En début de semaine, un article du Wall Street Journal a mis en lumière une pratique relativement discrète (mais toutefois courante) en prenant le cas emblématique de Gmail qui compte 1,4 milliard d'utilisateurs. Selon le WSJ, des centaines d'éditeurs de logiciels peuvent scanner la boîte de réception via des applications tierces pour Gmail.

Il n'est pas uniquement question d'une analyse par des systèmes automatisés. Dans certains cas, des développeurs du genre humain peuvent avoir accès à la lecture d'emails, notamment afin de concevoir, améliorer et entraîner des algorithmes logiciels utilisés pour l'analyse.

Le WSJ cite les exemples de Return Path dans le marketing par email et Edison Software qui propose une application mobile pour la gestion du courrier électronique. La pratique est encadrée par des accords d'utilisation et des protocoles stricts pour les employés impliqués.

Dans un billet de blog, Google revient sur cette pratique et souligne " travailler en permanence pour vérifier les développeurs et leurs applications qui s'intègrent à Gmail avant une ouverture pour un accès général. " Une procédure s'assure que les applications tierces vérifiées ne demandent que des données dites pertinentes, avec des objectifs clairement définis et une politique de confidentialité idoine.

" Avant qu'une application non-Google publiée puisse accéder à vos messages Gmail, elle passe par un processus d'examen en plusieurs étapes qui comprend un examen automatisé et manuel du développeur, une évaluation de la politique de confidentialité de l'application et de la page d'accueil pour s'assurer qu'il s'agit d'une application légitime, et un test in-app pour s'assurer que l'application fonctionne comme elle le dit ", écrit Suzanne Frey, responsable sécurité, confiance et confidentialité de Google Cloud.

Du côté de l'utilisateur, il est sollicité par un écran afin de donner son aval à l'application tierce et l'accès aux données. Les types de données concernés sont censés être clairement montrés, ainsi que la manière dont les données sont utilisées. La permission lire, envoyer, supprimer et gérer vos emails vous rappelle-t-elle quelque chose ?

gmail-gsuite-application-tierce-demande-autorisation

Le cas échéant, il est possible de consulter et contrôler les permissions accordées via myaccount.google.com et à " Applications ayant accès au compte. "

Google a renoncé à la " lecture " d'emails pour du ciblage publicitaire

Dans sa réponse pour couper court à la polémique, Google évoque le cas de G Suite et du contrôle par les administrateurs. En vertu de son engagement pris l'année dernière, Google rappelle par ailleurs ne pas scanner le contenu des emails pour diffuser de la publicité ciblée et ajoute ne pas être rémunéré par les développeurs pour l'accès aux API. Le modèle économique a été recentré sur la vente d'un service email payant dans le cadre de G Suite.

" Pour être tout à fait clair, personne chez Google ne lit votre Gmail, sauf dans des cas spécifiques où vous nous demandez et donnez votre consentement, ou lorsque nous avons besoin pour des raisons de sécurité, par exemple pour enquêter sur un bug ou un abus ", déclare Suzanne Frey.

Le problème pour Google est que cette polémique autour d'applications tierces de Gmail intervient peu de temps après les révélations autour de l'affaire Cambridge Analytica avec Facebook. Elle a montré que les développeurs tiers ne sont pas toujours vertueux...