Certaines applications (messageries, organisation d'événements...) demandent un accès complet à vos mails et paramètres Gmail. Si vous l'avez donné, sachez que ces services n'ont pas oublié de l'utiliser, laissant parfois des humains faire le travail des machines.

Les conséquences ne semblent pas être les mêmes que lors du scandale Cambridge Analytica, mais les mêmes ingrédients sont bien réunis : un géant du web met à disposition de développeurs tiers une interface de programmation qui leur donne accès à des données, si et seulement si l’utilisateur consent à cet accès. En ce début juillet, on remplace « géant du web » par Google, « interface de programmation » par API de Gmail et « données » par… vos mails.

Dans une enquête, le Wall Street Journal affirme ce qui semble être une évidence. En effet, quand vous cliquez sur le bouton « J’accepte » d’une pop-up qui vous dit qu’un logiciel ou un service aura accès à vos mails et qu’il est stipulé explicitement qu’il pourra lire, organiser, supprimer, envoyer et écrire des mails, vous donnez un consentement on ne peut mieux informé pour toutes ces actions. C’est ce qui se passe, par exemple, quand vous utilisez une boîte mail tierce comme Outlook de Microsoft, ou des services moins mainstream comme Cleanfox qui vous aide à vous débarrasser du spam.

Les services utilisant cette interface de programmation et ces possibilités ont donc eu votre accord pour accéder à l’intégralité de votre boîte mail et à faire à peu près ce qu’ils veulent avec. C’est un acte de confiance fort qu’il ne faut pas minimiser : vous laissez en pratique un développeur tiers avoir une vue complète de vos messages et de leur contenu. Dans certains cas, il est également possible que des opérateurs humains aient accès à vos mails : l’article du WSJ évoque des moments dans le développement d’un service où un programme de machine learning devra apprendre. Un ingénieur devra donc encadrer cet entraînement et avoir accès aux données des utilisateurs — ce qui n’est peut-être pas suffisamment clair sur le panneau d’acceptation.

De son côté, Google affirme que les entreprises qui ont accès à cette fonctionnalité ont été scrutées et qu’il ne donne pas cette possibilité de gestion d’un compte Gmail à n’importe qui. Un texte a été publié, confirmant ces dispositifs de sécurité et ce contrôle systématique des demandes au niveau des API de Gmail.

Cela nous semble évident qu’un Microsoft venant taper à la porte de Google pour faire fonctionner Outlook n’aura pas les mêmes accès qu’un développeur méconnu qui peine à justifier cet usage pour faire tourner son service.  D’ailleurs, Outlook propose les mêmes fonctionnalités, la clarté en moins : contrairement à Gmail, il n’est pas explicitement dit que le service pourra lire vos mails. C’est néanmoins le cas.

L’éducation contre les négligences

Cependant, l’affaire Cambridge Analytica nous a montré à quel point une série de négligences pouvait avoir des conséquences néfastes. Qui nous dit que Google ne s’est pas trompé, une seule fois, sur l’attribution de ces accès ? Et cet hypothétique développeur tiers passé entre les mailles du filet, n’a-t-il pas trouvé les bons mots pour berner des utilisateurs — le développeur derrière la fuite Cambridge Analytica était passé par un quiz ? Ces questions sont légitimes et la mise en évidence de ces utilisations forceront probablement Google a faire du ménage dans ses partenaires.

On ne peut s’empêcher en revanche de noter, comme nous le faisions dès le début de l’affaire impliquant Facebook, que ces problèmes n’en seraient pas si la culture du web, de ses dangers et de ses opportunités était un impératif de l’éducation moderne. Le RGPD est une brique légale importante qui impose la clarté lors de la collecte de données, mais aucun texte de loi n’empêchera que le clic sur un bouton « J’accepte » devienne une sorte d’automatisme. Dans le même temps, le web s’est aujourd’hui construit autour de cette interconnexion entre les services et on aurait du mal à souhaiter un retour en arrière. Reste alors, encore et toujours, à éduquer et à former, pour que la confiance de l’utilisateur sur le web ne soit pas acquise a priori.

Si vous souhaitez vérifier quels services ont accès à vos mails, vous pouvez vous rendre ici pour Gmail et ici pour Outlook.

Partager sur les réseaux sociaux