Fermeture de Google + pour les particuliers suite à une exposition de données personnelles

Le service Google+ a exposé les données personnelles de 500 000 utilisateurs. Le bogue a été caché par Google de peur de nuire à son image de marque. Cet incident aurait permis un accès à des données personnelles de profils Google entre 2015 et mars 2018, date à laquelle l'entreprise a corrigé le bogue.

Google a lancé en début d’année 2018 un programme dont l’objectif était de passer en revue les différentes API mis à disposition par l’entreprise. L’API de Google+ permettait d’accéder à certaines données privées des profils utilisateurs, notamment leurs noms, adresses électroniques, adresses physiques, postes ?, sexe et âge. Google indique avoir rapidement corrigé le problème.

Google n’a pas de visibilité précise de l’impact de ce bogue sur ses utilisateurs car ils ne conservent les traces que pendant 2 semaines, pour des raisons de respect de la vie privée selon l’entreprise. Elle estime cependant qu’un peu plus de 500 000 utilisateurs seraient impactés et que 438 applications ont utilisé ou utilisent encore l’API.

Google annonce mettre un terme au service Google+ pour les particuliers à partir d’août prochain. Ce choix est justifié par les nombreux problèmes remontés par l’audit interne et la faible popularité du réseau. En revanche, Google+ sera toujours disponible et maintenu pour les professionnels.

Le Wall Street Journal affirme, selon une source interne, que Google aurait gardé sous silence cette fuite de données pour ne pas ternir son image auprès du public, au moment même où Facebook faisait l’objet d’accusations suite au scandale Cambridge Analytica. Il n’y avait cependant pas d’obligation de communiquer sur l’incident, puisque selon les lois de l’état de Californie, cela n’est obligatoire que lorsque le nom des personnes est associé à des données sensibles. De même, la réglementation européenne en vigueur n'imposait pas au moment des faits de déclarer ce type d'incident. Depuis l’arrivée du RGPD, le 25 mai 2018, la donne a changé.

En Californie, des utilisateurs ont porté plainte contre Google pour négligence et atteinte à leur vie privée dans une action collective.

La FTC et l'UE ont initié une investigation, gérée par les régulateurs d'Irlande et d'Hambourg pour l'UE. L'enquête est placée en dehors du cadre du RGPD qui n'était pas vigueur au moment de l'incident ou de sa correction.