Tout le monde était au courant mais Google ne l'avait jamais confirmé. Mais depuis les révélations du Wall Street Journal, la firme de Mountain View a dû l'écrire noir sur blanc : « les applications tierces peuvent accéder à vos messages Gmail ». Mais avant d'obtenir cet accès, Google assure dans un communiqué que ces applications sont évaluées au peigne fin. Ces dernières « passent par un processus d’examens en plusieurs étapes, qui inclut un contrôle automatisé et manuel du programme, une évaluation de la politique de confidentialité et une page d’accueil de l’application, ainsi que des tests in-app pour s’assurer que l’application fonctionne bien comme elle le prétend. »
Le Wall Street Journal démontre que certaines applications ont donc la possibilité de « lire, envoyer, écrire, et gérer » les conversations privées de leurs utilisateurs. Soit via des machines scannant des millions d'e-mails par jour pour nourrir les algorithmes d'apprentissage, soit directement par des développeurs des applications autorisées. C'est le cas de Return Path, entreprise de marketing mail citée par le WSJ, qui scanne les courriels des deux millions de personnes ayant autorisé la lecture dans l'une de ses 163 applications partenaires. En plus du scan automatique, les employés de l'entreprise ont lu 8 000 courriels pendant la phase d'apprentissage du logiciel d'après le quotidien.
Des pratiques courantes
Le client de messagerie d'Edison Software est également cité parmi les entreprises tierces pouvant lire les messages Gmail de leurs utilisateurs. Les deux sociétés estiment que ces pratiques sont courantes dans le secteur. Ce que Google appuie également. « Gmail dispose de fonctionnalités de sécurité de classe mondiale, telles que des protections qui nous permettent d’empêcher plus de 99,9% des spams et des messages de phishing d’accéder à votre boîte de réception. Afin de fournir ces fonctionnalités, nous effectuons le traitement automatique des emails. »
La multinationale assure enfin que « personne chez Google ne lit vos Gmail. » Voilà qui est rassurant... « Sauf dans des cas très spécifiques où vous nous le demandez et donnez votre consentement, ou quand nous devons y accéder pour des raisons de sécurité, lors de bug ou après un abus par exemple. » De là à définir ce qu'elle entend par abus, il ne faut pas abuser...