User Photos and Media Collection Not Disclosed in Privacy Policy

Collecte de photos et de médias de l'utilisateur non divulguée dans la politique de confidentialité

Risque: medium

Description

L'application accède aux photos, vidéos ou autres fichiers multimédias de l'utilisateur ou les collecte, mais la politique de confidentialité ne le divulgue pas clairement. Les médias de l'utilisateur peuvent être hautement personnels et sensibles. Le fait de ne pas informer les utilisateurs de la manière dont leurs fichiers multimédias sont consultés ou collectés peut être trompeur et peut enfreindre les réglementations sur la confidentialité qui exigent de la transparence et le consentement de l'utilisateur pour un tel traitement.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement si et comment les photos, vidéos ou autres fichiers multimédias de l'utilisateur sont consultés ou collectés. Décrivez clairement les objectifs de cet accès ou de cette collecte, la manière dont les médias sont utilisés, traités, stockés, ainsi que leur période de conservation. Assurez-vous d'obtenir le consentement explicite de l'utilisateur avant d'accéder à ses médias et garantissez que les utilisateurs ont le contrôle de ces autorisations.

Liens

• GDPR - Définition des données personnelles (inclut les images)
• Apple Developer - Accès aux ressources protégées (Photothèque)
• Android Developer - Storage Access Framework
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

GDPR: * ART_5 * ART_6 * ART_7 * ART_12 * ART_13 * ART_25 * ART_32 * CCPA: * CCPA_1798_100 * CCPA_1798_110 * CCPA_1798_150 * OWASP_MASVS_v2_1: * MASVS_PRIVACY_1 * MASVS_PRIVACY_2 * SOC2_CONTROLS: * CC_2_3 * CC_5_3 * CC_6_1 * CNIL_FOR_EDITORS: * EDITORS_3_1_1 * EDITORS_3_1_2 * EDITORS_5_1_1