Oui. C'est acceptable pour certaines boîtes et certains cas d'utilisation, faut pas que ça se généralise. Après dans le cas idéal, certes ils ont accès aux données, mais elles peuvent être chiffrées de bout en bout (avec une clé que seul l'utilisateur qui a demandé de créer le token n'a). Mais ça limite beaucoup l'intérêt du truc après, le service tiers ne peut rien faire d'autre que te notifier en gros, s'il n'a à aucun moment accès au texte en clair. Et pour le coup c'est certes pas mal pour les particuliers, mais autant utiliser une messagerie qui le premet déjà, comme live ou gmail. Et pour les utilisateurs plus exigeants, ça aura peu d'usage.