Google autorise toujours des développeurs tiers à accéder aux données Gmail de ses utilisateurs, a déclaré l’entreprise dans une lettre aux sénateurs la semaine dernière.
Les sénateurs John Thune, Roger Wicker et Jerry Moran ont interrogé Google à la mi-juillet, après que le Wall Street Journal ait publié un article sur l’accès aux comptes Gmail des utilisateurs, fournit par Google à des développeurs tiers d’applications.
Cette histoire a poussé le trio sénatorial à contacter le CEO de Google, Larry Page, pour lui demander de clarifier l’approche de Google concernant l’accès aux messageries par des tiers.
Étant donné les expériences récentes de Facebook avec des développeurs tiers, ils étaient particulièrement inquiets :
Dans le sillage du scandale Cambridge Analytica, dans lequel un développeur tiers d’applications pour le compte de Facebook a obtenu de grandes quantités de données utilisateur et les a partagées avec une société de consulting politique, le mauvais usage potentiel de données personnelles détenues par de grandes plateformes internet et partagées avec des développeurs tiers, est un sujet de préoccupation majeur pour le Comité.
Ce dernier a demandé à Page si Google exigeait que les développeurs tiers se conforment à toutes les politiques de confidentialité et ce qu’elles contenaient réellement, et si l’entreprise avait connaissance d’un développeur partageant les données avec un tiers. Le Comité lui a demandé comment fonctionnaient les processus de vérification manuelle et de suspension, et si Google autorisait ses propres employés à visualiser le contenu des emails personnels des utilisateurs de Gmail.
En réponse aux sénateurs, Susan Molinari, vice-présidente de la politique publique et des affaires gouvernementales pour les activités de Google en Amérique, a expliqué que l’entreprise avait laissé les développeurs partager des données avec des tiers :
Les développeurs peuvent partager des données avec des tiers tant qu’ils sont transparents avec les utilisateurs sur la manière dont ils utilisent celles-ci.
Google s’est appuyé sur l’adhésion à sa politique de confidentialité pour s’assurer qu’ils partageaient les données de manière appropriée, a ajouté l’entreprise.
Google a détaillé son propos en expliquant que les développeurs tiers souhaitant accéder à des données sensibles telles que les données Gmail devaient accepter la politique de confidentialité de l’entreprise et passer par un processus de vérification. Cela inclus une vérification manuelle de leur politique de confidentialité pour s’assurer qu’ils utilisent des données en phase avec leurs objectifs, a expliqué la lettre. Après vérification, Google utilise l’apprentissage automatique pour surveiller les applications en cas de changement de comportement et, si Google en détecte, il les fait passer de nouveau par le processus de vérification manuelle.
Google a donné des exemples de raisons pour lesquelles des applications peuvent être suspendues, comme notamment le fait de ne pas être transparent avec les utilisateurs, de jouer avec les protections anti-spam et de demander des autorisations dont elles n’avaient pas besoin.
La politique de confidentialité
Pour les défenseurs de la vie privée, le problème est le même que lorsque l’histoire du WSJ est sortie au début du mois de juillet dernier.
Tout d’abord, cela signifie que les développeurs tiers peuvent lire les emails des utilisateurs de Gmail s’ils le souhaitent. Il est important de noter qu’ils n’obtiennent les emails que si les utilisateurs leur donnent explicitement la permission d’y accéder lors de l’utilisation de leur application, mais cela soulève le deuxième problème : l’utilisateur est obligé de parcourir les 4 000 mots de la politique de confidentialité de Google.
Ceci dit, cette politique n’indique pas explicitement que de véritables personnes humaines, plutôt que des scripts informatisés, seront amenées à lire vos emails.
Google oblige également l’utilisateur de lire les politiques de ses développeurs tiers, car ils peuvent avoir des clauses supplémentaires sur la transmission de données à d’autres entités.
En bref, les réponses de Google aux sénateurs confirment ce que nous savions déjà et nous obligent à nous poser sans cesse cette même question : quel niveau de transparence et d’accessibilité une politique de confidentialité doit-elle avoir ?
Une autre pépite se trouvait dans la lettre. Google n’autorise pas ses propres collaborateurs à accéder aux emails des utilisateurs, à moins que l’utilisateur ne le demande explicitement, ou à des fins de sécurité, par exemple pour enquêter sur un bug ou un abus. Cette dernière raison semble donner à l’entreprise une certaine latitude quant à la manière dont elle traite les emails de ses utilisateurs, en fonction de sa propre interprétation et de la portée donnée au terme “enquêter sur un bug“.
Cette nouvelle fait suite à un autre incident de confidentialité impliquant des messages privés. Twitter a déclaré en fin de semaine dernière qu’un bug avait peut-être envoyé des messages directs privés à des développeurs tiers non autorisés à les voir, et que ce bug persistait depuis près de 18 mois !
Billet inspiré de App developers are STILL allowed to read your Gmails, sur Sophos nakedsecurity.