Aux États-Unis, une juge a autorisé une plainte contre Gmail à se poursuivre sous forme de recours collectif. Le service de Google y est accusé de violer la loi sur les écoutes à cause de son analyse des emails. La partie n’est pas gagné pour autant.
Il ne s’agit pas du premier recours collectif contre Google. En septembre 2013, la juge Lucy Koh – que l’on connaît surtout pour avoir arbitré un très long match entre Apple et Samsung – autorisait des plaignants à constituer une class action contre Gmail. Le service était notamment accusé de fouiller indifféremment dans les emails de ses utilisateurs que ceux provenant d’autres solutions emails. La juge avait peu gouté l’argument de Google selon lequel les expéditeurs connaissaient Gmail et en acceptaient donc implicitement les conditions.
Des ruines de l'ancienne class action
La class action était cependant tombée à plat en 2014, faute d’un accord entre les différents groupes qui composaient le recours. La même Lucy Koh a cependant autorisé cette semaine un nouveau recours, cette fois centré sur la violation des lois américaines sur les écoutes. La problématique est toujours la même : les données contenues dans les emails sont analysées pour servir aux utilisateurs des publicités personnalisées, un processus que l’on retrouve chez bien d’autres éditeurs.
Dans son jugement, la juge a tenu compte de certains arguments de Google, mais pas tout. Par exemple, l’analyse des courriers à des fins de sécurité (détection des spams, des malwares, etc.) n’est pas remise en cause. Par contre, quand Google justifie les publicités personnalisées comme une simple « pratique commerciale courante », Lucy Koh rejette l’argument. L’impossibilité technique ne sera pas non plus de la partie, Google l’ayant prouvé en 2014 : l’analyse n’est pas active dans les Google Apps for Education.
Le California Wiretap Act et son exception pour les entreprises
Dans son jugement, la juge précise que l’interception et l’analyse ne sont pas des composantes intrinsèques du processus global de transfert des emails. Ce point est important, car Google est accusée de violer la loi californienne sur les écoutes (California Wiretap Act). Cette dernière prévoit des exceptions pour les entreprises, notamment quand l’analyse d’une transmission est requise pour le fonctionnement du service. Pour Lucy Koh, Gmail ne tombe pas dans cette exception, les entreprises n’ayant pas à décider par elles-mêmes de la portée d’une loi.
Il n’y a pour l’instant aucune condamnation. Il s’agit bien de permettre à un recours collectif en formation de poursuivre sa route, qui sera dans les cas encore longue. Par ailleurs, si les arguments de Google n’ont pas fait mouche, la firme aura tout loisir de bâtir sa défense durant le procès. Si tant est que les plaignants puissent cette fois s’organiser en présentant une liste cohérente de points reprochés.
Signalons que ce nouveau recours collectif est mené par Daniel Matera, qui faisait déjà partie du premier. Il n’est pas utilisateur de Gmail et considère que ses courriers n’ont pas à être interceptés et disséqués par Google.
Commentaires (53)
#1
Lucy Koh, la juge spé mastodontes
" />
" />
Bon courage à eux
#2
Faudrait voir les termes du service et autres conditions d’utilisation de gmail (que je n’utilise pas).
Entre deux utilisateurs intra gmail, ils acceptent tous les deux les termes et sans doute qu’il n’y a rien à faire. Idem pour un mail sortant de gmail vers un service tiers : l’émetteur se conforme aux ToS de gmail et il est à l’initiative de la correspondance, le destinataire n’a sans doute pas la possibilité de contester quoi que ce soit. En revanche un émetteur du service tiers vers un compte gmail n’est pas tenu de connaître ni d’accepter les conditions de gmail. Tout le truc consisterait donc à savoir si le fait d’écrire à un correspondant utilisateur d’un autre service implique l’acceptation indirecte des services de cet autre services, sans connaître les termes exacts.
Si on se base sur le protocole, qui est la base technique pour que des emails soient échangés, rien n’indique qu’il faille filtrer ou analyser les mails autrement que pour l’acheminement de ces mails/
Ce qui ferait faire tâche, c’est un jugement en faveur de Google qui pourrait valider le principe que la surcouche imposée par des ToS des services ne soit pas opposable par un utilisateur qui se trouverait pris entre ces services tiers : ce serait une sacrée porte ouverte.
Un expert dans le coin ?
#3
C’est pas souvent qu’on les voit attaquer sur ce terrain, Google.
J’imagine que c’est parce que c’est des mails perso qu’ils se font reprendre.
#4
#5
Y en a qui aiment perdre d’avance.
" />
#6
L’analyse n’est pas forcément faite en temps réel. L’email, il reste dans ta boîte de toute façon.
#7
#8
#9
La juge avait peu gouté l’argument de Google selon lequel les expéditeurs connaissaient Gmail et en acceptaient donc implicitement les conditions
Surtout que l’on peut parfaitement envoyer du mail vers Gmail sans même le savoir. Si la gestion du courrier d’un domaine “flemmedegererunpostix.example.” est déléguée aux services Google, il faut penser à vérifier le MX du domaine, avoir accès aux logs du SMTP envoyant vers ce domaine ou guetter les entêtes de la réponse pour le savoir.
En clair, M. Michu se fera avoir (et on ne peut pas lui en vouloir)
#10
Si google dit qu’il faut analyser les mails pour gérer le filtre anti-spam (par exemple) on tombe dans l’exception du California Wiretap Act et c’est mort non?
#11
#12
En même temps si on utilise google c’est pour les services rendus qui nécessitent tout ça xD.
#13
La question se pose surtout pour ceux qui ne les utilisent pas et qui se font tout de même pourrir leur vie privée sans avoir accepté les CGU de Google.
#14
Comme dit par la juge (c’est dans l’article), c’est acceptable pour le filtre anti-spam mais pas (forcément) pour l’analyse publicitaire.
#15
#16
#17
#18
D’une part c’est dans le CLUF que Google lit les emails, d’autre part c’est de notoriété publique. ça va être difficile aux plaignants de faire croire que Google les a eus par surprise.
" />
Mais bon, aux USA, tout est possible
#19
#20
Et un ToS/EULA n’est pas forcément légal. Actuellement, la plupart sont en vigueur parce que personne n’a pris la peine de les amener devant la justice pour examen.
#21
ah oui effectivement j’avais pas vu que la plainte venait aussi de non-utilisateurs de Gmail.
Mais bon, c’est pas comme si personne n’était au courant.
#22
Et donc parce que c’est “connu” il faut laisser Google potentiellement violer la loi ?
#23
#24
#25
#26
#27
#28
#29
J’ai vu ça, ma mairie a des adresses a son nom de domaine, paie une prestation SFR pour les serveurs d’email, mais ça ne marche pas, donc ils ont rajouté une couche de gmail entre pour faire la liaison.
#30
#31
Ah, sympa ça après la chute du Safe Harbor qu’une mairie aille filer des données à une boîte US…
#32
Mouais comme dit, c’est pas comme si les gens s’en foutaient globalement. Dans ma boîte tous les services googles sont utilisés, même pour des données et des documents critiques. Et je ne parle pas de Dropbox qu’on utilise aussi plus que de raison. Bref il y a des choses à faire mais les gens, même dans une boîte, s’en tapent alors bon.
#33
#34
#35
#36
#37
#38
Un argument que pourrait opposer Google c’est que le mail envoyé par un tiers “non Gmail”, aussi perso soit-il, une fois arrivé “dans” la boite mail du destinataire Gmail, deviens de ce fait en quelque sorte la “propriété” de ce destinataire, ou en tout cas fais désormais partie des “objets” inclus dans son service Gmail (autant que ses mails envoyés, brouillons, spams, etc) et donc concernés par les CGU.
Il suffirait à Google de prouver que son analyse se fait après réception du message (… évident, dirais-je) pour invalider la plainte.
C’est un peu la différence entre :
#39
Hello,
J’ai lu l’article mais les com’ vraiment vite fait. Je suis toutefois toujours surpris de l’acceptation globale, même petit à petit, de certaines idées qui pourtant sont biaisées de manière évidentes…
Donc même si ça a déjà été dit/écrit :
#40
Les CNIL n’ont pas bougé, pourquoi ? (personnellement, je ne trouve pas ça normal, et ce depuis des années)
#41
Peut-être parce qu’ils laissent faire une action dans le pays d’origine; peut-être parce qu’ils se sentent faible devant un mastodonte (je ne crois pas); p-ê parce que personne ne se plaint d’être scanné… P-ê parce que ce sont des fans de Google
" />
#42
’M’enfin, ça commence à bouger, un peu tard, mais il vaut mieux ça que rien du tout
#43
Ce n’est pas parce qu’un combat paraît perdu d’avance qu’il ne faut pas se battre.
" />nd…
Si tout le monde pensait comme toi tu parlerais a
#44
Ca m’étonnerais vraiment que ça passe.
Les mails que reçoivent les utilisateurs leurs appartiennent bien, donc ils ont bien la légitimité pour autoriser un service a les analyser.
#45
Y a t-il un quelconque mal à parler Allemand de nos jours ?
" />
#46
#47
En parlant de ça il faut que je la voie cette série !
" />
#48
#49
Aux USA je ne sais pas, mais en France le mail fait partie des correspondances privées protégées par le code des communications électroniques et postales.
M’enfin, vu que ça ne dérange personne…
#50
#51
#52
#53
Si ils sont scannée par la boite mail qui envoi (donc par un service dont tu as théoriquement accepté les conditions d’utilisation), je ne vois pas le problème.
Si par contre tu es emmerdés par des pubs à cause de l’analyse de la boite mail qui reçoit, là effectivement c’est un réel problème, car tu n’as pas pu accepter les conditions d’utilisation, et la personne qui reçoit n’a pas vraiment le droit d’accepter que les contenus de tes mails soient associés a ton nom.
En clair la boite mail peut lier à ta personne les infos que tu reçois / envois, par contre elle ne doit pas pouvoir lié les infos qu’elle reçois à une personne qui n’a pas accepté ces conditions.