Confidentialité et sécurité dans Firebase

Cette page présente les principales informations de sécurité et de confidentialité de Firebase. Que vous cherchiez à lancer un nouveau projet avec Firebase ou que vous soyez curieux de savoir comment Firebase fonctionne avec votre projet existant, lisez la suite pour voir comment Firebase peut vous aider à vous protéger, vous et vos utilisateurs.

Dernière modification : 7 octobre 2021

Protection des données

Prise en charge de Firebase pour GDPR et CCPA

Le 25 mai 2018, le règlement général de l'UE sur la protection des données (RGPD) a remplacé la directive européenne de 1995 sur la protection des données. Le 1er janvier 2020, la California Consumer Privacy Act (CCPA) est entrée en vigueur. Google s'engage à aider nos clients à réussir dans le cadre de ces réglementations en matière de confidentialité, qu'il s'agisse de grandes sociétés de logiciels ou de développeurs indépendants.

Le RGPD impose des obligations aux contrôleurs de données et aux sous-traitants, et le CCPA impose des obligations aux entreprises et à leurs prestataires de services. Les clients de Firebase agissent généralement en tant que "contrôleur de données" (RGPD) ou "entreprise" (CCPA) pour toutes les données personnelles ou informations sur leurs utilisateurs finaux qu'ils fournissent à Google dans le cadre de leur utilisation de Firebase, et Google fonctionne généralement comme un " sous-traitant" (RGPD) ou "fournisseur de services" (CCPA).

Cela signifie que les données sont sous le contrôle du client. Les clients sont responsables d'obligations telles que le respect des droits d'un individu en ce qui concerne leurs données ou informations personnelles.

Termes relatifs au traitement des données et à la sécurité de Firebase

Lorsque les clients utilisent Firebase, Google est généralement un processeur de données en vertu du RGPD et traite les données personnelles en leur nom. De même, lorsque les clients utilisent Firebase, Google agit généralement en tant que fournisseur de services en vertu de la CCPA et traite les informations personnelles en leur nom. Conditions Firebase comprennent Conditions de traitement des données et de sécurité détaillant ces responsabilités.

Certains services Firebase régies par la plate - forme Google Cloud (GCP) Conditions d'utilisation sont déjà couverts par des termes de traitement des données associées, les GCP Conditions de traitement des données et de sécurité . Une liste complète des services Firebase actuellement régie par les GCP Conditions d'utilisation est disponible dans les conditions d'utilisation de services Firebase .

Crashlytics et App distribution sont régies par les App Firebase Crashlytics et Firebase distribution Conditions d'utilisation , et sont couverts par les données associées de traitement des termes .

Google Analytics pour Firebase et Google Analytics sont régies par les Google Analytics pour Firebase Conditions d'utilisation et les Conditions Google Analytics , respectivement, ainsi que les annonces Google Data Conditions de traitement . Pour plus d' informations, reportez - vous à la sauvegarde de vos données .

Firebase est certifié selon les principales normes de confidentialité et de sécurité

Conformité ISO et SOC

Tous les services Firebase ( en dehors de App Distribution et l' indexation Firebase App) ont complété avec succès l' ISO 27001 et SOC 1 , SOC 2 et SOC 3 processus d'évaluation, et certains ont également complété l' ISO 27017 et ISO 27018 processus de certification. Les rapports de conformité et les certificats pour les services Firebase régies par les GCP conditions d'utilisation peuvent être demandés par le respect Gestionnaire de rapports

Nom du service ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics pour Firebase
Firebase ML
Laboratoire de test Firebase
Cloud Firestore
Fonctions Cloud pour Firebase
Stockage cloud pour Firebase
Authentification Firebase
Firebase Crashlytics
Distribution d'applications Firebase
Messagerie intégrée à l'application Firebase
Messagerie Cloud Firebase
Prédictions Firebase
Surveillance des performances de Firebase
Hébergement Firebase
Liens dynamiques Firebase
Configuration à distance Firebase
Base de données en temps réel Firebase
Plateforme Firebase
Tests A/B Firebase

Transferts de données internationaux

Les cadres du Privacy Shield ont fourni un mécanisme pour se conformer aux exigences de protection des données lors du transfert de données personnelles de l'EEE, du Royaume-Uni ou de la Suisse vers les États-Unis et au-delà. À la lumière de la décision de la Cour de justice de l'Union européenne sur les transferts de données, invalidant le bouclier de protection des données UE-États-Unis, Firebase a décidé de se fier aux clauses contractuelles types pour les transferts de données pertinents, qui, selon la décision, peuvent continuer à être un mécanisme juridique valide pour transférer des données en vertu du RGPD. La Commission européenne a approuvé de nouvelles versions des clauses contractuelles types le 4 juin 2021, que nous intégrons dans nos contrats avec les clients Firebase pour les transferts de données pertinents.

Nous nous engageons à avoir une base légale pour les transferts de données conformément aux lois applicables en matière de protection des données.

Informations sur le traitement des données

Exemples de données personnelles d'utilisateur final traitées par Firebase

Certains services Firebase traitent les données personnelles de vos utilisateurs finaux pour fournir leur service. Le tableau ci-dessous contient des exemples de la façon dont divers services Firebase utilisent et gèrent les données personnelles des utilisateurs finaux. De plus, de nombreux services Firebase offrent la possibilité de demander la suppression de données spécifiques ou de contrôler la façon dont les données sont traitées.

Service Firebase Données personnelles Comment les données aident à fournir le service
Fonctions Cloud pour Firebase
  • Adresses IP

Comment ça marche: Cloud Fonctions utilise les adresses IP pour exécuter des fonctions fonctions de gestion d' événements et de HTTP en fonction des actions de l' utilisateur final.

Rétention: fonctions de Cloud enregistre uniquement les adresses IP temporairement, pour fournir le service.

Authentification Firebase
  • Mots de passe
  • Adresses mail
  • Les numéros de téléphone
  • Agents utilisateurs
  • Adresses IP

Comment ça marche: Firebase authentification utilise les données pour activer l' authentification de l' utilisateur final, et de faciliter la gestion des comptes utilisateur final. Il utilise également des chaînes d'agent utilisateur et des adresses IP pour fournir une sécurité supplémentaire et éviter les abus lors de l'inscription et de l'authentification.

Rétention: Firebase authentification continue connecté adresses IP pendant quelques semaines. Il conserve d'autres informations d'authentification jusqu'à ce que le client Firebase initie la suppression de l'utilisateur associé, après quoi les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Distribution d'applications Firebase

Comment ça marche: Firebase App distribution utilise les données pour distribuer l' application construit pour les testeurs, l' activité de testeur de surveillance et les données associées avec des dispositifs de testeur.

Conservation: Firebase App distribution conserve les informations utilisateur jusqu'à ce que le client demande sa suppression Firebase, après quoi les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Messagerie Cloud Firebase
  • ID d'installation Firebase

Comment ça marche: Firebase - Cloud Messaging utilise les ID d'installation Firebase pour déterminer quels dispositifs pour délivrer des messages.

Conservation: Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase fait un appel d'API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Firebase Crashlytics
  • UUID d'installation de Crashlytics
  • Traces de collision
  • Données formatées Breakpad minidump
    (NDK plante uniquement)

Comment ça marche: Firebase Crashlytics utilise des traces de pile collision à des accidents associés à un projet, envoyer des alertes par courrier électronique aux membres du projet et de les afficher dans la console Firebase, et les accidents de l' aide clients Firebase. Il utilise les UUID d'installation de Crashlytics pour mesurer le nombre d'utilisateurs touchés par un plantage et des données de minidump pour traiter les plantages NDK. Les données de minidump sont stockées pendant le traitement de la session de plantage, puis supprimées. Reportez - vous aux exemples d'informations de périphérique stockées pour plus de détails sur les types d'informations utilisateur recueillies.

Rétention: Firebase Crashlytics conserve des traces de pile collision, les données d'minividage extraites, et les identifiants associés (y compris UUID d'installation Crashlytics) pendant 90 jours.

Liens dynamiques Firebase
  • Spécifications de l'appareil (iOS)
  • Adresses IP (iOS)

Comment ça marche ? : Les liens dynamiques utilise les spécifications de l' appareil et les adresses IP sur iOS pour ouvrir des applications nouvellement installées sur une page ou d'un contexte spécifique.

Conservation: Les liens dynamiques ne stocke que les spécifications de l' appareil et les adresses IP temporairement, pour fournir le service.

Hébergement Firebase
  • Adresses IP

Comment ça marche: les utilisations d' hébergement des adresses IP des requêtes entrantes pour détecter les abus et fournir aux clients une analyse détaillée des données d'utilisation.

Conservation: conserve l' hébergement des données IP pour quelques mois.

Surveillance des performances de Firebase
  • ID d'installation Firebase
  • Adresses IP

Comment ça marche: les utilisations de surveillance de performance ID d'installation Firebase pour calculer le nombre d'installations uniques Firebase que les ressources du réseau d'accès, afin de veiller à ce que les modèles d'accès sont suffisamment anonymes. Il utilise également les identifiants d'installation Firebase avec Firebase Remote Config pour gérer le taux de rapport d'événements de performances. De plus, il utilise des adresses IP pour mapper les événements de performances aux pays dont ils sont originaires. Pour plus d' informations, voir la collecte de données .

Conservation: Surveillance du rendement maintient l' installation et les événements associés IP pendant 30 jours et les données de performance dépersonnalisées pendant 90 jours.

Prédictions Firebase
  • ID d'installation Firebase

Comment ça marche: Prédictions utilise les ID d'installation Firebase pour associer les installations Firebase avec un projet et de récupérer une série chronologique des événements. Il utilise ces événements pour permettre la prédiction de la probabilité d'occurrence d'événements spécifiés par le client, ainsi que les prévisions de dépenses et de désabonnement par défaut.

Rétention: événements associés d'installation-Prédictions magasins pour 60 jours, et les prévisions effectuées sur ces événements pendant quelques semaines. Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Base de données en temps réel Firebase
  • Adresses IP
  • Agents utilisateurs

Comment ça marche: en temps réel la base de données utilise les adresses IP et les agents utilisateurs pour permettre à l' outil de profileur , qui aide les clients à comprendre les tendances Firebase d'utilisation et les pannes de plate - forme.

Conservation: en temps réel la base de données conserve les adresses IP et les informations de l' agent utilisateur pendant quelques jours, à moins qu'un client choisit de pour l' enregistrer plus longtemps.

Google Analytics pour Firebase

Comment ça aide: Google Analytics utilise les données pour fournir des analyses et des informations d'attribution. Les informations précises recueillies peuvent varier selon l'appareil et l'environnement. Pour plus d' informations , voir la collecte de données .

Conservation: Google Analytics conserve certains identifiants publicitaires données associées (par exemple, identificateur d'Apple pour les annonceurs et l' identificateur pour les fournisseurs, ID de publicité Android) pendant 60 jours, et conserve sans rapport global expiration automatique. La conservation des données au niveau de l'utilisateur, y compris les conversions, est fixée à 14 mois maximum. Pour toutes les autres données d'événement, vous pouvez définir la conservation dans vos paramètres Analytics sur 2 mois ou 14 mois. En savoir plus .

Configuration à distance Firebase
  • ID d'installation Firebase

Comment ça marche: à distance Config utilise les ID d'installation Firebase pour sélectionner les valeurs de configuration pour revenir aux dispositifs d'utilisateur final.

Conservation: Firebase conserve les ID d'installation Firebase jusqu'à ce que le client Firebase fait un appel d'API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Firebase ML
  • Images téléchargées
  • jetons d'autorisation d'installation

Comment ça marche: L'API en nuage stockera temporairement téléchargé des images, pour traiter et retourner l'analyse pour vous. Les images stockées sont généralement supprimées en quelques heures. Voir le Cloud Vision données FAQ d'utilisation pour plus d' informations.

l' installation des jetons auth sont utilisés par Firebase ML pour l' authentification de l' appareil lors de l' interaction avec les instances d'application, par exemple, pour distribuer des modèles de développement aux instances d'applications.

Conservation: installation des Tokens auth restent valables jusqu'à leur date d'expiration. La durée de vie du jeton par défaut est d'une semaine.

Exemples d'informations stockées sur les appareils collectées par Crashlytics

  • Un UUID RFC-4122 qui permet de dédupliquer les plantages
  • L'horodatage du moment où l'accident s'est produit
  • L'identifiant du bundle de l'application et le numéro de version complet
  • Le nom du système d'exploitation et le numéro de version de l'appareil
  • Un booléen indiquant si l'appareil a été jailbreaké/enraciné
  • Le nom du modèle de l'appareil, l'architecture du processeur, la quantité de RAM et l'espace disque
  • Le pointeur d'instruction uint64 de chaque trame de chaque thread en cours d'exécution
  • Si disponible dans l'environnement d'exécution, la méthode en texte brut ou le nom de la fonction contenant chaque pointeur d'instruction.
  • Si une exception a été levée, le nom de classe en texte brut et la valeur du message de l'exception
  • Si un signal fatal a été émis, son nom et son code entier
  • Pour chaque image binaire chargée dans l'application, son nom, son UUID, sa taille en octets et l'adresse de base uint64 à laquelle elle a été chargée dans la RAM
  • Un booléen indiquant si l'application était ou non en arrière-plan au moment où elle s'est écrasée
  • Une valeur entière indiquant la rotation de l'écran au moment du crash
  • Un booléen indiquant si le capteur de proximité de l'appareil a été déclenché

Exemples d'informations collectées par Performance Monitoring

  • Informations générales sur l'appareil, telles que le modèle, le système d'exploitation et l'orientation
  • RAM et taille du disque
  • l'utilisation du processeur
  • Opérateur (basé sur le pays mobile et le code de réseau)
  • Informations radio/réseau (par exemple, WiFi, LTE, 3G)
  • Pays (basé sur l'adresse IP)
  • Région/langue
  • Version de l'application
  • État de premier plan ou d'arrière-plan de l'application
  • Nom du package d'application
  • ID d'installation Firebase
  • Durées des traces automatisées
  • URL de réseau (à l'exclusion des paramètres d'URL ou du contenu de la charge utile) et les informations correspondantes suivantes :
    • Codes de réponse (par exemple, 403, 200)
    • Taille de la charge utile en octets
    • Temps de réponse

Voir la liste complète des traces automatiques recueillies par la surveillance du rendement.

Guides pour activer l'opt-in pour le traitement des données personnelles des utilisateurs finaux

Les services du tableau ci-dessus ont besoin d'une certaine quantité de données personnelles de l'utilisateur final pour fonctionner. Par conséquent, il n'est pas possible de désactiver entièrement la collecte de données lors de l'utilisation de ces services.

Si vous êtes un client qui souhaite offrir aux utilisateurs la possibilité de s'inscrire à un service et à la collecte de données qui l'accompagne, dans la plupart des cas, il suffit d'ajouter une boîte de dialogue ou de basculer les paramètres avant d'utiliser le service.

Certains services, cependant, démarrent automatiquement lorsqu'ils sont inclus dans une application. Pour donner aux utilisateurs la possibilité de s'inscrire avant d'utiliser ces services, vous pouvez choisir de désactiver l'initialisation automatique pour chaque service et de les initialiser manuellement au moment de l'exécution. Pour savoir comment, lisez les guides ci-dessous :

Emplacements de stockage et de traitement des données

À moins qu'un service ou une fonctionnalité ne propose la sélection de l'emplacement des données, Firebase peut traiter et stocker vos données partout où Google ou ses agents disposent d'installations. Les emplacements potentiels des installations varient selon le service.

Services uniquement aux États-Unis

Quelques services Firebase ne sont exécutés qu'à partir de centres de données américains. En conséquence, ces services traitent des données exclusivement aux États-Unis.

  • Hébergement Firebase
  • Authentification Firebase

Services mondiaux

La majorité des services Firebase s'exécutent sur l'infrastructure mondiale de Google. Ils peuvent traiter des données à l' un des emplacements Google Cloud Platform ou Google emplacements des centres de données . Pour certains services , vous pouvez faire une spécifique des données Choix de l' emplacement qui limite le traitement à cet endroit.

  • Stockage cloud pour Firebase
  • Cloud Firestore
  • Fonctions Cloud pour Firebase
  • Firebase Crashlytics
  • Surveillance des performances de Firebase
  • Liens dynamiques Firebase
  • Configuration à distance Firebase
  • Messagerie Cloud Firebase
  • Prédictions Firebase
  • Google Analytics
  • Firebase ML
  • Laboratoire de test Firebase

Information sur la sécurité

Cryptage des données

Les services Firebase chiffrent les données en transit à l'aide de HTTPS et isolent logiquement les données client.

De plus, plusieurs services Firebase chiffrent également leurs données au repos :

  • Cloud Firestore
  • Fonctions Cloud pour Firebase
  • Stockage cloud pour Firebase
  • Firebase Crashlytics
  • Authentification Firebase
  • Messagerie Cloud Firebase
  • Base de données en temps réel Firebase
  • Laboratoire de test Firebase

Pratiques de sécurité

Pour protéger les données personnelles, Firebase utilise des mesures de sécurité étendues pour minimiser l'accès :

  • Firebase restreint l'accès à certains employés qui ont un objectif professionnel pour accéder aux données personnelles.
  • Firebase enregistre l'accès des employés aux systèmes contenant des données personnelles.
  • Firebase permet uniquement l' accès aux données personnelles des employés qui se connectent avec Google connexion et l' authentification à 2 facteurs .

Données du service Firebase

Firebase Service de données sont des informations personnelles que Google recueille et produit au cours de la prestation et l' administration des services Firebase *, à l' exclusion des accords client données ** tel que défini dans nos clients couvrant les services Firebase et Google Cloud Data Service . Les exemples de données de service Firebase incluent des informations sur l'utilisation du service, les identifiants de ressources tels que les identifiants d'application et les noms de package/identifiants de bundle, les détails techniques et opérationnels de l'utilisation tels que les adresses IP et les communications directes avec les développeurs à partir des commentaires et des conversations liées à l'assistance.

* Les services couverts incluent Firebase A/B Testing, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Predictions, Firebase Realtime Database et Firebase Configuration à distance.

** Pour plus d' informations sur la façon dont nous traitons les données de client, consultez nos Conditions de traitement des données et de sécurité Firebase et Crashlytics et App distribution des données Conditions de traitement et de sécurité .

Exemples de traitement des données de service Firebase par Firebase

Google utilise les données de service Firebase conformément à notre politique de confidentialité et conditions applicables. Les données de service Firebase sont utilisées, par exemple, pour :

  • Fournir les services Firebase que vous demandez
  • Faire des recommandations pour optimiser l'utilisation des services Firebase
  • Maintenir et améliorer les services Firebase
  • Fournir et améliorer les autres services que vous demandez
  • Comprendre votre utilisation de Firebase et d'autres services Google
  • Vous apporter un meilleur soutien et communiquer avec vous
  • Protégez-vous, nos utilisateurs, le public et Google
  • Se conformer aux obligations légales

Utilisation des données du service Firebase par des services Google autres que Firebase

Vous pouvez contrôler si votre Service Data Firebase peut être utilisé par Google pour fournir une analyse plus approfondie, des idées et des recommandations sur les services non Firebase Google et améliorer les services non Firebase Google. Vous pouvez configurer cela dans votre page de paramètres de confidentialité des données Firebase.

Si ce contrôle est désactivé, Service Data Firebase continuera d'être utilisé à d' autres fins, telles que celles mentionnées ci - dessus, conformément à notre politique de confidentialité et les conditions applicables, y compris à formuler des recommandations au sujet et d' améliorer les services Firebase et de livrer et d' améliorer d' autres les services que vous demandez, tels que les produits Google que vous associez à votre projet Firebase.

Vous avez encore des questions ? Contactez-nous

Pour toute question relative à la confidentialité que vous avez qui ne sont pas couverts ici, tendre la main à Firebase soutien . Si vous êtes un développeur Firebase, incluez votre identifiant d'application Firebase. Trouvez votre Firebase ID App dans la carte Vos applications de vos Paramètres du projet .