Summary
[!note] 📚 Série Pré-lancement Pilotflow
- Le Mythe de l’Extension Gmail à 50 000 $
- Scopes OAuth Gmail Décryptés ← vous êtes ici
- Revue du Code Avant le Développement : Trouver les Bugs Avant d’Écrire du Code — mars 2026
- Documents Légaux pour les Extensions Gmail en 15 Minutes — mars 2026
Dans le billet précédent, j’ai abordé le coût réel de la certification CASA de Google — bien inférieur au chiffre de 50 000 $ qui circule en ligne. Mais connaître le coût n’est important que si vous savez quels scopes le déclenchent.
C’est là que la plupart des développeurs d’extensions Gmail sont surpris : par une différence d’un mot dans les noms de scopes qui change complètement l’exigence de certification.
Le Système de Classification à Trois Niveaux
Google classe tous les scopes OAuth pour les applications du Workspace Marketplace en trois catégories. Votre chemin de lancement est entièrement déterminé par la catégorie dans laquelle tombent vos scopes.
Niveau 1 : Scopes Publics
Exemples : userinfo.email, userinfo.profile
Ces scopes accèdent aux informations de base du compte. Aucune certification spéciale requise — juste le processus standard de l’écran de consentement OAuth.
Niveau 2 : Scopes Sensibles
Exemples : gmail.labels, gmail.send, calendar.events
Ces scopes peuvent modifier les données utilisateur ou accéder à des informations potentiellement sensibles, mais ils n’accordent pas l’accès au contenu complet de votre boîte de réception ou de Drive. Pour les applications du Workspace Marketplace, ils nécessitent la vérification OAuth — un processus gratuit qui prend 4 à 6 semaines pour que Google l’examine.
Niveau 3 : Scopes Restreints
Exemples : gmail.readonly (boîte de réception complète), gmail.modify, drive.readonly (tous les fichiers)
Ces scopes accèdent au contenu complet de la boîte de réception ou de Drive d’un utilisateur. Ils nécessitent la certification CASA Niveau 2 en plus de la vérification OAuth.
Le Piège : gmail.readonly vs gmail.addons.current.message.readonly
Voici le détail qui piège la plupart des développeurs :
| Scope | Accès | CASA Requis ? |
|---|---|---|
gmail.readonly |
Lire toute la boîte de réception (tous les messages, tous les fils) | Oui — Restreint |
gmail.addons.current.message.readonly |
Lire uniquement le message actuellement ouvert dans la barre latérale de l’extension | Non — Sensible |
Même mot (« readonly »). Niveau de certification complètement différent.
Si votre extension n’a besoin que de lire l’e-mail actuellement ouvert par un utilisateur — pour afficher le contexte, extraire des métadonnées ou effectuer une action basée dessus — vous n’avez pas besoin de gmail.readonly. Le scope contextuel plus restreint fait le même travail sans déclencher CASA.
Cette seule distinction peut vous faire économiser un coût de certification annuel et un processus d’évaluation de plusieurs semaines.
Cartographie des 7 Scopes de Pilotflow
Pilotflow (le gestionnaire de boîte de réception Gmail) utilise sept scopes. Voici comment chacun d’eux se mappe aux niveaux de certification :
| Scope | Catégorie | CASA ? | Pourquoi il est nécessaire |
|---|---|---|---|
gmail.labels |
Sensible | Non | Créer et appliquer des étiquettes (fonctionnalité principale) |
gmail.send |
Sensible | Non | Envoyer des e-mails traités |
gmail.modify |
Restreint | Oui | Déplacer des e-mails, marquer lu/non lu |
drive.file |
Sensible | Non | Lire/écrire les fichiers que l’utilisateur ouvre explicitement |
spreadsheets |
Sensible | Non | Écrire des règles dans une Google Sheet |
script.projects |
Sensible | Non | Accéder au projet Apps Script |
script.scriptapp |
Sensible | Non | Exécuter le script |
Sur les sept scopes, seul gmail.modify est restreint. Les six autres sont sensibles.
La Stratégie du « Statut de Test »
Voici l’insight clé pour lancer une extension à scope restreint avant d’investir dans la certification CASA :
Google permet aux extensions Workspace de fonctionner en Statut de Test avec jusqu’à 100 utilisateurs — sans approbation du Marketplace ni certification CASA. L’extension est privée, partagée uniquement par invitation, mais entièrement fonctionnelle.
Cela crée un chemin de validation clair :
- Construire le produit complet avec tous les scopes requis
- Publier en Statut de Test (aucune certification nécessaire)
- Tester avec jusqu’à 100 vrais utilisateurs
- Générer des signaux de revenus
- Décider d’investir dans la certification CASA sur la base de données d’utilisation réelles
Pour Pilotflow, la décision était : utiliser les 7 scopes, lancer en Statut de Test, valider avec de vrais utilisateurs. La décision d’investissement CASA est prise quand il y a des revenus pour la soutenir — pas spéculativement, avant qu’un seul utilisateur n’ait essayé le produit.
C’est le lancement de produit lean appliqué à la certification de plateforme. N’investissez pas dans la conformité avant de savoir que le produit a une adéquation marché.
Points Clés à Retenir
- Les scopes OAuth Gmail se répartissent en trois niveaux : Public (aucune certification), Sensible (vérification OAuth, gratuit) et Restreint (CASA Niveau 2, 540 $–1 800 $/an).
- La distinction entre
gmail.readonlyetgmail.addons.current.message.readonlypeut éliminer entièrement les exigences CASA si votre extension n’a besoin que d’un accès contextuel aux messages. - Le Statut de Test (jusqu’à 100 utilisateurs, sans CASA) est la bonne première étape pour les extensions à scope restreint. Validez d’abord, certifiez quand les revenus le justifient.
Quelle est la Suite
Choisir les bons scopes est une décision de planification. Mais avant d’écrire le moindre nouveau code pour Pilotflow, j’ai fait quelque chose que la plupart des développeurs sautent entièrement : une revue systématique du code existant. Elle a trouvé un bug que je ne savais pas exister.
→ Suivant : Revue du Code Avant le Développement
← Précédent : Le Mythe de l’Extension Gmail à 50 000 $
— Kékéli
