Ces directives donnent des instructions et assurent une meilleure transparence du traitement des Demandes des services officiels, de la sécurité nationale et des autres organismes réglementaires concernant nos utilisateurs, clients et/ou utilisateurs finaux (« Informations d’utilisateur »).
LastPass suivra une procédure comparable, le cas échéant, pour les demandes juridiques privées.
Informations que nous pouvons fournir
LastPass utilise un modèle de sécurité à « connaissance zéro » conçu pour garantir la confidentialité et la protection des données des clients, vis-à-vis de LastPass comme de qui que ce soit d’autre. Le service LastPass inclut un « coffre-fort » qui permet de conserver les données sensibles des utilisateurs sous forme chiffrée, ne pouvant être déchiffrée que par l’utilisateur au niveau de l’appareil en saisissant le mot de passe maître. Par conception, LastPass ne connaît pas le mot de passe maître de l’utilisateur et ne peut ni enregistrer ni accéder à ce mot de passe maître. En conséquence, personne chez LastPass n’a la possibilité de déchiffrer les données du coffre-fort sur ses serveurs et LastPass ne peut pas les fournir en réponse à une demande juridique.Chaque fois que c’est possible, LastPass considère que le demandeur devrait d’abord essayer d’obtenir les informations directement auprès de l’utilisateur ou du client objet de l’enquête avant de demander ces informations à LastPass.
Informations que les demandeurs doivent fournir
Pour s’assurer que les demandes d’Informations d’utilisateur soient raisonnables et strictement limitées aux seules informations nécessaires à l’enquête, la demande doit inclure un mandat, une assignation, une décision de justice ou procédure judiciaire équivalente valable, ou une situation d’urgence sous forme originale de PDF non modifié émis par l’autorité appropriée.
La demande devrait inclure autant de détails que possible pour nous aider à répondre de façon efficace et opportune. À noter : La plupart des Informations et données de compte ne peuvent être identifiées que par l’adresse e-mail d’un utilisateur. En conséquence, l’adresse e-mail associée au compte est l’information d’identification la plus utile.
Chaque demande doit aussi inclure les coordonnées de contact du demandeur autorisé, notamment :
- Nom
- Numéro de badge ou d’identification (le cas échéant)
- Adresse e-mail professionnelle
- Numéro de téléphone et poste éventuel
- Adresse postale
- Date de réponse demandée
Traitement des demandes
À réception d’une demande d’Informations d’utilisateur, LastPass prend les mesures suivantes avant de répondre :
- Autorité : LastPass étudiera la demande pour vérifier que le demandeur a l’autorité appropriée selon la loi applicable pour demander les Informations d’utilisateur. En l’absence de mandat, assignation, décision de justice ou procédure judiciaire équivalente valable, la position de LastPass est de ne pas fournir les Informations d’utilisateur à un demandeur.
- Étendue : Chaque fois que c’est possible, LastPass cherchera à s’assurer que toute demande d’Informations d’utilisateur est d’étendue raisonnable et limitée à un compte particulier. LastPass peut demander un contexte supplémentaire si la nature de l’enquête manque de clarté, et peut s’opposer à la demande le cas échéant. Dans le cas où LastPass fournit des Informations d’utilisateur, tout sera fait pour ne partager que le minimum d’informations nécessaire pour répondre à la demande.
- Avis : Sauf dans le cas où LastPass reçoit instruction d’une autorité légale appropriée de ne pas le faire, a l’interdiction de le faire, ou s’il existe une indication claire de conduite illégale ou malveillante ou de risque de préjudice, LastPass avertira le client d’une demande avant de divulguer toute informations d’utilisateur pour lui permettre d’exercer des recours judiciaires.
Demandes internationales
Toutes les demandes doivent être émises dans le respect des lois applicables et par les canaux officiels (par exemple commande signée, adresse e-mail officielle, etc.). De plus, les demandes doivent s’appuyer sur une base légale appropriée, et un Traité d’assistance juridique mutuelle, une demande d’un pays répondant aux obligations de la loi U.S. Cloud Act, une commission rogatoire ou autre forme de transposition peut être exigée pour vérifier la base légale d’une demande internationale.
Nous étudierons toutes les demandes internationales pays par pays ou au cas par cas pour prendre en compte et évaluer nos obligations légales locales face à nos engagements de promotion de la sécurité et de la confidentialité des utilisateurs. Nous pouvons choisir de répondre de façon différente aux demandes de différents pays où ces engagements entreraient en conflit avec la loi locale.
Où envoyer une demande
LastPass reçoit les demandes d’Informations d’utilisateur et des services officiels par e-mail à l’adresse subpoenas@lastpass.com.
Bien que nous acceptions de recevoir des demandes par ce moyen, ni LastPass ni nos clients ne renoncent à aucun de leurs droits légaux par cet arrangement. De plus, les demandes par e-mail doivent provenir d’une adresse e-mail gouvernementale officielle, le cas échéant.
