Juridique

Scandale Google : une leçon pour les clients du SaaS

Un ingénieur de Google a été licencié pour violations de la vie privée d'adolescents. L'affaire doit appeler la vigilance des DSI qui externalisent en mode SaaS des services de base comme la bureautique ou la messagerie.

Publicité"Nous avons licencié David Barkdale pour avoir enfreint les politiques de confidentialité strictes internes à Google", déclare Bill Coughran, Vice-Président de Google.

D'après le site Gawker.com, David Barksdale a été licencié en juillet car il avait abusé de sa position d'ingénieur spécialisé dans la fiabilité du site chez Google pour avoir accédé aux enregistrements téléphoniques de Google Voice et aux comptes Gmail ainsi que Google Chat appartenant à plusieurs adolescents.
Le rapport publié par Google précise que, dans l'exercice de ses fonctions, David Barksdale avait accès aux bases de données qui contiennent tant des e-mails, des historiques de conversations que d'autres fichiers appartenant aux utilisateurs.
En l'occurrence, les données concernaient uniquement la vie privée d'adolescents. Mais, fondamentalement, le même problème aurait pu survenir pour des données professionnelles hébergées en mode SaaS via les Google Apps.

Google a reconnu la gravité de ces violations de la vie privée, mais a affirmé que ses ingénieurs auront toujours besoin d'avoir ce niveau d'autorisation d'accès aux comptes utilisateurs.
"Nous contrôlons attentivement le nombre d'employés qui ont accès à nos systèmes, et nous mettons régulièrement à jour nos contrôles de sécurité, par exemple, en augmentant significativement le temps passé à auditer nos historiques pour nous assurer que ces contrôles sont efficaces" précise Bill Coughran. Il ajoute : "Cela dit, un nombre limité de personnes aura toujours besoin d'accéder à ces systèmes si nous voulons qu'ils fonctionnent correctement. Ce qui explique pourquoi nous prenons toutes les violations tellement au sérieux".

La confidentialité des données n'est en effet garantie que par le contrat liant Google avec ses clients ou ses utilisateurs. Il en est de même pour tous les prestataires de services externalisés, notamment de SaaS. Un manquement de la part d'un prestataire de SaaS constitue une faute contractuelle pouvant ouvrir droit à dédommagement... à condition de s'en apercevoir. Et c'est tout.