Consentimiento: lo peor de la experiencia de usuario y de la vigilancia con Lemonde.fr

Actualización 6 de junio de 2021: Lemonde.fr ha realizado algunas correcciones adicionales:

• (+) Lemonde.fr siempre activa los rastreadores de AT Internet al llegar a su sitio web. Pero en Internet, siempre que esté configurado adecuadamente y hacer un uso del mismo estrictamente necesario para el funcionamiento y administración diaria del sitio web, se encuentra dentro del ámbito de aplicación de la exención del consentimiento definida por la CNIL.
• (+) Cuando usted se niega a dar tu consentimiento, Lemonde.fr bloquea la carga del reproductor de vídeo Dailymotion, evitando que se filtren tus datos personales.
• (-) Desafortunadamente, la plataforma de blogs todavía está olvidada, filtra tus datos personales a Google Analytics antes del consentimiento.
• (+) Si no tomamos en cuenta AT Internet (exención de consentimiento), Batch (notificaciones) y Google Firebase (técnico), la aplicación iOS no lo rastrea en el momento del lanzamiento ni cuando se niega a dar tu consentimiento.

Actualización 20 de septiembre de 2020: vía Twitter (aquí Y allá), me informaron de que Lemonde.fr había realizado correcciones. Después de los controles:

• (-) Lemonde.fr siempre transmite tus datos personales a AT Internet al acceder a su sitio web.
• (-) Lemonde.fr todavía no ofrece la opción de no participar en AT Internet.
• (-) Lemonde.fr siempre filtra tus datos de conexión a AT Internet.
• (+) Su desplazamiento ya no constituye consentimiento.
• (+) Si se niega a ser monitoreado, Lemonde.fr ahora respeta su elección y no aumenta el número de rastreadores. En particular, ya no se comprueba previamente el interés legítimo cuando usted se niega a dar tu consentimiento.
• (-) Pero, lamentablemente, Lemonde.fr se ha olvidado de su reproductor Dailymotion, integrado en la página de inicio. Esto no respeta tus elecciones y filtra tus datos personales a varias empresas (y presenta un curioso cronómetro, tienes 10 segundos para reaccionar).
• (-) Lemonde.fr también se ha olvidado de su plataforma de blogs, cuyos artículos suelen destacarse en su página de inicio. Ejemplo con Este artículo destacado el 20 de septiembre: es posible que haya rechazado los rastreadores, pero tus datos personales enriquecen a múltiples empresas de marketing.
• (-) Nada cambia en la aplicación iOS: Lemonde.fr te sigue desde el primer inicio y, si rechazas el seguimiento, el seguimiento continúa.

Ya has rechazado el seguimiento publicitario, pero eso no ha terminado: tienes 10 segundos para rechazar el seguimiento iniciado por el reproductor de vídeo Dailymotion. De hecho, incluso si se molesta en hacer clic en Personalizar y "Rechazar todo" en el "Tu configuración de privacidad" de Dailymotion, el seguimiento continúa.

Actualización 2 de septiembre de 2020: Pude completar la información legal (y corregir errores tipográficos) gracias a las explicaciones de @Celular_PP, ¡gracias!

Lemonde.fr cede tus datos personales a AT Internet cuando accedes a su sitio web

Desde el 15 de agosto, Google ha integrado el nuevo “marco” para recoger el consentimiento de la industria publicitaria, el acertadamente llamado "Marco de Transparencia y Consentimiento (TCF) v2.0" y los editores actualizan sus banners de consentimiento. ¿Una mejora en la experiencia del usuario? No necesariamente de acuerdo con mi cuenta de Twitter en francés:

En Inglaterra, no es mejor:

Para comprender mejor qué ha cambiado entre los sitios de medios, elegí probar Lemonde.fr, la “revista de referencia”, de la que soy lector ocasional. Para ser honesto, no tenía una muy buena idea:

• Lefigaro.fr, rival histórico, acecha extensamente a sus lectores, cf "Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses".
• Antes de sus nuevas versiones, estos banners de consentimiento ya engañaban a los internautas, consulte "Recoger el consentimiento en Internet: una mentira muy extendida".
• El pasado mes de diciembre, Lemonde.fr ya estaba filtrando tus datos personales a numerosos terceros, incluidas empresas rusas, consulte "Weborama y Lemonde.fr, lentitud del sitio y filtración de tus datos personales a Rusia".

Pero usted tiene derecho a exigir un mayor respeto de su vida privada. Para estar al tanto del seguimiento en el sitio. Lemonde.fr, sigue los siguientes pasos:

• Desactiva tu adblocker.
• Elimine las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación), para cerrar sesión en tu cuenta de Google.
• Abra la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), la pestaña "Red" o inicie Charles Proxy.
• Luego ve a la página de inicio. Lemonde.fr.

Primera observación: Le Monde no permite rechazar el seguimiento directamente, sólo “Configurar cookies”. Esta elección es contraria al espíritu del RGPD, aunque la CNIL está muy retrasada en su implementación. Leamos por ejemplo la entrevista al presidente de la CNIL en el periódico... Le Monde, en febrero de 2020:

¿Esto significa que el internauta ya no tendrá un gran botón verde ofreciendo “Aceptar” y un pequeño texto en una esquina para rechazar?

Debe haber simetría entre los dos. Además, los usuarios deben poder conocer los destinatarios de sus datos recopilados con fines de elaboración de perfiles publicitarios. Hay textos vigentes que exigen la obtención del consentimiento libre e informado pero estas recomendaciones generalmente no se implementan.

Recordatorio: El RGPD entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018 (cf. artículo 99 del RGPD). Por lo tanto, los profesionales han tenido 4 años para prepararse, por lo que la CNIL no debería posponer la aplicabilidad del texto sin tener en cuenta los derechos fundamentales de las personas.

Pero Le Monde tal vez esté esperando las nuevas recomendaciones (¡¿o incluso sanciones?!) de la CNIL para actuar... Veamos ahora las solicitudes enviadas:

3 lecciones:

• Lemonde.fr llama a dos empresas de marketing para descargar sus archivos javascript, Batch y Amplitude, no hay llamadas de tracking aquí.
• Iubenda es la CMP (Plataforma de Gestión del Consentimiento) utilizada por Le Monde.
• Después de la investigación, el subdominio buf.lemonde.fr resulta ser un una “tapadera” para la empresa de análisis francesa AT Internet, Le Monde le permite rastrearte incluso antes de que hayas dado tu consentimiento.

Lemonde.fr no ofrece opt-out de AT Internet, en contravención de la ley

¿En qué puede basarse Lemonde.fr para filtrar tus datos personales a AT Internet incluso antes de haber recibido tu consentimiento? tal vez en uno antigua exención de la CNIL, poco coherente con el espíritu del RGPD.

Excepto que esta exención encontró su fuente enArtículo 6 de la deliberación de la CNIL de 2013, las condiciones para colocar cookies sin consentimiento ahora se especifican en artículo 5 de la deliberación de la CNIL de julio de 2019. El hecho de que la CNIL deje el artículo en línea podría llevar a un editor del sitio a indicar que la CNIL lo engañó y que, en consecuencia, fue de buena fe al no aplicar la deliberación de 2019, por lo que la CNIL debería modificar su artículo.

Pero ya sea que miremos las deliberaciones de 2013 o 2019, una regla sigue siendo obligatoria: la implementación de la opción "darse de baja": "debe tener la capacidad de oponerse a través de un mecanismo de oposición que pueda utilizarse fácilmente en todos los terminales, sistemas operativos, aplicaciones y navegadores web. No debe realizarse ninguna operación de lectura o escritura en el terminal desde el cual la persona objetó".

Entonces hagamos clic en "Configurar cookies":

¿Tiene curiosidad por saber qué se esconde detrás de estas “cookies operativas”?

¡Sorpresa! Además de las cookies de autenticación, Lemonde.fr sitúa los rastreadores de AT Internet en la categoría "Cookies operativas" (y no en "Cookies analíticas", como cabría esperar). ¿La excusa dada? La OJD, ahora denominada ACPM, un organismo de certificación de audiencia de medios, que permite a Le Monde alarde consigue regularmente buenas cifras de audiencia.

Como consecuencia de esta clasificación de AT Internet en “Cookies Operativas”, no se ha implementado la opción de “opt-out”, infringiendo las condiciones de la exención.

Otra regla que debe respetarse para beneficiarse de la exención es la información que debe tener lugar antes de colocar la cookie: "la persona debe ser informada antes de su implementación"(la deliberación de 2013 sólo indicó que la persona debía ser informada). Una vez más, Lemonde.fr viola las condiciones de la exención del consentimiento.

A través de una brecha de seguridad, Lemonde.fr filtra tus datos de conexión a AT Internet

Sigamos la investigación sobre estas llamadas a AT Internet, detrás del subdominio buf.lemonde.fr, se esconde un dominio oscuro:

Dominio al que realmente pertenece AT Internet:

Esta “tapadera” se lleva a cabo mediante un mecanismo llamado delegación de dominio o CNAME. Lemonde.fr permite a AT Internet gestionar un subdominio en su nombre, mediante un mecanismo de alias. El interés de las empresas de marketing es anular las protecciones del navegador (como Safari ITP O Firefox Enhanced Tracking Protection) y otros adblockers (incluso si algunos adblockers como uBlock Origin en Firefox lograr bloquear estos rastreadores).

El uso de CNAME es peligroso, puede filtrar datos de tu conexión: cookies del dominio consultado (como cookies de autenticación de lemonde.fr) pueden enviarse al subdominio del rastreador (como buf.lemonde.fr). Veamos entonces las solicitudes enviadas a AT Internet cuando estoy conectado al sitio Lemonde.fr:

AT Internet recupera todas las cookies del dominio lemonde.fr. Para comprobar si estas cookies permiten el acceso a mi cuenta de cliente de Lemonde.fr, elimino mis cookies a través de la extensión de Chrome. Edit This Cookie, introduzco las diferentes cookies que recoge AT Internet. Rápidamente me doy cuenta de que la cookie “lmd_a_s” me permite conectarme a mi cuenta:

¡Magia! Un empleado de AT Internet puede así acceder a tu cuenta

Ya he tenido oportunidad de hablar de este fallo de seguridad en artículos anteriores:

• Criteo fomenta la delincuencia animando a muchos editores a implementarla, ver "Criteo, un gigante francés del marketing de vigilancia".
• En un sitio de medios, podría decirse que no es tan grave, pero este fallo a veces se implementa en sitios web más críticos, como el área de clientes de Boursorama Banque (fallo ya corregido), cf. "Boursorama Banque filtra tus datos de conexión".

Cuando rechazas la vigilancia, Lemonde.fr aumenta el número de rastreadores, en particular a través de Weborama

Continuamos nuestro viaje en el banner de consentimiento de Lemonde.fr:

Aparte de las cookies operativas, todo está desmarcado por defecto, Lemonde.fr también ofrece un botón "Rechazar todo". Buena práctica, ahora hagamos clic en "Guardar y continuar". ¿Espera ahora que ya no lo controlen?

Sí, no estás soñando, estas son todas las solicitudes enviadas después de haber hecho el esfuerzo de rechazar el seguimiento. Y esto sin consultar un solo artículo ni siquiera recargar la página. En detalle, aquí están los rastreadores que colocan cookies a través del encabezado HTTP (algunos rastreadores también crean cookies a través de javascript o almacenan identificadores en el almacenamiento local del navegador), con un identificador personal (seudónimo):

• Outbrain: los artículos sensacionalistas del final de la página también te rastrean en la web y en lemonde.fr sin tu consentimiento.
• Weborama: Empresa francesa de “marketing de datos” trabajando con Lemonde.fr, le perfila en la web y, como puede leer a continuación, filtra tus datos personales a muchos otros terceros.
• Index Exchange: a través de casalemedia.com, plataforma de monetización publicitaria (SSP) utilizada por Lemonde.fr a través de un sistema denominado "Header Bidding" (competencia de inventario publicitario en varios mercados).
• The Trade Desk: a través de adsrvr.org, plataforma de compra de inventario publicitario, convocada por Index Exchange y Weborama.
• Criteo: líder mundial en retargeting y francés, rastrearte agresivamente En la web y en las aplicaciones, Lemonde.fr ha instalado su "Direct Bidder" (permite a Criteo comprar sin pagar comisión en una plataforma de monetización), Criteo también es llamado por Weborama.
• Nielsen: a través de exelator.com, la empresa eXelate, adquirida por el gigante de investigación de mercado Nielsen en 2017, también es convocada por Weborama.
• Smart AdServer: Plataforma francesa de monetización de publicidad utilizada por Lemonde.fr mediante "Header Bidding", también llamada por Weborama.
• Adobe: a través de everesttech.net, el gigante americano también ofrece una suite de marketing, también llamada por Weborama.
• MediaMath: a través de mathtag.com, plataforma de compra de inventario publicitario, denominada por Weborama.
• Temelio: a través de leadplace.fr, una empresa francesa de marketing de datos, ofrece a los anunciantes la posibilidad de cruzar tus datos personales online y offline, siempre a través de Weborama.
• Graphinium: a través de crm4d.com, empresa francesa especializada en la conciliación de datos personales online y offline, también a través de Weborama.
• Yahoo: sí, Yahoo todavía existe, ha sido resucitado por Weborama.
• ZBO Media: a través de zebestof.com, plataforma francesa de compra de inventario publicitario, convocada por Weborama.
• Sublime: a través de ayads.co, una plataforma francesa de monetización publicitaria, especializada en la decoración de páginas ("Sublime Skinz"), integrada por Lemonde.fr a través de "Header Bidding".
• pila de pubs; a través de pbstck.com, solución francesa de “Header Bidding”.

Como ya visto el pasado diciembre, Lemonde.fr permite a Weborama filtrar tus datos personales a numerosas empresas, en interés exclusivo de Weborama. A continuación, la lista completa de socios (incluidas varias empresas rusas):

Los socios con una pequeña flecha azul delante se activaron cuando se cargó la página de inicio (redirección de Weborama al socio y por tanto filtración de mis datos personales), los demás potencialmente se activarán al leer un artículo, ¡alegría!

Tenga en cuenta que ciertos reproductores publicitarios respetan su elección y no colocan cookies: plataformas de monetización publicitaria AppNexus, magnita (ex Rubicon) y sobre todo Google (que ocupa una posición privilegiada en Lemonde.fr, siendo el principal servidor de anuncios y plataforma de monetización de publicidad).

Bien oculta, la información de que tus datos personales aún pueden ser explotados a través de una base jurídica dudosa, el "interés legítimo".

¿Qué pueden hacer estas empresas de publicidad con tus datos personales? Volvamos al banner de consentimiento y, en particular, a las “Cookies de orientación publicitaria”:

No hay error, los rechazaste. Sin embargo, hagamos clic en "Ver descripción y personalizar":

Aún sin ningún error, Lemonde.fr también le informa que al desactivar estas cookies se le propondrán anuncios publicitarios ajenos a sus supuestos intereses. Ahora hagamos clic en “Personalizar seguimiento publicitario”, ¡y sorpresa! Se explican muchas finalidades y se desactiva el consentimiento. Pero excepto para la finalidad "Almacenar y/o acceder a información almacenada en un terminal" (que permite a los actores colocar una cookie con un identificador publicitario), la casilla "Autorizar el tratamiento de sus datos en base a un interés legítimo para esta finalidad" está marcada:

La finalidad “Almacenar y/o acceder a información almacenada en un terminal” requiere tu consentimiento (aquí no hay interés legítimo). Los distintos actores publicitarios violan sus elecciones al colocar cookies con identificadores publicitarios.

TCF v2 permite a diferentes empresas de publicidad declarar el interés legítimo como base legal para diferentes propósitos. Pero estos actores necesitan a menudo un identificador publicitario para lograr estos fines (para los que siempre se requiere tu consentimiento)... ¡Es la serpiente que se muerde la cola!

De este modo, los agentes publicitarios que le controlan se permitirían un tratamiento diferente, no sobre la base jurídica del consentimiento (recordatorio: usted ya se ha negado), sino sobre la base jurídica del interés legítimo, previsto por el RGPD. Es difícil justificar el interés legítimo cuando se trata de fines como:

• Cree un perfil publicitario personalizado (= perfil usted mismo).
• Selecciona anuncios personalizados (= influyen en ti según tu perfil).

Es probable que el interés legítimo no se aplique a la mayoría de los propósitos presentados en este banner de consentimiento. La CNIL recuerda Además, el interés legítimo sólo puede conservarse si el tratamiento satisface la condición de "necesidad", la vigilancia y la publicidad dirigida no son "necesidades".

Desmarcas el interés legítimo para las distintas finalidades, nada cambia

¡Continuemos nuestro maratón, para rechazar intereses legítimos para los diferentes fines, el botón "Rechazar todo" no funciona! Un nuevo "Patrón oscuro" ¡como nos gustan! Debe desmarcar el interés legítimo en cada uno de los fines individualmente, es decir, ¡9 clics! Haga clic en “Guardar y continuar” y observe el resultado:

Caramba, ¡nada cambia! Si nos fijamos en los detalles, la mayoría de estos actores siguen tirando una cookie, como si nada hubiera pasado.

¿Desactivar el interés legítimo para cada empresa individualmente?

No todas las esperanzas están perdidas, volvamos a nuestro banner de consentimiento, reproduzcamos los diferentes rechazos y esta vez desplácese hasta el final de la ventana "Personalizar el seguimiento de la publicidad" (tenga prisa porque Lemonde.fr tiene una actualización automática que lo lleva de regreso a la página de inicio y le obliga a rehacer todos los pasos):

Se llega a una lista cada vez mayor de socios (más de 500), algunos de los cuales se basan en intereses legítimos para fines específicos. Y aunque hayas desmarcado todos los propósitos de interés legítimo en el paso anterior, ¡estos socios todavía tienen marcada la casilla de interés legítimo! Al azar, Google:

Google se basa en el consentimiento para el primer propósito "Almacenar y/o acceder a información almacenada en un terminal"(no tiene elección, es la ley, y el TCF no permite hacer lo contrario). Y, de hecho, Google no colocó un identificador de publicidad en mi computadora (sin cookies de DoubleClick). IDE). Google, por el contrario, indica que se basa en el interés legítimo para diversos fines, lo cual es muy discutible:

Seleccione anuncios estándar; Cree un perfil para ver contenido personalizado; Seleccione contenido personalizado; Medir el desempeño de los anuncios; Utilice la investigación de mercado para generar datos de audiencia; Desarrollar y mejorar productos.

Criteo es una de las empresas que todavía te rastrea, incluso después de negar tu consentimiento. ¿Qué fines declara y con qué fundamento jurídico?

Por lo tanto, Criteo declara confiar en el consentimiento para el primer propósito "Almacenar y/o acceder a información almacenada en un terminal"(no tiene elección, es la ley y el TCF no te permite hacer lo contrario), nunca se basa en un interés legítimo. Criteo viola la ley ya que coloca un identificador de publicidad en mi computadora sin mi consentimiento (a través de la cookie fluido), lo cual no es sorprendente dado Responsabilidades de la empresa en relación con violaciones de tu privacidad..

También observamos que Weborama, el “caballo de Troya” que filtra tus datos personales a múltiples empresas, no respetó su negativa de consentimiento. ¿Qué fines declara y con qué fundamento jurídico?

Weborama declara confiar en el consentimiento para el primer fin "Almacenar y/o acceder a información almacenada en un terminal"(no tiene elección, es la ley y el TCF no le permite hacer lo contrario), sino por interés legítimo para muchos otros fines. Por lo tanto, Weborama infringe la ley al colocar un identificador publicitario en mi ordenador sin mi consentimiento (a través de la cookie "AFFICHE_W") y se permite sincronizar este identificador publicitario con muchas otras empresas que pueden así controlarme. El interés legítimo que alega para diversos fines le permite perfilarme y explotar mi navegación.

¿Hasta qué punto las empresas de publicidad adtech abusan de esta noción de interés legítimo? Para profundizar más en el tema, pueden leer la publicación de Célestin Matte, Cristiana Santos y Nataliia Bielova, “Propósitos del TCF de IAB Europe: ¿qué base legal y cómo los utilizan los anunciantes?". En mayo de 2020, solo 325 empresas de tecnología publicitaria estaban registradas en el TCF, pero el interés legítimo fue ampliamente utilizado:

Evidentemente, no puedo negar el interés legítimo de todas estas empresas de vigilancia (más de 500 empresas con las que, en teoría, Lemonde.fr podría trabajar). Tenga en cuenta que no debería tener que excluirse del interés legítimo de todas las empresas de publicidad:

• Rechazar el consentimiento en el paso 1 debería permitirle rechazar las “cookies de orientación de anuncios”: normalmente, este es el final del juego para la industria publicitaria.
• Si continúa navegando, la finalidad "Almacenar y/o acceder a información almacenada en un terminal" no puede basarse en un interés legítimo, por lo que, una vez más, no hay más opciones que confiar en tu consentimiento para colocar una cookie con un identificador de publicidad.
• Cuando desmarca el interés legítimo para diferentes fines, esto se aplica a todas las empresas de publicidad. No debería ser necesario desmarcar el interés legítimo de ninguna empresa en concreto.

Sin embargo, ¿qué ocurre si rechazo el interés legítimo en Weborama ("hacer opt-out participar")?

Como puede ver... todo sigue como siempre. Todavía te persiguen intensamente. En particular, Weborama siempre le identifica mediante un identificador publicitario y siempre sincroniza este identificador con el pequeño mundo del seguimiento de la publicidad online.

Lemonde.fr, su CMP Iubenda y las empresas adtech, un trío infernal

Resumamos la carrera de obstáculos de un usuario que no quiere ser rastreado y que sigue el protocolo establecido por Lemonde.fr y su proveedor de servicios. Iubenda (Plataforma de gestión de consentimiento):

• Al llegar a Lemonde.fr, no se desplace ni haga clic en un artículo porque a través de un defecto introducido por la CNIL en una deliberación que data de 2013 2013, "Continuar navegando implica aceptar la colocación de cookies en su terminal.". Y obviamente Lemonde.fr utiliza este defecto, que ya no es válido.
• De hecho, esta deliberación fue derogada en julio de 2019, la nueva deliberación indica: "El fortalecimiento de los derechos de las personas lleva a la Comisión a derogar su deliberación núm. 2013-378 del 5 de diciembre de 2013 que adopta una recomendación relativa a las cookies y otros rastreadores cubiertos por el artículo 32-II de la ley del 6 de enero de 1978 (en adelante "la recomendación sobre las cookies y otros rastreadores") para sustituirla por estas directrices. Estas directrices se complementarán posteriormente con recomendaciones sectoriales destinadas, en particular, a especificar las modalidades prácticas para obtener el consentimiento.". Pero el valor legal de las recomendaciones no pospone, sin embargo, la aplicación de ePrivacy, ni del GDPR, ni de la nueva deliberación.
• En particular, sobre el pergamino, la deliberación de 2019 indica: “La Comisión destaca que el consentimiento debe manifestarse mediante una acción positiva de la persona previamente informada de las consecuencias de su elección y teniendo los medios para ejercerla. Continuar navegando por un sitio web, utilizar una aplicación móvil o desplazarse hacia abajo en la página de un sitio web o aplicación móvil no constituyen acciones positivas claras que equivalgan a un consentimiento válido.".
• A pesar de estas precauciones, AT Internet ya le está siguiendo, Lemonde.fr ya infringe la ley.

Continuamos nuestra prueba del banner de consentimiento:

• Así que haz clic en "Configurar cookies", porque no existe una opción de primer nivel para rechazar las cookies (a diferencia del botón "Aceptar" en el primer nivel).
• Al darse cuenta de que Lemonde.fr vuelve a infringir la ley al no permitir la opt-out.
• EL "Cookies de publicidad dirigida" no están marcados, pero la mayoría de las empresas de publicidad continúan monitorizándolo (excepción notable, Google). Haga clic en "Ver descripción y personalizar" en la parte inferior de la ventana para saber si podemos evitar esta vigilancia.
• Lea que los servicios de publicidad cumplen con el Marco de Transparencia y Consentimiento de la IAB y que no está marcado, pero aun así haga clic en "Personaliza el seguimiento publicitario".
• Observe en la página siguiente que estos servicios publicitarios utilizan tus datos personales para diversos fines (10 fines y 2 fines especiales sobre los cuales usted no tiene control) y que si no se verifica el consentimiento para estos fines, se verifica el interés legítimo para casi todos los fines excepto uno ("Almacenar y/o acceder a información almacenada en un terminal" requiere tu consentimiento). Como no hay botones para desmarcar el interés legítimo para estos diferentes fines a la vez, desmárquelos uno por uno (9 clics). Tenga en cuenta que esto no tiene ningún efecto en las empresas de publicidad que continúan monitoreándolo.
• En la parte inferior de esta larga ventana, haga clic en "Gestionar las preferencias de cada servicio publicitario", tenga en cuenta que hay más de 500 socios que teóricamente pueden controlarle (Lemonde.fr también podría pasar considerablemente por alto la lista, muchos jugadores son demasiado pequeños o están ausentes del mercado francés). Tenga en cuenta también que es posible que haya desmarcado el interés legítimo para los diferentes fines en el paso anterior, la casilla de interés legítimo todavía está marcada en un buen número de estas empresas, para diversos fines.
• Al no tener opción de desmarcar de repente el interés legítimo de cada una de las empresas, desmarcar Weborama, un “caballo de Troya” de seguimiento publicitario, y darse cuenta de que no tiene ningún efecto. Weborama continúa monitoreándolo y permite que muchas otras empresas lo monitoreen.

Un viaje de muerte, por tanto, gracias a Lemonde.fr, su CMP Iubenda y empresas de publicidad a las que no les importan sus elecciones ni tu privacidad. Un último punto sobre Iubenda, el proveedor de servicios que permite a Lemonde.fr ofrecerle este banner para recoger el consentimiento para un proceso tan difícil. Su trabajo es recoger y transmitir sus elecciones a las diferentes empresas publicitarias, verificando que la señal recogida y luego transmitida a las empresas publicitarias sea correcta.

Esta es la señal que se transmite cuando simplemente se ignora el banner publicitario desplazándose por la página de inicio del sitio Lemonde.fr (¿Qué constituye el consentimiento gracias a la CNIL?). ¿Cómo pude recuperarlo? A través de carlos o la consola Chrome, recuperar el campo "gdpr_consent" de una solicitud enviada a un actor publicitario y decodificar la cadena de caracteres a través de este sitio (TCF v2):

Me quedé estancado pero obviamente es un "consentimiento libre, específico, informado e inequívoco". Veamos ahora la señal enviada cuando usted ha negado el consentimiento y el interés legítimo para cada uno de los fines propuestos:

Iubenda no proporciona el valor de las variables que representan los diferentes fines del consentimiento y el interés legítimo. Resulta que si leemos el Especificación TCFv2, es correcto:

Si las variables finalidadConsentimientos Y PropósitoIntereses legítimos no están definidos, esto debe interpretarse como “No consentimiento” (por tanto no existen cookies con identificadores publicitarios) e “Interés legítimo no establecido”.

Buenas noticias, sin vigilancia de Google... ni publicidad entregada por Google

Si Lemonde.fr, su CMP y el pequeño mundo del seguimiento publicitario logran violar sus elecciones y continúan vigilándole, podemos observar, no obstante, que cuando se toma la molestia de hacer clic en "Personalizar" en el banner de consentimiento y luego hace clic en "Guardar y continuar", Google ya no coloca cookies y el número de anuncios disminuye drásticamente, lo que le permite tener una experiencia de lectura ligeramente mejor.

Para qué? La primera versión de FCT (Marco de Transparencia y Consentimiento), el protocolo establecido por la IAB (la industria publicitaria) para recopilar y propagar señales de consentimiento a lo largo de la cadena publicitaria, no contaba con el respaldo de Google.

Desde el 15 de agosto, Google admite TCF v2. Para los clientes de su plataforma de monetización Google Ad Manager (como Lemonde.fr), Google está obligado a respetar las elecciones del usuario. Aquí está cómo se comunica sobre el primer propósito, "Almacenar y/o acceder a información en un dispositivo":

Varios datos interesantes aquí:

Google no es capaz de entregar publicidad sin monitorearlo (es decir, sin colocar la cookie de DoubleClick IDE). ¿Qué razones da? Google dice que lo necesita para detectar fraudes y abusos, limitar el número de exposiciones al mismo anuncio ("limitación de frecuencia") y proporcionar informes agregados.

Google dice que necesita tu consentimiento para almacenar cookies o identificadores móviles, incluso para anuncios no dirigidos. Si leemos su "Normas de consentimiento del usuario en la Unión Europea", pero también Ayuda con las normas de consentimiento de usuarios en la Unión Europea", Google indica que esta obligación proviene de las "disposiciones sobre cookies de la Directiva de Privacidad Electrónica de la UE" (también llamada directiva "ePrivacy"):

Google necesita identificadores de usuario para medir el rendimiento de los anuncios, por lo tanto tu consentimiento:

Sin el consentimiento para el primer objetivo, los editores no deben llamar a Google (Lemonde.fr no tiene esto en cuenta y llama a Google). Si se llama a Google, no entregará publicidad (y, de hecho, no se publicará publicidad a través de Google).

Explicaciones legales sobre la necesidad de consentimiento para almacenar cookies

Ojo, esto es técnico, gracias a @Celular_PP por sus detalladas explicaciones. empecemos desde Directiva 2002/58/CE, artículo 5 apartado 3 (pongo en negrita el pasaje interesante):

Los Estados miembros garantizarán que el uso de redes de comunicaciones electrónicas con vistas a almacenar información o acceder a información almacenada en el equipo terminal de un abonado o usuario sólo esté permitido a condición de que se proporcione al abonado o usuario, de conformidad con la Directiva 95/46/CE,información clara y completa, entre otras cosas sobre los fines del tratamiento, y que el suscriptor o usuario tiene derecho a rechazar dicho tratamiento por el responsable del tratamiento. Esta disposición no impide el almacenamiento o acceso técnico destinado exclusivamente a efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el suscriptor o usuario.

Directiva 2009/136/CE, aplicable desde 2012, modifica el artículo 5, apartado 3 (en negrita, obsérvese la introducción del consentimiento):

Los Estados miembros garantizarán que el almacenamiento de información u obtener acceso a información ya almacenada en el equipo terminal de un abonado o usuario sólo esté permitido a condición de que el abonado o usuario dio tu consentimiento, después de haber recibido, de conformidad con la Directiva 95/46/CE, información clara y completa, entre otras cosas sobre los fines del tratamiento. Esta disposición no impide el almacenamiento o acceso técnico destinado exclusivamente a realizar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o estrictamente necesario por el prestador para la prestación de un servicio de la sociedad de la información expresamente solicitado por el suscriptor o usuario.

La transposición francesa está en artículo 82 de la ley de libertades y tratamiento de datos.

La noción de consentimiento se menciona en el artículo 2 del mismo. directiva 2002/58/CE:

el "consentimiento" de un usuario o suscriptor corresponde al "consentimiento del interesado" contenido en la Directiva 95/46/CE

Aquí está la famosa definición de consentimiento, en Artículo 2 de la Directiva 95/46/CE

“consentimiento del interesado”: ​​cualquier manifestación de voluntad libre, específica e informada por la que el interesado acepta que puedan tratarse datos personales que le conciernen.

¿Cuál es el vínculo entre estas directivas de “ePrivacy” y el RGPD sobre esta obligación de consentimiento? Artículo 95 del RGPD indica no imponer obligaciones adicionales:

El presente Reglamento no impone obligaciones adicionales a las personas físicas o jurídicas con respecto al tratamiento en el contexto de la prestación de servicios de comunicaciones electrónicas disponibles al público en redes públicas de comunicaciones de la Unión en relación con aquellos aspectos para los cuales están sujetos a obligaciones específicas que tienen el mismo objetivo establecido en la Directiva 2002/58/CE.

una reseña del@EU_EDPB Aclara la relación entre los dos textos.

El punto 28 del dictamen establece que el artículo 5, apartado 3, se aplica a las cookies:

El objetivo general de la Directiva sobre privacidad electrónica es garantizar la protección de los derechos y libertades fundamentales del público cuando hace uso de redes de comunicación electrónica. A la luz de este objetivo, los artículos 5, apartado 3, y 13 de la Directiva sobre privacidad electrónica se aplican a los proveedores de servicios de comunicaciones electrónicas, así como a los operadores de sitios web (p.ej. para cookies) u otras empresas (por ejemplo, para marketing directo).

El punto 40 del dictamen indica que cuando el artículo 5, apartado 3 menciona que se requiere el consentimiento, no es posible utilizar otras bases:

Una situación similar ocurre con el artículo 5(3) de la Directiva ePrivacy, en la medida en que la información almacenada en el dispositivo del usuario final constituye datos personales. El artículo 5, apartado 3, de la Directiva sobre privacidad electrónica establece que, por regla general, se requiere consentimiento previo para almacenar información o para obtener acceso a información ya almacenada en el equipo terminal de un abonado o usuario. En la medida en que la información adoptada almacenada en el dispositivo del usuario final constituya datos personales, el artículo 5(3) de la Directiva ePrivacy tendrá prioridad sobre el artículo 6 del RGPD con respecto a la actividad de almacenar u obtener acceso a esta información. El resultado es similar en la interacción entre el artículo 6 del RGPD y los artículos 9 y 13 de la directiva "ePrivacy". Cuando estos artículos requieren consentimiento para las acciones específicas que describen, el responsable del tratamiento no puede basarse en toda la gama de posibles fundamentos legales previstos en el artículo 6 del RGPD.

Conclusión: de hecho, es ilegal pretextar un interés legítimo para colocar una cookie con un identificador publicitario.

Respetar tu privacidad, el gran miedo del adtech

mientras lee la prensa, podemos seguir el pensamiento de las agencias de publicidad:

• Google ya no entrega publicidad a través de Google Ad Manager si el internauta no da tu consentimiento. La mayoría de los sitios de noticias franceses utilizan Google Ad Manager como herramienta de distribución y monetización de publicidad.
• Los banners de consentimiento actuales disgustan a la gran mayoría de los internautas, pero la CNIL debe emitir nuevas recomendaciones para respetar finalmente el espíritu del RGPD.

Consecuencia potencial si algún día la CNIL hace su trabajo: un verdadero mecanismo de consentimiento (como colocar los botones "Aceptar" y "Rechazar" al mismo nivel, o mejor, una simple elección a nivel del navegador) con sanciones reales en caso de violación de la ley. Aquí está una reacción representante del sector adtech:

Dado que el rechazo del internauta no tiene ningún impacto en su experiencia de navegación, es dramático equiparar esta opción con la aceptación, protesta un jefe de adtech

Obviamente, rechazar el consentimiento tendría un gran impacto en la experiencia de navegación: ya no sería rastreado (bonificación, no más publicidad intrusiva) y los tiempos de carga de la página se reducirían considerablemente.

Las agencias de publicidad harían bien en plantearse las preguntas adecuadas: ¿son el fuerte deterioro de la experiencia del usuario y la vigilancia generalizada la solución a sus problemas económicos? En realidad, no si nos fijamos en la mala salud financiera de los sitios de noticias, plagados de publicidad intrusiva. Como tal, puedes leer estos 2 excelentes artículos:

• En cableado "¿Acabar con las cookies puede salvar el periodismo?": La experiencia de la radio pública holandesa (equivalente a France Info), que ahora gana más dinero que antes gracias a la publicidad no dirigida.
• En Forbes, "Los especialistas en marketing y los editores están ganando más dinero utilizando menos tecnología publicitaria": explicaciones de cómo los intermediarios de adtech monopolizan la mayor parte del dinero gastado por los anunciantes, impidiendo a los editores ganarse la vida dignamente.

¿Qué deberías hacer tú de tu lado? Como siempre, no confíe en que los sitios web respeten sus elecciones, equípese con un bloqueador de publicidad como uBlock Origin.

En su aplicación para iOS, Le Monde te sigue desde el primer lanzamiento

En el Smartphone, no es necesario pasar por el sitio web Lemonde.fr, también puedes utilizar la aplicación. ¿Es más respetuoso con tu privacidad? Para probar la aplicación Le Monde para iOS, Seguí el siguiente procedimiento en mi iPhone:

• Cerrar las distintas aplicaciones en segundo plano.
• Instalación de la aplicación Le Monde.
• Lanzamiento de la aplicación Charles Proxy y permitir el seguimiento.
• Lanzamiento de la aplicación Le Monde.

Al igual que en su sitio web, Le Monde muestra claramente su banner de consentimiento, sin ofrecer una opción de primer nivel para rechazar a los rastreadores. Veamos los rastreadores enviados mediante la exportación de registros desde mi sesión de Charles Proxy a mi computadora:

Incluso antes de publicar el banner de consentimiento, Le Monde ya había filtrado tus datos personales a varias empresas:

• Accengage: herramienta francesa de notificaciones push, adquirida en 2018 por la empresa de marketing móvil Airship.
• Google: Le Monde utiliza Firebase, el kit de herramientas para desarrolladores de aplicaciones.
• AT Internet: la empresa de análisis francesa también te sigue en la aplicación Le Monde.
• Batch: CRM móvil y solución de notificaciones push.
• Outbrain: los artículos sensacionalistas, también en la app.
• microsoft: a través de appcenter.ms, Le Monde utiliza Visual Studio App Center para gestionar la integración y entrega continua de su aplicación.

Rechazas el tracking, el tracking continúa

Regrese al banner de consentimiento y haga clic en “Configurar cookies”:

Primera (mala) sorpresa: todos los propósitos están verificados previamente, este no es realmente el espíritu del GDPR. Veamos los detalles de las "Cookies operativas":

Una vez más, Le Monde considera (erróneamente) que los rastreadores de AT Internet pueden clasificarse como cookies operativas, sin ofrecer opción de exclusión. La clasificación de Accengage, Batch y Google entre las cookies operativas también es cuestionable. Ahora desmarca las distintas finalidades, consulta 3 artículos y observa los rastreadores:

Por tanto, la vigilancia continúa, con las mismas empresas pero también con un invitado adicional: Smart AdServer, un servidor de anuncios francés, utilizado por Le Monde para su aplicación.

¿Cómo protegerse? Mientras espera posibles sanciones de la CNIL, puede utilizar aplicaciones como DNSCloak, AdGuard O NextDNS en iOS.