, a posteriori, sur demande judiciaire. Elle assure qu'à aucun moment et sous aucune circonstance le contenu des e-mails, chiffrés, ne peut être communiqué à la justice.
Protonmail dénonce au passage la procédure française, "très agressive", et les "lois anti-terroristes utilisées de manière inappropriée" en France. Elle regrette que "des outils juridiques créés pour des crimes graves soient utilisés de cette façon". "A aucun moment nous ne savions que les utilisateurs visés étaient des militants du climat. Nous savions juste que la demande judiciaire nous était parvenue par les procédures réservées aux crimes graves", poursuit-elle. La messagerie suisse, qui se définit elle-même comme militante, annonce qu'elle va clarifier sur son site ses obligations légales en cas de demande judiciaire et émet quelques recommandations pour les militants qui utilisent son service, en particulier d'utiliser le réseau Tor, qui permet d'anonymiser complètement sa connexion, pour accéder à sa messagerie.
Une lecture des faits contestée par Matthieu Audibert, officier de gendarmerie et spécialiste de cybercriminalité, qui relève sur Twitter que cette demande française n'est que la stricte application du Code pénal et de la Convention de Budapest sur la cybercriminalité. Son analyse est partagée par l'avocat Alexandre Archambault, cité par 20minutes.fr.
3/4
— Matthieu Audibert (@GendAudibert) September 6, 2021
Rien de sorcier, tous les textes appliqués ici sont publics et en procédure, cela n'a rien à voir avec les lois françaises antiterroristes comme le soulève l'entreprise, c'est du droit commun régissant l'obtention des preuves numériques. #Thèse
Un précédent qui fera date
Ces révélations ont suscité un certain émoi chez les défenseurs des libertés numériques. Sur Twitter, une journaliste américaine de Mashable a vertement reproché à l'entreprise de "n'avoir jamais dit" que la collecte de l'adresse IP était une possibilité.
This is a massive failure of communication from @ProtonMail. The problem isn’t that PM complied with Swiss laws, it’s that secretly logging IPs was never something prominently stated as possibility in the marketing. https://t.co/8qifsmRRk3
— Christina Warren (@film_girl) September 6, 2021
Interrogée par Reporterre, l'association de défense des libertés numériques La quadrature du net invite le milieu militant "à réfléchir profondément" à la manière dont il utilise les outils numériques pour ses actions. Il faut, selon Arthur Messaud, juriste au sein de l'association, "désapprendre à se croire en sécurité sur internet même s'ils pensent avoir de bons outils".
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.