Vous vous rappelez quand certains défenseurs de la vie privée s’inquiétaient de voir Google scanner vos emails ? Eh bien maintenant ils ont un nouvel os à ranger : de vraies personnes qui lisent vos emails Gmail !
Nous ne parlons pas des employés de Google. Nous parlons de développeurs dans des entreprises externes et, dans certains cas, de développeurs dans d’autres entreprises avec lesquelles ces dernières sont partenaires.
Google a un passif plutôt conflictuel avec les internautes concernant la confidentialité des emails. Il a scanné des emails Gmail pendant des années, en utilisant ce qu’il parvenait à récupérer dans les messages pour cibler les utilisateurs avec des publicités personnalisées. Dès 2004, les activistes de la protection de la vie privée l’ont exhorté d’arrêter, et l’entreprise a été poursuivie, depuis lors, devant les tribunaux par des utilisateurs mécontents.
Il y a un an, Google a cédé en partie, annonçant qu’il cesserait d’utiliser le contenu de son service Gmail consommateur pour personnaliser les annonces, permettant ainsi un alignement avec une politique existante pour ses comptes professionnels.
Cependant, l’entreprise n’a pas arrêté automatiquement la lecture de vos emails Gmail. En fait, les porte-paroles de Google ont confirmé en mai que l’entreprise utilisait toujours le contenu des emails pour aider à offrir d’autres gammes de services.
Plus tôt cette semaine, l’histoire a pris un autre tournure après que le Wall Street Journal ait rapporté que des développeurs tiers pouvaient lire les emails Gmail de millions d’utilisateurs.
De nombreuses entreprises développent des applications qui nécessitent un accès à votre messagerie à des fins d’analyse. Un assistant piloté par IA peut demander à lire vos emails pour prendre automatiquement des rendez-vous pour vous, par exemple. Parmi les autres applications susceptibles d’accéder à vos emails, citons les planificateurs d’itinéraires qui analysent les emails de voyage pour obtenir tous les détails appropriés. Google a rendu cela plus facile en 2014 en créant des API pour aider les développeurs tiers à accéder aux comptes Gmail.
Cependant, un avertissement était toujours émis au préalable. Les utilisateurs devaient d’abord accepter de partager ces informations, en donnant une autorisation explicite à une application pour accéder à votre compte Gmail ou à votre compte Google dans son ensemble. Cependant, ce que les utilisateurs ne savent pas, c’est que cela ne donne pas seulement un accès à vos emails Gmail par le logiciel de l’entreprise tierce. Il donne aussi aux développeurs à l’intérieur de ces entreprises la possibilité d’y accéder manuellement.
L’une de ces entreprises, Edison Software, a permis aux employés d’examiner les emails de centaines d’utilisateurs pour l’aider à créer de nouvelles fonctionnalités au sein de son logiciel, a déclaré le WSJ. Les développeurs d’une autre entreprise, Return Path, spécialisée dans l’optimisation marketing par email, ont lu plus de 8 000 messages électroniques alors qu’ils essayaient de mieux former leur logiciel pour faire la différence entre des emails personnels et commerciaux, ajoute le rapport.
La politique de confidentialité de Google indique qu’elle peut partager des informations avec des tiers. Cependant, la politique ne dit pas explicitement que les humains peuvent lire manuellement ces messages, et le message qui s’affiche, suite à l’activation, lorsque vous connectez une application externe à un service ne le dit pas non plus.
L’histoire du WSJ ne s’arrête pas là. Il explique que Return Path non seulement accède aux emails Gmail lorsque les utilisateurs s’inscrivent à leurs propres applications, mais aussi lorsqu’ils s’inscrivent à des applications exploitées par d’autres entreprises. Ces dernières sont associées à Return Path via sa filiale Context.IO, qui recueille des données de messagerie pour l’aider à améliorer ses services.
L’une de ces applications partenaires s’appelle Earny, qui analyse les emails des utilisateurs et les demandes de remboursement pour les aider à économiser de l’argent. Cette entreprise travaille avec Context.IO pour avoir accès à ses emails.
Earny se conforme aux directives strictes de Context.IO, qui stipule que les applications partenaires doivent expliquer la nature de cette relation dans leurs propres politiques de confidentialité. Le texte, fourni par Context.IO et reproduit sur le site d’Earny, dit en partie ceci :
Si vous utilisez les Services et connectez votre compte de messagerie, Context.IO aura accès à vos Informations Personnelles. Context.IO peut utiliser vos informations personnelles pour exploiter, surveiller et améliorer les services de Context.IO, comme indiqué dans sa propre politique de confidentialité.
Il permet ensuite à l’utilisateur de désactiver les services Context.IO grâce à un lien vers une page du site Context.IO.
Context.IO exige également que ces partenaires affichent des notifications “juste à temps” (JAT), en affichant ces avertissements au moment où les utilisateurs s’inscrivent, pour essayer de s’assurer qu’ils comprennent bien ce qu’il se passe. Return Path souligne bien tous ces détails dans sa réponse au WSJ.
Il convient de souligner que Return Path ne fait que prescrire les notifications JAT pour les utilisateurs de l’UE, laissant ceux qui se trouvent en dehors de cette région examiner les politiques de confidentialité sur les sites web des partenaires. Au moins un utilisateur américain d’Earny interrogé par le WSJ n’avait jamais entendu parler de Return Path, parce qu’elle n’avait pas lu la politique de confidentialité d’Earny.
Elle est loin d’être la seule personne à ne pas parcourir méticuleusement une politique de confidentialité lors de l’inscription à un service en ligne. Nous pourrions considérer que les utilisateurs sont responsables de cette situation, mais dans la pratique, ils ont dû faire face à des années de jargon juridique compliqué qu’ils ont à présent tendance à éviter. Ces relations transitives semblent rendre les choses encore plus difficiles.
Google vous donne des informations sur la confidentialité lorsque vous accordez à un développeur d’applications tiers l’accès à vos emails Gmail, mais vous laisse en déduire que des humains peuvent également lire ces derniers.
Pour vous protéger correctement, il semble que vous devriez vérifier la politique de confidentialité du développeur tiers si vous voulez être sûr de ces agissements. Vous devriez peut-être vérifier aussi davantage les règles de confidentialité des autres partenaires si vous constatez qu’il partage vos emails avec ces derniers.
Cette histoire soulève plusieurs questions. Est-il raisonnable de s’attendre à ce que les utilisateurs suivent ce processus ? Existe-t-il une meilleure façon de le gérer ? Google doit-il être plus clair sur la nature de l’utilisation par des tiers des informations qu’il partage ? Où se termine la responsabilité de l’utilisateur et celle du développeur de l’application ? Qu’en est-il des partenaires du développeur de l’application ?
Cependant, la première question que les utilisateurs de Gmail devraient se poser est peut-être de savoir qui a accès à leurs emails Gmail ainsi qu’à d’autres données Google aujourd’hui.
Pour le savoir, vous pouvez visiter la page des applications ayant accès à votre compte. Elle peut explicitement répertorier certaines applications comme ayant un accès aux emails, mais être aussi à l’affût des applications listées comme ayant accès à votre compte Google. Ces dernières ont des autorisations pour lire vos emails ainsi que beaucoup d’autres données que Google détient à votre sujet. Si vous décidez qu’un tel accès ne vous convient pas, vous pouvez le révoquer.
Billet inspiré de Someone else is reading your Gmails, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.