Les développeurs d'applications doivent respecter les règles de protection des données de Google pour que leur produit soit approuvé et publié sur le Google Play Store.
Vous devez disposer d'une politique de confidentialité conforme à la loi sur le Google Play Store, comme l'exige la section Données utilisateur du centre d'aide de la console Plat, et remplir un formulaire de sécurité des données.
Dans ce guide, j'explique les exigences du Google Play Store en matière de règles de confidentialité afin que vous puissiez en préparer une pour votre application.
- Le Google Play Store nécessite-t-il une politique de confidentialité ?
- Exigences des règles de confidentialité de Google Play Store
- Que contiennent les règles de confidentialité de votre Google Play Store ?
- Qu'est-ce que la section Sécurité de Google Play ?
- Comment Google fait-il respecter ses règles en matière de protection de la vie privée ?
- Comment Termly peut-il aider ?
- Résumé
Le Google Play Store nécessite-t-il une politique de confidentialité ?
Oui, le Google Play Store exige que vous disposiez d'une politique de confidentialité avant de publier une application.
Les politiques de confidentialité expliquent vos activités de collecte et de traitement des données personnelles aux personnes qui utilisent vos services. Elles les informent également de leurs droits quant à l'utilisation de leurs données.
Des lois telles que le règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act(CCPA), imposent des exigences strictes en matière de politique de protection de la vie privée.
Google Play a mis à jour ses règles de confidentialité en 2022 pour exiger que toutes les applications de sa boutique divulguent les types de données qu'elles collectent, stockent et partagent, quel que soit le public ciblé.
Les attentes en matière de politique de confidentialité figurent dans la section Données de l'utilisateur du centre d'aide de la console de jeu, dont voici une capture d'écran partielle.
Dans son centre d'aide, Google explique que vous devez également remplir un formulaire de sécurité des données conforme à votre politique de confidentialité. Pour en savoir plus, consultez la capture d'écran ci-dessous.
Google impose ces obligations de confidentialité aux développeurs d'applications pour plusieurs raisons. En particulier, si vous enfreignez les lois applicables en matière de confidentialité des données, Google n'aura plus à assumer ses responsabilités et vous devrez les assumer à votre tour.
Elle permet également de s'assurer que toutes les applications du Play Store respectent et prennent au sérieux la confidentialité des données.
Conformité de Google Play Store avec les lois mondiales sur la protection de la vie privée
Les nouvelles lois sur la confidentialité des données, mises à jour dans le monde entier, ont fortement influencé les "accords" avec les développeurs de Google dont j'ai parlé dans ce guide.
Pour se conformer à ces lois mondiales sur la protection de la vie privée, les développeurs d'applications doivent offrir plus de transparence à leurs utilisateurs. Google a donc fait de cette transparence une exigence pour toutes les applications avant qu'elles ne soient publiées dans son Play Store.
En tant que développeur, vous devez détailler clairement et explicitement le type de données collectées, les raisons pour lesquelles vous les collectez, les personnes avec lesquelles vous pouvez les partager et la manière dont les utilisateurs peuvent contrôler leurs données.
Exigences des règles de confidentialité de Google Play Store
Examinons les exigences spécifiques de Google qui ont une incidence sur vos règles de confidentialité et sur la manière dont votre application recueille, utilise et stocke les informations personnelles des utilisateurs.
Quelles sont les données personnelles et sensibles collectées par votre application ?
La première clause requise dans les règles de confidentialité de votre Google Play Store doit expliquer quels types de données personnelles et sensibles votre application collecte auprès des utilisateurs.
Les types de données collectées que vous devez déclarer sont, entre autres, les suivants :
- Les informations personnelles identifiables (IPI), y compris le nom, le numéro, l'adresse électronique, etc.
- Photos et vidéos
- Fichiers audio enregistrés
- Données collectées partagées avec des tiers
- Données indiquant la localisation approximative ou précise d'un utilisateur
- Inventaire des autres applications présentes sur l'appareil
- Données relatives aux SMS et aux appels
- Informations financières et de paiement
- Données relatives à la santé
Si vous tombez sous le coup de lois spécifiques sur la protection de la vie privée avec leur propre définition des données sensibles, telles que le RGPD et la CCPA, vous devez également les déclarer sur la base des obligations définies par ces textes législatifs.
Vous devez également présenter les informations dans un format facile à lire et à comprendre et ne rien omettre.
Explication de l'utilisation des données personnelles
Le Play Store exige également des développeurs d'applications qu'ils indiquent les raisons pour lesquelles les données personnelles sont collectées. Ces raisons peuvent être, par exemple, les suivantes
- Fonctionnalité de l'application
- Personnalisation du contenu et des recommandations
- Analyse de l'utilisation de l'application par les utilisateurs
- Prévention de la fraude et sécurité
- Communications des développeurs
Si vous relevez de lois spécifiques sur la protection de la vie privée, vous ne devez collecter des données que sur la base des obligations définies par ces textes législatifs.
Divulgation de l'information
Google précise dans son centre d'aide Play Console que vous devez limiter la collecte, l'accès, l'utilisation et le partage des données personnelles et sensibles à des fins "raisonnablement attendues par l'utilisateur".
Pour collecter des données d'une manière qui n'est pas raisonnablement attendue par l'utilisateur, comme la collecte en arrière-plan qui se produit lorsque les utilisateurs ne sont pas engagés dans votre application, vous devez fournir une divulgation bien visible qui.. :
- Existe dans l'application elle-même, et pas seulement dans la description ou sur un site web.
- S'affiche dans le cadre de l'utilisation normale de l'application et ne nécessite pas que l'utilisateur navigue vers un menu ou des paramètres spécifiques.
- Décrit les données auxquelles on accède ou qui sont collectées
- Explique comment ces données seront utilisées et/ou partagées
- Existe à plusieurs endroits et pas seulement dans votre politique de confidentialité ou vos conditions de service.
- n'est pas inclus dans d'autres informations non liées à la collecte de données à caractère personnel
Consentement
Outre la publication bien visible des règles de confidentialité de votre application, le Google Play Store exige également que vous demandiez le consentement de l'utilisateur de l'application et les autorisations d'exécution immédiatement avant l'affichage des règles.
Votre demande de consentement doit répondre à l'ensemble des critères suivants :
- être présenté à l'aide d'un dialogue de consentement sans ambiguïté
- Exiger une action positive de la part de l'utilisateur (par exemple, tapoter pour accepter ou cocher une case).
- Ne pas supposer que le fait de naviguer à l'écart de la divulgation est considéré comme un consentement
- Ne pas utiliser l'expiration des messages ou le rejet automatique comme moyen de consentement.
Vous devez également obtenir le consentement de vos utilisateurs avant que votre application ne collecte ou n'accède à leurs données personnelles et sensibles.
Comportements trompeurs
Google a introduit de nouvelles directives concernant les comportements trompeurs en août 2023. Votre application ne peut pas contenir d'allégations trompeuses ou fausses, y compris les informations que vous fournissez dans votre politique de confidentialité.
Pour en savoir plus sur les règles de conduite trompeuses du Google Play Store, consultez la capture d'écran ci-dessous.
L'ajout de cette disposition aux lignes directrices pour les développeurs permet à Google de prendre des mesures disciplinaires supplémentaires si une application enfreint ses conditions.
Si vous modifiez les systèmes de votre application, vous devez en informer les utilisateurs, obtenir leur consentement et permettre la réversibilité de ce consentement.
En outre, les comportements trompeurs et les techniques utilisées pour contourner le processus d'examen des applications ne sont plus autorisés.
Informations personnelles sensibles
Vous devez indiquer dans vos règles de confidentialité que vous utilisez une API qui accède à des informations personnelles sensibles afin d'obtenir l'autorisation d'utiliser le Google Play Store.
Google énonce quelques exigences supplémentaires concernant les informations sensibles et les API.
En particulier, la demande de ces données doit avoir un sens pour les utilisateurs, et vous ne devez demander des autorisations et l'accès à ces données très vulnérables que si elles sont nécessaires à la mise en œuvre des fonctionnalités ou des services actuels de votre application, tels qu'ils sont présentés dans votre fiche Google Play.
Vous trouverez plus d'informations à ce sujet dans la capture d'écran ci-dessous.
Politique de suppression des données
Afin de permettre aux consommateurs de mieux contrôler leurs données, Google a introduit de nouvelles exigences en matière de suppression de compte dans ses règles relatives aux données utilisateur, qui entreront en vigueur le 7 décembre 2023.
Les méthodes de suppression de compte et leur impact sur votre politique de conservation des données doivent figurer dans votre politique de confidentialité.
Si les utilisateurs peuvent créer des comptes dans votre application, vous devez leur fournir un moyen de demander la suppression de ce compte.
Les options doivent être facilement accessibles aux utilisateurs à l'intérieur et à l'extérieur de votre application. Si vous affichez l'une de ces méthodes sur votre site web, vous devez inclure un lien vers cette page dans un champ désigné de votre Play Console.
Vous devez également supprimer toutes les données utilisateur associées à ce compte d'application, sauf si vous devez conserver ces informations pour des raisons légitimes, telles que la sécurité, la prévention de la fraude ou le respect de la réglementation.
Protéger les données des enfants
Google décrit les règles de confidentialité des données pour les applications destinées aux enfants dans ses Règles de Google Play pour les familles.
Si vous ciblez un public comprenant des enfants, vous devez divulguer la collecte de toute donnée personnelle et sensible, y compris par le biais d'API ou de kits de développement logiciel (SDK).
Vous devez respecter toutes les réglementations applicables en matière de protection de la vie privée, dont beaucoup exigent désormais un consentement parental vérifiable avant de collecter des informations auprès d'un utilisateur de moins de 13 ans.
Vous trouverez plus de détails dans la capture d'écran ci-dessous.
Google explique également que vous devez vous assurer que votre application est conforme à la loi sur la protection de la vie privée des enfants en ligne(Children's Online Privacy and Protection Act- COPPA).
Ces exigences strictes font suite à une étude réalisée en 2018 par l'International Computer Science Institute, qui a révélé que plus de la moitié des applications Android gratuites de la section "Designed For Families" du Google Play Store présentaient des signes de violation des règles relatives à la protection de la vie privée des enfants.
Que contiennent les règles de confidentialité de votre Google Play Store ?
Selon le centre d'aide Play Console de Google, vos règles de confidentialité doivent inclure les éléments suivants :
- Des informations sur les développeurs et un point de contact ou un mécanisme permettant de poser des questions sur la protection de la vie privée.
- les types d'informations personnelles et sensibles auxquelles votre application accède, qu'elle collecte, utilise et partage (et les tiers avec lesquels les données sont partagées)
- Vos procédures de traitement sécurisé des données pour les données personnelles et sensibles des utilisateurs
- Votre politique de conservation et de suppression des données
- Un titre ou une étiquette claire indiquant que le document est une politique de protection de la vie privée
En outre, si votre application est soumise à des lois sur la confidentialité des données, vous devez également respecter toutes les obligations en matière de confidentialité définies par ces textes législatifs.
Dans la section suivante, je me concentrerai sur les clauses que le Google Play Store exige que vous intégriez dans vos règles de confidentialité.
Informations destinées aux développeurs et point de contact pour la protection de la vie privée
Pour que votre application soit approuvée par le Play Store, vous devez inclure les coordonnées du développeur dans la politique de confidentialité de votre application.
En outre, vous avez besoin d'un mécanisme de demande ou d'un point de contact pour la protection de la vie privée afin que les utilisateurs de votre application puissent soumettre des demandes concernant vos pratiques en matière de protection de la vie privée.
La capture d'écran ci-dessous montre comment l'application de streaming musical Spotify rédige cette clause, qu'elle place à la fin de sa politique.
Quelles sont les données collectées ?
Vous devez inclure dans la politique de confidentialité de votre application une clause expliquant les données que vous collectez, auxquelles vous accédez, que vous utilisez et que vous traitez. Le Play Store ne publiera pas votre application sans cette clause.
Voyez comment la plateforme de streaming vidéo Disney+ rédige cette clause dans sa politique de confidentialité.
Toute tierce partie avec laquelle vous partagez des données
Si vous partagez les données personnelles des utilisateurs de votre application avec des tiers, vous devez divulguer ces informations dans la clause de confidentialité de votre Google Play Store.
Cela inclut les données partagées par le biais d'API ou de SDK.
Vous trouverez ci-dessous un exemple de la manière dont le service de médias sociaux Snapchat rédige cette clause.
Vos procédures de traitement sécurisé
Les directives pour les développeurs du Google Play Store exigent que vous expliquiez vos pratiques de sécurité concernant les données des utilisateurs quelque part dans votre politique de confidentialité.
Vous trouverez ci-dessous un exemple de cette clause dans la politique de confidentialité de Spotify.
Votre politique de conservation et de suppression des données
Vous devez également expliquer votre politique de conservation et de suppression des données pour obtenir l'approbation du Google Play Store.
N'oubliez pas que si vous autorisez vos utilisateurs à créer un compte, vous devez également leur permettre de supprimer ce compte et toutes les données qui y sont associées.
Vous trouverez ci-dessous un exemple de la façon dont Disney+ gère cette clause.
Qu'est-ce que la section Sécurité de Google Play ?
Depuis avril 2022, la section "sécurité" de Google Play a été mise en place pour aider les utilisateurs à prendre des décisions plus éclairées concernant les applications qu'ils téléchargent et installent sur leurs appareils mobiles.
En remplissant ce formulaire, chaque application publiée sur le Google Play Store doit déclarer comment elle collecte, protège et traite les données privées des utilisateurs.
La section "Sécurité" de Google Play informe les utilisateurs et les aide à comprendre :
- Quel type de données une application recueille-t-elle ?
- Pourquoi l'application collecte-t-elle ces données ?
- Quelles données sont partagées avec des tiers ?
- Les utilisateurs ont-ils le contrôle de leurs données ?
- Si l'information est facultative ou nécessaire au fonctionnement de l'application
- Comment l'application protège les données grâce à des pratiques de sécurité telles que le cryptage
Chaque application publiée sur le Google Play Store doit comporter une section "Sécurité" entièrement remplie, et il vous incombe de la mettre à jour pour qu'elle reste toujours exacte.
Vous trouverez ci-dessous deux exemples de la section relative à la sécurité des données dans la fiche Google Play de Snapchat.
Voyons maintenant comment la section sécurité du Play Store a vu le jour.
Chronologie de la section Sécurité du Play Store
La section de sécurité du Play Store de Google a été mise en œuvre pendant environ un an, à partir de mai 2021, jusqu'à son entrée en vigueur complète en avril 2022.
Vous trouverez ci-dessous une capture d'écran de la chronologie de ces politiques, telle qu'elle apparaît sur le blog des développeurs Android.
Ensuite, examinons plus en détail l'historique de ces règles de développement du Google Play Store.
Octobre 2021 : Début des déclarations
En octobre 2021, les développeurs ont dû remplir et soumettre le questionnaire sur la sécurité des données dans la section "Confidentialité et sécurité des applications" de la page de contenu des applications dans la console Google Play.
À ce stade, des commentaires et des conseils ont été fournis, les soumissions d'applications se sont poursuivies et des liens vers la politique de protection de la vie privée ont commencé à apparaître sur toutes les pages de listing des applications.
Début 2022 : la section "Sécurité" devient visible
Au début de l'année 2022, les utilisateurs pouvaient consulter la nouvelle section "sécurité" sur le Google Play Store.
Google a rejeté toutes les nouvelles applications qui ne respectaient pas les règles de sécurité.
En outre, le contenu n'était pas affiché aux utilisateurs en cas d'incohérence dans les informations.
Toutes les applications comportaient également un lien vers une politique de confidentialité opérationnelle dans la section relative à la sécurité de l'application.
Avril 2022 : Date limite pour toutes les candidatures nouvelles et existantes
Enfin, d'ici avril 2022, la nouvelle section sur la sécurité exigera que toutes les applications de la Play Console soient cohérentes et conformes.
Il s'agissait du dernier délai, et toutes les applications qui ne s'adaptaient pas aux nouvelles règles s'exposaient à des sanctions.
Google a rejeté les nouvelles applications et les mises à jour s'il a constaté des divergences dans les informations fournies (ou s'il subsiste des problèmes non résolus dans le questionnaire).
Depuis cette date, il est obligatoire de remplir la section "App privacy & security". Vous devez désormais intégrer une politique de confidentialité dans la section "sécurité" de votre application et divulguer tous les fournisseurs tiers à vos utilisateurs.
Google a supprimé toutes les applications existantes sur le Play Store qui continuaient à ne pas respecter les nouvelles règles.
Comment Google fait-il respecter ses règles en matière de protection de la vie privée ?
Si Google constate qu'un développeur a présenté de manière erronée ses pratiques en matière de collecte de données, il doit immédiatement remédier à ses indiscrétions. Les applications qui ne respectent pas cette obligation peuvent être suspendues ou supprimées de la boutique d'applications.
Vous risquez également des amendes ou d'autres problèmes juridiques, en fonction des lois qui s'appliquent à votre application.
Comment Termly peut-il aider ?
Termly peut vous aider à élaborer une politique de confidentialité pour votre application qui réponde à toutes les exigences du Google Play Store.
Je recommande vivement notre Générateur de politique de confidentialité. Il pose des questions de base sur votre application et sa collecte de données et élabore une politique unique en fonction de vos réponses.
Il peut même vous aider à vous conformer aux lois sur la confidentialité des données telles que le RGPD et la CCPA.
Vous trouverez ci-dessous un exemple de ce à quoi il ressemble.
Nous proposons également un modèle de politique de confidentialité que vous pouvez télécharger et adapter aux besoins de votre application mobile. Les modèles demandent plus de travail, car vous devrez remplir les sections vides avec des informations sur votre application.
Mais elles constituent une excellente solution pour les applications simples qui ne collectent pas beaucoup (ou pas du tout) de données personnelles auprès des utilisateurs.
Vous trouverez ci-dessous un exemple de ce à quoi il ressemble.
Résumé
Vous connaissez désormais les obligations des développeurs d'applications en matière de confidentialité des données et de politique de confidentialité, telles qu'elles sont définies par le Google Play Store.
Les règles de Google suivent l'évolution des lois sur la protection des données, ce qui signifie qu'elles sont susceptibles d'être modifiées, mais toujours avec préavis.
Vérifiez si et quand quelque chose est adapté afin de savoir comment cela peut avoir un impact sur votre politique de confidentialité Play Store.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
