Decathlon, a fondo con la vigilancia

La familia Mulliez maximiza la explotación de tus datos personales

Publicado por Pixel de Tracking el 16 de enero de 2023

Las reglas del juego

El pasado mes de agosto, tuiteé sobre el calvario que supone rechazar la vigilancia de Decathlon. Hasta la fecha, es mi tuit más exitoso, con 1760 retuits y más de un millón de impresiones. Por lo visto, no fue suficiente para merecer una respuesta de Yann, el community manager de Decathlon. Unos meses después de aquel episodio, ¿qué ha cambiado? Veámoslo en detalle.

Nada más llegar al sitio web de Decathlon, te recibe un banner «Cookies: las reglas del juego»:

normas

Las reglas de Decathlon, ¿las de la ley?

¿Estás acostumbrado a estos patrones oscuros y, por instinto, haces clic en el botón «Rechazar y cerrar» de la parte superior derecha? Yo también lo hice... Lee atentamente el texto:

Algunos socios no solicitan tu consentimiento para tratar tus datos y se basan en su interés comercial legítimo. Puedes revocar tu consentimiento u oponerte al tratamiento de datos basado en el interés legítimo en cualquier momento haciendo clic en «Saber más»

¿Quiénes son estos socios? Misterio... ¿Cómo oponerse al tratamiento de datos basado en el interés legítimo? El texto de Decathlon es incoherente, porque no existe ningún botón «Saber más». Probemos de todos modos haciendo clic en «Configurar tus cookies»:

parámetros

«Por supuesto, la pelota está en tu tejado: depende de ti aceptar o rechazar determinadas cookies para elegir cuáles se quedan en el terreno de juego».

El banner no menciona el interés legítimo; aún así, puedes hacer clic en «Rechazar todo». Continuemos, pues, la investigación haciendo clic en «Ver nuestros socios»:

socios

La larga lista de socios de Decathlon.

A Decathlon le gusta compartir tus datos personales y trabaja con nada menos que 26 socios: AB Tasty, AT Internet, Awin, Bing (Microsoft), Content Square, Dynamics Yield, Easyence, Epsilon, Google, Hotjar, IAdvize, Idealo, Kelkoo, Lucky Orange, Meta (Facebook), Mobsuccess, Ogury, Pinterest, Rakuten Advertising, RTB House, SpeedCurve, Target 2 Sell, Teads, Teester, Valiuz y Verizon Media.

Aquí también puedes hacer clic en «Bloquear» para «Todos los socios»: no verás ninguna mención al interés legítimo, estos socios se basan en tu consentimiento. Sigue siendo un misterio qué «socios» se basan en el interés legítimo; a primera vista, parece que basta con hacer clic en «Rechazar y cerrar» en la parte superior derecha del banner inicial.

A través de el sitio web Consent String Decoder, compruebo de todos modos mi cadena de consentimiento, una cadena de caracteres que codifica mis elecciones y que los socios de Decathlon deben respetar:

cadena

Las variables purposeConsents y purposeLegitimateInterests están vacías; ningún socio de Decathlon tiene base legal para tratar mis datos personales.

Después del rechazo, iAdvize sigue rastreándote

Después de hacer clic en «Rechazar y cerrar», inicio Charles Proxy para observar las solicitudes que envía mi navegador:

negativa

Sorpresa! Decathlon no es el único destinatario de mis datos personales.

Así pues, iAdvize sigue tu navegación gracias a los parámetros url, sourceVisitorId y deviceId. El parámetro cookieConsent también llama la atención: ¡tiene el valor unknown! ¿Qué es iAdvize? Una ventana de conversación en el sitio web de Decathlon, para incentivar la compra:

deportivo

Sporty by iAdvize, ¡siempre disponible para observar tu comportamiento!

Si vuelvo al banner de cookies para comprobar mis opciones, a través de «Gestión de cookies» (y no de «Datos personales») en el pie de página:

no es necesario

Mucho amor por las «cookies no necesarias».

Luego, si hago clic en «Gestionar mis cookies» y busco mi elección para iAdvize:

siempre rechazo

Sí que rechacé la vigilancia de iAdvize, así que Decathlon ignora mi elección.

Ten en cuenta que Decathlon e iAdvize podrían argumentar que iAdvize no deposita cookies cuando haces clic en «Rechazar y cerrar». Salvo que este último te identifica mediante los identificadores sourceVisitorId y deviceId; una huella digital sí es un identificador de usuario, y tu consentimiento es necesario:

dedo

La CNIL es explícita sobre la aplicación de la directiva ePrivacy: el «fingerprinting» queda incluido.

Registro, con un socio misterioso pero un compromiso firme

¿Quieres ahora realizar un pedido en Decathlon? Tendrás que registrarte:

socios

¡En equipo! Decathlon te presenta su oferta junto con «sus socios».

Ya has rechazado la vigilancia de 26 socios, ¿por qué Decathlon vuelve a hablarte de «socios»? Parece que la referencia es más bien a los vendedores de su marketplace, pero nos habría gustado que Decathlon fuera más explícito. Introduce una dirección de correo electrónico y, después, una contraseña:

casi

Un «socio» más, Valiuz (recuerda este nombre para lo que viene).

No tienes por qué querer recibir boletines de Decathlon a través del misterioso socio «Valiuz», así que no marques la casilla y haz clic simplemente en «Confirmar y continuar»:

teléfono

El número de teléfono es obligatorio y, por supuesto, solo sirve para contactar contigo sobre tu pedido ;-)

También puedes indicar tus deportes favoritos. En la misma página, Decathlon explica cómo se utilizan tus datos, en primer lugar para la creación de la cuenta:

seguridades

Con palabras fuertes:

¿A dónde van tus datos? ¡A nuestra casa, y punto! Es raro que a uno le guste que su correo electrónico se venda a otras marcas. Tranquilo, esa no es la política de la casa. Tus datos están destinados únicamente a Decathlon: nuestro servicio de logística, nuestro centro de atención al cliente, etc. Si nuestros subcontratistas tratan tus datos, solo lo hacen con fines estadísticos, de deduplicación o corrección, y siguiendo instrucciones de DECATHLON.

Decathlon usa las mismas palabras para explicar cómo se utilizan tus datos con fines de comunicación:

tranquilizarcom

Observamos la confianza del deportista:

Por último, si a pesar del interés que ponemos en proteger tus datos no quedaras satisfecho, puedes presentar una reclamación ante la CNIL.

Estos compromisos se refieren a la creación de la cuenta y a las comunicaciones de Decathlon. Pero, como vimos antes, con tu consentimiento (salvo en el caso de iAdvize), Decathlon puede compartir tus datos personales con nada menos que 26 socios para diversos fines: «Anuncios personalizados», «Medición de audiencia y del rendimiento de los contenidos» y «Personalización del contenido».

Por lo tanto, algunos de tus datos personales no están destinados únicamente a Decathlon...

En busca de la configuración de privacidad

Como soy desconfiado, quiero comprobar si Decathlon ha protegido correctamente mi cuenta, con las opciones más protectoras en materia de privacidad. Para ello, voy a «Mi panel de control»:

panel

¿El acceso más rápido a la configuración de privacidad?!

En el apartado «Gestionar mi cuenta Decathlon» del menú, escondido dentro de «Preferencias», descubro 2 entradas interesantes: «Historial de navegación» y «Datos personales»:

menú

¿Victoria?

Hagamos clic en «Historial de navegación»:

histórico

Siempre la «mejora de la experiencia en el sitio».

Cuando desmarcas la opción, te explican que ya no verás los artículos que ya has consultado:

oculto

Esta opción de «Historial de navegación» está, efectivamente, bien escondida.

Si ahora hago clic en «Datos personales», acabo en la página «Tus datos y Decathlon». Para asegurarme de no perderme ninguna opción, hago clic en la entrada «Seguridad» del menú de la página «Mi panel de control». Y allí, sorpresa, un segundo panel de control:

seguridad

«¡Gestiona todos tus datos en un solo lugar!». Si lo encuentras ;-)

Allí podrás dar a Decathlon todavía un poco más de información, en particular tus medidas corporales:

medidas

El capitalismo de vigilancia se mete con tu cuerpo.

¿La idea? Ofrecerte productos y servicios adaptados a tu morfología:

ganancias

Decathlon te acompaña en tu disciplina, da ganas, ¿no?

A continuación, veamos las «Preferencias de comunicación»:

comunicación

Como era de esperar, casi todas las comunicaciones vienen premarcadas.

Si haces clic en «Darse de baja de toda la información», se te preguntará si estás realmente seguro:

seguro

Después de todos estos esfuerzos, nos preguntamos si realmente quieres perderte nuestras comunicaciones comerciales.

Por último, vayamos a la entrada «Uso de los datos» del menú:

usar

Otra página relevante para tu privacidad, bien escondida, ¿verdad?

Si haces clic en «Modificar» en «Sitios web y aplicaciones de socios», verás una página más o menos vacía, según tus cuentas:

sitios

Siempre socios y, sin embargo, «Tus datos solo están destinados a Decathlon».

No tengo «Sitios web y aplicaciones de socios», ni se comparten datos personales adicionales. Si ahora haces clic en «Modificar» en «Deducción de preferencias por parte de Decathlon»:

deducción

La opción viene premarcada, ¡un clásico!

Si recuerdas, ya he desactivado mi historial de navegación, así como todas las comunicaciones; ¿cómo puede Decathlon permitirse seguir «deduciendo» mis preferencias? Misterio... Hagamos ahora clic en «Modificar» en «Compartir con Valiuz»:

programa

Nueva opción premarcada, para compartir tus datos con «un grupo de marcas».

Recordemos el compromiso de Decathlon en el momento de tu registro:

¿A dónde van tus datos? ¡A nuestra casa, y punto! Es raro que a uno le guste que su correo electrónico se venda a otras marcas. Tranquilo, esa no es la política de la casa. Tus datos están destinados únicamente a Decathlon: nuestro servicio de logística, nuestro centro de atención al cliente, etc. Si nuestros subcontratistas tratan tus datos, solo lo hacen con fines estadísticos, de deduplicación o corrección, y siguiendo instrucciones de DECATHLON.

Así que no es la política de la casa, pero es justo lo que hace Decathlon con tus datos personales más jugosos: hábitos de compra, dirección, composición de tu hogar, datos de contacto. Por mucho que lo hayas rechazado todo, este intercambio está activado por defecto: se comparte con un misterioso grupo de marcas. Además, gracias a @Eriatolc, descubrirás que Decathlon te inscribe automáticamente en su programa de fidelización.

Hablando de Valiuz, es un socio que yo ya había bloqueado:

bloquear

Un socio ya bloqueado, pero con el que Decathlon sigue compartiendo tus datos personales.

Por cierto, el texto del banner de consentimiento es interesante, pues Valiuz se permite hacer muchas cosas con tus datos personales:

VALIUZ contribuye a personalizar los banners publicitarios difundidos en línea (en los sitios web de los miembros de la alianza, los sitios externos, las redes sociales), promocionando los productos y servicios de anunciantes externos (extensión de audiencia). Tus datos nunca se transmiten a los anunciantes en cuestión. VALIUZ constituye audiencias (listas de personas con puntos en común) a partir de tus datos de navegación y de la información que has facilitado a las empresas de la alianza, y estas audiencias quedan expuestas a anuncios en línea que coinciden con su perfil.

En la página «Tus datos y Decathlon», apartado «NUESTRAS COMUNICACIONES SE ADAPTAN A TU VIDA DEPORTIVA», puedes saber un poco más sobre esta «extensión de audiencia»:

extensión

Valiuz vende campañas publicitarias basadas en tu perfil, en sitios web que no pertenecen a la alianza («extensión de audiencia»), ¡un negocio de lo más bonito!

Más información sobre Valiuz

Para entender mejor lo que hace Valiuz, hice clic en el enlace «Más información sobre Valiuz» desde la página «Compartir con el programa Valiuz» de Decathlon. Aquí estoy en el sitio web de Valiuz, y aquí está la lista de miembros de la alianza: Auchan, Boulanger, Kiabi, Leroy Merlin, Norauto, Flunch, 3 brasseurs, Alinea, Top Office, Saint Maclou, Tape à l'oeil, Jules, Electro Depot, Rouge-Gorge, Nhood, Chronodrive, Grain de Malice, Bizzbee, Decathlon, Oney, «¡y muchas más por venir!».

En la página «Cómo funciona», Valiuz te vende la utilidad de sus correos electrónicos segmentados:

curso1

«Soy una familia con 2 hijos, con un marcado interés por los productos frescos y de alta tecnología para la cocina».

Valiuz también te vende la utilidad de sus SMS y notificaciones segmentados:

curso2

«Soy un cliente que solo compra en tienda y nunca en línea, y que visita su zona comercial habitual los sábados».

Pero Valiuz también busca tranquilizarte:

Tus datos no son, ni serán nunca, revendidos ni intercambiados entre las marcas asociadas a Valiuz. Solo Valiuz tiene acceso a los datos que le transmiten sus socios.

Valiuz crea un fondo común con tus datos personales de las distintas marcas asociadas, para explotarlos mejor:

fondo común

Valiuz permite que Decathlon y las demás marcas asociadas te segmenten mejor.

¿Y qué hay del identificador único creado por Valiuz? La página «Mis derechos» da algún detalle:

hash

Espero que estés tranquilo: todos tus datos identificativos (tu dirección de correo electrónico, tu dirección postal o tu número de teléfono) se hashean antes de compararse entre marcas. Para los más astutos que recurran a un sistema de alias de correo del tipo SimpleLogin, Valiuz te encontrará gracias a tu número de teléfono (obligatorio al registrarse) y a tu dirección postal (recomendada si has hecho un pedido).

De paso, el hash de tu dirección de correo electrónico probablemente ya lo conozcan las grandes plataformas y toda la adtech. ¿Es «seguro», como afirma Valiuz?

seguro

«Valiuz garantiza la máxima seguridad».

Cabe dudarlo: pásate por el sitio «Have I been pwned» y comprueba tu dirección de correo electrónico, es probable que se haya filtrado (al igual que tu número de teléfono). Si es así, alguien con acceso a la filtración podrá remontarse a tu dirección de correo a partir de su hash.

También en la página «Mis derechos», puedes oponerte al uso de tu información relacionada con tus compras (en tienda y en línea) en el marco de Valiuz:

opuesto

Facilita tu correo electrónico para que no te vigilen a través de tu correo electrónico.

¿Por qué dar tu dirección de correo electrónico? Sería la única forma de «darse de baja»:

Esta dirección de correo electrónico debe ser conocida por uno de los miembros de la alianza, a fin de permitirnos identificar el perfil de cliente en cuestión. Solo se utilizará para enviarte un mensaje de confirmación automático y será seudonimizada (es decir, se transformará en una información del tipo 1a2b3c4d5e6f que compararemos con nuestros datos para tener en cuenta tu solicitud).

En realidad, también puedes desmarcar la opción «Compartir con el programa Valiuz» en tu cuenta de Decathlon. Pero tendrás que hacerlo con todas las demás marcas de la alianza Valiuz en las que tengas cuenta, suponiendo que ofrezcan la opción:

en general

Oposición a compartir mis datos de Decathlon con Valiuz frente a la oposición al servicio Valiuz de forma global.

Durante mi prueba del pasado mes de agosto, era posible oponerse al tratamiento de la información de navegación, a costa de un magnífico patrón oscuro:

navegación

Cuando está en «OFF», está en «ON».

Entonces, ¿cómo bloquear el tratamiento de la información de tu navegación? Volvemos al banner de consentimiento inicial:

supresión

La carrera de obstáculos.

para rechazar la cookie de Valiuz, debes utilizar la herramienta de gestión de cookies disponible en el sitio web de nuestros socios.

¡Uf! Así que ya está hecho, desde el principio mismo de este artículo. Aun así, habría estado bien dejar que el usuario rechazara esta vigilancia directamente desde el sitio de Valiuz, para todos los sitios de la alianza. Ahora tienes que hacer clic en «Rechazar todo» en el banner de consentimiento de cada uno de los sitios de la alianza.

Y ten en cuenta que, cuando Valiuz combina la información relacionada con tus compras (en tienda y en línea) con la información de tu navegación, resulta mucha información:

conjunto

Para perfilarte mejor, Valiuz también recopila «datos de libre acceso público (open data) o procedentes de bases de datos facilitadas por terceros (ejemplo: INSEE)».

Regalo adicional: la información de tu navegación y su cruce con los datos en poder de los miembros de la alianza no los gestiona directamente Valiuz, sino que se realizan a través de la adtech francesa Mediarithmics:

medios de comunicación

«Tus datos solo están destinados a Decathlon», nuevo episodio.

¿Cuáles son las bases legales del tratamiento por Valiuz?

Pregunta difícil, si recapitulamos la información:

Valiuz se basa en el consentimiento (a través del banner de cookies de Decathlon) para:

  • La personalización de los banners publicitarios difundidos en línea (en los sitios web de los miembros de la alianza, los sitios externos, las redes sociales), promocionando los productos y servicios de anunciantes externos (extensión de audiencia). VALIUZ constituye audiencias (listas de personas con puntos en común) a partir de tus datos de navegación y de la información que has facilitado a las empresas de la alianza, y estas audiencias quedan expuestas a anuncios en línea que coinciden con su perfil.

Valiuz se basa en su interés legítimo para lo demás, es decir:

  • Realizar análisis estadísticos no individuales que permitan a sus empresas colaboradoras comprender mejor las expectativas de sus clientes y responder a ellas desarrollando su actividad.
  • Mejorar la calidad de la información de clientes de sus empresas colaboradoras y contribuir así a su actualización (ejemplo: identificar a las personas cuya dirección postal está obsoleta, para dejar de enviarles comunicaciones).
  • Segmentar las bases de datos de clientes de sus empresas colaboradoras y contribuir así a mejorar la pertinencia de las comunicaciones que te envían.

Esta articulación se entiende mejor en el apartado «¿Cuál es el servicio que presta VALIUZ?» de la página «Política de datos personales y cookies de la Alianza»:

articulación

Interés legítimo para el perfilado publicitario, consentimiento para los datos de navegación y la visualización de publicidad segmentada.

Así, el enigmático mensaje del banner de consentimiento del sitio web de Decathlon cobra ahora sentido:

Algunos socios no solicitan tu consentimiento para tratar tus datos y se basan en su interés comercial legítimo. Puedes revocar tu consentimiento u oponerte al tratamiento de datos basado en el interés legítimo en cualquier momento haciendo clic en «Saber más»

Salvo que oponerse al tratamiento de datos basado en el interés legítimo era algo más complicado que hacer clic en «Saber más»: este banner es particularmente deshonesto. En términos más generales, Decathlon parece tener un problema con la noción de consentimiento, como demuestra la página «Tus datos y Decathlon», apartado «NUESTRAS COMUNICACIONES SE ADAPTAN A TU VIDA DEPORTIVA»:

interés

«[...] si y solo si las personas afectadas han dado su consentimiento [...]», pero aun así nos basamos en el interés legítimo.

Detrás de Valiuz, el grupo Mulliez

¿Quién está detrás de esta alianza «Valiuz»? Si no eres un conocedor del capitalismo a la francesa, no adivinarás necesariamente que Auchan, Decathlon o Leroy Merlin pertenecen a la riquísima familia Mulliez. El artículo «Valiuz, el proyecto de datos con 150 millones de tarjetas de fidelización del grupo Mulliez» (que puedes leer gracias al modo «lectura» de tu navegador), escrito en 2019, aporta algunos datos:

  • Valiuz ya llegaba a 29 millones de hogares franceses.
  • Reunía, por tanto, más de 150 millones de tarjetas de fidelización.
  • No es la única alianza: 3W.RelevanC (Casino) reunía a 31 millones de consumidores; el artículo menciona también RetailLink, de Fnac-Darty.
  • Mediarithmics envía los perfiles de usuario a las Data Management Platforms (DMP) de los distintos miembros de la alianza, de modo que otros actores de la adtech recuperan tus datos personales enriquecidos.
  • Por ahora circunscrita a la galaxia Mulliez, la iniciativa podría abrirse a otros grupos en los próximos meses. En particular, en los sectores en los que las entidades miembros de la AFM no están presentes, como las telecomunicaciones, por ejemplo.

Si recuerdas, Valiuz declaraba:

Tus datos no son, ni serán nunca, revendidos ni intercambiados entre las marcas asociadas a Valiuz. Solo Valiuz tiene acceso a los datos que le transmiten sus socios.

Valiuz también ofrece una aplicación de cashback para aspirar tus transacciones bancarias

Valiuz recupera tus historiales de compra, en la web y en tienda, de los miembros de la alianza. Pero ¿por qué no recuperar todas tus transacciones bancarias? Evidentemente, si te preocupa mínimamente tu privacidad, no utilizarás este tipo de aplicaciones, pero Valiuz ofrece una aplicación de «cashback» llamada Naomi:

noemí

Acumular recompensas de forma automática, interesante, ¿verdad?

Al registrarte, Naomi te pide acceso a tu cuenta bancaria:

escenario

«Tus datos de conexión bancaria simplemente nos permiten identificar tus compras para abonarte tus ganancias».

En efecto, Naomi no tiene acceso a las credenciales bancarias, «solo» a todas las transacciones bancarias del cliente:

conectar

Privacidad y seguridad, ¿por qué preocuparse?

La «política de protección de datos personales» de la aplicación Naomi es interesante. Observamos que los estudios estadísticos sobre tus transacciones bancarias se basan en el interés legítimo de Naomi, alias Valiuz:

estudios

Siempre la famosa seudonimización, ahora con todas tus transacciones bancarias.

Dada la sensibilidad de los datos recuperados, no te tranquilizará especialmente saber que Naomi recurre a subcontratistas para numerosas acciones:

subcontratistas

«estudios estadísticos, segmentación y perfilado publicitario a partir de los datos», realizados por subcontratistas cuyo nombre desconoces.

La guinda del pastel es que Naomi trabaja con los reyes del capitalismo de vigilancia, Google y Facebook:

capital

Los famosos «píxeles», vectores de seguimiento muy eficaces.

Pero las transacciones bancarias no son lo bastante precisas: Naomi quiere saber exactamente qué has comprado y, por eso, te propone escanear los tíquets de compra:

caja

Naomi recupera así el detalle de las compras: tipo de producto, tiendas, fecha, importe.

Ten en cuenta que, a diferencia de Decathlon, la base legal del perfilado para la alianza Valiuz es el consentimiento:

lo esencial

Tienes suerte: las compras o pagos sensibles, o que no correspondan a una compra, no los comparte Naomi.

Como dice con tanta gracia la cuenta de Twitter de Valiuz:

saber

Valiuz, conocerte mejor para hablar mejor contigo.

El capitalismo de vigilancia está reclutando

Convencido por este elogioso artículo, decides ir a la página de Valiuz en Welcome to the Jungle y leer las ofertas de empleo. Si eres del lado operativo, podrías ser, por ejemplo, Account Manager Programmatique:

gerente

«Especializada en la creación de modelos de negocio en torno a los datos».

Si tienes alma comercial, podrías ser Sales Manager - Retail Media:

minorista

«Valiuz Media, la oferta de retail más potente del mercado: 18 enseñas complementarias, 55 millones de clientes con tarjeta, 1700 millones de transacciones omnicanal, 3520 tiendas en Francia».

Pero ¿por qué trabajar en Valiuz, me preguntarás?

grande

«[...] la mayor base de datos de clientes de Francia», da que soñar, ¿no?

La última palabra, en la página de inicio de Valiuz, con «Nuestros valores»:

comercial

«No comercializamos tu información».