Un employé de Google comparaît devant la justice américaine pour avoir utilisé des données internes confidentielles afin d’alimenter des positions sur Polymarket, plateforme de marchés prédictifs. L’affaire soulève des questions concrètes sur la gouvernance des accès aux systèmes d’information sensibles.
Michele Spagnuolo, 36 ans, ingénieur logiciel chez Google et résident en Suisse, a été mis en examen le 27 mai 2026 par le parquet du district sud de New York. Les charges retenues, fraude sur les marchés à terme, fraude électronique et blanchiment d’argent, découlent d’une même mécanique : l’exploitation d’informations non publiques, auxquelles son poste lui donnait un accès légitime, pour placer des paris financiers sur une plateforme de prédiction.
Entre octobre et décembre 2025, Spagnuolo aurait engagé près de 2,75 millions de dollars sur Polymarket via un compte opérant sous le pseudonyme « AlphaRaccoon ». Les transactions portaient sur des marchés directement liés à des données internes Google — des informations dont la confidentialité était explicitement signalée dans les outils maison, mentions en rouge incluses. Selon l’accusation : environ 1,2 million de dollars de profits ont été réalisés dès que les informations ont été rendues publiques et les marchés clôturés.
Un accès légitime détourné de sa finalité
Michele Spagnuolo n’a pas piraté de système. Il a utilisé des droits d’accès qui lui étaient accordés dans le cadre normal de ses fonctions, à un outil interne portant explicitement la mention « Google Confidential ». Il avait, selon l’acte d’accusation, signé les politiques de confidentialité et d’éthique correspondantes.
Ce profil d’insider de confiance, avec des habilitations étendues, agissant en dehors du périmètre prévu est précisément celui que les équipes sécurité et conformité ont le plus de mal à détecter. Les contrôles d’accès fonctionnaient. La politique existait. La violation a eu lieu quand même.
« Les initiés ne peuvent pas utiliser des informations commerciales confidentielles pour engranger des profits sur nos marchés. Spagnuolo a trahi les obligations qu’il avait envers son employeur »
Jay Clayton, procureur fédéral pour le district sud de New York.
Polymarket, nouvel angle mort de la conformité
Polymarket, enregistré aux États-Unis sous statut de marché à terme réglementé, traite des volumes considérables sur des événements allant des résultats électoraux aux annonces d’entreprises. Or ces plateformes n’entrent pas, jusqu’ici, dans le périmètre standard des politiques d’utilisation acceptable que les grandes entreprises imposent à leurs employés.
La question n’est pas théorique. Dès lors qu’un collaborateur peut monétiser des prévisions sur des événements liés à son employeur — lancement produit, résultats financiers, décision stratégique — via une plateforme de paris en ligne, le risque de fuite informationnelle prend une forme que peu de chartes informatiques ou de politiques RH anticipent aujourd’hui.
Les peines encourues atteignent vingt ans d’emprisonnement pour les chefs de fraude et de blanchiment. Au-delà du cas individuel, l’affaire rappelle que la valeur des données internes d’une organisation ne se mesure pas seulement à l’aune des cyberattaques externes, mais aussi à celle de ce que ses propres collaborateurs peuvent en faire.
