Exigences concernant les SDK

Les développeurs d'applications s'appuient souvent sur du code tiers (par exemple, un SDK) pour intégrer des services et fonctionnalités clés à leurs applications. Lorsque vous incluez un SDK dans votre application, vous devez vous assurer de pouvoir protéger vos utilisateurs et votre application de toute faille. Dans cette section, nous expliquons comment certaines de nos exigences de confidentialité et de sécurité s'appliquent dans le contexte d'un SDK, et en quoi elles sont conçues pour aider les développeurs à intégrer des SDK dans leurs applications de façon sécurisée.

Si vous incluez un SDK dans votre application, vous devez vous assurer que les pratiques et le code tiers associés n'entraînent pas un non-respect du Règlement du programme Google Play pour les développeurs. Il est important de savoir comment les SDK inclus dans votre application traitent les données utilisateur. Vous devez également savoir quelles autorisations ils utilisent, quelles sont les données collectées, et pourquoi. Sachez que la façon dont un SDK collecte et traite les données utilisateur doit concorder avec l'utilisation conforme au règlement que votre application fait de ces données.

Pour vous assurer que votre utilisation d'un SDK est conforme aux règles, assurez-vous de lire et de comprendre les règles suivantes dans leur intégralité, et prenez note des exigences relatives aux SDK présentées ci-dessous.

Règlement sur les données utilisateur

Vous devez faire preuve de transparence concernant le traitement appliqué aux données utilisateur (par exemple, les informations collectées auprès d'un utilisateur ou à son sujet, y compris les informations sur les appareils). Vous êtes donc tenu de divulguer l'accès, la collecte, l'utilisation, le traitement et le partage des données utilisateur effectués à partir de votre application, ainsi que de limiter l'exploitation de ces données aux fins communiquées, conformément aux règles en vigueur.

Si vous incluez du code tiers (par exemple, un SDK) dans votre application, vous devez vous assurer que son utilisation dans votre application, ainsi que les pratiques de l'entité tierce concernant le traitement des données utilisateur liées à votre application, sont conformes au Règlement du programme Google Play pour les développeurs, lequel comprend diverses exigences relatives à l'utilisation et à la divulgation de telles données. Par exemple, vous devez vous assurer que vos fournisseurs de SDK ne vendent pas les données personnelles et sensibles des utilisateurs de votre application. Cette exigence s'applique également lorsque les données utilisateur sont transférées après avoir été envoyées à un serveur, ou lorsqu'un tel transfert résulte de l'intégration d'un code tiers à votre application.

Données utilisateur personnelles et sensibles

  • Limitez la consultation, la collecte, l'utilisation et le partage des données utilisateur sensibles et à caractère personnel acquises par le biais de l'application aux besoins fonctionnels et aux fins conformes au règlement et raisonnablement attendues par l'utilisateur :
    • Les applications qui étendent l'utilisation des données utilisateur sensibles et à caractère personnel à la diffusion de publicités doivent respecter les règles relatives aux annonces de Google Play.
  • Traitez de manière sécurisée toutes les données utilisateur sensibles et à caractère personnel, y compris en les transmettant à l'aide d'une technologie de cryptographie récente (HTTPS, par exemple).
  • Affichez une demande d'autorisations d'exécution chaque fois que disponible avant d'accéder à des données protégées par des autorisations Android.

Vente de données utilisateur personnelles et sensibles

Ne vendez pas les données utilisateur sensibles et à caractère personnel.

  • "Vente" signifie l'échange ou le transfert de données utilisateur sensibles et à caractère personnel à un tiers moyennant une contrepartie monétaire.
    • Le transfert de données utilisateur sensibles et à caractère personnel à l'initiative de l'utilisateur (par exemple, lorsque celui-ci utilise une fonctionnalité de l'application pour transférer un fichier à un tiers, ou fait le choix d'utiliser une application à des fins spécifiques dans le cadre d'une étude) n'est pas considéré comme une vente.

Exigences concernant la visibilité des communiqués et les demandes de consentement

Dans les cas où l'accès, la collecte, l'utilisation ou le partage des données utilisateur sensibles et à caractère personnel par votre application sont susceptibles de ne pas correspondre aux attentes raisonnables de l'utilisateur du produit ou de la fonctionnalité concernés, vous devez respecter les exigences concernant la visibilité des communiqués et les demandes de consentement du Règlement sur les données utilisateur.

Si votre application intègre du code tiers (par exemple, un SDK) conçu pour collecter par défaut des données utilisateur sensibles et à caractère personnel, vous devez, dans un délai de deux semaines à compter de la réception d'une demande de Google Play (ou dans le délai stipulé dans cette demande s'il excède deux semaines), fournir des preuves suffisantes démontrant que votre application satisfait aux exigences concernant la visibilité des communiqués et les demandes de consentement du présent règlement, y compris en ce qui concerne l'accès, la collecte, l'utilisation ou le partage des données via le code tiers.

N'oubliez pas de vous assurer que votre utilisation du code tiers (par exemple, un SDK) n'entraîne pas un non-respect du Règlement sur les données utilisateur.

Pour plus d'informations sur les exigences concernant la visibilité des communiqués et les demandes de consentement, consultez cet article du Centre d'aide.

Exemples de cas de non-respect provoqués par un SDK

  • Application avec un SDK collectant des données utilisateur sensibles et à caractère personnel et qui ne traite pas ces données comme étant soumises au présent règlement sur les données utilisateur et aux exigences concernant l'accès, le traitement des données (y compris la vente non autorisée), la visibilité des communiqués et les demandes de consentement
  • Application intégrant un SDK qui collecte par défaut des données utilisateurs sensibles et à caractère personnel, en violation des exigences du présent règlement concernant la visibilité des communiqués et les demandes de consentement
  • Application avec un SDK présenté comme collectant des données utilisateur sensibles et à caractère personnel uniquement pour fournir à l'application des fonctionnalités de lutte contre la fraude et les utilisations abusives, mais qui partage également les données qu'il collecte avec des tiers à des fins publicitaires ou d'analyse
  • Application incluant un SDK qui transmet des informations sur les packages installés par les utilisateurs sans respecter les consignes des Règles de confidentialité et/ou celles sur la visibilité des communiqués 

Exigences supplémentaires concernant l'accès aux données utilisateur personnelles et sensibles

Le tableau suivant décrit les exigences à respecter pour certaines activités :

Activité  Exigence
Votre application collecte des identifiants permanents d'appareils ou crée des associations avec ces identifiants (par exemple, IMEI, IMSI, numéro de série SIM, etc.).

Nous n'autorisons pas l'association des identifiants permanents d'appareils avec les données utilisateur sensibles ou à caractère personnel ni avec les identifiants d'appareils réinitialisables, sauf dans les cas suivants :

  • activités de téléphonie effectuées via un numéro lié à une identité SIM (par exemple, appels Wi-Fi passés à partir d'un numéro lié au compte d'un opérateur) ;
  • applications d'entreprise dédiées à la gestion des appareils et utilisant le mode propriétaire de l'appareil.

Ces cas d'utilisation doivent faire l'objet d'un communiqué visible présenté aux utilisateurs, conformément aux dispositions dua Règlement sur les données utilisateur.

Veuillez consulter cette ressource pour en savoir plus sur d'autres types d'identifiants uniques.

Veuillez prendre connaissance des Règles relatives aux annonces pour obtenir des consignes supplémentaires concernant les identifiants publicitaires Android.
Votre application s'adresse à des enfants. Votre application ne peut inclure que des SDK autocertifiés pour une utilisation dans des services destinés aux enfants. Consultez Programme relatif aux SDK publicitaires autocertifiés pour les familles afin de consulter l'intégralité du règlement et des exigences associées.

 

Exemples de cas de non-respect provoqués par un SDK

  • Application qui utilise un SDK associant l'identifiant Android à la position
  • Application avec un SDK associant l'identifiant publicitaire Android (AAID) à des identifiants permanents d'appareils, à des fins publicitaires ou d'analyse
  • Application qui utilise un SDK associant l'AAID à l'adresse e-mail à des fins d'analyse

Section Sécurité des données

Tous les développeurs doivent remplir la section Sécurité des données de façon claire et précise pour chaque application. Ils doivent y préciser les méthodes de collecte, d'utilisation et de partage des données utilisateur. Cela inclut les données collectées et gérées via les bibliothèques ou SDK tiers utilisés dans leurs applications. Les développeurs sont responsables de l'exactitude de ces informations et de leur mise à jour régulière. Le cas échéant, les informations fournies dans cette section doivent être conformes à celles divulguées dans les règles de confidentialité de l'application.

Pour en savoir plus sur les informations à fournir dans la section Sécurité des données, veuillez consulter cet article du Centre d'aide.

Consultez l'intégralité du Règlement sur les données utilisateur.
Règlement sur les autorisations et API ayant accès aux informations sensibles

Les demandes d'autorisation et d'API ayant accès aux informations sensibles doivent avoir du sens pour les utilisateurs. Vous ne pouvez demander une autorisation ou une API ayant accès aux informations sensibles que si elles sont nécessaires pour mettre en œuvre des fonctionnalités ou des services déjà disponibles dans votre application et mis en avant sur votre fiche Google Play. Vous ne pouvez pas utiliser d'autorisations ou d'API qui accèdent à des informations sensibles permettant elles-mêmes d'accéder aux données concernant l'utilisateur ou l'appareil à des fins ou pour des fonctionnalités non divulguées, non implémentées ou non autorisées. Les données sensibles ou à caractère personnel obtenues par le biais d'autorisations ou d'API ayant accès à des informations sensibles ne peuvent être ni vendues ni partagées en vue de réaliser une vente.

Consultez l'intégralité du Règlement sur les autorisations et API ayant accès aux informations sensibles.

Exemples de cas de non-respect provoqués par un SDK

  • Application qui inclut un SDK agissant en arrière-plan pour demander la position, à une fin non autorisée ou non divulguée
  • Application qui inclut un SDK transmettant le code IMEI obtenu via l'autorisation read_phone_state d'Android, sans consentement de l'utilisateur
Règlement sur les logiciels malveillants
Notre règlement concernant les logiciels malveillants est simple : le Google Play Store et l'ensemble de l'écosystème Android doivent être exempts de tout comportement (logiciel) malveillant, de même que les appareils des utilisateurs. Par ce principe fondamental, nous nous efforçons d'offrir un écosystème Android sûr aux utilisateurs et à leurs appareils Android.

 Le terme "logiciel malveillant" désigne tout code susceptible de faire courir un risque à l'utilisateur, à ses données ou à son appareil. Les logiciels malveillants incluent, sans s'y limiter, les applications potentiellement dangereuses, les binaires ou les modifications de framework, qui se classent en différentes catégories telles que les chevaux de Troie, l'hameçonnage et les logiciels espions. Nous mettons régulièrement à jour ces catégories et en ajoutons de nouvelles.

Les exigences de ce règlement s'appliquent également à tout code tiers (un SDK, par exemple) que vous incluez dans votre application.

Consultez l'intégralité du Règlement sur les logiciels malveillants.

Exemples de cas de non-respect provoqués par un SDK

  • Application qui inclut des bibliothèques SDK de fournisseurs distribuant des logiciels malveillants
  • Application qui ne respecte pas le modèle d'autorisations Android ou qui vole les identifiants (tels que les jetons OAuth) d'autres applications
  • Application qui utilise des fonctionnalités de manière abusive afin qu'il soit impossible de la désinstaller ou de l'arrêter
  • Application qui désactive SELinux
  • Application qui inclut un SDK ne respectant pas le modèle d'autorisations Android, car il obtient des droits élevés en accédant aux données de l'appareil à une fin non divulguée
  • Application qui inclut un SDK dont le code trompe les utilisateurs afin qu'ils achètent du contenu ou s'y abonnent en étant facturés par leur opérateur mobile

Les applications d'élévation des privilèges qui passent les appareils en mode root sans l'autorisation de l'utilisateur sont classées parmi les applications de root.

Logiciel espion

Un logiciel espion est une application, un code ou un comportement malveillant qui collecte, exfiltre ou partage des données sur l'utilisateur ou l'appareil sans lien avec une fonctionnalité conforme aux règles.

Les codes ou les comportements malveillants assimilables au fait d'espionner l'utilisateur ou d'exfiltrer des données sans en informer correctement l'utilisateur ni obtenir son consentement sont également considérés comme des logiciels espions.

Consultez l'intégralité du Règlement sur les logiciels espions.

Vous trouverez ci-dessous des exemples de non-respect de ce règlement provoqués par un SDK (liste non exhaustive) :

  • Application qui utilise un SDK transmettant des données issues d'enregistrements audio ou d'appels lorsqu'elles ne sont pas liées au fonctionnement conforme de l'application
  • Application avec du code tiers malveillant (un SDK, par exemple) transmettant des données depuis l'appareil sans que l'utilisateur s'y attende, ou sans en informer l'utilisateur ni obtenir son consentement
Règlement sur les logiciels mobiles indésirables

Comportement transparent et communications claires

Tout code doit tenir les promesses faites à l'utilisateur. Les applications doivent fournir toutes les fonctionnalités annoncées. Elles ne doivent pas dérouter les utilisateurs. 

Exemples de non-respect des règles :

  • Fraude publicitaire
  • Ingénierie sociale

Protection des données utilisateur

Soyez clair et transparent sur l'accès, l'utilisation, la collecte et le partage des données utilisateur sensibles et à caractère personnel. L'utilisation des données utilisateur doit respecter toutes les règles applicables en la matière. Toutes les précautions doivent être prises pour protéger les données.

Exemples de non-respect des règles :

  • Collecte des données (voir "Logiciels espions")
  • Utilisation abusive d'autorisations restreintes

Consultez l'intégralité du Règlement sur les logiciels mobiles indésirables.
Règlement sur l'utilisation abusive des appareils et des réseaux

Nous n'autorisons pas les applications qui accèdent sans autorisation à l'appareil de l'utilisateur, à d'autres appareils ou ordinateurs, à des serveurs, des réseaux, des API (interfaces de programmation d'application) ou à des services, y compris, mais sans s'y limiter, d'autres applications installées sur l'appareil, les services Google ainsi que les réseaux d'opérateurs autorisés, ou qui les perturbent, les endommagent ou les affectent.

Les applications ou codes tiers (par exemple les SDK) écrits avec un langage interprété (JavaScript, Python, Lua, etc.) qui est chargé au moment de l'exécution (par exemple, non fourni dans le package de l'application) ne doivent pas permettre une quelconque violation des règles Google Play.

Nous n'autorisons pas les codes qui introduisent ou exploitent des failles de sécurité. Consultez le Programme d'amélioration de la sécurité des applications pour être informé des derniers problèmes de sécurité signalés aux développeurs.

Consultez l'intégralité du Règlement sur l'utilisation abusive des appareils et des réseaux.

Exemples de cas de non-respect provoqués par un SDK

  • Applications qui fournissent des services de proxy à des tiers (cette utilisation n'est autorisée que s'il s'agit de la principale fonctionnalité proposée à l'utilisateur par l'application)
  • Application qui inclut un SDK téléchargeant du code exécutable, comme des fichiers dex ou du code natif, depuis une source autre que Google Play
  • Application qui inclut un SDK contenant une WebView avec une interface JavaScript supplémentaire qui charge du contenu Web non fiable (par exemple, URL http://) ou des URL non validées obtenues à partir de sources non fiables (par exemple, URL provenant d'intents peu fiables)
  • Application qui inclut un SDK contenant du code utilisé pour mettre à jour son propre APK
  • Application qui inclut un SDK exposant les utilisateurs à une faille de sécurité en téléchargeant des fichiers via une connexion non sécurisée
  • Application qui utilise un SDK contenant du code pour télécharger ou installer des applications à partir de sources inconnues en dehors de Google Play
  • Application qui inclut un SDK utilisant des services de premier plan sans cas d'utilisation approprié
  • Application qui inclut un SDK utilisant des services de premier plan pour une raison conforme aux règles sans être déclaré dans le fichier manifeste de l'application
Règlement concernant les comportements trompeurs

Nous n'autorisons pas les applications conçues pour tromper les utilisateurs ou permettre un comportement malhonnête, y compris, sans s'y limiter, les applications dont le fonctionnement est jugé impossible. Les applications doivent présenter leur fonctionnement au moyen de déclarations, de descriptions et d'images/de vidéos exactes dans toutes leurs métadonnées. Les applications ne doivent pas imiter des fonctionnalités ni des messages d'avertissement propres au système d'exploitation ou à d'autres applications. L'utilisateur doit être informé de toute modification des paramètres de son appareil. Il doit également autoriser chaque modification et pouvoir l'annuler.

Consultez l'intégralité du Règlement concernant les comportements trompeurs.

Transparence du comportement

Les fonctionnalités de votre application doivent être raisonnablement claires pour les utilisateurs. N'incluez aucune fonctionnalité cachée, inactive ou non documentée. Les techniques visant à éviter l'examen de l'application ne sont pas autorisées. Vous pouvez être tenu de fournir des informations supplémentaires sur l'application afin de garantir la sécurité des utilisateurs, l'intégrité du système et le respect du règlement.

Exemple de non-respect causé par un SDK

  • Votre application inclut un SDK qui utilise des techniques visant à éviter l'examen de l'application.

Quelles règles pour les développeurs Google Play sont généralement associées à des cas de non-respect provoqués par un SDK ?

Pour vous permettre de vous assurer que tous les codes tiers de votre application sont conformes au règlement du programme Google Play pour les développeurs, veuillez consulter les règles suivantes dans leur intégralité :

Bien que ces règles soient le plus souvent en cause, gardez bien à l'esprit qu'un code de SDK incorrect peut entraîner le non-respect d'une autre règle non référencée ci-dessus. N'oubliez pas de prendre connaissance de toutes les règles dans leur intégralité et de vous tenir informé. En tant que développeur d'applications, il vous incombe de vous assurer que vos SDK traitent les données de vos applications dans le respect des règles.

Pour en savoir plus, veuillez consulter notre Centre d'aide.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
16242163846052908526
true
Rechercher dans le centre d'aide
true
true
true
true
true
92637
false
false