Les boîtes de réception de millions d’utilisateurs de Gmail ont été « visitées » par des éditeurs d’applications : ces derniers ont lu des e-mails, que ce soit avec des machines ou par des humains. Ces développeurs tiers qui exploitent les API de Gmail proposent à leurs utilisateurs des services de comparaison de prix, des planifications d’itinéraires, etc.
Les informations recueillies dans les e-mails sont précieuses. On y trouve en effet des historiques d’achats, des transactions bancaires, des communications personnelles. Gmail comptant 1,4 milliard d’utilisateurs, c’est là un coffre au trésor que les spécialistes de l’exploration de données (autrement dit du data mining) veulent percer au moyen d’applications et de services gratuits suffisamment alléchants pour que les utilisateurs en autorisent l’exploitation.
Que des éditeurs puissent scanner les courriels de Gmail n’est pas nouveau. C’est d’ailleurs ce que faisait Google jusqu’à l’an dernier, le moteur de recherche ayant annoncé qu’il cesserait de fouiller dans les boîtes de réception. Cette pratique a permis à l’entreprise d’afficher des publicités ciblées en lien avec le contenu des messages. Désormais, Gmail a changé de modèle économique et se présente comme une plateforme pour les développeurs.
Mais les éditeurs qui exploitent les bases de données de Gmail conservent toute latitude pour faire ce qu’ils veulent de la masse de messages des utilisateurs. Le Wall Street Journal rapporte deux exemples : Return Path, qui a à son actif 163 apps partenaires, recueille les données des utilisateurs de Gmail (mais aussi des services mails de Yahoo et Microsoft) en scannant leurs courriels. Les ordinateurs de cet éditeur moulinent près de 100 millions de messages chaque jour.
Et quand les machines ne suffisent pas, ce sont des yeux humains qui lisent les e-mails : cela a été le cas il y a deux ans chez Return Path, avec des employés qui ont compulsé 8 000 messages non expurgés de leurs informations personnelles. Idem chez Edison Software, autre éditeur de solutions basées sur Gmail, dont des employés ont lu les e-mails de centaines d’utilisateurs.
Dans les deux cas, il s’agissait de peaufiner de nouvelles fonctions et d’améliorer des algorithmes de traitement de l’information. Si l’on pouvait déjà tiquer sur le fait que des machines puissent examiner le contenu d’un e-mail, l’idée que ce soit un humain qui ait un tel accès à ces courriels — même sous couvert d’amélioration de fonctionnalités — pourra paraître intolérable à beaucoup.
Les deux éditeurs mis en cause par l’article se couvrent en expliquant d’une part que ces pratiques sont autorisées par leurs conditions générales d’utilisation, et d’autre part que les employés qui accèdent au contenu des mails font l’objet d’une sélection rigoureuse. Ni Return Path, ni Edison ne mentionnent toutefois l’éventualité d’une lecture des messages par un employé.
Du côté de Google, on indique que les tiers qui ont accès aux données de Gmail sont soumis à un processus de contrôle « à la main » ; les utilisateurs doivent par ailleurs donner leur accord explicite. Il arrive à des employés de Google de lire des messages Gmail, mais dans des cas très spécifiques qui nécessitent un consentement éclairé de l’utilisateur, ou encore dans le cadre de situations mettant en cause la sécurité d’une personne ou d’un système (bug informatique…). Google précise par ailleurs que les tiers ont interdiction de réaliser et de stocker des copies des données.
Les données recueillies par les éditeurs tiers à partir de Gmail n’ont, a priori, pas servi à des activités délictueuses comme cela avait été le cas par Cambridge Analytica avec les informations de dizaines de millions d’utilisateurs de Facebook. Néanmoins, dans le contexte actuel, cette exploitation de Gmail fait tache.
Gêné aux entournures — même si rien d’illégal n’est à relever —, Return Path explique que les utilisateurs ont toujours la possibilité de retirer leur autorisation. L’entreprise cherche aussi « activement » à améliorer la transparence de ses règles de confidentialité.
