L'Équipe, primero en deporte y en vigilancia

Aunque estés suscrito, L'Équipe no te permite evitar la fuga de tus datos personales

Publicado por Pixel de Tracking el 1 de mayo de 2020

La aplicación iOS de L'Équipe filtra mis datos personales al iniciarse

Después de investigar un medio francés (Le Figaro), Entonces un famoso servicio de streaming al que me suscribo (Spotify), estudiemos ahora el periódico deportivo francés: L'Équipe. Como abonado de L'Équipe, ya he instalada la aplicación de iOS. Para ver la experiencia del usuario durante una nueva instalación, elimino la aplicación de antemano.

Así que instalemos La app para iOS de L'Équipe y comprobar si terceros pueden rastrearme, para ello sigamos estos pasos:

  • Cerrar las distintas aplicaciones en segundo plano.
  • Lanzamiento de la aplicación Charles Proxy y permitir el seguimiento.
  • Lanzamiento de la aplicación L'Équipe.

Estoy conectado directamente porque soy suscriptor, el borrado previo de la aplicación no eliminó todos mis datos. Además, me dan la bienvenida a la aplicación con un cartel de consentimiento claramente visible:

Banner de consentimiento L'Equipe

Sin embargo, vemos que el botón "aceptar" está resaltado, mientras que L'Équipe no ofrece un botón "rechazar", sino un discreto botón "configurar": un buen ejemplo de "dark pattern".

Si no hago clic en "establecer", sino que simplemente paso el cursor sobre la página o hago clic para leer un artículo, el banner de consentimiento desaparece. El Equipo aprovecha un vacío legal, todavía tolerado por la CNIL, que permite considerar que un simple desplazamiento en la página constituye un consentimiento (leer más sobre esto mi artículo sobre la mentira de los carteles de consentimiento).

Entonces hagamos clic en "configurar":

L'Équipe configura

Vemos otro ejemplo más de "dark pattern" con el botón "aceptar todo" claramente resaltado en comparación con el botón "rechazar todo". Hago clic en "rechazar todo" y soy redirigido a la página de inicio de L'Équipe.

Luego dejo de grabar mi sesión de Charles Proxy y envío los registros a mi computadora para su análisis:

L'Équipe instalado

Sorpresa, a pesar de mi negativa a realizar el seguimiento, varios terceros me están siguiendo:

  • Google: no puedes escapar del gigante de Mountain View. L'Équipe aquí llama a varios servicios. Firebase, la caja de herramientas de Google para desarrolladores, que incluye Crashlytics (informes de fallos) y Remote Config (permite a L'Équipe personalizar su aplicación sin tener que actualizar).
  • Facebook: Tampoco puedes escapar del gigante de Menlo Park. L'Équipe llama Facebook SDKLuego, Facebook rastrea sus actividades y se realiza un seguimiento de cada artículo leído.
  • Amazon: sí, L'Équipe logra la hazaña de filtrar tus datos personales a 3 de cada 4 GAFA, ¡incluso si estás suscrito! L'Équipe utiliza Amazon Transparent Ad Marketplace, la solución de header bidding de Amazon (monetización de publicidad programática). Problema: Soy suscriptor y por lo tanto no tengo publicidad, por lo que ya rechacé el seguimiento publicitario.
  • WonderPush: Rechacé las notificaciones pero L'Équipe filtra mis datos personales a un servicio de notificaciones.
  • AT Internet: Solución de análisis de Burdeos, que recupera así toda mi navegación.

Rechacé el seguimiento, pero L'Équipe considera que acepto el seguimiento de 512 empresas

Después de instalar L'Équipe y rechazar el seguimiento, consulto algunos artículos y observo las nuevas solicitudes enviadas por L'Équipe:

L'Équipe se conecta

La lista de rastreadores crece, nuevas empresas me están siguiendo:

  • Weborama: Empresa francesa de marketing de datos, Weborama enriquece y vende su perfil. Weborama también ofrece herramientas para anunciantes y agencias como Plataforma de gestión de datos (que permite segmentar a los usuarios y luego poder retargeting) y un servidor de anuncios (que permite distribuir campañas publicitarias y medir su eficacia).
  • SAP: vía Gigya, adquirida por SAP en 2017. SAP es un gigante del CRM (competidor de Salesforce) que, gracias a Gigya, ofrece una "Plataforma de datos del cliente" para perfilarlo, rastrear todas sus interacciones y reorientarlo mejor.
  • Dailymotion: El reproductor de vídeo de L'Équipe, Dailymotion, seguramente perdió el partido contra YouTube durante mucho tiempo (y continúa hundiéndose desde su adquisición por Bolloré), esto no le impide vender su reproductor de marca blanca a los medios de comunicación y vigilarte para impulsar su negocio publicitario.
  • Médiametrie: vía estat, herramienta de medición de audiencia.
  • Comscore: a través de scorecardresearch.com, un gigante del marketing que puede perfilarte en L'Équipe.

Veamos en detalle la información enviada a didomi, la plataforma francesa de gestión del consentimiento de L'Équipe (a través del dominio api.privacy-center.org):

consentimiento didomi

Didomi sigue el Transparency & Consent Framework de la IAB, que debería permitir todas las partes en la cadena de publicidad digital para garantizar el cumplimiento del RGPD y la directiva "ePrivacy", en palabras de la IAB (el lobby de las empresas adtech). Veamos lo que almacena Didomi tras mi negativa de consentimiento:

  • propósitos: las finalidades que autorizo ​​o no, aquí todas las finalidades están correctamente rechazadas.
  • vendedores: las empresas que autorizo ​​o no. La captura de pantalla está cortada, pero L'Équipe vía Didomi considera que he dado mi consentimiento para ser rastreado por 512 empresas de tecnología publicitaria (lista de identificadores de empresas ingresados ​​en la tabla “proveedores”: “habilitados”)!

¿Cómo es posible que L'Équipe permita que estas 512 empresas me rastreen cuando me negué a rastrearte?

Una carrera de obstáculos para encontrar el banner de consentimiento

Para encontrar el "banner de consentimiento" y comprobar si no se me ha perdido alguna opción para bloquear estas empresas 512, tengo que ir a "menú", luego desplazarme hasta la parte inferior para desplegar el menú de "avisos legales" y por último "gestión de cookies". Allí, mientras me desplazo de nuevo por la página “Política de cookies en Lequipe.fr” de mi iPhone, encuentro el enlace CMP (Consent Management Platform) y hago clic en él:

consentimiento de rechazo

L'Équipe ofrece otro magnífico "dark pattern" porque tengo que hacer clic en "Por todos nuestros socios - Ver" (que he enmarcado especialmente en rojo) para comprender que no he rechazado completamente el seguimiento, pero que habría dado mi consentimiento a estos 512 socios:

todos nuestros socios - consentimiento

Me apresuro a rechazar a estos socios y luego guardar el cambio.

Pero L'Équipe sigue filtrando mis datos personales

Luego cierro la aplicación, luego la reinicio y consulto algunos artículos para ver el seguimiento:

L'Équipe de seguimiento

Nada cambia, L'Équipe sigue filtrando mi información, como si siempre hubiera dicho sí a la venta de mis datos personales.

En el sitio leequipe.fr, el Far West desde la página de inicio

Para saber si L'Équipe también abusa del seguimiento en su sitio web, estos son los pasos a seguir:

  • Desactiva tu adblocker.
  • Elimine las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación), para cerrar sesión en tu cuenta de Google.
  • Abra la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), la pestaña "Red" o inicie Charles Proxy.
  • Luego ve a la página de inicio. leequipe.fr.
  • No navegues, pero observa las diferentes empresas de terceros que te rastrean.

Ya puedes ver que sin un adblocker, la experiencia del usuario es catastrófica, el contenido queda oculto por la publicidad y el banner de consentimiento:

La página de inicio del equipo

Tus datos personales enriquecen a tantas empresas que me vi obligado a eliminar ciertas solicitudes y tomar 2 capturas de pantalla:

L'Équipe de seguimiento web inicio 1L'Équipe de seguimiento web inicio 2

Antes de que puedas siquiera leer los titulares principales, ya estás siendo rastreado por:

  • Google: omnipresente en la web, L'Équipe monetiza su inventario publicitario a través de Google Ad Manager, mide su comportamiento en su sitio a través de Google Analytics y se basa en AMP para acelerar los tiempos de carga de artículos en la web móvil.
  • Weborama: la empresa francesa de “Marketing de datos” te perfila en la aplicación L'Équipe pero también en su sitio web.
  • Oracle: a través del sonido adquisición de Grapeshot, empresa especializada en publicidad contextual. Grapeshot proporciona a los distintos actores de la tecnología publicitaria información contextual sobre las páginas que visita, que luego puede enriquecer su perfil. Aquí está explicaciones oficiales detalladas sobre su funcionamiento así comouna entrevista de Grapeshot por Ciaran O'Kane. Oracle se ha diversificado hacia el adtech a través de sucesivas adquisiciones y, por tanto, no sólo vende bases de datos. Aquí está cómo presenta su oferta de marketing de vigilancia: Oracle Data Cloud se basa en tecnologías creadas por seis empresas adquiridas diferentes, cada una de las cuales es líder o pionera en su campo..
  • Realitica: una solución francesa para medir el rendimiento de las campañas televisivas.
  • APLV: anteriormente OJD, asociación profesional de medios de comunicación franceses, aquí tiene como objetivo certificar la audiencia de los sitios.
  • BlueKai: otra empresa de marketing de datos adquirido por Oracle, permite a sus clientes crear y enriquecer su perfil para dirigirse mejor a ti.
  • Facebook: también omnipresente, L'Équipe utiliza uno de sus ladrillos para sitios web, lo que permite a Facebook no perder nada de tu navegación.
  • AT Internet: a través del dominio xiti.com, la empresa de análisis de Burdeos también recopila su navegación web.
  • Kameleoon: Servicio francés de pruebas A/B y personalización del sitio web, te perfila para ofrecerle la versión del sitio que mejor se adapte al objetivo de L'Équipe (ejemplo: suscripción).
  • Ciencia publicitaria integral: a través del dominio adssafeprotected.com, solución para controlar la publicidad difundida. Integral Ad Science medirá la visibilidad de los anuncios, si el anuncio se muestra a un humano (y no a un bot) y si el contexto de distribución es satisfactorio para las marcas (que quieren evitar el streaming, la pornografía o el contenido ilegal).
  • Plaza de medios: a través de los dominios audienciasquare.com y mediasquare.com, plataforma de monetización publicitaria formada por varios medios franceses. El objetivo es unirse para competir contra Google o Facebook. Esta alianza tiene cada vez menos sentido hoy en día porque la mayoría de las oportunidades publicitarias se venden individualmente. en el mercado “programático” (RTB), directamente por los editores. Para que conste, MediaSquare es el fusión de dos grupos en competencia, La Place Media y AudienceSquare (originalmente: una disputa entre medios parisinos).
  • Pubstack: una solución de "header bidding" francés. ¿¿Qué es eso?? L'Équipe cuestionará varias plataformas de monetización publicitaria, ellos mismos cuestionarán múltiples plataformas para comprar inventario publicitario, todo esto para mostrarte un anuncio (mientras tanto, tus datos personales se habrán filtrado a estos cientos de actores (sobre este tema, mire Video de Brave Browser, "Fuga de datos en ofertas en tiempo real").
  • Rubicon: una solución de monetización de publicidad, lo rastrea en una amplia gama de sitios web y filtra tus datos personales a numerosas plataformas de compras.
  • AppNexus: otra solución de monetización publicitaria, AppNexus también ofrece una plataforma de compra de espacios publicitarios, ahora se llama Xandr y ha sido adquirido por el gigante estadounidense de las telecomunicaciones AT&T.
  • WonderPush: el servicio de notificaciones ya visto en la aplicación L'Équipe.
  • Dailymotion: ya sea que vea vídeos en la aplicación o en el sitio web de L'Équipe, Dailymotion enriquece su perfil publicitario e incluso lo sincroniza con las plataformas de compra de espacios publicitarios.
  • Moat: a través del dominio moatads.com, también fue comprado por Oracle. Moat es un competidor de Integral Ad Science, ofrece soluciones de prevención de fraude pero su especialidad es la medición de la visibilidad (si la publicidad está visible en su pantalla u oculta).
  • Comscore: gigante americano de planificación de medios, Comscore te perfila en muchos sitios web.

Esta lista de rastreadores no es exhaustiva porque si repetimos la prueba aparecen nuevas empresas de publicidad.

Denegar el consentimiento es casi imposible, también en la web

Al igual que en la aplicación L'Équipe, intentemos rechazar la filtración de mis datos personales haciendo clic en "configurar" en el banner de consentimiento (y sí, sin botón de rechazar). Luego deberás hacer clic en “Rechazar” para los 5 propósitos:

Denegación de consentimiento El Equipo Web - paso 1

Podrías pensar que es bueno, pero la experiencia de la aplicación L'Équipe nos ha enseñado "dark pattern" de CMP Didomi implementado por L'Équipe: ahora debe hacer clic en "ver nuestros socios" y luego hacer clic nuevamente en "bloquear todos":

Denegación de consentimiento El Equipo Web - paso 2

Finalmente haga clic en "guardar", luego una segunda vez en "guardar": en total, habrá necesitado 11 clics para rechazar el consentimiento (!) frente a un clic o incluso una simple continuación de la navegación mediante un desplazamiento en la página a “consentir” ser rastreado por decenas de empresas.

Una nota sobre estas "Plataformas de gestión de consentimiento" (Didomi no es el único que permite que sus clientes ofrezcan estas "Patrones oscuros", notamos el mismo problema con SFBX en el sitio de Le Figaro): si L'Équipe ha configurado correctamente a Didomi para hacer casi imposible la denegación del consentimiento, Didomi no debería ofrecer esta opción (y la CNIL debería investigar las pocas CMP existentes en el mercado para obligarlas a no ofrecerlas "Patrones oscuros"). En otras palabras: el equipo es realmente responsable, pero Didomi también debería ser responsable.

Negar el consentimiento en la web no sirve de nada

¿Qué sucede ahora cuando ves artículos? Al igual que con su app para iOS, L'Équipe no duda en seguir filtrando tus datos personales, aunque hayas rechazado explícitamente el seguimiento:

Sin consentimiento Equipo 1Sin consentimiento Equipo 2

Encontramos muchos de los terceros ya vistos, y algunos rastreadores adicionales:

  • LinkedIn: ¿Tienes un perfil de LinkedIn? También se te perfila a través de su navegación web, LinkedIn vende su perfil a los anunciantes.
  • Adomik: Solución francesa para optimizar la monetización de la publicidad, ofrece una solución de header bidding y analiza el rendimiento de diferentes plataformas de monetización de la publicidad.
  • cerebro: líder mundial en la recomendación de enlaces patrocinados, ¿los artículos con títulos estúpidos al final de los artículos? ¡A menudo son ellos!
  • SpotX: a través del dominio spotxchange.com, adquirido por Grupo RTL, una plataforma de monetización publicitaria especializada en vídeo.
  • Zemanta: comprado por cerebro, una plataforma de compra de espacios publicitarios especializada en publicidad nativa (publicidad que utiliza códigos de contenido, como la publicidad en Facebook o Twitter, por ejemplo).

Conectado en la web, pero aún vigilado

Ahora inicio sesión en mi cuenta de L'Équipe. Como recordatorio, rechacé todos los rastreadores y pago mi suscripción a L'Équipe todos los meses, por lo que no recibo publicidad. Pero, una vez más, esto no impide que L'Équipe filtre mis datos personales a Google, Facebook, LinkedIn, Comscore, Dailymotion, AppNexus, AT Internet, Adomik y Médiamétrie:

L'Équipe web se conecta

Por lo tanto, pagar y rechazar los rastreadores no es suficiente para evitar que L'Équipe filtre tus datos personales.

Las mentiras de la política de privacidad

Si leemos ahora Política de privacidad de L'Équipe, y buscamos “publicidad”):

confidencialidad - El Equipo

Por lo tanto, el Equipo declara que cuenta con su consentimiento para perfilarlo y mostrarte publicidad. Como hemos visto, L'Équipe cede sus datos a numerosos actores (Google, Facebook, Amazon, Weborama, Comscore, SAP) que elaboran perfiles publicitarios sin su consentimiento.

El Equipo también declara que usted puede gestionar las cookies publicitarias en el página de información de cookies o denunciar tu oposición a la creación de perfiles publicitarios en tu cuenta, pero ya hemos visto que nada funciona.

Más allá de estas mentiras, L'Équipe parece olvidar que el mundo ha cambiado y que ver su sitio web es posible sin un navegador. Nunca se mencionan aplicaciones de iOS y Android en su política de privacidad, es Política de cookies o su página "uso de cookies".

Una limpieza necesaria en los sitios de medios

Ya habíamos observado que la vigilancia publicitaria estaba muy extendida en los sitios de medios con El Fígaro, L'Équipe no se aparta de la regla y añade un toque adicional: estar suscrito y no recibir publicidad no es suficiente para limitar el seguimiento. Como hemos visto, L'Équipe se burla de ti y de tu vida privada en varios niveles:

  • L'Équipe filtra tus datos personales tan pronto como se inicia el sitio web o la aplicación iOS, incluso antes de que puedas dar su consentimiento.
  • L'Équipe y su socio Didomi hacen todo lo posible para evitar que usted rechace su consentimiento.
  • Incluso si has negado su consentimiento, L'Équipe continúa filtrando tus datos personales.
  • Incluso si ha iniciado sesión y ha pagado, L'Équipe continúa filtrando tus datos personales.
  • La política de privacidad de L'Équipe parece olvidarse del universo de las aplicaciones y le miente al pedirle su consentimiento para la elaboración de perfiles publicitarios.

Sin sanciones de la CNIL, e incluso si la experiencia del usuario se degrada, lamentablemente es poco probable que L'Équipe cambie. Como individuo, puedes instalar un adblocker como uBlock Origin en la web o en aplicaciones como DNSCloak, AdGuard O NextDNS en iOS.