Personal Identifiers Collection Not Disclosed in Privacy Policy
Collecte d'identifiants personnels non divulguée dans la politique de confidentialité
Description
L'application collecte des identifiants personnels (tels que les ID d'utilisateur, les ID d'appareil, les adresses IP ou les ID publicitaires), mais la politique de confidentialité ne divulgue pas adéquatement la collecte de ces identifiants spécifiques. Ce manque de transparence peut empêcher les utilisateurs de comprendre comment ils sont suivis ou identifiés, et peut enfreindre les exigences des réglementations sur la confidentialité telles que le RGPD et le CCPA.
Recommandation
Mettez à jour la politique de confidentialité de votre application pour énumérer explicitement tous les types d'identifiants personnels collectés (par exemple, l'ID utilisateur, l'ID d'appareil, l'adresse IP, l'ID publicitaire). Pour chaque identifiant, décrivez clairement les objectifs spécifiques de sa collecte, comment il est utilisé, traité, stocké, ainsi que sa période de conservation. Assurez-vous que toutes les divulgations sont transparentes et conformes aux lois applicables sur la protection des données.
Liens
- Android Privacy Guidelines
- Apple Developer - User Privacy and Data Use
- GDPR Article 4 - Definitions (Online Identifiers)
- CWE-359: Exposure of Private Information ("Privacy Violation")
Normes
- GDPR:
- ART_5
- ART_6
- ART_7
- ART_12
- ART_13
- ART_25
- ART_32
- CCPA:
- CCPA_1798_100
- CCPA_1798_110
- CCPA_1798_150
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_1
- MASVS_PRIVACY_2
- SOC2_CONTROLS:
- CC_2_3
- CC_5_3
- CNIL_FOR_EDITORS:
- EDITORS_3_1_1
- EDITORS_3_1_2