Fournir des renseignements à propos de la section relative à la sécurité des données de Google Play

Cette vidéo vous présente toutes les ressources et les étapes nécessaires pour remplir le formulaire relatif à la sécurité des données.

« Collecte » désigne la transmission de données de votre application à partir de l'appareil d'un utilisateur. Veuillez prendre note des directives suivantes :

• Bibliothèques et trousses SDK : Ces données comprennent les données de l'utilisateur transmises en dehors de l'appareil à partir de votre application par le biais de bibliothèques ou de trousses SDK utilisées dans votre application, que les données vous soient transmises ou qu'elles soient transmises à un serveur tiers.
• Composant WebView : Ces données comprennent également les données de l'utilisateur collectées à partir d'un composant WebView qui a été ouvert à partir de votre application, si votre application contrôle le code ou le comportement fourni par le biais de ce composant WebView.
  • Vous n'avez pas besoin de déclarer la collecte de données à partir d'un composant WebView dans lequel les utilisateurs naviguent sur le Web ouvert.
• Traitement éphémère : Les données de l'utilisateur transmises hors de l'appareil qui sont traitées de façon éphémère doivent être comprises dans votre réponse au formulaire, mais si elles répondent à la norme ci-dessous, elles ne seront pas divulguées dans la section relative à la sécurité des données de votre application sur Google Play.
  • Traiter les données « de façon éphémère » signifie y accéder et les utiliser pendant que les données sont uniquement stockées en mémoire et conservées pendant la durée requise pour répondre à la demande particulière en temps réel.
  • Par exemple, une application météo qui transmet la position de l'utilisateur à partir de l'appareil pour obtenir la météo actuelle du lieu où se trouve l'utilisateur, mais qui utilise uniquement les données de localisation en mémoire et ne stocke pas ces données une fois la demande satisfaite, peut considérer son utilisation transitoire de la position comme étant éphémère. Toutefois, l'utilisation de données pour établir des profils publicitaires ou d'autres profils d'utilisateurs ne peut pas être considérée comme étant éphémère et doit être déclarée comme étant une collecte ou un partage aux fins pertinentes.
• Données relatives à un pseudonyme : Les données de l'utilisateur collectées sous un pseudonyme doivent être divulguées. Par exemple, les données qui peuvent raisonnablement être associées à un utilisateur doivent être divulguées.

Exclusions de la portée de la collecte de données

Les cas d'utilisation suivants comprennent des données qui n'ont pas besoin d'être divulguées lorsqu'elles ont été collectées des façons suivantes :

• Accès ou traitement sur l'appareil : Les données de l'utilisateur auxquelles votre application accède qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui ne sont pas envoyées hors de l'appareil n'ont pas besoin d'être divulguées.
• Chiffrement de bout en bout : Les données de l'utilisateur qui sont envoyées hors de l'appareil, mais qui sont illisibles par vous ou par toute personne autre que l'expéditeur et le destinataire en raison du chiffrement de bout en bout n'ont pas besoin d'être divulguées.
  • Les données chiffrées ne doivent être lisibles par aucune entité intermédiaire, y compris le développeur, et seuls l'expéditeur et le destinataire peuvent disposer des clés requises.

Le terme « partage » fait référence au transfert à un tiers des données de l'utilisateur collectées à partir de votre application. Ces données comprennent les données de l'utilisateur transférées :

• hors de l'appareil, comme les transferts de serveur à serveur. Par exemple, si vous transférez les données de l'utilisateur collectées à partir de votre application de votre serveur dans un serveur tiers;
• sur l'appareil dans une autre application. En d'autres mots, il s'agit du transfert de données de l'utilisateur de votre application dans une autre application directement sur l'appareil. Dans ce cas, vous devez divulguer le partage de données dans les déclarations de votre section relative à la sécurité des données, même si votre application ne transmet pas les données hors de l'appareil de l'utilisateur;
• à partir de vos bibliothèques d'applications et de vos trousses SDK. Il s'agit du transfert des données collectées à partir de votre application hors de l'appareil d'un utilisateur directement à un tiers par le biais de bibliothèques ou de trousses SDK incluses dans votre application;
• à partir du composant WebView qui a été ouvert au moyen de votre application. Il s'agit du transfert de données de l'utilisateur à un tiers au moyen d'un composant WebView qui a été ouvert à partir de votre application, si votre application contrôle le code ou le comportement fourni par le biais de ce composant WebView.
  • Vous n'avez pas besoin de déclarer le partage de données à partir d'un composant WebView dans lequel les utilisateurs naviguent sur le Web ouvert.

Les types de transferts de données suivants n'ont pas besoin d'être divulgués en tant que « partage » :

• Fournisseurs de services : Transfert de données de l'utilisateur à un « fournisseur de services » qui les traite au nom du développeur.
  • Le terme « fournisseur de services » désigne une entité qui traite les données de l'utilisateur au nom du développeur et en fonction des instructions de ce dernier.
• Fins juridiques : Transfert de données de l'utilisateur à des fins juridiques précises, par exemple en réponse à une obligation juridique ou à des demandes gouvernementales.
• Action amorcée par l'utilisateur ou divulgation bien visible et consentement de l'utilisateur : Transfert de données de l'utilisateur à un tiers en fonction d'une action particulière amorcée par l'utilisateur, lorsque l'utilisateur s'attend raisonnablement à ce que les données soient partagées, ou en fonction d'une divulgation et d'un consentement bien visibles intégrés à l'application qui répondent aux exigences décrites dans notre politique relative aux données de l'utilisateur.
• Données anonymes : Transfert de données de l'utilisateur entièrement anonymisées afin qu'elles ne puissent plus être associées à un utilisateur individuel.

Propriétaire et tiers :

• Le terme « propriétaire » désigne la principale organisation responsable du traitement des données collectées par l'application, qui est généralement l'organisation publiant l'application sur Google Play et s'affichant sur la fiche Google Play Store.
  • Le propriétaire a l'obligation d'indiquer de façon raisonnablement claire aux utilisateurs quelle organisation est principalement responsable du traitement des données collectées par l'application.
• Le terme « tiers » désigne toute organisation autre que le propriétaire ou ses fournisseurs de services.

Vous pouvez également indiquer si chaque type de données collectées par votre application est « facultatif » ou « obligatoire ». Le terme « facultatif » signifie qu'il est possible d'accepter ou de refuser la collecte de données. Par exemple, vous pouvez indiquer qu'un type de données est « facultatif » lorsqu'un utilisateur contrôle sa collection et peut utiliser l'application sans fournir ce type de données ou lorsqu'un utilisateur choisit de les fournir manuellement. Si la fonctionnalité principale de votre application exige ce type de données, vous devez déclarer ces données comme étant « obligatoires ».

Vous pouvez déclarer que votre application collecte de façon facultative certaines données uniquement si tous les utilisateurs, quels que soient leur appareil ou leur région, peuvent fournir ces renseignements sur une base facultative et refuser ou accepter la collecte de données.

La collecte de données facultative comprend, par exemple :

• une application de médias sociaux qui demande la date d'anniversaire d'un utilisateur à des fins de communication marketing, ce renseignement n'étant toutefois pas obligatoire et l'utilisateur pouvant toujours s'inscrire sans fournir ce renseignement;
• des données de l'utilisateur qui sont collectées uniquement lorsqu'un utilisateur se connecte, les utilisateurs ayant la possibilité d'interagir avec l'application sans être connectés.

La section relative à la sécurité des données vous permet également de présenter à vos utilisateurs les pratiques en matière de confidentialité et de sécurité de votre application. Par exemple, vous pouvez mettre en évidence les renseignements suivants :

• Chiffrement en transit : Les données sont collectées ou partagées par votre application à l'aide du chiffrement en transit pour protéger le flux de données de l'utilisateur à partir de l'appareil de l'utilisateur final jusqu'au serveur.
  • Certaines applications sont conçues pour permettre aux utilisateurs de transférer des données vers un autre site ou service. Par exemple, une application de messagerie peut offrir aux utilisateurs la possibilité d'envoyer un message texte par l'intermédiaire de leur fournisseur de services cellulaires, qui applique des pratiques de chiffrement différentes. Ces applications peuvent déclarer, dans leur section relative à la sécurité des données, que les données sont transférées par connexion sécurisée tant qu'elles utilisent les meilleures normes de l'industrie pour chiffrer en toute sécurité les données pendant qu'elles circulent entre l'appareil de l'utilisateur et les serveurs de l'application.
• Mécanisme de demande de suppression : Votre application permet-elle aux utilisateurs de demander la suppression de leurs données?

Les applications dont le public cible comprend les enfants doivent respecter les exigences de la politique pour les familles de Google Play. Si votre application appartient à cette catégorie et que vous avez vérifié sa conformité avec les exigences de la politique pour les familles, vous pouvez choisir d'afficher un badge dans la section relative à la sécurité des données indiquant que vous vous êtes « engagé à respecter la politique pour les familles de Play ».

Pour afficher le badge, accédez à la section « Pratiques en matière de sécurité » de votre formulaire relatif à la sécurité des données, puis cliquez sur Accéder à la section Public cible et contenu pour l'activer.

Vous pouvez choisir de déclarer dans votre formulaire relatif à la sécurité des données que votre application a été validée de façon indépendante par rapport à une norme de sécurité mondiale. Il s'agit d'un examen facultatif effectué et payé par les développeurs. Grâce à l'évaluation de la sécurité des applications mobiles (MASA, Mobile Application Security Assessment), les développeurs peuvent travailler directement avec un labo Google agréé pour faire évaluer leurs applications par rapport à la norme de vérification de la sécurité des applications mobiles (MASVS, Mobile Application Security Verification Standard) de l'OWASP. Les organisations tierces qui effectuent les examens le font au nom du développeur.

Si vous souhaitez participer, vous pouvez communiquer directement avec un labo Google agréé pour lancer le processus de test. Une fois que le labo a vérifié que votre application répond à toutes les exigences de sécurité, vous pouvez choisir d'afficher un badge dans votre section relative à la sécurité des données indiquant que vous avez terminé l'« examen indépendant de la sécurité ».

Les labos agréés disposent d'un domaine de pratique consacré à la sécurité des applications mobiles, et offrent des capacités et une expérience complètes de test de sécurité. Ces labos respectent également la norme ISO 17025 ou une norme équivalente reconnue par le secteur. Si vous remplissez ces critères et que vous souhaitez devenir partenaire de labo, veuillez remplir et envoyer ce formulaire avec les coordonnées de votre entreprise.

Important : Il se pourrait que cet examen indépendant ne se destine pas à vérifier l'exactitude et l'exhaustivité de vos déclarations en matière de sécurité des données. Même si vous utilisez des outils tiers pour diagnostiquer les contrôles de sécurité de votre application, il vous incombe à vous seul de faire des déclarations exhaustives et exactes dans la fiche Google Play Store de votre application sur Google Play.

Unified Payments Interface (UPI) est un système de transfert d'argent instantané développé par la National Payments Corporation of India (NPCI), qui est un organisme réglementé par la RBI. Si vous utilisez actuellement ce système de transfert de paiements, vous pouvez choisir de le déclarer dans votre formulaire relatif à la sécurité des données. Si vous souhaitez participer ou si vous avez des questions, vous pouvez communiquer directement avec la NPCI pour connaître les critères d'admissibilité et savoir comment faire accréditer votre application. Les applications bénéficiant de cette accréditation peuvent être admissibles à l'affichage d'un badge sur leur fiche Google Play Store confirmant que la NPCI a validé la mise en œuvre de l'UPI dans ces dernières. Le badge indiquera « Propose les paiements par l'intermédiaire d'UPI » et ne s'affichera pas pour les utilisateurs à moins que vous l'indiquiez en l'acceptant dans le formulaire relatif à la sécurité des données dans Play Console. Le badge est visible seulement par les utilisateurs de Google Play situés en Inde.

Les développeurs seront invités à indiquer les pratiques de collecte, de partage et toute autre pratique pour une série de types de données de l'utilisateur, ainsi que les fins auxquelles vous utilisez ces données.

Le format CSV contient une ligne par réponse. Les réponses aux questions à choix multiples et à choix unique s'étendent sur plusieurs lignes, selon le nombre de choix proposés. Pour répondre à une question, entrez TRUE (VRAI) ou FALSE (FAUX) dans la cellule correspondante de la colonne « Response value » (Valeur de la réponse), ou vous pouvez laisser la cellule vide si la question est facultative ou si vous répondez à une question à choix multiples. La colonne « Answer requirement » (Réponse requise) indique si une réponse est obligatoire ou non et peut contenir les valeurs suivantes :

• OPTIONAL : non requise. La case peut donc être laissée vide.
• REQUIRED : obligatoire. Vous devez fournir une valeur de réponse.
• MULTIPLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE (VRAI) à au moins un des choix de réponse pour l'identifiant de question correspondant. Vous pouvez laisser les autres réponses vides.
• SINGLE_CHOICE : vous pouvez fournir une valeur de réponse TRUE (VRAI) à l'un des choix de réponse pour l'identifiant de question correspondant. Vous pouvez laisser les autres réponses vides.
• MAYBE_REQUIRED : vous ne devez répondre que lorsque certaines conditions sont remplies, par exemple, en fonction de la réponse à une question précédente.

Le tableau ci-dessous offre un exemple pour les sections « Nom » et « Position approximative » du formulaire relatif à la sécurité des données. Il comprend :

• Une question à choix multiples
• Une question requise
• Une question facultative

1. Ouvrez Play Console et accédez à la page Contenu de l'application (Politique > Contenu de l'application).
2. Sous « Sécurité des données », sélectionnez Démarrer.
3. Dans la partie supérieure droite de la page, sélectionnez Exporter en format CSV.

Important : Les réponses déjà entrées dans votre formulaire seront écrasées lorsque vous importez un fichier CSV.

1. Ouvrez Play Console et accédez à la page Contenu de l'application (Politique > Contenu de l'application).
2. Sous « Sécurité des données », sélectionnez Démarrer.
3. Dans la partie supérieure droite de la page, sélectionnez Importer en format CSV.

En octobre, nous avons permis les soumissions de formulaire relatif à la sécurité des données dans Play Console et nous offrirons un délai de grâce jusqu'au 20 juillet 2022, ce qui devrait vous laisser suffisamment de temps. À ce stade, nous n'avons pas l'intention d'accorder de prolongation.

En bref, oui. Vous devez fournir des renseignements précis qui reflètent les pratiques de collecte et de traitement de données de votre application. Vous êtes responsable des renseignements que vous avez fournis. Google Play procède à l'examen des applications en fonction de chacune des exigences de la politique; cependant, nous ne pouvons pas déterminer au nom des développeurs la façon dont ils traitent les données de l'utilisateur. Vous seul possédez tous les renseignements requis pour remplir le formulaire relatif à la sécurité des données.

Si nous constatons que vous avez effectué des déclarations trompeuses et que vous enfreignez la politique, nous vous demanderons d'y remédier. Les applications qui ne se conforment pas à la politique sont assujetties à son application obligatoire, comme le blocage des mises à jour ou le retrait de ces applications de Google Play.

Après la soumission d'une nouvelle application ou d'une mise à jour d'une application existante sur votre Play Console, le traitement de votre application en vue de sa publication classique sur Google Play peut prendre un certain temps. Certaines applications peuvent être soumises à des examens approfondis, ce qui peut entraîner un délai d'examen allant jusqu'à sept jours, voire plus pour les cas exceptionnels.

Les mises à jour et les nouvelles soumissions d'applications doivent être conformes à la politique du programme pour les développeurs de Google Play. Vous pouvez accéder à la page Aperçu de la publication dans Play Console pour vérifier si la soumission de votre application est toujours en attente d'examen.

Si votre dernière mise à jour est prête et que vous ne voyez toujours pas le formulaire de la section relative à la sécurité des données sur Google Play, vous pouvez vérifier si la publication gérée est activée dans Play Console. Si la publication gérée est activée, votre version ne sera pas accessible tant que vous ne l'aurez pas publiée. Vous pouvez déployer la version à partir de la page d'aperçu de la publication. La soumission approuvée sera ensuite publiée et offerte sur Google Play peu de temps après.

Si vous avez mis à jour le contenu de la section relative à la sécurité des données, mais que vous ne voyez pas la dernière version sur Google Play, essayez d'actualiser la page de l'application. Notez qu'en raison de la connectivité des appareils et de la charge variable du serveur, les mises à jour des applications peuvent prendre plusieurs jours (dans certains cas jusqu'à sept jours) pour atteindre tous les appareils. Nous vous prions de bien vouloir patienter pendant que Google Play enregistre et livre la mise à jour de votre application.

C'est génial que vous ayez une bonne maîtrise des pratiques relatives aux données de votre application. Le formulaire relatif à la sécurité des données vous demande des renseignements supplémentaires et différents que vous n'avez peut-être pas utilisés auparavant. Vous devez donc vous attendre à ce que cela demande des efforts supplémentaires à votre équipe. La taxonomie et le cadre de la section relative à la sécurité des données sur Google Play peuvent différer de façon importante de ceux utilisés dans d'autres boutiques d'applications.

Les développeurs sont responsables non seulement de la politique de confidentialité et des détails de l'application tels que les captures d'écran et les descriptions, mais aussi des renseignements divulgués dans la section relative à la sécurité des données de leur application. La politique relative aux données de l'utilisateur de Google Play exige que les développeurs fournissent des renseignements exacts. Si nous constatons qu'un développeur a effectué une déclaration trompeuse à propos des données qu'il a fournies et qu'il enfreint la politique, nous lui demanderons de corriger la situation. Les applications qui ne se conforment pas aux exigences sont assujetties à l'application obligatoire de la politique.

Les utilisateurs de Google Play doivent avoir l'assurance que leurs données sont sécurisées. Nous lançons continuellement de nouvelles fonctionnalités et politiques pour protéger la confidentialité de l'utilisateur et faire de Google Play un lieu de confiance pour tous. Certaines des nouvelles fonctionnalités et politiques de Google Play ont amélioré les commandes utilisateur et la transparence. D'autres permettent de garantir que les développeurs accèdent aux données personnelles uniquement lorsque cela s'avère nécessaire dans le cadre de l'utilisation principale de l'application. Les politiques du programme pour les développeurs de Google Play comme celles-ci contiennent certaines exigences concernant la transparence et le contrôle des données. Les applications qui ne sont pas conformes aux politiques du programme pour les développeurs de Google Play sont assujetties à l'application obligatoire de ces politiques.

Vous devez mettre à jour la section relative à la sécurité des données de votre application lorsqu'il y a des changements pertinents dans les pratiques relatives aux données de l'application. Vos réponses au formulaire relatif à la sécurité des données doivent demeurer exactes et exhaustives en tout temps.

La section relative à la sécurité des données peut aider les utilisateurs à prendre la bonne décision quant aux applications à télécharger. Elle permet également aux développeurs d'instaurer la confiance et d'attirer des utilisateurs plus actifs qui ont l'assurance que leurs données seront traitées de façon responsable. Les développeurs ont indiqué qu'ils souhaitaient disposer de moyens pour mieux communiquer les pratiques relatives aux données à leurs utilisateurs.

Google Play dispose d'un seul formulaire relatif à la sécurité des données et d'une seule section relative à la sécurité des données à l'échelle mondiale dans la fiche Google Play Store par nom d'ensemble qui est indépendant de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. En d'autres termes, si la collecte, les utilisations ou les associations ont lieu dans n'importe quelle version de l'application actuellement distribuée sur Google Play, n'importe où dans le monde, vous devez l'indiquer dans le formulaire. Par conséquent, la section relative à la sécurité des données décrit toutes les données collectées et partagées par votre application sur toutes ses versions actuellement distribuées sur Google Play. Vous pouvez utiliser la section « À propos de cette application » pour fournir à vos utilisateurs des renseignements propre à chacune des versions.

À l'heure actuelle, nous reflétons la représentation mondiale de vos pratiques relatives aux données par application. La section relative à la sécurité des données décrit toutes les données collectées et partagées par votre application sur toutes ses versions actuellement distribuées sur Google Play. Vous pouvez utiliser la section « À propos de cette application » pour fournir à vos utilisateurs des renseignements propre à chacune des versions. La section relative à la sécurité des données comprend une précision destinée aux utilisateurs de Google Play pour indiquer que les pratiques en matière de collecte de données et de sécurité d'une application peuvent varier en fonction d'un certain nombre de facteurs tels que la région.

Non, la section relative à la sécurité des données n'est présentée que sur la fiche Google Play Store de votre application sur Google Play. Il n'y a pas de nouvelle divulgation dans le processus d'installation de l'application de l'utilisateur ni de nouveau consentement de l'utilisateur lié à cette fonctionnalité. Les développeurs qui collectent des données personnelles et confidentielles de l'utilisateur doivent mettre en œuvre des divulgations et un consentement au sein de l'application lorsque cela est requis par la politique actuelle relative aux données de l'utilisateur de Google Play.

La section relative à la sécurité des données décrit toutes les données collectées et partagées par votre application sur toutes ses versions actuellement distribuées sur Google Play. Si une version de votre application nécessite la collecte de certaines données, vous devez déclarer sa collecte comme étant requise dans la section relative à la sécurité des données. Vous ne devez pas décrire la collecte comme étant facultative si elle est requise pour certains utilisateurs de votre application. Vous pouvez utiliser la section « À propos de cette application » pour fournir à vos utilisateurs des renseignements propre à chacune des versions.

Vous n'avez pas besoin de déclarer la collecte ni le partage de données à moins que les données soient réellement collectées ou partagées. Votre application doit se conformer à toutes les politiques du programme pour les développeurs de Google Play, y compris notre politique relative aux autorisations et aux API qui accèdent à des informations confidentielles.

Si vous collectez délibérément un type de données lors de la collecte d'un autre type de données, vous devez divulguer la collecte de ces deux types de données. Par exemple, si vous collectez des photos de l'utilisateur et les utilisez pour déterminer les caractéristiques de l'utilisateur (tel que le groupe ethnique), vous devez également divulguer la collecte de données sur le groupe ethnique.

La section relative à la sécurité des données vous fournit une surface que vous pouvez partager si vous fournissez un mécanisme pour recevoir les demandes de suppression de données de la part de vos utilisateurs. Dans le cadre du remplissage du formulaire relatif à la sécurité des données, vous êtes tenu d'indiquer si vous fournissez un tel mécanisme.

Il n'existe pas de mécanisme particulier, mais en tant que meilleure pratique, le mécanisme de demande doit être facilement détectable et accessible par les utilisateurs. Des exemples courants de mécanismes qui indiquent clairement un chemin par lequel les utilisateurs peuvent demander la suppression de données peuvent inclure, mais sans s'y limiter : des fonctionnalités intégrées à l'application, des formulaires de contact ou un alias d'adresse de courriel dédié.

Vous pouvez sélectionner le badge du mécanisme de demande de suppression dans le formulaire relatif à la sécurité des données si vous :

• fournissez aux utilisateurs un mécanisme pour demander la suppression des données; ou
• initiez automatiquement la suppression ou l'anonymisation des données collectées dans les 90 jours suivant la collecte.

Vous pouvez sélectionner le badge du mécanisme de demande de suppression même si vous devez conserver certaines données pour des raisons légitimes telles que la conformité légale ou la prévention des abus.

Google Play fournit un formulaire relatif à la sécurité des données et une section relative à la sécurité des données à l'échelle mondiale dans la fiche Google Play Store par nom d'ensemble qui doit couvrir les pratiques relatives aux données en fonction de l'utilisation, de la version de l'application, de la région et de l'âge de l'utilisateur. En d'autres termes, si l'une des pratiques relatives aux données est présente dans n'importe quelle version de l'application actuellement distribuée sur Google Play, n'importe où dans le monde, vous devez l'indiquer dans le formulaire. Par conséquent, la section relative à la sécurité des données décrira toutes les données collectées et partagées par votre application sur toutes ses versions actuellement distribuées sur Google Play.

Il existe une variété de méthodes potentielles pour anonymiser les données de sorte qu'elles ne puissent pas être associées à un utilisateur en particulier. Vous devriez consulter vos experts en confidentialité et en sécurité pour déterminer quelles sont les méthodes applicables à votre cas d'utilisation. À titre d'exemple, cette page traite de certaines des méthodes d'anonymisation des données utilisées par Google, telles que la confidentialité différentielle.

Comme vous le faites pour d'autres types de données, vous devez divulguer la collecte, l'utilisation et le partage d'adresses IP en fonction de votre utilisation et de vos pratiques particulières. Par exemple, les développeurs qui utilisent les adresses IP comme moyen de déterminer la position doivent déclarer ce type de données.

Comme vous le faites pour d'autres types de données, vous devez divulguer la collecte, l'utilisation et le partage de différents types d'identifiants en fonction de votre utilisation et de vos pratiques particulières. Par exemple, la collecte d'un nom de compte associé à une personne identifiable doit être déclarée sous « Identifiant personnel », et la collecte d'un identifiant publicitaire Android d'un utilisateur doit être déclarée sous « Appareil ou autres identifiants ». À titre d'exemple supplémentaire, un identifiant lié à un événement précis dans l'application, mais qui ne se rapporte pas raisonnablement à un appareil, à un navigateur ni à une application en particulier, n'aurait pas besoin d'être divulgué sous « Appareil ou autres identifiants ».

Comme indiqué ci-dessus, la collecte de données sous un pseudonyme doit être divulguée dans votre sondage sous le bon type de données. Par exemple, si vous collectez des données de diagnostic avec un identifiant d'appareil, vous devez toujours divulguer la collecte sous « Diagnostics » dans le formulaire relatif à la sécurité des données.

Un fournisseur de services ne peut traiter les données de l'utilisateur qu'en votre nom. Par exemple, un fournisseur de solution d'analyse des données qui traite les données de l'utilisateur de votre application uniquement en votre nom, ou un fournisseur de services infonuagiques qui héberge les données de l'utilisateur de votre application pour votre cas d'utilisation, sera généralement qualifié de « fournisseur de services ». D'un autre côté, si un fournisseur de trousse SDK crée des profils publicitaires pour plusieurs clients en fonction des données de votre application, cette activité ne serait pas considérée comme celle d'un « fournisseur de services » aux fins de la section relative à la sécurité des données, et elle devrait être divulguée sous « partage » dans le formulaire relatif à la sécurité des données.

Cela dépend de la nature de votre intégration avec le service de paiement. Si, pour effectuer des transactions de paiement, votre application utilise un service de paiement, comme PayPal, Google Pay, le système de facturation de Google Play ou des services semblables, vous n'avez pas besoin de déclarer la collecte des données que le service de paiement effectue dans le cadre de son traitement des transactions financières, comme un numéro de carte de crédit, si les conditions suivantes sont remplies :

• Votre application n'accède jamais à ces renseignements.
• Le service de paiement collecte ces renseignements directement auprès de l'utilisateur, et la collecte est régie par les conditions de ce service.

Vous devez examiner attentivement votre intégration avec le service de paiement pour vous assurer que la section relative à la sécurité des données de votre application déclare toute collecte et tout partage de données pertinentes qui ne remplissent pas ces conditions. Vous devez également déterminer si votre application collecte d'autres renseignements financiers, comme l'historique d'achats, et si votre application reçoit des données pertinentes du service de paiement, par exemple à des fins de gestion des risques et de lutte contre la fraude.

Cela dépend de la mise en œuvre en particulier. Si l'utilisateur choisit de téléverser ses données directement dans son propre disque externe ou compte de stockage infonuagique (comme Google Disque, Dropbox ou des services similaires), que ce téléversement est régi par les conditions d'utilisation et la politique de confidentialité du disque externe ou du fournisseur d'espace de stockage infonuagique, et que votre application ne collecte ni n'accède jamais aux données en question, alors votre application n'a pas besoin de déclarer la collecte de ces données.

Vous devez suivre les normes exemplaires de l'industrie pour chiffrer en toute sécurité les données en transit de votre application. Les protocoles de chiffrement courants incluent TLS (Transport Layer Security) et HTTPS.

Vous devez déclarer la collecte de ces données à des fins de gestion de compte, en indiquant (le cas échéant) où la collecte est facultative pour l'utilisateur.

En outre, comme pour tous les types de données collectées par votre application, vous devez divulguer la nature des données collectées et indiquer les fins pour lesquelles votre application les utilise. Par exemple, si votre application permet à un utilisateur d'ajouter une date d'anniversaire à son compte et utilise également ces données pour envoyer des notifications poussées en temps opportun, votre application doit également déclarer cet objectif en plus de l'objectif en lien avec la gestion de compte.

La gestion de compte peut être utilisée pour couvrir les utilisations générales des données de compte qui ne sont pas propres à l'application en particulier. Par exemple, si vous utilisez les renseignements de compte à des fins de prévention de la fraude, de publicité, de marketing ou de communications du développeur dans l'ensemble de vos services et que cette utilisation n'est pas propre à votre application ni aux activités de celle-ci, le fait de déclarer la « gestion de compte » comme étant l'objectif de la collecte de ces données de compte sera suffisant pour couvrir ces utilisations générales dans votre section relative à la sécurité des données. Cependant, votre application doit toujours déclarer l'ensemble des objectifs pour lesquels l'application elle-même utilise les données. Conformément à la pratique exemplaire, nous vous recommandons de divulguer la manière dont votre application traite les données de l'utilisateur pour les services de compte dans le cadre de votre documentation liée au compte et au processus d'inscription.

Les services système sont des logiciels préinstallés qui prennent en charge les fonctions principales du système. Les services système peuvent demander une exemption de l'obligation de remplir le formulaire relatif à la sécurité des données.

Vous pouvez vérifier l'état de votre soumission sur la page Contenu de l'application (Politique > Contenu de l'application) dans Play Console. Si votre soumission est conforme, vous verrez une coche verte dans la section « Sécurité des données ».

Remarque : Nos politiques sont appliquées par le biais de systèmes et de processus qui sont continuellement améliorés au fil du temps. En outre, les modifications et les mises à jour de nos politiques peuvent avoir pour conséquence que des applications qui ont été approuvées auparavant soient remises en cause après leur soumission initiale pour cause de non-conformité.

Google Play informera les développeurs au sujet de toute mise à jour. Vous pouvez consulter notre politique relative aux données de l'utilisateur et cet article du centre d'aide pour vous assurer d'être au courant des conseils les plus à jour en la matière.

Si cette utilisation est éphémère, vous n'avez pas besoin de l'inclure dans votre réponse au formulaire. Cependant, vous devez déclarer toute utilisation de ces données de l'utilisateur au-delà du traitement éphémère, y compris les objectifs pour lesquels vous utilisez les données de l'utilisateur que vous consignez. Veuillez consulter la définition du traitement éphémère dans la section Collecte de données ci-dessus.

Google collecte les renseignements qui sous-tendent la liste des autorisations en fonction des autorisations au moment de l'installation qu'une application déclare dans son fichier de configuration.

La section relative à la sécurité des données présente les données que l'application collecte et partage avec des tiers.

Dans la section Ce que les développeurs doivent divulguer dans le formulaire relatif à la sécurité des données, nous avons ajouté une nouvelle section (Badge Unified Payments Interface (UPI)).

Nous avons mis à jour la section Quels développeurs doivent remplir le formulaire relatif à la sécurité des données dans Play Console? pour fournir des renseignements actualisés concernant les tests internes et les exigences de la section relative à la sécurité des données. Nous avons également retiré un passage écrit à ce sujet de l'entrée de journal des modifications du 24 août 2022, car ces renseignements ne sont plus applicables et nous ne voulons pas confondre les développeurs qui recherchent des renseignements sur cette question.

Nous avons modifié l'article en entier pour retirer les références à des dates précises. Ces références avaient été initialement incluses (et mises à jour régulièrement) avant, pendant et après le lancement de la section relative à la sécurité des données dans Play Console pour aider les développeurs à mieux comprendre quelles étaient les exigences à un moment précis. Comme la section relative à la sécurité des données est désormais accessible sur Google Play, nous avons retiré la chronologie d'origine et les références à des dates précises.

Nous avons ajouté des renseignements supplémentaires au type de données « Interactivité des applications » (cela inclut désormais les « captures d'écran prises »).

Nous avons mis à jour la section Quels développeurs doivent remplir le formulaire relatif à la sécurité des données dans Play Console? afin qu'elle tienne compte du fait qu'à compter du 24 octobre 2022, les sous-ensembles qui sont actifs sur des sous-ensembles de test interne n'auront plus besoin d'être inclus dans la section relative à la sécurité des données. Il n'est pas nécessaire de remplir le formulaire de déclaration pour les applications qui sont actives exclusivement sur ce sous-ensemble.

Nous avons mis à jour les détails des renseignements relatifs au calendrier dans la section « Préparer vos renseignements » pour expliquer que les demandes concernant de nouvelles applications et les mises à jour d'applications non conformes recevront des avertissements indiquant qu'elles seront rejetées dans Play Console s'il existe des problèmes non résolus avec le formulaire. Nous avons également mis à jour cette section avec des détails sur ce qui se passera après la fin de cette période d'avertissement le 22 août 2022.

Dans la section Ce que les développeurs doivent divulguer dans le formulaire relatif à la sécurité des données, nous avons apporté les modifications suivantes dans la sous-section Examen indépendant de la sécurité (désormais offert pour toutes les applications) :

• Nous avons changé le titre de « Examen indépendant de la sécurité (version bêta à partir de mars 2022, bientôt offerte à tous) » pour « Examen indépendant de la sécurité (désormais offert pour tous les développeurs) », car cette fonctionnalité est désormais offerte pour toutes les applications.
• Nous avons mis à jour la sous-section pour inclure des renseignements destinés aux développeurs qui souhaitent participer à un examen indépendant de la sécurité.

Nous avons apporté les modifications suivantes à la section Foire aux questions :

• Nous avons mis à jour la réponse aux questions : « Suis-je obligé de fournir un mécanisme de suppression? Doit-il être utilisé sur toutes les données de l'utilisateur? »
• Juste en dessous de cette question, nous avons également ajouté trois nouvelles questions et réponses qui fournissent des renseignements plus détaillés à propos des mécanismes de suppression des données ainsi que du formulaire relatif à la sécurité des données.
• Nous avons ajouté une nouvelle question portant sur la différence entre la liste des autorisations et la section relative à la sécurité des données d'une application. Nous avons retiré une question portant sur les applications qui ciblent les anciennes versions d'Android.

Dans la section Aperçu, nous avons ajouté une ligne encourageant les développeurs à consulter l'outil Google Play SDK Index pour voir si leur fournisseur a fourni un lien vers ses conseils. Vous pouvez consulter l'article du centre d'aide Faire des choix éclairés avec Google Play SDK Index pour en savoir plus.

Dans la section Préparer vos renseignements, nous avons ajouté une recommandation vous invitant à regarder la vidéo Google Play PolicyBytes Data safety form walkthrough (procédure pas à pas du formulaire relatif à la sécurité des données PolicyBytes de Google Play), qui présente toutes les ressources et étapes nécessaires pour remplir le formulaire relatif à la sécurité des données.

Dans la section Aperçu, nous avons ajouté une ligne encourageant certains développeurs à se reporter aux renseignements relatifs à la sécurité des données publiés par leurs fournisseurs de trousses SDK, comme Firebase et AdMob, pour obtenir plus de détails.

Nous avons mis à jour les détails des renseignements relatifs au calendrier dans la section « Préparer vos renseignements » avec une référence au message que les utilisateurs verront sur Google Play dans l'entrée de juillet 2022 (l'ancienne formulation, « Aucune donnée disponible », a été remplacée par « Aucune information disponible »).

Dans la section FAQ, nous avons apporté les modifications suivantes :

• Nous avons ajouté une nouvelle question et sa réponse au sujet des services système.
• Nous avons ajouté une nouvelle question et sa réponse au sujet des options de dépannage si vous ne pouvez pas voir vos dernières mises à jour relatives à la sécurité des données sur Google Play.
• Nous avons mis à jour les réponses existantes concernant le temps nécessaire pour que les mises à jour relatives à la sécurité des données soient affichées sur Google Play et dans le gestionnaire de compte.

Le 8 avril 2022, nous avons corrigé le nom du type de données « Photos et vidéos » (qui était auparavant « Photos ou vidéos »).

Le 24 février 2022, nous avons apporté un certain nombre de modifications à cet article, qui sont décrites ci-dessous.

Modifications des renseignements relatifs au calendrier

Nous avons mis à jour les détails des renseignements relatifs au calendrier dans la section « Préparer vos renseignements » comme suit :

• Précédemment, nous avions dit qu'à compter de février 2022, la section relative à la sécurité des données serait proposée sur Google Play pour tous les utilisateurs. Cette date a été reportée à la fin avril 2022.
• Précédemment, nous avions dit qu'à compter d'avril 2022, les demandes concernant les nouvelles applications et les mises à jour d'applications seraient refusées dans Play Console s'il existait des problèmes non résolus avec le formulaire. Cette date a été reportée au 20 juillet 2022.
• Précédemment, nous avions dit qu'à compter d'avril 2022, les applications non conformes pourraient faire l'objet de mesures supplémentaires d'application obligatoire. Cette date a été reportée à une date postérieure au 20 juillet 2022.

Nous avons mis à jour d'autres références aux dates dans l'article pour être cohérents avec les dates révisées ci-dessus.

Clarifications concernant les renseignements que les développeurs doivent divulguer pour tous les types de données

Dans la section « Ce que les développeurs doivent divulguer dans le formulaire relatif à la sécurité des données », nous avons apporté les modifications suivantes dans la sous-section « Ce que les développeurs doivent déclarer pour tous les types de données » :

• Nous avons ajouté des instructions pour expliquer comment les développeurs disposant d'applications qui s'engagent à respecter la politique pour les familles peuvent activer l'affichage du badge des familles à compter du 1ᵉʳ mars 2022.  
• Dans Autres divulgations d'applications et de données, le « mécanisme de suppression » a été renommé « mécanisme de demande de suppression ».
• Nous avons également mis à jour la section Examen indépendant de la sécurité avec des renseignements plus détaillés à propos de cette fonctionnalité.

Mises à jour des types de données et des objectifs

Nous avons apporté des modifications mineures aux noms de nos types de données :

• Le type de données « Identifiants personnels » a été renommé « Identifiants d'utilisateur ».
• Le type de données « Carte de crédit, carte de débit ou numéro de compte bancaire » a été renommé « Renseignements de paiement de l'utilisateur ».
• Le type de données « Renseignements sur le crédit » a été renommé « Cote de crédit ».
• Nous avons ajouté l'exemple du salaire ou des dettes de l'utilisateur au type de données « Autres renseignements financiers ».
• Le nom du type de données « Renseignements sur la santé » a été mis à jour en anglais seulement.
• Le nom du type de données « Renseignements sur l'activité physique » a été mis à jour en anglais seulement.
• Le nom du type de données « Messages texte ou messages multimédias » a été mis à jour en anglais seulement.
• Le type de données « Pages vues et touchers dans l'application » a été renommé « Interactivité des applications », et sa description a été mise à jour.
• Les descriptions des types de données « Autre contenu généré par l'utilisateur » et « Autres actions » ont été mises à jour.
• Le type de données « Autres renseignements personnels » a été renommé « Autres renseignements ».
• Le nom de la catégorie « Appareil ou autres identifiants » a été mis à jour en anglais seulement.

Nous avons clarifié nos objectifs de l'utilisation des données :

• L'exemple « Communications du développeur » a été mis à jour.
• L'exemple « Annonces ou marketing » a été mis à jour.
• L'exemple « Gestion du compte » a été mis à jour.

Autres modifications

Dans la section Aperçu, nous avons ajouté des images supplémentaires pour indiquer ce que les utilisateurs verront si votre application ne partage aucune donnée de l'utilisateur.

Nous avons ajouté de nouvelles questions à la FAQ comprenant des sujets relatifs à la gestion de compte, aux actions amorcées par les utilisateurs, à l'utilisation des plateformes de paiement et au chiffrement.

Nous avons mis à jour la définition du traitement éphémère dans la section Collecte de données et ajouté une nouvelle question relative à ce sujet à la FAQ.

Le 14 décembre 2021, nous avons mis à jour le type de données qui s'appelait à l'origine « Orientation sexuelle et identité de genre ».  Ce type de données est désormais intitulé « Orientation sexuelle ». Il ne fait référence qu'à l'orientation sexuelle.

Nous avons également mis à jour le type de données « Autres renseignements personnels » pour inclure l'identité de genre comme exemple d'autres renseignements personnels.