Fournir les informations pour la section Sécurité des données de Google Play

Cette vidéo vous présente toutes les ressources et étapes nécessaires pour remplir le formulaire Sécurité des données.

Le terme "Collecte" désigne la transmission des données de l'application depuis l'appareil d'un utilisateur. Veuillez prendre note des points suivants :

• Bibliothèques et SDK : les données utilisateur sont ici transmises depuis un appareil à partir de votre application par des bibliothèques et/ou des SDK utilisés dans votre application, qu'elles soient transmises à vous ou à un serveur tiers.
• WebView : les données utilisateur sont ici collectées à partir d'une WebView ouverte depuis votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView.
  • Vous n'avez pas besoin de déclarer la collecte de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.
• Traitement éphémère : les données utilisateur transmises depuis l'appareil et traitées de manière éphémère doivent être mentionnées dans le formulaire. Toutefois, si elles respectent la norme ci-dessous, elles ne seront pas déclarées dans la section Sécurité des données de votre application sur Google Play.
  • Traiter des données de façon "éphémère" consiste à accéder aux données et à les utiliser alors qu'elles ne sont conservées en mémoire que le temps de répondre en temps réel à une demande précise.
  • Prenons l'exemple d'une application météo qui transmet la position de l'utilisateur depuis l'appareil afin de récupérer les informations sur la météo actuelle pour cette position. L'application n'utilise que les données de localisation en mémoire et ne les conserve pas une fois la demande traitée. Dans ce cas, l'utilisation provisoire de la position est considérée comme éphémère. Cependant, utiliser des données pour créer des profils publicitaires ou d'autres profils utilisateur ne peut pas être considéré comme une activité éphémère. Cette utilisation doit donc être déclarée comme une activité de collecte ou de partage pour les finalités appropriées.
• Données pseudonymes : les données utilisateur collectées de manière pseudonyme doivent être déclarées. Par exemple, les données qui peuvent raisonnablement être réassociées à un utilisateur doivent être déclarées.

Cas où la déclaration de collecte des données n'est pas nécessaire

Dans les cas d'utilisation suivants, les données n'ont pas besoin d'être déclarées en tant que données collectées :

• Accès/Traitement sur l'appareil : les données utilisateur auxquelles votre application accède, qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui n'ont pas été envoyées depuis l'appareil, n'ont pas besoin d'être déclarées.
• Chiffrement de bout en bout : les données utilisateur envoyées depuis l'appareil, mais que vous ou toute personne autre que l'expéditeur et le destinataire ne pouvez pas lire en raison d'un chiffrement de bout en bout, n'ont pas besoin d'être déclarées.
  • Les données chiffrées ne doivent pas pouvoir être lues par une entité intermédiaire, y compris le développeur. Seuls l'expéditeur et le destinataire peuvent disposer des clés nécessaires.

Le terme "Partage" désigne le transfert des données utilisateur collectées depuis votre application vers un tiers. Cela inclut les données utilisateur transférées dans les cas suivants :

• Transfert depuis l'appareil, comme dans le cas de transferts entre serveurs , par exemple si vous transférez des données utilisateur collectées par votre application depuis votre serveur vers un serveur tiers.
• Transfert sur l'appareil vers une autre application, c'est-à-dire transfert de données utilisateur depuis votre application vers une autre application directement sur l'appareil. Dans ce cas, vous devez déclarer le partage des données dans la section Sécurité des données, même si votre application ne les transmet pas en dehors de l'appareil de l'utilisateur.
• Transfert depuis des bibliothèques et des SDK de votre application, c'est -à-dire transfert de données collectées par votre application depuis l'appareil de l'utilisateur directement vers un tiers via les bibliothèques et/ou les SDK inclus dans votre application.
• Transfert depuis une WebView qui a été ouverte via votre application, c'est-à-dire transfert de données utilisateur vers un tiers via une WebView ouverte à partir de votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView.
  • Vous n'avez pas besoin de déclarer le partage de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.

Le transfert des données ne doit pas être déclaré comme "partage" dans les cas suivants :

• Fournisseurs de services : transfert de données utilisateur à un "fournisseur de services" qui les traite pour le compte du développeur.
  • Le terme Fournisseur de services désigne une entité qui traite les données utilisateur au nom du développeur et selon les instructions de ce dernier.
• Motifs juridiques : transfert de données utilisateur à des fins juridiques particulières, par exemple en réponse à une obligation légale ou à des demandes gouvernementales.
• Action déclenchée par l'utilisateur, ou communiqué visible et consentement de l'utilisateur : transfert de données utilisateur à un tiers en fonction d'une action spécifique déclenchée par l'utilisateur, lorsque celui-ci peut raisonnablement s'attendre à ce qu'elles soient partagées, ou conformément à un communiqué visible et à une demande de consentement dans l'application conformes aux exigences décrites dans nos Règles sur les données utilisateur.
• Données anonymes : transfert de données utilisateur entièrement anonymisées afin qu'elles ne puissent plus être associées à un utilisateur individuel.

Propriétaires et tiers

• Le terme "Propriétaire" désigne l'organisation principale responsable du traitement des données collectées par l'application. Il s'agit généralement de l'organisation qui publie l'application sur Google Play et qui figure sur la fiche Play Store.
  • Elle est tenue d'indiquer aux utilisateurs de façon raisonnablement claire quelle est l'organisation principale responsable du traitement des données collectées par l'application.
• Le terme "Tiers" désigne toute organisation autre que le propriétaire ou ses fournisseurs de services.

Vous pouvez également indiquer si chaque type de données collectées par votre application est "facultatif" ou "obligatoire". "Facultatif" inclut la possibilité d'activer ou de désactiver la collecte des données. Par exemple, vous pouvez déclarer un type de données comme "facultatif" lorsque l'utilisateur peut contrôler la collecte et se servir de l'application sans fournir ses données, ou bien lorsqu'il peut choisir manuellement de fournir ou non ce type de données. Si la fonctionnalité principale de votre application nécessite ce type de données, vous devez déclarer ces données comme "obligatoires".

Vous ne pouvez déclarer que votre application collecte certaines données de façon facultative que si tous les utilisateurs, quels que soient leur appareil et leur région, peuvent choisir de fournir ou non des informations, et activer ou désactiver la collecte des données.

Exemples de collecte facultative de données :

• Application de réseaux sociaux qui demande la date de naissance d'un utilisateur à des fins de communication marketing, mais sans que cette information soit obligatoire (l'utilisateur peut s'inscrire sans donner ce renseignement)
• Données utilisateur collectées uniquement quand l'utilisateur se connecte, s'il n'est pas obligé de se connecter pour se servir de l'application

La section Sécurité des données vous permet également de présenter aux utilisateurs les pratiques de votre application en termes de confidentialité et de sécurité. Par exemple, vous pouvez mettre en avant les informations suivantes :

• Chiffrement des données lors de leur transfert : les données utilisateur que collecte ou partage votre application sont-elles chiffrées lors de leur transfert entre l'appareil de l'utilisateur final et le serveur ?
  • Certaines applications sont conçues pour permettre aux utilisateurs de transférer leurs données vers un autre site ou service. Par exemple, une application de messagerie peut offrir aux utilisateurs la possibilité d'envoyer un SMS via leur opérateur mobile, ce qui permet différentes pratiques de chiffrement. Dans la section Sécurité des données de ces applications, il peut être indiqué que les données sont transférées via une connexion sécurisée tant que les normes du secteur sont respectées pour chiffrer efficacement les données pendant leur transfert entre l'appareil de l'utilisateur et les serveurs qu'utilisent ces applications.
• Mécanisme de demande de suppression : votre application permet-elle aux utilisateurs de demander la suppression de leurs données ?

Les applications destinées aux enfants doivent respecter les Règles pour les contenus familiaux de Google Play. Si votre application appartient à cette catégorie et que vous avez vérifié qu'elle respecte les règles pour les contenus familiaux, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, pour indiquer que vous vous êtes "engagé à respecter les règles pour les contenus familiaux de Play".

Pour afficher le badge, accédez à la section "Pratiques de sécurité" du formulaire Sécurité des données, puis cliquez sur Accéder à la page "Cible et contenu" pour l'activer.

Dans votre formulaire Sécurité des données, vous pouvez choisir de déclarer que votre application a été validée par un organisme indépendant selon une norme de sécurité mondiale. Il s'agit d'un examen facultatif effectué et payé par les développeurs. Dans le cadre de l'évaluation de la sécurité des applications mobiles MASA (Mobile Application Security Assessment), les développeurs peuvent collaborer directement avec un laboratoire agréé par Google pour faire évaluer leurs applications au regard de la norme MASVS (Mobile Application Security Verification Standard) de l'OWASP. L'organisation tierce qui effectue les examens le fait pour le compte du développeur.

Si vous êtes intéressé, vous pouvez contacter directement un laboratoire agréé par Google pour lancer la procédure de test. Une fois que le laboratoire a vérifié que votre application répond à toutes les exigences de sécurité, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, indiquant qu'un examen de sécurité indépendant a été effectué.

Les laboratoires agréés disposent d'un site dédié pour tester la sécurité des applications mobiles. Ils offrent une solide expérience et des fonctionnalités exhaustives de test de la sécurité. Ces laboratoires respectent la norme ISO 17025 ou une norme équivalente reconnue dans le secteur. Si vous répondez à ces critères et souhaitez devenir un laboratoire partenaire, remplissez et envoyez ce formulaire.

Important : Il est possible que cet examen indépendant ne vérifie pas l'exactitude ni l'exhaustivité de vos déclarations sur la sécurité des données. Même si vous utilisez des outils tiers pour diagnostiquer les contrôles de sécurité de votre application, vous restez seul responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play.

L'Unified Payments Interface (UPI) est un système de transfert d'argent instantané développé par la National Payments Corporation of India (NPCI), une entité régie par la RBI. Si vous utilisez actuellement ce système de transfert d'argent, vous pouvez choisir de le déclarer dans votre formulaire Sécurité des données. Si vous souhaitez participer au programme ou si vous avez des questions, vous pouvez contacter directement la NPCI pour connaître les critères d'éligibilité pour l'accréditation de votre application. Les applications qui bénéficient de cette accréditation peuvent afficher un badge sur leur fiche Play Store confirmant que la NPCI a validé l'implémentation de l'UPI dans cette application. Le badge indique "Propose des paiements via UPI" et n'est pas visible par les utilisateurs, sauf si vous activez cette option dans le formulaire Sécurité des données de la Play Console. Le badge n'est visible que par les utilisateurs de Google Play résidant en Inde.

Les développeurs seront invités à fournir des informations sur la collecte, le partage et d'autres pratiques pour divers types de données utilisateur, ainsi que sur les objectifs visés par l'utilisation de ces données.

Le fichier CSV contient une ligne par réponse. Les réponses aux questions à choix multiples et à choix unique s'étendent sur plusieurs lignes, correspondant au nombre de choix disponibles. Pour répondre à une question, saisissez TRUE ou FALSE dans la cellule correspondante de la colonne "Valeur de la réponse". Vous pouvez également ne pas renseigner la cellule si la question est facultative ou si vous répondez à une question à choix multiples. La colonne "Réponse requise" indique si la réponse est obligatoire ou non. Les valeurs possibles sont les suivantes :

• OPTIONAL : réponse facultative. La cellule peut être laissée vide.
• REQUIRED : réponse obligatoire. Vous devez fournir une valeur de réponse.
• MULTIPLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à au moins une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
• SINGLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à l'une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
• MAYBE_REQUIRED : obligatoire uniquement lorsque certaines conditions sont remplies, par exemple en fonction de votre réponse à une question précédente.

Dans le tableau ci-dessous, vous trouverez un exemple pour les sections "Nom" et "Position approximative" du formulaire Sécurité des données. Il contient les éléments suivants :

• Une question à choix multiples
• Une question obligatoire
• Une question facultative

1. Ouvrez la Play Console, puis accédez à la page Contenu de l'application.
2. Sous "Sécurité des données", sélectionnez Commencer.
3. En haut à droite de la page, sélectionnez Exporter au format CSV.

Important : Les réponses déjà saisies dans votre formulaire seront écrasées lorsque vous importerez un fichier CSV.

1. Ouvrez la Play Console, puis accédez à la page Contenu de l'application.
2. Sous "Sécurité des données", sélectionnez Commencer.
3. En haut à droite de la page, sélectionnez Importer le fichier CSV.

Vous pouvez envoyer les formulaires Sécurité des données dans la Play Console depuis octobre. Vous bénéficiez d'un délai de grâce jusqu'au 20 juillet 2022, ce qui devrait être suffisant. À ce stade, nous n'avons pas l'intention de prolonger ce délai.

Pour faire simple, oui. Vous devez fournir des informations précises qui reflètent les pratiques de votre application concernant la collecte et la gestion des données. Vous êtes responsable des informations que vous fournissez. Google Play vérifie que les applications respectent toutes les exigences du règlement. Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire Sécurité des données.

Si nous constatons que vous n'avez pas fourni des données exactes et que vous ne respectez pas le règlement, nous vous demanderons de corriger le problème. Les applications qui ne sont pas conformes feront l'objet de mesures. Par exemple, nous les supprimerons de Google Play ou bloquerons leurs mises à jour.

Une fois que vous avez envoyé une nouvelle application ou la mise à jour d'une application existante dans la Play Console, cela peut prendre un certain temps avant qu'elle ne soit traitée pour une publication standard sur Google Play. Certaines applications peuvent faire l'objet d'un examen plus approfondi, ce qui peut étendre le délai à sept jours (voire plus dans certains cas exceptionnels).

Les mises à jour d'application et les nouvelles applications doivent respecter le Règlement du programme Google Play pour les développeurs. Pour voir si l'application ou la mise à jour que vous avez envoyée est toujours en attente d'examen, vous pouvez consulter la page Vue d'ensemble de la publication dans la Play Console.

Si votre dernière mise à jour est prête et que vous ne voyez toujours pas le formulaire de la section Sécurité des données sur Google Play, vous pouvez vérifier si la publication gérée est activée dans la Play Console. Si la publication gérée est activée, votre version n'est pas disponible tant que vous ne l'avez pas publiée. Vous pouvez déployer votre version depuis la page "Vue d'ensemble de la publication". Une fois approuvée, l'application ou la mise à jour envoyée sera publiée et disponible rapidement sur Google Play.

Si vous avez modifié le contenu de la section Sécurité des données, mais que vous ne voyez pas les dernières modifications que vous avez apportées sur Google Play, essayez d'actualiser la page de l'application. Notez qu'en raison de la connectivité des appareils et de la charge fluctuante du serveur, il peut s'écouler plusieurs jours (dans certains cas, jusqu'à sept jours) avant qu'une mise à jour de l'application ne soit appliquée à tous les appareils. Nous vous remercions de votre patience pendant que Google Play enregistre et publie la mise à jour de votre application.

Nous sommes ravis de constater que vous avez bien en main la gestion des données de votre application. Dans le formulaire Sécurité des données, vous devez fournir des informations supplémentaires et différentes que vous n'avez peut-être pas utilisées auparavant. Attendez-vous donc à ce que cela représente une certaine quantité de travail pour votre équipe. La classification et le cadre de la section Sécurité des données sur Google Play peuvent être sensiblement différents de ceux d'autres plates-formes de téléchargement d'applications.

Comme pour les règles de confidentialité ou les informations sur les applications (captures d'écran et descriptions, par exemple), les développeurs sont responsables des informations qu'ils déclarent dans la section Sécurité des données. Conformément au Règlement sur les données utilisateur de Google Play, les développeurs sont tenus de communiquer des informations exactes. Si nous constatons qu'un développeur ne nous a pas fourni des données exactes et qu'il ne respecte pas le règlement, nous lui demandons de corriger le problème. Les applications qui ne sont pas conformes feront l'objet de mesures.

Les utilisateurs de Google Play doivent avoir l'assurance que leurs données sont en sécurité. Nous publions constamment de nouvelles fonctionnalités et règles pour protéger la confidentialité des utilisateurs et faire de Google Play un endroit sûr pour tous. Certaines des nouvelles règles et fonctionnalités de Google Play offrent aux utilisateurs davantage de contrôle et de transparence. D'autres permettent aux développeurs de n'accéder aux données à caractère personnel que lorsque cela s'avère nécessaire pour l'utilisation principale de l'application. Le règlement du programme Google Play pour les développeurs contient de nombreuses exigences en termes de contrôle et de transparence des données. Les applications qui ne respectent pas ce règlement feront l'objet de mesures.

Vous devez l'actualiser lorsque vous apportez des modifications pertinentes à la façon dont vous gérez les données dans votre application. Les réponses que vous fournissez dans le formulaire Sécurité des données doivent toujours être exactes et complètes.

La section Sécurité des données peut aider les utilisateurs à déterminer quelles applications ils souhaitent télécharger. Elle permet également aux développeurs de gagner leur confiance, de susciter leur intérêt et de leur apporter la certitude que leurs données seront traitées de façon responsable. Certains développeurs nous ont indiqué vouloir communiquer plus clairement à leurs utilisateurs la manière dont ils gèrent leurs données.

Google Play propose un formulaire Sécurité des données global et une section Sécurité des données sur la fiche Google Play Store par nom de package, qui est indépendante de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez ou associez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer sur le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.

Pour le moment, nous vous permettons de présenter globalement votre gestion des données par application. Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs. La section Sécurité des données explique aux utilisateurs de Google Play que les pratiques concernant la collecte et la sécurité des données d'une application peuvent varier selon un certain nombre de facteurs, comme la région.

Non, la section Sécurité des données ne figure que sur la fiche Play Store de votre application sur Google Play. Il n'y a aucun nouveau communiqué lors de l'installation de l'application ni aucune nouvelle demande de consentement de l'utilisateur liée à cette exigence. Les développeurs qui collectent des données utilisateur sensibles et à caractère personnel sont tenus d'implémenter des communiqués et des demandes de consentement dans l'application, conformément à la Règle sur les données utilisateur de Google Play.

Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Si une version de votre application nécessite de collecter certaines données, vous devez déclarer cette collecte comme obligatoire dans la section Sécurité des données. Vous ne devez pas décrire la collecte comme facultative si elle est requise pour une partie des utilisateurs de votre application. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.

Vous n'avez pas besoin de déclarer la collecte ou le partage de données, sauf si des données sont réellement collectées et/ou partagées. Votre application doit respecter l'intégralité du règlement du programme Google Play pour les développeurs, y compris la règle sur les autorisations et les API qui accèdent à des informations sensibles.

Si vous collectez volontairement un type de données lors de la collecte d'un autre, vous devez déclarer les deux. Par exemple, si vous collectez des photos d'utilisateurs et que vous vous en servez pour déterminer les caractéristiques de ces personnes (par exemple, leur origine ethnique), vous devez également indiquer que vous collectez des données sur leur origine ethnique.

La section Sécurité des données vous permet d'indiquer si vous proposez un mécanisme permettant à vos utilisateurs de demander la suppression de leurs données. Lorsque vous remplissez le formulaire Sécurité des données, vous devez préciser si vous fournissez un tel mécanisme.

Il n'y a pas de mécanisme prescrit. Toutefois, il est recommandé de faire en sorte que les utilisateurs puissent facilement voir ce mécanisme et y avoir accès. Par exemple, ce type de mécanisme (qui indique clairement comment les utilisateurs peuvent demander la suppression de leurs données) peut être, sans s'y limiter, une fonctionnalité intégrée à l'application, un formulaire de contact ou un alias d'adresse e-mail dédié.

Vous pouvez sélectionner le badge du mécanisme de demande de suppression dans le formulaire Sécurité des données :

• si vous proposez aux utilisateurs un tel mécanisme ou ;
• si vous lancez automatiquement la suppression ou l'anonymisation des données collectées dans les 90 jours suivant leur collecte.

Vous pouvez sélectionner ce badge même si vous devez conserver certaines données pour des raisons légitimes (que ce soit pour respecter les lois ou prévenir des abus).

Google Play propose un formulaire global Sécurité des données et une section Sécurité des données sur la fiche Google Play Store par nom de package. Vous devez y préciser comment sont gérées les données en fonction de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez et traitez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer dans le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play.

Il existe plusieurs méthodes pour rendre des données anonymes afin qu'elles ne puissent pas être associées à un utilisateur particulier. Nous vous conseillons de contacter vos spécialistes de la confidentialité et de la sécurité pour identifier les méthodes applicables à votre cas d'utilisation. À titre d'exemple, cette page présente certaines des méthodes d'anonymisation des données utilisées par Google, comme la confidentialité différentielle.

Comme pour tout autre type de données, vous devez indiquer que vous collectez, utilisez et partagez les adresses IP en fonction de leur utilisation et de leurs pratiques. Par exemple, si des développeurs se servent d'adresses IP pour déterminer la zone géographique, ils doivent déclarer ce type de données.

Comme pour tout autre type de données, vous devez indiquer que vous collectez, utilisez et partagez différents types d'identifiants en fonction de votre utilisation et de vos pratiques. Par exemple, la collecte du nom de compte associé à une personne identifiable doit être déclarée comme "Identifiant personnel", et la collecte de l'identifiant publicitaire Android d'un utilisateur doit être déclarée comme "Appareil ou autres identifiants". Autre exemple : il n'est pas nécessaire de déclarer comme "Appareil ou autres identifiants" un identifiant associé à un événement spécifique dans l'application, mais qui ne se rapporte pas raisonnablement à un appareil, à un navigateur ni à une application en particulier.

Comme indiqué ci-dessus, la collecte de données par pseudonymisation doit être divulguée dans votre formulaire, sous le type de données correspondant. Par exemple, si vous recueillez des informations de diagnostic avec un identifiant d'appareil, vous devez indiquer que vous collectez des données de type "Diagnostic" dans le formulaire Sécurité des données.

Un fournisseur de services ne peut que traiter les données utilisateur en votre nom. Par exemple, un fournisseur de solutions d'analyse qui traite les données utilisateur de votre application uniquement en votre nom ou un fournisseur cloud qui héberge les données utilisateur de votre application pour votre propre usage sera généralement considéré comme un "fournisseur de services". En revanche, si un fournisseur de SDK crée des profils publicitaires pour plusieurs clients à partir des données de votre application, il ne sera pas considéré comme un "fournisseur de services" pour la section Sécurité des données. Vous devez déclarer cette activité en tant que "partage" dans le formulaire Sécurité des données.

Tout dépend de la nature de l'intégration au service de paiement. Si votre application utilise un service de paiement tel que PayPal, Google Pay, le système de facturation de Google Play ou des services similaires pour effectuer des opérations de paiement, vous n'avez pas besoin de déclarer que le service de paiement collecte des données (par exemple, les numéros de carte de crédit) pour le traitement des transactions financières, sous réserve que les conditions suivantes soient remplies :

• Votre application n'accède jamais à ces informations.
• Le service de paiement collecte ces informations directement auprès de l'utilisateur, conformément aux conditions d'utilisation du service.

Examinez attentivement l'intégration de votre application au service de paiement et pensez à déclarer, dans la section Sécurité des données, toute activité de collecte et de partage de données pertinentes qui ne respecte pas ces conditions. Vous devez également déterminer si votre application collecte d'autres informations financières, telles que l'historique des achats, et si elle reçoit des données pertinentes du service de paiement, par exemple pour lutter contre la fraude et limiter les risques.

Cela dépend de l'implémentation choisie. Vous n'avez pas besoin de déclarer la collecte des données si les conditions suivantes sont remplies : l'utilisateur décide d'importer ses données directement sur un disque externe ou dans son compte de stockage cloud (Google Drive, Dropbox ou services similaires), l'importation est régie par les conditions d'utilisation et les règles de confidentialité du disque externe ou du fournisseur de stockage cloud, et votre application ne collecte jamais les données en question ni n'y accède.

Vous devez respecter les normes du secteur afin de chiffrer de manière sécurisée les données en transit de votre application. TLS (Transport Layer Security) et HTTPS sont les protocoles de chiffrement les plus courants.

Vous devez déclarer la collecte de ces données pour la gestion du compte et préciser, le cas échéant, si l'utilisateur peut décider qu'elles soient collectées ou non.

En outre, comme pour tous les types de données collectées par votre application, vous devez indiquer la nature des données collectées et les finalités pour lesquelles l'application utilise les données. Par exemple, si votre application permet à l'utilisateur d'ajouter une date de naissance à son compte et si elle se sert de ces données pour lui envoyer des notifications push en temps voulu, vous devez déclarer cette finalité en plus de la gestion du compte.

La gestion de compte couvre les utilisations générales des données du compte qui ne sont pas propres à l'application. Par exemple, si vous utilisez les informations du compte pour la prévention de la fraude, la publicité, le marketing ou les communications du développeur dans vos services et que cette utilisation ne concerne pas spécifiquement votre application ni les activités de celle-ci, déclarer la collecte des données du compte en tant qu'activité de "gestion de compte" suffit à couvrir ces utilisations générales dans la section Sécurité des données. Cependant, vous devez déclarer toutes les finalités pour lesquelles l'application elle-même utilise les données. Nous vous recommandons ainsi d'indiquer comment votre application traite les données utilisateur liées aux services associés au compte lors du processus d'inscription et dans la documentation au niveau du compte.

Les services système sont des logiciels préinstallés qui assurent le fonctionnement central du système. Ils peuvent faire l'objet d'une dérogation et ne pas figurer dans le formulaire Sécurité des données.

Vous pouvez vérifier l'état des informations envoyées sur la page Contenu de l'application dans la Play Console. Si les informations que vous avez envoyées sont conformes, une coche verte s'affiche dans la section Sécurité des données.

Remarque : nos règles s'appuient sur des systèmes et des processus qui sont constamment améliorés. Des applications précédemment approuvées pourront être refusées pour cause de non-conformité à la suite des modifications et des mises à jour des règles.

Google Play informera les développeurs de toute mise à jour. Vous pouvez consulter le Règlement sur les données utilisateur et cet article du centre d'aide pour vous assurer que vous connaissez les dernières recommandations.

Si cette utilisation est éphémère, vous n'avez pas besoin de l'indiquer dans votre formulaire. Cependant, vous devez déclarer toute utilisation de ces données utilisateur au-delà du traitement éphémère, y compris toutes les finalités pour lesquelles vous vous servez des données utilisateur consignées. Le concept de traitement éphémère est défini dans la section Collecte des données ci-dessus.

Google recueille des informations pour la liste des autorisations en fonction des autorisations indiquées au moment de l'installation déclarées dans le fichier manifeste d'une application.

La section Sécurité des données indique les données collectées par l'application et partagées avec des tiers.

Nous avons ajouté une nouvelle section (Badge Unified Payments Interface (UPI)) dans la section Que doivent indiquer les développeurs dans le formulaire Sécurité des données ?

Nous avons modifié la section Quels développeurs doivent remplir le formulaire Sécurité des données dans la Play Console ? pour fournir des informations à jour sur les tests internes et les exigences concernant la section Sécurité des données. Nous avons également supprimé un passage à ce sujet de l'entrée du journal des modifications du 24 août 2022, car ces informations ne sont plus applicables et nous ne souhaitons pas créer de la confusion chez les développeurs qui recherchent des informations à ce propos.

Nous avons modifié l'article pour supprimer les références à des dates spécifiques. Ces références ont été initialement incluses (et régulièrement mises à jour) avant, pendant et après le lancement de la section Sécurité des données de la Play Console, afin d'aider les développeurs à comprendre les exigences à chaque instant. La section Sécurité des données étant désormais disponible sur Google Play, nous avons supprimé le calendrier d'origine et les références à des dates spécifiques.

Nous avons ajouté des informations supplémentaires au type de données "Interactions avec l'appli" (qui comprend désormais les "captures d'écran effectuées").

Nous avons mis à jour la section Quels développeurs doivent remplir le formulaire Sécurité des données dans la Play Console ? pour indiquer que, à compter du 24 octobre 2022, les canaux actifs dans les canaux de test internes sont dispensés de figurer dans la section Sécurité des données. Les applications exclusivement actives dans ce canal n'ont pas besoin de remplir la déclaration.

Dans la section "Préparer les informations", nous avons modifié un point du calendrier pour expliquer que les envois de nouvelles applications et les mises à jour d'applications non conformes feront l'objet d'avertissements indiquant que ces envois et mises à jour seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus. Nous avons également précisé ce qui se passera au terme de la période d'avertissement, le 22 août 2022.

Dans la section Que doivent indiquer les développeurs dans le formulaire Sécurité des données, nous avons apporté les modifications suivantes dans la sous-section Examen de sécurité indépendant (disponible pour toutes les applications) :

• Nous avons remplacé le titre "Examen de sécurité indépendant (fonctionnalité en version bêta à partir de mars 2022, bientôt en disponibilité générale)" par "Examen de sécurité indépendant (désormais disponible pour tous les développeurs), car cette fonctionnalité est maintenant disponible pour toutes les applications.
• Nous avons ajouté, dans la sous-section, des informations pour les développeurs qui souhaitent qu'un examen de sécurité indépendant soit effectué.

Nous avons apporté les modifications suivantes à la section Questions fréquentes :

• Nous avons modifié la réponse à la question "Suis-je obligé de fournir un mécanisme de suppression ? Doit-il s'appliquer à toutes les données utilisateur ?"
• Juste en dessous de cette question, nous avons également ajouté trois questions et réponses, où vous trouverez des informations plus détaillées sur les mécanismes de suppression des données et le formulaire Sécurité des données.
• Nous avons ajouté une nouvelle question concernant la différence entre la liste des autorisations et la section Sécurité des données d'une application. Nous avons supprimé une question concernant les applications ciblant les anciennes versions d'Android.

Dans la section Vue d'ensemble, nous avons ajouté une phrase encourageant les développeurs à consulter Google Play SDK Index pour savoir si leur fournisseur a indiqué un lien vers ses conseils. Pour en savoir plus, consultez l'article du centre d'aide Faire des choix éclairés avec Google Play SDK Index.

Dans la section Préparer les informations, nous avons ajouté une recommandation : regarder la vidéo Google Play PolicyBytes sur le formulaire Sécurité des données, qui présente toutes les ressources et étapes nécessaires pour remplir le formulaire Sécurité des données.

Dans la section Aperçu, nous avons ajouté une phrase encourageant certains développeurs à consulter les informations sur la sécurité des données, publiées par leurs fournisseurs de SDK (Firebase et AdMob, par exemple) pour en savoir plus.

Dans la section "Préparer les informations", nous avons modifié un point du calendrier (voir juillet 2022) afin d'indiquer que la mention "Aucune donnée disponible" que les utilisateurs verraient sur Google Play serait remplacée par "Aucune information disponible".

Dans la section Questions fréquentes, nous avons apporté les modifications suivantes :

• Nous avons ajouté une question sur les services système et la réponse correspondante.
• Nous avons ajouté une question et la réponse sur ce que vous pouvez faire si les dernières modifications que vous apportées dans la section Sécurité des données ne sont toujours pas affichées sur Google Play.
• Nous avons actualisé les réponses existantes concernant la gestion de compte et le délai d'affichage sur Google Play des modifications sur la sécurité des données.

Le 8 avril 2022, nous avons corrigé le nom du type de données "Photos et vidéos" (auparavant appelé "Photos ou vidéos").

Le 24 février 2022, nous avons apporté un certain nombre de modifications à cet article comme décrit ci-dessous.

Modification du calendrier

Nous avons actualisé le calendrier dans la section "Préparer les informations" :

• Nous avions annoncé que la section Sécurité des données serait disponible dans Google Play pour tous les utilisateurs à partir de février 2022. Cette échéance est reportée à fin avril 2022.
• Nous avions annoncé que les envois de nouvelles applications et les mises à jour d'application seraient refusés dans la Play Console à partir d'avril 2022 si les problèmes liés au formulaire n'étaient pas résolus. Cette échéance est reportée au 20 juillet 2022.
• Nous avions annoncé que d'autres mesures pourraient être prises par la suite pour les applications non conformes à partir d'avril 2022. Cette échéance est reportée après le 20 juillet 2022.

Nous avons actualisé les autres références aux dates dans l'article pour qu'elles correspondent aux nouvelles échéances indiquées ci-dessus.

Précisions concernant les informations que les développeurs doivent déclarer pour les différents types de données

Nous avons apporté les modifications suivantes dans la section "Que doivent spécifier les développeurs concernant les différents types de données ?", sous Que doivent indiquer les développeurs dans le formulaire Sécurité des données ? :

• Nous avons ajouté des instructions pour expliquer comment les développeurs qui se sont engagés à respecter les règles pour les contenus familiaux peuvent choisir d'afficher le badge "Familles" à compter du 1er mars 2022.  
• Dans la section Autres mentions concernant les applications et les données, "Mécanisme de suppression" a été renommé "Mécanisme de demande de suppression".
• Nous avons également ajouté des informations plus détaillées sur cette fonctionnalité dans la section Examen de sécurité indépendant.

Modifications concernant les types de données et les finalités

Nous avons apporté quelques modifications mineures à l'intitulé des types de données :

• "Identifiants personnels" a été renommé "ID utilisateur".
• "Carte de crédit, carte de débit ou numéro de compte bancaire" a été renommé "Infos de paiement de l'utilisateur".
• "Informations sur le crédit" a été renommé "Cote de crédit".
• Nous avons ajouté l'exemple du salaire ou des dettes de l'utilisateur pour le type de données "Autres informations financières".
• "Informations sur la santé" a été renommé "Infos sur la santé".
• "Informations sur l'activité physique" a été renommé "Infos sur l'activité physique".
• The "SMS or MMS messages" data type was renamed "SMS or MMS."
• "Pages vues et appuis dans une application" a été renommé "Interactions avec l'appli". La description de ce type de données a également été mise à jour.
• Les descriptions des types de données "Autre contenu généré par l'utilisateur" et "Autres actions" ont été mises à jour.
• "Autres informations personnelles" a été renommé "Autres infos".
• "Appareil ou autres identifiants" a été renommé "Appareil ou autres ID".

Nous avons clarifié les finalités des données :

• L'exemple pour "Communications du développeur" a été mis à jour.
• L'exemple pour "Publicité ou marketing" a été mis à jour.
• L'exemple pour "Gestion du compte" a été mis à jour.

Autres modifications

Dans la section Aperçu, nous avons ajouté des images supplémentaires pour montrer ce que verront les utilisateurs si votre application ne partage aucune donnée utilisateur.

Nous avons ajouté des questions fréquentes, y compris sur la gestion des comptes, les actions des utilisateurs, l'utilisation de plates-formes de paiement et le chiffrement.

Nous avons mis à jour la définition du traitement éphémère dans la section Collecte des données et nous avons ajouté une question fréquente sur ce sujet.

Le 14 décembre 2021, nous avons mis à jour le type de données initialement intitulé "Orientation sexuelle et identité sexuelle". Ce type de données porte désormais le nom "Orientation sexuelle". Il ne fait référence qu'à l'orientation sexuelle.

Nous avons également modifié le type de données "Autres informations personnelles" afin d'inclure l'identité de genre comme exemple d'autres informations personnelles.