Cette politique a été créée pour offrir plus de transparence sur les règles utilisées par LastPass pour savoir comment et quand nous traitons les demandes reçues des forces de l’ordre, de la sécurité nationale et autres instances réglementaires (« Gouvernement ») concernant nos utilisateurs (« Informations sur les utilisateurs »).
En outre, bien que cette politique ne soit pas spécifiquement destinée à traiter les demandes d’Informations sur les utilisateurs découlant de litiges privés ou commerciaux, LastPass prendra, le cas échéant, les mêmes précautions pour ces demandes que pour les demandes émanant d’un Gouvernement.
Protection des Informations sur les utilisateurs
À la réception d’une demande d’Informations sur les utilisateurs de la part d’un Gouvernement, LastPass prend les mesures suivantes avant de répondre :
- Personne concernée. Dans toute la mesure du possible, LogMeIn considère que le Gouvernement doit d’abord chercher à obtenir les informations directement auprès de l’utilisateur ou du client concerné par l’enquête avant de demander ces Informations à LastPass.
- Autorité.LastPass ne fournira les Informations sur les utilisateurs que si le Gouvernement a l’autorité nécessaire dans le cadre de la loi applicable pour demander ces informations. À défaut d’un mandat, d’une assignation, d’une décision d’un tribunal, d’une procédure juridique équivalente valable ou d’une situation d’urgence, la règle chez LastPass est de ne pas fournir d’Informations sur les utilisateurs au Gouvernement.
- Portée.Dans toute la mesure du possible, LastPass veillera à ce que toute demande d’Informations sur les utilisateurs soit d’une portée raisonnable et limitée à un compte particulier. Le cas échéant, LastPass demandera une précision du contexte si la nature de l’enquête n’est pas claire, et pourra refuser la demande pour d’autres raisons. Dans l’hypothèse où LastPass fournirait effectivement des Informations sur les utilisateurs, celles-ci seront strictement limitées au cadre de la demande.
- Notification Sauf dans les circonstances où LastPass est enjoint par le Gouvernement de ne pas notifier, a l’interdiction de le faire, ou s’il existe une indication claire d’une conduite illégale ou malveillante ou d’un risque de préjudice, LastPass notifiera le client de la demande avant de divulguer toute Information sur les utilisateurs, afin que le client puisse bénéficier des recours juridiques disponibles.
Demandes internationales
Toutes les demandes de Gouvernement doivent être conformes aux lois applicables et effectuées par des canaux officiels (par exemple décision exécutoire, adresse e-mail du Gouvernement, etc.). De plus, les demandes doivent s’appuyer sur une base légale appropriée, et une demande d’après un Traité d’assistance judiciaire mutuelle,
une demande d’un pays répondant aux obligations édictées par le U.S. CLOUD Act, une commission rogatoire ou autre forme de transposition en loi nationale peut être exigée pour établir le fondement juridique d’une demande internationale.
Nous étudierons toutes les demandes de Gouvernements internationaux au cas par cas et pays par pays, de façon à prendre en compte et comparer nos obligations légales locales à nos engagements de promotion de la sécurité et de la confidentialité des utilisateurs. Nous pouvons choisir de répondre différemment aux demandes de différents pays quand ces engagements entrent en conflit avec la loi locale.
Informations que nous pouvons fournir
LastPass utilise un modèle de sécurité zéro connaissance, ce qui signifie que LastPass n’a pas, et ne peut pas obtenir, un accès au contenu sensible des coffres-forts des clients sous forme non chiffrée. Par conséquent, LastPass n’est pas en mesure de fournir ces informations en réponse à une demande d’un Gouvernement.
La grande majorité des demandes que nous recevons concerne des informations de base sur les comptes des clients dans le cadre d’une enquête du Gouvernement sur un soupçon de fraude ou d’une autre infraction.
Informations devant être fournies par les Gouvernements
Nous demandons aux représentants du Gouvernement de s’assurer que toute demande d’Informations sur les utilisateurs soit de portée raisonnable et rédigée précisément de façon à ne demander que les informations nécessaires pour mener à bien leur enquête. Si vous êtes un requérant au nom du Gouvernement, veuillez fournir autant de détails que possible pour nous aider à répondre de manière efficace et rapide. Voici les informations qui sont généralement les plus utiles :
- Adresse e-mail de l’utilisateur.La plupart des Informations sur l’utilisateur sont identifiées par l’adresse e-mail du détenteur du compte principal. Par conséquent, l’adresse e-mail associée au compte est l’information d’identification la plus utile.
- Adresse de facturation et/ou informations de carte bancaire pour les comptes payants.Dans certains cas, nous pouvons identifier un compte à partir des quatre derniers chiffres de la carte bancaire utilisée pour acheter les services associés à la date de la transaction. Veuillez noter que pour les comptes payants, LastPass ne possède aucune information autre que les quatre derniers chiffres du numéro de carte bancaire. En outre, certains comptes LastPass sont gratuits et ne sont donc pas associés à des informations de paiement.
Chaque demande doit aussi inclure des coordonnées de contact de l’agent du Gouvernement autorisé, notamment :
- Nom de l’administration
- Nom de l’agent et numéro de badge/identification
- Adresse e-mail de l’agent attribuée par l’employeur
- Numéro de téléphone de l’agent, avec numéro de poste
- Adresse postale de l’agent
- Date de réponse souhaitée
Où déposer une demande
LastPass accepte les demandes du Gouvernement par e-mail à l’adresse legal@lastpass.com.
Bien que nous reconnaissions accepter des demandes par cette méthode, ni LastPass ni nos clients ne renoncent à leurs droits conférés par la loi du fait de l’utilisation de ce canal. De plus, les demandes par e-mail doivent être faites depuis une adresse e-mail officielle du Gouvernement.
