« On s’est senti trahi par une messagerie alliée »
La messagerie Proton Mail, réputée sûre et cryptée, a reconnu avoir livré à la police l’adresse IP de militants pour le droit au logement. Une affaire qui relance la question de la protection des données des activistes.
L’information avait fait grand bruit. À la suite d’un texte publié sur Paris Luttes Info début septembre, l’entreprise de messagerie Proton Mail avait reconnu avoir livré à la police française les métadonnées de l’adresse mail d’activistes luttant contre la gentrification (un processus qui, par des opérations de rénovation urbaine et d’augmentation des loyers, aboutit à évincer les classes populaires des centre-villes) du quartier Sainte-Marthe, dans le 10e arrondissement de Paris. « Or, Proton Mail s’est construit une image de messagerie alliée des militants et des mouvements sociaux », souligne Imane Bello, avocate en droit du numérique. C’est l’argument de vente de Proton Mail : une messagerie sûre et cryptée. Argument toujours revendiqué par l’entreprise dans son communiqué publié à la suite de cette affaire : « Nous comprenons vos préoccupations et nous sommes à vos côtés – nous sommes aussi des militants. »].
Les poursuites engagées contre les activistes du quartier Sainte-Marthe ont débuté l’année dernière. À l’automne 2020, un camp climat est organisé à Paris par plusieurs mouvements écologistes, dont Youth for Climate et Désobéissance Écolo Paris, contre la gentrification dans l’arrondissement. Le 14 novembre 2020, plusieurs militants, regroupés au sein du Collectif de la place Sainte-Marthe, décident d’ouvrir un squat. Le lieu choisi, situé à l’angle de la rue Jean-et-Marie-Moinon et de la rue Saint-Maur, est appelé L’Arche. Appartenant au bailleur social parisien la SIEMP, ce local de près de 200 m2 est, depuis décembre 2015, loué aux propriétaires du restaurant Le Petit Cambodge, qui le laissaient inoccupé (voir notre reportage).
Que ce local appartienne aux propriétaires de l’un des restaurant pris pour cibles des attentats parisiens du 13 novembre 2015 donne à l’affaire une dimension plus politique. « Ça a terriblement brouillé le message initial », note Erika, une militante du quartier, en lutte pour le maintien des activités artistiques et artisanales. « À partir de là, ça nous a un peu dépassé. Ils ont voulu faire un exemple de notre cas. Et on s’est pris une répression féroce », confie de son côté Antoine*, militant actif dans le quartier.
La police française est passée par Europol
Une « répression féroce » que personne, parmi tous les militants rencontrés, ne souhaite décrire précisément. « On ne veut pas aggraver notre cas, on se fait discret », dit une militante. Certains décrivent des « perquisitions à répétition », des « conséquences psychiatriques importantes »… Le squat a finalement été expulsé début janvier 2021. En mars prochain, sept militants seront jugées pour « vol et dégradation en réunion et violation de domicile ».
C’est dans le cadre de cette enquête que l’officier de la police judiciaire du 10e arrondissement a demandé à Proton Mail de livrer les données de l’adresse mail. Cette requête s’est faite en deux étapes. Dans un premier temps, la police française a directement adressé sa demande à Proton Mail. « C’est une procédure tout à fait classique. Dans le cadre d’une enquête préliminaire, l’article 77-1-1 du Code de procédure pénale permet de requérir des informations numériques de tout établissement privé », explique Imane Bello. Une requête refusée alors par l’entreprise. « La société Proton est basée en Suisse, et donc n’était pas contrainte par cette première demande », poursuit l’avocate en droit pénal du numérique.
La police française ne s’arrête pas là. Elle décide d’utiliser le canal de coopération internationale et passe par Europol, l’agence européenne de police criminelle, comme le montre une pièce du dossier qui a fuité sur les réseaux sociaux. La Suisse ayant ratifié en 2011 la Convention de Budapest, qui facilite l’échange de renseignements numériques entre les pays signataires, les autorités helvètes valident donc la demande. La suite, c’est Proton qui la raconte dans son communiqué : « Proton a reçu des autorités suisses un ordre juridiquement contraignant auquel nous sommes obligés de nous conformer. » L’entreprise livre ainsi l’adresse IP reliée à ce mail ainsi que les données de l’appareil l’utilisant. Aucun contenu des mails n’est en revanche transmis.
Quand Proton Mail expliquait « que les adresses IP n’étaient pas collectées »
« Quand on apprend à la lecture du dossier que la messagerie qu’on utilise, et qu’on pense « safe », est en fait une faille, on est d’abord surpris. Puis vite, on se sent trahis », disent Tom et Charlotte, membres du collectif, qui précisent parler en leur nom propre. « Avant cette affaire, Proton Mail expliquait dans sa politique que « par défaut », les adresses IP n’étaient pas collectées », souligne Imane Bello.
Les militants s’aperçoivent alors que non seulement l’adresse était conservée, mais de plus livrée à la police : « Ça a pris beaucoup de monde par surprise. » Avant, les conditions générales d’utilisation indiquaient que Proton Mail pouvait être amené à enregistrer des adresses IP dans des cas spécifiques. Comme par exemple, dans le cadre d’une enquête criminelle suisse. Depuis, leur site Internet a été modifié et cette mention sur la non-conservation « par défaut » des adresses IP a été retirée.
Dans un communiqué daté du 24 septembre 2021, l’entreprise précise toutefois avoir effectué « un audit approfondi » de ses systèmes et assure : « Nos pratiques réelles correspondent à ce qui est indiqué dans notre politique de confidentialité. » Un temps envisagé, une plainte contre Proton Mail pour « pratiques commerciales déloyales » ne sera pas déposée par les militants car « trop lourd et trop fatigant à porter », selon Tom et Charlotte, et « peu opportun », estime leur avocate.
Pas d’usage abusif de lois antiterroristes
Pour se justifier d’avoir transmis ces données, Proton Mail mentionne la mobilisation par la France « d’outils juridiques pour les crimes graves ». L’entreprise suisse conclut son communiqué ainsi : « Dans ce cas précis, l’accusation a été très agressive. Malheureusement, il s’agit d’une tendance que nous observons de plus en plus ces dernières années dans le monde entier (par exemple en France où les lois sur le terrorisme sont utilisées de manière inappropriée) ».
Cette interprétation peut interroger, explique toutefois Imane Bello : « La procédure utilisée n’a rien d’extraordinaire et peut être invoquée pour toute infraction pénale, pas seulement pour les « crimes graves » comme l’avance Proton. » L’avocate se base sur l’article 14 de la Convention de Budapest qui permet la coopération des pays signataires pour « la collecte de données électroniques de toute infraction pénale ». Dans ce cas précis, la police française ne semble donc pas avoir utilisé de manière abusive une des récentes lois antiterroristes. La France est en effet un des premiers pays à avoir ratifié la Convention de Budapest, dès 2001. Contacté et interrogé sur ces questions à plusieurs reprises, Proton Mail n’a pas répondu à nos sollicitations.
« Cette adresse était un moyen d’informer d’évènements de solidarité dans le quartier, rien de plus »
« On n’a pas trop compris, d’autant que cette adresse était un moyen d’informer d’évènements de solidarité dans le quartier, des cantines, rien de plus », disent Tom et Charlotte. Florent*, un militant de la protection des données numériques, a également été surpris par cette demande : « Pourquoi la police demande-t-elle ces données en sachant pertinemment qu’elle ne pourra pas avoir accès aux communications ? Pour trouver un leader et tout lui mettre sur le dos ? Pour les intimider ? »
Charlotte et Tom assurent que les informations transmises par Proton Mail n’ont abouti à aucune poursuite. C’est plutôt l’étude de photos publiées sur le compte Instagram de Youth For Climate Paris qui aurait conduit à la mise en examen de ces sept militants. Mais, ajoutent-ils, « ça a été un coup dur ». D’autant qu’une autre pièce du dossier pose question. La police française a également demandé les données du compte « Youth for Climate Paris » à Instagram qui, pour sa part, a refusé. « On ne sait pas s’ils sont également passés par une réquisition internationale, mais ce refus nous a surpris », dit Lucie*, membre de Youth for Climate.
« Les militants doivent s’emparer de la protection de leur communication »
Dans son communiqué, l’entreprise suisse Proton soutient qu’elle ne pouvait pas refuser la demande, et que nul n’est au-dessus des lois. Pourtant, dans son rapport de transparence, la messagerie cryptée donne des exemples de cas où elle a contesté des demandes d’informations validées par la justice suisse. « En juillet 2019, nous avons reçu une demande d’information d’un autre pays de l’UE, approuvée par la justice suisse, qui, après une évaluation plus approfondie, nous soupçonnons de cibler un lanceur d’alerte. Nous avons refusé de remettre les données et demandé aux autorités des éclaircissements supplémentaires sur les raisons pour lesquelles cette demande d’informations a été approuvée en premier lieu, et en demandant aux autorités suisses de revérifier les faits de l’affaire. »
En 2020, Proton Mail affirme avoir contesté 750 demandes sur les 3767 qu’elle a reçues. « C’est également une question sociale qui se pose ici. À quel point les citoyens peuvent-ils avoir accès au droit au chiffrement ? Ici, on délègue le rôle de police a une entreprise privée qui choisit, ou non, selon le contexte, de livrer des informations », souligne Imane Bello.
Florent pointe de son côté l’importance de l’existence de Proton Mail. « Ça répond très bien à certains besoins. Dans cette affaire, on voit qu’ils n’ont fourni aucun contenu et donc que la protection des données a été relativement bonne. » Le militant pour la protection des données invite à mieux réfléchir sur les outils de communication. « La question est : qu’est-ce qu’on veut protéger, contre qui et comment on le fait ? Certes Proton Mail a livré cette adresse IP, mais les photos Instagram, qui ont permis à la police d’identifier certaines personnes, étaient totalement libre d’accès. Il faut que les militants s’emparent du sujet de la protection de leur communication et de leurs données. »
basta.media