Google Play lance officiellement aujourd’hui sa propre version des “étiquettes nutritionnelles” liées à la confidentialité pour les applications. La société indique qu’elle commencera à déployer progressivement la nouvelle section de sécurité des données de Google Play pour les utilisateurs, avant la date limite du 20 juillet qui oblige les développeurs à divulguer correctement les données que leur application collecte, si et comment elles sont partagées avec des tiers, les pratiques de sécurité de l’application et plus encore.
Le projet de la société d’introduire des étiquettes de confidentialité des applications sur Google Play a été annoncé pour la première fois au printemps dernier, des mois après que l’App Store d’Apple a introduit des étiquettes de confidentialité sur son propre marché d’applications.
Bien que les deux ensembles d’étiquettes se concentrent sur l’information des utilisateurs sur la manière dont les applications collectent et gèrent les données et la confidentialité des utilisateurs, il existe des différences essentielles. Les étiquettes d’Apple se concentrent en grande partie sur les données collectées, y compris les données utilisées à des fins de suivi, et sur l’information de l’utilisateur sur ce qui leur est lié. Les labels de Google, quant à eux, mettent davantage l’accent sur la question de savoir si vous pouvez être sûr que les données collectées sont traitées de manière responsable en permettant aux développeurs de divulguer s’ils suivent les meilleures pratiques en matière de sécurité des données.
Les étiquettes permettent également aux développeurs Android d’expliquer pourquoi ils collectent les données directement sur l’étiquette, afin que les utilisateurs puissent comprendre comment les données sont utilisées – pour la fonctionnalité de l’application, la personnalisation, etc. – pour aider à éclairer la décision de l’utilisateur de télécharger l’application. Ils peuvent également voir si la collecte de données est obligatoire ou facultative.
Google dit avoir entendu des développeurs d’applications qu’il ne suffisait pas d’afficher simplement les données qu’une application collecte sans contexte supplémentaire, ce qui a motivé la conception de l’étiquette.
Au lancement, la section sur la sécurité des données de Google Play détaillera spécifiquement les éléments suivants, déclare Google :
- Si le développeur collecte des données et dans quel but.
- Si le développeur partage des données avec des tiers.
- Les pratiques de sécurité de l’application, comme le cryptage des données en transit et si les utilisateurs peuvent demander la suppression des données.
- Si une application éligible s’est engagée à respecter la politique familiale de Google Play conçue pour mieux protéger les enfants dans le Play Store.
- Si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, le MASVS).
Depuis l’introduction de son plan pour les étiquettes, Google affirme qu’il n’a apporté que des modifications mineures aux conseils du développeur ainsi qu’à l’interface et à l’expérience utilisateur du magasin. Cela inclut des mises à jour comme encourager les développeurs à se référer aux informations de sécurité des données de leurs fournisseurs de SDK et une nouvelle question sur les services système, entre autres clarifications et reformulations.
Bien que l’ajout des étiquettes puisse, en théorie, aider les utilisateurs d’Android à prendre de meilleures décisions sur les applications qu’ils souhaitent utiliser, il n’est pas clair qu’il y ait un effort pour vérifier l’exactitude des données au moment de la soumission. Interrogé sur la manière dont les données seraient vérifiées, Google nous a répondu que les développeurs sont responsables des informations qu’ils fournissent. Google a également déclaré que s’il découvre qu’un développeur a déformé les données qu’il a fournies en violation de la politique, il ne supprimera pas immédiatement l’application – il demandera simplement au développeur de la corriger. Ce n’est que si l’application n’est pas conforme qu’une action sera entreprise ultérieurement.
Les étiquettes de confidentialité des applications ont déjà été accusées d’être une source d’informations peu fiable après leur lancement sur l’App Store. Selon un rapport du Washington Post l’année dernière, de nombreuses étiquettes qu’ils ont examinées lors d’un contrôle ponctuel ont fourni de fausses informations. Par exemple, les applications affirmant qu’elles ne collectaient aucune donnée se sont avérées en réalité faire le contraire : les collecter et les partager.
En d’autres termes, les étiquettes fonctionnaient pour donner aux utilisateurs un faux sentiment de sécurité sur la façon dont leurs données étaient consultées et utilisées, plutôt qu’un véritable moyen d’agir. Apple, cependant, avait déclaré au Washington Post qu’il vérifierait régulièrement l’exactitude des étiquettes. Google ne fait pas de telles affirmations aujourd’hui.
Mise à jour : après avoir initialement répondu que Google rendrait les développeurs responsables de ces données, la société a précisé qu’elle vérifiait chaque section de sécurité des données “en utilisant des systèmes et des processus qui s’améliorent continuellement”.
Google a donné aux développeurs jusqu’au 20 juillet pour remplir les détails de leur section de sécurité des données, mais la section de sécurité des données est déjà déployée pour les utilisateurs sur le Google Play Store. Cela signifie que de nombreux utilisateurs verront des applications sans étiquettes même lors du lancement du produit. Cette publication échelonnée pourrait également être intentionnelle, car elle dissuade les utilisateurs d’aller immédiatement vérifier les pratiques de confidentialité et de sécurité de leurs applications préférées ; et au moment où ces étiquettes arrivent, les utilisateurs peuvent avoir oublié qu’ils avaient voulu le faire.
Les utilisateurs commenceront à voir les étiquettes apparaître sur leurs téléphones Android à un moment donné au cours des prochaines semaines, à mesure que les étiquettes atteindront les utilisateurs mondiaux.
Correction, 12h34 : L’article a été mis à jour pour supprimer une référence à la localisation et aux autres demandes d’autorisation, ce qui n’est pas nouveau.