Google confirme que nos e-mails sont lus par des applis tierces et répond aux inquiétudes

Google a confirmé que des applications tierces avaient accès aux données des utilisateurs de Gmail, mais affirme que cela passe par un processus strict et encadré.

Google a publié un article de blog, mardi 3 juillet, pour répondre à l’enquête du Wall Street Journal expliquant comment des applications tierces sont en mesure de lire et d’analyser le contenu des courriels envoyés par les utilisateurs du service Gmail.

Commençons par un petit rappel des faits. Lundi, le quotidien américain affirmait dans que des centaines d’entreprises partenaires de Google étaient en mesure d’accéder au contenu envoyé par le milliard et demi d’utilisateurs de Gmail. Ces entreprises sont des développeurs de logiciels, qui scannent le contenu de nos échanges pour ensuite proposer des publicités ciblées. Ce scan se ferait au rythme de 100 millions d’e-mails analysés par jour et peut être réalisé de manière automatique.

Tenter de rassurer les utilisateurs de Gmail

Susan Frey, directrice de la branche Security, Trust & Privacy (Sécurité, Confiance et Vie privée) au sein de Google Cloud, confirme dans son article de blog que des entreprises tierces peuvent bel et bien avoir accès aux données des utilisateurs de Gmail. Elle affirme en revanche que personne, au sein de Google, n’a accès à la lecture des e-mails, sauf cas particulier.

"Pour être absolument claire : personne chez Google ne lit vos e-mails, excepté pour des cas très spécifiques"
"La pratique du traitement automatique a entraîné des fausses spéculations sur Google qui pourrait ‘lire’ vos e-mails. Pour être absolument claire : personne chez Google ne lit vos e-mails, excepté pour des cas très spécifiques, lorsque des personnes nous le demandent et nous donnent leur consentement, ou lorsque nous avons besoin de le faire pour des raisons de sécurité, comme enquêter sur un bug ou un abus", écrit Susan Frey.

Elle tente de rassurer le public en assurant que ces applications ne réclament et n’obtiennent "que des données pertinentes" destinées à "leur fonction spécifique" et qu’elles doivent être claires vis-à-vis de Google sur la manière dont elles utilisent ces informations. Susan Frey ajoute également que ces entreprises doivent "se présenter avec exactitude", c’est-à-dire être transparente sur l'identité et les buts de l'entreprise et avoir des règles claires sur la protection de la vie privée.

Pour qu'une application puisse accéder à ces données, "cela passe par un processus de plusieurs étapes qui inclut un examen automatique et manuel du développeur, une phase d'évaluation de la politique de confidentialité de l'application (...), et des tests sur l'application pour s'assurer qu'elle fonctionne comme l'entreprise l'affirme", ajoute Susan Frey.

L'art de répondre sans apporter de réponse

Dans cet article de blog, l'employée de Google donne quelques "astuces", si l'on peut dire, pour mieux protéger son compte Gmail. Susan Frey propose par exemple de bien lire et les permissions accordées avant d'accepter l'intrusion d'une application qui n'est pas développée par Google et d'utiliser l'outil Security Checkup pour visualiser et contrôler quelles applications ont accès à quelles données.

En pratique, on sait très bien que ce genre d'outil nous offre un contrôle limité sur les données recueillies par les applications tierces. Qui lit l'ensemble des permissions accordées ? Qui vérifie l'ensemble des accès d'une application téléchargée dans l'urgence pour un besoin x ou y ? Évidemment, Google pourrait arguer que c'est aux utilisateurs de faire cet effort. Ce qui est en partie vrai.

Mais c'est aussi et avant tout à Google de limiter les accès. Même si l'enquête du Wall Street Journal ne montre pas de dysfonctionnement en tant que tel dans l'écosystème de Google, comme Cambridge Analytica l'avait fait pour Facebook il y a quelques mois, elle montre à nouveau comment un géant de l'Internet ouvre les vannes d'accès à nos informations privées.