Skip to main content
Blog
Blog Attacks

Shadow tracking pixels sur les sites de jeux d'argent : le problème de conformité GDPR et publicitaire que les opérateurs ne voient pas

Des pixels Facebook, TikTok ou LinkedIn non autorisés sur les sites de jeux d'argent déclenchent une double responsabilité GDPR et publicitaire.

Jun 26, 2026 16 min read
Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels de suivi invisibles et le risque publicitaire dans les jeux
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Les opérateurs de jeux d'argent agréés savent qu'ils ne peuvent pas faire de publicité sur Facebook, TikTok ou LinkedIn. Les politiques des plateformes interdisent la publicité pour les jeux d'argent dans la plupart des juridictions sans exemptions spécifiques, et même lorsque des exemptions existent, le ciblage d'adultes consentants est strictement réglementé. Ce que de nombreux opérateurs ignorent, c'est que des pixels de ces mêmes plateformes peuvent déjà se déclencher sur leurs sites web, placés là par des scripts d'affiliés, des shadow tag manager containers, ou des outils marketing compromis, à leur insu et sans leur consentement. Au premier trimestre 2025, cside a détecté plus de 300 000 signaux d'attaque sur les sites surveillés, le déclenchement de pixels non first-party figurant constamment parmi les principales catégories révélées. Le rapport IBM Cost of a Data Breach 2024 établit le coût moyen mondial d'une violation de données à 4,88 millions de dollars, un chiffre qui ne tient pas compte des suspensions de comptes publicitaires et des mesures d'exécution réglementaires que les shadow pixels peuvent spécifiquement déclencher pour les opérateurs de jeux d'argent. Ce n'est pas seulement un problème de sécurité. C'est simultanément un risque d'exécution GDPR et un risque de conformité aux politiques des plateformes publicitaires. En travaillant avec des opérateurs de jeux d'argent agréés, j'ai constaté que les shadow pixels sont presque toujours l'exposition à la conformité que personne n'avait planifiée, placés par des scripts que personne dans l'équipe sécurité ne savait être en cours d'exécution.

Comment les shadow pixels atteignent les sites de jeux d'argent

Réponse rapide : les shadow pixels arrivent sur les sites de jeux d'argent via trois voies principales : le JavaScript d'affiliés qui intègre un pixel dans sa stack de tracking, les shadow GTM containers ajoutés par des équipes marketing ou des agences qui incluent des tags pixel de plateformes sociales, et la compromission de la supply chain de bibliothèques tierces qui injectent du code pixel à l'insu de l'opérateur. Dans chaque cas, le pixel se déclenche sur les joueurs sans que leur consentement n'ait été collecté à cette fin.

Comprendre les mécanismes est la première étape pour traiter la responsabilité. Un shadow pixel n'est pas planté par un attaquant sophistiqué de la façon dont un skimmer Magecart l'est. Le plus souvent, il arrive via des processus opérationnels de routine qui n'ont aucune supervision de sécurité.

Les trois voies les plus courantes pour les plateformes iGaming :

  • Scripts de tracking d'affiliés : un réseau d'affiliés fournit un snippet JavaScript qui déclenche un postback lors de l'inscription ou du dépôt d'un joueur. À l'intérieur de ce snippet, soit explicitement soit via une dépendance incluse par l'affilié, se trouve un appel Facebook Pixel ou TikTok Pixel. Le pixel se déclenche avec un ID de pixel non first-party, ce qui signifie que les données vont vers un compte publicitaire qui n'est pas le vôtre. Les données du browser du joueur, incluant l'adresse IP et les signaux comportementaux, sont envoyées à la plateforme.

  • Shadow GTM containers : comme détaillé séparément, un container GTM non autorisé peut publier n'importe quel tag, y compris des pixels de plateformes sociales. Un manager marketing ou un membre du personnel d'agence ajoute un container à un ou plusieurs domaines de casino, publie un tag TikTok Pixel à l'intérieur, et le pixel commence à se déclencher sur toutes les sessions de joueurs sur ces domaines. La sécurité n'est pas dans la boucle.

  • Compromission de la supply chain : une bibliothèque JavaScript utilisée pour les analyses de session, les widgets de chat ou les tests A/B est compromise par un tiers qui ajoute du code de chargement de pixel dans une mise à jour de version mineure. La divulgation Sansec de Polyfill.js en juin 2024 a démontré que plus de 490 000 sites pouvaient être simultanément affectés par un seul script compromis hébergé sur un CDN. Le même vecteur peut délivrer des payloads de pixel.

Dans les trois scénarios, le pixel se déclenche sur les appareils des joueurs et envoie des données vers une plateforme de publicité sociale. L'opérateur ne l'a pas autorisé. Le joueur n'y a pas consenti à cette fin. Et ni l'opérateur ni le joueur ne sait que cela se produit.

Pourquoi les shadow pixels sont invisibles pour les outils au niveau réseau

Réponse rapide : les appels pixel sont des requêtes HTTPS standard vers des domaines comme facebook.com, tiktok.com ou linkedin.com, des destinations légitimes et largement approuvées que les outils au niveau réseau ne signalent pas. La requête est identique qu'elle provienne d'un pixel first-party autorisé ou d'un shadow pixel installé sans consentement. Seule la surveillance au niveau du browser peut les distinguer en examinant quel script a initié la requête et quel ID de pixel il transportait.

Cette invisibilité est ce qui fait des shadow pixels un risque de conformité persistant plutôt qu'une anomalie détectable. Les journaux réseau montreront des requêtes sortantes vers facebook.com/tr/, analytics.tiktok.com, ou px.ads.linkedin.com. Ce sont des domaines attendus et légitimes qui apparaissent dans le trafic réseau de millions de sites web. Il n'y a pas de signature à bloquer.

Ce que les outils réseau ne peuvent pas déterminer :

  • Quel script sur la page a initié l'appel pixel
  • Si l'ID de pixel dans la requête appartient à l'opérateur ou à un tiers
  • Si un signal de consentement valide a été collecté pour ce transfert de données spécifique avant le déclenchement du pixel
  • Si le pixel se déclenche sur toutes les sessions ou seulement sur des segments d'utilisateurs spécifiques

Une règle de pare-feu standard ou une inspection au niveau CDN voit : GET https://www.facebook.com/tr/?id=XXXXXXXXXX&ev=PageView. Elle ne dispose d'aucun mécanisme pour croiser cet ID de pixel avec une liste approuvée, ni pour vérifier si le script qui a effectué l'appel était autorisé par l'opérateur du site.

La Content Security Policy ne aide pas non plus. La CSP autorise ou bloque des domaines, pas des IDs de pixels individuels ni les scripts qui les chargent. connect-src facebook.com est une permission binaire. Elle ne peut pas distinguer entre un pixel autorisé et un shadow pixel du même domaine.

La double responsabilité : GDPR et politique de la plateforme publicitaire

Réponse rapide : les shadow pixels sur les sites de jeux d'argent créent deux expositions juridiques simultanées. En vertu de l'article 5 du GDPR, collecter et transférer des données comportementales des joueurs vers des réseaux publicitaires tiers sans base juridique valide et consentement approprié est une violation de la protection des données. L'amende de 20 millions de livres sterling de l'ICO contre British Airways illustre les enjeux de l'exécution. Séparément, les plateformes publicitaires dont les pixels se déclenchent peuvent suspendre ou déplatformer les comptes publicitaires de l'opérateur lorsqu'une activité pixel liée aux jeux d'argent est détectée sur des domaines non conformes.

Ces deux responsabilités sont indépendantes. Résoudre l'une ne résout pas l'autre. Et les deux peuvent se matérialiser à partir du même pixel non autorisé se déclenchant sur votre site.

La dimension GDPR :

L'article 5 du GDPR exige que les données personnelles soient traitées de manière licite, loyale et transparente. Lorsqu'un pixel se déclenche et envoie l'adresse IP d'un joueur, des identifiants d'appareil et des données comportementales vers une plateforme de publicité sociale, c'est un transfert de données personnelles. Pour que ce soit licite, l'opérateur a besoin d'une base valide, généralement un consentement explicite collecté avant le déclenchement du pixel. Si le pixel a été placé à l'insu de l'opérateur, aucun mécanisme de consentement n'a été configuré pour lui. Chaque session où le pixel se déclenche est une potentielle violation du GDPR.

Le contexte de l'exécution n'est pas abstrait. L'Information Commissioner's Office britannique a infligé une amende de 20 millions de livres sterling à British Airways pour des défaillances qui ont permis à des scripts tiers de collecter des données de passagers. Bien que ce cas concernait spécifiquement la collecte d'identifiants plutôt que des pixels, le principe réglementaire est identique : vous êtes responsable de ce que JavaScript exécute sur votre domaine et des données qu'il envoie à des tiers. L'ignorance de l'existence du pixel n'est pas une défense.

La dimension politique de la plateforme publicitaire :

Facebook, TikTok et LinkedIn interdisent aux opérateurs de jeux d'argent de faire de la publicité sur leurs plateformes dans la plupart des marchés, ou exigent une approbation spécifique pour la catégorie restreinte. Lorsqu'un shadow pixel se déclenche sur un site de jeux d'argent, il lie le domaine de l'opérateur à un ID de pixel associé à un compte publicitaire. Si la plateforme détecte une activité pixel liée aux jeux d'argent depuis un domaine non approuvé, le compte publicitaire lié peut être suspendu. Cela peut avoir des conséquences significatives si l'opérateur mène des campagnes publicitaires légitimes sur cette plateforme pour des produits non liés aux jeux d'argent ou dans des marchés approuvés, car l'ensemble du compte peut être à risque.

La nature duale de cette responsabilité signifie que les équipes conformité, les DPO et les équipes d'opérations marketing ont toutes un intérêt à détecter les shadow pixels. Ce n'est pas uniquement un problème de sécurité ou d'ingénierie.

Type de responsabilitéOrganisme réglementaire/d'exécutionConséquence potentielle
Transfert de données GDPR sans consentementICO (Royaume-Uni), DPA nationales (UE)Amendes jusqu'à 4 % du chiffre d'affaires annuel mondial
Violation de la politique de la plateforme publicitaireFacebook, TikTok, LinkedInSuspension ou interdiction permanente du compte publicitaire
Exposition combinéeLes deux simultanémentAmende réglementaire plus perte de capacité publicitaire

Comment cside détecte les IDs de pixels non first-party sur toutes les sessions

Réponse rapide : cside instrumente 100 % des sessions utilisateurs réelles au niveau du browser et identifie chaque script qui se déclenche, chaque requête réseau que ces scripts effectuent, et chaque ID de pixel contenu dans ces requêtes. Lorsqu'un ID de pixel est détecté qui ne correspond pas à l'inventaire de pixels autorisés de l'opérateur, cside émet une alerte avec le contexte complet : quel script l'a déclenché, vers quel domaine il a été envoyé, et quelles pages et segments d'utilisateurs ont été exposés.

L'approche de cside pour la détection des pixels va au-delà de l'identification qu'une requête a été effectuée vers un domaine de plateforme sociale. Elle révèle l'ID de pixel dans la requête, le mappe au script qui l'a déclenché, et identifie le container ou le contexte du tag manager qui a chargé ce script.

Pour une plateforme de jeux d'argent multi-marques, cela signifie :

  • Un inventaire unifié des IDs de pixels sur tous les domaines : cside affiche chaque ID de pixel distinct observé se déclencher, par domaine, mis à jour en temps réel
  • Classification first-party versus third-party : les IDs de pixels autorisés sont enregistrés dans l'inventaire de scripts de la plateforme ; tout ID de pixel ne figurant pas sur la liste approuvée déclenche une alerte
  • Attribution des scripts : pour chaque événement de shadow pixel, cside identifie le script exact qui a effectué l'appel, qu'il s'agisse d'un snippet JS d'affilié, d'un tag dans un container GTM, ou d'une bibliothèque tierce modifiée
  • Validation du timing du consentement : cside peut révéler si un pixel s'est déclenché avant ou après une interaction de consentement, ce qui est directement pertinent pour démontrer la conformité GDPR ou identifier des violations
  • Couverture 100 % des sessions : parce que cside surveille chaque session plutôt qu'un échantillon, il capture le déploiement de pixels ciblé géographiquement ou par segment que la surveillance par échantillonnage manquerait statistiquement

Les approches de surveillance par proxy interceptent le trafic au niveau réseau avant qu'il n'atteigne le browser. Cela révèle une partie de l'activité des pixels mais ne peut pas observer le contexte d'exécution JavaScript complet : spécifiquement, quel script a chargé le pixel, dans quel container, et dans quelles conditions de déclenchement. Les approches par proxy réseau ont également des limitations inhérentes d'échantillonnage sur les plateformes à fort trafic.

Au-delà de la détection, cside fournit un contrôle des permissions par fournisseur. Un fournisseur de pixel d'analyse ou d'attribution peut se voir attribuer un profil de permissions qui bloque son accès à l'API Payment Request, aux écritures de cookies, ou au localStorage, appliqué au niveau du browser. Cela signifie que même si le code d'un fournisseur de pixels est ultérieurement compromis, un script pixel piraté ne peut pas accéder aux champs de paiement ou aux données de session parce que le profil de permissions l'en empêche quelle que soit la tentative du script.

Dans notre surveillance des opérateurs de jeux d'argent agréés, le déclenchement non autorisé de pixels est l'une des expositions à la conformité les plus courantes que nous révélons lors du premier déploiement. Les opérateurs ne sont généralement pas conscients que des pixels se déclenchent parce que le domaine pixel (facebook.com, analytics.tiktok.com) apparaît dans leurs journaux réseau comme une destination habituelle et attendue. Sans attribution au niveau du browser reliant la requête à un script et un container spécifiques, il n'existe aucun mécanisme pour déterminer si l'ID de pixel appartient à l'opérateur ou à un tiers.

Ce que la première session de surveillance trouve sur une plateforme de jeux d'argent

Lorsque nous avons effectué la première session de surveillance cside sur une grande plateforme européenne de jeux d'argent en ligne multi-marques plus tôt cette année, la préoccupation immédiate de l'équipe conformité était le GDPR. Ce que l'inventaire au niveau du browser a révélé le premier jour était plus spécifique que prévu. Sur le domaine de marque initial surveillé, cside a identifié plusieurs pixels de plateformes sociales se déclenchant sur des pages de joueurs en production, portant des IDs de pixels qui n'appartenaient pas à l'opérateur. Les pixels étaient arrivés via des snippets JavaScript d'affiliés intégrés lors de la configuration des campagnes. L'équipe marketing avait ajouté les tags d'affiliés de bonne foi dans le cadre d'accords légitimes. Personne n'avait audité ce que les scripts d'affiliés contenaient d'autre.

Les pixels se déclenchaient sur chaque session, sans porte de consentement, envoyant les adresses IP des joueurs et des signaux comportementaux vers des comptes publicitaires externes. L'équipe conformité n'avait aucune visibilité préalable sur cela parce que les domaines pixel (facebook.com, analytics.tiktok.com) apparaissaient dans leurs journaux réseau comme des destinations habituelles et attendues. Il n'y avait pas d'alerte et aucun mécanisme pour croiser les IDs de pixels avec une liste approuvée. Dans les 24 heures suivant le début de la surveillance, la plateforme disposait d'un inventaire complet de chaque ID de pixel se déclenchant sur le domaine de test, incluant quels scripts les délivraient, sur quelles pages ils étaient actifs, et depuis combien de temps ils semblaient fonctionner. Le DPO a initié une évaluation au titre de l'article 33 le même jour.

Flux de remédiation : de la détection à la résolution

Réponse rapide : lorsque cside révèle un pixel non autorisé, le flux de remédiation comporte quatre étapes : confinement immédiat (bloquer le script ou container délivrant le pixel), évaluation de l'impact (déterminer quels domaines, plages de dates et segments d'utilisateurs ont été exposés), évaluation de la notification réglementaire (évaluer si un rapport de violation est requis en vertu de l'article 33 du GDPR), et amélioration du processus (mettre à jour votre processus de gouvernance des scripts pour éviter la récurrence).

La remédiation n'est pas uniquement un exercice technique. Parce que les shadow pixels peuvent constituer une violation de données personnelles en vertu du GDPR, la réponse de conformité doit s'exécuter en parallèle avec la correction technique.

  1. Confinement : identifier le script ou le container GTM délivrant le pixel non autorisé et le supprimer des domaines affectés. L'attribution d'exécution de cside vous indique exactement quel actif cibler, éliminant les conjectures d'un audit manuel.

  2. Délimitation de l'impact : déterminer la plage de dates pendant laquelle le pixel se déclenchait, quels domaines étaient affectés, et approximativement combien de sessions ont été exposées. Ces données sont requises pour toute notification réglementaire et pour le dossier d'incident interne.

  3. Évaluation réglementaire : en vertu de l'article 33 du GDPR, une violation de données personnelles doit être signalée à l'autorité de contrôle compétente dans les 72 heures si elle est susceptible d'entraîner un risque pour les droits et libertés des personnes. Transférer des données comportementales de joueurs vers une plateforme de publicité sociale sans consentement peut atteindre ce seuil. Votre DPO doit faire cette évaluation rapidement, avec les données de délimitation de l'impact de l'étape deux.

  4. Mise à jour du processus : le shadow pixel a atteint votre site parce qu'un script a été ajouté sans revue de sécurité. Mettre en œuvre un processus de contrôle des modifications qui exige que tous les nouveaux scripts, containers tag manager et intégrations JavaScript tierces soient examinés et approuvés avant d'être mis en production sur un domaine de votre portefeuille. Le système d'alertes en temps réel de cside fonctionne comme mécanisme d'application continue de cette politique une fois en place.

Résumé

Les shadow pixels créent une exposition à la conformité qui est invisible par conception. Les domaines pixel semblent légitimes dans les journaux réseau. Le flux de consentement sur votre site n'a pas connaissance d'un pixel qu'il n'a pas configuré. Votre CMP ne peut pas contrôler ce qu'il ne voit pas. La seule couche capable d'attribuer un appel pixel à son script d'origine, de croiser l'ID de pixel avec un inventaire approuvé, et de le signaler en temps réel est celle qui s'exécute dans le browser. Pour les opérateurs de jeux d'argent agréés avec des obligations GDPR et des restrictions de plateformes publicitaires, la surveillance continue au niveau du browser n'est pas une amélioration optionnelle. C'est le mécanisme qui rend la responsabilité en vertu de l'article 5(2) du GDPR opérationnellement possible. La solution Privacy Watch de cside fournit un inventaire complet des pixels à partir de sessions de joueurs réelles, recoupé avec votre configuration de consentement, avec des alertes pour chaque destination non déclarée. Pour le contexte sur la façon dont les scripts non autorisés atteignent vos domaines via les tag managers, consultez notre guide sur les shadow GTM containers sur les plateformes de jeux d'argent multi-marques.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Un shadow pixel est un pixel de tracking d'une plateforme de publicité sociale (généralement Facebook, TikTok ou LinkedIn) qui se déclenche sur votre site de jeux d'argent sans votre autorisation. Il y est placé via un script tiers, un snippet d'affilié, ou un container tag manager non autorisé. Le pixel envoie les données comportementales des joueurs vers un compte publicitaire externe qui n'est pas le vôtre, sans que le consentement du joueur ait été collecté à cette fin.

En vertu du GDPR, les opérateurs sont responsables de tout traitement de données personnelles survenant sur leurs domaines, y compris les données transférées à des tiers par des scripts qu'ils n'ont pas consciemment autorisés. Le principe de responsabilité de l'article 5(2) signifie que vous devez être en mesure de démontrer que tout traitement est licite. Vous ne pouvez pas invoquer le manque de connaissance comme défense si un pixel se déclenchait sur votre site et que vous n'aviez pas de surveillance en place pour le détecter.

Une CMP bloque les scripts figurant dans sa configuration de consentement aux cookies de se déclencher avant que le consentement ne soit obtenu. Un shadow pixel qui ne figure pas dans votre configuration CMP n'est pas couvert par elle. La CMP n'en a pas connaissance et ne peut pas le bloquer ni le contrôler. C'est pourquoi la surveillance des scripts au niveau du browser opérant indépendamment de votre configuration CMP est nécessaire pour détecter et révéler les pixels non autorisés.

Si une plateforme de publicité sociale détecte qu'un pixel lié à l'un de leurs comptes publicitaires se déclenche sur un domaine de jeux d'argent dans un marché où la publicité pour les jeux d'argent n'est pas approuvée, elle peut suspendre le compte publicitaire lié. Cela peut affecter les campagnes publicitaires légitimes en cours depuis ce compte, y compris les campagnes dans des marchés approuvés ou pour des produits non liés aux jeux d'argent. Le risque de suspension s'applique que l'opérateur ait sciemment placé le pixel ou non.

Un audit ponctuel est insuffisant parce que votre environnement de scripts tiers change chaque fois qu'un accord d'affilié est signé, qu'une nouvelle marque est lancée ou qu'un container GTM est republié. La surveillance continue au niveau du browser qui alerte en temps réel lorsqu'un nouvel ID de pixel est détecté est la seule approche opérationnellement viable à l'échelle d'une plateforme de jeux d'argent multi-marques. Les audits manuels sont un complément utile mais ne peuvent pas remplacer une couverture continue.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Réserver une démonstration
Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration