Trade Union Membership Information Collection Not Disclosed in Privacy Policy

Collecte d'informations sur l'appartenance syndicale non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application collecte des informations concernant l'appartenance syndicale des utilisateurs, mais la politique de confidentialité ne le divulgue pas. L'appartenance syndicale est considérée comme une catégorie particulière de données à caractère personnel par des réglementations telles que le RGPD. Le fait de ne pas informer les utilisateurs de cette collecte constitue un problème majeur et viole très probablement les exigences légales relatives au consentement explicite et aux mesures strictes de protection des données.

Recommandation

Mettez immédiatement à jour la politique de confidentialité de votre application pour indiquer explicitement que des informations sur l'appartenance syndicale sont collectées. Détaillez clairement les finalités spécifiques de cette collecte, la manière dont les données sont utilisées, traitées, stockées avec une sécurité renforcée, ainsi que la période de conservation des données. Assurez-vous d'obtenir le consentement explicite de l'utilisateur avant de collecter ces informations sensibles et que toutes les pratiques sont conformes aux lois applicables sur la protection des données pour les catégories particulières de données.

Liens

• GDPR Article 9 - Processing of Special Categories of Personal Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2