Google a exposé les données de près de 500 000 utilisateurs de Google +, son réseau social.
Lancé en 2011 pour contrer Facebook, le réseau social de Google n’a jamais connu de succès, même avec tous les artifices exploités, tels que forcer les utilisateurs d’autres services à avoir un compte Google + pour pouvoir utiliser certaines fonctionnalités.
La vulnérabilité de sécurité a potentiellement permis à tout développeur tiers à accéder les données privées des profils utilisateurs entre 2015 et mars 2018.
Google se serait aperçu de la situation au printemps, mais n’aurait prévenu personne, de peur des répercussions : à l’époque, Facebook subissait le scandale Cambridge Analytica.
Or, dans certains pays, il est légalement obligatoire de les informer dans un délai limité après la découverte. En Europe, le délai est de 72 heures depuis que le Règlement général sur la protection des données est applicable: mai 2018
Pour se justifier, Google affirme qu’il n’y a aucune preuve d’usage abusif, même si l’entreprise reconnaît ne pas pouvoir écarter la possibilité, puisqu’elle conserve peu de journaux d’activités.
Confrontée par des médias tels que le Wall Street Journal, Google a finalement décidé de fermer Google + aux consommateurs. L’entreprise promet d’offrir bientôt des options de confidentialité avec plus de granularité pour l’ensemble de ses services, et de limiter les données dont l’accès est conféré par interface de programmation (API) aux développeurs tiers.
Il nous semble que Google offre trop peu trop tard. Il ne serait pas étonnant que les régulateurs décident de s’intéresser à l’affaire, ni que des recours collectifs soient lancés.