Current Precise Location Data Collection Not Disclosed in Privacy Policy

Collecte de données de localisation précise non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application collecte des données de localisation précise (Current Precise Location Data) des utilisateurs, mais la politique de confidentialité ne divulgue pas clairement cette pratique. Les données de localisation précise peuvent révéler des détails sensibles sur les déplacements et les habitudes d'un individu. Ne pas informer les utilisateurs de cette collecte peut être trompeur et peut enfreindre les réglementations sur la confidentialité qui exigent souvent un consentement spécifique de l'utilisateur pour accéder à ces données et les traiter.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement que des données de localisation précise sont collectées. Décrivez clairement les finalités de cette collecte, la manière dont les données sont utilisées, traitées, stockées, et leur période de conservation. Assurez-vous d'obtenir le consentement clair de l'utilisateur avant d'accéder à la localisation précise, et fournissez aux utilisateurs des contrôles faciles à comprendre pour gérer cette permission.

Liens

• GDPR - Recital 49 (Location Data)
• Apple Developer - Accessing Protected Resources (Location)
• Android Developer - Location and SENSORS
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_5_1_1
  • EDITORS_5_1_5