Vous devez faire preuve de transparence concernant le traitement appliqué aux données utilisateur (par exemple, les informations collectées auprès d'un utilisateur ou à son sujet, y compris les informations sur les appareils). Vous êtes donc tenu de divulguer l'accès, la collecte, l'utilisation, le traitement et le partage des données utilisateur effectués à partir de votre application, ainsi que de limiter l'exploitation de ces données aux fins communiquées, conformément aux règles en vigueur. Veuillez noter que tout traitement de données utilisateur personnelles et sensibles est également soumis à des exigences supplémentaires décrites dans la section "Données utilisateur personnelles et sensibles" ci-dessous. Ces exigences Google Play viennent compléter celles imposées par les lois applicables sur la confidentialité et la protection des données.
Si vous incluez du code tiers (par exemple, un SDK) dans votre application, vous devez vous assurer que son utilisation dans votre application et que les pratiques de l'entité tierce concernant le traitement des données utilisateur liées à votre application sont conformes au Règlement du programme Google Play pour les développeurs, lequel comprend diverses exigences relatives à l'utilisation et à la divulgation de telles données. Par exemple, vous devez vous assurer que vos fournisseurs de SDK ne vendent pas les données personnelles et sensibles des utilisateurs de votre application. Cette exigence s'applique également lorsque les données utilisateur sont transférées après avoir été envoyées à un serveur, ou lorsqu'un tel transfert résulte de l'intégration d'un code tiers à votre application.
TOUT RÉDUIRE TOUT DÉVELOPPER
Données utilisateur personnelles et sensiblesLes données utilisateur sensibles et à caractère personnel incluent, sans toutefois s'y limiter, les informations permettant d'identifier personnellement l'utilisateur, financières, de paiement et d'authentification, l'annuaire téléphonique, les contacts, la position de l'appareil, les données concernant les SMS et les appels, les données de santé, les données Santé Connect, l'inventaire des autres applications sur l'appareil, les données des capteurs du micro et de l'appareil photo, ainsi que d'autres données sensibles sur l'appareil ou l'utilisation. Si votre application gère des données utilisateur sensibles et à caractère personnel, vous devez prendre les précautions suivantes :
Exigences concernant la visibilité des communiqués et la demande d'autorisationDans les cas où l'accès, la collecte, l'utilisation ou le partage des données utilisateur sensibles et à caractère personnel par votre application sont susceptibles de ne pas correspondre aux attentes raisonnables de l'utilisateur du produit ou de la fonctionnalité concernés (par exemple, si la collecte des données se fait en arrière-plan lorsque l'utilisateur n'utilise pas votre application), vous devez respecter les exigences suivantes : Communiqué visible : vous devez afficher un communiqué au sein de l'application concernant votre accès, collecte, utilisation et partage des données, lequel :
Consentement et autorisations d'exécution : les demandes de consentement et d'autorisation d'exécution adressées à l'utilisateur dans l'application doivent être immédiatement précédées d'une communication dans l'application conforme aux exigences du présent règlement. La demande de consentement de l'application :
Les applications qui s'appuient sur d'autres bases juridiques pour traiter les données utilisateur sensibles et à caractère personnel sans consentement, par exemple un intérêt légitime tel que défini dans le RGPD de l'UE, doivent se conformer à toutes les obligations légales applicables et fournir des communiqués appropriés aux utilisateurs, y compris des communiqués dans l'application, comme l'exige le présent règlement. Pour respecter les exigences définies dans le règlement, il est recommandé de se référer à l'exemple de format suivant pour les communiqués visibles, lorsque ceux-ci sont obligatoires.
Si votre application intègre du code tiers (par exemple, un SDK) conçu pour collecter par défaut des données utilisateur sensibles et à caractère personnel, vous devez, dans un délai de deux semaines à compter de la réception d'une demande de Google Play (ou dans le délai stipulé dans cette demande s'il excède deux semaines), fournir des preuves suffisantes démontrant que votre application satisfait aux exigences concernant la visibilité des communiqués et les demandes de consentement du présent règlement, y compris en ce qui concerne l'accès, la collecte, l'utilisation ou le partage des données via le code tiers.
Pour plus d'informations, consultez cet article sur les exigences concernant la visibilité des communiqués et les demandes de consentement. Restrictions d'accès aux données utilisateur sensibles et à caractère personnelEn plus des exigences indiquées ci-dessus, le tableau suivant décrit les exigences à respecter pour certaines activités :
|
Section Sécurité des donnéesTous les développeurs doivent remplir, pour chaque application, la section Sécurité des données de façon claire et précise. Ils doivent y préciser les méthodes de collecte, d'utilisation et de partage des données utilisateur. Les développeurs sont responsables de l'exactitude de ces informations et de leur mise à jour régulière. Le cas échéant, les informations fournies dans cette section doivent être conformes à celles divulguées dans les règles de confidentialité de l'application. Pour en savoir plus sur les informations à fournir dans la section Sécurité des données, veuillez consulter cet article. Règles de confidentialitéToutes les applications doivent présenter leurs règles de confidentialité dans le champ correspondant de la Play Console. Ces règles, ou un lien permettant de les consulter, doivent également figurer dans l'application. Ces règles, ainsi que les communiqués dans votre application, doivent divulguer de manière exhaustive comment celle-ci accède aux données utilisateur (pas seulement les données mentionnées dans la section Sécurité des données), ainsi que la façon dont elle les collecte, les utilise et les partage. Cela doit comprendre ce qui suit :
L'entité (le développeur ou l'entreprise, par exemple) figurant sur la fiche Google Play Store ou l'application doivent être mentionnées dans les règles de confidentialité. Les applications qui n'accèdent à aucune donnée utilisateur sensible et à caractère personnel doivent quand même inclure des règles de confidentialité. Assurez-vous que vos règles de confidentialité sont disponibles en ligne (pas au format PDF) et non modifiables. L'URL doit être active et accessible au public, et ne pas être bloquée par une zone de géorepérage. Exigences concernant la suppression de comptesSi votre application permet aux utilisateurs de créer un compte à partir de l'application, elle doit également leur permettre de demander à ce que celui-ci soit supprimé. Les utilisateurs doivent disposer d'une option facilement accessible pour entreprendre la suppression du compte d'application, que ce soit à partir de l'application ou en dehors (par exemple, sur votre site Web). Une adresse menant à cette ressource Web doit être indiquée dans le champ d'URL prévu à cet effet dans le formulaire de la Play Console. Lorsque vous supprimez un compte d'application à la demande de l'utilisateur, vous devez également supprimer les données utilisateur associées. La désactivation temporaire, la suspension ou le gel d'un compte d'application ne suffisent pas à répondre à ces exigences de suppression. Si un motif légitime (par exemple, sécurité, prévention des fraudes ou conformité réglementaire) vous impose de garder certaines données, vous devez clairement informer les utilisateurs de vos pratiques de conservation des données (par exemple, dans vos règles de confidentialité). Pour en savoir plus sur les exigences concernant la suppression de comptes, veuillez consulter cet article du Centre d'aide. Pour plus d'informations sur la mise à jour de votre formulaire Sécurité des données, consultez cet article. |
Utiliser l'ID d'ensemble d'applicationsNous allons introduire un nouvel ID Android pour les cas d'utilisation essentiels tels que l'analyse et la prévention des fraudes. Les conditions d'utilisation de cet identifiant figurent ci-dessous.
|
EU-U.S. Privacy Shield (Bouclier de protection des données UE-États-Unis) et Swiss-U.S. Privacy Shield (Bouclier de protection des données Suisse-États-Unis)Si vous consultez, utilisez ou traitez des informations personnelles mises à disposition par Google qui identifient directement ou indirectement une personne et qui proviennent de l'Union européenne ou de la Suisse (dénommées ci-après "informations personnelles provenant de l'Union européenne"), vous êtes tenu de vous conformer aux obligations suivantes :
Il vous incombe de vérifier régulièrement que vous respectez bien ces conditions. Si, à tout moment, vous n'êtes plus en mesure de vous y conformer (ou s'il est très probable que vous ne puissiez plus les honorer), vous devez nous avertir immédiatement par e-mail à l'adresse [email protected]. Vous devez alors cesser de traiter des informations personnelles provenant de l'Union européenne ou prendre immédiatement les mesures nécessaires et appropriées pour rétablir un niveau adéquat de protection. Depuis le 16 juillet 2020, Google ne s'appuie plus sur le EU-U.S. Privacy Shield (Bouclier de protection des données UE-États-Unis) pour le transfert vers les États-Unis de données provenant de l'Espace économique européen ou du Royaume-Uni. En savoir plus. Pour en savoir plus, reportez-vous à la section 9 du Contrat relatif à la distribution sur Google Play (pour les développeurs). |