Depuis plusieurs semaines, une série d’événements, allant d’un article alarmiste de Malwarebytes à une action en justice majeure en Californie, a plongé Google au cœur d’une nouvelle controverse sur l’utilisation des données privées pour alimenter son intelligence artificielle.
La question centrale n’est plus seulement de savoir si Google utilise nos emails, mais comment et pourquoi ses paramètres de confidentialité sont si opaques.
Le déclencheur : l’alerte virale de Malwarebytes
La vague d’inquiétude a commencé avec la publication, le 20 novembre 2025, d’un article de blog par la société de cybersécurité Malwarebytes.
L’article, largement partagé sur les réseaux sociaux, accusait Google d’avoir activé par défaut le partage des courriels et des pièces jointes de Gmail pour l’entraînement de son modèle d’IA générative, Gemini. Malwarebytes pointait du doigt la section des « Fonctionnalités intelligentes et personnalisation » de Gmail, suggérant qu’elle était devenue une porte dérobée pour siphonner les communications privées.
L’appel était urgent : les utilisateurs devaient désactiver manuellement ces options, sauf s’ils bénéficiaient des protections du RGPD en Europe ou de lois similaires au Japon.
Premier rebondissement et réponse de Google
Face à la panique numérique, Google a réagi rapidement et fermement. L’entreprise a publié un démenti officiel sur son compte Gmail sur X (Twitter) dès le 21 novembre 2025, réfutant les allégations.
« Ces rapports sont trompeurs – nous n’avons modifié les paramètres de personne, les fonctionnalités intelligentes de Gmail existent depuis de nombreuses années, et nous n’utilisons pas le contenu de votre Gmail pour entraîner notre modèle d’IA Gemini »
Google a clarifié que si les « Fonctionnalités intelligentes » analysent bien les données des utilisateurs, c’est uniquement pour des tâches de personnalisation individuelle (comme les réponses suggérées) et que ce contenu n’est pas utilisé pour alimenter le modèle d’IA général et public Gemini.
Malwarebytes a rapidement corrigé son article.
Un problème juridique plus large
Si la rumeur d’entraînement de Gemini a été démentie, elle a par contre soulevé un problème bien plus profond faisant l’objet d’une action en justice majeure. Une action collective (class-action) a été déposée contre Google en Californie (Thele c. Google LLC, nº 25-cv-09704) le 11 novembre 2025
La plainte ne porte pas sur l’entraînement général, mais sur l’accès par défaut de l’IA aux données privées :
- Les plaignants allèguent que Google a activé son assistant d’IA Gemini, via les « Fonctionnalités intelligentes », sur tous les comptes Gmail, Chat et Meet.
- Une activation, prétendument faite sans consentement explicite, donnerait à Gemini la capacité de « traquer, analyser et exploiter l’historique enregistré de l’intégralité des communications privées de ses utilisateurs, y compris littéralement chaque courriel et pièce jointe »
La plainte accuse Google de violer le California Invasion of Privacy Act (CIPA), qui interdit l’enregistrement de communications confidentielles sans le consentement de toutes les parties. Elle dénonce l’opacité et l’aspect « enfoui » des paramètres de confidentialité que les utilisateurs doivent modifier manuellement pour protéger leur vie privée.
Par ailleurs, Google et YouTube ont récemment accepté de verser 30 millions de dollars pour régler un recours collectif les accusant d’avoir illégalement collecté des données auprès d’enfants de moins de 13 ans afin de leur proposer des publicités ciblées sans le consentement de leurs parents.
Conclusion
Cette série d’événements — rumeur, démenti, et procès — révèle une crise de confiance. Le fait que l’alerte de Malwarebytes ait été crue par tant d’experts et d’utilisateurs souligne que le manque de clarté de Google sur l’utilisation exacte de ses « Fonctionnalités intelligentes » crée un terrain fertile pour les allégations les plus graves.
La ligne de démarcation entre l’analyse de données pour la « personnalisation » (que Google admet) et l’analyse pour l’« entraînement » (que Google dément) est trop mince dans l’esprit du public. L’issue de l’action collective Thele v. Google sera cruciale pour définir la manière dont les entreprises technologiques devront garantir le consentement de l’utilisateur face à l’intégration toujours plus poussée des outils d’intelligence artificielle dans nos vies numériques.
Rédigé par Thibaud Robin, consultant chez Trackflaw/Flawfence et professeur permanent à l’ESGI
