Voice Data Collection Not Disclosed in Privacy Policy

Collecte de Données Vocales Non Divulguée dans la Politique de Confidentialité

Risk: medium

Description

L'application collecte des données vocales ou des enregistrements audio des utilisateurs, mais la politique de confidentialité ne le divulgue pas clairement. Les données vocales peuvent être de nature personnelle et, si elles sont utilisées pour une identification unique, peuvent être considérées comme des données biométriques. Omettre d'informer les utilisateurs de cette collecte peut être trompeur et enfreindre les réglementations sur la confidentialité qui exigent transparence et consentement.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement que des données vocales ou des enregistrements audio sont collectés. Décrivez clairement les finalités de cette collecte, la manière dont les données sont utilisées, traitées, stockées, leur durée de conservation, ainsi que les mesures de sécurité mises en place. Assurez-vous d'obtenir le consentement clair de l'utilisateur avant d'accéder au microphone ou de collecter des données vocales, en particulier si elles sont utilisées à des fins sensibles comme l'identification.

Liens

• GDPR Article 9 - Processing of Special Categories of Personal Data (if used for biometric identification)
• GDPR Article 4 - Definitions (Personal Data - can include voice)
• Apple Developer - Speech Recognition
• Android Developer - Speech To Text
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2