Cette page présente les principales informations de sécurité et de confidentialité de Firebase. Que vous cherchiez à lancer un nouveau projet avec Firebase ou que vous soyez curieux de savoir comment Firebase fonctionne avec votre projet existant, lisez la suite pour voir comment Firebase peut vous aider à vous protéger, vous et vos utilisateurs.
Dernière modification : 25 juillet 2023
Protection des données
Prise en charge de Firebase pour le RGPD et le CCPA
Le 25 mai 2018, le règlement général sur la protection des données (RGPD) de l'UE a remplacé la directive européenne sur la protection des données de 1995. Le 1er janvier 2020, le California Consumer Privacy Act (CCPA) est entré en vigueur. Le 1er janvier 2023, le California Privacy Rights Act (CPRA), qui est une loi sur la confidentialité des données qui modifie et étend le CCPA, est entré en vigueur. Google s'engage à aider ses clients à réussir dans le cadre de ces règles de confidentialité, qu'il s'agisse de grands éditeurs de logiciels ou de développeurs indépendants.
Le RGPD impose des obligations aux contrôleurs de données et aux sous-traitants, et le CCPA/CPRA impose des obligations aux entreprises et à leurs prestataires de services. Les clients de Firebase agissent généralement en tant que "contrôleur de données" (RGPD) ou "entreprise" (CCPA/CPRA) pour toutes les données ou informations personnelles sur leurs utilisateurs finaux qu'ils fournissent à Google dans le cadre de leur utilisation de Firebase, et Google agit généralement en tant que "processeur de données" (RGPD) ou "fournisseur de services" (CCPA/CPRA).
Cela signifie que les données sont sous le contrôle du client. Les clients sont responsables d'obligations telles que le respect des droits d'un individu en ce qui concerne leurs données ou informations personnelles.
Conditions de traitement et de sécurité des données Firebase
Lorsque les clients utilisent Firebase, Google est généralement un processeur de données en vertu du RGPD et traite les données personnelles en leur nom. De même, lorsque les clients utilisent Firebase, Google agit généralement en tant que fournisseur de services en vertu du CCPA/CPRA et traite les informations personnelles en leur nom. Les conditions de Firebase incluent les conditions de traitement des données et de sécurité détaillant ces responsabilités.
Certains services Firebase régis par les conditions d'utilisation de Google Cloud Platform (GCP) sont déjà couverts par les conditions de traitement des données associées, l' addendum sur le traitement des données dans le cloud . Une liste complète des services Firebase actuellement régis par les conditions d'utilisation de GCP est disponible dans les conditions d'utilisation des services Firebase .
Google Analytics est un service distinct qui peut être utilisé avec Firebase et est soumis à des conditions distinctes .
Firebase est certifié selon les principales normes de confidentialité et de sécurité
Conformité ISO et SOC
Tous les services Firebase (à l'exception de l'indexation des applications) ont réussi le processus d'évaluation ISO 27001 et SOC 1 , SOC 2 et SOC 3 , et certains ont également terminé le processus de certification ISO 27017 et ISO 27018 . Les rapports de conformité et les certificats pour les services Firebase régis par les conditions d'utilisation de GCP peuvent être demandés via le gestionnaire de rapports de conformité .
| Nom du service | ISO 27001 | ISO 27017 | ISO 27018 | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|---|---|---|
| Firebase ML | ||||||
| Laboratoire de test Firebase | ||||||
| Cloud Firestore | ||||||
| Fonctions cloud pour Firebase | ||||||
| Stockage en nuage pour Firebase | ||||||
| Authentification Firebase | ||||||
| Firebase Crashlytics | ||||||
| Vérification de l'application Firebase | ||||||
| Distribution d'applications Firebase | ||||||
| Messagerie intégrée à l'application Firebase | ||||||
| Messagerie cloud Firebase | ||||||
| Surveillance des performances de Firebase | ||||||
| Hébergement Firebase | ||||||
| Liens dynamiques Firebase | ||||||
| Configuration à distance de Firebase | ||||||
| Base de données en temps réel Firebase | ||||||
| Plate-forme Firebase | ||||||
| Test A/B Firebase |
Transferts internationaux de données
Les cadres de protection de la vie privée ont fourni un mécanisme pour se conformer aux exigences de protection des données lors du transfert de données personnelles de l'EEE, du Royaume-Uni ou de la Suisse vers les États-Unis et au-delà. À la lumière de la décision de la Cour de justice de l'Union européenne sur les transferts de données, invalidant le bouclier de protection des données UE-États-Unis, Firebase a décidé de s'appuyer sur des clauses contractuelles types pour les transferts de données pertinents, qui, conformément à la décision, peuvent continuer à être un mécanisme juridique valide pour transférer des données dans le cadre du RGPD. La Commission européenne a approuvé de nouvelles versions des clauses contractuelles types le 4 juin 2021, que nous intégrons dans nos contrats avec les clients Firebase pour les transferts de données pertinents.
Nous nous engageons à disposer d'une base légale pour les transferts de données conformément aux lois applicables en matière de protection des données.
Informations sur le traitement des données
Exemples de données d'utilisateur final traitées par Firebase
Certains services Firebase traitent les données de vos utilisateurs finaux pour fournir leur service. Le tableau ci-dessous présente des exemples de la manière dont divers services Firebase utilisent et gèrent les données des utilisateurs finaux susceptibles de les identifier. En outre, de nombreux services Firebase offrent la possibilité de demander la suppression de données spécifiques ou de contrôler la manière dont les données sont traitées.
| Service Firebase | Données de l'utilisateur final | Comment les données aident à fournir le service |
|---|---|---|
| Fonctions cloud pour Firebase |
| Utilité : Cloud Functions utilise des adresses IP pour exécuter des fonctions de gestion d'événements et des fonctions HTTP basées sur les actions de l'utilisateur final. Rétention : les fonctions cloud enregistrent uniquement les adresses IP temporairement, pour fournir le service. |
| Authentification Firebase |
| Utilité : Firebase Authentication utilise les données pour activer l'authentification de l'utilisateur final et faciliter la gestion du compte de l'utilisateur final. Il utilise également des chaînes d'agent utilisateur et des adresses IP pour fournir une sécurité supplémentaire et empêcher les abus lors de l'inscription et de l'authentification. Conservation : Firebase Authentication conserve les adresses IP enregistrées pendant quelques semaines. Il conserve d'autres informations d'authentification jusqu'à ce que le client Firebase initie la suppression de l'utilisateur associé, après quoi les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours. |
| Vérification de l'application Firebase |
| Utilité : Firebase App Check utilise le matériel d'attestation requis par le fournisseur d'attestation correspondant et reçu des appareils de l'utilisateur final pour aider à établir l'intégrité de l'appareil et/ou de l'application. Les documents d'attestation sont envoyés au fournisseur d'attestation correspondant pour validation en fonction de la configuration du développeur. Les jetons App Check obtenus à partir d'attestations réussies sont envoyés avec chaque demande aux services Firebase pris en charge pour accéder aux ressources protégées par App Check. Conservation : le matériel d'attestation n'est pas conservé par App Check, mais lorsqu'il est envoyé à des fournisseurs d'attestation, il est soumis aux conditions de ces fournisseurs d'attestation. Les jetons App Check renvoyés par des attestations réussies sont valides pendant toute leur durée TTL, qui ne peut pas dépasser 7 jours. Pour les développeurs qui utilisent des fonctionnalités de protection contre la relecture, App Check stocke les jetons App Check utilisés avec ces fonctionnalités pendant 30 jours maximum. Les autres jetons App Check non utilisés avec les fonctionnalités de protection contre la relecture ne sont pas conservés par les services Firebase. |
| Distribution d'applications Firebase |
| Utilité : Firebase App Distribution utilise les données pour distribuer les versions d'applications aux testeurs, surveiller l'activité des testeurs, activer les fonctionnalités des testeurs comme les commentaires dans l'application et associer les données aux appareils testeurs. Conservation : Firebase App Distribution conserve les informations de l'utilisateur jusqu'à ce que le client Firebase demande sa suppression, après quoi les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours. |
| Messagerie cloud Firebase |
| Utilité : Firebase Cloud Messaging utilise les ID d'installation de Firebase pour déterminer les appareils auxquels envoyer les messages. Conservation : Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase effectue un appel d'API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours. |
| Firebase Crashlytics |
| Utilité : Firebase Crashlytics utilise les traces de la pile de plantages pour associer les plantages à un projet, envoyer des alertes par e-mail aux membres du projet et les afficher dans la console Firebase, et aider les clients Firebase à déboguer les plantages. Il utilise les UUID d'installation Crashlytics pour mesurer le nombre d'utilisateurs touchés par un plantage et les données minidump pour traiter les plantages NDK. Les données du minidump sont stockées pendant le traitement de la session de plantage, puis supprimées. L'ID d'installation Firebase active les fonctionnalités à venir qui amélioreront les services de rapport et de gestion des plantages. Reportez-vous à la section Exemples d'informations stockées sur l'appareil pour plus de détails sur les types d'informations utilisateur collectées. Conservation : Firebase Crashlytics conserve les traces de la pile d'incidents, les données minidump extraites et les identifiants associés (y compris les UUID d'installation Crashlytics et les ID d'installation Firebase) pendant 90 jours avant de commencer le processus de suppression des systèmes en direct et de sauvegarde. |
| Liens dynamiques Firebase |
| Utilité : Dynamic Links utilise les spécifications de l'appareil et les adresses IP sur iOS pour ouvrir les applications nouvellement installées sur une page ou un contexte spécifique. Rétention : Dynamic Links ne stocke que temporairement les spécifications de l'appareil et les adresses IP, pour fournir le service. |
| Hébergement Firebase |
| Utilité : l'hébergement utilise les adresses IP des demandes entrantes pour détecter les abus et fournir aux clients une analyse détaillée des données d'utilisation. Conservation : l'hébergement conserve les données IP pendant quelques mois. |
| Surveillance des performances de Firebase |
| Utilité : la surveillance des performances utilise les ID d'installation Firebase pour calculer le nombre d'installations Firebase uniques qui accèdent aux ressources réseau, afin de garantir que les modèles d'accès sont suffisamment anonymes. Il utilise également les ID d'installation Firebase avec Firebase Remote Config pour gérer le taux de rapports d'événements de performance. De plus, il utilise des adresses IP pour mapper les événements de performance aux pays d'où ils proviennent. Pour plus d'informations, voir Collecte de données . Rétention : la surveillance des performances conserve les événements associés à l'adresse IP pendant 30 jours et conserve les données de performances associées à l'installation et anonymisées pendant 90 jours avant de commencer le processus de suppression des systèmes en direct et de sauvegarde. |
| Messagerie intégrée à l'application Firebase |
| Utilité : Firebase In-App Messaging utilise les identifiants d'installation de Firebase pour déterminer les appareils auxquels envoyer les messages. Conservation : Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase effectue un appel d'API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours. |
| Base de données en temps réel Firebase |
| Utilité : Realtime Database utilise des adresses IP et des agents utilisateurs pour activer l' outil de profilage , qui aide les clients Firebase à comprendre les tendances d'utilisation et les pannes de plate-forme. Rétention : la base de données en temps réel conserve les adresses IP et les informations sur l'agent utilisateur pendant quelques jours, à moins qu'un client ne choisisse de les conserver plus longtemps. |
| Configuration à distance de Firebase |
| Utilité : Remote Config utilise les ID d'installation Firebase pour sélectionner les valeurs de configuration à renvoyer aux appareils des utilisateurs finaux. Conservation : Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase effectue un appel d'API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours. |
| Firebase ML |
| Utilité : les API basées sur le cloud stockent temporairement les images téléchargées, pour traiter et vous renvoyer l'analyse. Les images stockées sont généralement supprimées en quelques heures. Consultez la FAQ sur l'utilisation des données Cloud Vision pour plus d'informations. les jetons d'authentification d'installation sont utilisés par Firebase ML pour l'authentification de l'appareil lors de l'interaction avec les instances d'application, par exemple, pour distribuer des modèles de développeur aux instances d'application. Rétention : les jetons d'authentification d'installation restent valides jusqu'à leur date d'expiration. La durée de vie par défaut du jeton est d'une semaine. |
Exemples d'informations collectées par Crashlytics
- Un UUID RFC-4122 qui nous permet de dédupliquer les plantages
- L'UUID d'installation de Crashlytics
- L'ID d'installation Firebase (FID)
- L'ID de session Firebase, qui est un UUID aléatoire généré pour marquer les événements avec une session
- L'horodatage du crash
- L'identifiant du bundle de l'application et le numéro de version complet
- Nom et numéro de version du système d'exploitation de l'appareil
- Un booléen indiquant si l'appareil a été jailbreaké/enraciné
- Le nom du modèle de l'appareil, l'architecture du processeur, la quantité de RAM et d'espace disque
- Le pointeur d'instruction uint64 de chaque trame de chaque thread en cours d'exécution
- Si disponible dans le runtime, la méthode en texte brut ou le nom de la fonction contenant chaque pointeur d'instruction.
- Si une exception a été levée, le nom de la classe en texte brut et la valeur du message de l'exception
- Si un signal fatal a été déclenché, son nom et son code entier
- Pour chaque image binaire chargée dans l'application, son nom, son UUID, sa taille en octets et l'adresse de base uint64 à laquelle elle a été chargée dans la RAM
- Un booléen indiquant si l'application était ou non en arrière-plan au moment où elle s'est écrasée
- Une valeur entière indiquant la rotation de l'écran au moment du crash
- Un booléen indiquant si le capteur de proximité de l'appareil a été déclenché
- Le contenu de
version-control-info.textproto(uniquement pour les applications Android configurées pour utiliser l'intégration du système de contrôle de version (VCS) )
Exemples d'informations collectées par Performance Monitoring
- L'ID d'installation Firebase (FID)
- L'ID de session Firebase, qui est un UUID aléatoire généré pour marquer les événements avec une session
- Informations générales sur l'appareil, telles que le modèle, le système d'exploitation et l'orientation
- RAM et taille du disque
- l'utilisation du processeur
- Opérateur (basé sur le pays mobile et le code de réseau)
- Informations radio/réseau (par exemple, WiFi, LTE, 3G)
- Pays (basé sur l'adresse IP)
- Paramètres régionaux/langue
- Version de l'application
- État de premier plan ou d'arrière-plan de l'application
- Nom du package d'application
- ID d'installation Firebase
- Durées des traces automatisées
- URL du réseau (sans compter les paramètres d'URL ou le contenu de la charge utile) et les informations correspondantes suivantes :
- Codes de réponse (par exemple, 403, 200)
- Taille de la charge utile en octets
- Temps de réponse
Consultez la liste complète des traces automatiques collectées par Performance Monitoring.
Guides pour activer l'opt-in pour le traitement des données de l'utilisateur final
Les services du tableau ci-dessus nécessitent une certaine quantité de données d'utilisateur final pour fonctionner. Par conséquent, il n'est pas possible de désactiver entièrement la collecte de données lors de l'utilisation de ces services.
Si vous êtes un client qui souhaite offrir aux utilisateurs la possibilité de s'inscrire à un service et à la collecte de données qui l'accompagne, dans la plupart des cas, il suffit d'ajouter une boîte de dialogue ou de basculer les paramètres avant d'utiliser le service.
Certains services, cependant, démarrent automatiquement lorsqu'ils sont inclus dans une application. Pour donner aux utilisateurs la possibilité de s'inscrire avant d'utiliser ces services, vous pouvez choisir de désactiver l'initialisation automatique pour chaque service et de les initialiser manuellement au moment de l'exécution. Pour savoir comment, lisez les guides ci-dessous :
- Messagerie cloud : Empêcher l'initialisation automatique (Android) ou Empêcher l'initialisation automatique (iOS+)
- Crashlytics : Activer les rapports opt-in (iOS+) ou Activer les rapports opt-in (Android)
- Surveillance des performances : activer la surveillance de l'activation
Si vous intégrez Firebase à Google Analytics, découvrez comment configurer la collecte de données Analytics .
Lieux de stockage et de traitement des données
À moins qu'un service ou une fonctionnalité ne propose une sélection de l'emplacement des données, Firebase peut traiter et stocker vos données partout où Google ou ses agents disposent d'installations. Les emplacements potentiels des installations varient selon le service.
Services uniquement aux États-Unis
Le service Firebase Authentication est exécuté uniquement à partir de centres de données américains. Par conséquent, Firebase Authentication traite les données exclusivement aux États-Unis.
Prestations mondiales
La majorité des services Firebase fonctionnent sur l'infrastructure mondiale de Google. Ils pourraient traiter des données à n'importe quel endroit de Google Cloud Platform ou dans n'importe quel centre de données Google . Pour certains services, vous pouvez effectuer une sélection d'emplacement de données spécifique qui limite le traitement à cet emplacement.
- Stockage en nuage pour Firebase
- Cloud Firestore
- Fonctions cloud pour Firebase
- Hébergement Firebase
- Firebase Crashlytics
- Surveillance des performances de Firebase
- Liens dynamiques Firebase
- Configuration à distance de Firebase
- Messagerie cloud Firebase
- Firebase ML
- Laboratoire de test Firebase
- Vérification de l'application Firebase
Information de sécurité
Cryptage des données
Les services Firebase chiffrent les données en transit à l'aide de HTTPS et isolent logiquement les données des clients.
De plus, plusieurs services Firebase chiffrent également leurs données au repos :
- Cloud Firestore
- Fonctions cloud pour Firebase
- Stockage en nuage pour Firebase
- Firebase Crashlytics
- Authentification Firebase
- Messagerie cloud Firebase
- Base de données en temps réel Firebase
- Laboratoire de test Firebase
- Vérification de l'application Firebase
- Surveillance des performances de Firebase
Pratiques de sécurité
Pour protéger les données personnelles, Firebase utilise des mesures de sécurité étendues pour minimiser l'accès :
- Firebase limite l'accès à certains employés dont l'objectif commercial est d'accéder aux données personnelles.
- Firebase enregistre l'accès des employés aux systèmes contenant des données personnelles.
- Firebase n'autorise l'accès aux données personnelles qu'aux employés qui se connectent avec Google Sign-In et l'authentification à 2 facteurs .
Données du service Firebase
Les données de service Firebase sont des informations personnelles que Google collecte et génère lors de la fourniture et de l'administration des services Firebase * , à l'exclusion des données client ** telles que définies dans nos contrats client couvrant les services Firebase et les données de service Google Cloud . Des exemples de données de service Firebase incluent des informations sur l'utilisation du service, des identifiants de ressources tels que les identifiants d'application et les noms de package/identifiants de groupe, les détails techniques et opérationnels d'utilisation tels que les adresses IP et les communications directes avec les développeurs à partir des commentaires et des conversations liées à l'assistance.
*Les services couverts incluent Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Remote Config et Firebase User Segmentation Storage.
**Pour plus d'informations sur la façon dont nous traitons les données client, consultez nos conditions de traitement et de sécurité des données Firebase .
Exemples de traitement des données de service Firebase par Firebase
Google utilise les données du service Firebase conformément à notre politique de confidentialité et aux conditions applicables. Les données de service Firebase sont utilisées, par exemple, pour :
- Fournir les services Firebase que vous demandez
- Faire des recommandations pour optimiser l'utilisation des services Firebase
- Maintenir et améliorer les services Firebase
- Fournir et améliorer les autres services que vous demandez
- Comprendre votre utilisation de Firebase et des autres services Google
- Mieux vous accompagner et communiquer avec vous
- Protégez-vous, nos utilisateurs, le public et Google
- Respecter les obligations légales
Utilisation des données du service Firebase par des services Google autres que Firebase
Vous pouvez contrôler si vos données de service Firebase peuvent être utilisées par Google pour fournir une analyse, des informations et des recommandations plus approfondies sur les services Google autres que Firebase et améliorer les services Google autres que Firebase . Vous pouvez configurer cela dans votre page de paramètres de confidentialité des données Firebase.
Si ce contrôle est désactivé, les données du service Firebase continueront d'être utilisées à d'autres fins, telles que celles mentionnées ci-dessus, conformément à notre politique de confidentialité et aux conditions applicables, y compris pour faire des recommandations sur les services Firebase et les améliorer, et pour fournir et améliorer d'autres services que vous demandez, tels que les produits Google que vous liez à votre projet Firebase.
Vous avez encore des questions ? Contactez-nous
Pour toute question relative à la confidentialité qui n'est pas traitée ici, contactez l'assistance Firebase . Si vous êtes un développeur Firebase, incluez votre ID d'application Firebase. Recherchez votre ID d'application Firebase dans la fiche Vos applications de vos Paramètres du projet .