Une patate chaude : La collecte de données est devenue si omniprésente que la plupart des gens supposent simplement que tout site Web ou application qu’ils utilisent les suit. En effet, même après la récente répression de la vie privée d’Apple, Meta a été pris en flagrant délit de suppression de données personnelles via une faille. Cependant, même les utilisateurs les plus avertis pourraient être surpris que TikTok les suive même s’ils n’ont jamais utilisé le site Web ou l’application de l’entreprise.
Selon une enquête de Consumer Reports (CR) publiée la semaine dernière, TikTok a été plantation trackers appelés “pixels” sur des centaines de sites Web. Partenariat avec une société de sécurité Déconnecter, CR a examiné environ 20 000 sites Web recherchant spécifiquement les pixels de TikTok. Le pool comprenait les 1 000 sites Web les plus visités et bon nombre des plus grands domaines .org, .edu et .gov, car ceux-ci ont tendance à contenir des données utilisateur plus sensibles.
L’étude a révélé que des centaines d’entreprises partagent des données avec TikTok. Parmi les principaux exemples de sites Web permettant à TikTok d’intégrer des pixels, citons l’Église méthodiste unie, Weight Watchers et Planned Parenthood. Le plus troublant est peut-être le partage par le Département de la sécurité économique de l’Arizona des données des utilisateurs concernant les visites de ses pages sur la violence domestique et l’aide alimentaire. Soit dit en passant, aucun de ces groupes ne répondrait aux demandes de commentaires de CR. Grosse surprise.
“J’ai été vraiment surpris que les trackers de TikTok soient déjà aussi répandus”, a déclaré Patrick Jackson, directeur de la technologie de Disconnect. “Je pense que les gens sont conditionnés à penser, ‘Facebook est partout, et peu importe, ils vont obtenir mes données.’ Je ne pense pas que les gens associent cela à TikTok pour le moment.”
“La seule raison pour laquelle cela fonctionne est que c’est une opération secrète. Cela ne devrait pas se passer dans l’ombre.” — Déconnecter
Consumer Reports indique que le nombre de pixels Meta et Google qu’il a trouvé éclipse de loin celui de TikTok. Cependant, il a souligné que la plateforme publicitaire de TikTok ne fait que commencer, alors que Google et Facebook/Meta y travaillent depuis des années.
Consumer Reports s’intéressait principalement aux données personnelles d’organisations avec lesquelles les utilisateurs auraient probablement un problème, comme les hôpitaux ou les groupes de défense. Les analystes ont examiné de près les pixels TikTok identifiés pour voir quelles informations ils partageaient. Les pixels TikTok transmettent régulièrement les adresses IP des visiteurs, les numéros d’identification uniques, les pages consultées par les utilisateurs et ce qu’ils cliquent et saisissent. Il a également accès aux demandes de recherche. Tout cela indépendamment du fait que l’utilisateur possède ou non un compte TikTok.
Lorsqu’on lui a demandé de commenter, la porte-parole de TikTok, Melanie Bosselait, a déclaré: “Comme d’autres plateformes, les données que nous recevons des annonceurs sont utilisées pour améliorer l’efficacité de nos services publicitaires.”
Bosselait a ajouté que son entreprise ne crée pas de profils à vendre aux annonceurs. Elle affirme également que les données des utilisateurs non-TikTok ne sont utilisées que pour “les rapports agrégés qu’ils envoient aux annonceurs sur leurs sites Web”.
“Nous travaillons en permanence avec nos partenaires pour éviter la transmission par inadvertance de [certain sensitive] données », affirme TikTok. Ce type d’informations comprendrait tout ce qui concerne les conditions de santé, les finances personnelles ou les enfants.
Toutefois, CR indique que des enquêtes antérieures ont montré que même si des sites comme Meta et Goole ont des politiques interdisant la transmission de données sensibles, les trackers les envoient souvent malgré tout. Les pixels de TikTok ne sont pas différents.
Par exemple, CR a examiné le domaine national des éclaireuses et a constaté que TikTok avait un pixel sur chaque page du site Web qui peut transmettre des informations personnelles si un enfant visite. Les analystes ont également découvert que la recherche de “dysfonction érectile” sur WebMD a conduit le tracker à renvoyer la requête à TikTok.
Ce ne sont que quelques exemples qui ont renvoyé des informations sensibles à l’entreprise malgré ses déclarations et règles de confidentialité. Si les utilisateurs savaient qu’un site Web qu’ils ne visitent même pas avait accès à ces données, ils seraient probablement scandalisés.
“La seule raison pour laquelle cela fonctionne, c’est parce que c’est une opération secrète”, a déclaré Jackson. “Certaines personnes pourraient ne pas s’en soucier, mais les gens devraient avoir le choix. Cela ne devrait pas se produire dans l’ombre.”
Certains dirigeants d’entreprise ne savaient pas quelles données leur entreprise partageait ni avec qui. Consumer Reports a informé la clinique Mayo que son site Web public (et non le portail des patients) partageait des données avec TikTok. Disconnect a vérifié plus tard pour constater que la clinique avait supprimé le tracker TikTok mais que le site utilisait toujours un “nombre considérable” d’autres pixels, y compris ceux de Microsoft, Google et autres.
Actuellement, les consommateurs ne peuvent pas faire grand-chose face à cette situation. Cependant, CR note que le passage à des navigateurs plus respectueux de la vie privée tels que Firefox ou Brave et le renforcement des paramètres de sécurité peuvent réduire considérablement le suivi. Les extensions de protection de la vie privée sont également utiles.
Crédits image : Application TikTok de Solen Feyissa, Chaîne de valeur des données par Open Data Watch