L'Équipe, primero en deporte y en vigilancia

Aunque estés suscrito, L'Équipe no te permite evitar la fuga de tus datos personales

Publicado por Pixel de Tracking el 1 de mayo de 2020

La aplicación iOS de L'Équipe filtra mis datos personales al iniciarse

Después de investigar un medio francés (Le Figaro), y luego un famoso servicio de streaming al que estoy suscrito (Spotify), estudiemos ahora EL periódico deportivo francés: L'Équipe. Como suscriptor de L'Équipe, ya tenía instalada la aplicación de iOS. Para apreciar la experiencia de usuario durante una nueva instalación, desinstalo la aplicación de antemano.

Instalemos, pues, la app para iOS de L'Équipe y comprobemos si hay terceros que puedan rastrearme; para ello, sigamos estos pasos:

  • Cerrar las distintas aplicaciones en segundo plano.
  • Abrir la aplicación Charles Proxy y activar el seguimiento.
  • Abrir la aplicación L'Équipe.

Entro directamente porque soy suscriptor: el borrado previo de la aplicación no había eliminado todos mis datos. Además, la aplicación me recibe con un cartel de consentimiento bien visible:

Banner de consentimiento L'Equipe

Sin embargo, vemos que el botón "aceptar" está resaltado, mientras que L'Équipe no ofrece un botón "rechazar", sino un discreto botón "configurar": un buen ejemplo de "dark pattern".

Si no hago clic en "configurar", sino que simplemente me desplazo por la página o hago clic para leer un artículo, el cartel de consentimiento desaparece. L'Équipe aprovecha un vacío legal, todavía tolerado por la CNIL, que permite considerar que un simple desplazamiento por la página equivale a consentimiento (sobre esto, lee mi artículo sobre la mentira de los carteles de consentimiento).

Entonces hagamos clic en "configurar":

L'Équipe configura

Vemos otro ejemplo más de "dark pattern" con el botón "aceptar todo" claramente resaltado en comparación con el botón "rechazar todo". Hago clic en "rechazar todo" y soy redirigido a la página de inicio de L'Équipe.

Entonces detengo la grabación de mi sesión de Charles Proxy y envío los registros a mi ordenador para analizarlos:

L'Équipe instalado

Sorpresa, a pesar de mi negativa a realizar el seguimiento, varios terceros me están siguiendo:

  • Google: no puedes escapar del gigante de Mountain View. Aquí L'Équipe recurre a varios servicios de Firebase, la caja de herramientas de Google para desarrolladores, entre ellos Crashlytics (informes de fallos) y Remote Config (permite a L'Équipe personalizar su aplicación sin tener que publicar una actualización).
  • Facebook: tampoco puedes escapar del gigante de Menlo Park. L'Équipe recurre a la caja de herramientas de Facebook para desarrolladores, y entonces Facebook sigue tus actividades al detalle, registrando cada artículo leído.
  • Amazon: sí, L'Équipe logra la hazaña de filtrar tus datos personales a 3 de los 4 GAFA, ¡incluso si estás suscrito! L'Équipe utiliza Amazon Transparent Ad Marketplace, la solución de header bidding de Amazon (monetización publicitaria programática). El problema: soy suscriptor y, por tanto, no tengo publicidad, además de que ya había rechazado el seguimiento publicitario.
  • Wonderpush: rechacé las notificaciones, pero L'Équipe filtra mis datos personales a un servicio de notificaciones.
  • AT Internet: solución de analítica con sede en Burdeos, que recibe así toda mi navegación.

Rechacé el seguimiento, pero L'Équipe considera que acepto el seguimiento de 512 empresas

Después de instalar L'Équipe y rechazar el seguimiento, consulto algunos artículos y observo las nuevas solicitudes enviadas por L'Équipe:

L'Équipe se conecta

La lista de rastreadores crece, nuevas empresas me están siguiendo:

  • Weborama: empresa francesa de marketing de datos, Weborama enriquece y vende tu perfil. También ofrece herramientas para anunciantes y agencias, como una Data Management Platform (que permite segmentar a los usuarios para luego poder hacerles retargeting) y un servidor de anuncios (que permite difundir campañas publicitarias y medir su eficacia).
  • SAP: vía Gigya, adquirida por SAP en 2017. SAP es un gigante del CRM (competidor de Salesforce) que, gracias a Gigya, ofrece una "Customer Data Platform" para perfilarte, seguir todas tus interacciones y hacerte retargeting con mayor eficacia.
  • Dailymotion: el reproductor de vídeo de L'Équipe. Dailymotion perdió hace tiempo el partido contra YouTube (y sigue hundiéndose desde su adquisición por Bolloré), pero eso no le impide vender su reproductor de marca blanca a los medios y vigilarte para alimentar su negocio publicitario.
  • Médiamétrie: vía estat, herramienta de medición de audiencia.
  • Comscore: a través de scorecardresearch.com, un gigante del marketing que puede así perfilarte en L'Équipe.

Veamos en detalle la información enviada a Didomi, la plataforma francesa de gestión del consentimiento de L'Équipe (a través del dominio api.privacy-center.org):

consentimiento Didomi

Didomi sigue el Transparency & Consent Framework de la IAB, que debería permitir a todas las partes de la cadena de la publicidad digital garantizar el cumplimiento del RGPD y de la directiva ePrivacy, en palabras de la propia IAB (el lobby de las empresas de la adtech). Veamos qué almacena Didomi tras mi rechazo del consentimiento:

  • purposes: las finalidades que autorizo o no; aquí todas las finalidades están correctamente rechazadas.
  • vendors: las empresas que autorizo o no. La captura de pantalla está cortada, pero L'Équipe, vía Didomi, considera que he dado mi consentimiento para que me rastreen 512 empresas de la adtech (la lista de identificadores de empresa que figuran en la tabla "vendors": "enabled") !

¿Cómo es posible que L'Équipe permita que estas 512 empresas me rastreen cuando yo he rechazado el seguimiento?

Una carrera de obstáculos para encontrar el cartel de consentimiento

Para encontrar el "cartel de consentimiento" y comprobar si no se me había escapado alguna opción para bloquear a estas 512 empresas, tengo que ir a "menú", luego desplazarme hasta la parte inferior para desplegar el menú "avisos legales" y, por último, "gestión de cookies". Allí, desplazándome de nuevo por la página "Política de cookies en Lequipe.fr" en mi iPhone, encuentro el enlace CMP (Consent Management Platform) y hago clic en él:

consentimiento de rechazo

L'Équipe ofrece otro magnífico "dark pattern": tengo que hacer clic en "Por todos nuestros socios - Ver" (que he recuadrado expresamente en rojo) para entender que no he rechazado del todo el seguimiento, sino que supuestamente habría dado mi consentimiento a estos 512 socios:

todos nuestros socios - consentimiento

Me apresuro a rechazar a estos socios y a guardar el cambio.

Pero L'Équipe sigue filtrando mis datos personales

Cierro entonces la aplicación, la vuelvo a abrir y consulto algunos artículos para comprobar el seguimiento:

L'Équipe seguimiento desactivado

Nada cambia: L'Équipe sigue filtrando mi información, como si yo siempre hubiera dicho sí a la venta de mis datos personales.

En el sitio web lequipe.fr, el Far West desde la página de inicio

Para saber si L'Équipe también abusa del seguimiento en su sitio web, estos son los pasos a seguir:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación); así cierras sesión en tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Mayús y J en PC), pestaña "Red", o inicia Charles Proxy.
  • Luego ve a la página de inicio lequipe.fr.
  • No navegues, solo observa las distintas empresas de terceros que te rastrean.

Ya puedes ver que, sin un adblocker, la experiencia de usuario es catastrófica: el contenido queda oculto tras la publicidad y el cartel de consentimiento:

Página de inicio de L'Équipe

Tus datos personales enriquecen a tantas empresas que me vi obligado a eliminar algunas peticiones y hacer 2 capturas de pantalla:

L'Équipe seguimiento web inicio 1L'Équipe seguimiento web inicio 2

Antes de que puedas siquiera leer los titulares principales, ya estás siendo rastreado por:

  • Google: omnipresente en la web, L'Équipe monetiza su inventario publicitario a través de Google Ad Manager, mide tu comportamiento en su sitio a través de Google Analytics y se apoya en AMP para acelerar los tiempos de carga de los artículos en la web móvil.
  • Weborama: la empresa francesa de "Data Marketing" te perfila en la app de L'Équipe, pero también en su sitio web.
  • Oracle: a través de su adquisición de Grapeshot, empresa especializada en publicidad contextual. Grapeshot proporciona a los distintos actores de la adtech información contextual sobre las páginas que visitas, con la que esas empresas pueden luego enriquecer tu perfil. Aquí tienes explicaciones oficiales detalladas sobre su funcionamiento, así como una entrevista a Grapeshot por Ciaran O'Kane. Oracle se ha diversificado hacia la adtech mediante sucesivas adquisiciones y, por tanto, no solo vende bases de datos. Así es como presenta su oferta de marketing de vigilancia: Oracle Data Cloud se basa en tecnologías creadas por seis empresas adquiridas distintas, cada una líder o pionera en su campo.
  • Realytics: una solución francesa para medir el rendimiento de las campañas de televisión.
  • ACPM: antiguamente la OJD, asociación profesional de medios franceses, cuyo papel aquí es certificar la audiencia de los sitios.
  • Bluekai: otra empresa de Data Marketing adquirida por Oracle; permite a sus clientes construir y enriquecer tu perfil para dirigirse mejor a ti.
  • Facebook: también omnipresente, L'Équipe utiliza uno de sus componentes destinados a los sitios web, lo que permite a Facebook no perderse nada de tu navegación.
  • AT Internet: a través del dominio xiti.com, la empresa de analítica de Burdeos recopila también tu navegación web.
  • Kameleoon: servicio francés de pruebas A/B y personalización de sitios web, te perfila para ofrecerte la versión del sitio que mejor funcione para el objetivo de L'Équipe (por ejemplo: la suscripción).
  • Integral Ad Science: a través del dominio adsafeprotected.com, solución de control de la publicidad difundida. Integral Ad Science mide la visibilidad de los anuncios, si el anuncio se muestra a un humano (y no a un bot) y si el contexto de difusión es satisfactorio para las marcas (que quieren evitar el streaming, la pornografía o los contenidos ilegales).
  • MediaSquare: a través de los dominios audiencesquare.com y mediasquare.com, plataforma de monetización publicitaria formada por varios medios franceses. El objetivo era unirse para hacer frente a Google o Facebook. Esta alianza tiene cada vez menos sentido hoy en día, porque la mayoría de las oportunidades publicitarias se venden de forma individual en el mercado "programático" (RTB), directamente por los editores. Como anécdota, MediaSquare es la fusión de dos grupos rivales, La Place Media y AudienceSquare (en su origen: una pequeña guerra entre medios parisinos).
  • Pubstack: una solución de "header bidding" francesa. ¿Y eso qué es? L'Équipe va a consultar a varias plataformas de monetización publicitaria, que a su vez consultan a múltiples plataformas de compra de inventario publicitario, todo ello para mostrarte un anuncio (mientras tanto, tus datos personales se habrán filtrado a esos cientos de actores; sobre esto, mira el vídeo del navegador Brave, "Data-Leakage in Real-Time Bidding").
  • Rubicon: una solución de monetización publicitaria, te rastrea en una amplia gama de sitios web y filtra tus datos personales a numerosas plataformas de compra.
  • AppNexus: otra solución de monetización publicitaria; AppNexus ofrece además una plataforma de compra de espacios publicitarios, ahora se llama Xandr y ha sido adquirida por el gigante estadounidense de las telecomunicaciones AT&T.
  • Wonderpush: el servicio de notificaciones que ya vimos en la app de L'Équipe.
  • Dailymotion: tanto si ves vídeos en la app como en el sitio web de L'Équipe, Dailymotion enriquece tu perfil publicitario e incluso lo sincroniza con plataformas de compra de espacios publicitarios.
  • Moat: a través del dominio moatads.com, también fue comprado por Oracle. Moat es competidor de Integral Ad Science; ofrece soluciones de prevención del fraude, pero su especialidad es la medición de la visibilidad (si el anuncio está visible en tu pantalla u oculto).
  • Comscore: gigante estadounidense de la planificación de medios, Comscore te perfila en muchos sitios web.

Esta lista de rastreadores no es exhaustiva, porque si repetimos la prueba aparecen nuevas empresas de publicidad.

Denegar el consentimiento es casi imposible, también en la web

Al igual que en la aplicación de L'Équipe, intentemos rechazar la filtración de mis datos personales haciendo clic en "configurar" desde el cartel de consentimiento (y sí, sin botón de rechazar). Hay que hacer clic entonces en "Rechazar" para las 5 finalidades:

Rechazo de consentimiento L'Équipe web - paso 1

Podrías pensar que con eso basta, pero la experiencia de la app de L'Équipe ya nos enseñó el "dark pattern" del CMP Didomi implementado por L'Équipe: ahora tienes que hacer clic en "ver nuestros socios" y luego hacer clic de nuevo en "bloquear todo":

Rechazo de consentimiento L'Équipe web - paso 2

Por último, haz clic en "guardar", y una segunda vez en "guardar": en total, habrás necesitado 11 clics para rechazar el consentimiento (!), frente a un clic o incluso una simple continuación de la navegación mediante un desplazamiento por la página para "consentir" que te rastreen decenas de empresas.

Una nota sobre estas "Consent Management Platforms" (Didomi no es la única que permite a sus clientes ofrecer estos "dark patterns"; ya constatamos el mismo problema con SFBX en el sitio de Le Figaro): si bien L'Équipe ha configurado Didomi para hacer casi imposible el rechazo del consentimiento, Didomi no debería ofrecer esta opción (y la CNIL debería investigar las pocas CMP del mercado para obligarlas a no ofrecer "dark patterns"). En otras palabras: L'Équipe es desde luego responsable, pero Didomi también debería serlo.

Negar el consentimiento en la web no sirve de nada

¿Qué ocurre ahora cuando consultas artículos? Al igual que en su app para iOS, L'Équipe no se corta a la hora de seguir filtrando tus datos personales, aunque hayas rechazado explícitamente el seguimiento:

Sin consentimiento L'Équipe 1Sin consentimiento L'Équipe 2

Reaparecen muchos de los terceros ya vistos, y algunos rastreadores adicionales:

  • LinkedIn: ¿tienes un perfil de LinkedIn? También se te perfila a través de tu navegación web; LinkedIn vende tu perfil a los anunciantes.
  • Adomik: solución francesa para optimizar la monetización publicitaria, ofrece una solución de header bidding y analiza el rendimiento de las distintas plataformas de monetización publicitaria.
  • Outbrain: líder mundial en la recomendación de enlaces patrocinados; ¿esos artículos con títulos sensacionalistas al final de las páginas? ¡A menudo son ellos!
  • SpotX: a través del dominio spotxchange.com, adquirida por RTL Group, plataforma de monetización publicitaria especializada en vídeo.
  • Zemanta: adquirida por Outbrain, plataforma de compra de espacios publicitarios especializada en publicidad nativa (publicidad que adopta los códigos del contenido, como la de Facebook o Twitter, por ejemplo).

Conectado en la web, pero aún vigilado

Ahora inicio sesión en mi cuenta de L'Équipe. Recuerdo que rechacé todos los rastreadores y pago mi suscripción a L'Équipe todos los meses, así que no recibo publicidad. Pero, una vez más, eso no impide que L'Équipe filtre mis datos personales a Google, Facebook, LinkedIn, Comscore, Dailymotion, AppNexus, AT Internet, Adomik y Médiamétrie:

L'Équipe web conectado

Por tanto, pagar y rechazar los rastreadores no basta para evitar que L'Équipe filtre tus datos personales.

Las mentiras de la política de privacidad

Si leemos ahora la política de privacidad de L'Équipe y buscamos "publicidad":

confidencialidad - L'Équipe

L'Équipe declara, pues, que cuenta con tu consentimiento para perfilarte y mostrarte publicidad. Como hemos visto, L'Équipe filtra tus datos a numerosos actores (Google, Facebook, Amazon, Weborama, Comscore, SAP) que elaboran perfiles publicitarios sin tu consentimiento.

L'Équipe declara también que puedes gestionar las cookies publicitarias en la página de información sobre cookies o manifestar tu oposición a la elaboración de perfiles publicitarios en tu cuenta, pero ya hemos visto que nada funciona.

Más allá de estas mentiras, L'Équipe parece olvidar que el mundo ha cambiado y que es posible consultar su sitio web fuera de un navegador. En ningún momento se mencionan las aplicaciones de iOS y Android en su política de privacidad, su política de cookies ni su página "uso de cookies".

Una limpieza necesaria en los sitios de medios

Ya habíamos observado, con Le Figaro, que la vigilancia publicitaria estaba muy extendida en los sitios de medios. L'Équipe no es la excepción y le añade un matiz más: estar suscrito y no recibir publicidad no basta para limitar el seguimiento. Como hemos visto, L'Équipe se burla de ti y de tu privacidad en varios niveles:

  • L'Équipe filtra tus datos personales nada más abrir el sitio web o la app de iOS, incluso antes de que puedas dar tu consentimiento.
  • L'Équipe y su socio Didomi hacen todo lo posible para impedir que rechaces el consentimiento.
  • Aunque hayas rechazado el consentimiento, L'Équipe sigue filtrando tus datos personales.
  • Aunque hayas iniciado sesión y estés pagando, L'Équipe sigue filtrando tus datos personales.
  • La política de privacidad de L'Équipe parece olvidar el universo de las aplicaciones y te miente al afirmar que pide tu consentimiento para la elaboración de perfiles publicitarios.

Sin sanciones de la CNIL, y aunque la experiencia de usuario se vea degradada, por desgracia es poco probable que L'Équipe cambie. A título individual, puedes instalar un adblocker como uBlock Origin en la web, o aplicaciones como DNSCloak, Adguard o NextDNS en iOS.