Google is committed to advancing racial equity for Black communities. See how.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Confidentialité et sécurité dans Firebase

Cette page présente les principales informations de sécurité et de confidentialité de Firebase. Que vous souhaitiez lancer un nouveau projet avec Firebase ou que vous souhaitiez savoir comment Firebase fonctionne avec votre projet existant, lisez la suite pour voir comment Firebase peut vous protéger, vous et vos utilisateurs.

Dernière mise à jour: 28 juillet 2020

Protection des données

Prise en charge de Firebase pour GDPR et CCPA

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) de l'UE a remplacé la directive européenne de 1995 sur la protection des données. Le 1er janvier 2020, la California Consumer Privacy Act (CCPA) est entrée en vigueur. Google s'engage à aider ses clients à réussir dans le cadre de ces règles de confidentialité, qu'il s'agisse de grands éditeurs de logiciels ou de développeurs indépendants.

Le RGPD impose des obligations aux responsables du traitement et aux sous-traitants, et le CCPA impose des obligations aux entreprises et à leurs prestataires de services. Les clients Firebase agissent généralement en tant que «contrôleur de données» (RGPD) ou «entreprise» (CCPA) pour toutes les données personnelles ou informations sur leurs utilisateurs finaux qu'ils fournissent à Google dans le cadre de leur utilisation de Firebase, et Google fonctionne généralement comme un « processeur de données "(GDPR) ou" fournisseur de services "(CCPA).

Cela signifie que les données sont sous le contrôle du client. Les clients sont responsables d'obligations telles que le respect des droits d'une personne en ce qui concerne ses données ou informations personnelles.

Conditions relatives au traitement des données et à la sécurité de Firebase

Lorsque les clients utilisent Firebase, Google est généralement un sous-traitant sous GDPR et traite les données personnelles en leur nom. De même, lorsque les clients utilisent Firebase, Google opère généralement en tant que fournisseur de services dans le cadre de la CCPA traitant les informations personnelles en leur nom. Les conditions de Firebase incluent les conditions de traitement des données et de sécurité détaillant ces responsabilités.

Certains services Firebase régis par les conditions d'utilisation de Google Cloud Platform (GCP) sont déjà couverts par les conditions de traitement des données associées, les conditions de traitement des données et de sécurité GCP . Une liste complète des services Firebase actuellement régis par les conditions d'utilisation de GCP est disponible dans les conditions d'utilisation des services Firebase .

Crashlytics et App Distribution sont régis par les Conditions d'utilisation de Firebase Crashlytics et Firebase App Distribution , et sont couverts par ces conditions de traitement de données associées .

Google Analytics pour Firebase et Google Analytics sont régis respectivement par les Conditions d'utilisation de Google Analytics pour Firebase et les Conditions d'utilisation de Google Analytics , ainsi que par les Conditions de traitement des données Google Ads . Pour plus d'informations, reportez-vous à Protection de vos données .

Firebase est certifié selon les principales normes de confidentialité et de sécurité

Conformité ISO et SOC

Tous les services Firebase (à part App Distribution et Crashlytics) ont réussi le processus d'évaluation ISO 27001 et SOC 1 , SOC 2 et SOC 3 , et certains ont également terminé le processus de certification ISO 27017 et ISO 27018 :

Nom du service ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics pour Firebase
Kit ML pour Firebase
Laboratoire de test Firebase
Cloud Firestore
Cloud Functions pour Firebase
Cloud Storage pour Firebase
Authentification Firebase
Firebase Crashlytics
Distribution d'applications Firebase
Messagerie intégrée à l'application Firebase
Messagerie Firebase Cloud
Prédictions Firebase
Surveillance des performances de Firebase
Hébergement Firebase
Liens dynamiques Firebase
Configuration à distance Firebase
Base de données en temps réel Firebase
Plateforme Firebase
Test Firebase A / B

Certifications du cadre du bouclier de protection des données

En juillet 2016, la Commission européenne a conclu que le cadre du bouclier de protection des données UE-États-Unis fournissait un mécanisme adéquat permettant aux entreprises de l'UE de se conformer aux exigences de la directive en ce qui concerne le transfert de données à caractère personnel de l'Union européenne vers les États-Unis. Google LLC est certifié dans le cadre du bouclier de protection des données UE-États-Unis et Suisse-États-Unis. Vous pouvez voir les certifications dans la liste Privacy Shield .

Informations sur le traitement des données

Exemples de données personnelles des utilisateurs finaux traitées par Firebase

Certains services Firebase traitent les données personnelles de vos utilisateurs finaux pour fournir leur service. Le tableau ci-dessous présente des exemples de la manière dont divers services Firebase utilisent et traitent les données personnelles des utilisateurs finaux. En outre, de nombreux services Firebase offrent la possibilité de demander la suppression de données spécifiques ou de contrôler la manière dont les données sont traitées.

Service Firebase Données personnelles Comment les données aident à fournir le service
Cloud Functions pour Firebase
  • Adresses IP

Comment cela aide: Cloud Functions utilise des adresses IP pour exécuter des fonctions de gestion des événements et des fonctions HTTP basées sur les actions de l'utilisateur final.

Rétention: les fonctions Cloud n'enregistrent que temporairement les adresses IP pour fournir le service.

Authentification Firebase
  • Mots de passe
  • Adresses mail
  • Les numéros de téléphone
  • Agents utilisateurs
  • Adresses IP

Comment cela aide-t-il? L' authentification Firebase utilise les données pour activer l'authentification de l'utilisateur final et faciliter la gestion des comptes de l'utilisateur final. Il utilise également des chaînes d'agent utilisateur et des adresses IP pour fournir une sécurité supplémentaire et empêcher les abus lors de l'inscription et de l'authentification.

Conservation: l' authentification Firebase conserve les adresses IP enregistrées pendant quelques semaines. Il conserve les autres informations d'authentification jusqu'à ce que le client Firebase lance la suppression de l'utilisateur associé, après quoi les données sont supprimées des systèmes actifs et de sauvegarde dans les 180 jours.

Distribution d'applications Firebase

Comment cela aide: Firebase App Distribution utilise les données pour distribuer les builds d'applications aux testeurs, surveiller l'activité des testeurs et associer les données aux appareils de test.

Conservation: Firebase App Distribution conserve les informations utilisateur jusqu'à ce que le client Firebase demande sa suppression, après quoi les données sont supprimées des systèmes actifs et de sauvegarde dans les 180 jours.

Messagerie Firebase Cloud
  • ID d'instance

Comment cela aide: Firebase Cloud Messaging utilise les ID d'instance pour déterminer les appareils auxquels envoyer les messages.

Conservation: Firebase conserve les ID d'instance jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Firebase Crashlytics
  • ID d'instance
  • Traces de crash
  • Données formatées Breakpad minidump
    (NDK plante uniquement)

Comment cela aide: Firebase Crashlytics utilise des traces de pile de crash pour associer les plantages à un projet, envoyer des alertes par e-mail aux membres du projet et les afficher dans la console Firebase, et aider les clients Firebase à déboguer les plantages. Il utilise des ID d'instance pour mesurer le nombre d'utilisateurs touchés par un plantage et des données minidump pour traiter les plantages NDK. Les données du minidump sont stockées pendant le traitement de la session de blocage, puis supprimées. Reportez-vous aux exemples d'informations stockées sur les périphériques pour plus de détails sur les types d'informations utilisateur collectées.

Conservation: Firebase Crashlytics conserve les traces de pile de crash, les données extraites du minidump et les identifiants associés (y compris les ID d'instance) pendant 90 jours.

Liens dynamiques Firebase
  • Spécifications de l'appareil (iOS)

Comment cela aide: Dynamic Links utilise les spécifications de l'appareil sur iOS pour ouvrir les applications nouvellement installées vers une page ou un contexte spécifique.

Rétention: les liens dynamiques ne stockent que temporairement les spécifications de l'appareil, pour fournir le service.

Hébergement Firebase
  • Adresses IP

Comment cela aide: l' hébergement utilise les adresses IP des demandes entrantes pour détecter les abus et fournir aux clients une analyse détaillée des données d'utilisation.

Rétention: l' hébergement conserve les données IP pendant quelques mois.

Surveillance des performances de Firebase
  • ID d'instance
  • Adresses IP

Comment cela aide: La surveillance des performances utilise les ID d'instance pour calculer le nombre d'installations Firebase uniques qui accèdent aux ressources réseau, afin de garantir que les modèles d'accès sont suffisamment anonymes. Il utilise également les ID d'instance avec Firebase Remote Config pour gérer le taux de rapports d'événements de performance. En outre, il utilise des adresses IP pour mapper les événements de performance aux pays dont ils proviennent. Pour plus d'informations, voir Collecte de données .

Conservation: la surveillance des performances conserve les événements associés à l'instance et à l'adresse IP pendant 30 jours et les données de performance anonymisées pendant 90 jours. Firebase conserve les ID d'instance jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 90 jours.

Prédictions Firebase
  • ID d'instance

Comment cela aide: Predictions utilise des ID d'instance pour associer des installations Firebase à un projet et pour récupérer une série chronologique d'événements. Il utilise ces événements pour permettre la prédiction de la probabilité d'occurrence d'événements spécifiés par le client, ainsi que des prévisions de dépenses et de désabonnement par défaut.

Conservation: les prédictions stockent les événements associés à l'instance pendant 60 jours et les prédictions basées sur ces événements pendant quelques semaines. Firebase conserve les ID d'instance jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Base de données en temps réel Firebase
  • Adresses IP
  • Agents utilisateurs

Comment cela aide: Realtime Database utilise des adresses IP et des agents utilisateurs pour activer l' outil de profilage , qui aide les clients Firebase à comprendre les tendances d'utilisation et les pannes de la plate-forme.

Conservation: la base de données en temps réel conserve les adresses IP et les informations sur les agents utilisateurs pendant quelques jours, à moins qu'un client ne choisisse de les conserver plus longtemps.

Google Analytics pour Firebase

Comment cela aide: Google Analytics utilise les données pour fournir des informations d'analyse et d'attribution. Les informations précises collectées peuvent varier selon l'appareil et l'environnement. Pour plus d'informations, voir Collecte de données .

Conservation: Google Analytics conserve certaines données associées aux identifiants publicitaires (par exemple, l'identifiant Apple pour les annonceurs et l'identifiant pour les fournisseurs, l'identifiant publicitaire d'Android) pendant 60 jours, et conserve les rapports globaux sans expiration automatique. La conservation des données au niveau de l'utilisateur, y compris les conversions, est fixée à 14 mois maximum. Pour toutes les autres données d'événement, vous pouvez définir la rétention dans vos paramètres Analytics sur 2 mois ou 14 mois. En savoir plus .

Configuration à distance Firebase
  • ID d'instance

Comment cela aide: Remote Config utilise les ID d'instance pour sélectionner les valeurs de configuration à renvoyer aux appareils des utilisateurs finaux.

Conservation: Firebase conserve les ID d'instance jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Firebase ML
  • Images téléchargées
  • ID d'instance

Comment cela aide: les API basées sur le cloud stockent temporairement les images téléchargées, pour traiter et vous renvoyer l'analyse. Les images stockées sont généralement supprimées en quelques heures. Consultez la FAQ sur l'utilisation des données Cloud Vision pour plus d'informations.

Les ID d'instance sont utilisés par Firebase ML lors de l'interaction avec des instances d'application, par exemple pour distribuer des modèles de développeur aux instances d'application. Les ID d'instance permettent également à Firebase ML d'utiliser Firebase Remote Config pour garantir que les API côté périphérique (par exemple, les listes de sujets et les filtres) sont maintenues à jour.

Conservation: Firebase conserve les ID d'instance jusqu'à ce que le client Firebase effectue un appel API pour supprimer l'ID. Après l'appel, les données sont supprimées des systèmes en direct et de sauvegarde dans les 180 jours.

Exemples d'informations stockées sur les appareils collectées par Crashlytics

  • Un UUID RFC-4122 qui nous permet de dédupliquer les plantages
  • L'horodatage du moment où le crash s'est produit
  • L'identifiant du bundle de l'application et le numéro de version complet
  • Le nom du système d'exploitation et le numéro de version de l'appareil
  • Un booléen indiquant si l'appareil a été jailbreaké / rooté
  • Le nom du modèle de l'appareil, l'architecture du processeur, la quantité de RAM et l'espace disque
  • Le pointeur d'instruction uint64 de chaque image de chaque thread en cours d'exécution
  • Si disponible dans le runtime, la méthode en texte brut ou le nom de la fonction contenant chaque pointeur d'instruction.
  • Si une exception a été levée, le nom de classe en texte brut et la valeur de message de l'exception
  • Si un signal fatal a été déclenché, son nom et son code entier
  • Pour chaque image binaire chargée dans l'application, son nom, son UUID, sa taille d'octet et l'adresse de base uint64 à laquelle elle a été chargée dans la RAM
  • Un booléen indiquant si l'application était ou non en arrière-plan au moment où elle s'est plantée
  • Une valeur entière indiquant la rotation de l'écran au moment du crash
  • Un booléen indiquant si le capteur de proximité de l'appareil a été déclenché

Guides pour activer l'opt-in pour le traitement des données personnelles de l'utilisateur final

Les services du tableau ci-dessus ont besoin d'une certaine quantité de données personnelles de l'utilisateur final pour fonctionner. Par conséquent, il n'est pas possible de désactiver entièrement la collecte de données lors de l'utilisation de ces services.

Si vous êtes un client qui souhaite offrir aux utilisateurs la possibilité de s'inscrire à un service et à la collecte de données qui l'accompagne, dans la plupart des cas, il suffit d'ajouter une boîte de dialogue ou une bascule de paramètres avant d'utiliser le service.

Cependant, certains services démarrent automatiquement lorsqu'ils sont inclus dans une application. Pour donner aux utilisateurs la possibilité de s'inscrire avant d'utiliser ces services, vous pouvez choisir de désactiver l'initialisation automatique pour chaque service et de les initialiser manuellement au moment de l'exécution. Pour savoir comment, lisez les guides ci-dessous:

Lieux de stockage et de traitement des données

À moins qu'un service ou une fonctionnalité ne propose la sélection de l'emplacement des données, Firebase peut traiter et stocker vos données partout où Google ou ses agents disposent d'installations. Les emplacements potentiels des installations varient selon le service.

Services réservés aux États-Unis

Quelques services Firebase ne sont exécutés qu'à partir de centres de données américains. En conséquence, ces services traitent les données exclusivement aux États-Unis.

  • Base de données en temps réel Firebase
  • Hébergement Firebase
  • Authentification Firebase

Services globaux

La majorité des services Firebase fonctionnent sur l'infrastructure globale de Google. Ils peuvent traiter des données à n'importe quel emplacement de Google Cloud Platform ou emplacement de centre de données Google . Pour certains services, vous pouvez effectuer une sélection d'emplacement de données spécifique qui limite le traitement à cet emplacement.

  • Cloud Storage pour Firebase
  • Cloud Firestore
  • Cloud Functions pour Firebase
  • Surveillance des performances de Firebase
  • Liens dynamiques Firebase
  • Configuration à distance Firebase
  • Messagerie Firebase Cloud
  • Prédictions Firebase
  • Google Analytics
  • Firebase ML
  • Laboratoire de test Firebase

Information sur la sécurité

Cryptage des données

Les services Firebase chiffrent les données en transit à l'aide de HTTPS et isolent logiquement les données des clients.

De plus, plusieurs services Firebase chiffrent également leurs données au repos:

  • Cloud Firestore
  • Cloud Functions pour Firebase
  • Cloud Storage pour Firebase
  • Authentification Firebase
  • Messagerie Firebase Cloud
  • Base de données en temps réel Firebase
  • Laboratoire de test Firebase

Pratiques de sécurité

Pour protéger les données personnelles, Firebase utilise des mesures de sécurité étendues pour minimiser l'accès:

  • Firebase limite l'accès à certains employés qui ont un objectif commercial pour accéder aux données personnelles.
  • Firebase enregistre l'accès des employés aux systèmes contenant des données personnelles.
  • Firebase autorise uniquement l'accès aux données personnelles aux employés qui se connectent avec Google Sign-In et l' authentification à 2 facteurs .

Vous avez encore des questions? Nous contacter

Pour toute question relative à la confidentialité que vous avez qui n'est pas traitée ici, contactez le formulaire Services de compte .