"Depuis Trump, nos inscriptions ont bondi de 80%" - Interview mailbox

Face à Google et Microsoft, le fournisseur allemand mailbox revendique une alternative souveraine, chiffrée et conforme au RGPD. L'entreprise n'affiche aucune publicité, et n'a aucun investisseur, ni aucun serveur hors d'Europe. Son fondateur Peer Heinlein nous explique pourquoi la défiance envers les Big Tech américaines lui donne aujourd'hui le vent en poupe.

Depuis les révélations d'Edward Snowden en 2013, la question de la souveraineté numérique a cessé d'être un débat de spécialistes pour devenir un enjeu politique majeur — en particulier en Europe. C'est précisément dans ce contexte que le groupe allemand Heinlein a bâti mailbox, un service de messagerie et d'espace de travail numérique qui revendique une infrastructure 100 % hébergée en Allemagne, soumise au seul droit européen. Nous avons rencontré son fondateur et CEO, Peer Heinlein, pour faire le point sur la trajectoire du service, ses ambitions face à Gmail et Outlook, et sa vision d'une Europe enfin capable de se passer des hyperscalers américains.

mailbox existe depuis 2014, lancé juste après les révélations Snowden. Avec le recul, avez-vous l'impression que le marché a fini par rattraper ce que vous construisiez dès le départ ?

Peer Heinlein : En réalité, nous avons démarré en 1989 avec notre premier FAI, « JPBerlin.de », lequel était déjà engagé en faveur de communications sécurisées et chiffrées. C'est toutefois les révélations d'Edward Snowden sur la surveillance de la NSA, en 2013, qui nous ont poussés à refondre nos infrastructures et à créer mailbox, un fournisseur d'e-mail et de communications à l'échelle internationale, axé sur la sécurité, la fiabilité et l'absence de publicité.

Beaucoup de choses ont changé depuis tant sur le plan de la politique numérique que de la géopolitique. Et c'est vrai aussi au sein de l'entreprise mailbox avec les dérives de la collecte de données par les grandes entreprises américaines, les avancées de l'IA, le Cloud Act américain, les bouleversements géopolitiques de ces dernières années, pour n'en citer que quelques-uns. Tout cela se fait clairement sentir partout dans le monde, et particulièrement en Europe.

À mesure que la prise de conscience des conséquences de ces évolutions s'est développée, le besoin de souveraineté numérique (à l'échelle des États, des entreprises et des particuliers) s'est lui aussi intensifié. Cela se traduit concrètement dans la demande de solutions souveraines et open source, qui s'est considérablement renforcée.

Durant cette période, mailbox s'est imposée comme une alternative sécurisée, souveraine et conforme au RGPD face à Google Workspace et Microsoft 365. En janvier 2025, nous avons lancé EVAC by Mailbox : une plateforme de communication secondaire conçue pour permettre aux entreprises et aux administrations publiques de maintenir leur activité en cas de défaillance de leur système principal. Face à la recrudescence des cyberattaques et à d'autres facteurs de risque, nous proposons aux organisations une solution de continuité d'activité fiable et sécurisée pour les situations d'urgence.

Nous faisons partie du Heinlein Group, qui défend depuis 30 ans la souveraineté numérique, la protection des données et l'open source. Nous nous considérons comme des pionniers, et nous nous réjouissons des nombreuses alternatives souveraines qui ont émergé depuis, qu'il s'agisse d'applications de messagerie, de services de paiement ou de réseaux sociaux. Cette diversité nous rend optimistes. Il appartient désormais au secteur public et aux entreprises d'en tirer parti pour se libérer de leur dépendance aux services numériques américains.

Pouvez-vous nous donner une idée de la taille de votre base d'utilisateurs ? Avez-vous observé une croissance significative depuis la vague de prise de conscience sur la vie privée qui a suivi les révélations Snowden en 2013, ou plus récemment avec la méfiance croissante envers les Big Tech américaines ?

P.H : Nous promouvons activement depuis des décennies une communication sécurisée, indépendante et librement accessible sur internet. Aujourd'hui, nous proposons une plateforme intégrée qui couvre tous les aspects de la communication numérique : pour les entreprises de tous secteurs, les établissements scolaires et les institutions publiques, les particuliers et les familles entières. Nous restons fidèles à nos principes. Cette constance et cet esprit d'innovation nous ont permis de faire croître régulièrement notre nombre d'utilisateurs au fil des années.

Le début du second mandat de Donald Trump a notamment servi d'électrochoc pour beaucoup. Depuis lors, de plus en plus d'organisations et de particuliers cherchent spécifiquement des solutions qui leur permettent d'acquérir leur indépendance et de disposer d'une véritable autodétermination numérique. Dans l'année qui a suivi l'investiture de Trump, nous avons observé 80 % d'inscriptions supplémentaires sur mailbox par rapport à la même période l'année précédente. OpenTalk, la solution de visioconférence du Heinlein Group, a même enregistré une hausse d'environ 114 %. Par ailleurs, nous nous réjouissons de l'intérêt croissant que suscite notre solution de continuité d'activité EVAC.

Gmail et Outlook dominent toujours le marché avec des centaines de millions d'utilisateurs. Que dites-vous à quelqu'un qui n'a jamais remis en question l'utilisation de ces services ?

P.H : Gmail et Outlook offrent indéniablement d'excellents services à leurs utilisateurs. Ils sont connus, omniprésents, pratiques. Et, à première vue, gratuits pour les particuliers. Cependant, Google fait commerce des données de ses utilisateurs. L'entreprise analyse leur comportement afin de personnaliser la publicité. Ainsi, en réalité, le fournisseur d'e-mail soi-disant « gratuit » qu'est Gmail ne l'est qu'en échange de l'utilisation des données à des fins de profilage et de ciblage publicitaire. Ce qui est hautement contestable du point de vue du droit à la protection des données.

L'accoutumance à certains services américains devient également dangereuse, et coûteuse, pour les entreprises et le secteur public. Début 2025, l'ONG autrichienne noyb a remporté une victoire après que Microsoft 365 Education avait traqué des élèves sans leur consentement pour analyser leurs comportements et leurs données de navigation, puis les exploiter à des fins publicitaires.

La Conférence des autorités indépendantes de protection des données en Allemagne avait pourtant déjà établi en 2022 que Microsoft 365 ne peut pas être utilisé en conformité avec le RGPD. Mais, l'administration fédérale allemande transfère chaque année davantage de fonds publics à cette entreprise américaine pour ses licences Microsoft. En 2025, ce montant avait déjà atteint 481,4 millions d'euros. À chaque licence achetée, l'effet de verrouillage fournisseur se renforce. La capacité d'intégrer d'autres solutions diminue, la flexibilité recule, et le changement devient encore plus difficile. À mesure que la dépendance s'accroît, les entreprises et le secteur public affaiblissent leur propre position de négociation.

Les gouvernements auraient dû tirer la sonnette d'alarme au plus tard lorsque les États-Unis ont imposé des sanctions contre des juges de la Cour pénale internationale. Les personnes concernées font état de sanctions étendues non seulement à leur encontre, mais aussi à celle de leurs proches, comme la suspension de leurs comptes Google. L'isolement numérique est ici délibérément utilisé comme moyen de pression.

En Allemagne, des interdictions d'entrée sur le territoire américain ont été imposées fin 2025 à Anna-Lena von Hodenberg et Josephine Ballon, les deux directrices générales de l'organisation HateAid, qui vient en aide aux victimes de violences numériques et est impliquée dans la mise en œuvre du Digital Services Act (DSA). Offrir aux personnes et aux organisations une solution d'urgence dans de telles situations était, soit dit en passant, l'une des raisons qui ont motivé le développement d'EVAC.

En s'appuyant sur des solutions numériquement souveraines et en gagnant en indépendance, nous pouvons contrer ce type de dérives, qu'il s'agisse de moyens de pression, d'un manque de transparence sur le traitement des données et les localisations des serveurs, ou de possibilités limitées pour changer de fournisseur.

Quand on pense à l'e-mail privé, des noms comme Proton Mail ou Tuta reviennent souvent en premier. Qu'est-ce que mailbox offre que ces services n'ont pas, et où se situent selon vous les différences clés ?

P.H : mailbox ne propose pas seulement de l'e-mail, mais un espace de travail numérique complet, incluant messagerie, visioconférence, stockage cloud, outils bureautiques en ligne, calendrier et gestion des tâches. Une offre qui intéresse aussi bien les particuliers que les professionnels. Dans le développement continu de mailbox, nous tenons compte des besoins de tous les groupes d'utilisateurs.

L'utilisabilité concrète au quotidien est primordiale pour nous. En pratique, cela signifie que mailbox propose un système de messagerie véritablement ouvert et interopérable. Nous soutenons résolument les standards ouverts tels qu'IMAP, POP3, CalDAV et CardDAV. Nos utilisateurs ne sont donc pas liés à des clients propriétaires. Cette flexibilité est un avantage décisif et prévient le vendor lock-in. Par ailleurs, nous avons délibérément opté pour une Progressive Web App, car elle fonctionne sur toutes les plateformes sans dépendre des écosystèmes d'applications traditionnels.

mailbox accorde une grande importance aux technologies de chiffrement. Ce faisant, nous tenons compte de la diversité de nos utilisateurs : nous concevons Mailbox pour des utilisateurs de tous âges et de tous niveaux de compétences techniques. En matière de chiffrement des e-mails, par exemple, cela signifie que Mailbox propose, en plus du chiffrement systématique du transport via TLS, un support direct mais optionnel de PGP et S/MIME.

Nous sommes une entreprise familiale avec une solide réputation et aucun lien avec des investisseurs extérieurs. Nos mesures de sécurité de l'information et de protection des données font l'objet d'audits et de certifications externes.

Nous sommes très fiers d'être certifiés ISO 27001 et BSI C5. La certification C5 confirme que mailbox répond aux exigences strictes du catalogue de critères de conformité pour le cloud computing (C5), développé par l'Office fédéral allemand pour la sécurité de l'information (BSI). Cette certification est particulièrement importante dans des secteurs sensibles comme les administrations publiques et le secteur de la santé.

Quel est le profil type de l'utilisateur de mailbox aujourd'hui ? Observez-vous davantage de particuliers, d'entreprises ou d'institutions. Cette répartition a-t-elle évolué ces dernières années ?

P.H : Aujourd'hui, des particuliers, des entreprises et le secteur public utilisent notre espace de travail numérique. Et nous enregistrons une croissance significative dans tous ces groupes d'utilisateurs. Cela inclut des familles souhaitant partager des photos en toute sécurité, des entreprises qui veulent communiquer avec leurs clients de manière sécurisée et fiable par email et visioconférence, ou encore des établissements scolaires qui ont besoin de gérer et d'envoyer des données d'élèves en conformité avec le RGPD.

Parmi les utilisateurs de mailbox, on trouve des personnes sans connaissances techniques avancées, qui veulent une solution sécurisée clé-en-main. Il y a aussi des utilisateurs professionnels qui personnalisent mailbox selon leurs besoins spécifiques, en sélectionnant par exemple des mesures de sécurité supplémentaires et configurables. Quelle que soit leur maîtrise technique, tous les utilisateurs trouvent en mailbox un espace intuitif et sécurisé pour leur communication quotidienne et leur collaboration numérique.

Les entreprises bénéficient de solutions permettant une intégration fluide dans l'infrastructure existante. Nous sommes une entreprise allemande qui héberge exclusivement ses données dans des centres de données allemands. mailbox est donc soumise uniquement au droit allemand et européen. Les utilisateurs bénéficient des réglementations strictes européennes en matière de protection des données et de sécurité de l'information.

Nous observons ainsi un nombre croissant d'entreprises, de collectivités locales et d'organisations d'infrastructures critiques (notamment dans le secteur de l'énergie) qui ne sont plus disposées à accepter les risques pour la protection des données et les coûts croissants liés aux hyperscalers américains. Ces organisations sont souvent soumises à des exigences particulièrement strictes en matière de sécurité de l'information et de continuité d'activité.

Souvent la volonté de changer de changer est bien là, mais la transition est rendue plus difficile et plus lente par des facteurs tels que le vendor lock-in. Avec l'entrée en vigueur des lois nationales transposant la directive européenne NIS 2, davantage d'organisations sont désormais tenues d'améliorer systématiquement leur sécurité et de signaler les incidents cyber. Dans ce contexte, nous avons constaté une augmentation significative de l'intérêt pour EVAC.

Il n'existe donc pas d'utilisateur type unique, mais un point commun relie les différents groupes : le besoin d'un espace de travail numérique et d'une plateforme de communication sécurisés, flexibles et intuitifs, ainsi qu'une forte sensibilité à la protection des données et à la souveraineté numérique.

L'UE a fortement poussé en faveur de la souveraineté numérique, du RGPD au Digital Markets Act. Cette pression réglementaire a-t-elle réellement joué en votre faveur en tant que fournisseur européen ?

P.H : Nous observons une dualité au niveau juridique : d'un côté, des gouvernements qui appellent à davantage de souveraineté numérique, de l'autre, le Digital Omnibus européen ou les négociations autour du Chat Control menacent d'affaiblir le RGPD.

Les hyperscalers américains ont également saisi cet appel à la souveraineté numérique et proposent des solutions soi-disant souveraines qui, à y regarder de plus près, s'avèrent être du « sovereignty washing ». Les autorités judiciaires et les services de renseignement américains ont également accès aux données hébergées dans des centres de données français ou allemands dès lors qu'une entreprise américaine est impliquée. Quiconque cherche une sécurité juridique pour lui-même, son entreprise ou son administration publique devrait se tourner vers des solutions proposées par des fournisseurs européens.

D'après nos observations de la politique numérique en Allemagne, je peux résumer ainsi : la prise de conscience existe, tout comme les solutions. Même si les petites et moyennes entreprises informatiques allemandes ont été régulièrement négligées dans les marchés publics et les partenariats, tandis que les conglomérats technologiques américains ont été généreusement récompensés en retour.

Des entreprises performantes comme la nôtre sont solidement positionnées et prêtes. Mais nous ne pouvons pas planifier à long terme, faute d'une stratégie contraignante et durable. Nous espérons donc un dialogue constructif et une chance équitable, des conditions-cadres claires et un partenariat fiable. Cela inclut également un soutien structurel et des achats publics en faveur de l'open source. C'est le fondement d'un secteur informatique moderne, résilient et autodéterminé. Nous pourrons alors exploiter pleinement notre potentiel pour rendre l'Europe plus indépendante sur le plan numérique et contribuer à la sauvegarde de nos démocraties.

Pourtant il y a une dynamique politique croissante en Europe pour réduire la dépendance aux géants technologiques américains. Pensez-vous que cela se traduit par de vrais changements de comportement des utilisateurs, ou est-ce encore principalement du discours au niveau institutionnel ?

P.H : L'année 2025 a dépassé nos attentes avec la croissance exceptionnelle de mailbox et de l'ensemble du Heinlein Group. Et la tendance de l'année dernière se poursuit. Les gens veulent s'affranchir de leur dépendance aux imports numériques. Ils veulent éviter que des données sensibles ne fuient vers les États-Unis. Ils veulent enfin communiquer et collaborer dans un environnement souverain.

En 2025, l'association professionnelle allemande Bitkom a interrogé plus de 600 entreprises sur leur dépendance aux imports numériques. 96 % des entreprises s'approvisionnent en services et technologies numériques à l'étranger. Parmi elles, 90 % se considèrent « fortement » ou « assez » dépendantes de partenaires étrangers. Il y a donc encore beaucoup à faire.

Dans le segment des particuliers, en plus des évolutions géopolitiques déjà mentionnées, des initiatives comme le « German Digital Independence Day » motivent les gens à agir. Cette dernière s'adresse aux personnes qui utilisent des technologies américaines et les accompagne dans leur migration vers des outils souverains.

Vous avez procédé à un relancement significatif en septembre 2025, avec la nouvelle mailbox Suite intégrant calendrier, stockage cloud et visioconférence directement dans une seule plateforme. Qu'est-ce qui a motivé cette décision, et comment a-t-elle été accueillie ?

P.H : Depuis le lancement de mailbox en 2014 comme fournisseur d'e-mail sécurisé, nous n'avons cessé d'évoluer. Nous avons constaté que les organisations et les particuliers ont besoin de systèmes modernes et intégrés permettant le travail mobile en équipe, tout en respectant les standards européens de protection des données.

Avec l'espace de travail numérique de mailbox, nous proposons une alternative de haute qualité et souveraine aux leaders du marché américains. Pour y parvenir, nous avons fondamentalement refondu l'ensemble de notre produit, tant sur le plan technique que visuel. La gamme complète de fonctionnalités qu'offre cet espace de travail numérique aux différents groupes d'utilisateurs a été bien accueillie, saluée comme une alternative enfin disponible à Microsoft et Google.

Le chiffrement de bout en bout est souvent présenté comme le summum de la confidentialité des e-mails. Comment gérez-vous la tension entre un chiffrement fort et des fonctionnalités comme la recherche ou la synchronisation multi-appareils que les utilisateurs attendent ?

P.H : Chez mailbox, nous cherchons à faire des choix qui offrent aux utilisateurs le plus haut niveau de sécurité tout en maintenant leur confort. Ainsi, les utilisateurs moins avertis bénéficient de paramètres par défaut soigneusement choisis, tandis que les utilisateurs ayant des besoins ou une expertise différents ont la possibilité de personnaliser le comportement selon leur niveau de risque individuel. De cette façon, nous maximisons l'impact sécuritaire pour le plus grand nombre.

Le chiffrement de bout en bout en est un parfait exemple. Puisqu'il repose sur la disponibilité du chiffrement de bout en bout des deux côtés de la conversation, la majorité des utilisateurs ne peut pas l'utiliser au quotidien. De plus, son utilisation implique des compromis significatifs, comme la recherche dans le contenu et la gestion des clés. C'est pourquoi nous proposons PGP et S/MIME comme fonctionnalités optionnelles. Ceux qui en ont besoin peuvent les utiliser. Et en même temps, tous les utilisateurs ont l'avantage de pouvoir utiliser un client e-mail standard pour accéder à leurs données sur notre plateforme.

Cela ne sert à rien si des systèmes de communication sécurisés s'adressent exclusivement à des groupes cibles spécialisés. Nous faisons les choses différemment. Nous mettons la sécurité à la portée du grand public et de la société dans son ensemble. Même si cela serait souhaitable, le chiffrement de bout en bout n'est pas (encore) adapté à tous les cas d'usage de la vie quotidienne. L'expérience montre que les utilisateurs ont besoin d'une interface ergonomique, flexible et productive dans leur quotidien. Sans cela, ils n'accepteront pas ou n'utiliseront pas les mécanismes de sécurité.

Quels sont vos projets pour les 12 à 18 prochains mois ? Y a-t-il des fonctionnalités ou des intégrations qui vous enthousiasment particulièrement ?

P.H : À l'automne 2025, nous avons lancé une toute nouvelle version de mailbox, incluant une refonte majeure de tous les composants de la plateforme, une nouvelle mailbox Suite, un nouveau design et le lancement de notre Progressive Web App (PWA). Ce relancement constitue le socle de nos prochaines fonctionnalités. Nous travaillons actuellement à l'amélioration de mailbox Office et à une refonte fondamentale de la pile logicielle derrière mailbox Drive pour intégrer OpenCloud, qui fait également partie du Heinlein Group. Ce ne sont pas de petits chantiers, et ils prendront encore du temps.

À plus court terme, les clients peuvent s'attendre à de nouvelles fonctionnalités de sécurité. Nous nous efforçons continuellement d'améliorer nos services et de les rendre encore plus conviviaux et plus sécurisés. Ce faisant, nous tenons également compte des nouveaux défis auxquels sont confrontés nos utilisateurs. Prenons l'exemple des entreprises et des administrations publiques : les exigences en matière de cybersécurité et de continuité d'activité ne cessent d'augmenter. Les exigences de conformité se renforcent et touchent davantage d'organisations. Avec la digitalisation croissante, les services numériques sont particulièrement exposés et les éditeurs doivent rester vigilants.

L'IA s'intègre actuellement dans pratiquement tous les outils de productivité. Est-ce quelque chose que vous explorez chez mailbox. Et si oui, comment conciliez-vous les capacités de l'IA avec votre philosophie axée sur la confidentialité ?

P.H : L'intelligence artificielle est en train de remodeler notre monde, et notamment notre façon de travailler. Il va de soi que les données des clients ont toujours été stockées et traitées exclusivement sur le matériel appartenant à mailbox.

À la lumière des récentes évolutions de l'IA autour des LLM, nous explorons différentes pistes pour apporter de la valeur à nos clients. Nous ne compromettrons cependant jamais nos valeurs fondamentales d'intégrité et de fiabilité, et nous ne mettrons pas en péril la confidentialité et la sécurité des données de nos clients.

Cela signifie concrètement que toute intégration d'IA reposera sur des modèles fonctionnant en interne. Les utilisateurs auront un contrôle total sur l'activation ou non du traitement de leurs donnée par un LLM.

mailbox fonctionne sur un modèle d'abonnement sans publicité, et vous avez personnellement investi de manière significative dans la plateforme. Ce modèle est-il viable à long terme, et avez-vous déjà été tenté par des financements extérieurs ou des offres de rachat ?

P.H : Nous ne souhaitons pas vendre, parce que ce n'est pas une question d'argent. Ici, au sein du Heinlein Group, avec mailbox, OpenTalk, OpenCloud et Heinlein Support, nous avons une véritable vision. Et nous continuerons à œuvrer dans ce sens. L'histoire n'est pas terminée, et c'est ce qui compte pour nous.