Discussion :

[Stéphane le calme]

Google Play Store oblige désormais les applications à divulguer les données collectées,
pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait avec leurs données

Google voudrait vous permettre de savoir plus facilement ce qu'une application fait avec vos données privées, il lance donc l'équivalent de ce qu'on appelle des « étiquettes nutritionnelles » de confidentialité, rejoignant des entreprises comme Apple dans cet effort de transparence en matière de confidentialité. Lorsque vous choisissez quelque chose à manger, vous pouvez en savoir plus à l'aide des étiquettes nutritionnelles. Elles nous en disent long sur les aliments que nous souhaitons consommer. Ce que Google et Apple font avec les applications dans leurs vitrines de téléchargement y ressemble ; vous faire savoir comment les données sont gérées.

Pour beaucoup, essayer de comprendre ce que les applications font avec nos données prend trop de temps. Google veut faciliter la compréhension, en créant des « étiquettes nutritionnelles de confidentialité » dans son magasin d'applications Google Play afin que vous puissiez voir exactement quelles informations l'application récupère. L'expert en cybersécurité Craig Petronella a déclaré « essentiellement, il s'agit de paramètres de confidentialité améliorés pour les consommateurs ».

Apple a ouvert la voie il y a quelque temps, obligeant les applications de l'App Store à montrer comment elles utilisent vos données.

Une autre chose que vous pourrez voir est si l'application suit les politiques de Google pour protéger les enfants et si l'application a validé ses pratiques de sécurité par rapport à une norme mondiale.

Google déploie une nouvelle section de sécurité des données sur le Play Store, le référentiel officiel d'applications d'Android, où les développeurs doivent déclarer quelles données leur logiciel collecte auprès des utilisateurs de leurs applications. Ce sera comme une étiquette de confidentialité donnant aux utilisateurs des informations cruciales en un coup d'œil, ce qui devrait être suffisant pour les aider à décider s'ils souhaitent procéder à l'installation.

Non seulement les développeurs déclareront quelles données ils collectent, mais également quelles données ils partagent avec des tiers, révélant essentiellement le but de la collecte.

Si l'utilisateur souhaite en savoir plus sur une entrée particulière, appuyer sur l'élément correspondant réduira le menu pour révéler plus d'informations sur ce qui est collecté ou partagé.

« En juillet et en octobre, nous avons communiqué de nouvelles informations au sujet de la section sur la sécurité des données de Google Play à la suite de notre article de blog initial de mai 2021. Les développeurs auront bientôt l'obligation de nous préciser les pratiques de confidentialité et de sécurité de leurs applications en remplissant un formulaire dans la Play Console. À partir de fin avril 2022, ces informations seront visibles sur la fiche Play Store de votre application afin d'aider les utilisateurs de Google Play à comprendre, avant de télécharger votre application, comment celle-ci collecte et partage leurs données », a expliqué Google.

La section sur la sécurité des données de Google Play vous permet d'aider les utilisateurs à comprendre quelles données sont collectées ou partagées par votre application, et de présenter les principales pratiques de sécurité et de confidentialité de celle-ci. Grâce à ces informations, les utilisateurs pourront déterminer de manière éclairée quelles applications ils souhaitent installer.

D'ici le 20 juillet 2022, tous les développeurs devront déclarer la façon dont ils collectent et traitent les données utilisateur pour les applications qu'ils publient sur Google Play. Ils devront également préciser comment ils protègent ces données, grâce à des pratiques de sécurité telles que le chiffrement. Cela inclut les données collectées et gérées via les bibliothèques ou SDK tiers utilisés dans leurs applications.

Vous pouvez fournir ces informations par le biais d'un formulaire, que vous trouverez dans la nouvelle section sur la sécurité des données de la page Contenu de l'application (Règles > Contenu de l'application) dans la Play Console. Une fois que vous aurez rempli et envoyé le formulaire sur la sécurité des données, Google examinera les informations fournies lors de l'examen de votre application. Ces informations figureront sur votre fiche Play Store, afin que les utilisateurs de Google Play sachent, avant de télécharger votre application, comment vous recueillez et partagez des données.

Vous seul êtes responsable de fournir des informations complètes et exactes dans la fiche Play Store de votre application sur Google Play. Google Play vérifie que les applications respectent l'intégralité du règlement. « Cependant, nous ne pouvons pas déterminer à la place des développeurs la façon dont ils gèrent les données utilisateur. Il n'y a que vous qui disposiez de toutes les informations nécessaires pour remplir le formulaire sur la sécurité des données. Si nous constatons une incohérence entre le comportement de votre application et votre déclaration, nous pouvons être amenés à prendre les mesures appropriées, y compris des sanctions ».

Le troisième pilier de la section Sécurité des données sera les pratiques de sécurité de l'application, qui décrivent les mécanismes de sécurité utilisés pour protéger les données collectées, comme la norme MASVS.

Cette troisième section précise également si les utilisateurs ont la possibilité de demander à tout moment la suppression de leurs données.

Enfin, la sécurité des données précisera si l'application respecte la politique des familles de Google Play, qui est axée sur la protection des enfants.

Google déploie progressivement la nouvelle section de sécurité des données. Aussi, les utilisateurs d'Android qui ne voient pas cette nouvelle section immédiatement la verront certainement au cours des semaines à venir.

Les développeurs peuvent commencer à déclarer comment les données collectées sont utilisées à partir d'aujourd'hui, la date limite pour terminer leurs soumissions étant le 20 juillet 2022. Google a déclaré que les développeurs fourniraient eux-mêmes ces informations. Cependant, s'il est découvert qu'un développeur a déformé ses divulgations d'utilisation des données, il sera tenu de corriger les informations fournies. Ne pas le faire entraînerait des violations de la politique, pouvant conduire à des sanctions de la part de Google.

Calendrier

Google prévoit le calendrier suivant pour le déploiement du formulaire sur la sécurité des données dans la Play Console. Notez que ce calendrier est susceptible d'être modifié.

• Octobre 2021 : Publication du formulaire sur la sécurité des données disponible sur la page Contenu de l'application dans la Play Console
  
  • Les développeurs peuvent le remplir et l'envoyer pour recevoir les premiers commentaires sur les problèmes identifiés. Durant cette période, les envois d'applications ne seront pas affectés par les informations fournies dans votre formulaire sur la sécurité des données. Notez cependant que d'autres problèmes de non-respect des règles peuvent avoir des conséquences sur votre application,
  • En cas de souci au niveau de votre formulaire sur la sécurité des données, vous recevrez un e-mail vous informant que le contenu de l'application a été approuvé malgré des problèmes. Vous devrez lire les informations fournies et prendre les mesures adéquates. Vous pouvez publier provisoirement les mises à jour de l'application en rétablissant manuellement le mode "Brouillon" pour votre formulaire sur la sécurité des données dans la Play Console,
  • S'ils ne l'ont pas déjà fait, les développeurs doivent ajouter un lien vers les règles de confidentialité de leur application ;
• Fin avril 2022 : Déploiement de la section sur la sécurité des données sur Google Play pour tous les utilisateurs. Si un PSL n'a pas encore été rempli ni envoyé pour une application, la mention "Aucune information disponible" sera affichée dans la section sur la sécurité des données de cette application
  
  • Si vous n'avez pas encore rempli ni envoyé le formulaire pour votre application, la mention "Aucune information disponible" sera affichée sur la fiche Play Store de l'application (dans la section sur la sécurité des données) ;
• 20 juillet 2022 : Les envois de nouvelles applications et les mises à jour d'application seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus ;
  
  • Pour tous les envois de nouvelles applications et toutes les mises à jour d'application, vous devez remplir un formulaire sur la sécurité des données. Vous ne pouvez plus publier d'application ni de mise à jour d'application si ce formulaire est incomplet ou que vous n'avez pas résolu les problèmes le concernant,
  • Si des problèmes persistent concernant les informations de la section sur la sécurité des données, les utilisateurs verront la mention "Aucune information disponible" dans cette section sur la fiche Play Store de votre application. Vous recevrez alors un e-mail vous indiquant les problèmes à résoudre,
  • Tous les envois de nouvelles applications et toutes les mises à jour d'application nécessitent des règles de confidentialité valides ;
• Après le 20 juillet 2022 : D'autres mesures pourront être prises par la suite pour les applications non conformes, comme la suppression de la fiche Play Store de l'application sur Google Play.

Quels développeurs doivent remplir le formulaire sur la sécurité des données dans la Play Console ?

Tous les développeurs qui ont publié une application sur Google Play doivent remplir le formulaire sur la sécurité des données, y compris pour les applications sur les canaux de test interne, fermé, ouvert ou de production.

Même ceux dont les applications ne recueillent aucune donnée utilisateur doivent le remplir et fournir un lien vers leurs règles de confidentialité. Dans ce cas, le formulaire rempli et les règles de confidentialité peuvent simplement indiquer qu'aucune donnée utilisateur n'est recueillie ni partagée.

Google précise que, dans les cas d'utilisation suivants, les données n'ont pas besoin d'être déclarées en tant que données collectées :

• Accès/Traitement sur l'appareil : les données utilisateur auxquelles votre application accède, qui ne sont traitées que localement sur l'appareil de l'utilisateur et qui n'ont pas été envoyées depuis l'appareil, n'ont pas besoin d'être déclarées ;
• Chiffrement de bout en bout : les données utilisateur envoyées depuis l'appareil, mais que vous ou toute personne autre que l'expéditeur et le destinataire ne pouvez pas lire en raison d'un chiffrement de bout en bout, n'ont pas besoin d'être déclarées
  
  • Les données chiffrées ne doivent pas pouvoir être lues par une entité intermédiaire, y compris le développeur. Seuls l'expéditeur et le destinataire peuvent disposer des clefs nécessaires.

Remplacer un mauvais système

Jusqu'à présent, les applications Android sur le Play Store devaient répertorier un lien vers leur politique de confidentialité dans la section « Informations supplémentaires » et fournir un e-mail de contact. Étant donné que cette politique de confidentialité est hébergée sur un site externe, elle est sujette à modifications, peut être vague, peut ne pas divulguer tous les détails cruciaux sur la collecte et la protection des données, et peut même conduire à un lien rompu.

De plus, étant donné que la lecture de longs textes de jargon juridique n'est pas exactement ce que les utilisateurs attendent avec impatience lorsqu'ils parcourent le Google Play Store pour de nouvelles applications, presque personne ne les vérifie.

Enfin, en raison des difficultés pratiques découlant de ce qui précède, il a été impossible pour Google de valider que les applications respectent les termes présentés dans leurs politiques de confidentialité.

La sécurité des données donne aux utilisateurs une compréhension claire de ce qui se passe avec leurs données sans les obliger à passer du temps à fouiller dans les sections, tout en permettant également à Google de faire appliquer la loi.

Des différences existentielles avec l'approche d'iOS

Alors que la décision de Google est bénéfique pour les utilisateurs d'Android, une fonctionnalité similaire appelée Privacy Nutrition Labels a déjà été introduite par Apple en 2020. « Nos Privacy Nutrition Labels sont conçues pour vous aider à comprendre comment les applications traitent vos données, y compris les applications que nous développons chez Apple », explique l'éditeur d'iOS.

Bien que les deux ensembles d'étiquettes se concentrent sur l'information des utilisateurs sur la manière dont les applications collectent et gèrent les données et la confidentialité des utilisateurs, il existe des différences essentielles. Les étiquettes d'Apple se concentrent en grande partie sur les données collectées, y compris les données utilisées à des fins de suivi, et sur l'information de l'utilisateur sur ce qui leur est lié. Les labels de Google, quant à eux, mettent davantage l'accent sur la question de savoir si vous pouvez être sûr que les données collectées sont traitées de manière responsable en permettant aux développeurs de divulguer s'ils suivent les meilleures pratiques en matière de sécurité des données.

Les étiquettes permettent également aux développeurs Android d'expliquer pourquoi ils collectent les données directement sur l'étiquette, afin que les utilisateurs puissent comprendre comment les données sont utilisées - pour la fonctionnalité de l'application, la personnalisation, etc. - pour aider à éclairer la décision de l'utilisateur avant de télécharger l'application. Ils peuvent également voir si la collecte de données est obligatoire ou facultative.

Google dit avoir entendu des développeurs d'applications qu'il ne suffisait pas d'afficher simplement les données qu'une application collecte sans contexte supplémentaire, ce qui a motivé la conception de l'étiquette.

Au lancement, la section sur la sécurité des données de Google Play détaillera spécifiquement les éléments suivants, indique Google :

• si le développeur collecte des données et dans quel but ;
• si le développeur partage des données avec des tiers ;
• les pratiques de sécurité de l'application, comme le chiffrement des données en transit et si les utilisateurs peuvent demander la suppression des données ;
• si une application éligible s'est engagée à respecter la politique familiale de Google Play conçue pour mieux protéger les enfants dans le Play Store ;
• si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, le MASVS).

Bien que l'ajout des étiquettes puisse, en théorie, aider les utilisateurs d'Android à prendre de meilleures décisions sur les applications qu'ils souhaitent utiliser, il n'est pas clair qu'il y ait un effort pour vérifier l'exactitude des données au moment de la soumission.

Les étiquettes de confidentialité des applications ont déjà été accusées d'être une source d'informations peu fiable après leur lancement sur l'App Store. Selon un rapport du Washington Post l'année dernière, de nombreuses étiquettes qu'ils ont examinées lors d'un contrôle ponctuel ont fourni de fausses informations. Par exemple, les applications affirmant qu'elles ne collectaient aucune donnée se sont avérées en réalité faire le contraire : les collecter et les partager.

En d'autres termes, les étiquettes semblaient donner aux utilisateurs un faux sentiment de sécurité sur la façon dont leurs données étaient consultées et utilisées, plutôt qu'un véritable moyen d'agir. Apple, cependant, avait déclaré au Washington Post qu'il vérifierait régulièrement l'exactitude des étiquettes.

Source : Google

Et vous ?

Vous arrive-t-il de parcourir les politiques d'utilisation d'une application pour voir comment vos données seront utilisées ?
Que pensez-vous de ces initiatives qui tentent de simplifier le processus en donnant des informations claires et précises aux utilisateurs avant un quelconque téléchargement ?
En temps que développeurs, comment accueillez-vous cette orientation ?
Une initiative qui pourrait donner un faux sentiment de sécurité aux mobinautes sur Android ?

[Bill Fassinou]

Google Play cache les autorisations des applications au profit de descriptions rédigées par les développeurs
mais certains pourraient fournir des informations inexactes sur les collectes de données

Google semble ne plus vouloir afficher les autorisations qu'il recueille automatiquement auprès des applications sur le Play Store, laissant ainsi aux développeurs le contrôle de ce qu'ils souhaitent divulguer aux utilisateurs en matière de collecte de données. Les développeurs ont désormais jusqu'au 20 juillet pour remplir un formulaire de confidentialité des données pour leurs applications. Ils doivent faire "seuls" des "déclarations complètes et précises" pour leurs applications. Mais l'on se demande si c'est une bonne idée de rendre les développeurs responsables de la divulgation de la collecte de données, alors que les applications malveillantes continuent de déjouer massivement la sécurité du Play Store.

En avril dernier, Google a introduit une nouvelle section "Sécurité des données" dans la liste des applications du Play Store pour résumer la façon dont les applications utilisent vos données personnelles. Selon Google, le but est d'améliorer la transparence sur la manière dont les applications collectent et traitent les données, suivant ainsi les traces d'Apple et des étiquettes de confidentialité de l'App Store. Cette nouvelle section fournit essentiellement un aperçu des données qu'une application collecte ou partage, si ces données sont sécurisées, et tout autre détail supplémentaire qui pourrait avoir un impact sur la confidentialité et la sécurité.

Si, d'une part, Google a introduit la section "Sécurité des données" sur le Play Store pour fournir aux utilisateurs davantage d'information sur la manière dont les applications utilisent leurs données, d'autre part, la société supprime des détails cruciaux des listes d'applications. En mars de cette année, Google a procédé à la suppression de certains points des listes Play Store pour certains utilisateurs. Maintenant, il se débarrasse de la liste des "autorisations". Pour ceux qui l'ignorent, les listes d'applications sur le Play Store comprennent une section "Permissions" qui répertorie toutes les autorisations requises par chaque application.

Cette section permet aux utilisateurs de vérifier facilement toutes les autorisations requises par une application sans toutefois l'installer sur leur appareil, ce qui en fait une fonction pratique pour les personnes soucieuses de leur vie privée. Cependant, Google semble l'avoir supprimée pour toutes les applications. Les développeurs ont jusqu'au 20 juin 2022 pour soumettre le contenu de leur section "Sécurité des données". Dans l'ensemble, la section "Sécurité des données" mettra en évidence les éléments suivants :

• si le développeur collecte des données et dans quel but ;
• si le développeur partage des données avec des tiers ;
• les pratiques de sécurité de l'application, comme le chiffrement des données en transit et la possibilité pour les utilisateurs de demander la suppression des données ;
• si une application qualifiée s'est engagée à respecter les règles de Google Play relatives aux familles afin de mieux protéger les enfants dans le Play Store ;
• si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, la norme MASVS).

Comme pour les détails de l'application tels que les captures d'écran et les descriptions, les développeurs sont responsables des informations contenues dans cette section de leur application et de leur exactitude. Les règles du Google Play exigent que les informations contenues dans cette section soient exactes. Toute déformation des données par le développeur sera traitée comme une violation des règles de Google Play, ce qui signifie qu'une application peut être retirée du Google Play si elle ne divulgue pas correctement ou précisément les données qu'elle collecte et le traitement qu'elle en fait.

Cependant, selon les experts en cybersécurité, la suppression de la liste des autorisations ne semble pas être une bonne décision pour la vie privée du tout. À première vue, les entrées relatives à la sécurité des données peuvent sembler assez similaires à l'ancienne liste des autorisations des applications. On y trouve des éléments tels que la "localisation" et, à certains égards, c'est mieux qu'une simple liste d'autorisations, car les développeurs peuvent expliquer comment et pourquoi chaque donnée est collectée. Toutefois, la différence réside dans la manière dont ces données aboutissent dans le système de Google.

Image 1

Plus précisément, l'ancienne liste des autorisations des applications était garantie comme étant factuelle. Pour cause, elle était construite automatique par Google lors de l'analyse d'une application. La nouvelle section "Sécurité des données", quant à elle, fonctionne sur le principe de l'honneur. Voici l'explication de Google aux développeurs sur le fonctionnement de la nouvelle section : « vous êtes seul responsable des déclarations complètes et exactes que vous faites dans la fiche de votre application sur Google Play. Google Play examine les applications en fonction de toutes les exigences du règlement ».

« Néanmoins, nous ne pouvons pas déterminer, au nom des développeurs, la manière dont ils traitent les données des utilisateurs. Vous êtes le seul à posséder toutes les informations nécessaires pour remplir le formulaire de sécurité des données. Lorsque Google a connaissance d'une divergence entre le comportement de votre application et votre déclaration, nous pouvons prendre les mesures appropriées, y compris des mesures d'exécution ». En avril, il n'était pas tout à fait clair que la section des autorisations disparaîtrait au moment du lancement de la nouvelle section "Sécurité des données".

Certains experts en cybersécurité pensent que c'est une étrange régression que de passer des faits vérifiés par ordinateur à un système d'honneur. Dans un fil de discussion sur Twitter, Mishaal Rahman, rédacteur technique senior chez Esper (une plateforme DevOps permettant aux développeurs d'automatiser l'ensemble du cycle de vie d'une application d'Android), a partagé des captures d'écran de la liste Play Store pour l'application Facebook avant et après l'entrée en vigueur du changement. Comme vous pouvez le voir sur les images 1 et 2, la liste mise à jour n'affiche plus la liste des "autorisations".

Image 2

Cela signifie que vous ne pouvez plus vérifier les autorisations de l'application avant de l'installer. En outre, il est également difficile de faire confiance à la capacité de Google à "prendre connaissance d'une anomalie" dans la section "Sécurité des données" alors que le Play Store présente déjà une quantité énorme de problèmes d'application et de règles. Selon les experts et des commentaires sur le sujet, il serait préférable de combiner les deux systèmes - générer une liste d'autorisations et laisser les développeurs décrire l'utilisation de chacune d'elles.

Ainsi, les utilisateurs pourraient comparer les deux pour confirmer que les autorisations déclarées par les développeurs sont conformes aux conclusions de Google. Par ailleurs, comme le souligne Rahman, Google stocke les autorisations des applications dans le Play Store, mais ce n'est pas visible depuis l'interface. Il suggère donc de télécharger l'alternative open source du Play Store, appelée Aurora, qui affiche toujours les autorisations avant de télécharger une application. Enfin, il convient de noter que l'App Store d'Apple a mis en place une politique similaire pour ses étiquettes "nutritionnelles" de confidentialité.

Apple exige également que les développeurs soumettent des "résumés autodéclarés" sur les pratiques de confidentialité de leurs applications. Tout comme Google, Apple fait confiance aux développeurs pour fournir des informations véridiques sur les données collectées par leurs applications. Cependant, plusieurs études ont rapporté que ces informations sont souvent "trompeuses ou carrément inexactes".

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle section "Sécurité des données" ?
Que pensez-vous de la suppression de la liste des autorisations des applications ?
Selon vous, est-ce une bonne idée de rendre les développeurs responsables de la divulgation de la collecte de données ?
Pensez-vous qu'il serait préférable de combiner les deux systèmes : générer une liste d'autorisations et laisser les développeurs décrire l'utilisation de chacune d'elles ?

Voir aussi

Google Play Store oblige désormais les applications à divulguer les données collectées pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait de leurs données

Google intente une action en justice contre Match et pourrait éventuellement exclure Tinder de Play Store, il contre-attaque Match Group sur les paiements in-app

Google contraint de mettre fin à la vente d'applications Play Store en Russie, à partir du 5 mai 2022

Google oblige le développeur de Total Commander à supprimer la possibilité d'installer des APK sur les appareils Android, via une plainte relative au règlement du Play Store

[Mingolito]

C'est carrément une honte, Google ça devient juste de pire en pire.

[TotoParis]

Soyons pragmatiques : n'installons aucune application. Sauf un navigateur internet.

[DaTheWolf]

Moi je ne suis pas d'accord avec cette façon de voir.
Je crois que :
- Le système a évolué depuis dans Android 12, 13.
- Google vérifie les .aab avant leur sortie et leur analyse révèle éventuellement des problèmes peut bloquer la publication.
- Les enfants sont protégés par des contrats complémentaires jusqu'à 18 ans et après tu apprends que tu es chez les requins ?
- Le principe de confiance est plutôt mis en valeur, un peu comme dans Spring Contract Injection for Apps, via les contraintes de développement plutôt que "Vous n'avez pas le droit de faire cela" à chaque app.
- Les utilisateurs sont plus informés et impliqués qu'avant par le feedback, à l'app, ou à la plateforme Google.

[TotoParis]

Moi je ne suis pas d'accord avec cette façon de voir.
Je crois que :
- Le système a évolué depuis dans Android 12, 13.
- Google vérifie les .aab avant leur sortie et leur analyse révèle éventuellement des problèmes peut bloquer la publication.
- Les enfants sont protégés par des contrats complémentaires jusqu'à 18 ans et après tu apprends que tu es chez les requins ?
- Le principe de confiance est plutôt mis en valeur, un peu comme dans Spring Contract Injection for Apps, via les contraintes de développement plutôt que "Vous n'avez pas le droit de faire cela" à chaque app.
- Les utilisateurs sont plus informés et impliqués qu'avant par le feedback, à l'app, ou à la plateforme Google.

Désolé, mais mon stock de confiance envers Google est proche de 0,000000000001%. Alors tes trucs à la noix...Et je reste courtois.

[Stéphane le calme]

Après le tollé général, Google va rétablir la liste des autorisations des applications Play Store
aux côtés de son écran « Sûreté des données »

Il y a quelques jours, Google a commencé à déployer plus largement le nouvel écran « Sûreté des données » dans son Play Store, et cela a fait des vagues dans le monde de la technologie lorsque nous avons découvert que la nouvelle section remplaçait l'affichage normal des autorisations d'application. Après la réaction négative du public à la nouvelle, le compte Twitter officiel des développeurs Android a promis d'annuler le changement et de laisser l'écran des autorisations s'afficher côte à côte avec le nouvel affichage de la sûreté des données.

Il faut dire que « Sûreté des données » est une nouvelle section Play Store qui permet aux développeurs de répertorier les données qu'une application collecte, comment ces données sont stockées et avec qui les données sont partagées. Difficile de comprendre comment Google est arrivé à la conclusion que « Sûreté des données » était un remplacement acceptable à la liste d'autorisations d'applications. Il est vrai que les deux sections se chevauchent beaucoup - par exemple, vous verrez probablement "emplacement" sur les deux écrans si une application demande votre emplacement. Le problème vient de l'implémentation par Google de ces deux écrans. La liste des autorisations d'application est un enregistrement factuel, généré par ordinateur, des autorisations qu'une application peut demander, tandis que la section Sûreté des données est rédigée par le développeur. Vous ne pouvez pas tromper la liste des autorisations des applications, tandis que Sûreté des données fonctionne sur le système d'honneur.

En avril dernier, Google a introduit une nouvelle section « Sûreté des données » dans la liste des applications du Play Store pour résumer la façon dont les applications utilisent vos données personnelles. Selon Google, le but est d'améliorer la transparence sur la manière dont les applications collectent et traitent les données, suivant ainsi les traces d'Apple et des étiquettes de confidentialité de l'App Store. Cette nouvelle section fournit essentiellement un aperçu des données qu'une application collecte ou partage, si ces données sont sécurisées, et tout autre détail supplémentaire qui pourrait avoir un impact sur la confidentialité et la sûreté.

Si, d'une part, Google a introduit la section « Sûreté des données » sur le Play Store pour fournir aux utilisateurs davantage d'information sur la manière dont les applications utilisent leurs données, d'autre part, la société supprime des détails cruciaux des listes d'applications. En mars de cette année, Google a procédé à la suppression de certains points des listes Play Store pour certains utilisateurs. Ensuite, Google s'est débarrassé de la liste des autorisations. Rappelons que les listes d'applications sur le Play Store comprennent une section « Permissions » qui répertorie toutes les autorisations requises par chaque application.

Cette section permet aux utilisateurs de vérifier facilement toutes les autorisations requises par une application sans toutefois l'installer sur leur appareil, ce qui en fait une fonction pratique pour les personnes soucieuses de leur vie privée. Cependant, Google semble l'avoir supprimée pour toutes les applications. Les développeurs avaient jusqu'au 20 juillet 2022 pour soumettre le contenu de leur section "Sûreté des données". Voici le calendrier qu'avait fourni Google

• Octobre 2021 : Publication du formulaire sur la sécurité des données disponible sur la page Contenu de l'application dans la Play Console
  
  • Les développeurs peuvent le remplir et l'envoyer pour recevoir les premiers commentaires sur les problèmes identifiés. Durant cette période, les envois d'applications ne seront pas affectés par les informations fournies dans votre formulaire sur la sécurité des données. Notez cependant que d'autres problèmes de non-respect des règles peuvent avoir des conséquences sur votre application,
  • En cas de souci au niveau de votre formulaire sur la sécurité des données, vous recevrez un e-mail vous informant que le contenu de l'application a été approuvé malgré des problèmes. Vous devrez lire les informations fournies et prendre les mesures adéquates. Vous pouvez publier provisoirement les mises à jour de l'application en rétablissant manuellement le mode "Brouillon" pour votre formulaire sur la sécurité des données dans la Play Console,
  • S'ils ne l'ont pas déjà fait, les développeurs doivent ajouter un lien vers les règles de confidentialité de leur application ;
• Fin avril 2022 : Déploiement de la section sur la sécurité des données sur Google Play pour tous les utilisateurs. Si un PSL n'a pas encore été rempli ni envoyé pour une application, la mention "Aucune information disponible" sera affichée dans la section sur la sécurité des données de cette application
  
  • Si vous n'avez pas encore rempli ni envoyé le formulaire pour votre application, la mention "Aucune information disponible" sera affichée sur la fiche Play Store de l'application (dans la section sur la sécurité des données) ;
• 20 juillet 2022 : Les envois de nouvelles applications et les mises à jour d'application seront refusés dans la Play Console si les problèmes liés au formulaire n'ont pas été résolus ;
  
  • Pour tous les envois de nouvelles applications et toutes les mises à jour d'application, vous devez remplir un formulaire sur la sécurité des données. Vous ne pouvez plus publier d'application ni de mise à jour d'application si ce formulaire est incomplet ou que vous n'avez pas résolu les problèmes le concernant,
  • Si des problèmes persistent concernant les informations de la section sur la sécurité des données, les utilisateurs verront la mention "Aucune information disponible" dans cette section sur la fiche Play Store de votre application. Vous recevrez alors un e-mail vous indiquant les problèmes à résoudre,
  • Tous les envois de nouvelles applications et toutes les mises à jour d'application nécessitent des règles de confidentialité valides ;
• Après le 20 juillet 2022 : D'autres mesures pourront être prises par la suite pour les applications non conformes, comme la suppression de la fiche Play Store de l'application sur Google Play.

Dans l'ensemble, la section "Sûreté des données" mettra en évidence les éléments suivants :

• si le développeur collecte des données et dans quel but ;
• si le développeur partage des données avec des tiers ;
• les pratiques de sécurité de l'application, comme le chiffrement des données en transit et la possibilité pour les utilisateurs de demander la suppression des données ;
• si une application qualifiée s'est engagée à respecter les règles de Google Play relatives aux familles afin de mieux protéger les enfants dans le Play Store ;
• si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, la norme MASVS).

Comme pour les détails de l'application tels que les captures d'écran et les descriptions, les développeurs sont responsables des informations contenues dans cette section de leur application et de leur exactitude. Les règles du Google Play exigent que les informations contenues dans cette section soient exactes. Toute déformation des données par le développeur sera traitée comme une violation des règles de Google Play, ce qui signifie qu'une application peut être retirée du Google Play si elle ne divulgue pas correctement ou précisément les données qu'elle collecte et le traitement qu'elle en fait.

Une démarche qui n'a pas été bien accueillie

Cependant, selon les experts en cybersécurité, la suppression de la liste des autorisations ne semble pas être une bonne décision pour la vie privée du tout. À première vue, les entrées relatives à la sûreté des données peuvent sembler assez similaires à l'ancienne liste des autorisations des applications. On y trouve des éléments tels que la "localisation" et, à certains égards, c'est mieux qu'une simple liste d'autorisations, car les développeurs peuvent expliquer comment et pourquoi chaque donnée est collectée. Toutefois, la différence réside dans la manière dont ces données aboutissent dans le système de Google.

Plus précisément, l'ancienne liste des autorisations des applications était garantie comme étant factuelle. Pour cause, elle était construite automatique par Google lors de l'analyse d'une application. La nouvelle section "Sûreté des données", quant à elle, fonctionne sur le principe de l'honneur. Voici l'explication de Google aux développeurs sur le fonctionnement de la nouvelle section : « vous êtes seul responsable des déclarations complètes et exactes que vous faites dans la fiche de votre application sur Google Play. Google Play examine les applications en fonction de toutes les exigences du règlement ».

« Néanmoins, nous ne pouvons pas déterminer, au nom des développeurs, la manière dont ils traitent les données des utilisateurs. Vous êtes le seul à posséder toutes les informations nécessaires pour remplir le formulaire de sûreté des données. Lorsque Google a connaissance d'une divergence entre le comportement de votre application et votre déclaration, nous pouvons prendre les mesures appropriées, y compris des mesures d'exécution ». En avril, il n'était pas tout à fait clair que la section des autorisations disparaîtrait au moment du lancement de la nouvelle section "Sûreté des données".

Certains experts en cybersécurité pensent que c'est une étrange régression que de passer des faits vérifiés par ordinateur à un système d'honneur. Dans un fil de discussion sur Twitter, Mishaal Rahman, rédacteur technique senior chez Esper (une plateforme DevOps permettant aux développeurs d'automatiser l'ensemble du cycle de vie d'une application d'Android), a partagé des captures d'écran de la liste Play Store pour l'application Facebook avant et après l'entrée en vigueur du changement. La liste mise à jour n'affiche plus la liste des "autorisations".

Cela signifie que vous ne pouvez plus vérifier les autorisations de l'application avant de l'installer. En outre, il est également difficile de faire confiance à la capacité de Google à "prendre connaissance d'une anomalie" dans la section "Sûreté des données" alors que le Play Store présente déjà une quantité énorme de problèmes d'application et de règles. Selon les experts et des commentaires sur le sujet, il serait préférable de combiner les deux systèmes - générer une liste d'autorisations et laisser les développeurs décrire l'utilisation de chacune d'elles.

Ainsi, les utilisateurs pourraient comparer les deux pour confirmer que les autorisations déclarées par les développeurs sont conformes aux conclusions de Google. Par ailleurs, comme le souligne Rahman, Google stocke les autorisations des applications dans le Play Store, mais ce n'est pas visible depuis l'interface. Il suggère donc de télécharger l'alternative open source du Play Store, appelée Aurora, qui affiche toujours les autorisations avant de télécharger une application. Enfin, il convient de noter que l'App Store d'Apple a mis en place une politique similaire pour ses étiquettes "nutritionnelles" de confidentialité.

Google rétropédale

Face au tollé Google est revenu sur sa décision. Voici la déclaration complète de Google*:

La confidentialité et la transparence sont des valeurs fondamentales de la communauté Android. Nous avons entendu vos commentaires selon lesquels vous trouvez la section des autorisations d'application dans Google Play utile, et nous avons décidé de la rétablir. La section des autorisations d'application sera de retour sous peu. La section Sûreté des données offre aux utilisateurs une vue simplifiée de la manière dont une application collecte, partage et sécurise les données utilisateur, mais nous souhaitons également rendre les informations sur les autorisations de l'application facilement visibles pour que les utilisateurs comprennent également la capacité d'une application à accéder à des données et actions restreintes spécifiques. Nous continuerons à prendre en compte les commentaires et à travailler en étroite collaboration avec la communauté des développeurs pour donner la priorité à la confidentialité des données et à la transparence pour les utilisateurs.

Google est une entreprise très gourmande en données, et la suppression de l'écran des autorisations réduisait la visibilité des personnes essayant de protéger leur vie privée. Le rétablissement de l'écran des autorisations est un correctif, et il semble toujours que Google devrait simplement appliquer sa détection des autorisations à l'écran de sûreté des données, puis demander aux développeurs d'ajouter des détails sur la raison pour laquelle les données sont collectées et comment elles sont stockées. Google a déjà construit un système de détection automatisé des autorisations, et au lieu de tout jeter, il pourrait simplement laisser les développeurs y ajouter des détails.

Bien que la section sur la sûreté des données dépende du fait que les développeurs ne mentent pas, Google indique qu'il « peut prendre les mesures appropriées » s'il « prend connaissance d'une divergence » dans la description d'un développeur. Ce que vous pensez de la section Sûreté des données dépend de ce que vous pensez de la capacité de Google à contrôler sa propre boutique d'applications.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle section "Sûreté des données" ?
Que pensez-vous de la décision de Google de remettre la liste des autorisations des applications ?

Voir aussi

Google Play Store oblige désormais les applications à divulguer les données collectées pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait de leurs données
Google intente une action en justice contre Match et pourrait éventuellement exclure Tinder de Play Store, il contre-attaque Match Group sur les paiements in-app
Google contraint de mettre fin à la vente d'applications Play Store en Russie, à partir du 5 mai 2022
Google oblige le développeur de Total Commander à supprimer la possibilité d'installer des APK sur les appareils Android, via une plainte relative au règlement du Play Store

[Sandra Coret]

55 % des applications sur Google Play Store prennent part au partage des données : les applications gratuites partagent 7 fois plus de données, et les plateformes de médias sociaux sont en tête de liste

Un groupe d'experts travaillant pour Incogni a récemment analysé le Google Play Store, ce qui a révélé des faits intéressants sur le nombre d'applications qui partagent les données des utilisateurs, ainsi que sur la quantité de données qu'elles recueillent et partagent.

Il s'avère que bien plus de la moitié des applications du Google Play Store, soit 55,2 % pour être précis, prennent part au partage des données. Les applications gratuites partagent 7 fois plus de données que les applications payantes, et que les plateformes de médias sociaux sont en tête de liste.

Les plateformes de médias sociaux comme Facebook sont connues pour collecter des quantités massives de données, mais elles déclarent aussi en partager le moins. Cela n'est possible que parce qu'elles exploitent une faille dans la manière dont Google définit le partage des données. Le partage de données à des fins juridiques n'est pas pris en compte, pas plus que les données anonymes, même si elles peuvent être réidentifiées dans presque 100 % des cas, ou 99,98 % pour être exact, ce qui revient au même.

Les chercheurs se sont également penchés sur la question du transit des données. Un pourcentage choquant de 4,9 % des applications n'ont pas crypté les données des utilisateurs avant de les partager, ce qui les rend moins sûres qu'elles ne l'auraient été autrement. Les données peuvent potentiellement être interceptées en transit par des acteurs malveillants.

Tout cela signifie que les chiffres ne semblent pas refléter la réalité. La plupart des données partagées ne correspondent pas à la définition commode de Google, et l'absence de cryptage fait qu'il est probable que beaucoup plus de données sont volées que les utilisateurs ne le pensent. Il reste beaucoup à faire pour assurer la sécurité des données des utilisateurs, car il est évident qu'on ne peut pas faire confiance aux entreprises pour s'autoréguler, car cela irait à l'encontre de leur propre intérêt.

Source : Incogni

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Après le tollé général, Google va rétablir la liste des autorisations des applications Play Store

Google autoriserait 4 700 entreprises à accéder aux données qu'il collecte sur les internautes, l'entreprise partagerait les données personnelles des internautes à une échelle surprenante

Google Play Store oblige désormais les applications à divulguer les données collectées, pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait de leurs données

TikTok partage vos données plus que toute autre application de médias sociaux et on ne sait pas où elles vont, selon une recherche sur 200 applications iOS

[HaryRoseAndMac]

Ben oui mais ça, ce n'est pas la faute des développeurs mobiles ...

C'est de la faute des boites de pub.

Les devs qui installent des bandeaux de pubs n'ont pas de possibilités réels de bloquer les cookies, ... qui accèdent à des informations tierces, sinon tout simplement, la pub ne se lance pas.

On peut débattre 10 000 ans dessus, tant que la racine du problème n'est pas traitée ça ne changera rien.