À partir de fin 2025, VK a migré vers le domaine .ru et le processus d’authentification sur le site a été modifié. Les paramètres permettent désormais également de se connecter via Mail.ru et OK. En conséquence, voici les changements juridiquement significatifs.
1. Obligation de fournir des documents dans un délai de 3 jours calendaires
Articles :
- Dans le PDF (Odnoklassniki) : art. 3.3.1
- Dans le contrat textuel (Mail.ru) : art. 3.3.1
« Dans un délai ne dépassant pas 3 (trois) jours calendaires à compter de la réception de la demande de la Société, fournir des copies certifiées conformes des documents attestant les informations fournies par le Partenaire lors de l’inscription de l’application.»
Ce que cela signifie en pratique :
- Lors de l’inscription de l’application (par exemple, ici), vous indiquez les données suivantes :
- Pour un particulier : nom, prénom, données du passeport, coordonnées.
- Pour une entité juridique : nom, OGRN/INN, adresse, etc.
- Si VK/Mail.ru demande de confirmer ces données (par exemple, en cas de soupçon de fraude, d’enregistrement massif ou de violation des règles), vous êtes obligé d’envoyer des scans des documents (passeport, extrait de l’EGRIUL, procuration, etc.) dans un délai de 3 jours.
- Risque : non-respect → suspension ou blocage unilatéral de l’accès à l’API et à OAuth (art. 3.2.2 des deux contrats), sans préavis, uniquement avec une notification après.
Recommandation :
- Préparez à l’avance l’ensemble des documents requis.
- Assurez-vous que les données fournies lors de l’inscription de l’application sont actuelles et vérifiables — sinon, la demande de confirmation est presque inévitable.
2. Obligation d’obtenir un consentement explicite des utilisateurs pour la transmission de données personnelles
Articles :
- OK PDF : art. 3.3.4
- Mail.ru : art. 3.3.4
Le Partenaire doit obtenir le consentement explicite des utilisateurs (y compris conformément à la loi n°152-FZ) pour la transmission de leurs données des services de la Société → consentement explicite, incluant :
- l’étendue des données demandées (email, nom, photo, etc.)
- les objectifs de traitement de ces données
- un lien vers votre politique de confidentialité
Critique :
- Vous ne pouvez pas transmettre automatiquement des données (par exemple, l’email) sans consentement explicite et informé de l’utilisateur — même s’il a cliqué sur « Se connecter via OK/Mail ».
- Le consentement doit être formulé via une case à cocher avant ou en même temps que le bouton de connexion, avec une formulation claire, par exemple :
« Je consens à la transmission de mes données (nom, email, photo de profil) depuis Odnoklassniki/Mail.ru pour me connecter au site example.com et leur traitement conformément à la Politique de confidentialité.»
- Vous n’êtes pas autorisé à demander des données superflues (art. 3.3.5) : par exemple, demander la date de naissance si elle n’est pas nécessaire à l’authentification.
3. Interdiction de modifier les logos, boutons et éléments UI
Articles :
- OK : art. 3.3.3
- Mail.ru : art. 3.3.3
Interdit :
- Cacher ou modifier les logos (« Se connecter via OK » → ne peut pas être renommé en « Connexion rapide »),
- Supprimer les hyperliens vers OK/Mail,
- Utiliser des boutons et images non officiels.
Solution :
- Utilisez toujours les kits UI et boutons officiels fournis dans la documentation :
4. Restrictions sur l’utilisation des données des utilisateurs
Articles :
- OK : art. 3.3.6
- Mail.ru : art. 3.3.6
Interdit :
- Stocker, traiter ou transmettre à des tiers les données des utilisateurs (email, nom, etc.) obtenues via OAuth, sauf si cela est nécessaire à l’authentification et non mentionné dans le contrat.
- Utiliser les données pour des newsletters, de l’analyse, des profils publicitaires — sans consentement supplémentaire.
Exemple de risque :
Si vous obtenez un email via OAuth et l’ajoutez immédiatement à une newsletter — c’est une violation.
Solution :
- Séparez clairement :
- les données nécessaires à l’authentification (seulement pour l’identification),
- les données destinées à un usage ultérieur (newsletters, profil, etc.) → doivent être collectées séparément, avec un consentement distinct.
5. Le contrat est régi par les dispositions « telles qu’elles sont » — sans garanties ni responsabilité
Article :
- OK : art. 5.1
- Mail.ru : art. 3.2.3
La Société ne garantit pas un fonctionnement sans interruption, ne supporte aucune responsabilité en cas de pannes, fuites, blocages, etc.
Ce que vous devez faire :
- Ne comptez pas uniquement sur OAuth comme méthode d’authentification unique. Gardez toujours une méthode de secours (par exemple, email + mot de passe).
- Dans l’interface utilisateur, informez les utilisateurs : « La connexion via OK est temporairement indisponible — essayez plus tard ou utilisez une autre méthode.»
Conclusion : Points critiques nécessitant votre attention immédiate
| 1 | Préparer et, si nécessaire, envoyer les documents certifiés | 3 jours à compter de la demande | Blocage de l’API/OAuth |
| 2 | Obtenir le consentement explicite des utilisateurs pour la transmission des données personnelles | avant l’authentification | Sanctions selon la loi n°152-FZ, blocage suite aux plaintes |
| 3 | Utiliser uniquement les boutons et UI officiels | immédiatement | Refus d’agrément de l’application |
| 4 | Ne pas utiliser les données obtenues au-delà de l’authentification | en permanence | Blocage + réclamations des régulateurs |
| 5 | Suivre strictement les instructions et règles officielles | en permanence | Risque de suspension sans préavis |