Envoyer des détails de confidentialité à l'Apple App Store
Apple souhaite aider les utilisateurs à comprendre les pratiques de confidentialité d'une application avant qu'ils ne la téléchargent. Pour ce faire, chaque page produit sur l'App Store doit lister les types des données collectées par l'application et indiquer si ces données sont liées à des utilisateurs individuels ou si elles sont utilisées pour le suivre avec les Étiquettes nutritionnelles.
Lorsque votre développeur soumet une app à App Store Connect, il doit répondre aux questions d'Apple concernant la confidentialité de l'app, en décrivant notamment les pratiques des partenaires tiers, comme Adjust, dont le code SDK est intégré dans votre application.
À partir du 1er mai 2024, Apple requiert les détails supplémentaires suivants pour approuver votre soumission d'application si elle utilise des SDK tiers fréquemment utilisés :
- Motifs requis pour chaque API répertoriée.
- Manifeste de confidentialité.
- Signatures valides lorsque le SDK est ajouté sous la forme d'une dépendance binaire.
Adjust ne fait pas partie de la liste des SDK tiers de Apple. Toutefois, le SDK Adjust accède à certaines des API répertoriées et collecte des points de données qui demandent une déclaration. Le SDK Adjust inclut toutes les exigences répertoriées dans la v4.38.0 et versions ultérieures. Ce guide vous aide à comprendre les exigences de Apple applicables au SDK Adjust.
Lorsque vous soumettez votre application à Apple Store Connect, vous devez :
- Veiller à ce que tout SDK tiers utilisé par votre application inclue les fichiers du manifeste de confidentialité, ou mettre à jour le manifeste de confidentialité de votre application pour inclure les détails concernant l'utilisation des données faites par le SDK tiers.
- Déclarer les points de données sensibles collectés par votre application (les Étiquettes nutritionnelles sont appliquées sur cette base).
- Déclarer les motifs pour lesquels vous accédez à certaines API, si votre application les utilise.
- Répertorier tous les domaines de tracking.
- Vérifier que tous les SDK tiers que vous utilisez sont signés.
Qu'est-ce que le manifeste de confidentialité ?
iOS 17 a introduit les manifestes de confidentialité, un mécanisme qui informe l'App Store des exigences de confidentialité de votre application. Il comprend les détails suivants :
- Des informations précisant si les données sont utilisées à des fins de suivi.
- Les domaines utilisés dans le cadre du tracking.
- Les motifs requis pour chaque API sensible répertoriée, le cas échéant.
- La liste des Étiquettes nutritionnelles de confidentialité utilisées par l'application.
Le manifeste de confidentialité s'applique à deux niveaux : l'application et le SDK (fichiers individuels pour les SDK tiers). Si un SDK tiers ne contient aucun fichier de manifeste de confidentialité, le développeur de l'application doit mettre à jour le manifeste de confidentialité au niveau de l'application pour inclure les détails des SDK tiers.
Le SDK Adjust contient un fichier de manifeste de confidentialité qui inclut les détails répertoriés plus haut. Le manifeste de confidentialité du SDK Adjust sera listé conjointement au manifeste de votre application pour donner un aperçu complet des exigences de confidentialité de votre application. Lorsque votre développeur soumet une version, l'App Store lit le manifeste combiné. Vous devez encore ajouter les Étiquettes nutritionnelles dans l'interface de soumission Apple. Le rapport généré par le manifeste de confidentialité vous aider à être plus efficace pour réaliser cette tâche.
Avant de commencer
Voici ce que vous devez savoir avant de commencer :
- Vous devez avoir intégré le SDK Adjust v4.38.0 (ou version supérieure). Cette version comprend les fichiers du manifeste de confidentialité requis.
- Les réponses que vous donnez dans App Store Connect doivent être précises et maintenues à jour.
- Vous devez identifier toutes les données collectées et utilisées pas seulement par le SDK Adjust, mais aussi par vous et d'autres sociétés tierces. Notamment les données collectées et utilisées uniquement dans des situations particulières ne tombant pas dans le cadre des descriptions données ici.
Vos réponses doivent respecter les App Store Review Guidelines et tous les règlements applicables.
1. Collecte de données par le SDK Adjust
Le SDK Adjust peut être configuré au niveau des données que vous envoyez et de la façon dont vous les utilisez. Vous pouvez choisir les données d'app auxquelles Adjust accède à travers la configuration et l'implémentation du SDK Adjust dans votre application. Même si le SDK collecte par défaut certaines données, vous pouvez toujours bloquer ou limiter l'envoi de ces données à Adjust ou envoyer davantage de détails correspondant à des catégories Apple exigeant une déclaration.
Par exemple : le SDK Adjust ne collecte PAS les « informations de contact » par défaut. Mais si votre application collecte des email addresses et envoie ces données à Adjust via des paramètres personnalisés, cela signifie qu'Adjust collecte ces informations de contact pour votre application.
La table suivante répertorie les données qu'Adjust collecte par défaut. Assurez-vous de les comparer avec votre configuration spécifique du SDK Adjust et avec vos pratiques de collecte des données.
Le SDK Adjust ne peut accéder à l’IDFA de l’appareil que si l’utilisateur accepte le pop-up de pré-autorisation ATT. Le SDK Adjust ne requiert pas le consentement ATT pour collecter l’IDFV de l’appareil. Pour plus d’informations, consultez la documentation d’Apple concernant la confidentialité des utilisateurs et l’utilisation des données.
| Types de données | Données collectées par Adjust ? |
|---|---|
Contact :
| Non |
Santé et bien-être
| Non |
Informations financières
| Non |
Informations de localisation
| Non |
| Informations sensibles | Non |
| Contacts | Non |
Contenu utilisateur
| Non |
| Historique de navigation | Non |
| Historique de recherche | Non |
Identifiants
| Oui, Adjust collecte les données de l’ID de l’appareil comme l’IDFA et l’IDFV en votre nom, à des fins de mesure, conformément aux consignes données par Apple. |
Achats
| Facultatif - Adjust peut collecter ces données pour votre compte, selon votre configuration. |
Utilisation des données
|
|
Diagnostics
| Non |
Autres données
| Oui, Adjust collecte ces données pour votre compte. Par exemple : métadonnées d'appareil, comme version d'OS et version du SDK Adjust. |
1.1 Données utilisées par Adjust
La table ci-dessous répertorie les finalités d'utilisation des données par Adjust.
| Finalité | Utilisation par Adjust |
|---|---|
| Publicités tierces | Facultatif - Adjust peut partager des données avec les entités affichant des publicités tierces dans votre application si vous configurez l'intégration.Cette valeur est définie sur « Oui » dans le manifeste de confidentialité Adjust, car Adjust prévoit que la plupart des clients configureront ce paramètre. |
| Publicité du développeur | Facultatif - Adjust peut partager des données avec vous ou d'autres entités affichant des publicités propriétaires dans votre application si vous configurez l'intégration. |
| Analytics | Oui |
| Personnalisation des produits | Facultatif - Adjust peut partager des données avec vous qui sont utilisées pour la personnalisation des produits, si vous choisissez d'exporter les données appropriées. |
| Fonctionnalité de l'application | Non |
| Autres finalités | Non |
1.2 Données liées à l'utilisateur
Adjust collecte et stocke les identifiants des appareils conformément aux politiques de Apple. Adjust utilise des identifiants hashés pour organiser les données d'analyse. Certaines fonctions de Adjust (comme Audience Builder) demandent la collecte et le stockage de l'IDFA sous une forme non hashée.
Si les consignes données par Apple le permettent, Adjust peut vous permettre d'associer les données collectées à un identifiant publicitaire ou à d'autres identifiants d'appareil. Les associations que vous établissez entre les données Adjust et des identifiants utilisateur uniques (ID utilisateur ou ID compte, par exemple) sont exclusivement le fait de vos pratiques et restent à votre discrétion.
2. Motifs requis pour les API
Apple a présenté un ensemble d'API qui requièrent une justification d'utilisation. Les applications et les SDK employant ces API sont tenus d'expliquer l'utilisation qu'ils comptent en faire dans la section « Required Reason API » du Manifeste de confidentialité. Ces API sont classés selon leurs fonctions et les données auxquelles elles accèdent, en accord avec rubriques spécifiées par Apple. Les API suivantes du SDK Adjust sont traitées dans le manifeste de confidentialité du SDK Adjust :
| API | Motif | Élaboration |
|---|---|---|
NSPrivacyAccessedAPICategoryFileTimestamp | C617.1 | Les API NSFileCreationDate et NSFileModificationDate pour déterminer la date d'installation de l'application. |
API par défaut des utilisateurs NSPrivacyAccessedAPICategoryUserDefaults | CA92.1 | Le SDK conserve les données nécessaires à son fonctionnement, par exemple le nombre de fois que l'application a été ouverte. |
3. Domaines de tracking
Apple bloquera tous les domaines déclarés si l'utilisateur ne donne pas son consentement via le framework ATT. Le SDK Adjust vérifie si l'utilisateur a donné son consentement via le framework ATT avant d'effectuer toute requête. Si c'est le cas, la requête est envoyée à un domaine de tracking. Dans le cas contraire, le SDK ignore les points de données exigeant le consentement de l'utilisateur, puis envoie la requête à un domaine distinct. Les domaines de tracking utilisés par Adjust sont spécifiés dans le fichier du manifeste de confidentialité du SDK Adjust.
4. Signature des SDK
Dans le cadre de la conformité, Apple exige que les SDK soient signés. La signature du SDK est une méthode que les développeurs d'applications utilisent pour garantir l'authenticité et l'intégrité des SDK tiers, comme le SDK Adjust, en confirmant qu'il s'agit de versions validées et non modifiées.
Le SDK Adjust contient les signatures nécessaires.
5. Configurer votre application
Si vous utilisez la dernière version du SDK Adjust, le manifeste de confidentialité est intégré par défaut dans le paquet du SDK.
Vous ne pouvez pas modifier le manifeste de confidentialité Adjust. Vous pouvez toutefois apporter des modifications au manifeste de confidentialité de votre application dans les cas suivants :
- L'étendue de la collecte des données réalisée par votre application va au-delà des fonctions simples de Adjust ou vous avez configuré le SDK Adjust pour collecter l'un des point de données spécifiés dans les politiques de Apple.
- Vous envoyez des données sensibles à d'autres domaines de tracking pour d'autres raisons.
- Vous accédez à d'autres API nécessitant un motif d'utilisation dans votre application.
N'ajoutez pas les domaines de tracking Adjust au fichier du manifeste de confidentialité de votre application si vous avez ajouté des points de données supplémentaires et/ou d'autres détails. Ces domaines sont déjà spécifiés dans le fichier du manifeste de confidentialité du SDK. Si vous utilisez d'autres domaines de tracking, vous devez les spécifier dans le fichier du manifeste de confidentialité de votre application.
Lorsque vous avez reçu le rapport du manifeste de confidentialité, vérifiez son exactitude et appliquez les étiquettes nutritionnelles dans l'interface de soumission.