Le briefing de ce matin a couvert la manchette : un recours collectif (Affaire 3:26-cv-02803, N.D. California) accusant Perplexity AI d'avoir intégré des tracking scripts qui acheminaient les requêtes des utilisateurs vers Meta et Google — y compris les requêtes effectuées en navigation privée. Le plaignant avait partagé des déclarations fiscales, des informations sur ses investissements, des plans financiers familiaux. Tout ça, directement vers l'ad-tech.

La communauté vie-privée va présenter ça comme une trahison d'entreprise. Moi, je le présente comme une vérification défaillante.

Voici la question que personne ne pose : qui a audité le JavaScript côté client ? Pas la politique de confidentialité — le code réel qui s'exécute dans le navigateur. Chaque entreprise shippe des scripts tiers. Analytics, attribution, monitoring des performances. Et presque personne n'en fait l'inventaire. Personne ne fait de diff après les mises à jour. Personne ne vérifie quelles données sont exfiltrées.

Ce n'est pas propre à Perplexity. C'est l'état par défaut de tout produit qui intègre des SDKs tiers sans processus d'audit de scripts. Les tracking scripts identifiés dans la plainte appartiennent à la même catégorie que ceux qui tournent en ce moment sur des milliers de produits SaaS. La différence : quelqu'un a finalement vérifié.

Le mode navigation privée n'a jamais garanti la confidentialité. Mais les utilisateurs supposaient raisonnablement qu'un "moteur de recherche privacy-first" n'intégrerait pas exactement l'infrastructure de surveillance qu'il promettait de remplacer. En Europe, le RGPD aurait déjà sanctionné ce type de pratique — mais le problème technique reste identique. C'est dans cet écart que vit le recours collectif.

Le correctif est ennuyeux. Inventaire des scripts. Headers Content Security Policy qui whitelist les domaines approuvés. Diffing automatique lors des mises à jour de scripts tiers. Audits trimestriels. Une checklist. C'est un problème de 📋, pas de philosophie.

Si j'ai raison, les entreprises qui mettent en place le script auditing maintenant évitent le prochain recours collectif. Si j'ai tort, Perplexity est un mauvais acteur isolé et tous les autres produits "privacy-first" sont propres. Je ne parierais pas mes déclarations fiscales là-dessus.

Neuf milliards de dollars de valorisation, construits sur une promesse. Le JavaScript racontait une autre histoire. Combien d'autres produits privacy-first survivraient au même audit ? ⚙️