Rapport de transparence et Warrant Canary pour le service de courrier électronique sécurisé Tuta (anciennement Tutanota)
Le rapport de transparence de Tuta est mis à jour tous les six mois. Nous ne divulguons les boîtes aux lettres individuelles que si nous recevons une ordonnance valide d’un tribunal allemand. Les données cryptées stockées dans les boîtes aux lettres de Tuta ne peuvent pas être décryptées par nous.
Entre le 1er janvier 2024 et le 30 juin 2024, Tuta a
- reçu des demandes de données d’inventaire dans 100 cas.
- divulgué des données d’inventaire dans 5 cas.
- reçu des demandes de données de trafic en temps réel dans 12 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 7 cas.
- réception de demandes de données sur le contenu stocké dans 32 cas.
- divulgation de données cryptées stockées en raison d’une ordonnance d’un tribunal allemand dans 29 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 13 cas.
- communiqué des données sur le contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 8 cas.
Rapports de transparence précédents
Entre le 1er juillet 2023 et le 31 décembre 2023, Tuta (anciennement Tutanota) a
- reçu des demandes de données d’inventaire dans 120 cas.
- a communiqué des données d’inventaire dans 6 cas.
- reçu des demandes de données sur le trafic en temps réel dans 20 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 12 cas.
- réception de demandes de données de contenu stockées dans 19 cas.
- divulgation de données cryptées stockées en raison d’une décision de justice allemande dans 16 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 19 cas.
- la divulgation de données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 10 cas.
Entre le 1er janvier 2023 et le 30 juin 2023, Tutanota a
- reçu des demandes de données d’inventaire dans 116 cas.
- divulgué des données d’inventaire dans 5 cas.
- reçu des demandes de données de trafic en temps réel dans 15 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 6 cas.
- réception de demandes de données de contenu stockées dans 20 cas.
- divulgation de données cryptées stockées en raison d’une ordonnance d’un tribunal allemand dans 16 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 9 cas.
- la divulgation de données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 4 cas.
Entre le 1er juillet 2022 et le 31 décembre 2022, Tutanota a
- reçu des demandes de données d’inventaire dans 89 cas.
- divulgué des données d’inventaire dans 7 cas.
- reçu des demandes de données de trafic en temps réel dans 33 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 26 cas.
- réception de demandes de données sur le contenu stocké dans 22 cas.
- divulgation de données cryptées stockées en raison d’une décision de justice allemande dans 15 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 16 cas.
- divulgué des données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 13 cas.
Entre le 1er janvier 2022 et le 30 juin 2022, Tutanota a
- reçu des demandes de données d’inventaire dans 98 cas.
- divulgué des données d’inventaire dans 3 cas.
- reçu des demandes de données de trafic en temps réel dans 26 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 19 cas.
- réception de demandes de données sur le contenu stocké dans 24 cas.
- Communication de données cryptées stockées en raison d’une décision de justice allemande dans 11 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 21 cas.
- la divulgation de données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 15 cas.
Entre le 1er juillet 2021 et le 31 décembre 2021, Tutanota a
- reçu des demandes de données d’inventaire dans 121 cas.
- divulgué des données d’inventaire dans 1 cas.
- reçu des demandes de données de trafic en temps réel dans 27 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 15 cas.
- réception de demandes de données sur le contenu stocké dans 37 cas.
- divulgation de données cryptées stockées en raison d’une ordonnance d’un tribunal allemand dans 24 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 30 cas.
- la divulgation de données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 16 cas.
Entre le 1er janvier 2021 et le 30 juin 2021, Tutanota a
- reçu des demandes de données d’inventaire dans 109 cas.
- divulgué des données d’inventaire dans 6 cas.
- reçu des demandes de données de trafic en temps réel dans 23 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 13 cas.
- réception de demandes de données de contenu stockées dans 32 cas.
- divulgation de données cryptées stockées en raison d’une décision de justice allemande dans 21 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 16 cas.
- divulgué des données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 12 cas.
Entre le 1er juillet 2020 et le 31 décembre 2020, Tutanota a
- reçu des demandes de données d’inventaire dans 92 cas.
- divulgué des données d’inventaire dans 2 cas.
- reçu des demandes de données de trafic en temps réel dans 20 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 0 cas.
- réception de demandes de données de contenu stockées dans 37 cas.
- Communication de données cryptées stockées en raison d’une décision de justice allemande dans 34 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 18 cas.
- divulgué des données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 0 cas.
Entre le 1er janvier 2020 et le 30 juin 2020, Tutanota a
- reçu des demandes de données d’inventaire dans 93 cas.
- divulgué des données d’inventaire dans 2 cas.
- reçu des demandes de données de trafic en temps réel dans 5 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 0 cas.
- a reçu des demandes de données sur le contenu stocké dans 24 cas.
- Communication de données cryptées stockées en raison d’une décision de justice allemande dans 22 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 5 cas.
- divulgué des données de contenu en temps réel en raison d’une ordonnance d’un tribunal allemand dans 0 cas.
Entre le 1er juillet 2019 et le 31 décembre 2019, Tutanota a
- reçu des demandes de données d’inventaire dans 74 cas.
- divulgué des données d’inventaire dans 5 cas.
- reçu des demandes de données de trafic en temps réel dans 27 cas.
- divulgué des données de trafic en temps réel en raison d’une ordonnance d’un tribunal allemand dans 12 cas.
- ont déposé des objections contre des demandes de données relatives au trafic en temps réel dans 12 cas*.
- a reçu des demandes de données relatives au contenu stocké dans 35 cas.
- communication de données stockées et cryptées en raison d’une décision de justice allemande dans 33 cas.
- a formulé des objections contre des demandes de données de contenu stockées et cryptées dans 33 cas*
- a reçu des demandes de données sur le contenu en temps réel dans 12 cas.
- communication de données relatives au contenu en temps réel en vertu d’une décision de justice allemande dans 9 cas.
- a déposé des objections contre des demandes de données relatives au contenu en temps réel dans 9 cas*.
* La Cour de justice de l’Union européenne (CJUE) a décidé le 13.06.2019 que les services de courrier électronique basés sur l’internet ne doivent pas être considérés comme des services de télécommunication. Par conséquent, nous avons déposé des objections contre toutes les demandes qui sont basées sur l’hypothèse que nous sommes un service de télécommunication.
Entre le 1er janvier 2019 et le 30 juin 2019, Tutanota a
- reçu des demandes de données d’inventaire dans 59 cas.
- divulgué des données d’inventaire dans 3 cas
- reçu des demandes de données de trafic dans 15 cas.
- a divulgué des données de trafic en raison d’une ordonnance valide d’un tribunal allemand dans 9 cas.
- a reçu des demandes de données sur le contenu stocké dans 20 cas.
- communication de données cryptées stockées en raison d’une décision de justice allemande valide dans 18 cas.
- a reçu des demandes de données sur le contenu en temps réel dans 4 cas.
- communiqué des données de contenu en temps réel en raison d’une décision de justice allemande valide dans 4 cas.
Entre le 1er juillet 2018 et le 31 décembre 2018, Tutanota a
- reçu des demandes de données d’inventaire dans 93 cas.
- divulgué des données d’inventaire dans 2 cas.
- reçu des demandes de données de trafic dans 15 cas.
- divulgué des données de trafic en raison d’une ordonnance valide d’un tribunal allemand dans 6 cas.
- a reçu des demandes de données relatives au contenu dans 19 cas.
- communiqué des données de contenu cryptées en raison d’une décision de justice allemande valide dans 16 cas.
Entre le 1er janvier 2018 et le 30 juin 2018, Tutanota a
- reçu des demandes de données d’inventaire dans 64 cas.
- divulgué des données d’inventaire dans 2 cas.
- reçu des demandes de données de trafic dans 21 cas.
- divulgué des données de trafic en raison d’une ordonnance valide d’un tribunal allemand dans 15 cas.
- a reçu des demandes de données relatives au contenu dans 15 cas.
- communiqué des données de contenu cryptées en raison d’une décision de justice allemande valide dans 12 cas.
Entre le 1er juillet 2017 et le 31 décembre 2017, Tutanota a
- reçu des demandes de données d’inventaire dans 44 cas.
- divulgué des données d’inventaire dans 7 cas.
- reçu des demandes de données de trafic dans 15 cas.
- divulgué des données de trafic en raison d’une ordonnance valide d’un tribunal allemand dans 8 cas.
- a reçu des demandes de données relatives au contenu dans 5 cas.
- communiqué des données de contenu cryptées en raison d’une décision de justice allemande valide dans 5 cas.
Entre le 1er janvier 2017 et le 30 juin 2017, Tutanota a
- reçu des demandes de données d’inventaire dans 23 cas.
- divulgué des données d’inventaire dans 2 cas.
- reçu des demandes de données de trafic dans 5 cas.
- divulgué des données de trafic en raison d’une ordonnance valide d’un tribunal allemand dans 2 cas.
- a reçu des demandes de données relatives au contenu dans 4 cas.
- divulgation de données de contenu cryptées en raison d’une décision de justice allemande valide dans 4 cas.
Entre le 1er juillet 2016 et le 31 décembre 2016, Tutanota a
- reçu des demandes de données d’utilisateurs dans 25 cas.
- divulgué des données d’utilisateur cryptées en raison d’une décision de justice allemande valide dans 2 cas.
Entre le 1er janvier 2016 et le 30 juin 2016, Tutanota a
- reçu des demandes de données d’utilisateurs dans 30 cas.
- a divulgué des données d’utilisateur cryptées en raison d’une décision de justice allemande valide dans 1 cas.
Depuis le lancement de Tutanota en mars 2014 jusqu’au 1er janvier 2016, Tutanota a
- reçu des demandes de données d’utilisateurs dans 15 cas.
- Tutanota a divulgué des données d’utilisateur cryptées en raison d’une décision de justice allemande valide dans 3 cas.
Mandat Canary
Tuta (anciennement Tutanota) n’a jamais reçu de lettres de sécurité nationale ou d’ordonnances du tribunal FISA, et nous n’avons pas été soumis à un ordre de bâillonnement par un tribunal FISA. Nous n’avons jamais placé de portes dérobées dans notre matériel ou nos logiciels et n’avons reçu aucune demande en ce sens.
Nous publions notre client web, nos clients de bureau et nos applications iOS et Android en tant que source ouverte afin que tout le monde puisse vérifier que Tuta (anciennement Tutanota) fait ce que nous promettons : protéger vos emails cryptés au maximum.
PS : Le rapport de transparence est mis à jour tous les six mois. Le canari de mandat est toujours à jour. Si l’une des demandes susmentionnées était formulée, nous retirerions immédiatement le canari. Toutefois, une telle demande n’est pas possible en vertu de la loi allemande.
Guide des types de données demandées :
1. Données d’inventaire
Les données personnelles telles que le nom, l’adresse et les données de paiement sont des données d’inventaire. Cependant, Tuta ne peut être contraint de collecter des données d’inventaire. C’est pourquoi nous sommes en mesure de ne pas demander d’informations identifiables lors de l’enregistrement afin que vous puissiez utiliser notre service de courrier sécurisé de manière anonyme avec un compte gratuit. La législation allemande invite même explicitement les opérateurs de systèmes de traitement des données (§ 3a de la loi fédérale allemande sur la protection des données) à éviter, dans la mesure du possible, de stocker des données à caractère personnel. § Article 3a de la loi fédérale sur la protection des données - Évitement et minimisation des données : “La collecte, le traitement et l’utilisation de données à caractère personnel, ainsi que la sélection et la conception de systèmes de traitement des données, doivent avoir pour objectif de collecter, de traiter et d’utiliser le moins possible de données à caractère personnel. En particulier, les données personnelles doivent être rendues anonymes ou pseudonymes dans la mesure où cela est possible en fonction de la finalité poursuivie.”
Quand les données d’inventaire peuvent-elles être demandées ?
Si les données sont à la disposition d’un fournisseur de courrier allemand, celui-ci doit les rendre accessibles aux autorités allemandes si elles en font la demande. Plusieurs autorités sont autorisées à demander des données d’inventaire. Les motifs légitimes de ces demandes sont la poursuite d’infractions pénales ou la défense de la sécurité ou de l’ordre public.
2. Données relatives au trafic
Les données relatives au trafic comprennent
- les adresses électroniques de l’expéditeur et du destinataire
- l’adresse IP du client Tutanota
- l’heure de livraison
Tout comme les données relatives au contenu, les données relatives au trafic sont soumises au secret des télécommunications. Seuls les juges allemands sont autorisés à demander des données relatives au trafic. Cela n’est possible qu’en cas d’actes criminels graves tels que le meurtre, la pornographie enfantine, le vol, les alertes à la bombe et le chantage (voir § 100a StPO). Par défaut, nous n’enregistrons pas les adresses IP de nos utilisateurs. Par conséquent, les adresses IP ne peuvent être enregistrées pour un seul compte d’utilisateur qu’après réception d’une ordonnance valide d’un tribunal allemand pour une surveillance en temps réel (TKÜ), mais pas pour le passé. Il n’existe pas de loi sur la conservation des données pour les fournisseurs de courrier électronique en Allemagne.
3. Données relatives au contenu
Ce terme fait référence à vos courriels : sujet, corps et pièces jointes. Tous les courriels dans Tuta sont cryptés de bout en bout et vous êtes le seul à détenir les clés de décryptage. Tout comme les données relatives au trafic, les données relatives au contenu ne peuvent être demandées que par un juge allemand (§ 94, para. 2 du StPO, § 98, para. 1, envoyé. 1 ou para. 2, sent. 1 du StPO) en cas d’actes criminels graves (voir les exemples ci-dessus). Un juge allemand peut ordonner soit la saisie d’une boîte aux lettres, soit une surveillance en temps réel de la boîte aux lettres (TKÜ), soit les deux. Une ordonnance de saisie en vertu du droit pénal (§ 94, para. 2 du StPO, § 98, para. 1, envoyé. 1 ou para. 2, sent. 1 du StPO) se réfère au contenu crypté de la boîte aux lettres. Une commande de surveillance en temps réel d’une boîte aux lettres concerne tous les courriers électroniques reçus et envoyés à partir de la boîte aux lettres concernée, à partir de la date de la commande jusqu’à une date spécifiée (généralement trois mois). En cas de contrôle en temps réel (TKÜ), nous devons fournir le contenu des messages électroniques. Les courriels envoyés de bout en bout sous forme cryptée avec Tuta ne peuvent être livrés que sous forme cryptée. Les courriels envoyés non cryptés sont transmis en texte clair s’ils nous parviennent après que nous ayons reçu une ordonnance valide d’un tribunal allemand pour une surveillance en temps réel (TKÜ). Les courriels en texte clair arrivés avant cette date ont déjà été cryptés sur le serveur et ne peuvent pas être décryptés par nous.