App Usage Data Collection Not Disclosed in Privacy Policy

Collecte de données d'utilisation de l'application non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application collecte des données sur la façon dont les utilisateurs interagissent avec elle, telles que les fonctionnalités utilisées, la durée de la session, les rapports de plantage ou les métriques de performance, mais la politique de confidentialité ne le divulgue pas clairement. Si ces données d'utilisation peuvent être liées à un individu, elles sont considérées comme des informations personnelles. Ne pas en informer les utilisateurs peut être trompeur et peut violer les réglementations en matière de confidentialité.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement que les données d'utilisation de l'application sont collectées. Décrivez clairement les types de données d'utilisation collectées, les finalités de leur collecte, la manière dont les données sont utilisées, stockées, leur période de conservation, et si elles sont rendues anonymes ou agrégées.

Liens

• GDPR - Personal Data Definition (can include usage data linked to an identifier)
• Apple Developer - User Privacy and Data Use (Diagnostics)
• Android Developer - App Usage Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2