Alors que les règles concernant le consentement et la collecte de données personnelles vont se durcir en Europe avec l'arrivée du RGPD et d'ePrivacy, certains acteurs ont décidé d'imposer leurs propres règles. C'est notamment le cas de Google, sous Android, à travers Safe Browsing.
Google continue d'ajouter de nouveaux éléments pour protéger les utilisateurs de Chrome, ceux sous Android en particulier. La société vient ainsi d'annoncer une nouvelle initiative du programme Safe Browsing visant à afficher une alerte dans les applications et sur les sites « qui collectent des données personnelles de l'utilisateur sans son consentement ».
Ne rêvez pas, il n'est pas question de prévenir dès qu'un service utilisera Google Analytics, sans demander si vous souhaitez que le moindre de vos déplacements soit pisté en ligne par Google. Non, la définition donnée se veut un peu plus précise et recouvre en réalité des cas spécifiques.
Limiter la collecte de données personnelles sans information, ni consentement
« Les applications gérant des données personnelles (comme le numéro de téléphone ou l’email) ou des données d’appareil devront avertir les utilisateurs et leur présenter une politique de vie privée » indique le billet de blog de Google.
« De plus, si une application collecte et transmet des données personnelles sans lien avec une fonctionnalité de l'application, en amont de la collecte et de la transmission, l'application devra afficher de manière visible la manière dont les données de l'utilisateurs seront utilisées et obtenir son consentement » est-il précisé.
La collecte de vos contacts pour vous « connecter à vos amis » est-elle considérée comme un usage légitime d'une application ? Non. Selon Google, elle nécessitera une information et un accord spécifique : « une application qui ne traite pas les numéros de téléphone ou les contacts d'un utilisateur comme des données personnelles ou sensibles, et qui ne respecte pas les règles de confidentialité, les règles relatives à la transmission sécurisée et les exigences concernant la visibilité des communiqués » aura donc droit à son message d'avertissement.
Google évoque également la collecte de données lors d'un plantage : « la liste des packages qui ne sont pas en lien avec l'application ne doit pas être transmise depuis l'appareil sans alerter l'utilisateur de manière visible et sans consentement affirmatif ».
« Soyez transparents »
De manière plus générale, les nouvelles règles détaillées sur le Play Store indiquent que les développeurs doivent « faire preuve de transparence quant à la façon dont vous gérez les informations sur l'utilisateur [...] y compris en publiant les méthodes de collecte et de partage de ces informations, ainsi que la façon dont vous les utilisez ». Google insiste : ils doivent « limiter l'utilisation de ces données au cadre » décrit.
Plus précisément, les informations collectées doivent « figurer dans l'application même, et pas seulement sur la fiche Play Store ou sur un site Web, être facilement consultables sans devoir parcourir un menu ou chercher dans les paramètres, décrire le type de données recueillies et expliquer comment les données sont utilisées ». Mais elles ne doivent pas « figurer uniquement dans les règles de confidentialité ou les conditions d'utilisation ou être incluses avec d'autres informations sans rapport avec la collecte de données personnelles ou sensibles ».
La demande de consentement, elle, doit « apparaître de façon claire et non équivoque , nécessiter une action de la part de l'utilisateur pour indiquer le consentement » mais ne doit pas « déclencher la collecte de données personnelles ou sensibles tant que l'utilisateur n'a pas donné son consentement, considérer le fait de quitter la section relative à la déclaration de collecte de données comme un consentement ou utiliser de messages éphémères ou qui disparaissent automatiquement ».
Deux mois pour s'adapter
Google précise que ces nouvelles règles seront appliquées d'ici 60 jours. Des messages d'alerte s'afficheront alors dans les applications et sur les sites qui n'auront pas modifié un comportement considéré comme problématique. Les éditeurs concernés verront d'ici là une alerte s'afficher dans la Search Console et pourront faire appel s'ils le désirent.
L'ensemble des règles à respecter pour les applications et les sites se trouve par ici.
