Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

Cette étude révèle que, bien que les trackers de Google soient plus répandus que ceux de Meta, ces derniers sont bien plus souvent configurés pour collecter automatiquement des données personnelles via des formulaires, une pratique encouragée par des documentations trompeuses et intégrée par défaut, ce qui conduit de nombreux sites sensibles à violer les politiques de confidentialité.

L'essentiel

Voici une explication simple et imagée de cette étude, comme si nous en discutions autour d'un café.

🕵️‍♂️ Le Titre : "Tous les espions ne se ressemblent pas"

Imaginez que vous visitez un site web comme TechCrunch ou une banque en ligne. Derrière le rideau, il y a des espions numériques (appelés "trackers") installés par des géants comme Google et Meta (Facebook). Leur travail ? Observer ce que vous faites pour vous vendre des publicités ciblées.

Jusqu'à présent, on pensait que si un site avait un espion, c'était tout ou rien : soit il était là, soit il n'y était pas. Mais cette étude nous dit : "Attendez, ce n'est pas aussi simple !"

C'est comme si vous aviez deux types de caméras de surveillance :

1. La caméra Google : Elle est très présente, mais elle est souvent éteinte par défaut. Il faut aller dans les réglages compliqués pour l'activer vraiment.
2. La caméra Meta : Elle est un peu moins présente, mais quand elle est là, elle est déjà allumée, prête à filmer tout ce qui bouge, et on vous a même dit : "C'est la meilleure option, activez-la !"

🎭 Le Problème : Les Guides de l'Oubli

Les chercheurs ont analysé les manuels d'instructions (les "guides") que Google et Meta donnent aux propriétaires de sites web. Ils ont découvert des astuces de marketing un peu douteuses, qu'on pourrait appeler des "pièges à oubli".

• Le piège du "Tout coché" : Meta, par exemple, configure sa caméra pour filmer tout par défaut (votre nom, votre email, votre téléphone, votre adresse). Si le propriétaire du site ne fait rien, la caméra filme tout. C'est comme si un vendeur de voiture vous disait : "Par défaut, je vous vends le modèle avec le toit ouvrant, la peinture dorée et le moteur de course. Si vous ne voulez pas, c'est à vous de décocher les cases."
• Le mensonge du "Hachage" : Les deux géants disent aux propriétaires de sites : "Ne vous inquiétez pas, on va 'hacher' (crypter) vos données pour protéger la vie privée." C'est un peu comme dire : "On va mettre vos secrets dans un coffre-fort, mais on vous donne la clé." Les chercheurs et la justice américaine (la FTC) ont prouvé à plusieurs reprises que ce "coffre-fort" est en fait très facile à ouvrir.

🏥 Le Danger : Les Hôpitaux et les Banques

C'est là que ça devient sérieux. Il existe des lois aux États-Unis (comme le HIPAA pour la santé) qui interdisent de partager vos données médicales ou financières avec des espions publicitaires.

Google et Meta disent : "Ok, on a un bouton pour dire 'Je suis un hôpital', et dans ce cas, on désactive la caméra."
Mais le problème ? C'est au propriétaire du site de cliquer sur ce bouton. Et souvent, ils ne le font pas, ou ils se trompent.

L'analogie du restaurant :
Imaginez qu'il y ait un restaurant interdit aux enfants (les sites sensibles). Le propriétaire doit dire au serveur : "Attention, c'est une zone interdite !"

• Google dit : "Si tu ne dis rien, on suppose que c'est ouvert à tout le monde."
• Meta dit : "On te donne un bouton 'Zone Enfants', mais si tu ne l'appuies pas, on ouvre les portes."

Résultat de l'étude :

• Google est présent sur 72% des sites, mais seulement 11% d'entre eux sont configurés pour voler vos données de formulaire (email, téléphone, etc.).
• Meta est présent sur 28% des sites, mais 62% d'entre eux sont configurés pour voler vos données ! C'est énorme.

🚨 La Révélation : Des Sites Sensibles qui Filment

Les chercheurs ont trouvé des sites de santé (centres de réhabilitation, hôpitaux) et de finance (banques, prêts) qui envoient vos noms, adresses et numéros de téléphone à Meta et Google, en violation des règles.

C'est comme si un hôpital laissait une caméra filmer les patients dans les couloirs et envoyait le film à une agence de publicité, parce que l'infirmier en chef a oublié de dire : "Arrêtez la caméra, c'est une zone sensible".

💡 Ce que l'étude nous apprend

1. La configuration compte plus que l'installation : Avoir un tracker n'est pas le pire. Le pire, c'est de l'avoir configuré pour qu'il soit trop curieux.
2. Les interfaces trompeuses : Meta pousse activement les propriétaires de sites à activer la collecte de données personnelles, tandis que Google est plus passif mais plus complexe.
3. Le danger réel : Même si les données sont "hachées" (cryptées), elles peuvent être re-décryptées pour identifier des personnes réelles, surtout dans des domaines sensibles comme la santé.

🛡️ Conclusion : Que faire ?

L'étude suggère que :

• Les propriétaires de sites doivent être plus vigilants et vérifier comment leurs espions sont configurés.
• Les régulateurs (les "polices" d'internet) doivent forcer Google et Meta à changer leurs manuels et leurs boutons par défaut pour protéger les utilisateurs.
• En attendant, des outils comme les bloqueurs de publicité peuvent aider, mais ils ne sont pas parfaits.

En résumé : Ne vous fiez pas à ce que les géants de la tech vous disent dans leurs guides. Parfois, le bouton "Protéger ma vie privée" est caché, et le bouton "Tout partager" est énorme, coloré et placé juste devant vous.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche « Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection », rédigé en français.

1. Problématique et Contexte

La publicité ciblée repose sur la création de profils complets des utilisateurs en reliant leurs activités à travers différents appareils et sites web. Pour y parvenir, les entreprises publicitaires comme Google et Meta incitent les administrateurs de sites web à installer des scripts de suivi (trackers) et à les configurer pour collecter automatiquement des Informations Personnellement Identifiables (PII) à partir des formulaires web (adresses e-mail, numéros de téléphone, noms, etc.).

Le problème central identifié par les auteurs est que les installations de trackers ne sont pas toutes égales : leur capacité à collecter des données dépend entièrement de leur configuration. Bien que des études antérieures aient mesuré la présence de trackers, peu ont analysé comment ces trackers sont configurés pour extraire des données de formulaires, ni comment la documentation et les interfaces utilisateur (UI) des tiers influencent les choix des administrateurs. De plus, dans des secteurs sensibles comme la santé et la finance, cette collecte peut violer des réglementations fédérales américaines (HIPAA, Gramm-Leach-Bliley Act) et les politiques internes de Google et Meta.

2. Méthodologie

L'étude adopte une approche mixte, qualitative et quantitative, se concentrant sur les deux trackers web les plus populaires capables de collecter des données de formulaires : Meta Pixel et Google Tag.

A. Analyse Qualitative (Documentation et Interface)

Les auteurs ont joué le rôle d'administrateurs de sites web pour installer et configurer les deux trackers. Ils ont analysé :

• 17 pages de documentation de Meta et 60 pages de documentation de Google.
• Les flux de configuration (setup flows) et les interfaces utilisateur.
• Objectif : Identifier des « dark patterns » (modèles sombres), des recommandations trompeuses et des contradictions dans la documentation concernant la confidentialité et la collecte de données.

B. Étude de Mesure à Grande Échelle

Les auteurs ont analysé 40 150 sites web (dont 3 406 sites de santé et 1 633 sites financiers), sélectionnés parmi les sites les plus populaires (Tranco) et catégorisés par vertical (santé, finance, autres).

Pipeline de collecte de données :

1. Injection de formulaires : Sur chaque site, un script a injecté un formulaire HTML contenant des champs PII factices (e-mail, téléphone, nom, etc.) et l'a soumis.
2. Capture du trafic : Utilisation de machines virtuelles (Linux/Chrome) pour capturer tout le trafic réseau et les fichiers JavaScript chargés.
3. Détection dynamique : Analyse des requêtes réseau pour détecter si les données factices (hachées selon les standards de Meta et Google) ont été envoyées aux serveurs de Meta ou Google.
4. Analyse statique (Meta uniquement) : Parsing des fichiers de configuration JavaScript chargés par Meta Pixel pour déterminer quels champs PII étaient activés par défaut ou personnalisés.

Validation : Une validation manuelle a été effectuée sur des échantillons pour estimer les faux négatifs (notamment liés aux bannières de consentement aux cookies et à la détection de bots), confirmant que les mesures réelles sont probablement des bornes inférieures.

3. Contributions Clés

1. Méthodologie d'analyse : Création d'un pipeline pour analyser qualitativement la documentation des trackers et quantitativement leurs configurations réelles à grande échelle.
2. Révélation des pratiques de documentation : Mise en évidence du fait que Google et Meta recommandent des configurations « par défaut » peu respectueuses de la vie privée et utilisent un langage trompeur (ex: affirmant que le hachage suffit à protéger la vie privée, ce que la FTC a réfuté).
3. Différence de configuration : Démonstration que les sites configurent beaucoup plus fréquemment Meta Pixel pour collecter des données de formulaires que Google Tag.
4. Violations sectorielles : Identification de sites spécifiques dans les secteurs de la santé et de la finance qui collectent des PII en violation des politiques de Google et Meta.

4. Résultats Principaux

A. Analyse de la Documentation et de l'Interface

• Dark Patterns : Les deux entreprises utilisent des « défauts peu privés » (least private defaults) et des recommandations maximisant la collecte de données.
• Flux Meta Pixel : L'assistant de configuration guide l'administrateur vers l'activation de la collecte de données. Par défaut, 11 champs PII sont sélectionnés automatiquement. L'interface omet souvent les avertissements sur les risques de confidentialité.
• Flux Google Tag : Plus complexe et moins explicite. La collecte de données de formulaires n'est pas intégrée au flux de configuration de base et doit être activée manuellement. Cependant, la documentation contient des contradictions (ex: interdiction de PII vs encouragement à envoyer des données hachées).
• Mythe du hachage : Les deux documents affirment que le hachage (SHA-256) rend les données anonymes, une affirmation démentie par la recherche et la FTC.

B. Résultats Quantitatifs (Prévalence)

• Présence des trackers : Google Tag est présent sur 72,6 % des sites, contre 28,2 % pour Meta Pixel.
• Collecte de données de formulaires (FDC) :
  • Meta Pixel : 62,3 % des sites ayant Meta Pixel sont configurés pour collecter des données de formulaires.
  • Google Tag : Seulement 11,6 % des sites ayant Google Tag sont configurés pour cela.
• Corrélation : La présence de Meta Pixel augmente la probabilité qu'un site configure également Google Tag pour collecter des données (odds ratio de 4,8).

C. Secteurs Sensibles (Santé et Finance)

• Meta : Bien que Meta tente de restreindre la collecte automatique sur les sites déclarés « Santé » ou « Finance », 30,8 % des sites de santé et 20,3 % des sites financiers avec Meta Pixel collectent toujours des données. Cela suggère que de nombreux sites se sont mal classés ou ont contourné les restrictions.
• Google : La collecte de données de formulaires sur Google Tag reste constante (environ 11-13 %) quelle que soit la verticalité, indiquant une absence d'efficacité des restrictions basées sur l'auto-déclaration.
• Exemples de violations : Les auteurs ont identifié des sites de réhabilitation de drogue, de banques et d'assurances configurés pour envoyer des PII.

D. Types de PII Collectés

Pour Meta Pixel, 99,5 % des configurations collectent l'adresse e-mail, 93,7 % le nom complet et 93,5 % le numéro de téléphone. Plus de la moitié des sites utilisent la configuration par défaut qui collecte tous les champs PII supportés.

5. Signification et Implications

Cette étude démontre que la vie privée des utilisateurs est grandement compromise non seulement par la présence de trackers, mais par la manière dont ils sont configurés, souvent guidés par des interfaces et des documents conçus pour maximiser la collecte de données.

• Régulation : Les résultats soulignent l'insuffisance des autorégulations actuelles. Les politiques de Google et Meta sont contournées par des erreurs de configuration ou des auto-déclarations incorrectes.
• Conception technique : Les interfaces de configuration (UI) jouent un rôle crucial dans les décisions de confidentialité. Les « défauts peu privés » et le manque de clarté sur les risques conduisent à des violations involontaires ou délibérées.
• Défenses : Les auteurs proposent des extensions de navigateur (proof-of-concept) pour avertir les utilisateurs lorsque des trackers sont configurés pour collecter des données de formulaires, bien que cela ne résolve pas le problème à la source.

En conclusion, l'article appelle à une action conjointe de l'industrie, du gouvernement et de la communauté de recherche pour améliorer la documentation, modifier les interfaces par défaut et renforcer l'application des réglementations sur la protection des données sensibles.