Selon une enquête réalisée par le Pew Research Center, plus de 57 % des utilisateurs d’applications mobiles ont désinstallé ou décidé de ne pas installer une application en raison d’inquiétudes concernant le partage de leurs informations personnelles. L’inclusion d’un accord de confidentialité pour une application mobile apaisera les inquiétudes de vos utilisateurs. Cela leur donnera confiance dans votre application en sachant que leurs informations personnelles sont en sécurité.
Que vous ayez une application iOS ou Android, vous devez veiller à ce qu’elle soit conforme à une politique de confidentialité des applications. Dans cet article, nous allons examiner brièvement les exigences de la loi sur la protection de la vie privée, les règles d’Apple et celles de Google, afin que vous puissiez confirmer si vous avez besoin d’un accord de confidentialité pour votre application mobile.
Qu’est-ce qu’un accord de confidentialité pour une application mobile ?
La politique ou l’accord de confidentialité pour une application mobile est une déclaration légale qui doit être claire, visible et acceptée par tous les utilisateurs. Elle doit indiquer comment une application mobile recueille, stocke et utilise les informations personnelles qu’elle collecte auprès de ses utilisateurs. Une application mobile de protection de la vie privée est développée et présentée aux utilisateurs afin que les développeurs d’applications mobiles restent en conformité avec les lois nationales, fédérales et internationales. Ainsi, ils satisfont à l’obligation légale de protéger la vie privée des utilisateurs tout en protégeant l’entreprise elle-même contre les poursuites judiciaires.
Que votre application soit disponible sur iOS ou Android, vous devez veiller à ce que votre application mobile dispose d’une politique de confidentialité. Apple exige que tous les développeurs iOS publient des règles de confidentialité. Et Google exige que presque tous les développeurs Android en publient également.
Qu’est-ce qu’une information personnelle (IP) ?
Les informations personnelles sont des informations que vous pouvez utiliser directement ou indirectement pour identifier un individu. Si des éléments de données séparés et distincts peuvent être utilisés en conjonction avec d’autres éléments de données pour finalement identifier une personne physique, cela est également considéré comme une information personnelle et doit être protégé. Voici quelques exemples d’informations personnelles :
- Noms
- Les numéros de téléphone
- Numéros de sécurité sociale
- Adresse de facturation ou d’expédition
- Adresses électroniques
- Lieux de naissance
- Géolocalisations
- Dossiers médicaux
- Anniversaires
- Numéros de plaque d’immatriculation
- Numéros d’identification
- Données fournies avec un consentement volontaire
- ADN/Informations génétiques
- Données biométriques (par exemple, empreintes digitales, reconnaissance faciale)
- Numéros d’immatriculation (y compris l’immatriculation du véhicule)
- Données relatives aux appareils
- Adresses IP
- Historique de navigation
- Adresse de facturation ou d’expédition
- Données relatives aux cartes de crédit
- Données des cookies automatiques
- Et les données personnelles sensibles (par exemple, la race, l’origine ethnique, la sexualité).
Vous devez faire preuve d’une attention particulière lorsque vous collectez des données personnelles que le GDPR définit comme « sensibles ». Les données sensibles comprennent des informations telles que la race, l’origine ethnique, la sexualité. Les convictions politiques et les données biométriques ou génétiques d’une personne en font également partie.
Comment savoir si votre application collecte des informations personnelles ?
Vous devez ensuite maintenir la conformité légale en mettant en œuvre les mesures appropriées pour alerter les utilisateurs et protéger leurs données. Voici quelques conseils pour déterminer si vous collectez des IP :
Effectuer un audit
Lorsque vous envisagez d’élaborer votre propre accord de confidentialité pour une application mobile, prenez le temps d’identifier chaque étape possible de votre application. D’autant plus si elle nécessite la collecte de données personnelles, que ce soit par le biais d’un processus de paiement, d’un formulaire d’inscription par e-mail ou d’une page d’enregistrement de compte. Il est possible que vous, ou les services tiers que vous utilisez, recueilliez plus d’IP que vous ne le pensez. Lorsque vous effectuez votre audit, soyez clair sur ce que vous collectez et notez-le :
- Où elles sont collectées
- La raison de la collecte
- Comment elles sont stockées
- Comment elles peuvent être partagées.
Veillez à prendre en compte les données pseudonymes. En soi, il s’agit de données qui ne peuvent pas être utilisées pour identifier un individu. Ce sont plutôt des informations qui peuvent facilement être liées à d’autres données. Le résultat final privera les utilisateurs mobiles de leur vie privée en utilisant des éléments déconnectés de leurs informations personnelles pour les identifier.
Examiner chaque catégorie collectée
Il peut être utile de structurer les informations que vous ou un tiers recueillez en les séparant en catégories et en indiquant à quel stade du processus elles sont collectées. La politique de protection de la vie privée de Spotify présente un modèle exemplaire de la manière dont vous pourriez structurer une telle section et aller plus loin en offrant des détails sur le moment où les données sont collectées et si elles sont obligatoires ou facultatives.
Tenir compte des tiers
Même si votre application ne collecte pas elle-même les données, vous devez inclure un accord de confidentialité si vous faites appel à un fournisseur de services tiers qui collecte les données des utilisateurs. Vous êtes responsable de la divulgation de « quoi » et « comment » les données des utilisateurs sont collectées et utilisées dans votre application. Le processus fonctionne également dans l’autre sens. Plusieurs fournisseurs de services tiers exigent déjà que les politiques de confidentialité soient présentées sur votre application mobile lorsque vous utilisez des fournisseurs tels que Google Analytics, Google Maps et Facebook Graph API.
En ce qui concerne les cookies, sachez que les services tiers utilisent régulièrement des cookies pour recueillir et stocker des informations personnelles. Il vous incombe de savoir et de comprendre si ces fournisseurs se livrent à ces pratiques. Et si c’est le cas, vous devez inclure une politique de confidentialité appropriée pour votre application.
Il ne suffit pas de signaler à vos utilisateurs que des tiers collectent leurs informations. Si c’est le cas, vous devez indiquer clairement que vous n’avez aucun contrôle sur les informations PI des tiers qui peuvent être collectées, vendues ou échangées. WhatsApp est une application de service de messagerie populaire utilisée dans le monde entier. Vous pouvez trouver un lien vers sa politique de confidentialité non seulement sur la page de profil de l’application mais aussi dans l’application. En outre, l’application affiche ouvertement qu’elle étend sa politique de confidentialité aux fournisseurs tiers et leur demande d’employer et de traiter les informations des utilisateurs conformément aux politiques de WhatsApp.
Rechercher dans des zones spécifiques
Lorsque vous recherchez dans votre application mobile tous les endroits et toutes les manières dont vous collectez l’IP, il y a quelques zones clés à garder à l’esprit :
La collecte directe par le biais de formulaires
Les formulaires d’inscription recueillent généralement des informations personnelles saisies par l’utilisateur. Cependant, vous pouvez collecter des données sur l’utilisateur sans son consentement si les IP sont collectées, que l’utilisateur complète et soumette ou non le formulaire.
Les cookies
En plus de votre propre application mobile, soyez attentif aux services tiers qui utilisent des cookies pour recueillir et stocker des informations personnelles. Il est de votre responsabilité de savoir si votre application ou tout autre fournisseur de services tiers collecte des IP, allant du comportement de l’utilisateur aux mots de passe en passant par les informations de paiement. Vous devez aborder clairement ces pratiques à la fois dans la politique de confidentialité de votre application mobile et dans une politique dédiée aux cookies.
Le ciblage par géolocalisation
La technologie de géolocalisation ou de géociblage peut recueillir l’emplacement général ou exact d’un utilisateur d’application mobile en surveillant son appareil mobile, par défaut ou avec sa permission. Notez que si les données de localisation de l’appli mobile sont jointes à un autre élément d’IP, elles pourraient être utilisées pour identifier une personne physique.
Les systèmes de point de vente (POS)
Les systèmes de point de vente modernes sont souvent numériques et sont vus sur la page de paiement d’un site web de commerce électronique ou SaaS. Ces systèmes recueillent des informations sur les clients. Ces données incluent les noms, les numéros de téléphone, les adresses électroniques, les données des cartes de crédit et d’autres informations de paiement.
Le logiciel de gestion de la relation client (CRM)
Vos équipes de vente et de marketing sont susceptibles de collecter et de stocker des informations sur les utilisateurs potentiels et actuels. Pour maintenir la conformité au GDPR CRM, vous devez informer directement les utilisateurs mobiles de ces pratiques.
Le support client
Au minimum, le support client collecte des données sur les noms, les numéros de téléphone, les adresses, et plus encore. Votre application mobile peut utiliser un logiciel pour stocker ces informations et les conserver dans un fichier. Déterminez cela et expliquez-le clairement et directement à vos utilisateurs.
Envisager le consentement volontaire
Le consentement volontaire est un autre moyen par lequel vous pouvez collecter des IP. Si elles sont fournies volontairement, les données peuvent être partagées à n’importe quelle fin, à condition que l’utilisateur en soit informé et qu’il donne son consentement, par exemple en cochant la case correspondante ou qu’il continue à utiliser l’application.
Le service d’écoute musicale appelé Pandora fournit des règles supplémentaires en matière de politique de confidentialité en ce qui concerne le consentement volontaire. Il informe explicitement ses utilisateurs que toute information de ce type qu’ils choisissent de fournir, y compris les publications communautaires, sera partagée avec d’autres.
Anticiper les changements
À mesure que les politiques de confidentialité et les lois sur la protection des données liées aux applications mobiles continuent de se développer, la définition de l’IP peut changer. Par exemple, les moyens de déterminer l’identité d’une personne par le biais d’une adresse IP ont suffisamment progressé pour être ajoutés à la liste des informations personnelles protégées du GDPR.
Les lois actuelles applicables aux politiques de confidentialité des applications mobiles
Imposées par diverses lois dans le monde, les politiques de confidentialité des applications mobiles doivent indiquer clairement et explicitement quelles informations personnelles (IP) sont collectées, pourquoi elles le sont, avec qui elles peuvent être partagées et comment les utilisateurs peuvent contrôler leurs données. En outre, une copie intégrale de votre politique de confidentialité doit être accessible à tout moment.
La commission fédérale du commerce des États-Unis FTC
La Commission fédérale du commerce des États-Unis (FTC) souligne que les développeurs d’applications mobiles aux États-Unis ou ceux qui distribuent des applications destinées à être utilisées aux États-Unis doivent inclure des politiques de confidentialité dans leurs applications. La base de toute politique de confidentialité commence par les principes de pratique loyale de l’information. En 1998, la FTC a constaté qu’il existait cinq principes fondamentaux de protection de la vie privée qui étaient communs aux politiques de confidentialité de la plupart des pays. Ces principes sont les suivants :
- Un avis préalable à la collecte des données
- Le choix d’accepter la collecte ou de la refuser
- Accès aux données pour exactitude et correction
- Mesures de sécurité pour protéger les données des utilisateurs et supprimer les anciennes données
l’application des règles pour traiter et remédier aux problèmes de confidentialité.
Dans le cadre de ces cinq principes de pratiques loyales en matière d’information, les mesures de sécurité d’un site doivent être spécifiées dans une section distincte. Les mesures de sécurité que vous devrez mettre en place dépendront de la quantité de données que vous collectez et de leur sensibilité. Par exemple, PayPal explique qu’il utilise des mesures de sécurité techniques, physiques et administratives pour protéger vos données et prévenir les violations de données, notamment des pare-feu, le cryptage des données et des contrôles d’accès physiques.
Le règlement général sur la protection des données (GDPR)
Depuis 2018, le règlement général sur la protection des données (GDPR) exige que les entreprises du monde entier traitent les données personnelles des citoyens de l’UE en mettant en place des outils de sécurité des données et des mesures de confidentialité des données très strictes. En outre, les entreprises doivent présenter leurs pratiques en matière de données à l’utilisateur sous la forme d’une politique de confidentialité.
Si votre application est accessible aux personnes situées dans un pays de l’UE, vous êtes tenu de vous conformer au GDPR. Se conformer au GDPR commence par un accord de confidentialité pour une application mobile, qui détaille quoi, comment, quand, avec qui et où les données sont collectées. Par exemple, si vous exploitez une application mobile, vous êtes susceptible de collecter des données telles que la géolocalisation et les informations sur les appareils mobiles des utilisateurs de votre application. Vous devez donc être explicite en décrivant tous ces moyens potentiels de collecte de données dans la politique de confidentialité de votre appli.
Un aperçu de la conformité de Walt Disney au GDPR
Walt Disney est un exemple d’entreprise en conformité avec les règles du GDPR. Grâce à un menu facile à naviguer, vous pouvez voir et comprendre facilement :
- Comment vos données sont collectées.
- Pourquoi elles sont collectées
- Quel type de données est collecté
- Comment vos données sont utilisées
- Où vos données sont utilisées
- Comment vous pouvez révoquer votre consentement
- Conditions de la politique de confidentialité complète.
Voici les règles de Google relatives à la suppression des données dans le cadre du GDPR
L’une des règles les plus importantes du GDPR consiste à donner aux utilisateurs la possibilité de retirer, de révoquer leur consentement ou de supprimer des données. Google fournit des méthodes facilement accessibles à ses utilisateurs pour exporter leurs données ou les supprimer entièrement. Des boutons de signalisation distincts et clairement indiqués guident les utilisateurs. Ainsi, ils sauront comment exporter ou supprimer immédiatement toutes les données.
Principes de responsabilité du GDPR
Toute application mobile qui traite des données personnelles de citoyens de l’UE est tenue de faire certaines déclarations à ces utilisateurs mobiles sous la forme d’une politique de confidentialité. En outre, les utilisateurs doivent donner un consentement explicite et éclairé avant qu’une application mobile puisse traiter leurs informations. Les principes de protection des données et de responsabilité du GDPR doivent être respectés :
- Le traitement des données doit être loyal
- Les données collectées doivent l’être à des fins spécifiques et légitimes
- Pas plus de données collectées que ce qui est nécessaire
- Les données ne doivent pas être conservées plus longtemps que nécessaire et doivent être exactes
- Les informations collectées doivent garantir la sécurité, l’intégrité et la confidentialité.
Une amende pourrait être prélevée jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de votre application mobile en cas de non conformité aux principes relatifs aux données.
La loi californienne de 2018 sur la protection de la vie privée des consommateurs (CCPA)
La California Consumer Privacy Act (CCPA) est une loi sur la confidentialité des données qui régit la manière dont les entreprises du monde entier sont autorisées à traiter les informations personnelles (IP) des résidents de Californie. En vertu de la CCPA, les consommateurs ont désormais des droits tels que celui de demander que leurs données soient effacées ou ne soient pas vendues. Bien qu’elle soit parfois qualifiée de version allégée du GDPR, plus complet, la CCPA est la première loi de ce type aux États-Unis et l’une des lois les plus strictes de l’histoire des États-Unis en matière de protection de la vie privée. Toutes les entreprises qui servent les résidents de Californie doivent se conformer à la CCPA si elles :
- Ont un chiffre d’affaires annuel d’au moins 25 millions de dollars ou plus
- Collectent, partagent, achètent ou vendent les données personnelles de 50 000 « consommateurs, ménages ou appareils » ou plus
- Collectent plus de la moitié de leurs revenus de la vente de données personnelles de Californiens.
Contrairement au GDPR, la CCPA étend les lois sur la protection de la vie privée en :
- Permettant aux utilisateurs de demander des informations sur toutes les données collectées sur eux, et pas seulement sur les IP.
- En accordant aux utilisateurs le droit de refuser la vente de leurs données personnelles à des tiers
- En exigeant que les mineurs de moins de 16 ans soient exclus par défaut de la vente de leurs informations.
La CCPA prévoit des amendes pouvant aller jusqu’à 7 500 dollars par violation intentionnelle. Les violations non intentionnelles coûtant 2 500 dollars par violation si elles ne sont pas corrigées dans les 30 jours.
La loi californienne sur la protection de la vie privée en ligne (CalOPPA)
La CalOPPA s’applique à toutes les entreprises qui utilisent des applications mobiles. Le non-respect de la CalOPPA peut entraîner des amendes allant jusqu’à 2 500 dollars par utilisateur et par infraction. Des amendes de plus d’un quart de million de dollars peuvent facilement être infligées même à une petite entreprise d’applications mobiles qui ne touche que 100 utilisateurs par semaine. En plus des règles de base du GDPR, d’autres exigences doivent être satisfaites pour être en conformité avec la CalOPPA. L’accord de confidentialité pour une application mobile doit contenir :
- Un lien vers la politique de confidentialité depuis la page d’accueil du site web et de l’application mobile, qui doit contenir le mot « Privacy »
- Des informations sur les modifications et la manière dont elles seront effectuées
- Des informations sur les tiers qui collectent exactement les données.
La loi sur la protection de la vie privée des enfants en ligne (COPPA)
Afin de protéger la vie privée des enfants et d’assurer leur sécurité en ligne, la FTC applique la loi sur la protection de la vie privée des enfants en ligne (COPPA). Celle-ci oblige les sites Web, les applications mobiles et les autres services en ligne à obtenir le consentement des parents avant de collecter des informations personnelles auprès d’enfants de moins de 13 ans.
La COPPA est la raison pour laquelle de nombreux sites web et applications ne permettent pas aux utilisateurs de moins de 13 ans d’accéder à leur contenu ou d’ouvrir un compte. Le respect de la loi est souvent considéré comme trop difficile pour mériter l’inclusion d’enfants de cet âge. En plus d’exiger des politiques de confidentialité, la COPPA impose des amendes aux entreprises qui ne respectent pas leurs directives sur la façon dont les entreprises en ligne et les applications mobiles doivent traiter les informations des enfants.
Par exemple, en 2019, YouTube s’est vu infliger une amende COPPA de 170 millions de dollars pour avoir récolté illégalement des données personnelles d’enfants et ciblé des publicités sur des enfants sans le consentement de leurs parents. Dans une telle situation, une notification directe par une politique de confidentialité aurait été insuffisante pour éviter les amendes, car la COPPA exige un consentement parental vérifiable avant de procéder à toute distribution ou vente sensible d’informations sur les enfants et, dans certains cas, n’est jamais autorisée.
Le droit à la vie privée des mineurs californiens dans le monde numérique
La loi sur les droits à la vie privée des mineurs californiens dans le monde numérique (également appelée « loi du bouton effaceur ») s’applique aux sites Web et aux applications mobiles qui permettent aux utilisateurs de moins de 18 ans de s’inscrire et de publier du contenu. La loi sur le bouton d’effacement stipule que ces sites Web et applications mobiles doivent permettre aux utilisateurs de moins de 18 ans de supprimer le contenu ou les informations qu’ils ont fournis lorsqu’ils le souhaitent. Elle stipule également que ces utilisateurs doivent être clairement informés de leurs droits et de leur capacité à le faire.
La loi sur la protection des renseignements personnels des étudiants en ligne
La loi sur la protection des informations personnelles des élèves en ligne (SOPIPA) s’applique à la collecte en ligne des informations personnelles des élèves utilisateurs de la maternelle à la terminale en Californie. Elle stipule que toute information recueillie auprès des élèves ne peut être utilisée dans le cadre de publicités ciblées à leur intention ou à celle de leurs parents. Les données des élèves ne peuvent pas non plus être vendues ou divulguées sans autorisation expresse et uniquement dans des circonstances précises.
Accord de confidentialité pour les applications iOS et Android
Celui qui s’applique aux applications iOS
iOS est un système d’exploitation mobile créé et développé par Apple pour une distribution exclusive sur son matériel. Avant même de se conformer aux autres lois sur la protection de la vie privée, les développeurs d’applications mobiles sont tenus d’inclure une politique de confidentialité dans une application iOS. L’App Store d’Apple exige cette règle si une application :
- Collecte des données d’utilisateur
- Est conçue pour, ou spécifiquement destinée aux enfants
- Propose des achats in-app automatiquement renouvelables
- Permet l’inscription d’un utilisateur
- Accède au compte existant d’un utilisateur
- Offre des abonnements gratuits.
Règles de confidentialité pour les applications Android
Android est un système d’exploitation développé par Google pour être utilisé sur des appareils mobiles. Les applications Android peuvent être achetées sur le Google Play Store. On peut aussi les retrouver sur d’autres marchés tiers tels que SlideME ou l’Amazon Appstore. Chaque application publiée par le Google Play Store doit avoir une politique de confidentialité et déclarer comment elle collecte, protège et traite les données privées des utilisateurs. La nouvelle section de sécurité de la console Google Play informe les utilisateurs et les aide à comprendre :
- Quel type de données une application recueille
- Pourquoi l’application collecte ces données
- Quelles données sont partagées avec des fournisseurs tiers
- Si les utilisateurs ont le contrôle de leurs données
- Comment l’application utilise des pratiques de sécurité telles que le cryptage
- Si les données sont facultatives ou nécessaires à la fonctionnalité de l’application.
Exigences générales pour un accord de confidentialité pour une application mobile
Pour que la politique de confidentialité de votre application soit complète et conviviale, elle doit contenir les informations suivantes :
Section 1 : Expliquer le type d’informations personnelles que vous collectez
Les politiques de confidentialité commencent presque toujours par expliquer les types de données qu’un site Web ou une application peut recueillir auprès des utilisateurs. Il est important que vous soyez aussi détaillé que possible sur les données que vous collectez.
Section 2 : Définir comment vous utilisez et partagez les données
En plus de révéler le type de données que vous collectez, vous devez expliquer comment ces données sont utilisées. Précisez aussi si elles sont partagées ou non avec des services tiers.
Section 3 : Divulguer l’utilisation de services tiers
Les outils et fournisseurs tiers peuvent améliorer vos applications mobiles en optimisant le contenu, en améliorant le service client, en analysant les données, en faisant du marketing d’affiliation et en générant des pistes. Si vous partagez des données avec des services tiers, votre politique doit révéler comment et pourquoi. Comme sur de nombreuses applications mobiles, Google Analytics est nommément cité comme un service qui reçoit les IP des utilisateurs pour effectuer des analyses statistiques concernant l’utilisation d’une application.
La section 3 de la politique de confidentialité de Twitter comprend un paragraphe sur les types de données qu’ils partagent et les types de fournisseurs de services qu’ils utilisent et nomme également Google Analytics directement. Google Analytics étant un service tiers reconnaissable et fréquemment utilisé, assurez-vous que votre application mobile répond aux exigences du GDPR. Notez que tout traitement irrégulier de données personnelles collectées par des outils d’analyse tiers peut entraîner une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial de votre appli mobile.
Section 4 : Décrire comment les utilisateurs peuvent contrôler leurs données
Le contrôle des données d’un utilisateur est devenu une préoccupation essentielle pour les entreprises en ligne, qui s’efforcent de se conformer à des lois telles que le GDPR et le CCPA. Par défaut, les politiques de confidentialité sont devenues des manuels d’instruction sur la façon dont les utilisateurs peuvent exercer leurs droits sur les données. Vous devez inclure les étapes que les utilisateurs peuvent suivre pour accéder à leurs informations, les transférer, les modifier, les supprimer, les corriger, les exporter ou en limiter l’utilisation.
Section 5 : Informer les utilisateurs des changements de politique
Les utilisateurs d’applications mobiles ont le droit d’être informés de toute modification de votre loi sur la protection de la vie privée. Par conséquent, vous devrez peut-être mettre à jour votre politique. Publiez la date de la dernière modification. Et rassurez les utilisateurs en leur indiquant que toute modification importante sera présentée de manière bien visible et envoyée par courriel à l’utilisateur.
Informez les utilisateurs mobiles s’ils sont suivis
Les utilisateurs d’applications mobiles s’inquiètent de plus en plus d’être suivis dans leurs achats. Il en de même pour leurs activités quotidiennes, leur géolocalisation physique et l’historique de leurs sites Web. Selon une étude récente du Pew Research Center, presque tous les utilisateurs d’applications mobiles prennent des mesures pour gérer, contrôler ou protéger leurs données personnelles.
- 54 % des utilisateurs d’applications mobiles n’ont pas installé une application mobile en raison de la quantité d’informations personnelles qu’ils devaient partager pour utiliser l’application.
- 30 % des utilisateurs d’applications mobiles ont désinstallé une application qui se trouvait déjà sur leur appareil mobile après avoir appris qu’elle collectait des informations personnelles qu’ils ne souhaitaient pas partager.
Par exemple, dans un effort pour reconnaître les préoccupations des utilisateurs, la Walt Disney Company prend soin d’informer les utilisateurs de sa politique de suivi. Les enfants et les familles dépensent des milliards de dollars en produits, films et visites de parcs d’attractions de Disney Company. Dans un souci de transparence totale, Disney explique clairement comment la société et ses annonceurs suivent le comportement des internautes à des fins publicitaires.
Comment donner aux utilisateurs l’accès à la politique de confidentialité de votre application ?
Si votre application mobile nécessite une politique de confidentialité, il est bon d’en inclure une. Cette politique offre un certain niveau de protection en cas de litige. Que vous ayez une application iOS, Android ou Windows, vous pouvez inclure une telle politique de plusieurs façons :
L’intégrer directement dans votre application
Intégrer la politique dans votre application signifie que vous devez consacrer un espace dans l’application pour l’afficher. Ensuite, les utilisateurs peuvent simplement naviguer dans l’application pour accéder à l’accord. Grâce à cette méthode, vos politiques juridiques ne sont jamais qu’à quelques actions de la page actuelle. Les utilisateurs sont conscients de sa présence. Ils peuvent la consulter à tout moment et ne sont pas gênés par cette démarche.
Utiliser une URL de politique de confidentialité pour les applications
De nombreux développeurs utilisent l’URL de l’accord de confidentialité de l’application pour établir un lien direct avec la politique dans l’application. Cela signifie que les utilisateurs peuvent se rendre à un endroit de l’application où se trouve un hyperlien contenant le mot « vie privée ». En cliquant sur ce lien, la politique de confidentialité s’ouvre dans une nouvelle fenêtre du navigateur Internet. Cette page web est généralement hébergée par un tiers. Mais elle peut aussi faire partie du site web de l’entreprise.
Bien que cette méthode permette de rendre la politique facilement accessible, elle gêne les utilisateurs en interrompant l’utilisation de l’application et en les obligeant à ouvrir leur navigateur internet. Vous pouvez également inclure un lien vers votre politique sur la page de profil de votre application dans le magasin d’applications que vous avez choisi pour vendre votre produit. Cela permet aux utilisateurs de consulter votre politique avant de télécharger votre application.
Placer l’accord de confidentialité sur votre site officiel
Si votre entreprise possède un site web, vous pouvez y afficher les modifications apportées à la politique de confidentialité. Une bonne pratique consiste à utiliser les mêmes politiques pour votre application et votre site web. Même si votre site Web n’est qu’un site de remplacement, vous bénéficierez de la protection juridique que vous offre la présence d’une telle politique. Toute entreprise devrait avoir une politique de confidentialité. Et celles qui collectent des informations sur les utilisateurs sont légalement tenues de le faire. Cependant, dans ce cadre, les entreprises peuvent avoir des politiques très différentes en fonction de l’utilisation de leurs applications mobiles. Nous vous présentons ici plusieurs exemples notables :
Dropbox
Un lien vers la politique de confidentialité de Dropbox figure sur la page de profil de l’application dans la boutique d’applications. Les utilisateurs peuvent d’abord consulter la politique, puis décider s’ils veulent télécharger l’application. Dropbox utilise la même politique pour son entreprise en général et pour son application mobile. Elle indique avec qui les informations des utilisateurs seront partagées et pourquoi. L’entreprise indique aussi directement qu’elle ne vendra pas de données personnelles aux annonceurs ou à d’autres tiers.
La politique de l’entreprise est facile à lire. Elle utilise un langage convivial pour informer les utilisateurs que Dropbox collectera des informations personnelles. La politique est spécifique et complète, laissant peu de place à l’interprétation juridique.
Facebook fournit également un lien vers sa politique de confidentialité sur sa page de profil dans la boutique d’applications. En outre, l’entreprise a adopté une approche plus directe et plus conviviale de ses politiques juridiques en réponse aux préoccupations du public concernant le partage des informations personnelles. Les politiques de Facebook sont identiques pour l’entreprise et pour l’application mobile.
La politique est présentée sous la forme d’une FAQ, ce qui en facilite la lecture. Le langage utilisé est également très compréhensible. Ce qui facilite son traitement par les utilisateurs. En outre, les tiers qui développent des applications Facebook destinées à être utilisées sur sa plateforme sont tenus d’indiquer l’URL de la politique de confidentialité afin de publier leur application.
Pandora
Pandora est un service de streaming musical qui possède à la fois un site web et une application mobile. Un lien vers sa politique de confidentialité figure sur la page de profil de l’application mobile dans la boutique d’applications. Comme la plupart des entreprises modernes, la politique de Pandora est cohérente sur toutes les plateformes. L’entreprise insiste sur le fait qu’elle ne partagera vos informations personnelles avec personne, sauf dans des circonstances extrêmes. Il est toutefois intéressant de noter que l’entreprise partagera les informations relatives aux utilisateurs avec une entreprise successeur en cas de fusion ou de rachat d’entreprise. Il n’y a aucune garantie que l’entreprise successeur honorera la politique de confidentialité actuelle.
Snapchat
Snapchat est une application exclusivement mobile qui permet de prendre, modifier et partager des photos. Bien que le service ne soit fourni que par des appareils mobiles, ses politiques juridiques sont hébergées sur son site web officiel. La politique de l’entreprise est clairement exposée et très accessible. Cependant, elle indique que Snapchat peut utiliser vos informations personnelles pour le ciblage et la personnalisation des publicités. Cela semble être en contradiction avec la SOPIPA.
WhatsApp est une application de service de messagerie populaire utilisée dans le monde entier. Vous pouvez trouver un lien vers sa politique de confidentialité non seulement sur la page de profil de l’application mais aussi dans l’application. WhatsApp semble être fière de ses pratiques en matière de protection des informations personnelles. Sa politique de confidentialité est complète et précise. L’entreprise décrit même comment elle demande aux fournisseurs de services tiers qu’elle emploie de traiter les informations des utilisateurs conformément aux politiques de WhatsApp.
Pourquoi avez-vous besoin d’un accord de confidentialité pour une application mobile ?
Une politique de confidentialité est nécessaire pour votre application si elle recueille des informations personnelles auprès de résidents californiens ou de résidents de l’EEE. En outre, en fonction des lois applicables, votre application peut également nécessiter une politique de confidentialité si elle s’adresse à certains groupes démographiques. Même si vous n’êtes pas légalement tenu d’avoir une politique de confidentialité, les services et plateformes d’applications tiers (tels que Google Analytics et l’App Store iOS) exigent souvent que votre application contienne une politique de confidentialité.
Pour une application iOS
Oui, Apple exige que chaque application iOS dispose d’un accord de confidentialité. Cette règle est en vigueur depuis octobre 2018. Apple est très clair dans ses directives d’examen de l’App Store. Chaque application doit disposer d’une politique de confidentialité. Apple a des exigences très spécifiques sur ce que vous devez couvrir dans votre politique de confidentialité.
Pour une application Android
Oui, vous êtes probablement tenu d’avoir une politique de confidentialité pour votre application Android. Google n’est pas aussi strict qu’Apple lorsqu’il s’agit de définir des règles de confidentialité. Il n’existe pas de règle générale imposant à chaque application Android de disposer d’une politique de confidentialité. Au contraire, Google indique que votre application doit disposer de règles de confidentialité si vous collectez des « informations personnelles et sensibles ». Notez que la définition des informations personnelles et sensibles donnée par Google est très large. Elle inclut les « informations personnelles identifiables ». Ce qui est une autre façon de dire « informations personnelles ».
Ainsi, si votre application Android recueille des informations personnelles, quelles qu’elles soient, vous avez besoin d’une politique de confidentialité. Il peut s’agir d’un nom, d’un nom d’utilisateur ou d’une adresse électronique. Google ajoute que vous avez également besoin d’une politique de confidentialité si vous collectez :
- Des informations de paiement
- Des informations d’authentification et de localisation
- Contacts, appels ou SMS
- Des Données du microphone ou de l’appareil photo
- Et des données d’utilisation de l’appareil ou de l’application.
Si vous acceptez des paiements, effectuez des analyses ou accédez à certaines autorisations de l’appareil dans votre application Android, vous avez besoin d’une politique de confidentialité. Google a des exigences spécifiques sur ce que vous devez inclure dans vos règles de confidentialité.
Une politique de confidentialité pour les applications multiplateformes
Vous diffusez votre application à la fois sur iOS et sur Android ? Apple et Google ont des exigences légèrement différentes, mais vous n’avez pas besoin de deux règles de confidentialité distinctes.
Comment créer un accord de confidentialité de base pour une application iOS ?
Avant de commencer, notez qu’Apple applique des règles spécifiques aux développeurs de certains types d’applications. Il s’agit notamment des applications destinées aux enfants, des applications de gestion des appareils mobiles et des applications VPN. En fonction de la nature de votre application, vous aurez peut-être besoin d’une politique de confidentialité plus détaillée. Voici ce qu’un accord de confidentialité pour une application mobile iOS doit inclure, au minimum, étape par étape :
1. Vérifiez quelles lois sur la confidentialité s’appliquent à vous
N’oubliez pas qu’avant tout, votre politique de confidentialité iOS doit être conforme à la législation. Vous devrez peut-être vous conformer à des lois sur la protection de la vie privée qui vont au-delà des exigences d’Apple. Nous pouvons vous aider à créer une politique de confidentialité conforme à la loi pour de nombreux marchés importants.
2. Identifiez les données collectées par votre application
Apple exige tout d’abord que votre politique de confidentialité identifie les données collectées par votre application. Cela signifie qu’il faut dresser la liste de toutes les données utilisateur que vous collectez via votre application. Qu’il s’agisse d' »informations personnelles » ou non.
3. Expliquez comment vous collectez les données des utilisateurs
Vous devez expliquer comment votre application collecte les données des utilisateurs. Votre application peut collecter des données sur les utilisateurs de deux manières différentes :
- Vos utilisateurs peuvent fournir leurs données volontairement. Par exemple, ils peuvent créer un compte ou accorder des autorisations à leur appareil.
- Votre application peut recueillir automatiquement les données des utilisateurs. Cela peut se faire en enregistrant et en vous envoyant des informations sur la façon dont ils utilisent l’application.
Votre entreprise peut également recueillir des informations personnelles auprès de tiers. Il peut s’agir de sociétés de marketing ou de sources accessibles au public (telles que les réseaux sociaux). Bien que cela ne soit pas strictement pertinent pour votre application, vous devrez peut-être le mentionner dans votre politique de confidentialité.
4. Expliquez comment vous utilisez les données des utilisateurs
Vous devez expliquer exactement comment vous utilisez les données collectées par votre application. Réfléchissez bien à ce que vous faites avec toutes les données que votre application recueille. Soyez très clair sur ce que vous faites de ces informations. Et si vous collectez des données dont vous n’avez pas besoin, arrêtez de les collecter.
5. Confirmez que les destinataires des données utilisateur sont conformes aux politiques d’Apple
Vous devez fournir certaines informations sur les tiers avec lesquels vous partagez des données utilisateur. Vous devez vous assurer que tout tiers avec lequel vous partagez des données respecte les règles d’Apple. Et vous devez confirmer que vous le faites dans votre politique de confidentialité.
6. Expliquez vos politiques de conservation et de suppression des données
Votre politique de confidentialité doit fournir des informations sur vos politiques de conservation et de suppression des données. Là encore, examinons les exigences exactes d’Apple. Cette exigence est plus compliquée qu’il n’y paraît à première vue. Cette exigence implique que vous devez :
- Créer des politiques qui déterminent combien de temps vous stockez les données des utilisateurs. Indiquez également dans quelles circonstances vous les supprimez
- Fournir une méthode permettant à vos utilisateurs de révoquer leur consentement ou de demander la suppression de leurs données
- Détailler tout cela dans votre politique de confidentialité.
Si vous demandez le consentement de vos utilisateurs lorsque vous collectez leurs données, vous devez leur permettre de révoquer leur consentement. Apple insiste pour que vous demandiez le consentement dans la plupart des circonstances. Vous devez également leur fournir un moyen de révoquer leur consentement ou de changer d’avis.
Vous devez aussi mettre en place un processus par lequel vos utilisateurs peuvent demander que vous supprimiez leurs données. Votre politique de confidentialité doit expliquer ce processus à vos utilisateurs. Par exemple, elle leur fournit les coordonnées. Ainsi, les utilisateurs peuvent s’en servir pour vous envoyer un courriel afin de demander la suppression de leurs données.
Que devez-vous donc inclure dans les règles de confidentialité de votre application Android ?
Nous allons décomposer ces exigences en cinq étapes :
1. Vérifiez quelles lois sur la confidentialité s’appliquent à vous
Votre politique de confidentialité doit être conforme à la loi. Notez que Google a des exigences très spécifiques si votre application mobile est accessible dans l’UE.
2. Identifiez les données collectées par votre application
Vous devez identifier les types de données que votre application collecte. Ces données peuvent inclure :
- Des informations techniques telles que la localisation, les données d’utilisation ou le SSAID (Android ID)
- Des informations personnelles d’identification directe telles que le nom, l’adresse électronique ou le nom d’utilisateur d’un utilisateur
- Ou d’autres informations sensibles telles que les mots de passe, les détails de paiement. Les données sur la race, le sexe ou les croyances d’une personne sont aussi des détails sensibles.
3. Expliquez comment vous collectez les données des utilisateurs
Vous devez expliquer comment votre application collecte les données. Votre application Android collecte probablement les données des utilisateurs de deux manières principales :
- Lorsque vos utilisateurs les fournissent directement (par exemple, lorsqu’ils créent un compte)
- Ou lorsque votre application les collecte automatiquement.
En fonction de votre activité, vous pouvez également collecter des informations personnelles sur vos utilisateurs auprès de tiers. Vous devez l’indiquer dans votre politique de confidentialité.
4. Expliquez comment vous vous servez des données des utilisateurs
Maintenant que vous avez dit à vos utilisateurs quelles données vous collectez et comment vous les collectez, vous devez expliquer comment vous utilisez leurs données.
5. Expliquez comment vous partagez les données des utilisateurs
Google exige que vous expliquiez comment vous partagez les données des utilisateurs. Vous devez aussi les tenir au courant sur les types de tiers avec lesquels vous partagez leurs données.