Pour beaucoup, essayer de comprendre ce que les applications font avec nos données prend trop de temps. Google veut faciliter la compréhension, en créant des « étiquettes nutritionnelles de confidentialité » dans son magasin d'applications Google Play afin que vous puissiez voir exactement quelles informations l'application récupère. L'expert en cybersécurité Craig Petronella a déclaré « essentiellement, il s'agit de paramètres de confidentialité améliorés pour les consommateurs ».
Apple a ouvert la voie il y a quelque temps, obligeant les applications de l'App Store à montrer comment elles utilisent vos données.
Une autre chose que vous pourrez voir est si l'application suit les politiques de Google pour protéger les enfants et si l'application a validé ses pratiques de sécurité par rapport à une norme mondiale.
Google déploie une nouvelle section de sécurité des données sur le Play Store, le référentiel officiel d'applications d'Android, où les développeurs doivent déclarer quelles données leur logiciel collecte auprès des utilisateurs de leurs applications. Ce sera comme une étiquette de confidentialité donnant aux utilisateurs des informations cruciales en un coup d'œil, ce qui devrait être suffisant pour les aider à décider s'ils souhaitent procéder à l'installation.
Non seulement les développeurs déclareront quelles données ils collectent, mais également quelles données ils partagent avec des tiers, révélant essentiellement le but de la collecte.
Si l'utilisateur souhaite en savoir plus sur une entrée particulière, appuyer sur l'élément correspondant réduira le menu pour révéler plus d'informations sur ce qui est collecté ou partagé.
« En juillet et en octobre, nous avons communiqué de nouvelles informations au sujet de la section sur la sécurité des données de Google Play à la suite de notre article de blog initial de mai 2021. Les développeurs auront bientôt l'obligation de nous préciser les pratiques de confidentialité et de sécurité de leurs applications en remplissant un formulaire dans la Play Console. À partir de fin avril 2022, ces informations seront visibles sur la fiche Play Store de votre application afin d'aider les utilisateurs de Google Play à comprendre, avant de télécharger votre application, comment celle-ci collecte et partage leurs données », a expliqué Google.
La section sur la sécurité des données de Google Play vous permet d'aider les utilisateurs à comprendre quelles données sont collectées ou partagées par votre application, et de présenter les principales pratiques de sécurité et de confidentialité de celle-ci. Grâce à ces informations, les utilisateurs pourront déterminer de manière éclairée quelles applications ils souhaitent installer.
D'ici le 20 juillet 2022, tous les développeurs devront déclarer la façon dont ils collectent et traitent les données utilisateur pour les applications qu'ils publient sur Google Play. Ils devront également préciser comment ils protègent ces données, grâce à des pratiques de sécurité telles que le chiffrement. Cela inclut les données collectées et gérées via les bibliothèques ou SDK tiers utilisés dans leurs applications.
Vous pouvez fournir ces informations par le biais d'un formulaire, que vous trouverez dans la nouvelle section sur la sécurité des données de la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Une fois que vous aurez rempli et envoyé le formulaire sur la sécurité des données, Google examinera les informations fournies lors de l'examen de votre application. Ces informations figureront sur votre fiche Play Store, afin que les utilisateurs de Google Play sachent, avant de télécharger votre application, comment vous recueillez et partagez des données.
Vous seul êtes responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play. Google Play vérifie que les applications respectent l'intégralité du règlement. « Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire sur la sécurité des données. Si nous constatons une incohérence entre le comportement de votre application et votre déclaration, nous pouvons être amenés à prendre les mesures appropriées, y compris des sanctions ».
Le troisième pilier de la section Sécurité des données sera les pratiques de sécurité de l'application, qui décrivent les mécanismes de sécurité utilisés pour protéger les données collectées, comme la norme MASVS.
Cette troisième section précise également si les utilisateurs ont la possibilité de demander à tout moment la suppression de leurs données.
Enfin, la sécurité des données précisera si l'application respecte la politique des familles de Google Play, qui est axée sur la protection des enfants.
Google déploie progressivement la nouvelle section de sécurité des données. Aussi, les utilisateurs d'Android qui ne voient pas cette nouvelle section immédiatement la verront certainement au cours des semaines à venir.
Les développeurs peuvent commencer à déclarer comment les données collectées sont utilisées à partir d'aujourd'hui, la date limite pour terminer leurs soumissions étant le 20 juillet 2022. Google a déclaré que les développeurs fourniraient eux-mêmes ces informations. Cependant, s'il est découvert qu'un développeur a déformé ses divulgations d'utilisation des données, il sera tenu de corriger les informations fournies. Ne pas le faire entraînerait des violations de la politique, pouvant conduire à des sanctions de la part de Google.
Calendrier
Google prévoit le calendrier suivant pour le déploiement du formulaire sur la sécurité des données dans la Play Console. Notez que ce calendrier est susceptible d'être modifié.
- Octobre 2021 : Publication du formulaire sur la sécurité des données disponible sur la page Contenu de l'application dans la Play Console
- Les développeurs peuvent le remplir et l'envoyer pour recevoir les premiers commentaires sur les problèmes identifiés. Durant cette période, les envois d'applications ne seront pas affectés par les informations fournies dans votre formulaire sur la sécurité des données. Notez cependant que d'autres problèmes de non-respect des règles peuvent avoir des conséquences sur votre application,
- En cas de souci au niveau de votre formulaire sur la sécurité des données, vous recevrez un e-mail vous informant que le contenu de l'application a été approuvé malgré des problèmes. Vous devrez lire les informations fournies et prendre les mesures adéquates. Vous pouvez publier provisoirement les mises à jour de l'application en rétablissant manuellement le mode "Brouillon" pour votre formulaire sur la sécurité des données dans la Play Console,
- S'ils ne l'ont pas déjà fait, les développeurs doivent ajouter un lien vers les règles de confidentialité de leur application ;
- Fin avril 2022 : Déploiement de la section sur la sécurité des données sur Google Play pour tous les utilisateurs. Si un PSL n'a pas encore été rempli ni envoyé pour une application, la mention "Aucune information disponible" sera affichée dans la section sur la sécurité des données de cette application
- Si vous n'avez pas encore rempli ni envoyé le formulaire pour votre application, la mention "Aucune information disponible" sera affichée sur la fiche Play Store de l'application (dans la section sur la sécurité des données) ;
- 20 juillet 2022 : Les envois de nouvelles applications et les mises à jour d'application seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus ;
- Pour tous les envois de nouvelles applications et toutes les mises à jour d'application, vous devez remplir un formulaire sur la sécurité des données. Vous ne pouvez plus publier d'application ni de mise à jour d'application si ce formulaire est incomplet ou que vous n'avez pas résolu les problèmes le concernant,
- Si des problèmes persistent concernant les informations de la section sur la sécurité des données, les utilisateurs verront la mention "Aucune information disponible" dans cette section sur la fiche Play Store de votre application. Vous recevrez alors un e-mail vous indiquant les problèmes à résoudre,
- Tous les envois de nouvelles applications et toutes les mises à jour d'application nécessitent des règles de confidentialité valides ;
- Après le 20 juillet 2022 : D'autres mesures pourront être prises par la suite pour les applications non conformes, comme la suppression de la fiche Play Store de l'application sur Google Play.
Quels développeurs doivent remplir le formulaire sur la sécurité des données dans la Play Console ?
Tous les développeurs qui ont publié une application sur Google Play doivent remplir le formulaire sur la sécurité des données, y compris pour les applications sur les canaux de test interne, fermé, ouvert ou de production.
Même ceux dont les applications ne recueillent aucune donnée utilisateur doivent le remplir et fournir un lien vers leurs règles de confidentialité. Dans ce cas, le formulaire rempli et les règles de confidentialité peuvent simplement indiquer qu'aucune donnée utilisateur n'est recueillie ni partagée.
Google précise que, dans les cas d'utilisation suivants, les données n'ont pas besoin d'être déclarées en tant que données collectées :
- Accès/Traitement sur l'appareil : les données utilisateur auxquelles votre application accède, qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui n'ont pas été envoyées depuis l'appareil, n'ont pas besoin d'être déclarées ;
- Chiffrement de bout en bout : les données utilisateur envoyées depuis l'appareil, mais que vous ou toute personne autre que l'expéditeur et le destinataire ne pouvez pas lire en raison d'un chiffrement de bout en bout, n'ont pas besoin d'être déclarées
- Les données chiffrées ne doivent pas pouvoir être lues par une entité intermédiaire, y compris le développeur. Seuls l'expéditeur et le destinataire peuvent disposer des clefs nécessaires.
Remplacer un mauvais système
Jusqu'à présent, les applications Android sur le Play Store devaient répertorier un lien vers leur politique de confidentialité dans la section « Informations supplémentaires » et fournir un e-mail de contact. Étant donné que cette politique de confidentialité est hébergée sur un site externe, elle est sujette à modifications, peut être vague, peut ne pas divulguer tous les détails cruciaux sur la collecte et la protection des données, et peut même conduire à un lien rompu.
De plus, étant donné que la lecture de longs textes de jargon juridique n'est pas exactement ce que les utilisateurs attendent avec impatience lorsqu'ils parcourent le Google Play Store pour de nouvelles applications, presque personne ne les vérifie.
Enfin, en raison des difficultés pratiques découlant de ce qui précède, il a été impossible pour Google de valider que les applications respectent les termes présentés dans leurs politiques de confidentialité.
La sécurité des données donne aux utilisateurs une compréhension claire de ce qui se passe avec leurs données sans les obliger à passer du temps à fouiller dans les sections, tout en permettant également à Google de faire appliquer la loi.
Des différences existentielles avec l'approche d'iOS
Alors que la décision de Google est bénéfique pour les utilisateurs d'Android, une fonctionnalité similaire appelée Privacy Nutrition Labels a déjà été introduite par Apple en 2020. « Nos Privacy Nutrition Labels sont conçues pour vous aider à comprendre comment les applications traitent vos données, y compris les applications que nous développons chez Apple », explique l'éditeur d'iOS.
Bien que les deux ensembles d'étiquettes se concentrent sur l'information des utilisateurs sur la manière dont les applications collectent et gèrent les données et la confidentialité des utilisateurs, il existe des différences essentielles. Les étiquettes d'Apple se concentrent en grande partie sur les données collectées, y compris les données utilisées à des fins de suivi, et sur l'information de l'utilisateur sur ce qui leur est lié. Les labels de Google, quant à eux, mettent davantage l'accent sur la question de savoir si vous pouvez être sûr que les données collectées sont traitées de manière responsable en permettant aux développeurs de divulguer s'ils suivent les meilleures pratiques en matière de sécurité des données.
Les étiquettes permettent également aux développeurs Android d'expliquer pourquoi ils collectent les données directement sur l'étiquette, afin que les utilisateurs puissent comprendre comment les données sont utilisées - pour la fonctionnalité de l'application, la personnalisation, etc. - pour aider à éclairer la décision de l'utilisateur avant de télécharger l'application. Ils peuvent également voir si la collecte de données est obligatoire ou facultative.
Google dit avoir entendu des développeurs d'applications qu'il ne suffisait pas d'afficher simplement les données qu'une application collecte sans contexte supplémentaire, ce qui a motivé la conception de l'étiquette.
Au lancement, la section sur la sécurité des données de Google Play détaillera spécifiquement les éléments suivants, indique Google :
- si le développeur collecte des données et dans quel but ;
- si le développeur partage des données avec des tiers ;
- les pratiques de sécurité de l'application, comme le chiffrement des données en transit et si les utilisateurs peuvent demander la suppression des données ;
- si une application éligible s'est engagée à respecter la politique familiale de Google Play conçue pour mieux protéger les enfants dans le Play Store ;
- si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, le MASVS).
Bien que l'ajout des étiquettes puisse, en théorie, aider les utilisateurs d'Android à prendre de meilleures décisions sur les applications qu'ils souhaitent utiliser, il n'est pas clair qu'il y ait un effort pour vérifier l'exactitude des données au moment de la soumission.
Les étiquettes de confidentialité des applications ont déjà été accusées d'être une source d'informations peu fiable après leur lancement sur l'App Store. Selon un rapport du Washington Post l'année dernière, de nombreuses étiquettes qu'ils ont examinées lors d'un contrôle ponctuel ont fourni de fausses informations. Par exemple, les applications affirmant qu'elles ne collectaient aucune donnée se sont avérées en réalité faire le contraire : les collecter et les partager.
En d'autres termes, les étiquettes semblaient donner aux utilisateurs un faux sentiment de sécurité sur la façon dont leurs données étaient consultées et utilisées, plutôt qu'un véritable moyen d'agir. Apple, cependant, avait déclaré au Washington Post qu'il vérifierait régulièrement l'exactitude des étiquettes.
Source : Google
Et vous ?
Vous arrive-t-il de parcourir les politiques d'utilisation d'une application pour voir comment vos données seront utilisées ?
Que pensez-vous de ces initiatives qui tentent de simplifier le processus en donnant des informations claires et précises aux utilisateurs avant un quelconque téléchargement ?
En temps que développeurs, comment accueillez-vous cette orientation ?
Une initiative qui pourrait donner un faux sentiment de sécurité aux mobinautes sur Android ?