Des sites web de déclaration d’impôts ont envoyé les informations financières des utilisateurs à Facebook.

Des services tels que TaxAct, TaxSlayer et H&R Block envoient des données sensibles.

D’importants services de déclaration d’impôts tels que H&R Block, TaxAct et TaxSlayer ont discrètement transmis des informations financières sensibles à Facebook lorsque les Américains déclarent leurs impôts en ligne.

Les données, envoyées par le biais d’un code largement utilisé appelé Meta Pixel, comprennent non seulement des informations telles que les noms et les adresses électroniques, mais souvent des informations encore plus détaillées, notamment des données sur les revenus des utilisateurs, leur statut fiscal, le montant des remboursements et le montant des bourses d’études des personnes à charge.

Les informations envoyées à Facebook peuvent être utilisées par la société pour alimenter ses algorithmes publicitaires et sont recueillies indépendamment du fait que la personne qui utilise le service de déclaration d’impôts ait un compte sur Facebook ou sur d’autres plateformes exploitées par son propriétaire, Meta.

Chaque année, l’Internal Revenue Service traite environ 150 millions de déclarations individuelles transmises par voie électronique, et certains des services de déclaration électronique les plus utilisés emploient le pixel, a constaté The Markup.

Lorsque les utilisateurs s’inscrivent pour remplir leur déclaration d’impôts auprès du service populaire TaxAct, par exemple, ils sont invités à fournir des informations personnelles pour calculer leur déclaration, notamment le montant de leurs revenus et leurs investissements. Un pixel sur le site web de TaxAct envoie ensuite certaines de ces données à Facebook, notamment le statut de déclaration des utilisateurs, leur revenu brut ajusté et le montant de leur remboursement, selon une étude de The Markup. Le revenu était arrondi au millier le plus proche et le remboursement à la centaine la plus proche. Le pixel envoyait également les noms des personnes à charge dans un format obfusqué, mais généralement réversible.

TaxAct, qui dit avoir environ trois millions « d’utilisateurs particuliers et professionnels », utilise également l’outil d’analyse de Google sur son site Web, et The Markup a constaté que des données financières similaires, mais pas les noms, étaient envoyées à Google par le biais de cet outil.

TaxAct n’est pas le seul service de déclaration d’impôts à utiliser le Meta Pixel. Le géant de la préparation des déclarations de revenus H&R Block, qui propose également une option de déclaration en ligne attirant des millions de clients par an, a intégré un pixel sur son site qui recueille des informations sur l’utilisation des comptes d’épargne santé des déclarants et sur les subventions et les frais de scolarité des personnes à charge.

TaxSlayer, un autre service de déclaration très répandu, a envoyé des informations personnelles à Facebook dans le cadre du système de « correspondance avancée » de la société de médias sociaux, qui recueille des informations sur les visiteurs du web afin de les relier à des comptes Facebook. Les informations recueillies par le pixel sur le site de TaxSlayer comprenaient des numéros de téléphone, le nom de l’utilisateur remplissant le formulaire et le nom de toute personne à charge ajoutée à la déclaration. Comme dans le cas de TaxAct, les informations démographiques spécifiques d’un utilisateur étaient masquées mais utilisables par Facebook pour relier un utilisateur à un profil existant. TaxSlayer a déclaré avoir rempli 10 millions de déclarations de revenus fédérales et d’État l’année dernière.

Il a également été trouvé le code du pixel sur un site de préparation des déclarations d’impôts exploité par une société de conseil financier et de logiciels appelée Ramsey Solutions, qui utilise une version du service TaxSlayer. Ce pixel a recueilli encore plus de données personnelles à partir d’une page de résumé de la déclaration d’impôts, notamment des informations sur les revenus et les montants des remboursements. Ces informations n’étaient pas envoyées immédiatement lors de la visite de la page, mais seulement lorsque les visiteurs cliquaient sur les rubriques déroulantes pour voir plus de détails sur leur déclaration.

Même Intuit, la société qui gère le logiciel de déclaration en ligne dominant en Amérique, a utilisé le pixel. Cependant, TurboTax d’Intuit n’envoyait pas d’informations financières à Meta, mais plutôt des noms d’utilisateur et la dernière fois qu’un appareil s’était connecté. L’entreprise n’a pas utilisé le pixel sur les pages autres que celles de connexion.

« Nous prenons la confidentialité des données de nos clients très au sérieux », a déclaré Nicole Coburn, une porte-parole de TaxAct, dans un courriel. « TaxAct, à tout moment, s’efforce de se conformer à toutes les réglementations de l’IRS ». Angela Davied, porte-parole de H&R Block, a déclaré que l’entreprise « évalue régulièrement ses pratiques dans le cadre de son engagement continu envers la vie privée, et qu’elle examinera ces informations. »

Megan McConnell, porte-parole de Ramsey Solutions, a déclaré dans un courriel que l’entreprise « a mis en œuvre le Meta Pixel pour offrir une expérience client plus personnalisée. »

« Nous ne savions PAS et n’avons jamais été informés que des informations fiscales personnelles étaient collectées par Facebook à partir du Pixel », indique la déclaration. « Dès que nous l’avons découvert, nous avons immédiatement informé TaxSlayer de désactiver le Pixel de Ramsey SmartTax. »

La porte-parole Molly Richardson a déclaré dans un courriel que l’entreprise avait retiré le pixel pour évaluer son utilisation. « La vie privée de nos clients est de la plus haute importance, et nous prenons très au sérieux les préoccupations concernant les informations de nos clients », a-t-elle déclaré, ajoutant que Ramsey Solutions « a décidé de supprimer le pixel » également.

Rick Heineman, porte-parole d’Intuit, a déclaré que le pixel de la société « ne suit pas, ne collecte pas et ne partage pas les informations que les utilisateurs saisissent dans TurboTax lorsqu’ils remplissent leur déclaration de revenus », bien qu’Intuit « puisse partager certaines informations non liées à la déclaration de revenus, telles que le nom d’utilisateur, avec des partenaires commerciaux afin d’offrir une meilleure expérience client », par exemple en ne montrant pas les publicités d’Intuit sur Facebook aux personnes qui ont déjà un compte. La société a déclaré qu’elle était en conformité avec la réglementation mais qu’elle avait modifié le pixel pour ne plus envoyer les noms d’utilisateur.

Mandi Matlock, chargée de cours à la Harvard Law School, spécialisée dans le droit fiscal, a déclaré que les conclusions montraient que les contribuables « fournissent certaines des informations les plus sensibles qu’ils possèdent, et qu’elles sont exploitées ».

« C’est consternant », a-t-elle dit. « Ça l’est vraiment. »

Lundi, après que TaxAct a été contacté pour un commentaire, le site de la société n’a plus envoyé de détails financiers comme le revenu et le montant du remboursement à Meta, mais a continué à envoyer les noms des personnes à charge. Le site continuait également à envoyer des informations financières à Google Analytics. Lundi également, TaxSlayer et Ramsey Solutions ont supprimé le pixel de leurs sites de déclaration d’impôts et TurboTax a cessé d’envoyer les noms d’utilisateurs par le biais du pixel lors de la connexion. Le site de H&R Block continuait à envoyer des informations sur les comptes d’épargne santé et les subventions pour les frais de scolarité.

Mercredi, après la publication de cet article, TaxAct avait supprimé le pixel de son application web de déclaration d’impôts, mais continuait à envoyer des informations financières à Google Analytics, et H&R Block a indiqué à The Markup qu’il avait supprimé le pixel de son site web de déclaration d’impôts « pour empêcher la collecte de toute information fiscale sur les clients ». Il a été vérifié que le pixel avait été supprimé.

L’utilisation du code est bénéfique à la fois pour Facebook et pour les entreprises. Lorsqu’un client se rend sur le site web d’une entreprise, le pixel peut enregistrer les articles que le client a consultés, par exemple un T-shirt. L’entreprise peut alors cibler ses publicités sur Facebook sur les personnes qui ont regardé ce T-shirt, ce qui lui permet de trouver un public susceptible d’être déjà intéressé par ses produits.

Meta est également gagnant sur le plan financier. L’entreprise affirme qu’elle peut utiliser les données recueillies par des outils tels que le pixel pour alimenter ses algorithmes, ce qui lui permet de mieux connaître les habitudes des utilisateurs sur Internet.

Cette stratégie a été couronnée de succès pour Facebook. En 2018, l’entreprise a déclaré au Congrès qu’il y avait plus de deux millions de pixels à travers le web – une opération massive de récolte de données que la plupart des internautes ne voient jamais. 

« La pratique est omniprésente », a déclaré Jon Callas, directeur des technologies d’intérêt public à l’Electronic Frontier Foundation, qui s’est dit laissé « choqué mais pas surpris » par les conclusions de cette recherche.

Une partie de la collecte de données sensibles analysée semble liée aux comportements par défaut de Meta Pixel, tandis que d’autres semblent provenir de personnalisations effectuées par les services de déclaration d’impôts, par une personne agissant en leur nom ou par d’autres logiciels installés sur le site.

Par exemple, Meta Pixel a recueilli des informations sur les comptes d’épargne santé et les dépenses universitaires sur le site de H&R Block parce que ces informations apparaissaient dans les titres des pages Web et que la configuration standard de Meta Pixel recueille automatiquement le titre d’une page que l’utilisateur consulte, ainsi que l’adresse Web de la page et d’autres données. Le pixel a pu collecter des informations sur les revenus de Ramsey Solutions parce que ces informations apparaissaient dans un résumé qui se développait lorsqu’on cliquait dessus. Le résumé a été détecté par le pixel comme étant un bouton, et dans sa configuration par défaut, le pixel collecte le texte à l’intérieur d’un bouton cliqué.

Les pixels intégrés par TaxSlayer et TaxAct utilisent une fonction appelée « correspondance automatique avancée ». Cette fonction analyse les formulaires à la recherche de champs qui, selon elle, contiennent des informations permettant d’identifier une personne, comme un numéro de téléphone, un prénom, un nom ou une adresse électronique, puis envoie les informations détectées à Meta. Sur le site de TaxSlayer, cette fonction a permis de collecter les numéros de téléphone et les noms des déclarants et des personnes à leur charge. Sur TaxAct, elle a recueilli les noms des personnes à charge.

Les données collectées par la fonction de mise en correspondance sont envoyées sous une forme obscurcie connue sous le nom de « hash », qui, selon Meta, est utilisée pour « aider à protéger la vie privée des utilisateurs ». Mais l’entreprise peut généralement déterminer la version pré-obfusquée des données – en fait, Meta utilise explicitement les informations hachées pour relier d’autres données de pixel aux profils Facebook et Instagram.

Cette fonctionnalité de pixel était désactivée par défaut, mais pouvait être activée en cliquant sur une bascule lors de la configuration.

Lorsque TaxAct a envoyé des montants en dollars comme le revenu brut ajusté à Meta, ils ont été transmis en tant que paramètres d’un « événement personnalisé », qui ne sont envoyés que si le pixel est configuré au-delà de la valeur par défaut par un opérateur de site Web ou une autre application que l’opérateur de site Web ajoute à son site. TaxAct n’a pas répondu aux questions visant à savoir si et pourquoi elle avait configuré le pixel de cette manière.

Une fois qu’une déclaration d’impôt a été remplie sur taxact.com, des informations comprenant le revenu brut ajusté d’un individu, le montant du remboursement fédéral et le nombre de personnes à charge ont été envoyées à Meta via le pixel Meta. Les données figurant dans les captures d’écran ne sont pas des données réelles des utilisateurs.

Il y a des limites aux types de données que Meta dit vouloir collecter par le biais du pixel. L’entreprise affirme qu’elle ne veut pas recevoir d’informations sensibles, notamment des données financières, et qu’elle utilise un filtrage automatisé pour bloquer les données potentiellement sensibles. Son centre d’aide indique qu’il est interdit d’envoyer des informations comprenant des numéros de compte bancaire ou de carte de crédit ou « des informations sur le compte ou le statut financier d’un individu ».

Pourtant, un type spécifique de données interdites, le revenu, est exactement ce que deux sites fiscaux ont envoyé à Facebook. Les données envoyées à Facebook par TaxAct suggèrent qu’il envoyait également auparavant un paramètre intitulé « student_loan_interest », qui est désormais filtré par le pixel avant d’être envoyé.

Découvertes sur Pixel

De janvier à juillet de cette année, un spécialiste –  le site The Markup – a suivi l’utilisation du pixel par les sites web dans le cadre de la chasse aux pixels, un partenariat avec Mozilla Rally. Pour ce projet, les utilisateurs participants ont installé une extension de navigateur qui a fourni au site d’investigation une copie de toutes les données partagées avec Meta via le pixel.

The Markup a d’abord découvert que des informations sensibles étaient partagées par les préparateurs d’impôts grâce aux données partagées par les participants à la chasse aux pixels. The Markup s’est ensuite inscrit pour obtenir des comptes sur les applications Web des entreprises et a utilisé la section « Réseau » de Chrome DevTools, un outil intégré au navigateur Chrome de Google, pour reproduire et confirmer les données.

Plus tôt cette année, avec l’aide de participants à la chasse aux pixels, The Markup a découvert des données sensibles envoyées à Facebook sur le site Web du ministère de l’éducation consacré aux demandes d’aide fédérale aux étudiants, sur des sites Web consacrés à la grossesse en situation de crise et sur les sites Web d’hôpitaux réputés.

Meta recueille tellement de données que l’entreprise elle-même peut parfois ignorer où elles aboutissent. Au début de l’année, Vice a fait état d’une fuite d’un document de Facebook rédigé par les ingénieurs chargés de la protection de la vie privée de Facebook, selon lequel la société n’avait pas « un niveau adéquat de contrôle et d’explication sur la façon dont nos systèmes utilisent les données », ce qui rendait difficile de promettre qu’elle n’utiliserait pas certaines données à certaines fins.

À l’époque, un porte-parole de la société avait déclaré à Vice que Facebook disposait « de processus et de contrôles étendus pour gérer les données et se conformer aux réglementations en matière de confidentialité ».

En réponse aux questions de The Markup sur l’utilisation du pixel par les sites web fiscaux, Dale Hogan, un porte-parole de Meta, a souligné les règles de l’entreprise concernant les informations financières sensibles:

« Les annonceurs ne doivent pas envoyer d’informations sensibles sur les personnes par le biais de nos outils commerciaux », a écrit M. Hogan dans une déclaration envoyée par courriel. Les annonceurs ne doivent pas envoyer d’informations sensibles sur des personnes par le biais de nos outils professionnels », a écrit M. Hogan dans un communiqué envoyé par courrier électronique. Notre système est conçu pour filtrer les données potentiellement sensibles qu’il est en mesure de détecter. »

Jackie Berté, porte-parole de Google, a déclaré dans un courriel que la société « a des politiques strictes contre la publicité destinée aux personnes sur la base d’informations sensibles » et que les données Google Analytics « sont obscurcies, ce qui signifie qu’elles ne sont pas liées à un individu et que nos politiques interdisent aux clients de nous envoyer des données qui pourraient être utilisées pour identifier un utilisateur. »

Nina Olson, directrice exécutive du Center for Taxpayer Rights, une organisation à but non lucratif, a été l’avocate nationale des contribuables à l’Internal Revenue Service entre 2001 et 2019, un poste au sein de l’agence censé représenter les intérêts des contribuables.

Dans le cadre de son rôle au sein de l’IRS, elle a contribué à l’élaboration des règlements qui régissent la divulgation des informations fiscales. Mme Olson a déclaré que les règlements de l’IRS contrôlant la manière dont les services privés de déclaration d’impôts peuvent utiliser les données sont intentionnellement « très stricts ».

En vertu de la réglementation qu’elle a contribué à élaborer, les préparateurs d’impôts – y compris les sociétés de déclaration électronique – ne peuvent utiliser les informations qu’ils reçoivent des contribuables qu’à des fins limitées ; pour tout ce qui dépasse la simple facilitation de la déclaration, le préparateur doit obtenir le consentement signé de l’utilisateur, qui explique le destinataire et les informations précises qui sont divulguées.

Le gouvernement va jusqu’à prescrire la taille de la police de caractères des demandes de divulgation, en précisant qu’elle doit être « de la même taille, ou plus grande, que le corps de texte normal ou standard utilisé par le site web ou le logiciel ».

Les sanctions pour la divulgation de données sans consentement sont potentiellement lourdes : des amendes et même des peines de prison sont possibles, bien que Mme Olson ait déclaré qu’elle n’avait pas connaissance de poursuites pénales.

The Markup a examiné les sites Web de préparation des déclarations d’impôts à la recherche de divulgations mentionnant spécifiquement Meta ou Facebook, mais n’en a pas trouvé. Au lieu de cela, certaines entreprises ont inclus des accords de divulgation relativement larges.

Ont-ils une liste disant qu’ils vont divulguer les montants du remboursement, et vos enfants, et votre quoi que ce soit à Facebook ?

TaxAct, par exemple, demandait aux utilisateurs d’approuver l’envoi de leurs informations fiscales à sa société sœur, TaxSmart Research LLC, afin qu’elle puisse « développer, offrir et fournir des produits et services » aux utilisateurs. Il était également indiqué que « TaxSmart Research LLC peut faire appel à des prestataires de services et à des partenaires commerciaux pour accomplir ces tâches. » H&R Block, quant à lui, a inclus presque la même demande de divulgation afin que « H&R Block Personalized Services, LLC » puisse fournir ses propres produits. Ces sites offraient à l’utilisateur la possibilité de refuser de partager des informations fiscales, mais les données étaient partagées avec Facebook quelle que soit l’option choisie par les utilisateurs, selon les tests de The Markup.

Pour être conforme, toute divulgation de la part d’un préparateur de déclarations fiscales doit indiquer l’objectif exact et le destinataire, a déclaré M. Olson. « Le préparateur dispose-t-il d’une liste indiquant qu’il va divulguer à Facebook le montant du remboursement, vos enfants et tout ce qui vous intéresse ? Si ce n’est pas le cas, ils peuvent être en infraction avec la réglementation.

L’IRS a refusé de faire des commentaires ou de répondre à des questions sur la question de savoir si l’un des sites partageant des informations fiscales était en violation de la législation fiscale.

Les contribuables américains n’ont guère d’autre choix que de se tourner vers des sociétés privées pour remplir leurs déclarations.

Contrairement à d’autres pays, les États-Unis ont un système de déclaration d’impôts fortement privatisé, qui nécessite souvent le recours à des préparateurs d’impôts tiers. Alors que, dans ces autres pays, le gouvernement se charge des calculs et que les contribuables se contentent d’approuver les chiffres, les préparateurs d’impôts aux États-Unis, grâce au lobbying réussi des entreprises privées, jouent effectivement le rôle d’intermédiaires entre les contribuables et le gouvernement.

La préparation des déclarations d’impôts est aujourd’hui un marché important : Les études de marché ont estimé qu’il s’agit d’une industrie de plus de 11 milliards de dollars aux États-Unis.

Il existe une option gratuite de préparation et de déclaration, mais elle est limitée aux personnes gagnant 73 000 dollars ou moins et peut être difficile à utiliser. Les entreprises proposent leurs logiciels fiscaux gratuitement dans le cadre d’un accord avec l’IRS, mais elles ont été critiquées pour ne pas avoir rendu cette option facilement accessible.

L’IRS dirige même les contribuables qui tentent de remplir leur déclaration gratuitement vers certaines des sociétés que The Markup a trouvées utilisant le pixel. Une poignée de services de préparation des déclarations de revenus font partie de l’accord, connu sous le nom de Free File Alliance – y compris TaxAct et TaxSlayer. TurboTax et H&R Block ont déjà fait partie du programme par le passé.

M. Matlock, de Harvard, a déclaré que les conclusions de The Markup montraient les conséquences presque inévitables du recours à des entreprises à but lucratif pour gérer une exigence du gouvernement. C’est un processus qui ne laisse guère d’autre choix aux utilisateurs que de transmettre leurs données à Facebook s’ils veulent se conformer à la loi, a-t-elle ajouté.

« C’est frustrant parce que les contribuables ont été poussés dans les bras de ces entreprises privées à but lucratif simplement pour se conformer à leurs obligations en matière de déclaration fiscale », a-t-elle déclaré. « Nous n’avons pas vraiment le choix en la matière ».

Meta Pixel

SEO INSIDE est une agence de création de site internet (notamment…)

 

--

 

SEO Inside est une agence web et SEO - en savoir plus sur nous:

Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis

Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.

Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco

SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.