Google (en anglais seulement annoncé il déploiera une section « Sécurité des données » pour les applications répertoriées sur son marché d’applications, Google Play, similaire aux étiquettes nutritionnelles de confidentialité d’Apple. La section Sécurité des données fournira aux consommateurs un résumé des pratiques de confidentialité et de sécurité d’une application, y compris, mais sans s’y limiter, les données utilisateur qu’une application « collecte » ou « partage ». Les développeurs d’applications (« Développeurs ») doivent remplir le formulaire Sécurité des données d’ici le 20 juillet 2022. Notamment, Google n’a pas mis en œuvre d’opt-in de suivi, comme Apple Tracking Transparency, en association avec l’initiative Data Safety. En tant que divulgation de la sécurité des données de votre application, elle servira de de fait un avis de confidentialité supplémentaire de votre organisation, des équipes de développement et de produit doit consulter le conseiller juridique / de confidentialité au fur et à mesure qu’il remplit les informations. Ci-dessous, nous fournissons des instructions de haut niveau sur le remplissage du formulaire de sécurité des données (« Formulaire ») et des exigences supplémentaires en matière de confidentialité de Google. Si vous souhaitez plus d’informations sur ce sujet, nous avons des conseils détaillés sur la sécurité des données Google, ainsi que les exigences d’Apple en matière d’étiquettes nutritionnelles de confidentialité et de transparence du suivi des applications, y compris des instructions détaillées sur la façon de remplir les formulaires (avec captures d’écran), disponibles moyennant des frais fixes.
Calendrier de conformité
Les applications publiées sur Google Play doivent afficher une section Sécurité des données d’ici le 20 juillet 2022.
Les directives de Google indiquent qu’une application (y compris les mises à jour) ne sera pas publiée sur Google Play si le développeur ne fournit pas les informations requises ou si le développeur ne résout pas les problèmes identifiés par Google. Google a indiqué qu’il peut s’écouler entre 1 et 2 semaines avant que les mises à jour de la sécurité des données ne se reflètent sur la liste Google Play d’une application, et peut-être plus si des problèmes sont identifiés au cours du processus d’examen. Par conséquent, les développeurs doivent planifier le moment de la soumission de leur formulaire en conséquence.
Comment ajouter une section sécurité des données
Pour remplir les informations dans la section Sécurité des données, le développeur doit envoyer un formulaire via Play Console, le portail des développeurs de Google. Google utilisera les réponses du développeur au formulaire pour évaluer la conformité d’une application aux exigences de Google en matière de confidentialité.
À un niveau élevé, les développeurs doivent déclarer les catégories d’informations suivantes dans le formulaire :
-
Quels types de données sont « collectés » par l’application, y compris les données d’application transférées hors de l’appareil, mais à l’exclusion de certains types d’activités de collecte. Les types de données énumérés comprennent, sans toutefois s’y limiter, les informations de localisation, les informations personnelles, les informations financières, les informations sur la santé et la forme physique, les identifiants d’appareil et autres. « Collecter », tel que défini par Google dans ses directives, comprend, entre autres, les données transférées hors de l’appareil (1) qui sont des données pseudonymes ; ou (2) par le biais de bibliothèques et/ou de SDK, que ce soit par le Développeur ou son partenaire tiers. « Collecter » exclut (1) les données utilisateur auxquelles l’application accède et qui n’est pas envoyée depuis l’appareil de l’utilisateur ; ou (2) les données utilisateur traitées avec un cryptage de bout en bout afin qu’elles soient illisibles pour quiconque autre que l’expéditeur et le destinataire.
-
Les finalités de l’utilisation et du traitement des données collectées, type de données par type de données. Les objectifs sont énumérés et comprennent: la fonctionnalité de l’application, l’analyse, les communications des développeurs, la publicité ou le marketing, la prévention de la fraude, la personnalisation et la gestion de compte.
-
Comment l’application « partage » les données utilisateur collectées par l’application, type de données par type de données. Par exemple, le « partage » comprend les transferts de serveur à serveur hors appareil, le transfert sur l’appareil vers une autre application, les transferts de l’application directement à des tiers (g., via des SDK intégrés dans l’application), ou le transfert de données d’application vers une vue Web tierce. Il exclut, par exemple, les transferts de données d’application à des fournisseurs de services effectuant des services pour le compte du développeur.
-
Renseignements sur toute autre pratique en matière de protection de la vie privée et de sécurité (g., si l’application chiffre les données en transit ou si l’application dispose d’un moyen pour les utilisateurs de demander la suppression de leurs données).
Bien que la section Sécurité des données de Google partage des similitudes avec ce qui doit être divulgué dans la section Confidentialité des applications d’Apple (également communément appelée « Étiquettes nutritionnelles de confidentialité » d’Apple), les informations requises par les deux ne sont pas identiques. En outre, Apple exige que les développeurs remplissent un formulaire distinct de celui requis par Google. Par conséquent, les développeurs doivent évaluer leurs divulgations d’applications séparément et soumettre différents formulaires, selon qu’ils publient sur Google Play ou sur l’App Store d’Apple.
Autres exigences légales liées à la confidentialité pour les applications Google Play
En plus des divulgations requises pour la section Sécurité des données décrite ci-dessus, Google also a de nombreuses autres exigences spécifiques à la confidentialité pour les développeurs qui publient des applications sur Google Play, y compris, mais sans s’y limiter, les suivantes :
-
L’application doit être transparente quant à la façon dont elle traite les données utilisateur et divulguer des informations relatives à la façon dont l’application accède, collecte, utilise et partage les données utilisateur.
-
L’application doit limiter son utilisation des données qu’elle collecte aux fins divulguées à l’utilisateur.
-
L’application doit respecter les restrictions de Google sur la façon dont une application peut accéder aux données personnelles et sensibles (g., aucune publication ou divulgation de données personnelles ou sensibles d’utilisateurs liées à des activités financières ou de paiement ou de numéros d’identification gouvernementaux).
-
Si l’application comporte un code tiers (g., SDK), le développeur doit s’assurer que le code tiers de l’application est également conforme aux règles du programme Google Developer.
-
Les développeurs doivent publier un lien vers la politique de confidentialité applicable dans l’application et également dans la liste des applications sur Google Play. Toutes les applications doivent publier une politique de confidentialité valide à partir du 20 juillet 2022.
-
La divulgation dans l’application (par exemple par le biais d’un avis de confidentialité) doit informer les utilisateurs de la façon dont l’application accède, collecte, utilise et partage des données personnelles et sensibles. Cette divulgation dans l’application ne peut pas être regroupée avec d’autres divulgations dans l’application qui ne sont pas liées à des données personnelles et sensibles. Par exemple, cette divulgation doit apparaître séparément des conditions d’utilisation de l’application.
-
L’application doit être conforme aux exigences de Google Play et à toutes les lois applicables en matière de confidentialité et de protection des données.
Principaux points à retenir
Si votre entreprise dispose d’une application disponible sur Google Play, vous devez tenir compte des exigences de Google en matière de confidentialité décrites ci-dessus, à savoir l’achèvement de la section Sécurité des données d’ici le 20 juillet 2022, et y compris un lien vers votre Politique de confidentialité sur la liste des applications Google Play et dans l’application. Bien sûr, vous devez également tenir compte des exigences légales dans le cadre de vos conseils sur les produits d’application, y compris l’assaut à venir de Lois de 2023 sur la protection de la vie privée.
© Copyright 2022 Écuyer Patton Boggs (US) LLPNational Law Review, Volume XII, Numéro 132