La section Sécurité des données de Google Play permet aux développeurs de faire preuve de transparence en indiquant si leurs applications collectent, partagent et protègent les données utilisateur, et en précisant quelles sont les méthodes utilisées, avant même que les utilisateurs procèdent à l'installation. Les développeurs sont tenus de remplir un formulaire dans la Play Console afin de nous informer des pratiques de confidentialité et de sécurité mises en œuvre dans leurs applications. Ces informations sont ensuite affichées sur la fiche Play Store de ces applications sur Google Play.
Cet article présente les exigences liées au formulaire Sécurité des données. Il fournit également des conseils pour le remplir et des informations sur les modifications récentes ou à venir.
Présentation
La section Sécurité des données de Google Play vous permet d'indiquer facilement aux utilisateurs quelles données votre application collecte ou partage. Vous pouvez également y préciser les principales pratiques de sécurité et de confidentialité mises en œuvre dans votre application. Grâce à ces informations, les utilisateurs pourront faire des choix plus éclairés concernant les applications qu'ils souhaitent installer.
Tous les développeurs doivent déclarer la façon dont ils collectent et traitent les données utilisateur pour les applications qu'ils publient sur Google Play. Ils doivent également préciser comment ils protègent ces données, grâce à des pratiques de sécurité telles que le chiffrement. Cela inclut les données collectées et gérées via les bibliothèques ou SDK tiers utilisés dans leurs applications. Pour en savoir plus, consultez les informations sur la sécurité des données, publiées par vos fournisseurs de SDK. Consultez le Google Play SDK Index pour vérifier si votre fournisseur a fourni un lien vers ses conseils.
Vous pouvez fournir ces informations via le formulaire Sécurité des données disponible sur la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Une fois que vous avez rempli et envoyé ce formulaire, Google Play vérifie les informations fournies lors de l'examen de votre application. Ces informations sont ensuite affichées sur votre fiche Play Store afin que les utilisateurs de Google Play sachent, avant même de télécharger votre application, comment vous collectez et partagez les données.
Vous seul êtes responsable de fournir des informations complètes et exactes sur la fiche Play Store de votre application sur Google Play. Google Play vérifie que les applications respectent l'intégralité du règlement. Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire Sécurité des données. Si nous constatons une incohérence entre le comportement de votre application et votre déclaration, nous pouvons être amenés à prendre des mesures en conséquence, y compris des mesures coercitives.
Vous pouvez développer la section ci-dessous pour observer comment se présente votre fiche Play Store pour les utilisateurs de Google Play, ainsi que les notifications et changements qu'ils peuvent voir si vous apportez certaines modifications à la section Sécurité des données de votre application.
Ce que verront les utilisateurs si votre application partage des données utilisateurRemarque : Les images sont fournies à titre d'exemple. Elles sont susceptibles d'être modifiées.
Si votre application ne collecte ni ne partage aucune donnée utilisateur avec d'autres entreprises ou organisations, les utilisateurs verront les informations suivantes :
Si votre application ne partage aucune donnée utilisateur avec d'autres entreprises ou organisations, les utilisateurs verront les informations suivantes :
Remarque : Les images sont fournies à titre d'exemple. Elles sont susceptibles d'être modifiées.
Quels développeurs doivent remplir le formulaire Sécurité des données dans la Play Console ?
Tous les développeurs qui ont publié une application sur Google Play doivent remplir le formulaire Sécurité des données, y compris pour les applications sur les canaux de test fermé, ouvert ou de production. Cela s'applique également aux applications préautorisées et préchargées qui se mettent à jour via Google Play.
Les développeurs ne sont pas tenus d'inclure les applications actives sur les canaux de test internes dans la section Sécurité des données. Ils ne sont pas tenus non plus de remplir le formulaire Sécurité des données pour les applications actives uniquement sur ce canal.
Les développeurs doivent remplir ce formulaire et fournir un lien vers leurs règles de confidentialité, même pour les applications qui ne collectent aucune donnée utilisateur. Dans ce cas, le formulaire rempli et les règles de confidentialité peuvent simplement indiquer qu'aucune donnée utilisateur n'est collectée ni partagée.
Il n'est pas nécessaire de remplir le formulaire Sécurité des données pour les services système ni pour les applications privées.
Même si un formulaire global est requis pour chaque application définie au niveau du package d'application, les développeurs peuvent exclure d'anciens artefacts de leur formulaire. Cela s'applique aux artefacts dont la version du SDK cible effective est inférieure à la version 21, dans les cas où la majorité des utilisateurs actifs ayant installé l'application (plus de 90 %) utilisent la version du SDK cible effective 21 ou ultérieure.
Préparer les informations
Avant de fournir des informations concernant la section Sécurité des données de Google Play, nous vous recommandons de prendre les mesures suivantes :
- Prenez connaissance des exigences à respecter pour remplir le formulaire Sécurité des données dans la Play Console et respectez nos Règles sur les données utilisateur.
- Assurez-vous d'avoir ajouté des règles de confidentialité. Elles sont nécessaires pour remplir le formulaire Sécurité des données et présenter vos informations sur la sécurité des données aux utilisateurs.
- Vérifiez la manière dont votre application collecte et partage les données utilisateur, ainsi que ses pratiques de sécurité. Vérifiez plus particulièrement les autorisations déclarées et les API qu'elle utilise.
- En plus de vérifier la façon dont votre application collecte et partage les données utilisateur, vous devez examiner comment les codes tiers de votre application (comme les bibliothèques ou les SDK tiers) collectent et partagent ces données. Il est de votre responsabilité de vous assurer que les codes de ce type utilisés dans votre application respectent le règlement du programme pour les développeurs Google Play. Vous devez indiquer dans le formulaire Sécurité des données de votre application si un tel code tiers collecte ou partage des données.
- Regardez le tutoriel vidéo sur le formulaire Sécurité des données Google Play PolicyBytes ci-dessous, qui présente toutes les ressources et étapes nécessaires pour remplir ce formulaire.
Cette vidéo vous présente toutes les ressources et étapes nécessaires pour remplir le formulaire Sécurité des données.
Google Play PolicyBytes - Data safety form walkthroughQue doivent indiquer les développeurs dans le formulaire Sécurité des données ?
Cette section précise les informations que vous devez fournir dans le formulaire Sécurité des données de la Play Console, ainsi que les types de données utilisateur et les finalités que vous pouvez sélectionner.
Que doivent spécifier les développeurs concernant les différents types de données ?
Cliquez sur les sections ci-dessous pour les développer ou les réduire.
Collecte des donnéesLe terme "Collecte" désigne la transmission des données de l'application depuis l'appareil d'un utilisateur. Veuillez prendre note des points suivants :
- Bibliothèques et SDK : les données utilisateur sont ici transmises depuis un appareil à partir de votre application par des bibliothèques et/ou des SDK utilisés dans votre application, qu'elles soient transmises à vous ou à un serveur tiers.
- WebView : les données utilisateur sont ici collectées à partir d'une WebView ouverte depuis votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView.
- Vous n'avez pas besoin de déclarer la collecte de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.
- Traitement éphémère : les données utilisateur transmises depuis l'appareil et traitées de manière éphémère doivent être mentionnées dans le formulaire. Toutefois, si elles respectent la norme ci-dessous, elles ne seront pas déclarées dans la section Sécurité des données de votre application sur Google Play.
- Traiter des données de façon "éphémère" consiste à accéder aux données et à les utiliser alors qu'elles ne sont conservées en mémoire que le temps de répondre en temps réel à une demande précise.
- Prenons l'exemple d'une application météo qui transmet la position de l'utilisateur depuis l'appareil afin de récupérer les informations sur la météo actuelle pour cette position. L'application n'utilise que les données de localisation en mémoire et ne les conserve pas une fois la demande traitée. Dans ce cas, l'utilisation provisoire de la position est considérée comme éphémère. Cependant, utiliser des données pour créer des profils publicitaires ou d'autres profils utilisateur ne peut pas être considéré comme une activité éphémère. Cette utilisation doit donc être déclarée comme une activité de collecte ou de partage pour les finalités appropriées.
- Données pseudonymes : les données utilisateur collectées de manière pseudonyme doivent être déclarées. Par exemple, les données qui peuvent raisonnablement être réassociées à un utilisateur doivent être déclarées.
Cas où la déclaration de collecte des données n'est pas nécessaire
Dans les cas d'utilisation suivants, les données n'ont pas besoin d'être déclarées en tant que données collectées :
- Accès/Traitement sur l'appareil : les données utilisateur auxquelles votre application accède, qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui n'ont pas été envoyées depuis l'appareil, n'ont pas besoin d'être déclarées.
- Chiffrement de bout en bout : les données utilisateur envoyées depuis l'appareil, mais que vous ou toute personne autre que l'expéditeur et le destinataire ne pouvez pas lire en raison d'un chiffrement de bout en bout, n'ont pas besoin d'être déclarées.
- Les données chiffrées ne doivent pas pouvoir être lues par une entité intermédiaire, y compris le développeur. Seuls l'expéditeur et le destinataire peuvent disposer des clés nécessaires.
Le terme "Partage" désigne le transfert des données utilisateur collectées depuis votre application vers un tiers. Cela inclut les données utilisateur transférées dans les cas suivants :
- Transfert depuis l'appareil, comme dans le cas de transferts entre serveurs , par exemple si vous transférez des données utilisateur collectées par votre application depuis votre serveur vers un serveur tiers.
- Transfert sur l'appareil vers une autre application, c'est-à-dire transfert de données utilisateur depuis votre application vers une autre application directement sur l'appareil. Dans ce cas, vous devez déclarer le partage des données dans la section Sécurité des données, même si votre application ne les transmet pas en dehors de l'appareil de l'utilisateur.
- Transfert depuis des bibliothèques et des SDK de votre application, c'est -à-dire transfert de données collectées par votre application depuis l'appareil de l'utilisateur directement vers un tiers via les bibliothèques et/ou les SDK inclus dans votre application.
- Transfert depuis une WebView qui a été ouverte via votre application, c'est-à-dire transfert de données utilisateur vers un tiers via une WebView ouverte à partir de votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView.
- Vous n'avez pas besoin de déclarer le partage de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.
Le transfert des données ne doit pas être déclaré comme "partage" dans les cas suivants :
- Fournisseurs de services : transfert de données utilisateur à un "fournisseur de services" qui les traite pour le compte du développeur.
- Motifs juridiques : transfert de données utilisateur à des fins juridiques particulières, par exemple en réponse à une obligation légale ou à des demandes gouvernementales.
- Action déclenchée par l'utilisateur, ou communiqué visible et consentement de l'utilisateur : transfert de données utilisateur à un tiers en fonction d'une action spécifique déclenchée par l'utilisateur, lorsque celui-ci peut raisonnablement s'attendre à ce qu'elles soient partagées, ou conformément à un communiqué visible et à une demande de consentement dans l'application conformes aux exigences décrites dans nos Règles sur les données utilisateur.
- Données anonymes : transfert de données utilisateur entièrement anonymisées afin qu'elles ne puissent plus être associées à un utilisateur individuel.
- Le terme "Propriétaire" désigne l'organisation principale responsable du traitement des données collectées par l'application. Il s'agit généralement de l'organisation qui publie l'application sur Google Play et qui figure sur la fiche Play Store.
- Elle est tenue d'indiquer aux utilisateurs de façon raisonnablement claire quelle est l'organisation principale responsable du traitement des données collectées par l'application.
- Le terme "Tiers" désigne toute organisation autre que le propriétaire ou ses fournisseurs de services.
Vous pouvez également indiquer si chaque type de données collectées par votre application est "facultatif" ou "obligatoire". "Facultatif" inclut la possibilité d'activer ou de désactiver la collecte des données. Par exemple, vous pouvez déclarer un type de données comme "facultatif" lorsque l'utilisateur peut contrôler la collecte et se servir de l'application sans fournir ses données, ou bien lorsqu'il peut choisir manuellement de fournir ou non ce type de données. Si la fonctionnalité principale de votre application nécessite ce type de données, vous devez déclarer ces données comme "obligatoires".
Vous ne pouvez déclarer que votre application collecte certaines données de façon facultative que si tous les utilisateurs, quels que soient leur appareil et leur région, peuvent choisir de fournir ou non des informations, et activer ou désactiver la collecte des données.
Exemples de collecte facultative de données :
- Application de réseaux sociaux qui demande la date de naissance d'un utilisateur à des fins de communication marketing, mais sans que cette information soit obligatoire (l'utilisateur peut s'inscrire sans donner ce renseignement)
- Données utilisateur collectées uniquement quand l'utilisateur se connecte, s'il n'est pas obligé de se connecter pour se servir de l'application
La section Sécurité des données vous permet également de présenter aux utilisateurs les pratiques de votre application en termes de confidentialité et de sécurité. Par exemple, vous pouvez mettre en avant les informations suivantes :
- Chiffrement des données lors de leur transfert : les données utilisateur que collecte ou partage votre application sont-elles chiffrées lors de leur transfert entre l'appareil de l'utilisateur final et le serveur ?
- Certaines applications sont conçues pour permettre aux utilisateurs de transférer leurs données vers un autre site ou service. Par exemple, une application de messagerie peut offrir aux utilisateurs la possibilité d'envoyer un SMS via leur opérateur mobile, ce qui permet différentes pratiques de chiffrement. Dans la section Sécurité des données de ces applications, il peut être indiqué que les données sont transférées via une connexion sécurisée tant que les normes du secteur sont respectées pour chiffrer efficacement les données pendant leur transfert entre l'appareil de l'utilisateur et les serveurs qu'utilisent ces applications.
- Mécanisme de demande de suppression : votre application permet-elle aux utilisateurs de demander la suppression de leurs données ?
Les applications destinées aux enfants doivent respecter les Règles pour les contenus familiaux de Google Play. Si votre application appartient à cette catégorie et que vous avez vérifié qu'elle respecte les règles pour les contenus familiaux, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, pour indiquer que vous vous êtes "engagé à respecter les règles pour les contenus familiaux de Play".
Pour afficher le badge, accédez à la section "Pratiques de sécurité" du formulaire Sécurité des données, puis cliquez sur Accéder à la page "Cible et contenu" pour l'activer.
Dans votre formulaire Sécurité des données, vous pouvez choisir de déclarer que votre application a été validée par un organisme indépendant selon une norme de sécurité mondiale. Il s'agit d'un examen facultatif effectué et payé par les développeurs. Dans le cadre de l'évaluation de la sécurité des applications mobiles MASA (Mobile Application Security Assessment), les développeurs peuvent collaborer directement avec un laboratoire agréé par Google pour faire évaluer leurs applications au regard de la norme MASVS (Mobile Application Security Verification Standard) de l'OWASP. L'organisation tierce qui effectue les examens le fait pour le compte du développeur.
Si vous êtes intéressé, vous pouvez contacter directement un laboratoire agréé par Google pour lancer la procédure de test. Une fois que le laboratoire a vérifié que votre application répond à toutes les exigences de sécurité, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, indiquant qu'un examen de sécurité indépendant a été effectué.
Les laboratoires agréés disposent d'un site dédié pour tester la sécurité des applications mobiles. Ils offrent une solide expérience et des fonctionnalités exhaustives de test de la sécurité. Ces laboratoires respectent la norme ISO 17025 ou une norme équivalente reconnue dans le secteur. Si vous répondez à ces critères et souhaitez devenir un laboratoire partenaire, remplissez et envoyez ce formulaire.
Important : Il est possible que cet examen indépendant ne vérifie pas l'exactitude ni l'exhaustivité de vos déclarations sur la sécurité des données. Même si vous utilisez des outils tiers pour diagnostiquer les contrôles de sécurité de votre application, vous restez seul responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play.
L'Unified Payments Interface (UPI) est un système de transfert d'argent instantané développé par la National Payments Corporation of India (NPCI), une entité régie par la RBI. Si vous utilisez actuellement ce système de transfert d'argent, vous pouvez choisir de le déclarer dans votre formulaire Sécurité des données. Si vous souhaitez participer au programme ou si vous avez des questions, vous pouvez contacter directement la NPCI pour connaître les critères d'éligibilité pour l'accréditation de votre application. Les applications qui bénéficient de cette accréditation peuvent afficher un badge sur leur fiche Play Store confirmant que la NPCI a validé l'implémentation de l'UPI dans cette application. Le badge indique "Propose des paiements via UPI" et n'est pas visible par les utilisateurs, sauf si vous activez cette option dans le formulaire Sécurité des données de la Play Console. Le badge n'est visible que par les utilisateurs de Google Play résidant en Inde.
Types de données et objectifs
Cliquez sur les sections ci-dessous pour les développer ou les réduire.
Types de donnéesLes développeurs seront invités à fournir des informations sur la collecte, le partage et d'autres pratiques pour divers types de données utilisateur, ainsi que sur les objectifs visés par l'utilisation de ces données.
| Catégorie | Type de données | Description |
|
Position |
Position approximative |
Position physique de l'utilisateur ou de l'appareil dans une zone supérieure ou égale à 3 km², par exemple la ville où se trouve l'utilisateur, ou la position fournie par l'autorisation ACCESS_COARSE_LOCATION d'Android. |
|
Position exacte |
Position physique de l'utilisateur ou de l'appareil dans une zone inférieure à 3 km², par exemple la position fournie par l'autorisation ACCESS_FINE_LOCATION d'Android. | |
| Informations personnelles | Nom | Nom que se donne un utilisateur, par exemple son prénom, son nom ou son pseudo. |
| Adresse e-mail | Adresse e-mail d'un utilisateur. | |
|
ID utilisateur |
Identifiants associés à une personne identifiable. Par exemple, un ID de compte, un numéro de compte ou un nom de compte. | |
|
Adresse |
Adresse d'un utilisateur (adresse postale ou adresse du domicile, par exemple). | |
|
Numéro de téléphone |
Numéro de téléphone de l'utilisateur. | |
|
Origines raciales ou ethniques |
Informations sur l'origine raciale ou ethnique d'un utilisateur. | |
|
Convictions politiques ou religieuses |
Informations sur les convictions politiques ou religieuses d'un utilisateur. | |
|
Orientation sexuelle |
Informations concernant l'orientation sexuelle de l'utilisateur. | |
|
Autres infos |
Toute autre information personnelle, telle que la date de naissance, l'identité de genre, le statut d'ancien combattant, etc. |
|
|
Informations financières |
Infos de paiement de l'utilisateur |
Informations sur les comptes financiers d'un utilisateur, par exemple le numéro de carte de crédit. |
|
Historique des achats |
Informations sur les achats ou transactions d'un utilisateur. | |
|
Cote de crédit |
Informations sur la cote de crédit d'un utilisateur. | |
|
Autres infos financières |
Toute autre information financière, par exemple le salaire ou les dettes d'un utilisateur. | |
|
Forme et santé |
Infos sur la santé |
Informations sur la santé d'un utilisateur (par exemple, dossier médical ou symptômes). |
|
Infos sur l'activité physique |
Informations sur la forme physique d'un utilisateur (par exemple, exercices ou autres activités physiques). | |
|
Messages |
E-mails |
E-mails d'un utilisateur (ligne d'objet, expéditeur, destinataires et contenu). |
|
SMS ou MMS |
SMS d'un utilisateur (expéditeur, destinataires et contenu). | |
|
Autres messages dans l'application |
Tous les autres types de messages. Par exemple, messages instantanés ou contenus de chat. | |
|
Photos et vidéos |
Photos |
Photos d'un utilisateur. |
|
Vidéos |
Vidéos d'un utilisateur. | |
|
Fichiers audio |
Enregistrements audio ou vidéo |
Voix de l'utilisateur (par exemple, message vocal ou enregistrement audio). |
|
Fichiers musicaux |
Fichiers musicaux d'un utilisateur. | |
|
Autres fichiers audio |
Tout autre fichier audio créé ou fourni par l'utilisateur. | |
|
Fichiers et documents |
Fichiers et documents |
Fichiers ou documents d'un utilisateur, ou informations sur ses fichiers ou documents (noms de fichier, par exemple). |
|
Agenda |
Événements d'agenda |
Informations contenues dans l'agenda d'un utilisateur (événements, notes d'événement et participants, par exemple). |
|
Contacts |
Contacts |
Informations sur les contacts de l'utilisateur (nom des contacts, historique des messages et informations des graphes sociaux comme les noms d'utilisateur, la récence et la fréquence des contacts, la durée des interactions, et l'historique des appels, par exemple). |
|
Activité dans les applications |
Interactions avec l'appli |
Informations sur la manière dont un utilisateur interagit avec l'application. Par exemple, le nombre de fois où il consulte une page ou les sections sur lesquelles il appuie. |
|
Historique des recherches dans une appli |
Informations sur ce qu'a recherché un utilisateur dans votre application. | |
|
Applications installées |
Informations concernant les applications installées sur l'appareil d'un utilisateur. | |
|
Autre contenu généré par l'utilisateur |
Tout autre contenu généré par l'utilisateur qui n'est pas listé ici ni dans une autre section. Par exemple, les biographies, les notes ou les réponses ouvertes de l'utilisateur. | |
|
Autres actions |
Toute autre activité ou action de l'utilisateur effectuée dans une application et non listée ici, par exemple les actions dans les jeux, les clics sur "J'aime" et les options des boîtes de dialogue. | |
|
Navigation sur le Web |
Historique de navigation Web |
Informations sur les sites Web consultés par un utilisateur. |
|
Infos et performance des applis |
Journaux de plantage |
Données du journal des plantages de votre application. Par exemple, nombre de plantages de votre application, traces de la pile ou autres informations liées directement à un plantage. |
|
Diagnostics |
Informations sur les performances de votre application. Par exemple, autonomie de la batterie, temps de chargement, latence, fréquence d'images ou diagnostics techniques. | |
|
Autres données de performance de l'appli |
Toute autre donnée sur les performances de l'application non listée ici. | |
|
Appareil ou autres ID |
Appareil ou autres ID |
Identifiants associés à un appareil, à un navigateur ou à une application donnés. Par exemple, code IMEI, adresse MAC, ID d'appareil Widevine, ID d'installation Firebase ou identifiant publicitaire. |
| Finalité des données | Description | Exemple |
| Fonctionnement de l'application | Données utilisées pour les fonctionnalités disponibles dans l'application | Par exemple, pour activer les fonctionnalités de l'application ou authentifier les utilisateurs. |
| Analyse |
Données utilisées pour collecter des données sur les performances de votre application ou la façon dont les utilisateurs s'en servent |
Par exemple, pour savoir combien d'entre eux utilisent une fonctionnalité précise, pour surveiller l'état de l'application, pour identifier et corriger des bugs ou des plantages, ou pour améliorer les performances par la suite. |
| Communications du développeur | Données utilisées pour envoyer des informations ou des notifications sur l'application ou le développeur | Par exemple, pour envoyer une notification push qui informe les utilisateurs d'une importante mise à jour de sécurité ou de l'ajout de fonctionnalités à l'application. |
| Publicité ou marketing | Données utilisées pour afficher ou cibler des annonces ou des communications marketing, ou pour mesurer les performances des annonces | Par exemple, pour afficher des annonces dans votre application, partager des données avec des partenaires publicitaires ou envoyer des notifications push dans le but de promouvoir d'autres produits ou services. |
| Prévention des fraudes, sécurité et conformité |
Données utilisées pour prévenir les fraudes, assurer la sécurité ou respecter les lois |
Par exemple, pour surveiller les tentatives de connexion qui ont échoué, dans le but d'identifier une éventuelle activité frauduleuse. |
| Personnalisation | Données utilisées pour personnaliser votre application en recommandant des contenus ou en faisant des suggestions, par exemple |
Par exemple, pour suggérer des playlists d'après les habitudes d'écoute de l'utilisateur ou diffuser les actualités locales en fonction de sa position. |
| Gestion du compte | Données utilisées par le développeur pour configurer ou gérer le compte d'un utilisateur. | Par exemple, pour permettre à l'utilisateur de créer un compte ou d'ajouter des informations à un compte que le développeur lui fournit dans ses différents services, de se connecter à l'application ou de valider ses identifiants. |
Remplir le formulaire Sécurité des données dans la Play Console
Vous pouvez nous présenter les pratiques de confidentialité et de sécurité de votre application dans le formulaire Sécurité des données disponible sur la page Contenu de l'application dans la Play Console.
Présentation
Tout d'abord, nous vous demanderons si votre application collecte ou partage certains types de données utilisateur. Indiquez-nous si elle collecte ou partage l'un des types de données utilisateur obligatoires. Le cas échéant, nous vous poserons quelques questions sur vos pratiques de confidentialité et de sécurité. Si vous n'êtes pas sûr de savoir y répondre, vous pouvez enregistrer le formulaire en tant que brouillon à tout moment et y revenir plus tard.
Ensuite, répondez aux questions sur chaque type de données utilisateur. Si votre application collecte ou partage l'un des types de données utilisateur obligatoires, nous vous demanderons de les sélectionner. Pour chaque type de données, vous devrez répondre à des questions sur leur utilisation et leur traitement.
Avant d'envoyer le formulaire, vous aurez un aperçu de ce que les utilisateurs verront sur votre fiche Play Store. Lors de l'examen de votre application, Google examinera les informations que vous aurez fournies une fois le formulaire transmis.
Cet examen ne vise pas à vérifier l'exactitude ni l'exhaustivité de vos déclarations sur la sécurité des données. S'il est possible que nous détections des incohérences dans vos déclarations et que nous prenions alors les mesures appropriées, il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire Sécurité des données. Vous seul êtes responsable de fournir des déclarations complètes et exactes dans vos fiches Play Store sur Google Play.
Remplir et envoyer votre formulaire
Lorsque vous êtes prêt, remplissez et envoyez le formulaire Sécurité des données dans la Play Console :
- Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
- Sous "Sécurité des données", sélectionnez Commencer.
- Avant de commencer à remplir le formulaire, consultez la section "Présentation". Vous y trouverez des informations concernant les questions qui vous seront posées et les renseignements que vous devrez fournir. Une fois que vous aurez lu cette section et que vous serez prêt à commencer, sélectionnez Suivant pour passer à la section suivante.
- Dans la section "Collecte des données et sécurité", consultez la liste des types de données utilisateur obligatoires que vous devez déclarer. Si votre application collecte ou partage l'un des types de données utilisateur obligatoires, sélectionnez Oui. Sinon, sélectionnez Non.
- Si vous avez sélectionné "Oui", confirmez les points suivants en répondant Oui ou Non :
- Les données utilisateur que collecte votre application sont-elles toutes chiffrées lors de leur transit ?
- Proposez-vous aux utilisateurs un moyen de demander la suppression de leurs données ?
- Sélectionnez Suivant pour passer à la section suivante.
- Dans la section "Types de données", sélectionnez tous les types de données utilisateur que collecte ou partage votre application. Lorsque vous avez terminé, sélectionnez Suivant pour passer à la section suivante. Pour remplir cette section, suivez les consignes ci-dessus sur la collecte et le partage de données.
- Dans la section "Utilisation et traitement des données", répondez aux questions sur l'utilisation et le traitement pour chaque type de données utilisateur que votre application collecte ou partage. À côté de chaque type de données utilisateur, sélectionnez Commencer pour répondre aux questions. Lorsque vous avez terminé, sélectionnez Suivant pour passer à la section suivante.
- Remarque : Pour modifier les types de données utilisateur sélectionnés, revenez à l'étape précédente et modifiez votre choix.
- Lorsque vous avez répondu à toutes les questions, la section "Aperçu de la fiche Play Store" contient les informations qui seront présentées aux utilisateurs sur Google Play en fonction des réponses que vous avez fournies dans le formulaire. Vérifiez ces informations.
- Si vous êtes prêt à envoyer le formulaire, sélectionnez Envoyer. Si vous voulez revenir en arrière pour effectuer des changements, sélectionnez Retour et modifiez vos réponses. Si vous avez des doutes, vous pouvez sélectionner Enregistrer comme brouillon et revenir au formulaire plus tard. Si vous sélectionnez Ignorer les modifications, vous devrez recommencer à remplir le formulaire.
Importer ou exporter vos réponses aux questions du formulaire
Vous pouvez exporter vos réponses aux questions du formulaire au format CSV. Vous avez également la possibilité de télécharger un modèle de fichier CSV, de remplir le formulaire hors connexion, puis d'importer le formulaire complété depuis le fichier CSV.
Cliquez ici pour télécharger un modèle de fichier CSV.
Comprendre le format CSVLe fichier CSV contient une ligne par réponse. Les réponses aux questions à choix multiples et à choix unique s'étendent sur plusieurs lignes, correspondant au nombre de choix disponibles. Pour répondre à une question, saisissez TRUE ou FALSE dans la cellule correspondante de la colonne "Valeur de la réponse". Vous pouvez également ne pas renseigner la cellule si la question est facultative ou si vous répondez à une question à choix multiples. La colonne "Réponse requise" indique si la réponse est obligatoire ou non. Les valeurs possibles sont les suivantes :
- OPTIONAL : réponse facultative. La cellule peut être laissée vide.
- REQUIRED : réponse obligatoire. Vous devez fournir une valeur de réponse.
- MULTIPLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à au moins une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
- SINGLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à l'une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
- MAYBE_REQUIRED : obligatoire uniquement lorsque certaines conditions sont remplies, par exemple en fonction de votre réponse à une question précédente.
Dans le tableau ci-dessous, vous trouverez un exemple pour les sections "Nom" et "Position approximative" du formulaire Sécurité des données. Il contient les éléments suivants :
- Une question à choix multiples
- Une question obligatoire
- Une question facultative
|
ID de la question |
Réponse (lisible par un ordinateur) |
Valeur de la réponse | Réponse requise | Question lisible par l'utilisateur |
|---|---|---|---|---|
|
PSL_DATA_ TYPES_ PERSONAL |
PSL_NAME | TRUE | MULTIPLE_ CHOICE |
Informations personnelles Nom |
| … | ||||
|
PSL_DATA_ TYPES_ LOCATION |
PSL_ APPROX_ LOCATION |
TRUE | MULTIPLE_ CHOICE |
Position Position approximative |
| … | ||||
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: PSL_DATA_USAGE_ COLLECTION_AND_ SHARING |
PSL_DATA_ USAGE_ONLY_ COLLECTED |
TRUE |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Ces données sont-elles collectées, partagées ou les deux ? Collectées |
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: PSL_DATA_USAGE_ COLLECTION_AND_ SHARING |
PSL_DATA_ USAGE_ONLY_ SHARED |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Ces données sont-elles collectées, partagées ou les deux ? Partagées |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: PSL_DATA_USAGE_ EPHEMERAL |
TRUE |
MAYBE_ REQUIRED |
Utilisation et traitement des données (nom) Ces données sont-elles traitées de manière éphémère ? |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_USER_ CONTROL |
PSL_DATA_ USAGE_USER_ CONTROL_ OPTIONAL |
TRUE |
SINGLE_ CHOICE |
Utilisation et traitement des données (nom) Ces données sont-elles requises pour votre application, ou les utilisateurs peuvent-ils décider qu'elles soient collectées ou non ? Les utilisateurs peuvent choisir si ces données sont collectées ou non |
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_USER_ CONTROL |
PSL_DATA_ USAGE_USER_ CONTROL_ REQUIRED |
SINGLE_ CHOICE |
Utilisation et traitement des données (nom) Ces données sont-elles requises pour votre application, ou les utilisateurs peuvent-ils décider qu'elles soient collectées ou non ? La collecte de données est obligatoire (les utilisateurs ne peuvent pas désactiver cette collecte) |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_APP_ FUNCTIONALITY |
TRUE |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Fonctionnement de l'application |
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_ANALYTICS | TRUE |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Analyse |
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_DEVELOPER_ COMMUNICATIONS |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Communications du développeur |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_FRAUD_ PREVENTION_ SECURITY |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Prévention des fraudes, sécurité et conformité |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_ADVERTISING |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Publicité ou marketing |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_ PERSONALIZATION |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Personnalisation |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ COLLECTION_ PURPOSE |
PSL_ACCOUNT_ MANAGEMENT |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles. Gestion des comptes |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_APP_ FUNCTIONALITY |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Fonctionnement de l'application |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_ANALYTICS |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Analyse |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_DEVELOPER_ COMMUNICATIONS |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Communications du développeur |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_FRAUD_ PREVENTION_ SECURITY |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Prévention des fraudes, sécurité et conformité |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_ ADVERTISING |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Publicité ou marketing |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_ PERSONALIZATION |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Personnalisation |
|
|
PSL_DATA_USAGE_ RESPONSES: PSL_NAME: DATA_USAGE_ SHARING_ PURPOSE |
PSL_ACCOUNT_ MANAGEMENT |
MULTIPLE_ CHOICE |
Utilisation et traitement des données (nom) Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles. Gestion des comptes |
- Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
- Sous "Sécurité des données", sélectionnez Commencer.
- En haut à droite de la page, sélectionnez Exporter au format CSV.
Important : Les réponses déjà saisies dans votre formulaire seront écrasées lorsque vous importerez un fichier CSV.
- Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
- Sous "Sécurité des données", sélectionnez Commencer.
- En haut à droite de la page, sélectionnez Importer le fichier CSV.
Après avoir envoyé votre formulaire Sécurité des données
Lors de l'examen de votre application, Google examinera les informations que vous aurez fournies une fois le formulaire transmis.
Vous pourrez continuer à publier des mises à jour de votre application jusqu'au 20 juillet 2022, que nous découvrions des problèmes avec les informations que vous avez déclarées ou non. Si nous ne détectons pas de problème, votre application sera approuvée et vous n'aurez rien à faire. Sinon, vous devrez rétablir l'état "Brouillon" pour votre formulaire Sécurité des données dans la Play Console pour publier la mise à jour de votre application. Nous enverrons également un e-mail au titulaire du compte de développeur ainsi qu'un message dans la boîte de réception de la Play Console. De plus, nous afficherons ces informations sur la page État de conformité avec les règles (Règles > État de conformité avec les règles).
À compter du 20 juillet 2022, vous devrez avoir rempli un formulaire Sécurité des données exact déclarant vos pratiques en termes de collecte et de partage de données pour toutes vos applications (y compris celles qui ne collectent aucune donnée utilisateur).
Format facultatif pour les SDK
Si vous êtes un fournisseur de SDK, vous pouvez cliquer sur la section ci-dessous. Vous y découvrirez le format facultatif que vous pouvez utiliser pour publier des conseils destinés à vos utilisateurs.
Les développeurs sont tenus de communiquer les pratiques de collecte, de partage et de sécurité des données de leur application dans la nouvelle section sur la sécurité des données de Google Play. Afin que les développeurs puissent améliorer la transparence sur les données utilisateur et sur la sécurité, voici quelques conseils pour publier des consignes concernant les SDK à l'attention des développeurs qui intègrent votre SDK dans leurs applications.
Google Play met cette structure facultative à la disposition des développeurs de SDK, mais vous pouvez vous servir du format qui vous convient ou n'en choisir aucun, selon les besoins de vos utilisateurs.
Format facultatif pour les SDK| [Nom du SDK] |
| SDK/Fonctionnalité du SDK susceptible de collecter ou de partager des données |
|
Type de données que le SDK collecte ou auquel il accède Remarque : Nous vous recommandons de fournir des informations techniques exactes pour aider vos clients à déterminer quelles définitions de la section sur la sécurité des données de Google Play concernant les types de données s'appliquent aux données que votre SDK collecte. Il se peut que vous préfériez, dans certains cas, utiliser une définition de la section sur la sécurité des données (par exemple, "position approximative"), car le type de données applicable est clair et ne dépend pas de facteurs extérieurs. Dans d'autres cas, la définition du type de données peut dépendre de la façon dont les données sont utilisées après leur collecte ou de la manière dont le développeur interprète les définitions de la section sur la sécurité des données de Play. Par exemple, les adresses IP peuvent être utilisées pour déterminer la position ou pour extraire des identifiants, ou pour de nombreuses autres fins, en fonction de la nature du SDK, de son implémentation par une application donnée ou d'autres facteurs. Remarque : Les développeurs n'ont pas besoin de déclarer l'accès aux données en tant que collecte si l'accès se fait uniquement sur l'appareil de l'utilisateur, à condition que les données ne soient jamais transmises en dehors de celui-ci. |
|
Pour chaque type de données listé :
|
|
Notes au niveau de l'application [remplissez la section pour toutes les données collectées ou partagées] |
|
Questions fréquentes
Envoi et examen des applications
Que faire si j'ai besoin de plus de temps pour me conformer aux nouvelles exigences ?Vous pouvez envoyer les formulaires Sécurité des données dans la Play Console depuis octobre. Vous bénéficiez d'un délai de grâce jusqu'au 20 juillet 2022, ce qui devrait être suffisant. À ce stade, nous n'avons pas l'intention de prolonger ce délai.
Pour faire simple, oui. Vous devez fournir des informations précises qui reflètent les pratiques de votre application concernant la collecte et la gestion des données. Vous êtes responsable des informations que vous fournissez. Google Play vérifie que les applications respectent toutes les exigences du règlement. Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire Sécurité des données.
Si nous constatons que vous n'avez pas fourni des données exactes et que vous ne respectez pas le règlement, nous vous demanderons de corriger le problème. Les applications qui ne sont pas conformes feront l'objet de mesures. Par exemple, nous les supprimerons de Google Play ou bloquerons leurs mises à jour.
Une fois que vous avez envoyé une nouvelle application ou la mise à jour d'une application existante dans la Play Console, cela peut prendre un certain temps avant qu'elle ne soit traitée pour une publication standard sur Google Play. Certaines applications peuvent faire l'objet d'un examen plus approfondi, ce qui peut étendre le délai à sept jours (voire plus dans certains cas exceptionnels).
Les mises à jour d'application et les nouvelles applications doivent respecter le Règlement du programme Google Play pour les développeurs. Pour voir si l'application ou la mise à jour que vous avez envoyée est toujours en attente d'examen, vous pouvez consulter la page Vue d'ensemble de la publication dans la Play Console.
Si votre dernière mise à jour est prête et que vous ne voyez toujours pas le formulaire de la section Sécurité des données sur Google Play, vous pouvez vérifier si la publication gérée est activée dans la Play Console. Si la publication gérée est activée, votre version n'est pas disponible tant que vous ne l'avez pas publiée. Vous pouvez déployer votre version depuis la page "Vue d'ensemble de la publication". Une fois approuvée, l'application ou la mise à jour envoyée sera publiée et disponible rapidement sur Google Play.
Si vous avez modifié le contenu de la section Sécurité des données, mais que vous ne voyez pas les dernières modifications que vous avez apportées sur Google Play, essayez d'actualiser la page de l'application. Notez qu'en raison de la connectivité des appareils et de la charge fluctuante du serveur, il peut s'écouler plusieurs jours (dans certains cas, jusqu'à sept jours) avant qu'une mise à jour de l'application ne soit appliquée à tous les appareils. Nous vous remercions de votre patience pendant que Google Play enregistre et publie la mise à jour de votre application.
Nous sommes ravis de constater que vous avez bien en main la gestion des données de votre application. Dans le formulaire Sécurité des données, vous devez fournir des informations supplémentaires et différentes que vous n'avez peut-être pas utilisées auparavant. Attendez-vous donc à ce que cela représente une certaine quantité de travail pour votre équipe. La classification et le cadre de la section Sécurité des données sur Google Play peuvent être sensiblement différents de ceux d'autres plates-formes de téléchargement d'applications.
Comme pour les règles de confidentialité ou les informations sur les applications (captures d'écran et descriptions, par exemple), les développeurs sont responsables des informations qu'ils déclarent dans la section Sécurité des données. Conformément au Règlement sur les données utilisateur de Google Play, les développeurs sont tenus de communiquer des informations exactes. Si nous constatons qu'un développeur ne nous a pas fourni des données exactes et qu'il ne respecte pas le règlement, nous lui demandons de corriger le problème. Les applications qui ne sont pas conformes feront l'objet de mesures.
Les utilisateurs de Google Play doivent avoir l'assurance que leurs données sont en sécurité. Nous publions constamment de nouvelles fonctionnalités et règles pour protéger la vie privée des utilisateurs et faire de Google Play un endroit sûr qui est ouvert à tous. Certaines des nouvelles règles et fonctionnalités de Google Play offrent aux utilisateurs davantage de contrôle et de transparence. D'autres permettent aux développeurs de n'accéder aux données à caractère personnel que lorsque cela s'avère nécessaire pour l'utilisation principale de l'application. Le règlement du programme Google Play pour les développeurs contient de nombreuses exigences en termes de contrôle et de transparence des données. Les applications qui ne respectent pas ce règlement feront l'objet de mesures.
Vous devez l'actualiser lorsque vous apportez des modifications pertinentes à la façon dont vous gérez les données dans votre application. Les réponses que vous fournissez dans le formulaire Sécurité des données doivent toujours être exactes et complètes.
La section Sécurité des données peut aider les utilisateurs à déterminer quelles applications ils souhaitent télécharger. Elle permet également aux développeurs de gagner leur confiance, de susciter leur intérêt et de leur apporter la certitude que leurs données seront traitées de façon responsable. Certains développeurs nous ont indiqué vouloir communiquer plus clairement à leurs utilisateurs la manière dont ils gèrent leurs données.
Remplir le formulaire Sécurité des données
Que se passe-t-il si mon application se comporte différemment selon les versions d'Android compatibles ?Google Play propose un formulaire Sécurité des données global et une section Sécurité des données sur la fiche Google Play Store par nom de package, qui est indépendante de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez ou associez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer sur le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.
Pour le moment, nous vous permettons de présenter globalement votre gestion des données par application. Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs. La section Sécurité des données explique aux utilisateurs de Google Play que les pratiques concernant la collecte et la sécurité des données d'une application peuvent varier selon un certain nombre de facteurs, comme la région.
Non, la section Sécurité des données ne figure que sur la fiche Play Store de votre application sur Google Play. Il n'y a aucun nouveau communiqué lors de l'installation de l'application ni aucune nouvelle demande de consentement de l'utilisateur liée à cette exigence. Les développeurs qui collectent des données utilisateur sensibles et à caractère personnel sont tenus d'implémenter des communiqués et des demandes de consentement dans l'application, conformément à la Règle sur les données utilisateur de Google Play.
Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Si une version de votre application nécessite de collecter certaines données, vous devez déclarer cette collecte comme obligatoire dans la section Sécurité des données. Vous ne devez pas décrire la collecte comme facultative si elle est requise pour une partie des utilisateurs de votre application. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.
Vous n'avez pas besoin de déclarer la collecte ou le partage de données, sauf si des données sont réellement collectées et/ou partagées. Votre application doit respecter l'intégralité du règlement du programme Google Play pour les développeurs, y compris la règle sur les autorisations et les API qui accèdent à des informations sensibles.
Si vous collectez volontairement un type de données lors de la collecte d'un autre, vous devez déclarer les deux. Par exemple, si vous collectez des photos d'utilisateurs et que vous vous en servez pour déterminer les caractéristiques de ces personnes (par exemple, leur origine ethnique), vous devez également indiquer que vous collectez des données sur leur origine ethnique.
La section Sécurité des données vous permet d'indiquer si vous proposez un mécanisme permettant à vos utilisateurs de demander la suppression de leurs données. Lorsque vous remplissez le formulaire Sécurité des données, vous devez préciser si vous fournissez un tel mécanisme.
Il n'y a pas de mécanisme prescrit. Toutefois, il est recommandé de faire en sorte que les utilisateurs puissent facilement voir ce mécanisme et y avoir accès. Par exemple, ce type de mécanisme (qui indique clairement comment les utilisateurs peuvent demander la suppression de leurs données) peut être, sans s'y limiter, une fonctionnalité intégrée à l'application, un formulaire de contact ou un alias d'adresse e-mail dédié.
Vous pouvez sélectionner le badge du mécanisme de demande de suppression dans le formulaire Sécurité des données :
- si vous proposez aux utilisateurs un tel mécanisme ou ;
- si vous lancez automatiquement la suppression ou l'anonymisation des données collectées dans les 90 jours suivant leur collecte.
Vous pouvez sélectionner ce badge même si vous devez conserver certaines données pour des raisons légitimes (que ce soit pour respecter les lois ou prévenir des abus).
Google Play propose un formulaire global Sécurité des données et une section Sécurité des données sur la fiche Google Play Store par nom de package. Vous devez y préciser comment sont gérées les données en fonction de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez et traitez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer dans le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play.
Il existe plusieurs méthodes pour rendre des données anonymes afin qu'elles ne puissent pas être associées à un utilisateur particulier. Nous vous conseillons de contacter vos spécialistes de la confidentialité et de la sécurité pour identifier les méthodes applicables à votre cas d'utilisation. À titre d'exemple, cette page présente certaines des méthodes d'anonymisation des données utilisées par Google, comme la confidentialité différentielle.
Comme pour tout autre type de données, vous devez indiquer que vous collectez, utilisez et partagez les adresses IP en fonction de leur utilisation et de leurs pratiques. Par exemple, si des développeurs se servent d'adresses IP pour déterminer la zone géographique, ils doivent déclarer ce type de données.
Comme pour tout autre type de données, vous devez indiquer que vous collectez, utilisez et partagez différents types d'identifiants en fonction de votre utilisation et de vos pratiques. Par exemple, la collecte du nom de compte associé à une personne identifiable doit être déclarée comme "Identifiant personnel", et la collecte de l'identifiant publicitaire Android d'un utilisateur doit être déclarée comme "Appareil ou autres identifiants". Autre exemple : il n'est pas nécessaire de déclarer comme "Appareil ou autres identifiants" un identifiant associé à un événement spécifique dans l'application, mais qui ne se rapporte pas raisonnablement à un appareil, à un navigateur ni à une application en particulier.
Comme indiqué ci-dessus, la collecte de données par pseudonymisation doit être divulguée dans votre formulaire, sous le type de données correspondant. Par exemple, si vous recueillez des informations de diagnostic avec un identifiant d'appareil, vous devez indiquer que vous collectez des données de type "Diagnostic" dans le formulaire Sécurité des données.
Un fournisseur de services ne peut que traiter les données utilisateur en votre nom. Par exemple, un fournisseur de solutions d'analyse qui traite les données utilisateur de votre application uniquement en votre nom ou un fournisseur cloud qui héberge les données utilisateur de votre application pour votre propre usage sera généralement considéré comme un "fournisseur de services". En revanche, si un fournisseur de SDK crée des profils publicitaires pour plusieurs clients à partir des données de votre application, il ne sera pas considéré comme un "fournisseur de services" pour la section Sécurité des données. Vous devez déclarer cette activité en tant que "partage" dans le formulaire Sécurité des données.
Tout dépend de la nature de l'intégration au service de paiement. Si votre application utilise un service de paiement tel que PayPal, Google Pay, le système de facturation de Google Play ou des services similaires pour effectuer des opérations de paiement, vous n'avez pas besoin de déclarer que le service de paiement collecte des données (par exemple, les numéros de carte de crédit) pour le traitement des transactions financières, sous réserve que les conditions suivantes soient remplies :
- Votre application n'accède jamais à ces informations.
- Le service de paiement collecte ces informations directement auprès de l'utilisateur, conformément aux conditions d'utilisation du service.
Examinez attentivement l'intégration de votre application au service de paiement et pensez à déclarer, dans la section Sécurité des données, toute activité de collecte et de partage de données pertinentes qui ne respecte pas ces conditions. Vous devez également déterminer si votre application collecte d'autres informations financières, telles que l'historique des achats, et si elle reçoit des données pertinentes du service de paiement, par exemple pour lutter contre la fraude et limiter les risques.
Cela dépend de l'implémentation choisie. Vous n'avez pas besoin de déclarer la collecte des données si les conditions suivantes sont remplies : l'utilisateur décide d'importer ses données directement sur un disque externe ou dans son compte de stockage cloud (Google Drive, Dropbox ou services similaires), l'importation est régie par les conditions d'utilisation et les règles de confidentialité du disque externe ou du fournisseur de stockage cloud, et votre application ne collecte jamais les données en question ni n'y accède.
Vous devez respecter les normes du secteur afin de chiffrer de manière sécurisée les données en transit de votre application. TLS (Transport Layer Security) et HTTPS sont les protocoles de chiffrement les plus courants.
Vous devez déclarer la collecte de ces données pour la gestion du compte et préciser, le cas échéant, si l'utilisateur peut décider qu'elles soient collectées ou non.
En outre, comme pour tous les types de données collectées par votre application, vous devez indiquer la nature des données collectées et les finalités pour lesquelles l'application utilise les données. Par exemple, si votre application permet à l'utilisateur d'ajouter une date de naissance à son compte et si elle se sert de ces données pour lui envoyer des notifications push en temps voulu, vous devez déclarer cette finalité en plus de la gestion du compte.
La gestion de compte couvre les utilisations générales des données du compte qui ne sont pas propres à l'application. Par exemple, si vous utilisez les informations du compte pour la prévention de la fraude, la publicité, le marketing ou les communications du développeur dans vos services et que cette utilisation ne concerne pas spécifiquement votre application ni les activités de celle-ci, déclarer la collecte des données du compte en tant qu'activité de "gestion de compte" suffit à couvrir ces utilisations générales dans la section Sécurité des données. Cependant, vous devez déclarer toutes les finalités pour lesquelles l'application elle-même utilise les données. Nous vous recommandons ainsi d'indiquer comment votre application traite les données utilisateur liées aux services associés au compte lors du processus d'inscription et dans la documentation au niveau du compte.
Les services système sont des logiciels préinstallés qui assurent le fonctionnement central du système. Ils peuvent faire l'objet d'une dérogation et ne pas figurer dans le formulaire Sécurité des données.
Vous pouvez vérifier l'état de votre formulaire sur la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Si les informations que vous avez envoyées sont conformes, une coche verte s'affiche dans la section Sécurité des données.
Remarque : nos règles s'appuient sur des systèmes et des processus qui sont constamment améliorés. Des applications précédemment approuvées pourront être refusées pour cause de non-conformité à la suite des modifications et des mises à jour des règles.
Google Play informera les développeurs de toute mise à jour. Vous pouvez consulter le Règlement sur les données utilisateur et cet article du centre d'aide pour vous assurer que vous connaissez les dernières recommandations.
Si cette utilisation est éphémère, vous n'avez pas besoin de l'indiquer dans votre formulaire. Cependant, vous devez déclarer toute utilisation de ces données utilisateur au-delà du traitement éphémère, y compris toutes les finalités pour lesquelles vous vous servez des données utilisateur consignées. Le concept de traitement éphémère est défini dans la section Collecte des données ci-dessus.
Google recueille des informations pour la liste des autorisations en fonction des autorisations indiquées au moment de l'installation déclarées dans le fichier manifeste d'une application.
La section Sécurité des données indique les données collectées par l'application et partagées avec des tiers.
Journal des modifications
Consultez cette section pour connaître l'historique des révisions de cet article et suivre les modifications apportées au fur et à mesure. Nous y ajouterons des entrées datées chaque fois que nous le modifierons de façon significative.
5 décembre 2023Nous avons ajouté une nouvelle section (Badge Unified Payments Interface (UPI)) dans la section Que doivent indiquer les développeurs dans le formulaire Sécurité des données ?
Nous avons modifié la section Quels développeurs doivent remplir le formulaire Sécurité des données dans la Play Console ? pour fournir des informations à jour sur les tests internes et les exigences concernant la section Sécurité des données. Nous avons également supprimé un passage à ce sujet de l'entrée du journal des modifications du 24 août 2022, car ces informations ne sont plus applicables et nous ne souhaitons pas créer de la confusion chez les développeurs qui recherchent des informations à ce propos.
Nous avons modifié l'article pour supprimer les références à des dates spécifiques. Ces références ont été initialement incluses (et régulièrement mises à jour) avant, pendant et après le lancement de la section Sécurité des données de la Play Console, afin d'aider les développeurs à comprendre les exigences à chaque instant. La section Sécurité des données étant désormais disponible sur Google Play, nous avons supprimé le calendrier d'origine et les références à des dates spécifiques.
Nous avons ajouté des informations supplémentaires au type de données "Interactions avec l'appli" (qui comprend désormais les "captures d'écran effectuées").
Nous avons mis à jour la section Quels développeurs doivent remplir le formulaire Sécurité des données dans la Play Console ? pour indiquer que, à compter du 24 octobre 2022, les canaux actifs dans les canaux de test internes sont dispensés de figurer dans la section Sécurité des données. Les applications exclusivement actives dans ce canal n'ont pas besoin de remplir la déclaration.
Dans la section "Préparer les informations", nous avons modifié un point du calendrier pour expliquer que les envois de nouvelles applications et les mises à jour d'applications non conformes feront l'objet d'avertissements indiquant que ces envois et mises à jour seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus. Nous avons également précisé ce qui se passera au terme de la période d'avertissement, le 22 août 2022.
Dans la section Que doivent indiquer les développeurs dans le formulaire Sécurité des données, nous avons apporté les modifications suivantes dans la sous-section Examen de sécurité indépendant (disponible pour toutes les applications) :
- Nous avons remplacé le titre "Examen de sécurité indépendant (fonctionnalité en version bêta à partir de mars 2022, bientôt en disponibilité générale)" par "Examen de sécurité indépendant (désormais disponible pour tous les développeurs), car cette fonctionnalité est maintenant disponible pour toutes les applications.
- Nous avons ajouté, dans la sous-section, des informations pour les développeurs qui souhaitent qu'un examen de sécurité indépendant soit effectué.
Nous avons apporté les modifications suivantes à la section Questions fréquentes :
- Nous avons modifié la réponse à la question "Suis-je obligé de fournir un mécanisme de suppression ? Doit-il s'appliquer à toutes les données utilisateur ?"
- Juste en dessous de cette question, nous avons également ajouté trois questions et réponses, où vous trouverez des informations plus détaillées sur les mécanismes de suppression des données et le formulaire Sécurité des données.
- Nous avons ajouté une nouvelle question concernant la différence entre la liste des autorisations et la section Sécurité des données d'une application. Nous avons supprimé une question concernant les applications ciblant les anciennes versions d'Android.
Dans la section Vue d'ensemble, nous avons ajouté une phrase encourageant les développeurs à consulter Google Play SDK Index pour savoir si leur fournisseur a indiqué un lien vers ses conseils. Pour en savoir plus, consultez l'article du centre d'aide Faire des choix éclairés avec Google Play SDK Index.
Dans la section Préparer les informations, nous avons ajouté une recommandation : regarder la vidéo Google Play PolicyBytes sur le formulaire Sécurité des données, qui présente toutes les ressources et étapes nécessaires pour remplir le formulaire Sécurité des données.
Dans la section Aperçu, nous avons ajouté une phrase encourageant certains développeurs à consulter les informations sur la sécurité des données, publiées par leurs fournisseurs de SDK (Firebase et AdMob, par exemple) pour en savoir plus.
Dans la section "Préparer les informations", nous avons modifié un point du calendrier (voir juillet 2022) afin d'indiquer que la mention "Aucune donnée disponible" que les utilisateurs verraient sur Google Play serait remplacée par "Aucune information disponible".
Dans la section Questions fréquentes, nous avons apporté les modifications suivantes :
- Nous avons ajouté une question sur les services système et la réponse correspondante.
- Nous avons ajouté une question et la réponse sur ce que vous pouvez faire si les dernières modifications que vous apportées dans la section Sécurité des données ne sont toujours pas affichées sur Google Play.
- Nous avons actualisé les réponses existantes concernant la gestion de compte et le délai d'affichage sur Google Play des modifications sur la sécurité des données.
Le 8 avril 2022, nous avons corrigé le nom du type de données "Photos et vidéos" (auparavant appelé "Photos ou vidéos").
Le 24 février 2022, nous avons apporté un certain nombre de modifications à cet article comme décrit ci-dessous.
Modification du calendrier
Nous avons actualisé le calendrier dans la section "Préparer les informations" :
- Nous avions annoncé que la section Sécurité des données serait disponible dans Google Play pour tous les utilisateurs à partir de février 2022. Cette échéance est reportée à fin avril 2022.
- Nous avions annoncé que les envois de nouvelles applications et les mises à jour d'application seraient refusés dans la Play Console à partir d'avril 2022 si les problèmes liés au formulaire n'étaient pas résolus. Cette échéance est reportée au 20 juillet 2022.
- Nous avions annoncé que d'autres mesures pourraient être prises par la suite pour les applications non conformes à partir d'avril 2022. Cette échéance est reportée après le 20 juillet 2022.
Nous avons actualisé les autres références aux dates dans l'article pour qu'elles correspondent aux nouvelles échéances indiquées ci-dessus.
Précisions concernant les informations que les développeurs doivent déclarer pour les différents types de données
Nous avons apporté les modifications suivantes dans la section "Que doivent spécifier les développeurs concernant les différents types de données ?", sous Que doivent indiquer les développeurs dans le formulaire Sécurité des données ? :
- Nous avons ajouté des instructions pour expliquer comment les développeurs qui se sont engagés à respecter les règles pour les contenus familiaux peuvent choisir d'afficher le badge "Familles" à compter du 1er mars 2022.
- Dans la section Autres mentions concernant les applications et les données, "Mécanisme de suppression" a été renommé "Mécanisme de demande de suppression".
- Nous avons également ajouté des informations plus détaillées sur cette fonctionnalité dans la section Examen de sécurité indépendant.
Modifications concernant les types de données et les finalités
Nous avons apporté quelques modifications mineures à l'intitulé des types de données :
- "Identifiants personnels" a été renommé "ID utilisateur".
- "Carte de crédit, carte de débit ou numéro de compte bancaire" a été renommé "Infos de paiement de l'utilisateur".
- "Informations sur le crédit" a été renommé "Cote de crédit".
- Nous avons ajouté l'exemple du salaire ou des dettes de l'utilisateur pour le type de données "Autres informations financières".
- "Informations sur la santé" a été renommé "Infos sur la santé".
- "Informations sur l'activité physique" a été renommé "Infos sur l'activité physique".
- The "SMS or MMS messages" data type was renamed "SMS or MMS."
- "Pages vues et appuis dans une application" a été renommé "Interactions avec l'appli". La description de ce type de données a également été mise à jour.
- Les descriptions des types de données "Autre contenu généré par l'utilisateur" et "Autres actions" ont été mises à jour.
- "Autres informations personnelles" a été renommé "Autres infos".
- "Appareil ou autres identifiants" a été renommé "Appareil ou autres ID".
Nous avons clarifié les finalités des données :
- L'exemple pour "Communications du développeur" a été mis à jour.
- L'exemple pour "Publicité ou marketing" a été mis à jour.
- L'exemple pour "Gestion du compte" a été mis à jour.
Autres modifications
Dans la section Aperçu, nous avons ajouté des images supplémentaires pour montrer ce que verront les utilisateurs si votre application ne partage aucune donnée utilisateur.
Nous avons ajouté des questions fréquentes, y compris sur la gestion des comptes, les actions des utilisateurs, l'utilisation de plates-formes de paiement et le chiffrement.
Nous avons mis à jour la définition du traitement éphémère dans la section Collecte des données et nous avons ajouté une question fréquente sur ce sujet.
Le 14 décembre 2021, nous avons mis à jour le type de données initialement intitulé "Orientation sexuelle et identité sexuelle". Ce type de données porte désormais le nom "Orientation sexuelle". Il ne fait référence qu'à l'orientation sexuelle.
Nous avons également modifié le type de données "Autres informations personnelles" afin d'inclure l'identité de genre comme exemple d'autres informations personnelles.
Autres ressources
- Pour découvrir plus en détail comment vérifier la façon dont votre application collecte et partage les données utilisateur, consultez le site pour les développeurs Android.
- Pour en savoir plus sur les bonnes pratiques et obtenir des conseils interactifs, consultez l'Academy for App Success.