À l’occasion de la WWDC 2019, Apple a mis à jour les guidelines de l’App Store. Il y a plusieurs changements notables, dont plusieurs touchent à la confidentialité.
Comme elle l’avait soufflé au Wall Street Journal qui s’était ému que de nombreuses apps communiquent des données personnelles à diverses sociétés marketing, Apple serre la vis pour les apps destinées aux enfants.
Dès maintenant, toutes les nouvelles apps dédiées aux enfants n’ont plus le droit d’intégrer des logiciels publicitaires ou analytics de tierce partie ni d’envoyer des données à des tiers. Les applications existantes ont jusqu’au 3 septembre pour se conformer à ce changement (règles 1.3 et 5.1.4).
Les éditeurs qui font leur beurre avec la publicité dans les apps pour enfants vont donc devoir revoir en profondeur leur modèle économique.
Plus globalement, toutes les apps collectant des données, même anonymes, doivent obtenir le consentement de l’utilisateur (5.1.1(i)).
La règle 5.4 concernant les VPN indique maintenant que ces applications susceptibles de gérer des données sensibles n’ont pas le droit de vendre, d’utiliser ou de partager les données des utilisateurs à des tierces parties.
Apple introduit une nouvelle guideline, la 5.5, qui cadre l’utilisation des apps s’inscrivant dans une solution de gestion de flotte (MDM). Il s’agit pour Apple d’empêcher les débordements constatés chez Facebook ou Google en début d’année qui exploitaient cette solution pour distribuer largement des apps ne pouvant pas figurer dans l’App Store.
Cette règle indique également que, dans des cas limités, des entreprises peuvent utiliser le MDM pour des apps de contrôle parental. C’était une revendication de plusieurs éditeurs qui s’estimaient bafoués par Apple depuis le lancement de Temps d’écran, mais la formulation est trop floue pour qu’on mesure ses effets dès maintenant.
Enfin, Apple précise que les apps de jeux en streaming sont autorisées, à la condition que la machine hôte appartienne à l’utilisateur. C’est le cas de Steam Link et Shadow, tous les deux récemment approuvés, mais la règle 4.2.7 semble fermer la porte à Stadia et xCloud, les futurs services de Google et Microsoft qui tourneront dans le cloud. On sera fixé dans les prochains mois.
