ProtonMail, un fournisseur de messagerie sécurisée basé en Suisse, a été au centre d'une certaine controverse après avoir été contraint de partager l'adresse IP de l'un de ses clients, un militant pour le climat, avec les forces de l'ordre en raison d'une demande juridiquement contraignante des autorités suisses.
Selon TechCrunch, qui a rendue l'affaire publique, les autorités françaises ont pu obtenir l'adresse IP d'un militant français qui utilisait les services de ProtonMail, en envoyant une demande à la police suisse par l'intermédiaire d'Europol.
« Dans ce cas, Proton a reçu des autorités suisses un ordre juridiquement contraignant auquel nous sommes obligés de nous conformer. Il n'y avait aucune possibilité de faire appel de cette demande particulière. Comme le détaillent notre rapport de transparence, notre modèle de menace publié, ainsi que notre politique de confidentialité, en vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Cela n'est évidemment pas fait par défaut, mais seulement si Proton reçoit un ordre juridique pour un compte spécifique », déclare Andy Yen, PDG de Proton, dans un article expliquant les détails de l'événement.
La révélation a été accueillie avec critiques de la part des utilisateurs de la société, avec un utilisateur dont le pseudonyme est Etienne - Tek qui s'est demandé ce que ProtonMail voulait dire en affirmant qu'il ne conservait pas de journaux d'adresses IP qui pourraient être associés à des comptes de messagerie anonymes.
Il semble que la société ait depuis retiré cette affirmation de son site Web et modifié sa politique de confidentialité. C'est ce qu'a indiqué M. Yen dans son blog, en précisant que le fournisseur de courriels mettrait à jour son site Web afin de faire la lumière sur ses obligations légales en matière de poursuites pénales et qu'il actualiserait sa politique de confidentialité pour clarifier ses obligations au regard de la législation suisse.
Il a toutefois souligné que le cryptage de ProtonMail ne peut être contourné, que la société ne communique pas de données à des gouvernements étrangers et qu'elle ne se conforme qu'aux « ordres juridiquement contraignants des autorités suisses ». Le fournisseur d'e-mails maintient également qu'il ne connaît pas l'identité de ses utilisateurs en raison de ses strictes mesures de confidentialité.
M. Yen a reconnu que cette évolution était préoccupante, mais il a souligné que l'entreprise se battait pour ses utilisateurs : « Peu de gens le savent (c'est dans notre rapport de transparence), mais nous nous sommes battus contre plus de 700 cas rien qu'en 2020. Dans la mesure du possible, nous nous battons contre les demandes, mais ce n'est pas toujours possible. »