Rapport de transparence Posteo

"Nous aimerions que vous sachiez à quelle fréquence nous parviennent les requêtes des autorités concernant les données de nos clients. C'est pourquoi nous avons été les premiers opérateurs de communication allemands à publier un rapport de transparence. Depuis, nous donnons régulièrement des impulsions pour plus de transparence et documentons souvent les abus des autorités en matière de demandes d'information.“

Rapport de transparence Posteo

Bienvenue dans le rapport de transparence Posteo

Nous souhaitons que vous sachiez à quelle fréquence les autorités nous transmettent des demandes concernant les données de nos utilisateurs. Dans ce rapport, nous exposons combien de fois les autorités judiciaires et les services secrets se sont adressés à nous et à quelle fréquence nous avons dû effectivement divulguer des données de contenu. De plus, vous apprendrez combien de fois ces requêtes ont été déposées correctement et combien de fois elles étaient illégales. Die Zahlen für das laufende Jahr 2017 veröffentlichen wir im Januar 2018.Ce rapport comprend toutes les demandes des autorités que Posteo a reçues jusqu'à fin décembre 2016. Les chiffres de 2017 seront publiés en janvier 2018.

Nous publions les requêtes des autorités

Étant donné que de nombreuses demandes des autorités reçues par Posteo ne respectent pas les dispositions légales, nous consacrons un paragraphe spécial aux manquements survenant dans les procédures de demandes de renseignement. Dans ce paragraphe, nous dénonçons particulièrement le chaos qui règne dans la façon de faire la demande de données personnelles d'après le TKG §113 (loi allemande sur la surveillance des télécommunications). Nous démontrons que de graves problèmes de sécurité existent, que des violations régulières du droit surviennent et que le déficit de contrôle ne fait qu'aggraver la situation.

Nous appuyons notre critique sur notre propre documentation et publions des exemples de requêtes illégales des autorités. De plus, nous publions notre échange de courriers avec la commissaire fédérale à la protection des données, les commissaires à la protection des données des länder et les ministères de la justice de chaque land. Ainsi, vous avez un aperçu des efforts fournis quotidienement par Posteo pour protéger vos données.

De plus, nous nous intéressons à l'instrument de contrôle de la réserve de compétence du juge qui, d'après nous, ne correspond pas aux compétences qui lui ont été assignées. Toutes les demandes de surveillances semblent être acceptées. Cependant, pour garantir l'efficacité de la réserve de compétence du juge, aucune statistique n'est relevée pour le confirmer.

Nos objectifs

En mai 2014, Posteo était le premier opérateur de télécommunications allemand à publier un rapport de transparence. Avant cela, nous avons demandé de vérifier par le biais d'un avis juridique la légalité d'une publication de rapports de transparence par des opérateurs allemands. Grâce à cette initiative, nous avons poussé d'autres fournisseurs allemands à publier des rapports de transparence, notamment la Deutsche Telekom. Avec notre rapport de transparence, nous souhaitons que les abus et procédures illégales apparaissent en plein jour et qu'un débat puisse s'ouvrir sur ce sujet.

Nous souhaitons également que quelque chose change : bien que le gouvernement fédéral ait été informé de ces abus il y a plusieurs années déjà, la sitation ne s'est apparemment pas améliorée. Le contrôle démocratique sur les demandes de renseignement étatiques et les mesures de surveillance en Allemagne doit par conséquent être renforcé. Nous donnons des impulsions dans ce sens dans notre rapport de transparence. Par exemple, nous appelons de nos voeux plus de fonds pour les organes de contrôle.

Vous trouverez des réponses aux questions fréquentes sur les procédures et principes légaux ainsi que la réaction de Posteo aux requêtes des autorités dans notre rubrique"Informations générales & questions fréquentes".

Demandes d'information :

Remarque : nous sommes un fournisseur de messagerie spécialisé dans la protection des données et doté d'un concept global de minimisation des données. C'est pourquoi nous ne disposons ni de données à caractère personnel (comme le nom et l'adresse de nos clients), ni des adresses IP dynamiques de nos clients. Si Posteo est contraint par une décision de justice de divulguer les données d'un client, seules les données de contenu (par exemple les e-mails) peuvent être transmises aux autorités. En cas de demandes de données à caractère personnel ou d'adresses IP, nous répondons toujours aux autorités que les données demandées n'existent tout simplement pas chez nous. Le nombre des boîtes mail ouvertes chez Posteo a plus de decuplé entre 2013 et 2015. Il est donc normal que les requêtes des autorités auprès de Posteo aient augmenté ces dernières années.

Nombre de requêtes en 2016
au total : 35
par les autorités allemandes : 35
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 34
services de renseignement : 1
Type de requête
demandes de données à caractère personnel: 28
Saisie de la boîte mail : 2
demande de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 2
Demande non définie : 1

Exactitude

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 14
demandes de données à caractère personnel formellement incorrectes : 14
Saisies formellement correctes : 2
TKÜ formellement correctes : 2
demandes de données de trafic formellement correctes : 2
demandes non définies formellement incorrectes : 1

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives au paiement : 0
motif : données inexistantes/inscription anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
Nombre de boîtes mail concernées par la transmission de données de contenu après la saisie de leur boîte mail ou la transmission permanente de données régie par une TKÜ : 3
motif : décision de justice formellement correcte

Explication :
La différence entre le nombre de demandes de données à caractère personnel et le nombre de divulgations s'explique de la façon suivante : pour une boîte mail, plusieurs demandes ont été faites.

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 14
Nombre de requêtes en 2014
au total : 22
par les autorités allemandes : 22
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 22
services de renseignement : 0
Type de requête
demandes de données à caractère personnel : 17
Saisie de boîtes mail : 1
demande de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 2

Exactitude

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 2
demandes de données à caractère personnel formellement incorrectes : 15
saisie formellement correcte : 1
TKÜ formellement correctes : 2
demandes de données de trafic formellement correctes : 2

Nombre de transmissions

Divulgations
divulgation de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives au paiement : 0
motivation : données inexistantes/inscription anonyme
divulgation de données de trafic : 0
motivation : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
Nombre de boîtes mail concernées par la divulgation de données de contenu après la saisie de leur boîte mail ou transmission permanente de données régie par une TKÜ : 2
motivation : décision de justice formellement correcte

Plaintes par Posteo

Plaintes auprès des commissaires chargés de la protection des données
motivation : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de transmission des données de trafic 15
TKÜ entre-temps interrompue par Posteo
motivation : décision initiale envoyée à Posteo en dehors des délais légaux 1
Nombre de requêtes en 2013
au total : 7 *
par les autorités allemandes : 7
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 7
services de renseignement : 0
Type de requête
demandes de données à caractère personnel : 7
dont demande du nom d'une boîte mail pour accéder aux données de paiement : 1
Saisie de boîtes mail : 1
Demande de données de trafic : 1
TKÜ (surveillance d'un compte pour une période donnée) : 1

Exactitude/demande arbitraire

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 2
demandes de données à caractère personnel formellement incorrectes : 5
Saisie formellement correcte : 1
TKÜ formellement correcte : 1
demande de données de trafic formellement correcte : 1
Cas de demandes arbitraires par les autorités
Plainte : fouille injustifiée des locaux de Posteo, coercition, incitation à coopérer illégalement : 1
(cf. : recours auprès des autorités de suvreillance/plaintes)

Chiffres et taux de réussite

Taux de réussite
nombre de cas de divulgation des données, total : 1
Divulgation suite à des requêtes simples de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
Divulgation suivant la demande du nom d'une boîte mail pour accéder à des données bancaires : 0
motivation : données inexistantes/inscription anonyme
Divulgation de données suite à la saisie d'une boîte mail, transmission permanente des données régie par une TKÜ : 1
motivation : décision de justice formellement correcte

Recours/plaintes par Posteo

Plaintes de notre avocat auprès des commissaires chargés de la protection des données dans un land
motivation : transmission non conforme de la demande des autorités 1
Plaintes/recours auprès des autorités de surveillance contre des inspecteurs de police, des procureurs et des juges
Plainte : notamment coercition, incitation à une coopération illégale, non-respect de la législation en vigueur, décision de saisie d'une boîte mail, demande de données de trafic et TKÜ sans fondement juridique, mandat pour la fouille de Posteo sans fondement juridique 4

Explication :
* Dans 7 cas au total, nous avons obtenu des requêtes de la part des autorités. 6 d'entre elles étaient de simples demandes de données à caractère personnel. Dans un cas, différentes demandes ont été déposées (données à caractère personnel, données de trafic, contenu de boîtes mail et surveillance permanente des télécommunications).

Informations générales et questions fréquentes

Général :

Pourquoi Posteo publie-t-il une fois par an un rapport de transparence ? 

Nous souhaitons que nos clients sachent combien et quel type de demandes de renseignement nous obtenons des autorités. Nous souhaitons être transparents sur la façon dont nous traitons ces requêtes. Après la révélation de la surveillance massive des citoyens par les services secrets, il est aujourd'hui plus important que jamais que les fourniseurs de messagerie publient des rapports des transparence. Ils permettent de renforcer à la fois les droits fondamentaux, l'autodétermination informationnelle et la démocratie.

Pourquoi Posteo a-t-il publié en 2014 pour la première fois un rapport de transparence ? Et pourquoi aucun opérateur de télécommunications allemand ne l'avait-il fait ? 

C'est seulement en 2013 que nous avons commencé à recevoir des demandes de la police. Pour nous, c'était très clair : nous voulions publier à l'avenir un rapport de transparence sur les requêtes des autorités d'après le modèle des entreprises de télécommunication aux États-Unis.
Nos avocats nous ont cepenant averti du fait que le cadre juridique pour cela n'était pas encore très bien défini et qu'aucun opérateur de télécommunications allemand n'avait encore publié de rapport de transparence, justement pour cette raison. Le législateur contraint les opérateurs de téléphonie allemands au secret concernant les demandes de renseignement, entre autres dans la loi allemande sur les télécommunications (TKG, en allemand) et les lois G10 (allemand). C'est pourquoi nous avons commandé en mai 2014 une expertise (allemand). Nous devions clarifier la situation juridique car un non-respect de cette obligation au secret peut être puni de plusieurs années de prison. L'expertise que nous avions commandée a révélé que la publication de données purement statistiques qui ne permettent pas de tirer de conclusions sur des cas particuliers est autorisée. Le ministère fédéral de la justice a confirmé cet état de faits sur une demande de Christian Ströbele, membre du Bundestag. Suite à cela, Posteo a enfin publié le 14.05.2014 le premier rapport de transparence d'un fournisseur de messagerie allemand.

Que vise Posteo avec la publication de ses rapports de transparence ? 

Nous souhaitons que cela devienne normal en Allemagne que les entreprises de télécommunication publient des rapports de transparence. Cette forme de transparence renforce la possibilité de contrôle démocratique et d'évaluation des mesures des surveillance. Quand nous avons publié en 2014 le premier rapport d'un opérateur de télécommunications, la Deutsche Telekom nous a suivis quelques heures plus tard. Entre-temps, d'autres fournisseurs allemands ont publié de tels rapports. Nous proposons aux autres fournisseurs qui envisagent de le faire d'effectuer un échange d'expériences.
De plus, nous souhaitons encourager les autres fournisseurs allemands à sortir leurs rapports de transparence en open data (donnée ouverte) afin qu'un aperçu général transparent des demandes de renseignement puisse émerger. Nous publions notre rapport de transparence dans un format ouvert et standardisé (XML et JSON) afin que chaque personne intéréssée ait la possibilité de travailler nos données et de les traiter statistiquement. Un de nos autres objectifs est de mettre le doigt sur les abus en matière de demandes d'information et d'inciter ainsi à des améliorations.

Pourquoi est-ce que Posteo publie le rapport de transparence en open data (donnée ouverte) ? 

Nous mettons dès maintenant à disposition les chiffres de nos rapports de transparence sous une forme lisible par des machines. Les données peuvent être lues et travaillées sans licence (CC0). Ainsi, les personnes intéressées ou des organisations pourront éventuellement travailler leurs données d'une manière totalement différente de la nôtre - par exemple effectuer des analyses et des comparaisons, si tant est que d'autres fournisseurs utilisent ce type de mise à disposition des données pour les données de leurs rapports de transparence. Le concept important ici est l'« open data ». la société civile est plus à même de débattre grâce à la mise à disposition transparente de ces données. Au contraire des données personnelles qui nécessitent d'être sous haute protection, ces données statistiques ne nécessitent pas de protection mais doivent être mises à disposition de toutes les personnes intéressées.
Afin que ces chiffres soient lisibles par les machines, nous utilisons ce que l'on appelle un schéma plist/XML qui peut être utilisé sans aucun problème par les autres fournisseurs, voire si besoin élargi. Les données de 2014 peuvent être téléchargées ici en JSON ou PLIST .

Est-ce que les rapports de transparence Posteo couvrent toutes les requêtes obtenues par Posteo jusqu'à maintenant ? Existe-t-il des « requêtes secrètes » qui ne peuvent pas figurer dans les statistiques ? 

En Allemagne, il n'existe pas de requêtes secrètes que nous ne sommes pas autorisés à documenter statistiquement. Les rapports de transparence Posteo couvrent par conséquent toutes les requêtes que nous avons reçues. Au cours des quatre premières années d'exercice (2009-2012) de Posteo, nous n'avons pas reçu de demandes des autorités. Jusqu'au printemps 2013, Posteo était un fournisseur de messagerie de très petite taille. Les rapports des années 2013, 2014 et 2015 sont mis à disposition. Nos rapports comprennent toutes les demandes des instances d'enquête ainsi que toutes celles des services secrets qui nous sont parvenues.

Pourquoi les autorités demandent aux fournisseurs de messagerie de divulguer les données de certains utilisateurs ? 

Les autorités font la demande de données d'utilisateur pour différentes raisons : par exemple afin de clarifier certains délits ou d'enquêter sur des infractions. En cas de soupçon de graves infractions, les autorités judiciaires sont en droit, dans certaines circonstances, d'obtenir les e-mails ou les données de trafic des fournisseurs de messagerie. Cependant, une décision de justice est nécessaire. Pour la transmission de données à caractère personnel (par exemple le nom ou l'adresse du client), une décision judiciaire ou le soupçon d'une infraction grave ne suffisent pas. Chez Posteo, aucune donnée à caractère personnel ne peut être demandée, car nous ne collectons pas ces données.

Que fait Posteo en cas de requête des autorités ? Est-ce que Posteo envisage un recours en justice contre les requêtes illégitimes ? 

Chaque requête des autorités est vérifiée au préalable par nos avocats. Nous prenons très au sérieux la protection des données de nos clients. Si la vérification de nos avocats révèle qu'une requête n'est pas légale, ou si l'étendue d'une décision ne recouvre pas les données sur lesquelles les autorités enquêtent, nous déposons une plainte. Posteo ne divulguera jamais des données si un doute subsiste concernant l'exactitude ou la légalité d'une décision. Nous ne craignons ni les coûts, ni les efforts occasionnés : nous vous assurons que nos avocats spécialistes du droit des télécommunications feront tout pour défendre votre droit à l'autodétermination informationnelle, si cela était un jour nécessaire. Nous ne souhaitons pas faire obstacle aux enquêteurs, mais nous voulons simplement être certains que les autorités d'enquête sont habilitées à recevoir les données demandées. Si les autorités ont effectivement été autorisées par une décision de justice à avoir accès aux données de contenu (par exemple les e-mails) d'un client de Posteo, nous devons les leur transmettre. Nous y sommes contraints par la loi. Mais de telles requêtes sont très rares.
Dans la plupart des cas, les autorités font seulement la demande de données à caractère personnel comme le nom et l'adresse. Comme nous n'enregistrons pas ces données, nous ne pouvons pas les divulguer.

Combien de fois Posteo a-t-il dû transmettre des données aux autorités compétentes ? 

En 2013 et 2014, nous avons dû délivrer des données aux autorités judiciaires sous mandat judiciaire dans une poignée de cas particuliers seulement (voir rapports de transparence 2013 et 2014). En tout, 3 boîtes mail étaient concernées. Parfois, plusieurs arrêts judiciaires s'appliquaient à ces boîtes (par exemple une saisie de la boîte mail ainsi qu'une TKÜ). Les autorités avaient à chaque fois présenté une décision formellement correcte pour la surveillance permanente d'une boîte mail ou pour la saisie d'une boîte mail. La transmission des données a eu lieu après une vérification approfondie de la part de nos avocats. Avant 2013, nous n'avons reçu aucune requête des autorités.

Les employés de Posteo se sont-ils déjà vus menacés ou y a-t-il déjà eu des tentatives illégales les incitant à transmettre des données ? 

Oui. Nous revenons sur ce point dans le thème central de notre rapport de transparence, dans la rubrique "Les autorités font la demande d'adresses IP de façon illégale" (allemand).

Est-ce que les clients concernés sont informés par Posteo ? 

Non, nous ne sommes pas autorisés à informer nos clients. Ce serait un acte répréhensible de notre part. Les opérateurs de télécommunication allemands sont contraints par différentes lois (dont la loi allemande sur la surveillance des télécommunications -TKG, en allemand- et la loi G10 -allemand) au secret concernant la plupart des demandes d'information provenant des autorités. Cela a été prévu ainsi afin d'empêcher que des enquêtes en cours soient mises en péril.

Types de données, requêtes et principes légaux :

Données à caractère personnel : de quoi s'agit-il ? 

Vos données personnelles (comme votre nom, votre adresse ou votre numéro de compte) sont définies dans les textes de lois allemands comme des « données a caractère personnel ». Si vous êtes client d'un opérateur de télécommunications, l'entreprise (voir la loi allemande des télécommunications TKG § 111 - allemand) doit enregistrer au moins les données personnelles suivantes : votre nom, votre date de naissance ainsi que votre adresse. En cas de connexion, vos numéros de téléphone et de fax aussi bien que d'autres données comme les numéros d'appareils, les identifiants de connexion ou celles concernant le début et la fin du contrat doivent en outre être enregistrés. Un règlement particulier s'applique cependant aux fournisseurs de messagerie. Ils peuvent renoncer à collecter vos données (TKG §111) et ne sont pas obligés de les enregistrer. Posteo applique cette règle. Nous n'avons pas besoin de vos données personnelles, y compris pour notre comptabilité (voir : paiement anonyme chez Posteo). Quand les fournisseurs de messagerie enregistrent vos données, ils doivent également les divulguer. Si les fournisseurs de messagerie enregistrent vos données de paiement pour votre boîte mail, il s'agit là également de données à caractère personnel disponibles.

Pourquoi Posteo ne collecte-t-il aucune donnée à caractère personnel ? 

Le législateur encourage explicitement les entreprises (loi fédérale de protection des données § 3a - allemand) à éviter d'enregistrer des données à caractère personnel à chaque fois que c'est possible :

Abstention de la collecte des données et minimisation des données : la collecte, le traitement et l'utilisation de données à caractère personnel et le choix et la gestion de systèmes de traitement des données doivent viser l'objectif de collecter, traiter ou utiliser aussi peu de données que possible. En particulier, les données à caractère personnel doivent être anonymisées ou pseudonymisées tant que cela est possible pour atteindre l'objectif visé et tant que cela n'occasionne pas d'efforts disproportionnés par rapport à l'objectif de protection.

Loi fédérale de protection des données §3a

Nous nous sommes basés sur cette exigence lors de la conception de Posteo.
Pour protéger nos clients le mieux possible, nous appliquons autant que possible la minimisation des données : seules les donnés qui n'ont pas été collectées peuvent à 100 % ne pas être volées ou utilisées à des fins malhonnêtes. Plusieurs cas de vol de données d'utilisateurs par des criminels auprès d'entreprises sont connus, par exemple à des fins d'utiliser leurs données bancaires ou de mettre en place des fraudes. Notre concept vise une protection des données maximale, c'est pourquoi nous ne collectons aucune donnée à caractère personnel liée aux boîtes mail ou que nous avons anonymisé les procédures de paiement.

Dans quelles circonstances les autorités ont-elles le droit de faire la demande de données à caractère personnel auprès de fournisseurs de messagerie ? Est-ce qu'une demande de données à caractère personnel peut être déposée auprès de Posteo ? 

Les autorités ne peuvent pas obtenir de données à caractère personnel de Posteo car nous ne les collectons pas.
En général, les données à carcatère personnel peuvent être demandées aux fournisseurs de messagerie par diverses autorités ou d'autres personnes autorisées en cas de soupçon d'infraction (par exemple de stationnement non autorisé ou de désordre sur la voie publique). Il n'y a pas de vérification du contenu ou une réserve du juge. La loi autorise l'identification d'utilisateurs d'Internet pour poursuivre tout type d'infraction. Les fournisseurs de messagerie ayant plus de 100 000 utilisateurs doivent mettre automatiquement les données personnelles à disposition pour ces demandes, quand ils collectent les données. D'après les données de l'agence fédérale allemande d'Internet, en 2014, environ 6,92 millions de sollicitations donnant 34,3 millions de réponses ont été menées de cette façon. (source : Rapport d'activités de l'agence fédérale d'Internet 2014)

Est-ce que les autorités font uniquement des demandes de divulgation de données à caractère personnel que les entreprises sont autorisées à divulguer ? 

Non. En pratique, la demande de renseignement concernant les données à caractère personnel définie par §113 TKG présente de graves problèmes de sécurité et manques. Pour en savoir plus sur ce sujet, lisez le paragraphe spécial de notre rapport de transparence de cette année qui se concentre sur ces problèmes (allemand).

Les données de trafic, qu'est-ce que c'est ? 

Les donneés de trafic sont les données produites lors de télécommunications. Par exemple, elles documentent à quel moment un e-mail a été échangé entre deux boîtes mail. Les données de trafic produites chez un fournisseur de messagerie sont par exemple :

  • L'information concernant le moment où un e-mail a été envoyé d'une adresse e-mail à une autre adresse e-mail.
  • L'information concernant l'adresse IP de laquelle cet e-mail a été envoyé.

Ces données sont enregistrées dans ce que l'on appelle les « fichiers log » du fournisseur de messagerie. Ils ne sont autorisés à utiliser ces données que pour deux raisons :

  1. Pour reconnaître, limiter et résoudre des incidents techniques (TKG § 100 section 1), par exemple lors de l'envoi et de la réception des e-mails.
  2. Pour révéler une utilisation abusive des serveurs (TKG § 100 section 3), par exemple par des spammeurs.

Quand les données de trafic peuvent-elles être divulguées aux autorités ? Est-ce que les autorités peuvent exiger que Posteo collecte des données de trafic pour la poursuite d'infractions pénales ? 

Les données de trafic sont protégées par le secret des télécommunications. C'est pouquoi il est interdit de divulguer des données de trafic à la simple demande des autorités. Les autorités judiciaires doivent s'appuyer sur un jugement pour nous faire la demande de données de trafic. Le juge répond positivement à cette demande en cas de soupçon d'une infraction grave seulement. La loi allemande ne permet pas l'enregistrement de données de trafic précisément pour la poursuite d'infraction (en particulier la rétention de données). Pour une divulgation d'informations, seules les données qui sont enregistrées car elles sont utiles au fonctionnement de l'entreprise peuvent être utilisées. Cela signifie que les autorités ne sont pas autorisées à nous demander de collecter plus de données de trafic de nos utilisateurs. Par exemple, si vous visitez notre site inernet et vous connectez à votre boîte mail, nous n'enregistrons pas votre adresse IP.

Est-ce que Posteo peut divulguer les adresses IP de ses clients ? 

Non. Nous ne sommes pas autorisés à les collecter ni à les enregistrer, car nous n'en avons pas besoin pour le fonctionnement de notre entreprise. C'est poruquoi nous ne disposons pas d'adresses IP reliées aux boîtes mail et ne pouvons par conséquent pas les divulguer.

Qu'est-ce que le secret des télécommunications et dans quels cas peut-il être réduit ? 

Le secret des télécommunications est un droit fondamental et est protégé, au même titre que le secret des correspondances et secret postal, par l'article 10 de la loi fondamentale allemande. Ce secret prévoit que les citoyens ont un droit de protection de leurs communications vis-à-vis de l'État afin de garantir des échanges et une transmission de faits et de pensées non surveillés. Sont compris dans le secret des télecommunications aussi bien les contenus concrets (conversations téléphoniques, e-mails) que les données de trafic d'une télécommunication. Il peut être cependant limité. Le code de procédure pénale allemand (StPO) et l'article 10 de la loi fondamentale définissent dans quels cas il peut l'être. La surveillance doit être ordonnée par un juge ou, si un délai est considéré dangereux, par le Parquet. Dans des cas particuliers, la divulgation des données de trafic peut également être ordonnée d'aprés le StPO, § 100g. La loi 10 de la loi fondamentale et les lois des services secrets définissent quand les services comme les services de protection de la constitution ou l'administration du service de protection militaire sont autorisés à surveiller les télécommunications. Si une surveillance est ordonnée, l'opérateur de télécommunications doit mettre à disposition des autorités concernées une copie de la télécommunication. La personne ciblée par cette surveillance doit être en partie informée de cette mesure appliquée par les autorités dès que « l'objectif de la mesure » le permet. Les autorités doivent alors détruire les données qu'elles ont obtenues.

Que sont les données de trafic et dans quelles circonstances peuvent-elles être l'objet d'une requête auprès des fournisseurs de messagerie ? 

Les données de contenu ne sont rien d'autre que le « contenu » de vos communications, c'est-à-dire de vos e-mails. Le législateur a posé des obstacles très importants à la divulgation des contenus : vos e-mails sont protégés par le secret des télécommunications. Comme nous ne divulguons jamais des données volontairement (StPO § 94 section 1) mais contredisons toujours formellement les demandes qui nous sont adressées, la saisie pénale d'une boîte mail Posteo par un juge doit être ordonnée par un juge (StPO, § 94 section 2, § 98 section 1 p. 1 ou section 2 p. 1 ). Un ordre de surveillance d'une boîte mail dans le cadre de la TKÜ (surveillance) couvrant une période donnée peut seulement être obtenu dans le cas d'infractions graves. Chaque décision juridique doit nous (le fournisseur) être présentée par les autorités et est vérifié par nos avocats dans la forme et le fond avant l'éventuelle divulgation des données. Le client concerné ne peut pas être informé d'un ordre de TKÜ (surveillance). Ce serait un acte répréhensible de notre part.
Pour en savoir plus sur ce sujet, lisez le paragraphe spécial de notre rapport de transparence de cette année qui se concentre sur ce sujet (allemand).

Quelle est la différence entre la saisie d'une boîte mail et une TKÜ ? 

En cas de saisie pénale d'une boîte mail Posteo (StPO, § 94 section 2 , § 98 section 1 p. 1 ou section 2 p. 1), nous sommes oligés de transmettre tous les e-mails qui se trouvaient dans ladite boîte mail sur laquelle porte le jugement au moment de la saisie. Dans le cas d'un arrêt de type TKÜ pour la surveillance d'une boîte mail, nous sommes obligés de copier pour les autorités autorisées tous les e-mails entrants et sortants pendant la durée définie. Les e-mails enregistrés préalablement ne sont pas concernés par le TKÜ. Cependant, ces deux mesures (saisie et surveillance permanente) peuvent être combinées.

Questions fréquentes sur la transmission des données : chiffrement, mots de passe et « interfaces d'écoute »

J'ai lu que les fournisseurs de messagerie doivent installer une interface d'écoute de l'État à partir de 10 000 utilisateurs. Est-ce vrai, et s'agit-il de ce qu'on appelle la boîte SINA ? 

Chez Posteo, il n'y a pas de boîte SINA. De plus, la boîte SINA n'est pas vraiment une « interface d'écoute » qui donne accès aux données d'un fournisseur de messagerie. Pour en savoir plus sur la boîte SINA et la façon dont les fournisseurs de messagerie allemands transmettent des données aux autorités, rendez-vous sur notre article de blog (anglais). Dans le règlement relatif à la surveillance des télécommunications figure l'obligation pour l'opérateur de télécommunications d'installer un ordinateur spécial (boîte SINA) à partir de 10 000 utilisateurs. Il est difficile de dire sans aucun doute combien d'utilisateurs nous avons, car nous ne collectons pas les données à caractère personnel de nos clients. Nous connaissons seulement le nombre de boîtes mail. L'agence fédérale d'Internet estime que nous faisons maintenant partie des enteprises tenues de respecter cette règle. C'est pourquoi nous nous sommes vivement intéressés à ce sujet ces derniers temps. De nombreuses problématiques en sont resorties ; nous cherchons actuellement à y répondre. Dès que nous avancerons sur ce sujet, vous en serez informés sur notre blog.

Est-ce que Posteo peut être contraint par les autorités ou les services secrets à rompre un chiffrement ? 

Non, ce n'est pas possible en Allemagne, contrairement aux États-Unis ou au Royaume-Uni. En Allemagne, il n'y a pas de lois qui peuvent nous contraindre à rompre un chiffrement. Nous avons fait vérifier cela par nos avocats avant de développer des options de chiffrement comme le stockage mail crypté. Par exemple, celui-ci est réalisé de façon à ce que Posteo ne puisse pas effacer le chiffrement installé par le client. Seul le client peut le faire. Si un client instaure le chiffrement de bout en bout de ses données, ce dernier ne peut pas non plus être effacé par les fournisseurs de messagerie.

Est-ce que les autorités ou des services peuvent contraindre Posteo à installer des portes dérobées ou assimilé ?  

Non. Cela n'est pas prévu par la loi en Allemagne.

Posteo peut-il divulguer mon mot de passe Posteo aux autorités ? 

Non, car nous n'enregistrons jamais les mots de passe en clair mais en « valeurs de hachage salé ». C'est pourquoi nous ne connaissons pas votre mot de passe et ne pouvons ni vous le donner, ni le divulguer à des tiers. Pour en savoir plus sur le chiffrement des mots de passe chez Posteo, rendez-vous sur notre page d'information sur le chiffrement.

J'ai enregistré un numéro de téléphone chez Posteo, est-ce que ce numéro peut être divulgué aux autorités ? 

Non. Votre numéro de téléphone est enregistré dans notre banque de données de façon chiffrée, également sous la forme d'un « hachage salé ». Nous ne connaissons pas votre numéro de téléphone et ne pouvons par conséquent pas le divulguer à des tiers. Pour en savoir plus sur le chiffrement des numéros de portable chez Posteo, rendez-vous sur notre page d'information sur le chiffrement.

Est-ce que Posteo peut divulguer mon adresse IP ? 

Non. depuis que, en mai 2010, la rétention de données a été rejetée par la cour consitutionnelle fédérale allemande, les fournisseurs de messagerie allemands ne peuvent enregistrer des adresses IP qu'à des fins opérationnelles, ceci pour une durée maximale de 7 jours.
Mais comme notre fonctionnement ne nécessite pas de connaître les adresses IP de nos clients, il ne nous est pas permis de les enregistrer. C'est pourquoi nous n'enregistrons pas les adresses IP de nos clients et que nous ne pouvons pas les divulguer.

Est-ce que Posteo est concerné par la réintroduction de la rétention de données ? 

Le projet de loi du gouvernement fédéral visant à réintroduire la rétention de données (« Loi visant à l'introduction d'une obligation d'enregistrement et d'un délai maximal d'enregistrement pour les données de trafic » - allemand) prévoit actuellement que tout le champ de la messagerie sera exclu de cette obligation d'enregistrement. Cela signifie que si rien ne change d'ici-là, Posteo ne sera pas concerné.
En dehors de cela, nous sommes fondamentalement contre la rétention de données. Nous suivons l'actualité à ce sujet avec beaucoup d'attention.

Est-ce que les instances d'enquête peuvent avoir accès à mes données enregistrées si j'utilise le chiffrement de bout en bout ou si ma boîte mail Posteo est chiffrée (stockage mail crypté) ? 

Si un arrêt du juge nous contraint à ouvrir une boîte mail, nous devons divulguer les données de contenu de cette boîte mail, en l'état. Les données de messagerie enregistrées chez nous chiffrées par le client, à l'aide de notre stockage mail crypté par exemple ou d'un chiffrement de bout en bout, ne peuvent techniquement pas être déchiffrées par Posteo.
Si les e-mails enregistrés ont été chiffrés, ils sont transmis chiffrés aux autorités.