Comment bien gérer les nouvelles guidelines d’Apple concernant les librairies et SDK iOS ?

Le printemps est souvent synonyme de renouveau, et cette année, il apporte avec lui des changements significatifs pour les développeurs et éditeurs d'applications et de SDK iOS.
Apple, connue pour son engagement en faveur de la protection de la vie privée, renforce une fois de plus son dispositif en imposant des règles plus strictes concernant la collecte d'informations relatives à l'utilisateur.
Ainsi de nouvelles guidelines sont mises en place concernant l’implémentation et la distribution de libraires et SDK.
Nous vous expliquons ici quelles sont les règles à suivre pour implémenter un SDK conforme aux guidelines Apple et quelles sont les actions à mettre en œuvre si votre application mobile utilise des librairies tierces.

Quelles sont les nouvelles règles d'Apple ?

• Intégration d'un "privacy manifest" : Les bibliothèques (libs) collectant des données utilisateurs devront intégrer un document déclarant explicitement les données collectées et la manière dont elles sont utilisées.
• Signature des SDK : Les librairies au format binaire devront être signées par leurs éditeurs pour assurer leur authenticité et leur intégrité.

Ces nouvelles exigences stipulent que tout développeur souhaitant publier ou mettre à jour une application iOS doit s'assurer que toutes les libs intégrées dans son application sont en conformité avec ces directives. Cela implique un examen et une mise à jour méticuleuse de ces composants.

Impact pour les développeurs d'applications

En tant que développeur, il est impératif de prendre des mesures proactives pour répondre aux nouvelles exigences d'Apple. Voici les étapes fondamentales à suivre :

1. Identification des libs à mettre à jour : Vous pouvez commencer par consulter la liste des librairies que Apple a déjà identifiées comme nécessitant une mise à jour.
   Un lien utile proposé par Apple offre un point de départ pour cette vérification: Liste des libs identifiéespar Apple.

2. Mettre à jour les SDK : Une fois les composants nécessitant une mise à niveau identifiés, le processus de mise à jour peut commencer.
   Pour de nombreux développeurs, l'utilisation de SDK populaires tels que Firebase signifie qu'ils seront probablement affectés par ce changement et devront procéder à des mises à jour.

Cette tâche de mise en conformité peut sembler ardue, mais elle est essentielle pour assurer la continuité du service et la confiance des utilisateurs dans votre application.

Impacts pour les éditeurs de librairies / SDK iOS

Les éditeurs de librairies ou de SDK (Software Development Kit) doivent également prendre part à cet effort de conformité. Les actions nécessaires sont les suivantes :

1. Ajout d'un fichier de déclaration XCPrivacy : Ce fichier permet d'indiquer les données capturées et de garantir la transparence envers les utilisateurs et Apple.
   Ce fichier peut être généré directement via XCode tel que vous pouvez le voir dans les images ci-dessous.
   Il permettra au développeur d’app de spécifier de façon plus sûr les nutrition labels dans son interface App Store Connect.

Mode opératoire pour déclarer le XCPrivacy d'un SDK :

• Dans XCode, créer le fichier XCPrivacy

• Compléter le fichier XCPrivacy

• Générer le fichier XCPrivacy

• Le développeur peut créer facilement ses Nutrition labels dans App Store Connect

En tant qu’éditeur de SDK, si vous souhaitez avoir plus d’informations sur ce processus, n’hésitez pas à nous contacter.

2. Signature du binaire : Si la distribution s'effectue au format binaire, le fichier doit être signé numériquement pour authentifier son origine.

En savoir plus et obtenir de l'aide

Vous avez des questions supplémentaires concernant ces mises à jour ou vous avez besoin d'aide pour mettre vos applications en conformité ?
Vous n'êtes pas seul. L'adaptation aux nouvelles politiques peut s'avérer complexe, surtout si vous gérez un grand nombre de librairies ou si vous utilisez des formes de collecte de données avancées.
N'hésitez pas à nous contacter pour de plus amples informations ou pour une consultation.
Ensemble, nous pouvons veiller à ce que vos applications respectent pleinement les nouvelles guidelines Apple et s'inscrivent dans une démarche de respect de la vie privée de vos utilisateurs.

FAQ

Quand ces nouvelles règles entrent-elles en vigueur ?

Ces nouvelles règles d'Apple concernant les SDK iOS entrent en vigueur au printemps 2024. Les développeurs doivent s'assurer que leurs applications et SDK sont conformes avant de soumettre de nouvelles versions sur l'App Store.

Que se passe-t-il si je ne mets pas à jour mes SDK ?

Si vous ne mettez pas à jour vos SDK pour les rendre conformes aux nouvelles directives d'Apple, vous ne pourrez pas soumettre de nouvelles versions de votre application sur l'App Store. Il est donc essentiel de procéder aux mises à jour nécessaires.

Comment savoir si mes SDK doivent être mis à jour ?

Apple fournit une liste des SDK identifiés comme nécessitant une mise à jour sur leur site développeur. Vous pouvez consulter cette liste à l'adresse developer.apple.com/support/third-party-SDK-requirements/.

Le privacy manifest est-il obligatoire pour tous les SDK ?

Le privacy manifest est obligatoire pour tous les SDK qui collectent des données utilisateurs. Si votre SDK ne collecte aucune donnée utilisateur, vous n'êtes pas concerné par cette exigence.

Comment signer un SDK iOS ?

Pour signer un SDK iOS, vous devez utiliser un certificat de développeur Apple valide et suivre le processus de signature via Xcode ou les outils en ligne de commande d'Apple.

Publié par Arnaud Labruquère