Le problème a été découvert et corrigé en mars dernier dans le cadre d'un audit interne des procédures de partage des données avec d'autres applications, a expliqué le groupe américain sur un blog. Aucun développeur extérieur n'a exploité cette faille, ni fait un usage inapproprié des données concernées, selon les conclusions de l'audit.
L'action d'Alphabet, le groupe propriétaire de Google, a terminé en baisse de 1,02% sur le Nasdaq à 1.155,92 dollars après cette annonce.
Quelques minutes avant, le Wall Street Journal avait rapporté que Google avait choisi dans un premier temps de ne pas rendre publique la découverte de la faille de sécurité en raisons des craintes d'une enquête des autorités de tutelle du groupe.
Lire aussi : Google reconnaît la marocanité du Sahara, le Polisario aux abois
Le quotidien cite dans son article des sources non identifiées et une note interne à Google rédigée par les services juridiques à l'attention des hauts dirigeants du groupe.
D'après le journal, cette note mettait en garde sur le fait que la divulgation de ce problème susciterait probablement "un intérêt immédiat des autorités réglementaires" et entraînerait des comparaisons avec le détournement de données personnelles d'utilisateurs de Facebook par le cabinet de conseil politique Cambridge Analytica.
Toujours selon le WSJ, un comité interne a pris la décision de ne pas informer les utilisateurs, et il a informé de son choix le directeur général de Google, Sundar Pichai.
Google s'est refusé à tout commentaire autres que ceux publiés sur son blog.
Sur celui-ci, il assure qu'aucun des critères susceptibles de conduire à la divulgation publique d'une faille n'a été rempli, qu'il s'agisse de la nature des données concernées, de l'identité des utilisateurs concernés ou de la découverte éventuelle de preuve d'une utilisation inappropriée des données.
Plusieurs spécialistes de la sécurité et de la vie privée s'interrogent toutefois sur le choix du groupe.
"Les utilisateurs ont le droit d'être informés si leurs données ont été compromises" a ainsi déclaré Jacob Lehmann, directeur du cabinet juridique Friedman CyZen. "C'est la conséquence directe de l'enquête à laquelle Facebook a été confronté après le scandale Cambridge Analytica."
Lire aussi : Wall Street: les actions de Facebook plombées par l'affaire Cambridge Analytica
Google+, lancé en 2011 face à l'essor de Facebook, était largement inspiré de ce dernier mais n'a jamais connu le succès, en raison d'une ergonomie jugée trop compliquée et d'interrogations répétées sur le respect de la confidentialité des données des utilisateurs.
La faille révélée ce lundi, apparue à l'issue d'une mise à jour logicielle, permettait en théorie à des développeurs d'applications extérieurs d'accéder à des données telles que le nom, l'adresse électronique, le métier, le genre ou l'âge des utilisateurs exposés, a précisé Google, qui se dit en revanche incapable de donner le nombre exact d'utilisateurs concernés, les données nécessaires n'étant pas conservées plus de deux semaines.
Google+ ne sera plus désormais qu'un réseau interne optionnel mis à la disposition des entreprises ou associations qui achètent la "G Suite" de Google, un ensemble d'applications développées par le groupe.
Plusieurs des mesures annoncées lundi par le géant des services en ligne sont censées réduire la quantité de données accessibles aux développeurs extérieurs qui mettent au point des applications mobiles pour la boutique en ligne Google Play ou des modules complémentaires pour la messagerie Gmail.