Android : Google s'attaque aux applications qui collectent les données des utilisateurs sans leur consentement

Dans un billet de blog publié vendredi dernier, Google demande aux développeurs Android d'avertir les utilisateurs des comportements de collecte de données de leurs applications. À défaut, le géant de l'Internet va tout simplement en informer les utilisateurs.

Cette annonce faite par l'équipe Safe Browsing de Google vient renforcer le règlement de la firme relatif aux logiciels indésirables, et a pour objectif de réduire davantage les comportements mobiles indésirables et nuisibles sur Android. Si les développeurs ne s'y conforment pas dans les 60 jours, Google avertira les utilisateurs en affichant des messages sur leurs appareils, via Google Play Protect « ou sur les pages Web qui mènent à ces applications ».

« Dans le cadre de ce renforcement du règlement en place, Google Safe Browsing va afficher des avertissements sur les applications et sur les sites Web menant à des applications qui collectent les données personnelles d'un utilisateur sans son consentement », explique Paul Stanton, de l'équipe Safe Browsing de Google.

Si une application traite des données personnelles (numéro de téléphone, email de l'utilisateur, etc.) ou les données de l'appareil, le développeur sera donc dans l'obligation non seulement de l'indiquer aux utilisateurs via un message à l'écran, mais aussi d'inclure une politique de confidentialité dans l'application.

« En outre, si une application recueille et transmet des données personnelles sans rapport avec la fonctionnalité de l'application, avant la collecte et la transmission, l'application doit indiquer clairement comment les données de l'utilisateur seront utilisées et demander à l'utilisateur de donner son consentement pour un tel usage », peut-on lire dans l'annonce.

En résumé, toute application Android qui recueille ou transmet des informations personnelles doit le stipuler de manière explicite en spécifiant, dans un langage clair et simple, quelles sont les informations recueillies ou transmises, et à quelle fin. Cette explication doit être clairement visible et facile à lire à l'écran, et il est d'autant plus important d'informer l'utilisateur si la collecte des données n'est pas une fonctionnalité évidente de l'application.

Paul Stanton précise que ces exigences de collecte de données s'appliquent à toutes les fonctions de l'application. C'est également le cas lors des analyses et rapports d'erreur par exemple. Il indique que la liste des paquets installés non liés à l'application ne doit pas être transmise au développeur de l'application sans transparence et un consentement de l'utilisateur.

Les développeurs ont deux mois pour se conformer au règlement de Google. Sont concernées les applications Android issues de Google Play ou non. Les webmasters dont les sites afficheront des avertissements en raison de la distribution de ces applications doivent consulter la Search Console de Google pour obtenir des conseils sur la manière de corriger le problème. Les développeurs dont les applications afficheront des avertissements devront quant à eux consulter les consignes du Centre d'aide relatif aux logiciels indésirables. S'ils estiment que leurs applications sont conformes au règlement de Google, ils peuvent également demander une révision de l'application.

Source : Google Security Blog

Et vous ?

Que pensez-vous de cette nouvelle mesure de Google ?