Mémento de confidentialité pour les applications iOS

À partir du 1er mai 2024, Apple exige que toutes les applications iOS sur l'App Store incluent des Déclarations de confidentialité. Ces fichiers, appelés PrivacyInfo.xcprivacy, décrivent comment les applications et leurs dépendances gèrent les données des utilisateurs. Le non-respect de ces exigences peut entraîner le rejet ou la suppression de l'application. Voici ce que vous devez savoir :

• Qu'est-ce qu'une Déclaration de confidentialité ?
  Un fichier structuré qui documente :

  • Les données collectées par votre application et les SDK tiers.
  • Les API utilisées pour les données sensibles ou la traçabilité.
  • Domains accessés par l'application.

• Pourquoi cela compte-t-il ?

  • Assure la transparence dans les pratiques de données.
  • Conserve les étiquettes de confidentialité de l'App Store exactes.
  • Évite les retards ou les refus de la revue de l'application.

• Étapes de conformité clés :

  1. Utilisez Xcode 15 ou ultérieur pour créer et configurer le PrivacyInfo.xcprivacy fichier.
  2. Documentez toutes les API, les types de données et les domaines de suivi.
  3. Obtenez les manifestes de confidentialité auprès des fournisseurs tiers SDK.
  4. Vérifiez à l'aide du rapport de confidentialité d'Xcode.

• Délais :

  • 1er mai 2024 : La mise en œuvre a commencé.
  • Les applications doivent désormais inclure des manifestes de confidentialité pour être approuvées.

Les risques de non-conformité incluent le refus de l'App Store, les problèmes juridiques et la perte de confiance des utilisateurs. Les outils comme les scanners automatisés et les générateurs de confidentialité peuvent simplifier le processus. Restez proactif pour vous assurer que votre application répond aux normes de confidentialité d'Apple.

WWDC23 : Démarrer avec les manifestes de confidentialité | Apple

Règles de confidentialité d'Apple

Le manifeste de confidentialité d'Apple introduit une exigence de divulgation transparente de la collecte de données et de l'utilisation de API dans tous les composants des applications iOS.

Pour se conformer, les développeurs doivent inclure un PrivacyInfo.xcprivacy fichier qui décrit trois éléments critiques :

• Raison obligatoire API déclarationsUtilisation des API :
• Définissez clairement pourquoi des APIs spécifiques sont utilisées.Catégories d'utilisation des données
• Spécifiez les types de données collectés et comment ils sont utilisés.Documentation d'utilisation des domaines [3].

Détaillez les domaines accessibles par l'application

Délais de conformité

Ces dates mettent en évidence l'urgence pour les développeurs pour aligner leurs applications sur les nouvelles règles afin d'éviter les perturbations.

Risques de non-conformité

Le non-respect de ces lignes directrices peut entraîner des conséquences graves, notamment :

• Rejet immédiat de l'App Store: Les applications non conformes ne seront pas approuvées pour la distribution.
• Exposition juridique: Le non-déclaration des pratiques de données pourrait entraîner une action réglementaire.
• Dommages à l'image: Les utilisateurs peuvent perdre confiance dans les applications qui ne répondent pas aux normes de transparence. [2].

“Les applications utilisant des API spécifiques doivent déclarer leur utilisation prévue dans un fichier de manifeste de confidentialité, à compter du 1er mai 2024.” – Apple [6]

Pour les développeurs utilisant des solutions d'actualisation en ligne (OTA) comme Capgo, la conformité est particulièrement importante. Ces mécanismes d'actualisation, ainsi que les pratiques de gestion des données, doivent être explicitement documentés.

En outre, chaque SDK et framework intégré dans votre application doit inclure son propre manifeste de confidentialité, décrivant sa collecte de données et son API usage. Lors du processus de soumission de l'App Store, Xcode compilera ces manifestes individuels en un rapport de confidentialité unifié [3].

Outils et Configuration requises

Pour mettre en œuvre les manifestes de confidentialité dans vos applications iOS, vous devrez configurer votre environnement de développement avec les outils et les informations d'identification nécessaires. Ces étapes vous aideront à préparer la création d'une application conforme PrivacyInfo.xcprivacy fichier.

Exigences du système

Assurez-vous d'avoir installé et configuré les éléments suivants :

• Xcode 15 ou une version ultérieureCette est la version minimale qui prend en charge les manifestes de confidentialité [1].
  • Disponible sur l'App Store de Mac (version stable).
  • Les versions bêta peuvent être téléchargées depuis le portail des développeurs Apple [16].
• macOSUtilisez une version stable pour vous assurer de la compatibilité avec Xcode.

Informations de développeur

Pour travailler avec les manifestes de confidentialité et soumettre votre application à l'App Store, vous aurez besoin des informations suivantes :

Pour créer votre Informations sur la vie privée.xcprivacy ouvrir Xcode et accédez à Nouveau > Fichier > iOS > Ressources > Confidentialité de l'application [1]Placez ce fichier dans le répertoire racine des ressources de bundle de votre application pour vous assurer qu'il est reconnu lors du processus de construction.

À partir du printemps 2024, Apple exigera que toutes les applications soumises à App Store Connect incluent des raisons approuvées pour toute utilisation listée API [7].

Une fois que vos outils et vos informations d'identification sont prêts, vous pouvez passer à la création du fichier de manifeste de confidentialité directement dans Xcode.

Création d'un fichier de manifeste de confidentialité

La création d'un fichier de manifeste de confidentialité dans Xcode peut être simple avec les bonnes étapes et les bons outils. Voici comment vous pouvez le configurer et rationaliser le processus en utilisant l'automatisation.

Xcode Étapes de configuration

1. Créer un fichier de manifeste de confidentialité

   Ouvrez Xcode, naviguez vers Fichier > Nouveau > Fichier et sélectionnez « Fichier de confidentialité de l'application » dans la section Ressources. Assurez-vous que votre application est sélectionnée lors de ce processus [8].

2. Configurer les clés requises

   Ajoutez les clés suivantes à votre fichier créé récemment PrivacyInfo.xcprivacy fichier :

   Clé	Description	Valeur requise
   NSPrivacyTracking	Indique si l'application utilise les données pour le suivi	Booléen (vrai/faux)
   NSPrivacyTrackingDomains	Listes de domaines utilisés pour le suivi	Tableau de domaines
   NSPrivacyCollectedDataTypes	Types de données collectées	Tableau de dictionnaires
   NSPrivacyAccessedAPITypes	API détails d'accès	Tableau de dictionnaires

3. Valider la configuration

   Après avoir configuré le fichier, vérifiez votre configuration en générant un rapport de confidentialité dans Xcode. Pour ce faire :

   • Créez un archive en allant à Produit > Archive.
   • Cliquez avec le bouton droit sur l'archive générée.
   • Sélectionner Générer le Rapport de Confidentialité [8].

L'utilisation d'outils d'automatisation peut aider à réduire les tâches répétitives et à garantir la cohérence.

Méthodes d'Automatisation

Privado.ai Intégration
Le générateur de manifeste de confidentialité de Privado, introduit en juin 2024, simplifie le processus en automatisant la code et la génération du rapport. Cette outil :

• Scanne vos code et vos dépendances SDK.
• Cartographie les pratiques de collecte de données.
• Remplit automatiquement les rapports de confidentialité.
• Liaison directe des réponses aux sections correspondantes de votre source code [10].

App Privacy Manifest Fixer
Lancé en avril 2025, cet outil utilise des scripts shell pour :

• Analyser votre manifest et résoudre automatiquement les problèmes de conformité.
• Intégrer de manière fluide avec vos processus de construction existants.
• Supporter des modèles personnalisés pour différents types de projets [11].

Pour des résultats cohérents, incluez ces outils dans votre répertoire de projet. Cela garantit une génération manifeste lisse à travers votre équipe et vos pipelines CI/CD.

Lors de l'utilisation des mises à jour en ligne à travers des plateformes comme Capgoassurez-vous que votre manifeste de confidentialité reflète toute collecte de données ou API liée à la fonctionnalité de mise à jour. Maintenir la transparence ici est essentiel pour rester conforme aux exigences de la boutique d'applications tout en bénéficiant des fonctionnalités de mise à jour modernes.

Collecte de données et documentation de API

Once you’ve built your manifest file in Xcode, the next step is documenting your app’s API usage and data collection practices. This is essential not only to meet Apple’s compliance requirements but also to establish trust with your users.

API Documentation d'utilisation

Votre Fichier PrivacyInfo.xcprivacy Votre fichier doit lister toutes les API qui accèdent à des informations sensibles. Lors de la documentation de l'utilisation de API dans votre manifeste de confidentialité, incluez les deux catégories API et les raisons approuvées pour leur utilisation.

Voici un aperçu rapide de ce qui doit être documenté :

Ce niveau de détail garantit une connexion fluide entre votre fichier de manifeste et vos pratiques de collecte de données.

« Vous êtes responsable de tous les code inclus dans vos applications, conformément aux directives de revue de l'App Store. Cela inclut toutes les pratiques de collecte et de suivi de données. » - Tony, Ingénieur en confidentialité, Apple [5]

Lors de la mise en œuvre de mises à jour en ligne, veillez particulièrement à déclarations d'espace disque APIPar exemple, la version 10.24.0 d'Analytics Firebase a résolu les erreurs ITMS-91053 en avril 2024 en s'attaquant aux problèmes liés à NSPrivacyAccessedAPICategoryEspaceDisque et NSPrivacyAccessedAPICategoryUserDefaults [12].

Types de données et catégories

Votre manifeste de confidentialité doit décrire clairement tous les types de données collectés et les catégoriser en conséquence. En particulier, vous devez documenter les éléments suivants :

• Si les données sont liées à l'identité de l'utilisateur.
• Si les données sont utilisées à des fins de suivi.
• Si les deux s'appliquent, spécifiez la finalité approuvée de la liste prédéfinie d'Apple.

Pour les applications utilisant des SDK tiers, assurez-vous que chaque SDK inclut son propre manifeste de confidentialité. Par exemple, Persona SDK v2.18.0+ déclare automatiquement les types de données suivants :

• Localisation grossière (par exemple, adresse IP)
• ID de l'appareil (identification au niveau de l'appareil)
• ID de l'utilisateur (identification au niveau du compte)
• données de diagnostic (par exemple, journaux d'erreurs)
• interaction avec le produit (par exemple, événements de flux)

Pour rester conforme, effectuez régulièrement des audits de votre codebase pour identifier les APIs qui nécessitent inclusion dans votre Manifeste de confidentialité [13]. Cette sorte de revue proactive peut aider à éviter les retards de soumission et maintenir votre application alignée sur les normes de confidentialité d'Apple en évolution.

Gestion des tiers SDK

Les SDKs tiers doivent s'aligner sur les normes du Manifeste de confidentialité d'Apple pour se conformer aux réglementations et maintenir la confiance des utilisateurs. Ces normes, discutées précédemment, sont également importantes pour les SDKs tiers. Vous trouverez ci-dessous des détails sur la gestion des mises à jour OTA dans les applications Capacitor et l'assurance de la conformité à SDK.

Capacitor et Mises à jour OTA

Lors de l'utilisation des mises à jour en ligne (OTA) dans les applications Capacitor, il est crucial de configurer votre manifeste de confidentialité avec précision. Pour les applications qui utilisent des solutions de mise à jour en direct, vous devez déclarer l'utilisation spécifique de API dans le manifeste de confidentialité :

Capgo simplifie ce processus en intégrant la conformité du manifeste de confidentialité dans son système d'actualisation OTA. Il déclare automatiquement les API et l'accès aux données requis, vous assurant que votre application reste conforme tout en bénéficiant de mises à jour en temps réel.

Explorons maintenant les étapes clés pour vérifier la conformité de SDK.

Conformité de SDK

Après avoir traité les déclarations d'actualisation OTA, il est essentiel de s'assurer que tous les SDK intégrés répondent aux normes nécessaires. Avec 88 % des organisations utilisant des milliers d'applications cloud [16]des contrôles de conformité de SDK robustes sont obligatoires.

• Scanning Automatisé
  Utilisez des outils comme Ostorlab.co pour scanner le fichier IPA de votre application [1]. Cela complète les informations fournies par votre rapport de confidentialité Xcode, offrant une analyse approfondie de la conformité de votre application.

• Gestion de version
  Si un SDK n'a pas de manifeste de confidentialité, vous devrez déclarer manuellement son utilisation des données dans votre application PrivacyInfo.xcprivacy fichier [14]Cela garantit la transparence et le respect des lignes directrices d'Apple.

• Mise en œuvre de la sécurité
  Les SDK mal gérés peuvent entraîner des conséquences importantes. Par exemple, Tilting Point Media a reçu un règlement de 500 000 $ le 18 juin 2024, pour des infractions à la CCPA et à la COPPA en raison de configurations de SDK incorrectes [15]Pour éviter des pièges similaires :

  • Chiffrer les données sensibles avant qu'elles soient traitées par les SDK.
  • Appliquer les principes de droits minimum pour limiter les permissions non nécessaires.
  • Surveiller en permanence l'utilisation de SDK dans votre application.
  • Effectuer des audits réguliers des politiques de SDK pour vous assurer qu'elles restent conformes.

Procédure de Test et de Soumission

Avant de soumettre votre application, vous devrez tester votre mise en œuvre de la déclaration de confidentialité en suivant les procédures requises par Apple, en vigueur à partir du 1er mai 2024 [9].

Rapport de Confidentialité Xcode

Une fois que vous avez configuré votre déclaration de confidentialité, la prochaine étape consiste à tester son exactitude. En utilisant Xcode 15, archivez votre projet et générez un Rapport de Confidentialité [8]. Ce rapport fournit un aperçu des types de données déclarés de votre application, des pratiques SDK et des utilisations API de vos données, ainsi que des domaines de suivi.

“Xcode 15 peut rassembler tous les manuels de confidentialité de votre projet d'application et produire un rapport de confidentialité qui résume les utilisations de données déclarées… Cela vous aide à passer en revue, à comprendre et à décrire les pratiques de confidentialité de votre application et de ses dépendances.” - Tony, Ingénieur de la confidentialité, Apple [5]

Pour une validation supplémentaire, vous pouvez utiliser l'instrument des points d'intérêt dans Xcode 15 pour détecter toute connexion à des domaines de suivi [5].

Exigences de Soumission

Après avoir examiné le Rapport de Confidentialité, assurez-vous que les composants clés suivants sont prêts à la soumission :

Étapes importantes à vérifier :

• Lier le manifeste de confidentialité à votre cible d'application [17].
• Veuillez confirmer que les kits de développement logiciel tiers incluent leurs ensembles de confidentialité [17].
• Déclarer et documenter avec précision tous les domaines de suivi [5].

“Vérifiez que le manifeste de confidentialité correspond à votre compréhension de la fonctionnalité de la troisième partie SDK.” - Tony, Ingénieur de la confidentialité chez Apple [5]

Pour un exemple concret, prenez l'équipe CodeWithChris. En octobre 2023, ils ont réussi à mettre en œuvre les exigences de confidentialité d'Apple tout en développant leur application de suivi de l'humeur. Ils ont fait confiance au rapport de confidentialité d'Xcode pour s'assurer que chaque aspect de leur application répondait aux nouveaux standards d'Apple avant la soumission. [18].

Mises à jour et Maintenance

Mettre à jour votre manifeste de confidentialité est aussi important que de maintenir votre codebase d'application. politiques de confidentialité Mettre à jour régulièrement garantit le respect des normes et simplifie le processus d'approbation.

Suivi de la mise à jour de la politique

Le respect des politiques de confidentialité d'Apple est crucial pour maintenir la conformité à l'App Store. Depuis la date limite de mise en œuvre du 1er mai 2024, les développeurs doivent garder un œil attentif aux modifications des réglementations de confidentialité et API spécifications.

Par exemple, InMobiLa version 10.7.2 de SDK incluait un manifeste de confidentialité détaillé, qui constitue un exemple fort de documentation tiers [4].

“Les développeurs sont responsables de tous les code inclus dans leurs applications” - Apple [4]

Contrôle de version

La gestion systématique des versions est essentielle pour s'assurer de la conformité à long terme aux exigences en évolution d'Apple. Cette étape s'appuie sur les mesures précédentes, aidant les développeurs à maintenir la cohérence et la responsabilité.

• Vérification Automatisée
  Les vérifications automatiques peuvent améliorer les taux de réussite des déploiements en identifiant les problèmes de conformité en temps réel. Elles permettent également des retours en arrière rapides si des problèmes surgissent, réduisant ainsi les temps d'arrêt.

• SDK Integration Tracking
  Conservez un journal détaillé des versions SDK et de leurs manifestes de confidentialité associés. Par exemple, l'équipe mobile de Spotify a réduit les plantages d'application de 15 % en 30 jours grâce à un suivi précis des SDK et à des correctifs ciblés en août 2024 [20].

• Gestion des Changements
  Documentez soigneusement chaque modification :

  • Enregistrez les raisons des mises à jour
  • Notez les APIs et les types de données affectés
  • Maintenez un journal de modifications pour simplifier les examens de conformité

L'utilisation de outils de contrôle de version avec des capacités de build et de gestion de version automatisées peut rendre ce processus plus fluide. Par exemple, le système de versionnage d'Appcircle permet aux développeurs de gérer les numéros de build et de suivre les versions à l'aide de variables d'environnement ou d'intégration XcodeRésumé et Ressources [20].

Conformité aux normes de confidentialité d'Apple nécessite une attention continue et les bons outils. La gestion d'un Manifeste de confidentialité n'est pas une tâche à accomplir une fois pour toute - elle exige de l'exactitude et des mises à jour régulières. Des découvertes récentes révèlent que de nombreux développeurs sont encore en deçà de la conformité

Voici quelques outils et ressources essentiels pour faciliter la mise en œuvre : [1].

Type de ressource

Ces outils simplifient le processus de maintien de la conformité, en particulier lorsqu'il s'agit de la validation et de la documentation. Les développeurs peuvent également explorer des solutions automatisées pour la gestion des manifestes de confidentialité. Par exemple, Capgo fournit une mise à jour en temps réel pour les applications Capacitor, permettant des mises à jour rapides tout en respectant les exigences de l'App Store.

À partir du printemps 2024, Apple exigera que les applications résolvent toutes les questions de manifeste de confidentialité et de raisons requises API avant qu'elles ne puissent être soumises ou mises à jour sur l'App Store. [5]Pour rester en tête, les développeurs devraient :

• Collecter les manifestes de confidentialité auprès des fournisseurs de services de SDK tiers.
• Documenter tous les domaines de suivi et les utilisations de raisons requises API.
• Valider régulièrement les manifestes à l'aide du rapport de confidentialité Xcode.
• Tenir un registre détaillé des pratiques de collecte de données.

Pour obtenir plus d'informations, ces ressources sont incontournables :

• Site Web du développeur AppleAccédez aux mises à jour sur les exigences de confidentialité et aux changements de politique [19].
• App Store ConnectVérifiez les lignes directrices et les exigences de soumission [19].
• WWDC VideosRegardez les sessions techniques pour des informations sur la confidentialité [21].

FAQs

::: faq

Qu'arrive-t-il si les développeurs d'applications iOS ne respectent pas les exigences du manifeste de confidentialité d'Apple d'avant le 1er mai 2024 ?

Le fait de ne pas respecter les exigences du manifeste de confidentialité d'Apple avant le 1er mai 2024 pourrait avoir des conséquences sérieuses pour les développeurs d'applications iOS. Votre application pourrait faire face à un refus lors du processus de revue de l'App Store, perdre certaines fonctionnalités ou même être retirée de la boutique entièrement. Au-delà de cela, le non-respect pourrait soumettre les soumissions d'applications futures à

des conséquences une plus grande attention, ce qui peut retarder les temps d'approbation. Ces retards n'affectent pas seulement la disponibilité de votre application - ils peuvent également éroder la confiance des utilisateurs et diminuer la présence de votre application sur le marché. Restez à la tête de la deadline pour vous assurer que votre application reste conforme et accessible à votre public.

::: FAQ

Comment les développeurs peuvent-ils s'assurer que les SDK tiers dans leurs applications iOS répondent aux exigences de la déclaration de confidentialité d'Apple ?

Pour répondre aux exigences d'Apple Déclaration de confidentialité exigences, les développeurs doivent inclure un PrivacyInfo.xcprivacy fichier dans leur application ou SDK. Ce fichier doit clairement détailler les types de données collectées et expliquer l'objectif derrière l'utilisation d'API spécifiques. De plus, les développeurs devraient confirmer si les SDK tiers sur lesquels ils s'appuient répondent aux lignes directrices d'Apple pour exiger un manifeste de confidentialité et une signature.

À partir du 1er mai 2024, chaque application soumise sur l'App Store doit se conformer à ces règles. Il est important que les développeurs travaillent étroitement avec leurs fournisseurs SDK pour s'assurer d'une mise en œuvre précise des pratiques de données, ce qui facilite l'alignement sur le manifeste de confidentialité de l'application. Suivre ces étapes n'aide non seulement à éviter les rejets de l'App Store, mais elle favorise également la confiance des utilisateurs en promouvant la transparence dans la gestion des données.

::: FAQ

Comment les développeurs peuvent-ils créer et maintenir un manifeste de confidentialité pour leurs applications iOS afin de se conformer aux politiques d'Apple ?

Les développeurs travaillant sur des applications iOS peuvent créer et gérer un manifeste de confidentialité en respectant les lignes directrices d'Apple et en utilisant les outils disponibles. La documentation officielle d'Apple fournit des instructions détaillées sur la mise en place d'un fichier PrivacyInfo.xcprivacy

To streamline compliance, tools such as mobile app consent software can help manage SDKs and ensure proper user consent is obtained. These tools make it easier to stay aligned with Apple’s data-sharing policies while fostering transparency with users. For developers using Capacitor apps, platforms like Capgo offer real-time update capabilities while maintaining compliance with privacy requirements. :::