Fournir les informations pour la section sur la sécurité des données de Google Play

En juillet et en octobre 2021, nous avons communiqué de nouvelles informations au sujet de la section Sécurité des données de Google Play à la suite de notre article de blog initial de mai 2021. Les développeurs sont tenus de nous préciser les pratiques de confidentialité et de sécurité de leurs applications en remplissant un formulaire dans la Play Console. Ces informations seront visibles sur la fiche Play Store de l'application afin d'aider les utilisateurs de Google Play à comprendre, avant de la télécharger, comment celle-ci collecte et partage leurs données.

Cet article fournit un aperçu des nouvelles exigences, des explications pour remplir le formulaire, ainsi que le calendrier des événements à venir.

TOUT RÉDUIRE TOUT DÉVELOPPER

Aperçu

La section sur la sécurité des données de Google Play vous permet d'aider les utilisateurs à comprendre quelles données sont collectées ou partagées par votre application, et de présenter les principales pratiques de sécurité et de confidentialité de celle-ci. Grâce à ces informations, les utilisateurs pourront déterminer de manière éclairée quelles applications ils souhaitent installer.

D'ici le 20 juillet 2022, tous les développeurs devront déclarer la façon dont ils collectent et traitent les données utilisateur pour les applications qu'ils publient sur Google Play. Ils devront également préciser comment ils protègent ces données, grâce à des pratiques de sécurité telles que le chiffrement. Cela inclut les données collectées et gérées via les bibliothèques ou SDK tiers utilisés dans leurs applications. Pour en savoir plus, consultez les informations sur la sécurité des données, publiées par vos fournisseurs de SDK. Consultez le Google Play SDK Index pour vérifier si votre fournisseur a fourni un lien vers ses conseils.

Vous pouvez fournir ces informations par le biais d'un formulaire, que vous trouverez dans la nouvelle section sur la sécurité des données de la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Une fois que vous aurez rempli et envoyé le formulaire sur la sécurité des données, Google examinera les informations fournies lors de l'examen de votre application. Ces informations figureront sur votre fiche Play Store, afin que les utilisateurs de Google Play sachent, avant de télécharger votre application, comment vous recueillez et partagez des données.

Vous seul êtes responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play. Google Play vérifie que les applications respectent l'intégralité du règlement. Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire sur la sécurité des données. Si nous constatons une incohérence entre le comportement de votre application et votre déclaration, nous pouvons être amenés à prendre les mesures appropriées, y compris des sanctions.

Vous pouvez développer la section ci-dessous pour voir le rendu de votre fiche Play Store.

Ce que verront les utilisateurs si votre application partage des données utilisateur

Remarque : Les images sont fournies à titre d'exemple. Elles sont susceptibles d'être modifiées.

Ce que verront les utilisateurs si votre application ne collecte ni ne partage aucune donnée utilisateur

Si votre application ne collecte ni ne partage aucune donnée utilisateur avec d'autres entreprises ou organisations, les utilisateurs verront les informations suivantes :

Si votre application ne partage aucune donnée utilisateur avec d'autres entreprises ou organisations, les utilisateurs verront les informations suivantes :

Remarque : Les images sont fournies à titre d'exemple. Elles sont susceptibles d'être modifiées.

Quels développeurs doivent remplir le formulaire sur la sécurité des données dans la Play Console ?

Tous les développeurs qui ont publié une application sur Google Play doivent remplir le formulaire sur la sécurité des données, y compris pour les applications sur les canaux de test interne, fermé, ouvert ou de production.

Même ceux dont les applications ne recueillent aucune donnée utilisateur doivent le remplir et fournir un lien vers leurs règles de confidentialité. Dans ce cas, le formulaire rempli et les règles de confidentialité peuvent simplement indiquer qu'aucune donnée utilisateur n'est recueillie ni partagée.

Préparer les informations

Voici les recommandations à suivre pour vous préparer à ces changements :

Vous pouvez développer la section ci-dessous pour consulter le calendrier prévu du déploiement du formulaire sur la sécurité des données dans la Play Console.

Calendrier

Nous prévoyons le calendrier suivant pour le déploiement du formulaire sur la sécurité des données dans la Play Console. Notez que ce calendrier est susceptible d'être modifié. Les mises à jour seront publiées dans cet article.

  • Octobre 2021 : Publication du formulaire sur la sécurité des données disponible sur la page Contenu de l'application dans la Play Console.
    • Les développeurs peuvent le remplir et l'envoyer pour recevoir les premiers commentaires sur les problèmes identifiés. Durant cette période, les envois d'applications ne seront pas affectés par les informations fournies dans votre formulaire sur la sécurité des données. Notez cependant que d'autres problèmes de non-respect des règles peuvent avoir des conséquences sur votre application.
    • En cas de souci au niveau de votre formulaire sur la sécurité des données, vous recevrez un e-mail vous informant que le contenu de l'application a été approuvé malgré des problèmes. Vous devrez lire les informations fournies et prendre les mesures adéquates. Vous pouvez publier provisoirement les mises à jour de l'application en rétablissant manuellement le mode "Brouillon" pour votre formulaire sur la sécurité des données dans la Play Console.
    • S'ils ne l'ont pas déjà fait, les développeurs doivent ajouter un lien vers les règles de confidentialité de leur application.
  • Depuis le 26 avril 2022, la section Sécurité des données est accessible sur Google Play à tous les utilisateurs.
    • Si vous n'avez pas encore rempli ni envoyé le formulaire pour votre application, la mention "Aucune information disponible" sera affichée sur la fiche Play Store de l'application (dans la section Sécurité des données).
  • 20 juillet 2022 : les envois de nouvelles applications et les mises à jour d'applications non conformes feront l'objet d'avertissements indiquant que ces envois et mises à jour seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus. Au terme de la période d'avertissement, le 22 août 2022 :
    • Pour tous les envois de nouvelles applications et toutes les mises à jour d'application, vous devez remplir un formulaire sur la sécurité des données. Vous ne pouvez plus publier d'application ni de mise à jour d'application si ce formulaire est incomplet ou s'il comporte des problèmes non résolus.
    • Si des problèmes persistent concernant les informations de la section Sécurité des données, les utilisateurs verront la mention "Aucune information disponible" dans cette section sur la fiche Play Store de votre application. Vous recevrez alors un e-mail vous indiquant les problèmes à résoudre, sans quoi cela impactera la section Sécurité des données présentée aux utilisateurs.
    • Tous les envois de nouvelles applications et toutes les mises à jour d'application nécessitent des règles de confidentialité valides.
  • Après le 22 août 2022 : D'autres mesures pourront être prises par la suite pour les applications non conformes, comme la suppression de la fiche Play Store de l'application sur Google Play.
Regardez le tutoriel vidéo sur le formulaire sur la sécurité des données

Cette vidéo vous présente toutes les ressources et étapes nécessaires pour remplir le formulaire sur la sécurité des données.

Google Play PolicyBytes - Data safety form walkthrough

Que doivent indiquer les développeurs dans le formulaire sur la sécurité des données ?

Cette section précise les informations que vous devez fournir dans le formulaire sur la sécurité des données de la Play Console, ainsi que les types de données utilisateur et les finalités que vous pouvez sélectionner.

Que doivent spécifier les développeurs concernant les différents types de données ?

Cliquez sur les sections ci-dessous pour les développer ou les réduire.

Collecte des données

"Collecter" signifie transmettre des données depuis l'appareil d'un utilisateur à partir de votre application. Veuillez prendre note des points suivants :

  • Bibliothèques et SDK : les données utilisateur sont ici transmises depuis un appareil à partir de votre application par des bibliothèques et/ou des SDK utilisés dans votre application, qu'elles soient transmises à vous ou à un serveur tiers.
  • WebView : les données utilisateur sont ici collectées à partir d'une WebView ouverte depuis votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView. 
    • Vous n'avez pas besoin de déclarer la collecte de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.
  • Traitement éphémère : les données utilisateur transmises depuis l'appareil et traitées de manière éphémère doivent être mentionnées dans le formulaire. Toutefois, si elles respectent la norme ci-dessous, elles ne seront pas déclarées dans la section Sécurité des données de votre application sur Google Play.
    • Traiter des données de façon "éphémère" consiste à accéder aux données et à les utiliser alors qu'elles ne sont conservées en mémoire que le temps de répondre en temps réel à une demande précise.
    • Prenons l'exemple d'une application météo qui transmet la position de l'utilisateur depuis l'appareil afin de récupérer les informations sur la météo actuelle pour cette position. L'application n'utilise que les données de localisation en mémoire et ne les conserve pas une fois la demande traitée. Dans ce cas, l'utilisation provisoire de la position est considérée comme éphémère. Cependant, utiliser des données pour créer des profils publicitaires ou d'autres profils utilisateur ne peut pas être considéré comme une activité éphémère. Cette utilisation doit donc être déclarée comme une activité de collecte ou de partage pour les finalités appropriées.
  • Données pseudonymes : les données utilisateur collectées de manière pseudonyme doivent être déclarées. Par exemple, les données qui peuvent raisonnablement être réassociées à un utilisateur doivent être déclarées.

Cas où la déclaration de collecte des données n'est pas nécessaire

  • Dans les cas d'utilisation suivants, les données n'ont pas besoin d'être déclarées en tant que données collectées :

  • Accès/Traitement sur l'appareil : les données utilisateur auxquelles votre application accède, qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui n'ont pas été envoyées depuis l'appareil, n'ont pas besoin d'être déclarées.
  • Chiffrement de bout en bout : les données utilisateur envoyées depuis l'appareil, mais que vous ou toute personne autre que l'expéditeur et le destinataire ne pouvez pas lire en raison d'un chiffrement de bout en bout, n'ont pas besoin d'être déclarées. 
    • Les données chiffrées ne doivent pas pouvoir être lues par une entité intermédiaire, y compris le développeur. Seuls l'expéditeur et le destinataire peuvent disposer des clés nécessaires.
Partage des données

Le "partage" désigne le transfert des données utilisateur collectées de votre application vers un tiers. Cela inclut les données utilisateur transférées dans les cas suivants :

  • Transfert depuis l'appareil, comme dans le cas de transferts entre serveurs , par exemple si vous transférez des données utilisateur collectées par votre application depuis votre serveur vers un serveur tiers.
  • Transfert sur l'appareil vers une autre application, c'est-à-dire transfert de données utilisateur depuis votre application vers une autre application directement sur l'appareil. Dans ce cas, vous devez déclarer le partage des données dans la section Sécurité des données, même si votre application ne les transmet pas en dehors de l'appareil de l'utilisateur.
  • Transfert depuis des bibliothèques et des SDK de votre application, c'est -à-dire transfert de données collectées par votre application depuis l'appareil de l'utilisateur directement vers un tiers via les bibliothèques et/ou les SDK inclus dans votre application.
  • Transfert depuis une WebView qui a été ouverte via votre application, c'est-à-dire transfert de données utilisateur vers un tiers via une WebView ouverte à partir de votre application, si celle-ci contrôle le code ou le comportement affichés via cette WebView.
    • Vous n'avez pas besoin de déclarer le partage de données à partir d'une WebView dans laquelle les utilisateurs naviguent sur le Web ouvert.

Le transfert des données ne doit pas être déclaré comme "partage" dans les cas suivants :

  • Fournisseurs de services  : transfert de données utilisateur à un "fournisseur de services" qui les traite pour le compte du développeur.
    • Le terme fournisseur de services désigne une entité qui traite les données utilisateur au nom du développeur et selon les instructions de celui-ci. 
  • Motifs juridiques  : transfert de données utilisateur à des fins juridiques particulières, par exemple en réponse à une obligation légale ou à des demandes gouvernementales.
  • Action déclenchée par l'utilisateur, ou communiqué visible et consentement de l'utilisateur  : transfert de données utilisateur à un tiers en fonction d'une action spécifique déclenchée par l'utilisateur, lorsque celui-ci peut raisonnablement s'attendre à ce qu'elles soient partagées, ou conformément à un communiqué visible et à une demande de consentement dans l'application conformes aux exigences décrites dans nos Règles sur les données utilisateur.
  • Données anonymes : transfert de données utilisateur entièrement anonymisées afin qu'elles ne puissent plus être associées à un utilisateur individuel.

Propriétaires et tiers

  • Le terme "propriétaire" désigne l'organisation principale chargée de traiter les données collectées par l'application. Il s'agit généralement de l'organisation qui publie l'application sur Google Play et qui figure sur la fiche Play Store.
    • Elle est tenue d'indiquer aux utilisateurs de façon raisonnablement claire quelle est l'organisation principale chargée de traiter les données collectées par l'application.
  • Le terme "tiers" fait référence à toute organisation autre que le propriétaire ou ses fournisseurs de services.
Traitement des données

Vous pouvez également indiquer si chaque type de données collecté par votre application est "facultatif" ou "obligatoire". Lorsqu'un type de données est déclaré comme "facultatif", l'utilisateur a la possibilité d'activer ou de désactiver la collecte. Par exemple, il peut contrôler la collecte et se servir de l'application sans fournir ses données, ou bien choisir manuellement de fournir ou non ce type de données. Si la fonctionnalité principale de votre application nécessite le type de données en question, vous devez déclarer ces données comme étant "obligatoires".

Vous ne pouvez déclarer que votre application collecte certaines données de façon facultative que si tous les utilisateurs, quels que soient leur appareil et leur région, peuvent choisir de fournir ou non des informations, et activer ou désactiver la collecte des données. 

Exemples de collecte facultative de données :

  • Application de réseaux sociaux qui demande la date de naissance d'un utilisateur à des fins de communication marketing, mais sans que cette information soit obligatoire (l'utilisateur peut s'inscrire sans donner ce renseignement)  
  • Données utilisateur collectées uniquement quand l'utilisateur se connecte, s'il n'est pas obligé de se connecter pour se servir de l'application
Autres mentions concernant les applications et les données

La section Sécurité des données vous permet également de présenter aux utilisateurs les pratiques de votre application en termes de confidentialité et de sécurité. Par exemple, vous pouvez mettre en avant les informations suivantes :

  • Chiffrement des données lors de leur transfert : les données utilisateur que collecte ou partage votre application sont-elles chiffrées lors de leur transfert entre l'appareil de l'utilisateur final et le serveur ?
    • Certaines applications sont conçues pour permettre aux utilisateurs de transférer leurs données vers un autre site ou service. Par exemple, une application de messagerie peut offrir aux utilisateurs la possibilité d'envoyer un SMS via leur opérateur mobile, ce qui permet différentes pratiques de chiffrement. Dans la section Sécurité des données de ces applications, il peut être indiqué que les données sont transférées via une connexion sécurisée tant que les normes du secteur sont respectées pour chiffrer efficacement les données pendant leur transfert entre l'appareil de l'utilisateur et les serveurs qu'utilisent ces applications.
  • Mécanisme de demande de suppression : votre application permet-elle aux utilisateurs de demander la suppression de leurs données ?
Engagement à respecter les règles pour les contenus familiaux (disponible à partir de mars 2022 pour les applications concernées)

Les applications destinées aux enfants ou dont le développeur souhaite qu'elles participent au programme Pour la famille de Google Play doivent respecter les Règles pour les contenus familiaux de Google Play. Si votre application appartient à cette catégorie et que vous avez vérifié qu'elle respecte les règles pour les contenus familiaux, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, pour indiquer que vous vous êtes engagé à respecter les règles pour les contenus familiaux de Play.

Pour afficher le badge, accédez à la section "Pratiques de sécurité" du formulaire sur la sécurité des données, puis cliquez sur Accéder à la page "Cible et contenu" pour l'activer.

Examen de sécurité indépendant (désormais disponible pour toutes les applications)

Dans votre formulaire sur la sécurité des données, vous pouvez choisir de déclarer que votre application a été validée par un organisme indépendant selon une norme de sécurité mondiale. Il s'agit d'un examen facultatif effectué et payé par les développeurs. Dans le cadre de l'évaluation de la sécurité des applications mobiles MASA (Mobile Application Security Assessment), les développeurs peuvent collaborer directement avec un laboratoire agréé par Google pour faire évaluer leurs applications au regard de la norme MASVS (Mobile Application Security Verification Standard) de l'OWASP. L'organisation tierce qui effectue les examens le fait pour le compte du développeur.

Si vous êtes intéressé, vous pouvez contacter directement un laboratoire agréé par Google pour lancer la procédure de test. Une fois que le laboratoire a vérifié que votre application répond à toutes les exigences de sécurité, vous pouvez choisir d'afficher un badge dans la section Sécurité des données, indiquant qu'un examen de sécurité indépendant a été effectué.

Les laboratoires agréés disposent d'un site dédié pour tester la sécurité des applications mobiles. Ils offrent une solide expérience et des fonctionnalités exhaustives de test de la sécurité. Ces laboratoires respectent la norme ISO 17025 ou une norme équivalente reconnue dans le secteur. Si vous répondez à ces critères et souhaitez devenir un laboratoire partenaire, remplissez et envoyez ce formulaire.

Important : Il est possible que cet examen indépendant ne vérifie pas l'exactitude ni l'exhaustivité de vos déclarations sur la sécurité des données. Même si vous utilisez des outils tiers pour diagnostiquer les contrôles de sécurité de votre application, vous restez seul responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play.

Types de données et objectifs

Cliquez sur les sections ci-dessous pour les développer ou les réduire.

Types de données

Les développeurs seront invités à fournir des informations sur la collecte, le partage et d'autres pratiques pour divers types de données utilisateur, ainsi que sur les objectifs visés par l'utilisation de ces données.

Catégorie Type de données Description

Position

Position approximative

Position physique de l'utilisateur ou de l'appareil dans une zone supérieure ou égale à 3 km², par exemple la ville où se trouve l'utilisateur, ou la position fournie par l'autorisation ACCESS_COARSE_LOCATION d'Android.

Position exacte

Position physique de l'utilisateur ou de l'appareil dans une zone inférieure à 3 km², par exemple la position fournie par l'autorisation ACCESS_FINE_LOCATION d'Android.
Informations personnelles Nom Nom que se donne un utilisateur, par exemple son prénom, son nom ou son pseudo.
Adresse e-mail Adresse e-mail d'un utilisateur.

ID utilisateur

Identifiants associés à une personne identifiable. Par exemple, un ID de compte, un numéro de compte ou un nom de compte. 

Adresse

Adresse d'un utilisateur (adresse postale ou adresse du domicile, par exemple).

Numéro de téléphone

Numéro de téléphone de l'utilisateur.

Origines raciales ou ethniques

Informations sur l'origine raciale ou ethnique d'un utilisateur.

Convictions politiques ou religieuses

Informations sur les convictions politiques ou religieuses d'un utilisateur.

Orientation sexuelle

Informations concernant l'orientation sexuelle de l'utilisateur.

Autres infos

Toute autre information personnelle, telle que la date de naissance, l'identité de genre, le statut d'ancien combattant, etc.

Informations financières

Infos de paiement de l'utilisateur

Informations sur les comptes financiers d'un utilisateur, par exemple le numéro de carte de crédit.

Historique des achats

Informations sur les achats ou transactions d'un utilisateur.

Cote de crédit

Informations sur la cote de crédit d'un utilisateur.

Autres infos financières

Toute autre information financière, par exemple le salaire ou les dettes d'un utilisateur.

Forme et santé

Infos sur la santé

Informations sur la santé d'un utilisateur (par exemple, dossier médical ou symptômes).

Infos sur l'activité physique

Informations sur la forme physique d'un utilisateur (par exemple, exercices ou autres activités physiques).

Messages

E-mails

E-mails d'un utilisateur (ligne d'objet, expéditeur, destinataires et contenu).

SMS ou MMS

SMS d'un utilisateur (expéditeur, destinataires et contenu).

Autres messages dans l'application

Tous les autres types de messages. Par exemple, messages instantanés ou contenus de chat.

Photos et vidéos

Photos

Photos d'un utilisateur.

Vidéos

Vidéos d'un utilisateur.

Fichiers audio

Enregistrements audio ou vidéo

Voix de l'utilisateur (par exemple, message vocal ou enregistrement audio).

Fichiers musicaux

Fichiers musicaux d'un utilisateur.

Autres fichiers audio

Tout autre fichier audio créé ou fourni par l'utilisateur.

Fichiers et documents

Fichiers et documents

Fichiers ou documents d'un utilisateur, ou informations sur ses fichiers ou documents (noms de fichier, par exemple).

Agenda

Événements d'agenda

Informations contenues dans l'agenda d'un utilisateur (événements, notes d'événement et participants, par exemple).

Contacts

Contacts

Informations sur les contacts de l'utilisateur (nom des contacts, historique des messages et informations des graphes sociaux comme les noms d'utilisateur, la récence et la fréquence des contacts, la durée des interactions, et l'historique des appels, par exemple).

Activité dans les applications

Interactions avec l'appli

Informations sur la manière dont un utilisateur interagit avec l'application. Par exemple, le nombre de fois où il consulte une page ou les sections sur lesquelles il appuie.

Historique des recherches dans une appli

Informations sur ce qu'a recherché un utilisateur dans votre application.

Applications installées

Informations concernant les applications installées sur l'appareil d'un utilisateur.

Autre contenu généré par l'utilisateur

Tout autre contenu généré par l'utilisateur qui n'est pas listé ici ni dans une autre section. Par exemple, les biographies, les notes ou les réponses ouvertes de l'utilisateur.

Autres actions

Toute autre activité ou action de l'utilisateur effectuée dans une application et non listée ici, par exemple les actions dans les jeux, les clics sur "J'aime" et les options des boîtes de dialogue.

Navigation sur le Web

Historique de navigation Web

Informations sur les sites Web consultés par un utilisateur.

Infos et performance des applis

Journaux de plantage

Données du journal des plantages de votre application. Par exemple, nombre de plantages de votre application, traces de la pile ou autres informations liées directement à un plantage.

Diagnostics

Informations sur les performances de votre application. Par exemple, autonomie de la batterie, temps de chargement, latence, fréquence d'images ou diagnostics techniques.

Autres données de performance de l'appli

Toute autre donnée sur les performances de l'application non listée ici.

Appareil ou autres ID

Appareil ou autres ID

Identifiants associés à un appareil, à un navigateur ou à une application donnés. Par exemple, code IMEI, adresse MAC, ID d'appareil Widevine, ID d'installation Firebase ou identifiant publicitaire.
Finalités
Finalité des données Description Exemple
Fonctionnement de l'application Données utilisées pour les fonctionnalités disponibles dans l'application Par exemple, pour activer les fonctionnalités de l'application ou authentifier les utilisateurs.
Analyse

Données utilisées pour collecter des données sur les performances de votre application ou la façon dont les utilisateurs s'en servent

Par exemple, pour savoir combien d'entre eux utilisent une fonctionnalité précise, pour surveiller l'état de l'application, pour identifier et corriger des bugs ou des plantages, ou pour améliorer les performances par la suite.
Communications du développeur Données utilisées pour envoyer des informations ou des notifications sur l'application ou le développeur Par exemple, pour envoyer une notification push qui informe les utilisateurs d'une importante mise à jour de sécurité ou de l'ajout de fonctionnalités à l'application.
Publicité ou marketing Données utilisées pour afficher ou cibler des annonces ou des communications marketing, ou pour mesurer les performances des annonces Par exemple, pour afficher des annonces dans votre application, partager des données avec des partenaires publicitaires ou envoyer des notifications push dans le but de promouvoir d'autres produits ou services.
Prévention des fraudes, sécurité et conformité

Données utilisées pour prévenir les fraudes, assurer la sécurité ou respecter les lois

Par exemple, pour surveiller les tentatives de connexion qui ont échoué, dans le but d'identifier une éventuelle activité frauduleuse.

Personnalisation Données utilisées pour personnaliser votre application en recommandant des contenus ou en faisant des suggestions, par exemple

Par exemple, pour suggérer des playlists d'après les habitudes d'écoute de l'utilisateur ou diffuser les actualités locales en fonction de sa position.

Gestion du compte Données utilisées par le développeur pour configurer ou gérer le compte d'un utilisateur. Par exemple, pour permettre à l'utilisateur de créer un compte ou d'ajouter des informations à un compte que le développeur lui fournit dans ses différents services, de se connecter à l'application ou de valider ses identifiants.

Remplir le formulaire sur la sécurité des données dans la Play Console

Vous pouvez nous présenter les pratiques de confidentialité et de sécurité de votre application dans le formulaire sur la sécurité des données disponible sur la page Contenu de l'application dans la Play Console.

Présentation

Tout d'abord, nous vous demanderons si votre application collecte ou partage certains types de données utilisateur. Indiquez-nous si elle collecte ou partage l'un des types de données utilisateur obligatoires. Le cas échéant, nous vous poserons quelques questions sur vos pratiques de confidentialité et de sécurité. Si vous n'êtes pas sûr de savoir y répondre, vous pouvez enregistrer le formulaire en tant que brouillon à tout moment et y revenir plus tard.

Ensuite, répondez aux questions sur chaque type de données utilisateur. Si votre application collecte ou partage l'un des types de données utilisateur obligatoires, nous vous demanderons de les sélectionner. Pour chaque type de données, vous devrez répondre à des questions sur leur utilisation et leur traitement.

Avant d'envoyer le formulaire, vous aurez un aperçu de ce que les utilisateurs verront sur votre fiche Play Store. Lors de l'examen de votre application, Google examinera les informations que vous aurez fournies une fois le formulaire transmis.

Cet examen ne vise pas à vérifier l'exactitude ni l'exhaustivité de vos déclarations sur la sécurité des données. S'il est possible que nous détections des incohérences dans vos déclarations et que nous prenions alors les mesures appropriées, il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire sur la sécurité des données. Vous seul êtes responsable de fournir des déclarations complètes et exactes dans vos fiches Play Store sur Google Play.

Remplir et envoyer votre formulaire

Lorsque vous êtes prêt, remplissez et envoyez le formulaire sur la sécurité des données dans la Play Console :

  1. Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
  2. Sous "Sécurité des données", sélectionnez Commencer.
  3. Avant de commencer à remplir le formulaire, consultez la section "Présentation". Vous y trouverez des informations concernant les questions qui vous seront posées et les renseignements que vous devrez fournir. Une fois que vous aurez lu cette section et que vous serez prêt à commencer, sélectionnez Suivant pour passer à la section suivante.
  4. Dans la section "Collecte des données et sécurité", consultez la liste des types de données utilisateur obligatoires que vous devez déclarer. Si votre application collecte ou partage l'un des types de données utilisateur obligatoires, sélectionnez Oui. Sinon, sélectionnez Non.
  5. Si vous avez sélectionné "Oui", confirmez les points suivants en répondant Oui ou Non :
    • Les données utilisateur que collecte votre application sont-elles toutes chiffrées lors de leur transit ?
    • Proposez-vous aux utilisateurs un moyen de demander la suppression de leurs données ?
  6. Sélectionnez Suivant pour passer à la section suivante.
  7.  Dans la section "Types de données", sélectionnez tous les types de données utilisateur que collecte ou partage votre application. Lorsque vous avez terminé, sélectionnez Suivant pour passer à la section suivante. Pour remplir cette section, suivez les consignes ci-dessus sur la collecte et le partage de données.
  8. Dans la section "Utilisation et traitement des données", répondez aux questions sur l'utilisation et le traitement pour chaque type de données utilisateur que votre application collecte ou partage. À côté de chaque type de données utilisateur, sélectionnez Commencer pour répondre aux questions. Lorsque vous avez terminé, sélectionnez Suivant pour passer à la section suivante.
    • Remarque : Pour modifier les types de données utilisateur sélectionnés, revenez à l'étape précédente et modifiez votre choix.
  9. Lorsque vous avez répondu à toutes les questions, la section "Aperçu de la fiche Play Store" contient les informations qui seront présentées aux utilisateurs sur Google Play en fonction des réponses que vous avez fournies dans le formulaire. Vérifiez ces informations.

Si vous êtes prêt à envoyer le formulaire, sélectionnez Envoyer. Si vous voulez revenir en arrière pour effectuer des changements, sélectionnez Retour et modifiez vos réponses. Si vous avez des doutes, vous pouvez sélectionner Enregistrer comme brouillon et revenir au formulaire plus tard. Si vous sélectionnez Ignorer les modifications, vous devrez recommencer à remplir le formulaire.

Importer ou exporter vos réponses aux questions du formulaire

Vous pouvez exporter vos réponses aux questions du formulaire au format CSV. Vous avez également la possibilité de télécharger un modèle de fichier CSV, de remplir le formulaire hors connexion, puis d'importer le formulaire complété depuis le fichier CSV.

Cliquez ici pour télécharger un modèle de fichier CSV.

Comprendre le format CSV

Le fichier CSV contient une ligne par réponse. Les réponses aux questions à choix multiples et à choix unique s'étendent sur plusieurs lignes, correspondant au nombre de choix disponibles. Pour répondre à une question, saisissez TRUE ou FALSE dans la cellule correspondante de la colonne "Valeur de la réponse". Vous pouvez également ne pas renseigner la cellule si la question est facultative ou si vous répondez à une question à choix multiples. La colonne "Réponse requise" indique si la réponse est obligatoire ou non. Les valeurs possibles sont les suivantes :

  • OPTIONAL : réponse facultative. La cellule peut être laissée vide.
  • REQUIRED : réponse obligatoire. Vous devez fournir une valeur de réponse.
  • MULTIPLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à au moins une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
  • SINGLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE à l'une des réponses proposées pour l'ID de question correspondant. Vous pouvez laisser les autres réponses vides.
  • MAYBE_REQUIRED : obligatoire uniquement lorsque certaines conditions sont remplies, par exemple en fonction de votre réponse à une question précédente.

Dans le tableau ci-dessous, vous trouverez un exemple pour les sections "Nom" et "Position approximative" du formulaire sur la sécurité des données. Il contient les éléments suivants :

  • Une question à choix multiples
  • Une question obligatoire
  • Une question facultative

ID de la question
(lisible par un ordinateur)

Réponse
(lisible par un ordinateur)
Valeur de la réponse Réponse requise Question lisible par l'utilisateur
PSL_DATA_
TYPES_
PERSONAL
PSL_NAME TRUE MULTIPLE_
CHOICE
Informations personnelles
Nom
       
PSL_DATA_
TYPES_
LOCATION
PSL_
APPROX_
LOCATION
TRUE MULTIPLE_
CHOICE
Position
Position approximative
       
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
PSL_DATA_USAGE_
COLLECTION_AND_
SHARING
PSL_DATA_
USAGE_ONLY_
COLLECTED
TRUE MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Ces données sont-elles collectées, partagées ou les deux ?
Collectées
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
PSL_DATA_USAGE_
COLLECTION_AND_
SHARING
PSL_DATA_
USAGE_ONLY_
SHARED
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Ces données sont-elles collectées, partagées ou les deux ?
Partagées
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
PSL_DATA_USAGE_
EPHEMERAL
  TRUE MAYBE_
REQUIRED
Utilisation et traitement des données (nom)
Ces données sont-elles traitées de manière éphémère ?
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_USER_
CONTROL
PSL_DATA_
USAGE_USER_
CONTROL_
OPTIONAL
TRUE SINGLE_
CHOICE
Utilisation et traitement des données (nom)
Ces données sont-elles requises pour votre application, ou les utilisateurs peuvent-ils décider qu'elles soient collectées ou non ?
Les utilisateurs peuvent choisir si ces données sont collectées ou non
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_USER_
CONTROL
PSL_DATA_
USAGE_USER_
CONTROL_
REQUIRED
  SINGLE_
CHOICE
Utilisation et traitement des données (nom)
Ces données sont-elles requises pour votre application, ou les utilisateurs peuvent-ils décider qu'elles soient collectées ou non ?
La collecte de données est obligatoire (les utilisateurs ne peuvent pas désactiver cette collecte)
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_APP_
FUNCTIONALITY
TRUE MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Fonctionnement de l'application
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_ANALYTICS TRUE MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Analyse
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_DEVELOPER_
COMMUNICATIONS
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Communications du développeur
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_FRAUD_
PREVENTION_
SECURITY
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Prévention des fraudes, sécurité et conformité
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_ADVERTISING   MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Publicité ou marketing
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_
PERSONALIZATION
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Personnalisation
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
COLLECTION_
PURPOSE
PSL_ACCOUNT_
MANAGEMENT
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles collectées ? Plusieurs réponses possibles.
Gestion des comptes
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_APP_
FUNCTIONALITY
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Fonctionnement de l'application
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_ANALYTICS   MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Analyse
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_DEVELOPER_
COMMUNICATIONS
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Communications du développeur
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_FRAUD_
PREVENTION_
SECURITY
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Prévention des fraudes, sécurité et conformité
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_
ADVERTISING
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Publicité ou marketing
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_
PERSONALIZATION
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Personnalisation
PSL_DATA_USAGE_
RESPONSES:
PSL_NAME:
DATA_USAGE_
SHARING_
PURPOSE
PSL_ACCOUNT_
MANAGEMENT
  MULTIPLE_
CHOICE
Utilisation et traitement des données (nom)
Pourquoi ces données utilisateur sont-elles partagées ? Plusieurs réponses possibles.
Gestion des comptes
Exporter les réponses dans un fichier CSV
  1. Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
  2. Sous "Sécurité des données", sélectionnez Commencer.
  3. En haut à droite de la page, sélectionnez Exporter au format CSV.
Importer les réponses depuis un fichier CSV

Important : Les réponses déjà saisies dans votre formulaire seront écrasées lorsque vous importerez un fichier CSV.

  1. Ouvrez la Play Console et accédez à la page Contenu de l'application (Règles > Contenu de l'application).
  2. Sous "Sécurité des données", sélectionnez Commencer.
  3. En haut à droite de la page, sélectionnez Importer le fichier CSV.

Après avoir envoyé votre formulaire sur la sécurité des données

Lors de l'examen de votre application, Google examinera les informations que vous aurez fournies une fois le formulaire transmis.

Vous pourrez continuer à publier des mises à jour de votre application jusqu'au 20 juillet 2022, que nous découvrions des problèmes avec les informations que vous avez déclarées ou non. Si nous ne détectons pas de problème, votre application sera approuvée et vous n'aurez rien à faire. Sinon, vous devrez rétablir l'état "Brouillon" pour votre formulaire sur la sécurité des données dans la Play Console pour publier la mise à jour de votre application. Nous enverrons également un e-mail au titulaire du compte de développeur ainsi qu'un message dans la boîte de réception de la Play Console. De plus, nous afficherons ces informations dans la section État de conformité avec les règles (Règles > État de conformité avec les règles).

À compter du 20 juillet 2022, vous devrez avoir rempli un formulaire sur la sécurité des données exact déclarant vos pratiques en termes de collecte et de partage de données pour toutes vos applications (y compris celles qui ne collectent aucune donnée utilisateur).

Format facultatif pour les SDK

Si vous êtes un fournisseur de SDK, vous pouvez cliquer sur la section ci-dessous. Vous y découvrirez le format facultatif que vous pouvez utiliser pour publier des conseils destinés à vos utilisateurs.

Les développeurs sont tenus de communiquer les pratiques de collecte, de partage et de sécurité des données de leur application dans la nouvelle section sur la sécurité des données de Google Play. Afin que les développeurs puissent améliorer la transparence sur les données utilisateur et sur la sécurité, voici quelques conseils pour publier des consignes concernant les SDK à l'attention des développeurs qui intègrent votre SDK dans leurs applications.

Google Play met cette structure facultative à la disposition des développeurs de SDK, mais vous pouvez vous servir du format qui vous convient ou n'en choisir aucun, selon les besoins de vos utilisateurs.

Format facultatif pour les SDK
[Nom du SDK]
SDK/Fonctionnalité du SDK susceptible de collecter ou de partager des données

Type de données que le SDK collecte ou auquel il accède

Remarque : Nous vous recommandons de fournir des informations techniques exactes pour aider vos clients à déterminer quelles définitions de la section sur la sécurité des données de Google Play concernant les types de données s'appliquent aux données que votre SDK collecte. Il se peut que vous préfériez, dans certains cas, utiliser une définition de la section sur la sécurité des données (par exemple, "position approximative"), car le type de données applicable est clair et ne dépend pas de facteurs extérieurs. Dans d'autres cas, la définition du type de données peut dépendre de la façon dont les données sont utilisées après leur collecte ou de la manière dont le développeur interprète les définitions de la section sur la sécurité des données de Play. Par exemple, les adresses IP peuvent être utilisées pour déterminer la position ou pour extraire des identifiants, ou pour de nombreuses autres fins, en fonction de la nature du SDK, de son implémentation par une application donnée ou d'autres facteurs.

Remarque : Les développeurs n'ont pas besoin de déclarer l'accès aux données en tant que collecte si l'accès se fait uniquement sur l'appareil de l'utilisateur, à condition que les données ne soient jamais transmises en dehors de celui-ci.

Pour chaque type de données listé :

  1. Décrivez l'accès aux données obligatoire (ou automatique) et l'accès facultatif (permet, entre autres, à un utilisateur d'accepter ou non la collecte de données).
  2. Demandez-vous si le SDK transmet ces données en dehors de l'appareil.
  3. Décrivez les finalités pour lesquelles les données sont collectées, puis partagées et utilisées.
    • Remarque : Dans de nombreux cas, les finalités de la collecte et du partage peuvent dépendre de la façon dont un développeur donné utilise ou implémente votre SDK. Pensez à fournir ici toutes les informations techniques pertinentes qui peuvent aider vos clients à déterminer les finalités applicables à déclarer dans la section sur la sécurité des applications. Par exemple, si votre SDK comporte des modules facultatifs, vous devez l'indiquer pour chaque module.
  4. Le SDK transfère-t-il les données à des tiers, y compris à d'autres applications sur l'appareil de l'utilisateur ? Décrivez les finalités de ce partage.
Remarque : Les développeurs n'ont pas besoin de déclarer des transferts de données dans la section sur la sécurité des données de leurs applications dans certains cas (lorsque les données sont transférées vers un fournisseur de services qui les traite en leur nom ou si les données sont transférées à des fins légales, par exemple). Pour en savoir plus, consultez cet article d'aide de la Play Console. Pensez à fournir ici toutes les informations techniques pertinentes qui peuvent aider vos clients à déterminer si une exception de partage s'applique.

Notes au niveau de l'application [remplissez la section pour toutes les données collectées ou partagées]

  1. Votre SDK chiffre-t-il les données en transit ?
    • Remarque : Si la réponse à cette question varie selon les ensembles de données collectés par le SDK, pensez à expliquer comment le chiffrement en transit est appliqué à chaque ensemble de données. Dans la section sur la sécurité des données de Play, les développeurs ne peuvent déclarer le chiffrement en transit que s'il s'applique à toutes les données utilisateur collectées par leur application (y compris l'ensemble des bibliothèques et des SDK) et transmises en dehors de l'appareil de l'utilisateur.
  2. Le développeur de l'application et/ou les utilisateurs peuvent-ils demander la suppression des données utilisateur collectées ?

Questions fréquentes

TOUT RÉDUIRE TOUT DÉVELOPPER

Envoi et examen des applications

Que faire si j'ai besoin de plus de temps pour me conformer aux nouvelles exigences ?

Vous pouvez envoyer les formulaires sur la sécurité des données dans la Play Console depuis octobre. Vous bénéficiez d'un délai de grâce jusqu'au 20 juillet 2022, ce qui devrait être suffisant. À ce stade, nous n'avons pas l'intention de prolonger ce délai.

Google Play peut-il bloquer une application à cause des informations envoyées par un développeur au vu de cette nouvelle exigence ?

Pour faire simple, après le 20 juillet 2022, oui. Les développeurs doivent indiquer précisément comment leurs applications collectent et gèrent les données. Ils sont responsables des informations qu'ils communiquent. Google Play vérifie que les applications respectent l'intégralité du règlement. Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Vous êtes le seul à disposer de toutes les informations nécessaires pour remplir le formulaire sur la sécurité des données.

Si nous constatons qu'un développeur ne nous a pas fourni des données exactes et qu'il ne respecte pas le règlement, nous lui demanderons de corriger le problème. Les applications qui ne sont pas conformes feront l'objet de mesures. Par exemple, nous les supprimerons de Google Play ou bloquerons leurs mises à jour.

Cette nouvelle exigence aura-t-elle une incidence sur les délais d'examen des applications ?

Jusqu'au 20 juillet 2022, pendant la période de grâce, les délais d'examen des applications ne seront pas affectés et les développeurs pourront continuer à mettre à jour les applications existantes avec les versions actuelles. Passé ce délai, les nouvelles applications et les mises à jour que les développeurs auront envoyées seront refusées si les informations fournies ne respectent pas le règlement. Toutefois, jusqu'au 20 juillet 2022, ils pourront toujours publier des mises à jour ou de nouvelles applications même si la section Sécurité des données n'est pas conforme.

Combien de temps faut-il pour que les modifications apportées dans la section Sécurité des données via la Play Console s'affichent sur Google Play ?

Une fois que vous avez envoyé une nouvelle application ou la mise à jour d'une application existante dans la Play Console, cela peut prendre un certain temps avant qu'elle ne soit traitée pour une publication standard sur Google Play. Certaines applications peuvent faire l'objet d'un examen plus approfondi, ce qui peut étendre le délai à sept jours (voire plus dans certains cas exceptionnels).

Que faire si je ne vois pas ma section Sécurité des données sur Google Play ?

Les mises à jour d'application et les nouvelles applications doivent respecter le Règlement du programme Google Play pour les développeurs. Pour voir si l'application ou la mise à jour que vous avez envoyée est toujours en attente d'examen, vous pouvez consulter la page Vue d'ensemble de la publication dans la Play Console. 

Si votre dernière mise à jour est prête et que vous ne voyez toujours pas le formulaire concernant la section Sécurité des données sur Google Play, vous pouvez vérifier si la publication gérée est activée dans la Play Console. Si la publication gérée est activée, votre version n'est pas disponible tant que vous ne l'avez pas publiée. Vous pouvez déployer votre version depuis la page "Vue d'ensemble de la publication". Une fois approuvée, l'application ou la mise à jour envoyée sera ensuite publiée et disponible sur Google Play peu de temps après.

Si vous avez modifié le contenu de la section Sécurité des données, mais que vous ne voyez pas sur Google Play les dernières modifications que vous avez apportées, essayez d'actualiser la page de l'application. Notez qu'en raison de la connectivité des appareils et de la charge fluctuante du serveur, il peut s'écouler plusieurs jours (dans certains cas, jusqu'à sept jours) avant qu'une mise à jour ou une modification concernant application ne soit appliquée à tous les appareils. Nous vous remercions de votre patience pendant que Google Play enregistre et publie la mise à jour de votre application.

Je viens d'envoyer des informations similaires pour iOS. Quelle partie de ces informations puis-je réutiliser dans le formulaire sur la sécurité des données ?

Nous sommes ravis de constater que vous avez bien en main la gestion des données de votre application. Dans le formulaire sur la sécurité des données, vous devez fournir des informations supplémentaires et différentes que vous n'avez peut-être pas utilisées auparavant. Attendez-vous donc à ce que cela représente une certaine quantité de travail pour votre équipe. La classification et le cadre de la section Sécurité des données sur Google Play peuvent être sensiblement différents de ceux d'autres plates-formes de téléchargement d'applications.

Comment allez-vous vous assurer que les développeurs fournissent des informations exactes ? Nous avons constaté que ce n'était pas toujours le cas dans le secteur.

Comme pour les règles de confidentialité ou les informations sur les applications (captures d'écran et descriptions, par exemple), les développeurs sont responsables des informations qu'ils déclarent dans la section Sécurité des données. Conformément à la Règle sur les données utilisateur de Google Play, les développeurs sont tenus de communiquer des informations exactes. Si nous constatons qu'un développeur ne nous a pas fourni des données exactes et qu'il ne respecte pas le règlement, nous lui demanderons de corriger le problème. Les applications non conformes feront l'objet de mesures.

Est-ce que Google va intervenir pour s'assurer que les données collectées par le développeur sont finalement appropriées ?

Les utilisateurs de Google Play doivent avoir l'assurance que leurs données sont en sécurité. Nous publions constamment de nouvelles fonctionnalités et règles pour protéger la vie privée des utilisateurs et faire de Google Play un endroit sûr qui est ouvert à tous. Certaines des nouvelles règles et fonctionnalités de Google Play offrent aux utilisateurs davantage de contrôle et de transparence. D'autres permettent aux développeurs de n'accéder aux données à caractère personnel que lorsque cela s'avère nécessaire pour l'utilisation principale de l'application. Le règlement du programme Google Play pour les développeurs contient de nombreuses exigences en termes de contrôle et de transparence des données. Les applications qui ne respectent pas ce règlement feront l'objet de mesures.

À quelle fréquence la section Sécurité des données doit-elle être modifiée ?

Vous devez l'actualiser lorsque vous apportez des modifications pertinentes à la façon dont vous gérez les données dans votre application. Les réponses que vous fournissez dans le formulaire sur la sécurité des données doivent toujours être exactes et complètes.

Le lancement de la section Sécurité des données de Google Play aura-t-il un impact sur les téléchargements d'applications ?

La section Sécurité des données peut aider les utilisateurs à déterminer quelles applications ils souhaitent télécharger. Elle permet également aux développeurs de gagner leur confiance, de susciter leur intérêt et de leur apporter la certitude que leurs données seront traitées de façon responsable. Certains développeurs nous ont indiqué vouloir communiquer plus clairement à leurs utilisateurs la manière dont ils gèrent leurs données.

Remplir le formulaire sur la sécurité des données

Que se passe-t-il si mon application se comporte différemment selon les versions d'Android compatibles ?

Google Play propose un formulaire global sur la sécurité des données et une section Sécurité des données sur la fiche Google Play Store par nom de package, qui est indépendante de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez ou associez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer sur le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.

Comment spécifier que nos pratiques peuvent varier selon les régions ? Par exemple, nous n'utilisons pas certaines bibliothèques en Europe, mais nous pouvons nous en servir dans d'autres régions.

Pour le moment, nous vous permettons de présenter globalement votre gestion des données par application. Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Utilisez la section "À propos de l'application" pour partager des informations spécifiques de la version avec vos utilisateurs. La section Sécurité des données explique aux utilisateurs de Google Play que les pratiques concernant la collecte et la sécurité des données d'une application peuvent varier selon un certain nombre de facteurs, comme la région.

Les sections Sécurité des données sont-elles contrôlées par un mécanisme de demande de consentement pour les utilisateurs ? Dois-je prendre des mesures supplémentaires et afficher un communiqué visible dans l'application ?

Non, la section Sécurité des données ne figure que sur la fiche Play Store de votre application sur Google Play. Il n'y a aucun nouveau communiqué lors de l'installation de l'application ni aucune nouvelle demande de consentement de l'utilisateur liée à cette exigence. Les développeurs qui collectent des données utilisateur sensibles et à caractère personnel sont tenus d'implémenter des communiqués et des demandes de consentement dans l'application, conformément à la Règle sur les données utilisateur de Google Play.

Comment dois-je décrire les collectes obligatoires ou facultatives lorsque différentes versions de mon application qui présentent une section Sécurité des données ne font pas la même chose ?

Vous devez décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play. Si une version de votre application nécessite de collecter certaines données, vous devez déclarer cette collecte comme obligatoire dans la section Sécurité des données. Vous ne devez pas décrire la collecte comme facultative si elle est requise pour une partie des utilisateurs de votre application. Vous pouvez remplir la section "À propos de l'application" pour partager des informations spécifiques à la version avec vos utilisateurs.

Dois-je déclarer la collecte et le partage de données si mon application inclut une autorisation, mais qu'elle ne les collecte pas ou ne les partage pas réellement ?

Vous n'avez pas besoin de déclarer la collecte ou le partage de données, sauf si des données sont réellement collectées et/ou partagées. Votre application doit respecter l'intégralité du règlement du programme Google Play pour les développeurs, y compris la règle sur les autorisations et les API qui accèdent à des informations sensibles.

Si je collecte un type de données lorsque j'en recueille un autre, dois-je déclarer les deux ? Par exemple, si j'ai collecté des contacts contenant l'adresse e-mail de l'utilisateur, dois-je déclarer les types de données "Contacts" et "Adresse e-mail" ?

Si vous collectez volontairement un type de données lorsque vous en recueillez un autre, vous devez indiquer les deux. Par exemple, si vous collectez des photos d'utilisateurs et que vous vous en servez pour déterminer les caractéristiques de ces personnes (par exemple leur origine ethnique), vous devez également indiquer que vous collectez des données sur leur origine ethnique.

Suis-je obligé de fournir un mécanisme de suppression ? Doit-il s'appliquer à toutes les données utilisateur ?

La section Sécurité des données permet aux développeurs d'indiquer s'ils proposent un mécanisme permettant aux utilisateurs de demander la suppression de leurs données. Lorsque les développeurs remplissent le formulaire sur la sécurité des données, ils doivent préciser s'ils fournissent un tel mécanisme.

Dois-je fournir un type de mécanisme spécifique pour indiquer que mon application offre la possibilité aux utilisateurs de demander la suppression de leurs données ?

Il n'y a pas de mécanisme prescrit. Toutefois, il est recommandé de faire en sorte que les utilisateurs puissent facilement voir ce mécanisme et y avoir accès. Par exemple, ce type de mécanisme (qui indique clairement comment les utilisateurs peuvent demander la suppression de leurs données) peut être, sans s'y limiter, une fonctionnalité intégrée à l'application, un formulaire de contact ou un alias d'adresse e-mail dédié.

Comment indiquer dans le formulaire sur la sécurité des données que je propose un mécanisme de demande de suppression des données qui est automatiquement supprimé ou anonymisé ?

Les développeurs peuvent sélectionner le badge du mécanisme de demande de suppression dans le formulaire sur la sécurité des données :

  • s'ils proposent aux utilisateurs un tel mécanisme ou ;
  • s'ils lancent automatiquement la suppression ou l'anonymisation des données collectées dans les 90 jours suivant leur collecte.

Ils peuvent sélectionner ce badge même s'ils doivent conserver certaines données pour des raisons légitimes (que ce soit pour respecter les lois ou prévenir des abus).

Que faire si le mécanisme de demande de suppression que je fournis n'est pas accessible à tous les utilisateurs dans le monde ? ⁠ Puis-je quand même indiquer que je propose ce mécanisme ?

Google Play propose un formulaire global sur la sécurité des données et une section Sécurité des données sur la fiche Google Play Store par nom de package. Vous devez y préciser comment sont gérées les données en fonction de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. Autrement dit, si vous collectez, utilisez et traitez des données dans n'importe quelle version de l'application actuellement disponible sur Google Play, où que ce soit dans le monde, vous devez l'indiquer dans le formulaire. Vous devez donc décrire dans la section Sécurité des données l'ensemble des pratiques de votre application concernant la collecte et le partage des données pour toutes les versions actuellement disponibles sur Google Play.

Quels types de techniques peuvent être utilisés pour anonymiser les données ?

Il existe plusieurs méthodes pour rendre des données anonymes afin qu'elles ne puissent pas être associées à un utilisateur particulier. Nous vous conseillons de contacter vos spécialistes de la confidentialité et de la sécurité pour identifier les méthodes applicables à votre cas d'utilisation. À titre d'exemple, cette page présente certaines des méthodes d'anonymisation des données utilisées par Google, comme la confidentialité différentielle.

Comment dois-je traiter la collecte et l'utilisation des adresses IP ?

Comme pour tout autre type de données, les développeurs doivent indiquer qu'ils collectent, utilisent et partagent les adresses IP en fonction de leur utilisation et de leurs pratiques. Par exemple, s'ils se servent d'adresses IP pour déterminer la zone géographique, ils doivent déclarer ce type de données.

Comment dois-je déclarer la collecte et le partage d'autres types d'identifiants ?

Comme pour tout autre type de données, vous devez indiquer que vous collectez, utilisez et partagez différents types d'identifiants en fonction de votre utilisation et de vos pratiques. Par exemple, la collecte du nom de compte associé à une personne identifiable doit être déclarée comme "Identifiant personnel", et la collecte de l'identifiant publicitaire Android d'un utilisateur doit être déclarée comme "Appareil ou autres identifiants". Autre exemple : il n'est pas nécessaire de déclarer comme "Appareil ou autres identifiants" un identifiant associé à un événement spécifique dans l'application, mais qui ne se rapporte pas raisonnablement à un appareil, à un navigateur ni à une application en particulier.

Comme indiqué ci-dessus, la collecte de données par pseudonymisation doit être précisée dans votre formulaire, sous le type de données correspondant. Par exemple, si vous recueillez des informations de diagnostic avec un identifiant d'appareil, vous devez indiquer que vous collectez des données de type "Diagnostic" dans le formulaire sur la sécurité des données.

Quels types d'activités les "fournisseurs de services" peuvent-ils offrir ?

Un fournisseur de services ne peut que traiter les données utilisateur en votre nom. Par exemple, un fournisseur de solutions d'analyse qui traite les données utilisateur de votre application uniquement en votre nom ou un fournisseur cloud qui héberge les données utilisateur de votre application pour votre propre usage sera généralement considéré comme un "fournisseur de services". En revanche, si un fournisseur de SDK crée des profils publicitaires pour plusieurs clients à partir des données de votre application, il ne sera pas considéré comme un "fournisseur de services" pour la section Sécurité des données. Vous devez déclarer cette activité en tant que "partage" dans le formulaire sur la sécurité des données.

Mon application utilise un service de paiement externe pour gérer les transactions financières. Dois-je déclarer la collecte d'informations financières, comme les informations de carte de crédit, dans la section Sécurité des données ?

Tout dépend de la nature de l'intégration au service de paiement. Si votre application utilise un service de paiement tel que PayPal, Google Pay, le système de facturation de Google Play ou des services similaires pour effectuer des opérations de paiement, vous n'avez pas besoin de déclarer que le service de paiement collecte des données (par exemple, les numéros de carte de crédit) pour le traitement des transactions financières, sous réserve que les deux conditions suivantes soient remplies :

  • Votre application n'accède jamais à ces informations.
  • Le service de paiement collecte ces informations directement auprès de l'utilisateur, conformément aux conditions d'utilisation du service.

Examinez attentivement l'intégration de votre application au service de paiement et pensez à déclarer, dans la section Sécurité des données, toute activité de collecte et de partage de données pertinentes qui ne respecte pas ces conditions. Vous devez également déterminer si votre application collecte d'autres informations financières, telles que l'historique des achats, et si elle reçoit des données pertinentes du service de paiement, par exemple pour lutter contre la fraude et limiter les risques.

Les utilisateurs de mon application peuvent importer leurs données directement dans Google Drive ou Dropbox pour les sauvegarder ou les stocker. Mon application n'a accès à aucune de ces données. Dois-je néanmoins déclarer cette activité en tant que "collecte" ?

Cela dépend de l'implémentation choisie. Vous n'avez pas besoin de déclarer la collecte des données si les conditions suivantes sont remplies : l'utilisateur décide d'importer ses données directement sur un disque externe ou dans son compte de stockage cloud (Google Drive, Dropbox ou services similaires), l'importation est régie par les conditions d'utilisation et les règles de confidentialité du disque externe ou du fournisseur de stockage cloud, et votre application ne collecte jamais les données en question ni n'y accède.

Comment chiffrer les données en transit ?

Vous devez respecter les normes du secteur afin de chiffrer de manière sécurisée les données en transit de votre application. TLS (Transport Layer Security) et HTTPS sont les protocoles de chiffrement les plus courants.

Mon application permet aux utilisateurs de créer un compte et d'y ajouter des informations telles que leur date de naissance ou leur genre. Comment dois-je déclarer les données qu'ils ajoutent à leur compte ?

Vous devez déclarer la collecte de ces données pour la gestion du compte et préciser, le cas échéant, si l'utilisateur peut décider qu'elles soient collectées ou non.

En outre, comme pour tous les types de données collectées par votre application, vous devez indiquer la nature des données collectées et les finalités pour lesquelles l'application utilise les données. Par exemple, si votre application permet à l'utilisateur d'ajouter une date de naissance à son compte et si elle se sert de ces données pour lui envoyer des notifications push en temps voulu, vous devez déclarer cette finalité en plus de la gestion du compte.

La gestion de compte couvre les utilisations générales des données du compte qui ne sont pas propres à l'application. Par exemple, si vous utilisez les informations du compte pour la prévention de la fraude, la publicité, le marketing ou les communications du développeur dans vos services et que cette utilisation ne concerne pas spécifiquement votre application ni les activités de celle-ci, déclarer la collecte des données du compte en tant qu'activité de "gestion de compte" suffit à couvrir ces utilisations générales dans la section Sécurité des données. Cependant, vous devez déclarer toutes les finalités pour lesquelles l'application elle-même utilise les données. Nous vous recommandons ainsi d'indiquer comment votre application traite les données utilisateur liées aux services associés au compte lors du processus d'inscription et dans la documentation au niveau du compte.

Qu'entend-on par "services système" ?

Les services système sont des logiciels préinstallés qui assurent le fonctionnement central du système. Ils peuvent faire l'objet d'une dérogation et ne pas figurer dans le formulaire sur la sécurité des données.

Le formulaire sur la sécurité des données que j'ai envoyé pour mon application a été approuvé, mais j'ai récemment reçu une notification concernant une mise à jour. Comment puis-je vérifier l'état des informations envoyées ? Cet état n'est-il pas définitif ?

Vous pouvez vérifier l'état de votre formulaire sur la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Si les informations que vous avez envoyées sont conformes, une coche verte s'affiche dans la section Sécurité des données.

Remarque : nos règles s'appuient sur des systèmes et des processus qui sont constamment améliorés. Des applications précédemment approuvées pourront être refusées pour cause de non-conformité à la suite des modifications et des mises à jour des règles.

Google Play informera les développeurs de toute mise à jour. Vous pouvez consulter la Règle sur les données utilisateur et cet article du centre d'aide pour vous assurer que vous connaissez les dernières recommandations.

Comment déclarer la collecte des données qui sont utilisées de façon temporaire pour charger des pages et traiter d'autres requêtes côté client en temps réel avant que ces données soient consignées sur nos serveurs et utilisées à d'autres fins ?

Si cette utilisation est éphémère, vous n'avez pas besoin de l'indiquer dans votre formulaire. Cependant, vous devez déclarer toute utilisation de ces données utilisateur au-delà du traitement éphémère, y compris toutes les finalités pour lesquelles vous vous servez des données utilisateur consignées. Le concept de traitement éphémère est défini dans la section Collecte des données ci-dessus.

Quelle est la différence entre la liste des autorisations et la section Sécurité des données d'une application ?

Google recueille des informations pour la liste des autorisations en fonction des autorisations indiquées au moment de l'installation déclarées dans le fichier manifeste d'une application.

La section Sécurité des données indique les données collectées par l'application et partagées avec des tiers.

Journal des modifications

Consultez cette section pour connaître l'historique des révisions de cet article et suivre les modifications apportées au fur et à mesure. Nous y ajouterons des entrées datées chaque fois que nous le modifierons de façon significative.

20 juillet 2022

Dans la section "Préparer les informations", nous avons modifié un point du calendrier pour expliquer que les envois de nouvelles applications et les mises à jour d'applications non conformes feront l'objet d'avertissements indiquant que ces envois et mises à jour seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus. Nous avons également précisé ce qui se passera au terme de la période d'avertissement, le 22 août 2022.

Dans la section Que doivent indiquer les développeurs dans le formulaire sur la sécurité des données, nous avons apporté les modifications suivantes dans la sous-section Examen de sécurité indépendant (disponible pour toutes les applications) :

  • Nous avons remplacé le titre "Examen de sécurité indépendant (fonctionnalité en version bêta à partir de mars 2022, bientôt en disponibilité générale)" par "Examen de sécurité indépendant (désormais disponible pour tous les développeurs), car cette fonctionnalité est maintenant disponible pour toutes les applications.
  • Nous avons ajouté, dans la sous-section, des informations pour les développeurs qui souhaitent qu'un examen de sécurité indépendant soit effectué.

Nous avons apporté les modifications suivantes à la section Questions fréquentes :

  • Nous avons modifié la réponse à la question "Suis-je obligé de fournir un mécanisme de suppression ? Doit-il s'appliquer à toutes les données utilisateur ?"
  • Juste en dessous de cette question, nous avons également ajouté trois questions et réponses, où vous trouverez des informations plus détaillées sur les mécanismes de suppression des données et le formulaire sur la sécurité des données.
  • Nous avons ajouté une nouvelle question concernant la différence entre la liste des autorisations et la section Sécurité des données d'une application. Nous avons supprimé une question concernant les applications ciblant les anciennes versions d'Android.
28 juin 2022

Dans la section Vue d'ensemble, nous avons ajouté une phrase encourageant les développeurs à consulter Google Play SDK Index pour savoir si leur fournisseur a indiqué un lien vers ses conseils. Pour en savoir plus, consultez l'article du centre d'aide Faire des choix éclairés avec Google Play SDK Index.

Dans la section Préparer les informations, nous avons ajouté une recommandation : regarder la vidéo Google Play PolicyBytes sur le formulaire de sécurité des données, qui présente toutes les ressources et étapes nécessaires pour remplir le formulaire sur la sécurité des données.

26 avril 2022

Dans la section Aperçu, nous avons ajouté une phrase encourageant certains développeurs à consulter les informations sur la sécurité des données, publiées par leurs fournisseurs de SDK (Firebase et AdMob, par exemple) pour en savoir plus.

Dans la section "Préparer les informations", nous avons modifié un point du calendrier (voir juillet 2022) afin d'indiquer que la mention "Aucune donnée disponible" que les utilisateurs verraient sur Google Play serait remplacée par "Aucune information disponible".

Dans la section Questions fréquentes, nous avons apporté les modifications suivantes :

  • Nous avons ajouté une question sur les services système et la réponse correspondante.
  • Nous avons ajouté une question et la réponse sur ce que vous pouvez faire si les dernières modifications que vous apportées dans la section Sécurité des données ne sont toujours pas affichées sur Google Play.
  • Nous avons actualisé les réponses existantes concernant la gestion de compte et le délai d'affichage sur Google Play des modifications sur la sécurité des données.
8 avril 2022

Le 8 avril 2022, nous avons corrigé le nom du type de données "Photos et vidéos" (auparavant appelé "Photos ou vidéos").

24 février 2022

Le 24 février 2022, nous avons apporté un certain nombre de modifications à cet article comme décrit ci-dessous.

Modification du calendrier

Nous avons actualisé le calendrier dans la section "Préparer les informations" :

  • Nous avions annoncé que la section Sécurité des données serait disponible dans Google Play pour tous les utilisateurs à partir de février 2022. Cette échéance est reportée à fin avril 2022.
  • Nous avions annoncé que les envois de nouvelles applications et les mises à jour d'application seraient refusés dans la Play Console à partir d'avril 2022 si les problèmes liés au formulaire n'étaient pas résolus. Cette échéance est reportée au 20 juillet 2022.
  • Nous avions annoncé que d'autres mesures pourraient être prises par la suite pour les applications non conformes à partir d'avril 2022. Cette échéance est reportée après le 20 juillet 2022.

Nous avons actualisé les autres références aux dates dans l'article pour qu'elles correspondent aux nouvelles échéances indiquées ci-dessus.

Précisions concernant les informations que les développeurs doivent déclarer pour les différents types de données

Nous avons apporté les modifications suivantes dans la section "Que doivent spécifier les développeurs concernant les différents types de données ?", sous Que doivent indiquer les développeurs dans le formulaire sur la sécurité des données ? :

Modifications concernant les types de données et les finalités

Nous avons apporté quelques modifications mineures à l'intitulé des types de données :

  • "Identifiants personnels" a été renommé "ID utilisateur".
  • "Carte de crédit, carte de débit ou numéro de compte bancaire" a été renommé "Infos de paiement de l'utilisateur".
  • "Informations sur le crédit" a été renommé "Cote de crédit".
  • Nous avons ajouté l'exemple du salaire ou des dettes de l'utilisateur pour le type de données "Autres informations financières".
  • "Informations sur la santé" a été renommé "Infos sur la santé".
  • "Informations sur l'activité physique" a été renommé "Infos sur l'activité physique".
  • The "SMS or MMS messages" data type was renamed "SMS or MMS."
  • "Pages vues et appuis dans une application" a été renommé "Interactions avec l'appli". La description de ce type de données a également été mise à jour.
  • Les descriptions des types de données "Autre contenu généré par l'utilisateur" et "Autres actions" ont été mises à jour.
  • "Autres informations personnelles" a été renommé "Autres infos".
  • "Appareil ou autres identifiants" a été renommé "Appareil ou autres ID".

Nous avons clarifié les finalités des données :

  • L'exemple pour "Communications du développeur" a été mis à jour.
  • L'exemple pour "Publicité ou marketing" a été mis à jour.
  • L'exemple pour "Gestion du compte" a été mis à jour.

Autres modifications

Dans la section Aperçu, nous avons ajouté des images supplémentaires pour montrer ce que verront les utilisateurs si votre application ne partage aucune donnée utilisateur.

Nous avons ajouté des questions fréquentes, y compris sur la gestion des comptes, les actions des utilisateurs, l'utilisation de plates-formes de paiement et le chiffrement.

Nous avons mis à jour la définition du traitement éphémère dans la section Collecte des données et nous avons ajouté une question fréquente sur ce sujet.

14 décembre 2021

Le 14 décembre 2021, nous avons mis à jour le type de données initialement intitulé "Orientation sexuelle et identité sexuelle". Ce type de données porte désormais le nom "Orientation sexuelle". Il ne fait référence qu'à l'orientation sexuelle.

Nous avons également modifié le type de données "Autres informations personnelles" afin d'inclure l'identité de genre comme exemple d'autres informations personnelles.

Autres ressources

  • Pour découvrir plus en détail comment vérifier la façon dont votre application collecte et partage les données utilisateur, consultez le site pour les développeurs Android.
  • Pour en savoir plus sur les bonnes pratiques et obtenir des conseils interactifs, consultez l'Academy for App Success.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

true
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
92637
false
false