En 2023, Google a supprimé plus de 2,2 millions d’applications du Play Store. Parmi les motifs de retrait les plus fréquents : l’absence de politique de confidentialité ou une politique non conforme (source : Google Safety Report 2023). Apple adopte la meme rigueur : toute application soumise à l’App Store doit obligatoirement afficher une politique de confidentialité, sous peine de rejet.
Vous publiez une application mobile ? La politique de confidentialité n’est pas un détail administratif. C’est une obligation légale, une exigence des stores, et un signal de confiance pour vos utilisateurs.
Politique de confidentialité vs CGU : deux documents, deux fonctions
Avant de rédiger, clarifions une confusion fréquente.
Les Conditions Générales d’Utilisation (CGU) encadrent la relation entre l’éditeur et l’utilisateur de l’application. Elles couvrent les règles d’usage, la propriété intellectuelle, les limitations de responsabilité, les conditions de résiliation. C’est le contrat d’utilisation du service.
La politique de confidentialité traite exclusivement des données personnelles. Elle explique quelles données vous collectez, pourquoi, comment, et quels droits l’utilisateur peut exercer.
| CGU | Politique de confidentialité | |
|---|---|---|
| Objet | Règles d’utilisation du service | Traitement des données personnelles |
| Obligation légale | Recommandé, pas toujours obligatoire | Obligatoire dès qu’il y a collecte de données |
| Base juridique | Code civil, Code de la consommation | RGPD (articles 13 et 14), loi Informatique et Libertés |
| Contenu | Droits et obligations des parties | Données collectées, finalités, droits des personnes |
| Audience | Utilisateurs du service | Toute personne dont les données sont traitées |
Les deux documents sont distincts. Les fusionner dans un meme texte nuit à la lisibilité et peut poser des problèmes juridiques. Publiez-les séparément.
Les mentions obligatoires selon le RGPD
Les articles 13 et 14 du RGPD listent précisément les informations que vous devez communiquer à toute personne dont vous collectez les données (source : Legifrance, articles 13-14 RGPD).
Voici la liste complète, traduite en langage concret.
Identité du responsable de traitement
Qui etes-vous ? Nom de la structure (association, entreprise, collectivité), adresse postale, adresse email de contact. Si vous avez un DPO (Délégué à la Protection des Données), indiquez ses coordonnées.
Exemple : “L’application [Nom de l’appli] est éditée par [Nom de la structure], [forme juridique], dont le siège social est situé au [adresse]. Vous pouvez nous contacter à [email].”
Données collectées et finalités
Pour chaque catégorie de données, expliquez pourquoi vous la collectez. Soyez précis.
| Donnée | Finalité |
|---|---|
| Nom et prénom | Création et gestion du compte utilisateur |
| Adresse email | Envoi des communications liées au service |
| Token de notification | Envoi des notifications push |
| Données de navigation | Amélioration de l’application (analytics) |
| Géolocalisation (si activée) | Affichage des points d’intéret à proximité |
Évitez les formulations vagues comme “améliorer nos services” ou “à des fins légitimes”. La CNIL sanctionne les finalités trop génériques.
Base légale de chaque traitement
Le RGPD exige que vous précisiez la base juridique de chaque traitement : consentement, exécution d’un contrat, intéret légitime ou obligation légale. Notre guide RGPD pour éditeurs d’appli détaille ces bases légales.
Durées de conservation
Indiquez combien de temps vous conservez chaque catégorie de données. La CNIL recommande de ne pas dépasser ce qui est nécessaire à la finalité du traitement (source : CNIL, durées de conservation).
Exemples concrets :
- Données de compte : durée de vie du compte + 3 ans après suppression
- Données de navigation : 13 mois maximum (recommandation CNIL pour les cookies et traceurs)
- Données de facturation : 10 ans (obligation comptable)
- Messages du formulaire de contact : 1 an
Destinataires des données
Listez les catégories de tiers qui accèdent aux données :
- Hébergeur technique (serveurs)
- Prestataire de notifications push
- Outil d’analytics
- Prestataire de paiement (si applicable)
Pas besoin de nommer chaque entreprise, mais les catégories doivent etre claires. Si des données sont transférées hors de l’Union européenne, précisez les garanties mises en place (clauses contractuelles types, décision d’adéquation).
Droits des utilisateurs
Listez les droits que le RGPD accorde aux utilisateurs et expliquez comment les exercer :
- Droit d’accès : obtenir une copie de toutes les données vous concernant
- Droit de rectification : corriger des informations inexactes
- Droit à l’effacement : demander la suppression de vos données
- Droit à la portabilité : récupérer vos données dans un format exploitable
- Droit d’opposition : refuser certains traitements (prospection notamment)
- Droit de retirer son consentement : à tout moment, sans motif
Indiquez l’adresse email ou le formulaire pour exercer ces droits, ainsi que le délai de réponse (1 mois maximum). Mentionnez également le droit de réclamation auprès de la CNIL.
La structure type d’une politique de confidentialité
Voici un plan que vous pouvez suivre tel quel. Adaptez le contenu à votre situation.
1. Introduction Qui vous etes, quel est l’objet de ce document, à quelle application il s’applique.
2. Données collectées Liste des données, par catégorie, avec la finalité de chaque collecte.
3. Base légale des traitements Consentement, contrat, intéret légitime : précisez pour chaque traitement.
4. Durées de conservation Tableau ou liste des durées par catégorie de données.
5. Destinataires et sous-traitants Qui accède aux données, pourquoi, et ou sont-elles stockées.
6. Transferts hors UE Si applicable, quels transferts et quelles garanties.
7. Sécurité des données Mesures techniques et organisationnelles mises en place (chiffrement, accès restreints, sauvegardes).
8. Droits des utilisateurs Liste des droits, procédure pour les exercer, délai de réponse, droit de réclamation CNIL.
9. Cookies et traceurs SDK tiers intégrés, données collectées, consentement.
10. Modifications de la politique Comment vous informez les utilisateurs en cas de mise à jour (notification in-app, email, date de dernière modification affichée).
11. Contact Adresse email dédiée et, le cas échéant, coordonnées du DPO.
Les exigences spécifiques de l’App Store et du Play Store
Les stores imposent leurs propres règles, en plus du RGPD.
Apple App Store
Apple exige depuis 2018 que toute application publiée sur l’App Store dispose d’une politique de confidentialité accessible. Depuis iOS 14.5, l’App Tracking Transparency (ATT) impose un consentement explicite avant tout suivi publicitaire entre applications.
Ce qu’Apple vérifie lors de la soumission :
- La politique de confidentialité est accessible depuis l’application et depuis la fiche App Store
- Les “Privacy Nutrition Labels” (étiquettes de confidentialité) sont remplies : vous devez déclarer chaque type de données collectées et leur usage
- Le lien vers la politique de confidentialité fonctionne (pas de page 404, pas de page vide)
Google Play Store
Google a renforcé ses exigences en 2022 avec la section “Sécurité des données” obligatoire sur chaque fiche d’application.
Ce que Google vérifie :
- Une politique de confidentialité est renseignée dans la console développeur et accessible publiquement
- La section “Sécurité des données” est complétée : types de données collectées, partage avec des tiers, pratiques de sécurité
- La politique de confidentialité est cohérente avec les déclarations de la fiche Play Store
Sanction en cas de non-conformité : Google peut rejeter une mise à jour, suspendre la visibilité de l’application, ou la retirer du Play Store.
Avec Appli en Direct, les soumissions aux stores sont gérées pour vous. L’équipe technique s’assure que les déclarations de confidentialité des fiches App Store et Play Store sont conformes aux exigences de chaque plateforme.
Rédiger en langage clair : une obligation, pas une option
L’article 12 du RGPD exige que les informations relatives à la protection des données soient communiquées de manière “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”.
Ce qu’il faut éviter :
- Le jargon juridique incompréhensible (“nonobstant les dispositions susmentionnées…”)
- Les phrases de 5 lignes avec 3 subordonnées
- Les renvois en cascade vers d’autres documents (“voir article 4.2.b de nos conditions générales”)
- Les formulations ambigues (“nous pouvons etre amenés à partager vos données avec des tiers”)
Ce qui fonctionne :
- Des phrases courtes et directes
- Un vocabulaire courant
- Des exemples concrets
- Une structure avec des titres clairs et un sommaire
- Un ton honnete, pas défensif
Votre politique de confidentialité sera lue par des personnes qui n’ont pas fait d’études de droit. Écrivez pour elles.
Un bon test : faites relire votre politique par quelqu’un qui n’est pas juriste. S’il comprend tout du premier coup, c’est gagné.
Mettre à jour votre politique de confidentialité
Une politique de confidentialité n’est pas un document figé. Vous devez la mettre à jour quand :
- Vous ajoutez une nouvelle fonctionnalité qui collecte des données (paiement en ligne, chat, réservation)
- Vous changez d’hébergeur ou de prestataire technique
- Vous intégrez un nouveau SDK tiers (analytics, crash reporting, publicité)
- La réglementation évolue
Comment informer vos utilisateurs :
- Affichez la date de dernière modification en haut du document
- Envoyez une notification in-app pour les changements significatifs
- Pour les modifications majeures (nouveau partage de données avec un tiers, changement de base légale), recueillez un nouveau consentement
Avec Appli en Direct, vous pouvez mettre à jour votre politique de confidentialité directement depuis l’espace d’administration. La modification est publiée instantanément dans l’appli, sans mise à jour technique.
Exemples concrets : ce que vous devez écrire
Pour les notifications push
“Lorsque vous autorisez les notifications, nous enregistrons un identifiant technique anonyme (token) sur nos serveurs. Cet identifiant nous permet de vous envoyer des notifications liées à l’activité de [Nom de la structure] : actualités, rappels d’événements, informations pratiques. Vous pouvez désactiver les notifications à tout moment dans les réglages de votre téléphone ou dans les paramètres de l’application.”
Pour les analytics
“Nous utilisons [Nom de l’outil] pour analyser l’utilisation de l’application de manière anonyme. Les données collectées (pages consultées, durée des sessions, type d’appareil) ne permettent pas de vous identifier personnellement. Ces statistiques nous aident à améliorer l’application.”
Pour la géolocalisation
“L’application peut vous demander l’accès à votre position géographique pour afficher les points d’intéret proches de vous. Cette fonctionnalité est optionnelle. Votre position n’est pas stockée sur nos serveurs et n’est utilisée qu’au moment de la consultation de la carte. Vous pouvez révoquer cette autorisation à tout moment dans les réglages de votre téléphone.”
Les erreurs fréquentes à éviter
Copier-coller un modèle trouvé sur internet. Un template générique ne reflète pas votre situation réelle. La CNIL a déjà sanctionné des entreprises dont la politique de confidentialité ne correspondait pas aux pratiques effectives.
Oublier les sous-traitants. Si vous utilisez Firebase pour les notifications, Google Analytics pour les stats, et un hébergeur cloud pour les données, ces trois prestataires doivent figurer dans votre politique.
Ne pas prévoir de date de modification. Sans date, impossible de prouver que l’utilisateur a accepté la version en vigueur.
Rendre le document inaccessible. La politique doit etre accessible en 2 clics maximum depuis l’application. Enterrée dans un sous-menu, elle ne remplit pas l’exigence de transparence.
Ignorer les obligations des stores. Avoir une politique RGPD conforme ne suffit pas si les déclarations sur l’App Store ou le Play Store sont incomplètes. Les deux doivent etre cohérents.
Votre check-list avant publication
Avant de publier votre politique de confidentialité, vérifiez :
- L’identité du responsable de traitement est indiquée
- Chaque donnée collectée a une finalité explicite
- La base légale de chaque traitement est précisée
- Les durées de conservation sont définies
- Les sous-traitants et destinataires sont listés
- Les droits des utilisateurs sont détaillés avec la procédure d’exercice
- Le document est rédigé en langage compréhensible
- La date de dernière mise à jour est affichée
- Le document est accessible depuis l’appli et depuis les fiches stores
- Les déclarations stores (Privacy Labels, Sécurité des données) sont cohérentes avec le contenu
Passez à la rédaction
Vous avez maintenant tous les éléments pour rédiger une politique de confidentialité conforme, claire et utile. Ce n’est pas un exercice littéraire. C’est un document factuel qui dit la vérité sur ce que vous faites avec les données de vos utilisateurs.
La transparence est un avantage compétitif. Les utilisateurs qui comprennent comment leurs données sont traitées font davantage confiance à votre application. Et la confiance, c’est ce qui fait la différence entre une appli installée et une appli utilisée.
Demandez une démo gratuite pour découvrir comment Appli en Direct vous accompagne dans la publication de votre politique de confidentialité et la conformité RGPD. Pour toute question, contactez notre équipe.
Cet article fait partie de notre Guide Appli en Direct.
