Quatre pays dès septembre, le reste du monde en 2027, un service qui s'installe tout seul sur les téléphones. Google a posé les dates de la vérification obligatoire des développeurs. L'Europe, elle, attend toujours sa réponse.
Le sideloading, c'est-à-dire l'installation d'applications par fichier APK en dehors du Play Store, accompagne Android depuis bientôt deux décennies. Google a entrepris de l'encadrer au nom de la lutte contre les logiciels malveillants, et vient de préciser, ce 18 juin, le calendrier de sa mesure phare : la vérification d'identité obligatoire des développeurs. Le dispositif, baptisé Developer Verification, était connu depuis août 2025. Ce sont désormais les dates qui se dessinent, selon les informations publiées sur le blog des développeurs Android.
Un calendrier en quatre temps, et un service qui s'invite sur les téléphones
Le principe tient en une phrase : pour qu'une application puisse être installée sur un appareil Android certifié, son développeur devra avoir confirmé son identité auprès de Google. Une sorte de carte d'identité à l'entrée, qui vaut aussi bien pour le Play Store que pour les boutiques alternatives et les APK glissés en sideloading. Un mécanisme équivalent existe déjà sur le Play Store depuis 2023. Il s'agit cette fois de l'étendre à tout l'écosystème.
Depuis avril, le déploiement avance par étape. un service système nommé « Android Developer Verifier » est apparu dans les réglages des appareils. À partir de juin, ce service commence à s'installer automatiquement sur les téléphones tournant sous Android 8 et au-delà, avec pour mission de vérifier qu'une application est bien rattachée à un développeur identifié. Les comptes à distribution limitée, eux, ouvriront en accès anticipé en juillet, avant un lancement mondial en août. Pensés pour les étudiants et les bricoleurs du dimanche, ils n'exigent pas de pièce d'identité officielle mais plafonnent le partage à 20 appareils. Le parcours « Advanced Flow » destiné aux utilisateurs avertis arrivera lui aussi en août.
Le vrai basculement est daté du 30 septembre 2026. Ce jour-là, dans quatre pays (Brésil, Indonésie, Singapour, Thaïlande), une application devra être enregistrée par un développeur vérifié pour s'installer ou se mettre à jour par les voies normales sur les appareils certifiés. La mesure couvrira d'emblée plusieurs grandes boutiques, du Play Store au Galaxy Store de Samsung, en passant par les magasins de Xiaomi, HONOR, OPPO ou vivo. Le reste du monde suivra en 2027, sans date arrêtée à ce jour.
Le sideloading ne disparaît pas pour autant. Une application non enregistrée restera installable, soit via l'outil ADB cher aux développeurs, soit par l'Advanced Flow, au prix d'une attente de 24 heures avant le feu vert. Le fonctionnement détaillé de ce parcours à haute friction avait déjà été dévoilé au printemps.
Google ajoute par ailleurs une interface maison permettant aux éditeurs d'enregistrer leurs applications en masse, directement depuis leurs chaînes de déploiement.
Et l'Europe ? Le DMA pourrait bien renverser la logique
Voilà pour le calendrier officiel. Reste une absence remarquée : l'Union européenne ne figure dans aucune des vagues annoncées. Le continent est rangé, comme la plupart des marchés, dans la nébuleuse « reste du monde » prévue pour 2027. Cette discrétion n'a rien d'un oubli administratif, car l'Europe dispose d'un levier que les quatre premiers pays n'ont pas : le règlement sur les marchés numériques, le DMA.
Apple a déjà essuyé les plâtres. Pour se conformer à ce même DMA, la marque a dû ouvrir iOS au sideloading et aux boutiques tierces, mais uniquement sur le territoire des Vingt-Sept. Résultat un brin paradoxal : l'utilisateur européen d'iPhone installe aujourd'hui des applications hors App Store là où le reste de la planète en reste privé. La question se pose désormais en miroir pour Android. Une obligation de vérification centralisée, imposée à tous les développeurs même hors du Play Store, est-elle compatible avec un texte conçu pour desserrer la mainmise des géants sur la distribution d'applications ?
La question n'est pas qu'académique. Au Parlement européen, elle a fait l'objet d'une interrogation formelle adressée à la Commission au printemps, demandant noir sur blanc si le dispositif constitue une restriction au sideloading et aux boutiques tierces. Bruxelles a par ailleurs ouvert dès janvier une procédure visant l'ouverture d'Android, assortie d'une consultation publique. La Commission n'a pas tranché sur le cas précis de la vérification, mais le terrain réglementaire est miné. Pour Google, l'équation est inconfortable. Appliquer en Europe le même tour de vis qu'ailleurs, c'est risquer la collision frontale avec le DMA. Y renoncer, c'est faire du Vieux Continent une zone plus ouverte que le reste du monde. Le même règlement qui a contraint Apple à ouvrir iOS pourrait, cette fois, protéger le sideloading sur Android. Renversant, pour une mesure pensée comme un verrou.
Une fronde qui ne désarme pas
La contestation, elle, n'a pas attendu les dates de Google pour s'organiser. Dès l'automne 2025, développeurs indépendants et défenseurs du logiciel libre avaient monté une campagne pour garder Android ouvert, baptisée « Keep Android Open ». Le mouvement avait alors arraché un premier recul à Google, avant que l'entreprise ne précise ses intentions. Un an plus tard, la coalition a grossi : elle rassemble désormais plus d'une trentaine d'organisations, parmi lesquelles la boutique alternative F-Droid, l'Electronic Frontier Foundation, la Free Software Foundation Europe ou encore le navigateur Vivaldi.
Le reproche de fond tient en une image, celle du jardin clos. À force d'exiger un enregistrement central pour la moindre application, même distribuée hors du Play Store, les signataires redoutent de voir Android glisser vers un écosystème verrouillé, où l'anonymat du développeur indépendant devient impossible. Plusieurs applications open source ont d'ailleurs pris les devants, en glissant à leurs utilisateurs des avertissements sur le durcissement à venir et des solutions de contournement. Du côté de Google, on préfère parler d'une « couche de responsabilisation » plutôt que d'une restriction, et l'on rappelle que la porte du sideloading reste entrouverte pour qui sait la pousser. La nuance peine à convaincre dans le camp d'en face.
Pour l'utilisateur européen, le compte à rebours n'a donc pas vraiment commencé : avant de savoir s'il devra composer avec ce nouveau parcours d'installation, il lui faudra attendre que Bruxelles et Mountain View accordent leurs violons.
