Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre

"On m'a dit de venir, pas de venir avec des bagages"

Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre

En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.

Le 02 juillet à 09h33

Commentaires (14)

votre avatar
Bonjour, et merci pour l'article.
Ne faudrait-il pas envoyer une alerte officiellement à la CNIL pour défaut de RGPD ?
"Les défauts de sécurisation des données sont désormais un motif récurrent de plainte."
Il faudrait que l'Europe ou la CNIL demande officiellement de verrouiller la visibilité de tous les comptes existants à leurs seuls membres et des les en informer.
votre avatar
Mais dans ce cas-là, le responsable de traitement au sens du RGPD n'est pas Google (qui est, au mieux, co-responsable, mais plus certainement prestataire, même à titre gratuit). Je ne sais pas selon quelle légitimité il pourrait y avoir une injonction à ce que Google réalise une opération de sécurisation à la place de la structure ou la personne qui coordonne le groupe.
Sans changer unilatéralement la visibilité des groupes, Google pourrait par contre désactiver tous ceux sur lesquels une inactivité est repérée et rendre possible la réactivation par l'administrateur du groupe...
votre avatar
Tous les dispositifs centralisés sont de potentielles proies à ce genre de problème. Ce n'est effectivement pas Google le fautif. C'est encore une interface chaise / clavier.

C'est ce qui se passe quand on ne met pas en place de solutions locales (et perenne) pour au moins juguler le pouvoir de diffusion en cas de souci. Sur un petit serveur isolé dans la structure cela aurait moins d'impact (hôpital, agence, etc.).

L'ignorance des utilisateurs qui a une grande part de responsabilité dans ce cas, n'excuse pas pour autant Google d'une gestion un peu relâchée. Des entités inactives devrait au moins être mise en retrait (pas que les groupes). Ou un processus d'extinction avec prévenance. Le droit à l'oubli n'est pas de la partie visiblement.

L'éducation n'est pas de la partie non plus. Cela permettrait d'au moins ne pas trop gaffer.

Merci FaceBook !
votre avatar
Ah les Google Groups... une longue histoire !

Il y a quelques mois, je tombe sur un groupe d'une petite agence d'assurance immobilière dans le sud de la France. Le groupe sert d'échange entre la société et un comptable externe. On y trouve des factures, des devis, etc. et surtout, les bulletins de salaire envoyés par mail :eeek2: pire, en fin d'année, le comptable renvoie tous les bulletins de salaire de l'année à tous les employés :mad2: Je vous laisse imaginer le carnage, tout ce qui est possible de faire avec ce genre de données personnelles...
J'ai contacté le dirigeant par mail, et le groupe a été passé en privé le lendemain. Pas un merci, rien. J'aurais dû contacter la CNIL pour qu'il se fasse défoncer :cartonrouge:

J'ai contacté aussi :
- un groupe syndical d'une société, il y a avait des données croustillantes.
- un cabinet d'avocat
- un architecte
- une agence immobilière

Pas une réponse, et il y a quelques mois, ces groupes étaient encore publics et actifs. :frown:
votre avatar
Si tu n'as pas de réponse après un mois, là tu peux déposer plainte à la CNIL. Pour rappel, le DPO a un mois pour répondre avant de pouvoir escalader.
votre avatar
Attention, le délai d'un mois, c'est quand tu es concerné et que tu fais une demande d'accès à tes données (accès au sens large, incluant la suppression / rectification).

Là, j'avoue ne pas trop savoir comment faire. La CNIL ? Vu les délais de traitement... Le RT ? Mais comme la plupart ne répondent pas (surtout pour les groupes oubliés). Le sous-traitant ? Peut-être. En précisant éventuellement une violation des CGU si des info confidentielles sont échangées. La justice ? Pas certains que l'on puisse si on n'est pas directement concerné. L'ANSSI peut être ?

Par contre, un métier à ordre (avocat, architect), perso, je contacterai directement l'ordre dans ce cas.
votre avatar
Je peux me tromper, mais il me semble qu'il n'existe pas de mécanisme de "dénonciation" dans le cadre du RGPD.

Par contre, la CNIL peut s'autosaisir, donc il reste possible de la contacter directement. Même si c'est pas forcément très évident... Dans le cas de l'exemple que je cite, c'est via une révélation de journaliste. Donc faut que ça fasse un peu de bruit quand même...
Dans tous les cas, ça ne coûte rien d'utiliser leur formulaire de contact pour envoyer ces éléments.

Quand on parle de données personnelles et d'application du RGPD, seule la CNIL est compétente sur le sujet en France à ma connaissance.

L'ANSSI n'a aucun pouvoir sur les organismes privés et la justice ne pourra être saisit qu'en cas de préjudice subit pour demander réparation.
votre avatar
La CNIL reste le meilleur contact, en tout cas dans mon cas les actions ont été pas super rapide, mais au moins elles étaient valide au long terme.
Par contre en contactant des acteurs privés pour leur signaler les fuites, j'ai eu une fois un merci, mais sinon ... rien. :craint:
votre avatar
Bonjour, à ce niveau là, je pense qu'il faudrait du name and shame via un article presse locale, ou au moins partager l'info à la presse locale pour qu'ils fassent l'enquête et questionnent les entreprises fautives qui ne manqueront pas de se bouger alors.
votre avatar
Je ne connaissais pas. En regardant je decouvre que j'appartiens à différents groupes obscures! Ça peut servir de liste de diffusion de spam?
Exemple:
yh@sitewalgreensweb8.net
456666 membres
Je ne vois que des emails yahoo
... et il semble que j'aie les droits d'en fermer certains...
votre avatar
Comment tu as fait pour voir que ton adresse apparaissait dans un Google Groupe ?

J'avoue qu'un petit outil "check si tu es sur GG" serait vraiment pratique pour s'assurer que ses données ne sont pas dans la nature.
votre avatar
Pour être honnête je n'ai pas tout compris...
Je suis juste allé sur le site google groupe connecté avec une de mes adresses google et dans la section "mes groupes" jai trouvé 6 ou 7 groupes qui ne ressemblaient pas à grand chose: aucune discussion, juste une liste de participants. J'y ai cherché mon adresse google et n'ai rien trouvé. Toutes les adresses mail des participants étaient sur yahoo. J'ai donc testé mon adresse yahoo et là je l'ai bien trouvée sur tous ces groupes.
Pourquoi je retrouve mon adresse yahoo sur des groupes que je vois en me loggant avec mon adresse gmail... tout ça alors que je ne connaissais pas les google groups avant d'avoir lu l'article ? Aucune idée !
votre avatar
« J'ai besoin d'une multitude d'adresses email différentes pour les différents services que j'utilise sans que je puisse utiliser les mêmes à chaque fois. Donc, soit je m'achète un domaine et je me crée des tonnes d'adresses email, soit je détourne l'usage de ce groupe pour me rendre destinataire de tous ces services »

Genre un service de base, un catch-all ?
votre avatar
Ou sinon, il existe les alias (=un peu de config à chaque fois), voire si le provider le supporte, le plus addressing (ou sub-addressing, on trouve les deux dénominations, et pas besoin de config, sauf peut-être la première fois pour l'activation de la fonctionnalité)

Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre

  • En première ligne : les associations sportives et syndics de copropriété

  • Le compte Google Groupe sert à s’identifier dans une banque

  • « Pas seulement par simplicité, mais par nécessité »

  • Bilan de santé et de fertilité

  • Des groupes abandonnés depuis 10, 15, 20 ans…

  • La (molle) réponse de Google

Fermer