Data Safety inexacte à cause des SDK tiers
Une application peut collecter des données sans que son développeur l'ait explicitement prévu, via des SDK tiers intégrés. Firebase, AdMob, Crashlytics : chaque dépendance a ses propres pratiques de collecte, qui doivent toutes être déclarées dans le formulaire Data Safety.
Pourquoi c'est bloquant
Un développeur qui intègre Firebase pour les notifications push, AdMob pour la monétisation et Crashlytics pour le suivi des erreurs a en réalité trois SDK qui collectent chacun des catégories de données différentes. Si la déclaration Data Safety ne couvre pas ces collectes, Google la considère comme frauduleuse.
Depuis fin 2024, Google effectue des vérifications automatisées qui croisent les SDK détectés dans le code de l'application avec leurs comportements documentés. Une incohérence déclenche un rejet de soumission, même pour une application déjà publiée soumettant une mise à jour.
Le problème est amplifié par les dépendances transitives : un SDK peut lui-même inclure un autre SDK. Il faut donc auditer non seulement les dépendances directes, mais aussi leurs propres dépendances pour avoir une image complète des données collectées.
Ce que je prends en charge
Inventaire complet des SDK intégrés à l'application
Analyse des données collectées par chaque dépendance (directe et transitive)
Correspondance avec les catégories du formulaire Data Safety
Correction et mise à jour de la déclaration dans la Play Console
Vérification de la cohérence avec la politique de confidentialité
Recommandations pour réduire la surface de collecte si nécessaire
Questions Fréquentes
Parlons de votre situation
Décrivez votre blocage, je vous reviens sous 24H avec un plan d'action.
