Blog

L'angle mort des données personnelles dans la sécurité web

Pourtant, les données personnelles transitent par le frontend, là où les contrôles sont plus faibles et la visibilité souvent limitée.

Jul 30, 2025 • 14 min read

Simon Wijckmans Founder & CEO

Les données à caractère personnel (DCP) occupent une place centrale dans les lois sur la vie privée et les normes de traitement des données. La plupart des organisations se concentrent sur la façon dont ces données sont stockées et traitées dans les systèmes backend. Mais les données personnelles transitent aussi par le frontend, là où les contrôles sont plus faibles et la visibilité souvent limitée.

Les scripts côté client introduisent des risques pour la vie privée qui sont difficiles à détecter. Ces scripts servent généralement à l'analyse, à la publicité, à l'amélioration de l'expérience utilisateur ou au traitement des paiements. Une fois chargés dans le navigateur, ils peuvent observer le contenu des pages, interagir avec les formulaires, accéder aux cookies et établir des connexions sortantes.

La plupart des sites web ne suivent pas ce que font ces scripts. En conséquence, ils peuvent exposer des données sensibles à des tiers sans même le savoir.

Pour réduire ce risque, il est essentiel de comprendre ce qui constitue des données personnelles, et de savoir où elles peuvent apparaître dans le navigateur. Notre tableau de bord des comportements, récemment lancé, permet de mettre en lumière ces informations.

Qu'est-ce qui constitue des données personnelles ?

La notion de données à caractère personnel est cohérente dans la plupart des réglementations. Elle désigne toute donnée permettant d'identifier un individu, que ce soit directement ou en la combinant avec d'autres informations.

Exemples courants de données personnelles :

Nom
Adresse personnelle
Numéro de téléphone
Adresse e-mail
Date de naissance
Numéro de carte d'identité ou de passeport
Coordonnées bancaires
Identifiants de connexion

Ce sont tous des identifiants directs. Mais de nombreuses réglementations sur la vie privée incluent également les identifiants indirects lorsqu'ils peuvent être rattachés à une personne. Cela comprend :

Les adresses IP
Les identifiants d'appareils
Les empreintes de navigateur
Les valeurs de cookies
Les données de localisation
Les identifiants de suivi uniques
Les jetons de session

Exigences du RGPD concernant les données personnelles

Le RGPD définit les données personnelles comme suit :

Extrait du considérant 30 du RGPD :

« Les personnes physiques peuvent se voir associer des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole internet, des identifiants de témoins de connexion ou d'autres identifiants tels que des étiquettes d'identification par radiofréquence. »

Lien

Extrait de l'article 4(1) du RGPD :

« Les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable… notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne… »

Lien

Le RGPD cite des exemples spécifiques :

Adresses IP
Identifiants de cookies
Données de localisation
Identifiants en ligne tels que les identifiants d'appareils ou de navigateurs

Tous ces éléments sont couverts par la notion d'« identifiant en ligne ».

Exigences de la HIPAA concernant les données personnelles

La HIPAA définit les données personnelles comme suit :

Extrait des directives de dé-identification de la HIPAA :

« Identifiants d'appareils et numéros de série ; URL web ; adresse de protocole internet (IP) ; … tout autre numéro, caractéristique ou code d'identification unique. »

Lien

La HIPAA définit 18 identifiants qui doivent être supprimés pour dé-identifier les informations de santé protégées (PHI). Ceux-ci comprennent notamment :

Les identifiants d'appareils et numéros de série
Les adresses IP
Les URL web
Tout autre numéro ou code d'identification unique

Exigences de la PCI DSS concernant les données personnelles

La PCI DSS définit les données personnelles comme suit :

Extrait de la PCI DSS v4.0, section 3.3 :

« Masquer le PAN lors de son affichage (les six premiers et les quatre derniers chiffres constituent le nombre maximum de chiffres à afficher). »

Lien

La PCI DSS se concentre spécifiquement sur la protection des données des titulaires de carte et des données d'authentification sensibles. Cela inclut :

Le numéro de compte principal (PAN)
Le nom du titulaire de la carte
La date d'expiration
Le code de service et la valeur de vérification de la carte (CVV, CVC)
Le PIN et les données de bloc PIN
Les données de bande magnétique ou de puce

Contrairement au RGPD ou à la HIPAA, la PCI DSS ne classe pas les adresses IP, les cookies, les identifiants d'appareils ou les identifiants de navigateur comme des données sensibles. Le périmètre de cette norme se limite à la protection des informations de carte de paiement, ce qui est cohérent avec son objectif.

Cependant, tout ce qui précède fait bien entendu aussi partie des données personnelles.

CCPA / CPRA

La CCPA / CPRA définit les données personnelles comme suit :

Extrait de l'Agence californienne de protection de la vie privée :

« Les informations personnelles comprennent toute donnée qui vous identifie, vous concerne, ou pourrait raisonnablement être liée à vous ou à votre foyer, directement ou indirectement… adresse IP. »

Lien

« Toute information qui identifie, concerne, décrit, est susceptible d'être associée à, ou pourrait raisonnablement être liée, directement ou indirectement, à un consommateur ou un foyer particulier. »

Lien

Extrait du projet de loi du Sénat du Colorado 21‑190 :

« "INDIVIDU IDENTIFIÉ OU IDENTIFIABLE" désigne un individu qui peut être facilement identifié, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de géolocalisation spécifiques, ou un identifiant en ligne. »

Lien

La CCPA/CPRA protège un large éventail d'identifiants, notamment :

Les adresses IP
Les identifiants d'appareils
Les empreintes de navigateur
Les valeurs de cookies
Les données de localisation
Les identifiants de suivi uniques
Les jetons de session
L'historique de navigation

Comment les données personnelles sont exposées dans le navigateur

Les données personnelles sont souvent traitées côté frontend. C'est là qu'elles sont visibles par l'utilisateur et saisies dans les formulaires. La visibilité sur ce à quoi les scripts ont accès est limitée, et les comportements sont plus difficiles à contrôler. Presque tous les sites web modernes intègrent des bibliothèques et services JavaScript tiers. Ceux-ci peuvent provenir de fournisseurs d'analyses, de plateformes publicitaires, d'outils de support client ou de prestataires d'optimisation marketing.

Une fois ces scripts chargés dans le navigateur, ils s'exécutent avec un accès complet à la page.

Ils peuvent :

Lire les saisies des formulaires au fur et à mesure que les utilisateurs tapent
Accéder aux cookies et au stockage local
Analyser le DOM et extraire les données visibles
Suivre le comportement des utilisateurs
Effectuer des requêtes réseau vers des domaines externes
…

Certains scripts sont conçus pour collecter ces informations. D'autres y accèdent de manière non intentionnelle en raison de leur implémentation. Et surtout : tous les scripts ont techniquement accès à ces données personnelles.

Autrement dit : des données personnelles peuvent être exposées à des systèmes hors de votre contrôle.

Ces données n'ont pas besoin d'être stockées dans une base de données pour créer un risque. Si un script envoie des saisies de formulaire ou des données de cookies vers un serveur externe, cela constitue un transfert de données personnelles. Si ce script appartient à un prestataire que vous ne contrôlez pas entièrement, ou à un domaine que vous ne reconnaissez pas, cela peut rapidement devenir un problème de conformité.

La plupart des sites web ne journalisent pas ce qui se passe dans le navigateur. Cela rend l'activité côté client difficile à auditer. Même une surveillance avancée côté serveur ne capturera pas ces comportements.

Notre tableau de bord des comportements contribue désormais à combler cette lacune.

Il suit deux types critiques d'exposition :

Les données de requêtes : quels scripts effectuent des requêtes sortantes et vers quels domaines.
L'accès aux formulaires : quels scripts lisent ou interagissent avec les champs de saisie.

Si un script lit l'adresse e-mail d'un utilisateur ou l'envoie à un serveur externe, le tableau de bord l'enregistrera. Si un jeton de session est envoyé à un pixel de suivi ou à un domaine d'analyse, cela apparaîtra également. Ces informations peuvent aider les équipes à détecter des expositions accidentelles ou des violations de politique avant qu'elles ne s'aggravent.

Les données personnelles peuvent donc être exposées sans qu'il y ait de violation de vos serveurs. Elles peuvent être traitées, consultées et transmises entièrement dans le navigateur. Si cette activité n'est pas surveillée, vous ne savez pas quand ni quelles données personnelles sont partagées avec des tiers.

Les réglementations sur la vie privée vous imposent de contrôler les données personnelles de vos clients. Et cela inclut ce qui se passe côté client. En comprenant ce qui constitue des données personnelles et comment elles circulent dans le frontend, vous pouvez réduire les risques et satisfaire aux exigences de conformité.

Surveiller l'accès aux formulaires et le comportement des scripts sortants est une étape concrète. Cela permet de révéler des problèmes que les outils backend manquent souvent. Cela donne aussi une image plus fidèle de la façon dont les données personnelles circulent sur votre site web dans des conditions réelles.

Questions supplémentaires

Q : Qu'est-ce que les données à caractère personnel (DCP) et pourquoi sont-elles importantes pour les sites web ?

Les DCP désignent toute donnée permettant d'identifier quelqu'un. Parfois cela se fait directement, d'autres fois en combinant des données personnelles avec des données publiques. Les DCP incluent des éléments évidents comme les noms, adresses e-mail et numéros de téléphone. Mais elles couvrent aussi des données moins visibles comme les adresses IP, les identifiants d'appareils et les valeurs de cookies.

Les lois sur la vie privée telles que le RGPD, la CCPA et la HIPAA vous imposent de protéger ces données.

Q : Comment les données à caractère personnel peuvent-elles être exposées via le frontend de mon site web à mon insu ?

Le frontend de votre site web exécute des scripts tiers avec un accès complet à la page. Ces scripts peuvent lire des informations personnelles au fur et à mesure que les utilisateurs remplissent des formulaires. Ils peuvent accéder aux cookies, capturer des données et les exfiltrer vers des serveurs externes. La plupart des sites web ne suivent pas ce que font ces scripts, ce qui signifie que des données personnelles peuvent être partagées à votre insu.

Q : Quels types de données personnelles sont couverts par les lois sur la vie privée ?

Les lois sur la vie privée couvrent à la fois les informations personnelles directes et indirectes.

Les identifiants directs comprennent : les noms, adresses, numéros de téléphone, adresses e-mail et numéros de sécurité sociale.

Les identifiants indirects sont par exemple : les adresses IP, les identifiants d'appareils, les empreintes de navigateur, les valeurs de cookies et les jetons de session.

Tout cela, dans le domaine de la cybersécurité et au-delà.

La plupart des réglementations définissent les données personnelles comme toute donnée permettant d'identifier une personne, directement ou en la combinant avec d'autres informations. Les différentes lois ont des catégories différentes, mais savoir ce qui compte comme donnée personnelle vous aide à rester conforme dans l'ensemble.

Q : Pourquoi les outils de sécurité traditionnels ne détectent-ils pas les expositions de données personnelles côté client ?

Les outils de sécurité traditionnels se concentrent sur le côté serveur. Mais l'exposition des données personnelles côté client se produit réellement dans le navigateur de l'utilisateur, pas sur vos serveurs — du moins pas dans un premier temps.

Lorsqu'un script tiers lit des informations d'identification personnelle depuis des formulaires et les envoie vers un domaine externe, cette activité n'apparaît pas dans vos journaux serveur.

Une surveillance côté client est nécessaire pour voir quelles données personnelles sont consultées et où elles vont.

Q : Quels comportements côté client spécifiques dois-je surveiller pour protéger les données personnelles ?

Vous devez surveiller deux choses :

1) quels scripts effectuent des requêtes sortantes.

2) quels scripts accèdent aux champs de formulaire contenant des informations personnelles.

Notre tableau de bord des comportements suit cette activité. Il indique quand des scripts accèdent à des données comme des adresses e-mail ou envoient des informations personnelles vers des domaines de suivi. Il signale également quand des données personnelles sont exfiltrées vers des serveurs externes. Cela vous aide à identifier ce qui constitue une exposition de données personnelles.

Q : En quoi la PCI DSS diffère-t-elle des autres lois sur la vie privée concernant les données personnelles ?

La norme PCI DSS a un périmètre plus restreint que des cadres comme le RGPD, la CCPA ou la HIPAA. Elle s'applique spécifiquement aux informations de carte de paiement, et non aux données personnelles en général. Cependant, les deux relèvent du même ensemble d'obligations.

La PCI DSS définit les données des titulaires de carte comme les numéros de compte principaux (PAN), les noms des titulaires et les dates d'expiration. Elle ne classe pas les adresses IP, les cookies ou d'autres identifiants indirects comme des données sensibles.

Les entreprises doivent protéger tous les types d'informations personnelles en vertu des lois plus larges sur la vie privée, tout en respectant les exigences de la PCI DSS pour la sécurisation des données de paiement. Plus d'informations à ce sujet ici.

Q : Quand une exposition de données personnelles côté client constitue-t-elle une violation de conformité ?

Une violation de conformité survient lorsque des informations personnelles sont transmises à des tiers sans autorisation. Si un script envoie des saisies de formulaire ou des données de cookies vers un serveur externe que vous ne contrôlez pas, c'est une violation des règles de confidentialité — en plus du partage manuel de ces données, bien entendu.

Savoir ce qui constitue des données personnelles et suivre où elles vont vous aide à rester conforme au RGPD, à la CCPA, à la HIPAA et aux autres cadres de protection de la vie privée.

Q : Qui est responsable de la surveillance des expositions de données personnelles côté client au sein d'une organisation ?

La surveillance et la protection des informations personnelles nécessitent l'implication de toute l'entreprise. Cela vaut aussi bien pour les grandes que pour les petites structures. Certaines organisations disposent de responsables de la protection des données à temps plein, d'autres n'ont peut-être qu'un développeur sensibilisé aux questions de confidentialité.

L'ensemble de l'entreprise doit comprendre comment les données personnelles circulent, afin de pouvoir satisfaire aux obligations de déclaration prévues par des lois comme le RGPD, la CCPA et la HIPAA.

La responsabilité ultime incombe à la direction de l'entreprise.

Q : Quelles sont les façons les plus courantes dont les sites web exposent involontairement des données personnelles via des scripts tiers ?

Les expositions courantes se produisent via des scripts par ailleurs ordinaires qui sont piratés ou deviennent malveillants :

Des scripts d'analyse qui capturent soudainement des données de formulaire au-delà de leur périmètre
Des pixels publicitaires qui lisent des cookies en dehors de leurs domaines désignés
Des widgets de support qui accèdent aux saisies des utilisateurs dans des formulaires non autorisés
Des scripts conçus pour une collecte de données légitime qui dépassent leurs limites
… et bien d'autres

Certains scripts collectent intentionnellement des données personnelles par conception. D'autres le font par accident ou avec une intention malveillante.

Savoir quelles informations personnelles sont collectées et où elles vont permet d'éviter les fuites accidentelles.

Q : Quel niveau de risque l'activité côté client non surveillée représente-t-elle pour mon entreprise ?

Les autorités de régulation au titre du RGPD, de la CCPA et de la HIPAA peuvent infliger — et ont déjà infligé — de lourdes amendes pour mauvaise gestion des données personnelles. Les clients s'attendent également à ce que leurs données soient protégées. Les violations impliquant des informations personnelles nuisent à la confiance et à la réputation. Des recours collectifs ont déjà été intentés et remportés par le passé.

Q : Quelles mesures immédiates puis-je prendre pour minimiser les risques d'exposition de données personnelles côté client ?

Commencez par auditer tous les scripts tiers pour voir à quelles informations personnelles ils peuvent accéder. Mettez en place des outils de détection d'exfiltration de données pour avoir une visibilité sur ces scripts. Ensuite, surveillez-les et protégez-les.

Révisez vos politiques de confidentialité pour vous assurer qu'elles décrivent comment les données circulent et sont capturées sur votre frontend.

Mettez en œuvre à la fois des protections traditionnelles côté serveur et des protections côté client.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.