Après avoir été accusé de mentir sur les outils mis en place pour protéger les données des internautes, ProtonMail a modifié plusieurs pages de son site, dont celle concernant la politique de vie privée de l’entreprise. Mais les modifications semblent être surtout en surface.

En ce début de mois de septembre 2021, ProtonMail s’est retrouvé au cœur d’une importante polémique. Contraint par la justice suisse à communiquer des informations sur les propriétaires d’une boite mail Proton, l’entreprise a dû se justifier alors qu’elle promet justement « ne pas enregistrer les adresses IP [des internautes] par défaut. »

Qu’est-ce qui a changé ?

Dans un billet de blog publié le 6 septembre, le PDG de l’entreprise Andy Yen rappelle que Proton n’est pas au-dessus des lois et s’est retrouvé obligé de surveiller l’activité de militants et militantes françaises qui utilisaient ProtonMail pour des activités jugées répréhensibles par les autorités hexagonales. Précisant de nouveau que l’enregistrement des adresses IP « n’est évidemment pas fait par défaut », le responsable a tout de même annoncé quelques changements dans la manière d’opérer de Proton. Des modifications dans la politique de protection de la vie privée et à d’autres endroits du site ont déjà été opérées.

Dès la page d’accueil, le message envoyé par ProtonMail a changé. En comparant, la page telle qu’elle est aujourd’hui avec une version archivée quelques heures avant l’explosion de la polémique, on remarque que le discours est différent. Proton ne promet plus un « e-mail anonyme » qui « n’enregistre par défaut pas les adresses IP », mais se contente de mettre en avant le fait que le service « respecte la vie privée et sert d’abord les internautes (et non les annonceurs publicitaires) ». Un lien vers la version Tor du service est également affiché de façon plus visible.

À gauche, le site Proton avant la polémique, à droite après. // Source : Proton

Sur la page détaillant les protocoles de sécurité mis en place par Proton, c’est la même histoire. La mention du non-enregistrement des adresses IP « par défaut » a tout simplement disparu, tout comme la précision « qu’aucune information personnelle n’est requise pour l’inscription au service » (l’IP étant considéré comme une donnée personnelle). La société se contente maintenant de dire qu’elle « ne piste pas les internautes » et « ne construit pas de profils publicitaires » à partir des informations personnelles de sa clientèle.

Des modifications plus esthétiques que pratiques

La politique de protection de la vie privée et le rapport de transparence judiciaire publié par l’entreprise n’ont, eux, que peu changé. Tout juste est-il noté que « si vous brisez la loi suisse, ProtonMail peut être contraint d’enregistrer votre adresse IP », mais que seule la justice suisse peut obliger l’entreprise à communiquer des informations personnelles sur sa clientèle. Des ajouts plus discrets sur la rétention des données pour lutter contre le spam et l’accès à certains identifiants de l’appareil se connectant à ProtonMail ont aussi été insérés.

La mention « d’adresses mail, de SMS et de numéro de téléphone » qui peuvent être conservés aussi longtemps que « l’intérêt légitime de protéger le service contre le spam le demande » est par exemple nouvelle. Ces données peuvent à priori aussi être conservées « si des obligations juridiques suisses » le demandent. Le flou qui entoure le terme « intérêts légitimes » n’est pas de nature à rassurer, surtout quand il s’agit de numéros de téléphone. Il s’agit cela dit plus d’une clarification générale que d’un changement profond dans la manière dont ProtonMail gère ses données puisqu’aucun numéro de téléphone n’est nécessaire pour l’inscription au service.

Un problème de communication

Plus généralement, les changements opérés par l’entreprise semblent plus esthétiques que pratiques. Le traitement des données personnelles opéré par ProtonMail n’a pas véritablement changé, de ce que l’on peut voir. Rien d’étonnant là-dedans puisque la polémique ProtonMail était bien plus un problème de communication qu’autre chose.

En affichant un peu partout sur son site que le service « n’enregistrait pas les adresses IP par défaut », ProtonMail s’était construit une image de client mail hyper protecteur de la vie privée qui n’enregistrait absolument aucune donnée sur vous. Mais l’entreprise n’est pas au-dessus des lois et se doit d’obéir aux ordres des autorités suisses si elle y est contrainte. Cela signifie, comme pour tous les autres sites du web, que des informations personnelles (comme des adresses IP) peuvent être transmises sur ordre de la justice. Aucun service web ne peut véritablement se targuer d’offrir une navigation « no-log », c’est à dire entièrement anonyme. Si la justice vient frapper à sa porte, une entreprise se doit d’obéir à la loi.

C’est pour s’éviter une nouvelle polémique que Proton n’affiche plus aussi ostensiblement ses promesses de navigation anonyme. Bien conscient que la réputation du service est cela dit en jeu, Andy Yen rappelle tout de même que les internautes «  avec des besoins de protection de la vie privée avancée » feraient mieux d’utiliser Tor. « L’internet est globalement peu anonyme » écrit le PDG, qui détaille que cela ne peut être changé « en raison de la façon dont le réseau fonctionne ». Loin de condamner les militants et les militantes climatiques au centre de l’affaire, le PDG affirme que l’équipe Proton est « elle aussi constitués d’activistes », et que le combat devrait plutôt se concentrer autour « des lois injustes » de plus en plus utilisées par les gouvernements. Ou l’art d’éteindre un feu en en allumant un autre.

Partager sur les réseaux sociaux

La suite en vidéo