Dans l'article précédent, je vous faisais part d'une liste de bons réflexes à avoir quant il nous faut utiliser un outil numérique.

Pour faciliter la compréhension de ceux-ci nous allons, dans cet article, explorer leur application à travers deux cas pratiques.

Le premier sera celui de Gmail, le service de messagerie électronique de Google.
Le second sera celui de ProtonMail, le service de messagerie électronique de l'entreprise Proton Technologies AG.

J'ai volontairement choisi des services d'e-mail car ce sont des services que tout le monde ou presque utilise. Pourtant, les courriers électroniques comportent certaines problématiques majeures.

Déjà, le manque de sécurité du protocole. N'étant chiffrés par défaut, les e-mails peuvent être lus par tous ceux en ayant accès avant nous. Imaginons une lettre physique. Dans une lettre physique, l'enveloppe est la preuve que personne n'a ouvert la lettre avant nous. Si l'enveloppe est déchirée, cela signifie que d'autres (le facteur, la police, le transporteur ou toute personne ayant pu se la procurer) ont pu lire le contenu au préalable.
Maintenant, imaginons que nous envoyons une carte postale. Tout le monde l'ayant eu dans les mains avant nous aura pu la lire, et il n'y a aucun moyen de le savoir. Les e-mails, par défaut, sont comme des cartes postales et c'est là exactement la problématique des e-mails : si nous ne protégeons pas nos e-mails (avec des techniques de chiffrement), ceux-ci peuvent être visibles par toute personne y ayant eu accès avant nous.

Ensuite, et j'en ai parlé dans mon article sur l'impact écologique du numérique, le coût écologique des courriers électroniques est important. Pour stocker nos e-mails, avec les pièces jointes qui vont avec, il faut faire fonctionner de gros ordinateurs appelés « serveurs » (parce que leur rôle est de servir à nous, clients, du contenu) qui consomment beaucoup d'électricité et génèrent aussi des gaz à effet de serre.[1]

Si à cette deuxième problématique nous pouvons tout simplement utiliser systématiquement des services comme Framadrop pour stocker de manière temporaire nos pièces jointes et réduire, de cette manière, drastiquement notre impact écologique lorsque l'on envoie des e-mails, la première problématique est plus difficile à aborder (mais pas si difficile pour autant).
Nous y reviendrons plus tard.

Le cas Gmail

Introduction

Lorsque je souhaite utiliser un service et que je cherche à avoir, rapidement, des informations dessus, je regarde toujours ce que dit Wikipédia sur le sujet. Ensuite, je fouille toujours le site officiel du service.
Voici donc ce que l'on peut apprendre en consultant Wikipédia.

Gmail est un service de messagerie électronique fondé par Google en 2004.
Il est extrêmement populaire auprès des particuliers et professionnels, notamment et Google revendique 1,5 milliards de comptes en Octobre 2018. Attention toutefois, une adresse gmail est nécessaire pour le compte des services Google les plus populaires (Play Store, YouTube, Blogger, etc.) donc toutes ces personnes n'utilisent pas forcément le service de messagerie électronique.
En regardant l'encart sur le côté droit on peut comprendre rapidement que c'est un service commercial et que des publicités sont affichées à l'utilisateur.[2]
J'ai aussi pour habitude de regarder la version anglaise de Wikipédia, contenant souvent plus d'informations sur le sujet qui m'intéresse.
Ici, l'encart de droite nous apprend par la même occasion que le service a une licence propriétaire. Nous ne savons pas comment Gmail fonctionne réellement parce que nous n'avons pas accès au code source.[3]

Bien. Nous avons donc un premier aperçu de ce qu'est Gmail. Un service de Google à objectif commercial, propriétaire et gratuit à l'inscription mais qui propose des publicités.

Avant de creuser plus loin sur Gmail, il serait bon de se demander ce qu'est réellement Google. Souvenez-vous de la première question :

Qui a construit l'outil ?

Google, une entreprise créée en 1998, a construit l'outil. Sa société mère, Alphabet, est côtée en bourse en bourse et est l'une des entreprises les plus riches du monde avec un chiffre d'affaire, en 2018, de 136,82 milliards de dollars.[4]
Pour faire bien les choses, il faudrait ici se renseigner aussi sur Alphabet[5].
Pour être bref, on comprend que cette société a été créée pour regrouper toutes les activités de Google, comme Calico, l'entreprise de bio-technologies de Google dont le but est de vaincre le mort (Ce n'est pas une blague, c'est très sérieux)[6], Sidewalk Labs dont le but est de créer des villes ultra-connectées[7], ou encore X, une entreprise assez secrète faisant de la recherche dans le domaine de la robotique et de l'intelligence artificielle[8].
Google est aussi l'un des principaux acteurs mondiaux dans le domaine de la publicité en ligne avec Google Ads, anciennement Google Adwords, créée en 2000 (soit seulement deux ans après la création du moteur de recherches) et Adsense.
Un des autres axes majeurs de Google est le profilage des utilisateur·ice·s avec Google Analytics, un outil d'analyse du comportement des utilisateur·ice·s présent sur 55% des sites internet.[9]

Google berce donc dans le Transhumanisme (La société fait d'ailleurs partie des principaux sponsors de ce mouvement[10]). En fouillant un peu, nous apprenons aussi que l'entreprise travaille avec l'armée américaine (malgré une récente révolte interne à l'entreprise ayant mené à une annonce indiquant que la compagnie ne poursuivrait pas son contrat[11] puis à ce qu'il semble être un revirement, quelques semaines plus tard, dans une note de blog. Google continuera de travailler pour l'armée américaine mais sous des termes spécifiques.[12]).
La compagnie fait ainsi face à de nombreuses critiques concernant son éthique. Déjà pour les deux points évoqués ci-dessus, mais aussi pour sa stratégie d'évasion et d'optimisation fiscale[13], sa politique sur la vie privée des utilisateur·ice·s[14][15], sa concurrence déloyale[16], la gestion de son moteur de recherches[17], etc.

Pourquoi cet outil a-t-il été créé ?

L'introduction de Wikipédia nous offre quelques éléments de réponse. L'outil a, déjà, pour objectif de permettre aux utilisateur·ice·s de consulter leurs mails via leur navigateur. Cependant, au fil du temps, d'autres buts ont émergé. Un compte Gmail est désormais un compte Google, servant pour la majorité des services de la firme.
Quant aux raisons qui ont poussé les deux fondateurs de Google, Lary Page et Sergey Brin à encenser la création de Gmail, malgré des doutes quant à l'intérêt de celui-ci au sein des employés de la firme[18], c'est un mystère et nous ne pouvons que spéculer en analysant ce que la création du service a permis à Google depuis.

Nous pouvons aussi nous demander pourquoi certaines fonctionnalités de Gmail sont présentes.

Par exemple, il y a-t-il réellement besoin d'avoir une intelligence artificielle qui analyse, en temps réel, ce que nous sommes en train d'écrire pour nous afficher des « réponses intelligentes » (Ce nom est curieux, ne sommes-nous pas assez intelligents pour écrire ces réponses nous-mêmes ? Ah, c'est pour gagner du temps ? En gagne-t-on vraiment ?).[19]
Un excellent article de Guillaume Champeau traite d'ailleurs de l'impact de l'intelligence artificielle, notamment sur sa pré-sélection du contenu que nous devrions voir ou des réponses que nous devrions écrire. Je le recommande chaudement.[20]

Nous pouvons aussi questionner le fait que Google autorise des développeur·se·s d'applications tierses à lire nos mails.[21]

D'où provient l'argent ?

Essentiellement des publicités. C'est le fond de commerce de Google.[22]
Cependant, pour rendre plus intéressant l'affichage de publicités sur Gmail, Google a depuis les débuts du service, mis en place un système analysant chaque courriel pour afficher de la publicité ciblée.[23]
C'est une des raisons expliquant pourquoi nous avons pu voir apparaitre de la publicité pour des vols Marseille - Marakesh pas chers alors que nous venions tout juste d'envoyer un courrier électronique à notre amie Martha concernant notre envie d'aller au Maroc.
Pourtant, en 2017, Google annonçait que l'entreprise arrêterait de lire les mails à des fins publicitaires (mais elle continue pour d'autres fins, comme lutter contre les pourriels ou définir quelle réponse automatique écrire). Le journal Numerama soulignait à l'époque que sans doute Google n'avait plus besoin de scanner le contenu des e-mails pour nous cibler efficacement.[24]
La décision est peut-être aussi simplement temporaire, comme le souligne le journal anglophone ArsTechnica, qui précise que Google n'a qu'une obligation légale de 3 ans pour cesser de scanner les mails, à la suite de poursuites judiciaires contre Google. Le fait de scanner les e-mails de cette manière était associé à de la mise sur écoute.[25]

De quelle juridiction dépend mes données ?

Les centres de données de Google sont situés dans de nombreux pays à travers le monde.[26] Google indique, dans les conditions d'utilisation, que les données peuvent passer d'un serveur à un autre.[27] Google est une entreprise américaine, qui je le rappelle est soumise au PATRIOT Act et au CLOUD Act.
Cependant, toute entreprise est aussi soumise au Règlement Général sur la Protection des Données (ou plus communément, RGPD), qui oblige celles-ci à être transparentes concernant l'utilisation des données personnelles des ressortissant·e·s européen·ne·s et qui stipule que celles-ci appartiennent aux utilisateur·ice·s.
Attention toutefois, des entreprises comme Facebook ou Google peinent à être totalement transparentes sur la manière dont elles utilisent les données et n'hésitent pas à user de stratégies pour éviter de devoir se plier à la loi européenne.[28][29] Il est donc difficile de se sentir réellement en possession de ses données en utilisant les services proposés par ces entreprises.

Quelles sont les conditions d'utilisation ?

Les conditions d'utilisation sont souvent longues et illisibles pour le commun des mortels. C'est ce qu'a révélé une étude de ce début d'année 2019.[30] Les chercheurs soulignent que le niveau requis pour lire ces conditions est similaire à celui nécessaire à la lecture de journaux académiques. Ce n'est donc pas vraiment de notre faute si nous ne pigeons rien à ces conditions. Elles sont conçues dans ce sens.
C'est d'ailleurs, à mon sens, un indicateur essentiel : Si nous avons l'impression que nous nous faisons enfumer... il y a des chances que ce soit le cas.

Malgré tout, j'ai quand même ouvert les conditions d'utilisation de Gmail. Celles-ci renvoient vers les conditions d'utilisation de tout service ou produit Google. L'entreprise applique la même politique pour absolument tous ses produits. Cela a de l'importance parce que, et nous le verrons après, cela pousse à avoir des politiques d'utilisation extrêmement flexibles concernant les données utilisées et le contexte d'utilisation.
Analysons donc.

Lorsque vous utilisez nos services, vous nous faites confiance pour le traitement de vos informations. Nous savons qu'il s'agit d'une lourde responsabilité, c'est pourquoi nous nous efforçons de les protéger, tout en vous permettant d'en garder le contrôle.

Cette introduction me déplaît au plus haut point. C'est mielleux. Toute entreprise exploitant vos données vous diront que la vie privée est au cœur de leurs préoccupations.
Des organismes plus précautionneux se ficheront souvent de nous brosser dans le sens du poil, ils savent que la simple lecture de leurs conditions d'utilisation nous feront comprendre qu'on peut leur faire confiance. Prenons pour l'exemple les conditions d'utilisation de Framasoft.

Simple, concis, efficace. Pas de phrases comme « On tient à vous, vous êtes important à nos yeux ». Le résumé des clauses permet de comprendre en une minute l'étendue du contrat et est exprimé dans un langage que tout le monde comprend. Ici, nous avons la sensation que Framasoft tient à nous, non pas parce que l'association nous le dit, mais parce qu'elle le montre dans son langage : Un langage clair, non infantilisant, qui va à l'essentiel, ce pour quoi nous consultons les conditions d'utilisation.

Passons de nouveau sur les conditions de Google.

S'ensuit, après les deux phrases d'introduction, une assez longue description de leurs services et encore une fois, on nous carresse dans le sens du poil en nous indiquant que ça va être facile de comprendre ce qui est écrit dans les condition d'utilisation. Au cas où on ne pigerait pas, des vidéos sont disponibles.

Nous voulons que vous compreniez le type d'informations que nous collectons via nos services.

Encore une fois, la forme me déplaît. « Nous voulons que vous compreniez »... non, la loi veut que les utilisateur·ice·s comprennent, pas l'entreprise. Sinon, elle l'aurait fait depuis longtemps et n'aurait pas attendu les injonctions de l'Union Européenne.
La forme dont on nous présente les choses est très expressive de la volonté réelle non-exprimée. Y faire attention est à mon sens un moyen de se prémunir contre des abus. Après, ce n'est que mon ressenti ici, d'autres en auront certainement un différent. Je recommanderai quand même d'y garder une certaine attention.

Mais continuons.

En lisant en diagonale la liste des informations collectées par Google dans la section intitulée « Informations collectées par Google », nous pouvons lister les éléments suivants :

  • Des informations personnelles, dont le nom, le prénom, le numéro de téléphone, l'adresse e-mail, que l'on soit connecté à un compte Google ou non. Le mot-clé ici est « dont ». Celui-ci indique que cela ne s'arrête pas à ces informations.
  • « Nous collectons également le contenu que vous créez, importez ou recevez de la part d'autres personnes via nos services. Cela inclut par exemple les e-mails que vous écrivez ou recevez, les photos et vidéos que vous enregistrez, les documents et feuilles de calcul que vous créez, ainsi que les commentaires que vous rédigez sur YouTube. »
    Donc tout ce que nous créons, importons ou recevons via n'importe quel service de Google (dont Gmail, et donc nos mails) est collecté.
  • Des informations relatives aux applications, aux navigateurs et aux appareils que nous utilisons pour accéder aux services Google. Cela inclue des identifiants uniques (une suite de caractères nous étant associé et permettant de nous identifier de manière unique), le type et les paramètres du navigateur, le type et les paramètres de l'appareil, le système d'exploitation, les données relatives au réseau mobile (Nom de l'opérateur et numéro de téléphone), numéro de version de l'application.
  • Des informations relatives aux interractions entre nos applications, nos navigateurs, nos appareils et les services de Google. Par exemple, l'adresse IP, les rapports d'erreur, l'activité du système, la date, l'heure, l'URL de provenance de notre demande (Si on clique sur un lien qui redirige vers gmail.com à partir d'un site example.com, ils collectent le fait que l'on vient de example.com).
  • Des informations quand un service Google contacte leurs serveurs depuis notre appareil, par exemple quand on installe une application via le Play Store ou qu'un service vérifie la disponibilité de mises à jour automatiques.
  • Google précise aussi que si nous utilisons un appareil Android sur lequel des applications Google sont installées, notre appareil contacte régulièrement les serveurs Google afin de leur fournir des informations relatives à l'appareil et aux connexions à leurs services.
  • Des informations sur notre activité sont collectées en utilisant leurs services (et donc Gmail aussi) : les termes de nos recherches, les vidéos que l'on regarde, l'analyse de notre interraction avec les annonces publicitaires, les informations audio et vocales lorsque l'on utilise des fonctionnalités audio (On dit coucou à l'assistant vocale), l'activité relative aux achats, les personnes avec lesquelles nous communiquons ou partageons du contenu, l'activité sur les applications et sites tiers qui utilisent les services de Google, l'historique de navigation de Chrome qui a été synchronisé avec notre compte Google.
  • Si nous utilisons leurs services pour passer et recevoir des appels ou pour envoyer et recevoir des messages, ils collectent aussi des informations relatives aux communications téléphoniques, comme le numéro de téléphone, celui de l'émetteur, celui du destinataire, les numéros de transfert, l'heure et la date des appels et des messages, la durée des appels, les données de routage et les types d'appels.
  • Des données relatives à notre position géographique lorsque l'on utilise leurs services. Notamment grâce à la position GPS, l'adresse IP, les données de capteurs de notre appareil, les informations relatives à des éléments de proximité de notre appareil (les points d'accès Wi-Fi à proximité, les antennes-relais auxquelles on se connecte pour avoir du réseau, les appareils sur lesquels le bluetooth est activé)
  • Les informations nous concernant et étant accessibles sur des sources publiques (par exemple, notre nom s'il figure dans un journal), les données fournies par des partenaires de marketting (Il y a, par exemple, des entreprises dédiées dans la collecte et la revente de données qui se vantent de posséder plus de 10 000 points de données (numéro, nom, préférence sexuelle, antécédents médicaux, etc.) sur plus de 2,5 milliards de personnes.[31]), des services professionnels ou des partenaires de sécurité. Google reçoit aussi des informations provenant d'annonceur·se·s.

C'est gros. Il y a beaucoup, énormément d'informations collectées. Ce n'est aussi absolument pas détaillé. Des mots comme « dont », « tel » ou « par exemple » laissent le champs ouvert à absolument toutes les possibilités.
Les partenaires qui leur fournissent des données ne sont pas listé·e·s.

Je ne vais pas détailler toutes les conditions d'utilisation, mais la manière dont les données sont utilisées (par exemple, pour afficher du contenu ou des publicités en fonction de nos données, ou pour se servir de nos informations, comme notre nom ou notre photo dans des publicités), nos possibilités pour désactiver la collecte et la manière dont celle-ci est faite par défaut sont des points sensibles auxquels nous devons faire attention.

Pour résumer, Google exploite à peu près tout ce que l'entreprise peut exploiter lorsque l'on utilise Gmail. Nous avons la possibilité de modifier les paramètres de collecte (et je vous recommande de le faire si vous avez un compte Google) mais personnellement, je ne ferais pas confiance en ce service pour autant.

En ai-je réellement besoin ?

Nous avons besoin d'une adresse électronique, c'est indéniable. La majorité de nos interractions avec internet dépendent de cela. Cependant, nous n'avons pas forcément besoin d'utiliser Gmail. Il existe de nombreuses alternatives et je conseille de nous tourner vers elles.[32]

Maintenant, concernant le compte Google lié à notre adresse Gmail, c'est à chacun·e de mesurer le pour et le contre de le conserver ou non. Je n'ai, personnellement, pas de compte Google (que j'ai supprimé il y a quelques années), je n'utilise que peu de services dépendant de Google. J'ai désinstallé le Play Store et ai installé une alternative, Aurora Store, qui limite le profilage de Google. Quand j'utilise YouTube, c'est à travers Invidious et avant que ce service existe, je ne l'utilisais simplement pas.
J'ai bien conscience qu'il est difficile d'imaginer que nous n'avons pas besoin d'un service lorsque nous ne savons pas comment faire autrement mais je détaillerai tout ça dans un prochain billet, ce n'est pas le but de celui-ci.
Sachez simplement qu'il y a d'autres manières de faire, et je m'exercerai à le démontrer à l'avenir.
Le but de cet article est surtout de proposer un exemple de réflexion à tenir lorsque nous faisons face à un service.

Conclusion

Nous avons vu que le modèle économique derrière Gmail et les services de Google en général repose sur l'exploitation de nos données personnelles. Cela afin de prédire nos comportement ou nous inciter à en avoir certains.[33]
Google étant l'une des plus grandes régies publicitaires au monde, ces données permettent aux annonceur·se·s du monde entier de nous cibler efficacement et de nous pousser à la consommation.
Nous savons aussi que nos courriers reçus et envoyés via Gmail sont analysés pour servir les fins de Google et que des réponses pré-écrites sont envisagées par une intelligence artificielle en fonction de ce qu'elle analyse dans nos courriers. La gestion « intelligente » des courriers, pour les classer par ordre d'importance, peut aussi se révéler problématique (c'est ce qu'explique Guillaume Champeau dans son article, je vous recommande une seconde fois de le lire, il est excellent).
Google a aussi des projets transhumanistes importants et je n'apprécie pas du tout ce courant philosophique (mais vous pourrez penser différemment, c'n'est pas interdit).
Google travaille avec l'armée américaine.

Ce sont autant de raisons qui font que je n'ai aucune confiance en les services de Google et que je ne souhaite pas les utiliser. Ceci est un avis personnel. Vous pouvez tirer d'autres conclusions des faits détaillés plus haut. Ce n'est pas parce que je juge Google dangereux (j'y reviendrai aussi dans un autre article) que vous devez le faire aussi.

Pour en revenir aux bons réflexes et aux règles, et notamment la règle d'or (« N'acceptons que ce que nous voulons »)...
Je ne veux pas accepter ces conditions d'utilisation.
Je ne veux pas partager mes données avec des entités que je ne connais pas.
Je ne veux pas qu'une intelligence artificielle s'exprime à ma place.
je ne veux pas que mes courriers soient classés par degré d'importance par un algorithme.
Je ne veux pas me sentir espionné à chaque fois que j'interragis avec un ami.
Je ne veux pas participer au mouvement transhumaniste en fournissant des jeux de données à Google.
Je ne veux pas aider l'armée américaine indirectement en fournissant des jeux de données à Google.
Je ne veux pas avoir à passer dix minutes (j'exagère sans doute) pour désactiver des paramètres de confidentialité qui ne me conviennent pas.
Je ne ne veux pas de ce que Google m'offre.

Alors, je n'utiliserai personnellement pas ce service.

Le cas ProtonMail

Introduction

À titre de comparaison, j'aimerais développer la même réflexion sur le service d'e-mails ProtonMail.
Commençons par regarder ce qu'en dit Wikipédia.

ProtonMail est une messagerie web chiffrée créée en 2013 par Jason Stockman, Andy Yen et Wei Sun.[34]
On lit sur la page Wikipédia que c'est un service commercial, qu'on peut s'y connecter via Tor (Un réseau focalisé sur la vie privée et la sécurité de l'utilisateur·ice), que le chiffrement automatique est activé entre les utilisateur·ice·s du service et que les courriers sont stockés chiffrés sur le disque dur. Ce point est important car il interdit à l'entreprise la possibilité de lire les courriers stockés. Il y a aussi une fonctionnalité de signature électronique. Vous vous souvenez de la fameuse enveloppe du facteur ? Signer électroniquement un e-mail permet de s'assurer que celui-ci n'a pas été ouvert par quelqu'un d'autre. On n'envoie donc plus de cartes postales mais bien de jolies lettres dans des enveloppes.

On apprend aussi que leurs clients — leurs logiciels pour utiliser leur service —, web (via le navigateur) et smarpthone, sont Open Source. Donc tout le monde peut consulter la manière dont ils ont été construits. C'est un très bon point.[35]
Cependant, comme on me l'a fait remarqué sur Mastodon, dans les faits, certaines sources sont manquantes. Comme certaines pour faire tourner le serveur ou celles de l'application Android. Les développeur·se·s attendent que l'audit sur la sécurité de l'application soit finalisé pour ouvrir les sources de l'application Android.[36]

Qui a construit l'outil ?

À part le nom des créateurs, Jason Stockman, Andy Yen et Wei Sun, et que le service est proposé par Proton Technologies AG, nous n'apprenons pas grand chose sur la version française de Wikipédia.
La version anglaise, détaille que l'entreprise est basée dans le canton de Genève, en Suisse.
Le service a initialement été fondé par financement partifipatif.

En fouillant le site officiel, nous avons des détails sur les trois fondateurs (trois anciens chercheurs du CERN) ainsi que sur toute l'équipe de développement.[37]

Il y a aussi un descriptif de Proton Technologies, qui semble avoir été fondée pour supporter le développement de ProtonMail. Leur siège social est à Genève, en Suisse, mais le site indique avoir aussi des centres de support à San Francisco, en Californie, et Skopje, en Macédoine.

L'entreprise est supportée par différentes entités.

Pourquoi cet outil a-t-il été créé ?

Les fondateurs indiquent sur leur site avoir créé ProtonMail pour protéger les libertés individuelles sur le web. Ils ajoutent que leur but est de construire un Internet respectueux de la vie privée, protégé des cyberattaques.
Ils ont donc construit un service d'email accès sur la sécurité.

D'où provient l'argent ?

ProtonMail est une entreprise commerciale. Elle a donc un objectif de générer de l'argent (ne serait-ce que pour payer les frais associés au développement du service).

Pour la création du service, nous l'avons appris via Wikipédia — mais c'est aussi indiqué sur leur site internet — elle a bénéficié d'un financement participatif. [38]
Nous pouvons aussi constater une page de dons[39] ainsi qu'une boutique en ligne[40].

Cependant, ce ne sont probablement pas des revenus suffisants pour faire tenir l'entreprise. C'est pourquoi elle propose différentes offres pour utiliser son service.
Une offre gratuite permet la création d'un compte avec des fonctionnalités limitées (mais suffisantes pour beaucoup).
Ensuite, il y a différentes offres payantes, ouvrant d'autres fonctionnalités à l'utilisateur·ice.

Ainsi, nous listons quatre paliers.

  1. Gratuit
  2. Plus, coûtant 5€/mois
  3. Professionnel, coûtant 8€/mois
  4. Visionnaire, coûtant 30€/mois

En plus des fonctionnalités techniques, celles et ceux passant à la caisse bénéficieront d'un support amélioré. C'est une méthode répandue dans le monde de l'Open Source : Le service est de base gratuit et accessible mais il y a la possibilité d'obtenir une expertise, moyennant quelques deniers.

De quelle juridiction dépend mes données ?

C'est un des aspects que ProtonMail met énormément en avant : les données sont hébergées en Suisse, ce qui les met hors de portée des lois américaines et européennes (mais pas du RGPD).[41]
La juridiction suisse sur la protection des données est réputée pour être l'une des plus fortes au monde[42] :

  • Si une personne est ciblée par une surveillance du gouvernement, elle doit être tenue informée et peut faire appel.
  • Toute demande de surveillance doit passer par la justice et doit être conforme à la juridiction suisse.
  • ProtonMail n'a pas l'obligation de conserver des données et ne le fait pas car cela les forcerait à devoir identifier les utilisateur·ice·s.

Quelles sont les conditions d'utilisation ?

Regardons maintenant leur politique de confidentialité.
Malheureuseument, celles-ci ne sont pas traduites en français, mais en voici un résumé.

Sont collecté·e·s :

  • L'adresse électronique créée sur leur site, pour faire fonctionner correctement le service ou les contacter en cas de notification importante concernant ProtonMail. Nous pouvons aussi être contactés sur les nouveaux produits Proton qui pourraient nous intéresser et nous pouvons à tout moment décider de nous désabonner de cette lettre d'information à travers les paramètres de compte.
  • L'adresse IP, l'adresse électronique, et le numéro de téléphone de l'utilisateur·ice peuvent être collecté·e·s temporairement pour déterminer si iel est un spammeur.
  • Des données d'analyse sur l'utilisation du site internet à travers une instance locale de Matomo (un outil d'analyse Open Source). Si vous indiquez ne pas vouloir être pisté via les paramètres de votre navigateur (Firefox le permet), votre comportement ne sera pas analysé.
  • Les informations fournies lors de la création d'un compte (adresse e-mail secondaire, si indiquée). Il est possible de supprimer toute adresse secondaire fournie dans les paramètres du compte.
  • Des méta-données sur l'email (à cause de la manière dont ceux-ci fonctionnent) : adresses e-mail du destinataire et de l'expéditeur, l'adresse IP d'où arrive les messages, le sujet du message, et les heures auxquelles les messages sont envoyés et reçus.
  • ProntonMail précise n'avoir aucun accès au contenu des messages chiffrés mais les messages non-chiffrés en provenance et à destination d'autres fournisseurs que ProtonMail sont scannés pour détecter spams et virus.
  • Le nombre de messages envoyés, l'utilisation de la capacité de stockage, le nombre total de messages et la date de la dernière connexion.
  • Les communications avec l'entreprise (pour du support, des rapports de bug, ou des demandes de fonctionnalités) peuvent être conservées par l'équipe.
  • Par défaut, ProtonMail ne conserve pas de journaux permanents des adresses IP. Cependant, comme indiqué plus haut, l'entreprise peut conserver temporairement des adresses IP pour lutter contre la fraude et les abus. Elle précise aussi pouvoir conserver de manière permanente notre adresse IP si nous sommes engagés dans des activités qui violent les conditions d'utilisation.
  • L'adresse IP est aussi conservée de manière permanente (jusqu'à ce qu'on la supprime manuellement) si nous activons les journaux d'authentification (désactivés par défaut).
  • Pour les paiements, l'entreprise utilise des services tiers et nous sommes donc dépendant de leurs conditions d'utilisation.
  • En utilisant les applications mobiles, l'entreprise peut collecter des données d'analyse mais précise qu'aucun de ses logiciels n'accèdera jamais à nos données de localisation ni ne cherchera à récupérer des informations liées à notre localisation. Toute donnée récupérée durant ce procédé est anonymisée.

C'est plutôt pas mal.
Il y a quelques bémols, notamment l'utilisation d'outils d'analyse, mais pour la version web c'est facilement désactivable. Pour les versions mobiles, je n'en détecte pas via Exodus Privacy mais peut-être que les traqueurs ne sont pas détectés ou qu'ils ne sont pas activés. Je n'en sais rien.
Aussi, pour les notifications instantanées sur l'application mobile, il y a toujours une dépendance pour les services de Google. C'est une fonctionnalité optionnelle (activée par défaut, en revanche, il me semble) mais il est bon de le savoir, car cela signifie que des données transitent sur les serveurs de Google et dépendent donc des conditions d'utilisation de Google.[43]

L'entreprise précise ensuite qu'en cas de fermeture de compte, les données sont supprimées immédiatement des serveurs de production. Les comptes actifs voient leurs données retenues indéfiniment. Les e-mails supprimés sont définitivement supprimés des serveurs de production.
Les données supprimées peuvent être conservées dans leurs serveurs de sauvegarde pendant 14 jours au maximum.

En ai-je réellement besoin ?

Dans le soucis de rechercher une adresse électronique plus éthique que Google, je pense que ProtonMail est un bon candidat. Est-ce que nous avons réellement besoin de faire attention à notre intimité numérique ? Je pense que oui.
J'ai d'autres adresses électroniques mais la facilité d'accès aux services de ProtonMail, avec le chiffrement automatique, et sa localisation en Suisse en font un candidat appréciable comme adresse électronique alternative.

Encore une fois, cette question est très personnelle et c'est à chacun·e d'estimer ses propres besoins.

Conclusion

J'aime bien ProtonMail. L'entreprise est transparente sur biens des égards[44] bien qu'elle ne soit pas ecore totalement exemplaire. Elle porte des valeurs qui me correspondent et je comprends comment et pourquoi elle fonctionne de cette manière. Le code source est en bonne partie ouvert (mais il y a encore des efforts à produire sur ce terrain là et ils travaillent dessus activement !) donc la communauté peut consulter les modifications apportées à chaque instant.
C'est le genre d'entreprises que j'apprécie : elle semble placer l'utilisateur·ice au centre de ses pré-occupations.

Pour terminer

J'espère avoir aidé à mieux cerner comment appliquer ces fameux bons réflexes évoqués il y a quelques jours. Gardons à l'esprit que je n'ai pas poussé l'exercice au plus loin, pour éviter de devenir trop barbant. Nous aurions pu remonter toujours plus loin pour savoir qui possède nos données et comment ces entreprises s'en servent. Cependant, mon ambition n'est pas de créer un papier scientifique mais d'aider le tout venant à comprendre où regarder lorsqu'il s'agit d'observer globalement l'éthique d'un service.

Si vous souhaitez comparer d'autres founisseurs de courriers électroniques, ce que je vous encourage à faire, vous pouvez consulter le site PrivacyTools. Pour les non-anglophones, j'avais traduit l'ancienne version du site mais celle-ci n'a pas été mise à jour depuis longtemps. Cela ne signifie pas que tout est obsolète mais beaucoup de choses ont évolué depuis. Des choses qui semblaient être vraies à l'époque ne le sont plus aujourd'hui. Si cela vous intéresse quand même, ça se passe ici.

Si vous avez des questions ou des remarques, vous pouvez me contacter sur Mastodon ou par mail. Tout est dans la page de contact.


  1. https://web.archive.org/web/20150330030748/https://www.ademe.fr/sites/default/files/assets/documents/guide-pratique-internet-courriels-reduire-impacts.pdf — Internet, courriels : Réduire les impacts (web.archive.org [fr]) ↩︎

  2. https://fr.wikipedia.org/wiki/Gmail — Gmail (wikipedia.org [fr] ↩︎

  3. https://en.wikipedia.org/wiki/Gmail — Gmail (wikipedia.org [en]) ↩︎

  4. https://www.msn.com/fr-fr/finance/details-de-l-action/finances/nas-googl/fi-a1u3rw — GOOGL - Rapports financiers pour ALPHABET Inc. (msn.com [fr]) ↩︎

  5. https://fr.wikipedia.org/wiki/Alphabet_(entreprise) — Alphabet (wikipedia.org [fr]) ↩︎

  6. https://fr.wikipedia.org/wiki/Calico_(entreprise) — Calico (wikipedia.org [fr]) ↩︎

  7. https://en.wikipedia.org/wiki/Sidewalk_Labs — Sidewalk Labs (wikipedia.org [en]) ↩︎

  8. https://fr.wikipedia.org/wiki/X_(entreprise) — X (wikipedia.org [fr]) ↩︎

  9. https://w3techs.com/technologies/overview/traffic_analysis — Usage Statistics and Market Share of Traffic Analysis Tools for Websites (w3techs.com [en]) ↩︎

  10. https://www.lemonde.fr/economie/article/2013/09/26/google-une-certaine-idee-du-progres_3485155_3234.html — Google, une certaine idée du progrés (lemonde.fr [fr]) ↩︎

  11. https://gizmodo.com/google-plans-not-to-renew-its-contract-for-project-mave-1826488620 — Google Plans Not to Renew Its Contract for Project Maven, a Controversial Pentagon Drone AI Imaging Program (gizmodo.com [en]) ↩︎

  12. https://blog.google/topics/ai/ai-principles/ — Intelligence Artificielle à Google : Nos principes (blog.google [en]) ↩︎

  13. https://fr.wikipedia.org/wiki/Critiques_de_Google#Évasion_fiscale — Critiques de Google : Évasion fiscale (wikipedia.org [fr]) ↩︎

  14. https://en.wikipedia.org/wiki/Privacy_concerns_regarding_Google — Privacy concerns regarding Google (wikipedia.org [en]) ↩︎

  15. https://www.theregister.co.uk/2009/12/07/schmidt_on_privacy/ — Google chief: Only miscreants worry about net privacy (theregister.co.uk [en]) ↩︎

  16. https://en.wikipedia.org/wiki/Criticism_of_Google#Antitrust — Criticism of Google: Antitrust (wikipedia.org [en]) ↩︎

  17. https://en.wikipedia.org/wiki/Criticism_of_Google#Criticism_of_search_engine — Criticism of Google: Criticism of search engine(wikipedia.org, [en]) ↩︎

  18. https://time.com/43263/gmail-10th-anniversary/ — How Gmail Happened: The Inside Story of Its Launch 10 Years Ago (time.com [en]) ↩︎

  19. https://www.straitstimes.com/tech/google-unveils-new-ai-enabled-functions-during-smart-compose-for-gmail — Google unveils new AI-enabled functions, including Smart Compose for Gmail (straitstimes.com [en]) ↩︎

  20. https://www.champeau.info/blog/2018/10/12/gmail-et-lassistant-google-ce-futur-asile-de-fous/ — Gmail et l'assistant de Google, ce futur asile de fous ? (champeau.info [fr]) ↩︎

  21. https://www.kanjian.fr/google-admet-que-les-developpeurs-dapplications-tierces-lisent-vos-emails-gmail.html — Google admet que les développeurs d'applications tierces lisent vos emails GMail (kanjian.fr [fr]) ↩︎

  22. https://fr.wikipedia.org/wiki/Google#Finances — Google : Finances (wikipedia.org [fr]) ↩︎

  23. Dans l'interview pour les dix ans de Gmail accordée au Time par son créateur, Paul Buchheit, celui-ci parle de leur décision de lire les mails pour fournir de la publicitée ciblée. ↩︎

  24. https://www.numerama.com/tech/270293-pourquoi-google-ne-va-pas-arreter-la-publicite-ciblee-et-le-scan-de-vos-mails-sur-gmail.html — Pourquoi Google ne va pas arrêter la publicité ciblée et le scan de vos mails sur Gmail (numerama.com [fr]) ↩︎

  25. https://arstechnica.com/tech-policy/2017/09/google-promised-not-to-scan-gmail-for-targeted-ads-but-for-how-long/ — Google promised not to scan Gmail for targeted ads—but for how long? (arstechnica.com [en]) ↩︎

  26. https://www.google.com/about/datacenters/locations/ — Discover our data center locations (google.com [en]) ↩︎

  27. https://policies.google.com/privacy?hl=fr#enforcement — Règles de confidentialité - Google (google.com [fr]) ↩︎

  28. https://www.theguardian.com/technology/2018/apr/19/facebook-moves-15bn-users-out-of-reach-of-new-european-privacy-law — Facebook moves 1.5bn users out of reach of new european privacy law (theguardian.com [en]) ↩︎

  29. https://noyb.eu/facebook-we-dont-need-your-consent/ — Facebook: We don't need your consent (noyb.eu [en]) ↩︎

  30. https://www.vice.com/en_us/article/xwbg7j/online-contract-terms-of-service-are-incomprehensible-to-adults-study-finds — Most online "Terms of Service" are incomprehensible to adults, study finds (vice.com [en]) ↩︎

  31. https://web.archive.org/web/20191107170951/https://www.acxiom.com/what-we-do/data/ — Global Data | Consumer Data (web.archive.org [en]) ↩︎

  32. https://www.privacytools.io/providers/email/ — Best Secure Email Providers for Privacy (privacytools.io [en]) ↩︎

  33. https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443 — Un capitalisme de surveillance (monde-diplomatique.fr [fr]) ↩︎

  34. https://fr.wikipedia.org/wiki/ProtonMail — ProtonMail (wikipedia.org [fr]) ↩︎

  35. https://github.com/ProtonMail — ProtonMail (github.com [en]) ↩︎

  36. https://protonmail.com/blog/ios-open-source/#comment-19086 — Comment of Ben Wolford on the ProtonMail Blog (protonmail.com [en]) ↩︎

  37. https://protonmail.com/fr/about — À propos de ProtonMail (protonmail.com [fr]) ↩︎

  38. https://www.indiegogo.com/projects/protonmail — ProtonMail (indiegogo.com [en]) ↩︎

  39. https://protonmail.com/fr/donate — Faire un don (protonmail.com [fr]) ↩︎

  40. https://shop.protonmail.com/ — ProtonMail Shop (shop.protonmail.com [en]) ↩︎

  41. https://protonmail.com/pricing#feat-swiss — ProtonMail Prices (protonmail.com [en]) ↩︎

  42. https://protonmail.com/blog/switzerland/ — Why ProtonMail is in Switzerland (protonmail.com [en]) ↩︎

  43. https://protonmail.com/support/knowledge-base/not-receiving-push-notifications/ — Not receiving push notifications on iOS and Android (protonmail.com [en]) ↩︎

  44. https://protonmail.com/blog/transparency-report/ — ProtonMail Transparency Report 2019 (protonmail.com [en]) ↩︎