Proton
Swiss laws and encryption protect Proton users from abortion-related data requests

Les lois suisses et le chiffrement protègent les utilisateurs de Proton contre les demandes de données relatives à l’avortement

Les États-Unis sont notoirement faibles en matière de lois sur la vie privée. Avec ses tribunaux de surveillance secrets et ses agences d’espionnage toutes-puissantes, les États-Unis disposent de nombreux outils pour collecter des données sur les personnes à l’intérieur de leur juridiction et au-delà.

Récemment, ce pouvoir a été utilisé pour poursuivre des femmes. Même avant que la Cour suprême des États-Unis n’annule le droit fédéral à l’avortement en 2022, de nombreux États avaient adopté des lois restreignant le droit à l’avortement.

Pour poursuivre ces cas, les enquêteurs ont utilisé des journaux de chat, des données de localisation et des recherches sur le web stockées sur les serveurs d’entreprises américaines comme Google et Meta, comme l’a récemment rapporté(nouvelle fenêtre) TechCrunch. Parfois, ces demandes de données affectent des personnes qui n’ont enfreint aucune loi.

Au lieu de protéger les données de leurs utilisateurs, des entreprises comme Google les remettent généralement à la police. Il y a deux raisons à cela :

  1. Elles sont basées aux États-Unis
    Les entreprises sont soumises aux lois du pays dans lequel elles opèrent. Dans le cas de Google, Meta et de nombreuses autres entreprises technologiques, cela signifie qu’elles doivent se conformer à toute ordonnance judiciaire valide pour fournir des données d’utilisateur aux agents des forces de l’ordre.
  2. Elles n’utilisent pas le chiffrement de bout en bout
    Bien que le chiffrement de bout en bout soit désormais proposé dans certaines applications des géants de la tech, la plupart des données des utilisateurs restent accessibles aux entreprises fournissant le service. Cela inclut des éléments comme les e-mails dans Gmail, les discussions dans Messenger de Facebook avec le paramètre par défaut, et les recherches Google. Si les données étaient chiffrées de bout en bout, les entreprises ne pourraient pas les divulguer à des tiers.

En ce qui concerne Proton, étant donné que nous sommes une entreprise suisse, nous ne nous conformons pas aux lois américaines. Et en raison du type de chiffrement que nous utilisons, nous n’avons pas accès à la grande majorité des données des utilisateurs.

Cet article explique pourquoi les personnes qui utilisent Proton sont particulièrement protégées contre les demandes de données américaines.

Comment fonctionnent les demandes de données aux États-Unis
Comment fonctionnent les demandes de données en Suisse
Les données sont chiffrées par défaut
Que se passerait-il si la police américaine demandait des données dans un cas d’avortement ?
Réflexions finales

Comment fonctionnent les demandes de données aux États-Unis

Les agences d’application de la loi demandent régulièrement des informations aux entreprises lorsqu’elles pensent que cela pourrait les aider dans une enquête. Google et Facebook reçoivent chacun des centaines de milliers de demandes par an provenant du monde entier.

Cela peut inclure des situations allant des attaques terroristes et des cas de personnes disparues à des crimes plus mineurs. Et les demandes de données pourraient concerner n’importe quelle donnée qu’une entreprise stocke, y compris :

  • Des informations de compte, telles que les journaux IP, les connexions au compte et les informations de carte bancaire
  • Des informations de localisation, y compris si vous avez visité une adresse spécifique qui était le lieu d’un crime (connu sous le nom de mandat géofence)
  • Communications, y compris les e-mails, les discussions, les appels et les messages vocaux
  • Historique de recherche, y compris les demandes générales pour tout utilisateur ayant recherché un mot-clé spécifique (connu sous le nom de mandat par mot-clé)
  • Médias, tels que les images, vidéos et documents dans votre espace de stockage cloud

Aux États-Unis, les exigences légales varient selon les types de demandes. Par exemple, il est plus facile d’obtenir des informations de compte que le contenu des e-mails. Dans certains cas, même lorsqu’un mandat de perquisition complet est nécessaire, le gouvernement peut faire des demandes générales, collectant des données de personnes aléatoires qui ne sont pas soupçonnées de crime.

Les États-Unis disposent également d’un tribunal secret créé sous le Foreign Intelligence Surveillance Act (FISA), qui permet au gouvernement de mettre en place une surveillance électronique. Google déclare qu’il accorde des centaines de milliers(nouvelle fenêtre) de demandes par an au tribunal FISA.

Google et Facebook disent qu’ils examinent attentivement chaque demande. S’ils estiment qu’une demande est inappropriée ou trop générale, ils peuvent la contester. Mais selon leurs rapports de transparence(nouvelle fenêtre) rapports(nouvelle fenêtre), les deux entreprises se conforment à la plupart des demandes.

Les conséquences de la non-conformité peuvent être fatales pour les entreprises : le fournisseur de messagerie électronique Lavabit a décidé de fermer(nouvelle fenêtre) plutôt que de remettre les clés privées qui auraient donné au gouvernement accès aux e-mails d’Edward Snowden. Comme nous l’avons déjà écrit, l’absence de surveillance, les mandats secrets et le manque de lois solides sur la vie privée excluent simplement les États-Unis en tant que domicile crédible pour toute entreprise qui prétend protéger la vie privée des utilisateurs.

Comment fonctionnent les demandes de données en Suisse

La Suisse offre un environnement fondamentalement différent. Deux des aspects les plus célèbres de la Suisse sont également très propices à la protection des données : la confidentialité et la neutralité.

Lorsqu’une agence d’application de la loi aux États-Unis demande des données d’utilisateur à une entreprise suisse, il est illégal pour cette entreprise de fournir les données. Chez Proton, nous rejetons toutes les demandes de données provenant d’agences étrangères.

Proton et d’autres entreprises suisses ne remettent les données des utilisateurs que sur ordre d’une autorité suisse. Et même alors, la politique générale de Proton est de contester les demandes de données chaque fois que possible et de ne se conformer qu’après que tous les recours légaux aient été épuisés.

Les lois suisses protègent beaucoup plus les libertés individuelles que les lois américaines. Par exemple, les États-Unis et l’Union européenne ont la capacité de surveiller les utilisateurs sans que le sujet en ait connaissance. En Suisse, les procureurs doivent finalement notifier la personne ciblée par la surveillance afin qu’elle ait une chance de faire appel. Et il n’y a pas de tribunaux secrets pour la sécurité nationale.

En Suisse, la surveillance électronique est régie par la Loi fédérale suisse sur la surveillance de la correspondance par poste et télécommunication. Lorsque la loi a été mise à jour en 2020, Proton a contesté les changements et a remporté une décision de justice stipulant que les services de messagerie électronique ne sont pas tenus de conserver les données des utilisateurs pour la surveillance.

Même si la confidentialité et la neutralité sont ancrées dans l’éthos national, être dans une juridiction légale favorable à la vie privée ne suffit pas. Proton utilise plusieurs couches de protections technologiques pour renforcer davantage la confidentialité des utilisateurs.

Les données sont chiffrées par défaut

Il est facile de comprendre pourquoi les agences d’application de la loi déposent des millions de demandes de données auprès d’entreprises comme Google et Meta — leurs modèles d’affaires entiers sont basés sur la surveillance.

En contraste, le modèle commercial de Proton est de fournir des services axés sur la confidentialité et conviviaux à notre communauté. Pour respecter notre engagement envers la confidentialité, nous avons volontairement conçu nos produits pour collecter le moins de données utilisateur possible.

Cela commence avec le chiffrement de bout en bout et le chiffrement zéro accès inclus par défaut dans Proton Mail, Proton Calendar et Proton Drive. Chaque fois que vous envoyez un e-mail ou créez un événement dans le calendrier, Proton chiffre les données avant qu’elles ne quittent votre appareil à l’aide de votre clé privée. Seul votre mot de passe peut déverrouiller votre clé privée, et vous seul connaissez votre mot de passe.

En conséquence, Proton n’a pas accès au contenu de vos e-mails, éléments de calendrier ou fichiers Drive. Même si un tribunal suisse nous ordonnait de fournir des données, nous ne pourrions fournir que quelques catégories d’informations, que vous pouvez découvrir dans notre Politique de confidentialité.

Et si la police américaine demandait des données dans une affaire d’avortement ?

Pour illustrer la différence entre les entreprises technologiques américaines et suisses, voici un exemple de ce qui pourrait se passer si la police aux États-Unis demandait des données sur un utilisateur soupçonné d’avoir avorté en violation de la loi de l’État.

  1. Disons que la police déposait une demande de données à Proton demandant le contenu des e-mails entre le suspect et une personne de qui il aurait reçu des pilules abortives. Dans ce cas, Proton rejetterait la demande car il serait illégal pour nous de divulguer des données utilisateur sans une ordonnance valide des autorités suisses.
  2. Si la police américaine cherchait par la suite à obtenir une ordonnance en Suisse par le biais de l’entraide judiciaire internationale, les autorités suisses rejetteraient presque certainement la requête car l’avortement est légal en Suisse. Même si d’une manière ou d’une autre les autorités suisses acceptaient d’ordonner la divulgation des données, Proton contesterait l’ordre.
  3. Enfin, si toutes les mesures légales étaient épuisées et que Proton était contraint de remettre les données utilisateur, les messages e-mail de l’utilisateur ou les pièces jointes seraient chiffrés et inaccessibles à la police américaine.

En comparaison, lorsque les autorités américaines ont demandé des données similaires à Google et Meta, ces entreprises ont fourni les discussions non chiffrées et autres informations comme l’exige la loi.

Pour conclure

Que ce soit pour des poursuites liées à l’avortement ou pour cibler des lanceurs d’alerte, les États-Unis ont démontré qu’ils pouvaient être extrêmement hostiles à la confidentialité. Les révélations de Snowden sur les programmes de surveillance de masse et la destruction subséquente de Lavabit sont des exemples marquants.

Bien que de nombreuses demandes de données visent à enquêter sur des crimes graves, la réalité est qu’il n’existe pas de protection des données au cas par cas. Les mêmes lois sur la confidentialité faibles et le chiffrement fragile utilisés pour poursuivre des femmes dans des affaires d’avortement ou des terroristes peuvent être utilisés par des gouvernements autoritaires pour poursuivre des journalistes et des dissidents politiques.

Par conséquent, nous devons lutter pour une confidentialité forte pour tous. Dans cette lutte, la juridiction légale compte. En tant qu’entreprise suisse, Proton est fière d’offrir certaines des protections de la vie privée les plus fortes au monde à notre communauté.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.