Comment ça marche ?
DataSpy est transparent sur ce qu'il fait. Voici chaque étape du scan, avec ce qui se passe techniquement et pourquoi.
Étape 1 — Avant le clic
Dès que tu arrives sur DataSpy, ton navigateur nous transmet quelques informations de base (navigateur, OS, langue, résolution). Ces informations sont accessibles à n'importe quel site web sans aucun code spécial. Le terminal animé sur la page d'accueil te montre exactement ce que ton navigateur dit spontanément.
Fingerprint : pas encore. Tant que tu n'as pas cliqué sur "LANCER L'ANALYSE", aucun fingerprinting n'est effectué.
Étape 2 — Le clic "LANCER L'ANALYSE" vaut consentement
En cliquant, tu donnes ton consentement explicite au sens du RGPD (Article 6.1.a) à la collecte de ton empreinte numérique. Ce consentement est informé : tu as lu ce qui va être collecté (le disclaimer est visible avant le clic).
Fingerprint navigateur (100% local)
Le script collecte ton canvas hash, WebGL hash, audio hash, polices, résolution, GPU... Rien de tout ça ne quitte ton navigateur à cette étape. Tout est calculé localement, en JavaScript, sur ta machine.
Géolocalisation IP (appel externe)
Ton adresse IP est envoyée à un service de géolocalisation tiers (api.dataspy.eu proxy → GeoJS). Résultat : ta ville, ton pays, ton opérateur. Aucun stockage.
Email (si tu le fournis)
Ton email est transformé en hash SHA-256 avant tout envoi. Le hash (jamais l'email en clair) est envoyé à l'API Have I Been Pwned via k-anonymity : seuls les 5 premiers caractères du hash sont transmis à HIBP. HIBP ne connaît jamais ton email complet.
Attaques IA (LLM Claude)
Ton profil complet (sans email en clair) est envoyé à l'API Anthropic Claude pour générer les simulations. Les données sont transmises en HTTPS, ne sont pas stockées par Anthropic après le traitement (politique API no-training).
Privacy Score
Calculé côté serveur à partir des vulnérabilités détectées. Le résultat est retourné et affiché uniquement dans ton navigateur. Non stocké avec tes données personnelles.
Ce qui est stocké vs. ce qui ne l'est pas
- Pas stocké : fingerprint, IP, email, device info, résultats de scan individuels
- Stocké anonymisé : structure des attaques (type, longueur) — sans lien avec toi
- Stocké agrégé : statistiques ("X% des scans ont un score > 50") — sans données individuelles
- Logs serveur : IP + pages consultées, 12 mois (obligation légale LCEN)
Pourquoi Plausible et pas Google Analytics ?
Un outil qui dénonce le tracking ne peut pas utiliser Google Analytics. Plausible est une alternative open-source, sans cookies, qui ne collecte aucune donnée personnelle et ne suit pas les utilisateurs entre sites. Tu n'as pas besoin de l'accepter — parce qu'il n'y a rien à accepter.
Des questions ? Des doutes ?
Le code source frontend est consultable. Si tu trouves une incohérence entre ce que nous déclarons et ce que le code fait réellement, écris-nous : contact@dataspy.eu