Device and Network Information Collection Not Disclosed in Privacy Policy

Non-divulgation de la collecte des informations sur l'appareil et le réseau dans la politique de confidentialité

Risque : moyen

Description

L'application collecte des informations sur l'appareil ou le réseau, telles que les adresses IP, les identifiants d'appareil, les versions du système d'exploitation ou les détails du réseau, mais la politique de confidentialité ne le divulgue pas clairement. Bien que certaines de ces données soient essentielles pour la fonctionnalité ou la sécurité de l'application, les utilisateurs doivent être informés de ce qui est collecté et pourquoi. L'absence de divulgation peut être trompeuse et peut violer les réglementations sur la confidentialité si les identifiants sont liés à des individus.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement les types d'informations sur l'appareil et le réseau collectées. Décrivez clairement les objectifs de cette collecte (par exemple, la fonctionnalité de l'application, la sécurité, l'analyse, la personnalisation), la manière dont les données sont utilisées, stockées et leur période de conservation. Assurez la transparence avec les utilisateurs concernant cette collecte de données.

Liens

• Article 4 du RGPD - Définitions (Identifiants en ligne)
• Apple Developer - User Privacy and Data Use
• Android Developer - Privacy
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2