Publié depuis 2012, notre rapport semestriel divulgue le nombre de demandes que nous recevons et la façon dont nous y répondons.
Ce que Dropbox a reçu
Les mandats de perquisition doivent indiquer la cause probable et répondre aux exigences de spécificité concernant l’endroit à perquisitionner et les éléments à saisir. Ils doivent être examinés et signés par un juge ou un magistrat. Les mandats de perquisition peuvent être délivrés par les autorités locales, de l’État ou fédérales, et peuvent uniquement être utilisés dans les affaires pénales. En réponse à des mandats de perquisition valides, nous sommes susceptibles de produire des informations relatives ou non à des contenus.
Nous avons fourni des informations en réponse à 77,1 % des mandats de perquisition reçus.
Lorsque Dropbox répond à un mandat de perquisition, nous envoyons une notification aux utilisateurs mentionnés dans la demande, sauf si la loi l’interdit. La partie ombrée du graphique à secteurs ci-dessus représente les utilisateurs auxquels nous avons envoyé une notification. 10,7 % des mandats de perquisition que nous avons reçus étaient accompagnés d’ordonnances de non-divulgation à durée indéterminée. Ces ordonnances de non-publication peuvent nous empêcher d’informer 11,1 % des utilisateurs Dropbox mentionnés dans les mandats que les autorités ont demandé des informations les concernant.
Les chiffres ci-dessus incluent les mandats de perquisition adressés aux filiales de Dropbox. Au cours du semestre concerné, nous n’avons reçu aucun mandat de perquisition adressé aux filiales Dropbox.
Ce que Dropbox a reçu
Contrairement aux mandats de perquisition, les assignations à comparaître autorisent uniquement l’accès à des informations de base concernant les abonnés. Les assignations ne nécessitent pas d’examen judiciaire. La plupart du temps, elles sont délivrées par un procureur ou un grand jury. Nous ne produisons pas d’informations de contenu en réponse aux assignations à comparaître.
Nous avons fourni des informations en réponse à 81,5 % des assignations à comparaître reçues.
Lorsque Dropbox répond à une assignation à comparaître, nous envoyons une notification aux utilisateurs mentionnés dans la demande, sauf si la loi l’interdit. La partie ombrée du graphique à secteurs ci-dessus représente les utilisateurs auxquels nous avons envoyé une notification. 9,3 % des assignations à comparaître que nous avons reçues étaient accompagnées d’ordonnances de non-divulgation à durée indéterminée. Ces ordonnances de non-publication peuvent nous empêcher d’informer 9,6 % des utilisateurs Dropbox mentionnés dans les assignations à comparaître que les autorités ont demandé des informations les concernant.
Les chiffres ci-dessus incluent les assignations à comparaître adressées aux filiales de Dropbox. Au cours du semestre concerné, nous avons reçu trois assignations à comparaître adressées à Dropbox Sign/Dropbox Fax et deux assignations à comparaître adressées à DocSend.
Ce que Dropbox a reçu
Les ordonnances de tribunal sont délivrées par des juges et peuvent prendre diverses formes, comme l’ordonnance 2703(d) dans le cadre de la loi sur la protection des communications électroniques (ECPA, Electronic Communications Privacy Act). Nous ne fournissons pas de contenu en réponse aux ordonnances de tribunal.
Nous avons fourni des informations en réponse à 31,8 % des ordonnances de tribunal reçues.
Lorsque Dropbox répond à une ordonnance de tribunal, nous envoyons une notification aux utilisateurs mentionnés dans la demande, sauf si la loi l’interdit. La partie ombrée du graphique à secteurs ci-dessus représente les utilisateurs auxquels nous avons envoyé une notification. 4,5 % des ordonnances de tribunal que nous avons reçues étaient accompagnées d’ordonnances de non-divulgation à durée indéterminée. Ces ordonnances de non-publication peuvent nous empêcher d’informer 10,5 % des utilisateurs Dropbox mentionnés dans les ordonnances de tribunal que les autorités ont demandé des informations les concernant.
Les chiffres ci-dessus incluent les ordonnances de tribunal adressées aux filiales de Dropbox. Au cours du semestre concerné, nous n’avons reçu aucune ordonnance de tribunal adressée aux filiales Dropbox.
Ce que Dropbox a reçu
Le processus de sécurité nationale comprend les lettres de sécurité nationale et les ordonnances émises dans le cadre du Foreign Intelligence Surveillance Act. Nous avons reçu entre 0 et 249 demandes. Nous aimerions vous communiquer des informations plus précises, mais le gouvernement américain n’autorise pas Dropbox à déclarer le nombre exact de demandes reçues.
Les lettres de sécurité nationale (“NSL”, National Security Letters) sont des demandes émises par le Federal Bureau of Investigation (FBI) pour obtenir des informations dans le cadre d’enquêtes de sécurité nationale. Ce type de lettre ne nécessite pas d’ordonnance de tribunal. Le FBI peut demander “le nom, l’adresse, la durée d’utilisation du service, et les informations de facturation concernant des appels locaux et longue distance” d’un utilisateur.
Les ordonnances Foreign Intelligence Surveillance Act orders ("FISA") sont des ordonnances délivrées par le Foreign Intelligence Surveillance Court ("FISC"). Elles portent sur des informations en lien avec une enquête de sécurité nationale. Une ordonnance FISA peut demander toutes sortes d’informations sur l’utilisateur, y compris ses contenus.
Ce que Dropbox a reçu
Une demande de préservation est une demande émanant des autorités qui nous oblige à conserver des données utilisateur en attente d’un acte de procédure officiel. Lorsque nous recevons ces demandes, nous conservons temporairement une capture des données utilisateur pertinentes pendant 90 jours, mais nous ne les divulguons pas en réponse aux demandes de préservation. Pour récupérer des données préservées, un acte de procédure valide est nécessaire.
Nous avons reçu 1 323 demandes de conservation de la part des autorités américaines, concernant 1 316 comptes. Nous avons reçu 92 demandes de conservation de la part d’autorités internationales, concernant 267 comptes.
Les chiffres ci-dessus incluent les demandes de conservation adressées aux filiales de Dropbox. Au cours du semestre concerné, nous avons reçu une demande de conservation adressée à Dropbox Sign/Dropbox Fax et une demande de conservation adressée à DocSend.
Ce que Dropbox a reçu
Dropbox peut volontairement divulguer des informations aux autorités judiciaires si nous avons des raisons de penser qu’une personne est en danger de mort ou risque d’être grièvement blessée et que nous disposons d’informations susceptibles de la protéger. Nous exigeons des autorités judiciaires qu’elles fournissent par écrit un récapitulatif de la situation et qu’elles expliquent en quoi les informations demandées les aideront à prévenir l’urgence. Chaque demande de divulgation d’urgence est soigneusement examinée au cas par cas afin de déterminer si les règles de divulgation ont été respectées. Si tel est le cas, les informations divulguées se limitent uniquement à celles qui permettent d’éviter l’urgence ou de réduire les risques. Dropbox reçoit des demandes de divulgation d’urgence des données utilisateur de la part des autorités judiciaires du monde entier.
Ce que Dropbox a reçu
Les ordonnances autorisant l’installation d’un dispositif d’enregistrement ou de traçage (Pen Registers or Trap and Trace, PRTT) sont des ordonnances de tribunal qui autorisent le gouvernement à obtenir des informations hors contenu pour un compte spécifique (plus précisément, des données sur les numéros composés, le routage, l’adressage et le traitement des signaux dans le cadre de communications) sur une période pouvant aller jusqu’à 60 jours.
D’après la loi autorisant les PRTT, ces ordonnances doivent inclure une disposition qui empêche les fournisseurs de service comme Dropbox d’informer les utilisateurs de ces demandes pendant une durée indéterminée. Ces ordonnances de non-publication peuvent empêcher Dropbox d’informer tous les utilisateurs Dropbox affectés, ne serait-ce que du fait que les autorités ont demandé la communication d’informations les concernant.
Ce que Dropbox a reçu
Les demandes de suppression émanant des autorités incluent des ordonnances du tribunal et des demandes écrites formulées par des administrations et des organismes chargés de l’application de la loi exigeant la suppression du contenu des comptes au motif qu’ils enfreignent le droit de la juridiction concernée.
La mention “Aucune action” peut signifier que nous n’avons pas été en mesure d’examiner le contenu concerné, car le lien fourni n’était pas valide ou le contenu en question n’était plus disponible, ou qu’aucune violation de notre politique d’utilisation acceptable n’a été constatée après examen de ce contenu.
AK
7
AL
57
AR
26
AZ
28
CA
186
CO
29
CT
20
DC
83
DE
38
FL
280
GA
60
HI
9
IA
15
ID
20
IL
200
IN
76
KS
14
KY
22
LA
47
MA
52
MD
106
ME
2
MI
13
MN
100
MO
44
MS
16
MT
13
NC
84
ND
5
NE
55
NH
12
NJ
142
NM
3
NV
38
NY
177
OH
91
OK
50
OR
42
PA
80
RI
12
SC
52
SD
14
TN
43
TX
234
UT
17
VA
164
VT
1
WA
44
WI
50
WV
20
WY
4
Remarque concernant les demandes internationales
Les demandes internationales comprennent tout acte juridique officiel émis par des autorités non américaines et sollicitant des données utilisateur. Pour le moment, nous acceptons les demandes des gouvernements américain et irlandais. Nous pouvons également répondre aux demandes formulées en vertu d’accords internationaux de coopération juridique en matière pénale, notamment les traités d’entraide judiciaire ou les commissions rogatoires.
Les contenus liés à l’exploitation sexuelle des enfants et aux abus sexuels sur mineurs n’ont pas leur place sur Dropbox. Ils ne respectent pas nos conditions d’utilisation et notre politique d’utilisation acceptable, et nous désactiverons rapidement tout compte présentant ce type de contenu. Dropbox utilise plusieurs outils pour détecter les contenus potentiellement illicites et prendre les mesures appropriées, y compris des technologies reconnues de détection automatique et des vérifications manuelles. Nous encourageons également nos utilisateurs à signaler les contenus inappropriés qu’ils trouvent à l’aide de notre outil de signalement ou en renseignant ce formulaire. Lorsque nous prenons connaissance de contenus liés à des cas flagrants d’abus sexuels sur mineurs, nous désactivons le compte et effectuons un signalement auprès du NCMEC (National Center for Missing and Exploited Children, Centre national pour les enfants perdus et exploités aux États-Unis), conformément à la loi en vigueur.
Entre juillet et décembre 2023, nous avons soumis 33 963 rapports CyberTip au NCMEC et avons désactivé l’accès à 31 474 comptes différents et à 273 565 éléments de contenus enfreignant nos politiques de lutte contre l’exploitation sexuelle des enfants et les abus sexuels sur mineurs.
Notre équipe prend très au sérieux la mise en application de nos politiques. Les utilisateurs qui pensent que nous avons commis une erreur dans l’application de nos politiques peuvent contacter l’assistance Dropbox pour demander à revoir cette décision. Au cours du semestre concerné, nous avons reçu 2 256 appels provenant de comptes désactivés en vertu de la politique de Dropbox relative à l’exploitation sexuelle des enfants et les abus sexuels sur mineurs. Nous avons rétabli l’accès dans 2,6 % de ces cas.
Les conditions d’utilisation et la politique d’utilisation acceptable de Dropbox interdisent la publication, le partage ou le stockage de contenus comportant ou encourageant le terrorisme ou l’extrémisme violent, y compris la propagande terroriste ou la propagande de groupes extrémistes violents. Dropbox s’appuie sur une combinaison d’outils proactifs et réactifs pour détecter les contenus à caractère terroriste ou extrémiste violent et appliquer ses règles. Parmi ces outils, figurent une technologie reconnue de détection basée sur la correspondance des valeurs de hachage, un programme de coopération avec des signaleurs de confiance, des signalements externes émanant des citoyens et des utilisateurs, ainsi qu’un examen manuel effectué par des analystes hautement qualifiés. Nous encourageons vivement les personnes qui tombent sur Dropbox sur des contenus à caractère terroriste ou des contenus violents à caractère extrémiste à les signaler par le biais de notre outil de signalement. Lorsque nous découvrons des contenus à caractère terroriste ou des contenus extrémistes violents qui enfreignent nos politiques, nous en désactivons l’accès et prenons des mesures pour empêcher leur partage. Lorsque cela se justifie, par exemple lorsqu’un compte semble être utilisé uniquement pour diffuser de la propagande terroriste ou des contenus extrémistes violents, nous pouvons également le désactiver.
Entre juillet et décembre 2023, Dropbox a désactivé l’accès à 854 éléments de contenu à caractère terroriste ou extrémiste violent et désactivé 493 comptes. Nous avons reçu 286 signalements publics concernant des contenus à caractère potentiellement terroriste, et cinq signalements n’ont fait l’objet d’aucune mesure. Plusieurs raisons expliquent que Dropbox ne prend aucune mesure à la suite d’un signalement : le lien fourni n’était pas valide, le contenu n’existait plus ou le contenu n’enfreignait pas notre politique d’utilisation acceptable.
Les utilisateurs qui pensent que nous avons commis une erreur en désactivant leur compte peuvent nous demander de revoir notre décision en contactant l’assistance Dropbox. Entre juillet et décembre 2023, Dropbox n’a reçu aucun recours de la part d’utilisateurs affirmant que leurs contenus ou leurs comptes avaient été désactivés par erreur en vertu de notre politique concernant le terrorisme et l’extrémisme violent.
Entre juillet et décembre 2023, Dropbox n’a reçu aucune injonction de retrait en vertu du Règlement (UE) 2021/784 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne.
“Le compte n’existait pas” : les identifiants indiqués dans la demande n’étaient associés à aucun compte Dropbox valide.
Ordonnances All Writs Act : ces ordonnances sont émises par des juges des États-Unis au titre du All Writs Act de 1789. Cette loi confère aux tribunaux le pouvoir “d’émettre toute ordonnance utile ou nécessaire à l’exercice de leur compétence respective et conforme aux usages et principes de la loi”.
Contenu : ce terme fait référence au contenu des communications, qui comprennent toute information concernant la substance, l’objet ou la signification des communications. Ce terme inclut les fichiers stockés dans le compte Dropbox d’un utilisateur, ainsi que les noms de ces fichiers. La production de tels contenus nécessite la présentation d’un mandat de perquisition. Outre le contenu des communications, les mandats de perquisition portent souvent sur des informations de base concernant un utilisateur ou sur d’autres informations sans lien avec des contenus.
Demandes de divulgation d’urgence : Dropbox peut volontairement divulguer des informations aux autorités judiciaires si tout porte à croire qu’une personne est en danger de mort ou risque d’être grièvement blessée et que nous disposons d’informations susceptibles de la protéger. Nous exigeons des autorités judiciaires qu’elles fournissent par écrit un récapitulatif de la situation et qu’elles expliquent en quoi les informations demandées les aideront à prévenir l’urgence.
Aucune information fournie : la non-production d’informations en réponse à une demande judiciaire est généralement due à l’une des raisons suivantes : (1) la demande était un doublon ; (2) Dropbox s’est opposé à la demande ; (3) les autorités ont retiré la demande ; ou (4) le compte concerné par la demande n’était pas correctement identifié.
Informations hors contenu : les éléments hors contenu désignent généralement toute information disponible ne relevant pas du contenu des communications. Cela inclut les informations de base sur les utilisateurs, telles que définies dans la section 2703 de la loi américaine Electronic Communications Privacy Act, ainsi que d’autres informations relatives à l’utilisation du compte. Les informations hors contenu n’incluent pas les fichiers que les utilisateurs stockent dans leurs comptes Dropbox.
Ordonnance de non-divulgation : les juges peuvent, à leur seule discrétion, délivrer des ordonnances interdisant à Dropbox, de façon définitive ou temporaire, d’informer un utilisateur que les autorités demandent des renseignements le concernant. Ces ordonnances s’appuient souvent sur la sous-section 2705(b) de la loi américaine Electronic Communications Privacy Act et peuvent être prolongées indéfiniment.
Demandes d’autorités non américaines : ces demandes comprennent tout acte juridique officiel sollicitant des informations sur des utilisateurs et émanant d’autorités publiques non américaines. Pour le moment, nous acceptons les demandes des gouvernements américain et irlandais. Nous pouvons également répondre aux demandes formulées en vertu d’accords internationaux de coopération juridique en matière pénale, notamment les traités d’entraide judiciaire ou les commissions rogatoires.
Préservation : une demande de préservation est une demande émanant des autorités qui nous oblige à conserver des données utilisateur en attente d’un acte de procédure officiel. Lorsque nous recevons ces demandes, nous conservons temporairement une capture des données utilisateur pertinentes pendant 90 jours, mais nous ne les divulguons pas en réponse aux demandes de préservation. Pour récupérer les données préservées, un acte de procédure valide est nécessaire et les demandes suivantes sont (et ont toujours été) intégrées au rapport.
Envoi d’une notification à l’utilisateur : nous avons pour règle d’informer tout utilisateur en cas de demande de renseignements le concernant, sauf si la loi nous l’interdit. Dans un nombre de cas limités, nous n’informons l’utilisateur qu’après avoir répondu à la demande. Nous indiquons alors la date à laquelle nous avons communiqué les renseignements le concernant.
Nos méthodes de suivi et de reporting peuvent évoluer, car nous cherchons en permanence à améliorer la précision et la clarté du rapport.