Rapport de transparence Posteo

"Nous aimerions que vous sachiez à quelle fréquence nous parviennent les requêtes des autorités concernant les données de nos clients. C'est pourquoi nous avons été les premiers opérateurs de communication allemands à publier un rapport de transparence. Depuis, nous donnons régulièrement des impulsions pour plus de transparence et documentons souvent les abus des autorités en matière de demandes d'information.“

Rapport de transparence Posteo

Information actuelle importante

Veuillez prendre en compte ce qui suit lors de la lecture de ces pages :
Suite à une décision de la Cour de justice de l'Union Européenne datant du 13.06.2019, les services de courrier électronique comme Posteo ne relèvent plus des exigences du TKG (loi allemande sur les télécommunications).

  • Par conséquent, toutes les allusions à la loi allemande sur les télécommunications (TKG) dans ces pages ainsi que la désignation de Posteo comme « fournisseur en télécommunications d'après le TKG» ne sont plus actuelles.
  • Actuellement, il n'y a plus de fondement juridique pour d'éventuels ordres de surveillance des télécommunications (TKÜ) ; Posteo ne peut donc plus mettre en œuvre de telles prescriptions, et ne le fera plus.
  • Toutes les autres requêtes/obligations se basant sur le TKG sont également caduques.

Il est prévu que de nouvelles dispositions législatives soient introduites en 2020. La situation légale est nouvelle et, par conséquent, de nombreuses questions restent ouvertes. Nous disposons entre-temps des premières recommandations de nos avocats en droit pénal et droit des télécommunications.

Bienvenue dans le rapport de transparence Posteo

Nous souhaitons que vous sachiez à quelle fréquence les autorités effectuent des requêtes concernant les données de nos utilisateurs. Dans ce rapport, nous exposons combien de fois les autorités chargées d'enquêter et les services secrets se sont adressés à nous et à quelle fréquence nous avons dû effectivement divulguer des données de contenu. De plus, vous apprendrez combien de fois ces requêtes ont été déposées correctement et combien de fois elles étaient illégales. Ce rapport comprend toutes les demandes des autorités que Posteo a reçues jusqu'à fin décembre 2019. Nous avons séparé en deux la représentation des chiffres de 2019 car les services de courrier électronique ne relèvent plus des exigences du TKG (loi allemande sur les télécommunications) depuis une décision de la Cour de justice de l'Union Européenne datant de juin 2019 : depuis lors, il n'est plus possible de fournir des informations sur les demandes des autorités qui se basent sur le TKG. De plus, les ordres de surveillance des télécommunications (TKÜ) adressés aux services de courrier électronique ne sont désormais plus autorisés. Les chiffres de l'année 2020 seront publiés en 2021.

Nous publions les requêtes des autorités

Étant donné que de nombreuses demandes des autorités reçues par Posteo ne respectent pas les dispositions légales, nous consacrons un paragraphe spécial aux manquements survenant dans les procédures de demandes de renseignement. Dans ce paragraphe, nous dénonçons particulièrement le chaos qui règne dans la façon de faire la demande de données personnelles d'après le TKG §113 (loi allemande sur la surveillance des télécommunications). Nous démontrons que de graves problèmes de sécurité existent, que des violations régulières du droit surviennent et que le déficit de contrôle ne fait qu'aggraver la situation.

Nous appuyons notre critique sur notre propre documentation et publions des exemples de requêtes illégales des autorités. De plus, nous publions notre échange de courriers avec la commissaire fédérale à la protection des données, les commissaires à la protection des données des länder et les ministères de la justice de chaque land. Ainsi, vous avez un aperçu des efforts fournis quotidienement par Posteo pour protéger vos données.

De plus, nous nous intéressons à l'instrument de contrôle de la réserve de compétence du juge qui, d'après nous, ne correspond pas aux compétences qui lui ont été assignées. Toutes les demandes de surveillances semblent être acceptées. Cependant, pour garantir l'efficacité de la réserve de compétence du juge, aucune statistique n'est relevée pour le confirmer.

Nos objectifs

En mai 2014, Posteo était le premier opérateur de télécommunications allemand à publier un rapport de transparence. Avant cela, nous avons demandé de vérifier par le biais d'un avis juridique la légalité d'une publication de rapports de transparence par des opérateurs allemands. Grâce à cette initiative, nous avons poussé d'autres fournisseurs allemands à publier des rapports de transparence, notamment la Deutsche Telekom. Avec notre rapport de transparence, nous souhaitons que les abus et procédures illégales apparaissent en plein jour et qu'un débat puisse s'ouvrir sur ce sujet.

Nous souhaitons également que quelque chose change : bien que le gouvernement fédéral ait été informé de ces abus il y a plusieurs années déjà, la sitation ne s'est apparemment pas améliorée. Le contrôle démocratique sur les demandes de renseignement étatiques et les mesures de surveillance en Allemagne doit par conséquent être renforcé. Nous donnons des impulsions dans ce sens dans notre rapport de transparence. Par exemple, nous appelons de nos voeux plus de fonds pour les organes de contrôle.

Vous trouverez des réponses aux questions fréquentes sur les procédures et principes légaux ainsi que la réaction de Posteo aux requêtes des autorités dans notre rubrique"Informations générales & questions fréquentes".

Demandes d'information :

Remarque : nous sommes un fournisseur de messagerie spécialisé dans la protection des données et doté d'un concept global de minimisation des données. C'est pourquoi nous ne disposons ni de données à caractère personnel (comme le nom et l'adresse de nos clients), ni des adresses IP dynamiques de nos clients. Si Posteo est contraint par une décision de justice de divulguer les données d'un client, seules les données de contenu (par exemple les e-mails) peuvent être transmises aux autorités. En cas de demandes de données à caractère personnel ou d'adresses IP, nous répondons toujours aux autorités que les données demandées n'existent tout simplement pas chez nous.

Nombre de requêtes en 2019/2
au total : 23
par les autorités allemandes : 22
par les autorités étrangères : 1
Type d'autorité
autorités judiciaires : 20
services de renseignement : 3
Type de requête
demandes de données à caractère personnel : 20
saisies de boîtes mail : 1
demandes de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 0
demande non définie : 0
Dans la période concernée par le rapport 2019, environ 350 000 boîtes mail étaient en service chez Posteo.

Conformité

Légalité/conformité formelle des demandes (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 0
demandes de données à caractère personnel formellement incorrectes : 20
saisies formellement correctes : 1
TKÜ formellement correctes : 0
TKÜ formellement incorrectes : 0
demandes de données de trafic formellement correctes : 0
demandes non définies formellement incorrectes : 0
demandes étrangères formellement incorrectes sans demande de commission rogatoire : 1

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motif: données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives aux données de paiement à disposition : 0
motif: données inexistantes/paiement anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
divulgation de données de contenu (nombre de boîtes concernées) : 1
motif : décision de justice formellement correcte
dont cas de saisies de boîtes mail : 1
dont cas de TKÜ: 0
dont tranmissions à des services de renseignement : 0
dont transmissions à des autorités ou à des services de renseignement étrangers : 0

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif: transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 20
Nombre de requêtes en 2019/1
au total : 20
par les autorités allemandes : 19
par les autorités étrangères : 1
Type d'autorité
autorités judiciaires : 20
services de renseignement : 0
Type de requête
demandes de données à caractère personnel : 16
saisies de boîtes mail : 1
demandes de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 0
demande non définie : 1
Dans la période concernée par le rapport 2019, environ 350 000 boîtes mail étaient en service chez Posteo.

Conformité

Légalité/conformité formelle des demandes (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 7
demandes de données à caractère personnel formellement incorrectes : 9
saisies formellement correctes : 1
TKÜ formellement correctes : 0
TKÜ formellement incorrectes : 0
demandes de données de trafic formellement correctes : 2
demandes non définies formellement incorrectes : 1
demandes étrangères formellement incorrectes sans demande de commission rogatoire : 1

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motif : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives aux données de paiement à disposition : 0
motif : données inexistantes/paiement anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
divulgation de données de contenu (nombre de boîtes concernées) : 1
motif : décision de justice formellement correcte
dont cas de saisies de boîtes mail : 1
dont cas de TKÜ: 0
dont tranmissions à des services de renseignement : 0
dont transmissions à des autorités ou à des services de renseignement étrangers : 0

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 9
Nombre de requêtes en 2018
au total : 32
par les autorités allemandes : 31
par des autorités étrangères : 1
Type d'autorité
autorités judiciaires : 26
services de renseignement : 6
Type de requête
demandes de données à caractère personnel: 28
saisies de boîtes mail : 1
demandes de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 1
demande non définie : 0
Dans la période concernée par le rapport 2018, environ 285 000 boîtes mail étaient en service chez Posteo.

Exactitude

Légalité/conformité formelle des demandes (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 12
demandes de données à caractère personnel formellement incorrectes : 16
saisies formellement correctes : 1
TKÜ formellement correctes : 1
TKÜ formellement incorrectes : 0
demandes de données de trafic formellement correctes : 2
demandes non définies formellement incorrectes : 0
demandes étrangères formellement incorrectes sans demande de commission rogatoire : 1

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motif : données inexistantes/inscription anonyme
transmission de données à caractère personnel liées aux données de paiement à dispositiont : 0
motif : données inexistantes/paiement anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
divulgation de données de contenu (nombre de boîtes mail concernées) : 2
motif : décision de justice formellement correcte
dont cas de saisies de boîtes mail : 1
dont cas de TKÜ : 1
dont transmissions à des services de renseignement : 0
dont transmissions à des autorités ou à des services de renseignement étrangers : 0

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 15
Nombre de requêtes en 2017
au total : 48
par les autorités allemandes : 43
par des autorités étrangères : 5
Type d'autorité
autorités judiciaires : 44
services de renseignement : 4
Type de requête
demandes de données à caractère personnel: 41
saisies de boîtes mail : 3
demandes de données de trafic : 1
TKÜ (surveillance d'un compte pour une période donnée) : 2
demande non définie : 1
Dans la période concernée par le rapport 2017, environ 230 000 boîtes mail étaient en service chez Posteo.

Exactitude

Légalité/conformité formelle des demandes (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 23
demandes de données à caractère personnel formellement incorrectes : 18
saisies formellement correctes : 3
TKÜ formellement correctes : 1
TKÜ formellement incorrectes : 1
demandes de données de trafic formellement correctes : 1
demandes non définies formellement incorrectes : 1
demandes non définies formellement incorrectes : 4
demandes étrangères formellement incorrectes sans demande de commission rogatoire : 4

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motif : données inexistantes/inscription anonyme
transmission de données à caractère personnel liées aux données de paiement à disposition : 0
motif : données inexistantes/paiement anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
divulgation de données de contenu (nombre de boîtes mail concernées) : 3
motif : décision de justice formellement correcte
dont cas de saisies de boîtes mail : 3
dont cas de TKÜ : 1
dont transmissions à des services de renseignement : 0
dont transmissions à des autorités ou à des services de renseignement étrangers : 0

Explication :
Pour l'une des boîtes mail, une saisie a été combinée à une TKÜ. Une TKÜ nous est parvenue de manière formellement incorrecte puis a été corrigée par le tribunal avant d'être exécutée.

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 14
Nombre de requêtes en 2016
au total : 35
par les autorités allemandes : 35
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 34
services de renseignement : 1
Type de requête
demandes de données à caractère personnel: 28
Saisie de la boîte mail : 2
demande de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 2
Demande non définie : 1

Exactitude

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 14
demandes de données à caractère personnel formellement incorrectes : 14
Saisies formellement correctes : 2
TKÜ formellement correctes : 2
demandes de données de trafic formellement correctes : 2
demandes non définies formellement incorrectes : 1

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives au paiement : 0
motif : données inexistantes/inscription anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
Nombre de boîtes mail concernées par la transmission de données de contenu après la saisie de leur boîte mail ou la transmission permanente de données régie par une TKÜ : 3
motif : décision de justice formellement correcte

Explication :
La différence entre le nombre de demandes de données à caractère personnel et le nombre de divulgations s'explique de la façon suivante : pour une boîte mail, plusieurs demandes ont été faites.

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 14
Nombre de requêtes en 2015
au total : 48
par les autorités allemandes : 47
par des autorités étrangères : 1
Type d'autorité
autorités judiciaires : 47
services de renseignement : 1
Type de requête
demandes de données à caractère personnel: 27
Saisie de la boîte mail : 8
demande de données de trafic : 6
TKÜ (surveillance d'un compte pour une période donnée) : 4
Demande non définie : 3

Exactitude

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 14
demandes de données à caractère personnel formellement incorrectes : 13
Saisies formellement correctes : 8
TKÜ formellement correctes : 4
demandes de données de trafic formellement correctes : 5
demandes non définies formellement incorrectes : 3

Nombre de divulgations

Divulgations
divulgation de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives au paiement : 0
motif : données inexistantes/inscription anonyme
divulgation de données de trafic : 0
motif : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
Nombre de boîtes mail concernées par la transmission de données de contenu après la saisie de leur boîte mail ou la transmission permanente de données régie par une TKÜ : 5
motif : décision de justice formellement correcte

Explication :
La différence entre le nombre de demandes de données à caractère personnel et le nombre de divulgations s'explique de la façon suivante : pour une boîte mail, plusieurs demandes ont été faites.

Plaintes par Posteo

Plaintes auprès de commissaires chargés de la protection des données/des autorités
motif : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de données de trafic 13
Nombre de requêtes en 2014
au total : 22
par les autorités allemandes : 22
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 22
services de renseignement : 0
Type de requête
demandes de données à caractère personnel : 17
Saisie de boîtes mail : 1
demande de données de trafic : 2
TKÜ (surveillance d'un compte pour une période donnée) : 2

Exactitude

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 2
demandes de données à caractère personnel formellement incorrectes : 15
saisie formellement correcte : 1
TKÜ formellement correctes : 2
demandes de données de trafic formellement correctes : 2

Nombre de transmissions

Divulgations
divulgation de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
divulgation de données à caractère personnel relatives au paiement : 0
motivation : données inexistantes/inscription anonyme
divulgation de données de trafic : 0
motivation : données (adresses IP) inexistantes/pas nécessaires pour le fonctionnement de l'entreprise
Nombre de boîtes mail concernées par la divulgation de données de contenu après la saisie de leur boîte mail ou transmission permanente de données régie par une TKÜ : 2
motivation : décision de justice formellement correcte

Plaintes par Posteo

Plaintes auprès des commissaires chargés de la protection des données
motivation : transmission illégale, non sécurisée des demandes des autorités ; demande illégale de transmission des données de trafic 15
TKÜ entre-temps interrompue par Posteo
motivation : décision initiale envoyée à Posteo en dehors des délais légaux 1
Nombre de requêtes en 2013
au total : 7 *
par les autorités allemandes : 7
par des autorités étrangères : 0
Type d'autorité
autorités judiciaires : 7
services de renseignement : 0
Type de requête
demandes de données à caractère personnel : 7
dont demande du nom d'une boîte mail pour accéder aux données de paiement : 1
Saisie de boîtes mail : 1
Demande de données de trafic : 1
TKÜ (surveillance d'un compte pour une période donnée) : 1

Exactitude/demande arbitraire

Légalité/conformité formelle de la demande (vérification par nos avocats)
demandes de données à caractère personnel formellement correctes : 2
demandes de données à caractère personnel formellement incorrectes : 5
Saisie formellement correcte : 1
TKÜ formellement correcte : 1
demande de données de trafic formellement correcte : 1
Cas de demandes arbitraires par les autorités
Plainte : fouille injustifiée des locaux de Posteo, coercition, incitation à coopérer illégalement : 1
(cf. : recours auprès des autorités de suvreillance/plaintes)

Chiffres et taux de réussite

Taux de réussite
nombre de cas de divulgation des données, total : 1
Divulgation suite à des requêtes simples de données à caractère personnel : 0
motivation : données inexistantes/inscription anonyme
Divulgation suivant la demande du nom d'une boîte mail pour accéder à des données bancaires : 0
motivation : données inexistantes/inscription anonyme
Divulgation de données suite à la saisie d'une boîte mail, transmission permanente des données régie par une TKÜ : 1
motivation : décision de justice formellement correcte

Recours/plaintes par Posteo

Plaintes de notre avocat auprès des commissaires chargés de la protection des données dans un land
motivation : transmission non conforme de la demande des autorités 1
Plaintes/recours auprès des autorités de surveillance contre des inspecteurs de police, des procureurs et des juges
Plainte : notamment coercition, incitation à une coopération illégale, non-respect de la législation en vigueur, décision de saisie d'une boîte mail, demande de données de trafic et TKÜ sans fondement juridique, mandat pour la fouille de Posteo sans fondement juridique 4

Explication :
* Dans 7 cas au total, nous avons obtenu des requêtes de la part des autorités. 6 d'entre elles étaient de simples demandes de données à caractère personnel. Dans un cas, différentes demandes ont été déposées (données à caractère personnel, données de trafic, contenu de boîtes mail et surveillance permanente des télécommunications).

Schwerpunkt

THÈME Les rapports de transparence devraient être obligatoires pour les opérateurs de télécommunication En 2014, Posteo était