Le sujet est épineux autant qu'il divise. Faire appel à un service de messagerie chiffrée et de VPN ne met pas l'utilisateur à l'abri de tous les yeux, comme le montre une affaire résumée par Techrunch. Dans le cadre d'une procédure pour identifier un auteur ayant réalisé des actes qualifiés de criminels, la société suisse Proton Technologies a donné à la police l'adresse IP de l'un de ses utilisateurs. L'utilisateur incriminé appartiendrait au collectif militant Youth For Climate accusé par la police de soutenir des personnes impliquées dans des affaires de squats, violation de propriété privée, action de lutte anticapitaliste...
« Il apparait que le collectif Youth For Climate et ses affiliés communiquaient via une adresse mail sécurisée, en l’adresse jmm18@protonmail.com. Une réquisition via la messagerie dédiée EUROPOL était adressée à l’entreprise suisse gestionnaire de la messagerie afin de connaître l’identité du créateur de l’adresse. De même, des réquisitions Instagram étaient adressées au réseau social dans le but de connaître les identités des individus gérant les comptes de potentiels militants squatteurs. La société ProtonMail a répondu à notre réquisition sans indiquer plus d’informations qu’une adresse IP », indique Paris-Luttes.info.
Proton conforme au droit suisse d'après son CEO
Le noeud de l'affaire vient du fait, d'une part, que l'acte criminel reproché a été commis non pas en Suisse mais en France, et d'autre part, que l'utilisateur n'a pas été informé par Proton de la transmission de son adresse IP à un tiers. Ce qui s'avère contraire aux conditions d'usage et de transparence de son service. « Proton doit se conformer au droit suisse. Dès qu'un crime est commis, la protection de la vie privée peut être suspendue et la loi suisse nous oblige à répondre aux demandes des autorités suisses », a justifié dans un tweet le CEO de Proton Technologies, Andy Yen.
L'affaire a provoqué un tollé sur les réseaux sociaux car la requête de police n'a pas émané de la Suisse mais d'Europol qui a ensuite transmis les informations permettant d'identifier le suspect sur demande de la police française. « Alors pourquoi ne pas indiquer clairement et audacieusement sur votre site Web que vous devrez peut-être fournir des adresses IP à la police et que vos utilisateurs doivent utiliser votre service @torproject ? Le marketing actuel dit "anonyme", et le résultat est que ces personnes sont en état d'arrestation », a réagi un twittos.