Le Figaro, emblema del tracking publicitario invasivo en los medios franceses

Para Le Figaro, información y vigilancia publicitaria siempre van de la mano

Publicado por Pixel de Tracking el 19 de abril de 2020

Actualización del 3 de agosto de 2021: fin de la partida el 29 de julio de 2021. la CNIL sancionó a Le Figaro con la friolera de... 50.000 euros por colocar cookies publicitarias desde el sitio lefigaro.fr sin obtener el consentimiento previo de los internautas. Esta sanción ridícula es una incitación a reincidir; de hecho, el problema sigue sin resolverse de forma sistemática, como demuestra esta prueba.

Actualización del 31 de octubre de 2020: ¿ha hecho Le Figaro alguna corrección desde la fecha inicial de publicación de este artículo (19 de abril de 2020, hace más de 6 meses)? Tras comprobarlo:

  • (-) Lefigaro.fr sigue filtrando masivamente tus datos personales nada más llegar a su sitio web (incluso antes de que hayas dado o no tu consentimiento, en violación de la ley). ¡Sorpresa: hay más rastreadores que en abril! Todas estas empresas te rastrean mediante un identificador único: ZBO Media, Comscore, ACPM, eStat, Taboola, Doubleclick (propiedad de Google), Google Analytics, Chartbeat y Hubvisor.
  • (=) Tómate la molestia de ir a los ajustes para rechazar la recopilación de tus datos por parte de terceros: Lefigaro.fr no respeta tu elección y multiplica los rastreadores.
  • (-) Si tienes tiempo que perder, puedes hurgar en el banner de consentimiento (la "CMP" o Consent Management Platform) que utiliza Lefigaro.fr, suministrado por la empresa SFBX. El mecanismo es aún peor que en abril. Muy bien escondido, podrás comprobar que, aunque hayas hecho clic en "Rechazar todo", algunas empresas de marketing consideran que todavía pueden espiarte con diversos fines (como "Crear un perfil publicitario"), con el pretexto del interés legítimo. Tendrías entonces que oponerte al interés legítimo para 9 finalidades distintas, ¡es decir, 27 clics adicionales! Y para colmo de males, ni siquiera funciona: Lefigaro.fr sigue transmitiendo la señal de que no te has opuesto al interés legítimo, y sigues siendo vigilado por múltiples empresas.
  • (-) El banner de consentimiento ahora incluye la analítica, pero Lefigaro.fr no tiene en cuenta tu rechazo: sigues siendo vigilado por Google Analytics y Chartbeat, las funciones publicitarias de Google Analytics siguen activadas (a través de la cookie de Doubleclick que permite a Google vigilarte por la web) y la cookie sigue teniendo una vida útil superior a 13 meses.
  • (=) Lefigaro.fr sigue considerando que desplazarse por la página equivale a consentir (en violación de la ley). Así que, si te desplazas (o si haces clic en un artículo), el número de empresas de terceros que te espían vuelve a dispararse.
  • (-) En la aplicación iOS ahora hay un banner de consentimiento. Pero, igual que en la web, antes incluso de que hayas tomado una decisión, Le Figaro filtra tus datos personales a múltiples empresas: Facebook, Adjust, Amazon, AppNexus, Google, Taboola y ACPM.
  • (-) La misma complejidad para rechazar la vigilancia (siempre a través de la empresa SFBX), y la misma violación de tus elecciones. Tras el rechazo, sigues vigilado por múltiples empresas, entre ellas Google, Facebook, Adjust, Taboola, Amazon, AppNexus, ACPM o Smart AdServer.

Conclusión desafortunada: Lefigaro.fr no ha resuelto ninguno de los problemas constatados. Al contrario, la vigilancia con fines de marketing en su sitio web y en su app iOS es aún más intensa. La actualización del banner de consentimiento tras la migración al TCF v2 (el mecanismo de "recopilación del consentimiento" de la industria publicitaria) podría hacerte creer que controlas la filtración de tus datos personales, pero nada más lejos de la realidad. ¿Por qué la CNIL sigue sin sancionar a Le Figaro?

Le Figaro fue objeto de una denuncia en agosto de 2018

El 11 de agosto de 2018, una internauta acude a la CNIL por la falta de recogida del consentimiento al colocar cookies en el sitio web lefigaro.fr. El 30 de septiembre de 2019 (más de un año después, por tanto), la CNIL informa a la internauta de que ha pedido al delegado de protección de datos (DPO) de Le Figaro que "adopte las medidas y modificaciones que correspondan". Algo que no parece asustar a Le Figaro, que sostiene: "gestionamos esta cuestión conforme a la normativa".

Desde entonces, nada se mueve, a pesar de los recordatorios de la internauta:

Tweet Cellular Lefigaro CNIL

Por desgracia, Le Figaro no es una excepción, sino la regla entre los medios franceses. No deja de ser lamentable, sin embargo, que la CNIL no reaccione rápido y con contundencia: el miedo al gendarme debería empujar a los medios a respetar la normativa. Ya mencioné lefigaro.fr en el artículo que detalla la mentira generalizada de la recogida del consentimiento; estudiemos con más detalle cómo Le Figaro pisotea tu privacidad.

Le Figaro filtra tus datos personales al llegar a su sitio web

Para que te des cuenta del seguimiento en el sitio lefigaro.fr, sigue estos pasos:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Ajustes > Ajustes avanzados > Borrar datos de navegación); así cierras sesión en tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), pestaña "Network", o inicia Charles Proxy.
  • Luego ve a la página de inicio lefigaro.fr.

Al ver el banner de consentimiento (más abajo), podrías pensar: mientras no haya hecho ninguna elección, Le Figaro no filtrará mis datos personales a terceros.

Inicio lefigaro

¡Error! La lista de solicitudes a rastreadores de terceros es tan larga que tuve que hacer 2 capturas de pantalla:

lista de rastreadores de lefigaro 1lista de rastreadores de lefigaro 2

Y, de nuevo antes incluso de continuar mi navegación, Le Figaro permite que algunos de estos terceros coloquen cookies en tu navegador:

cookies lefigaro

Así, en violación de la ley y de su propio banner de consentimiento, Le Figaro permite que las siguientes empresas te rastreen:

  • Doubleclick: ni hace falta presentarlo; Le Figaro utiliza la solución de monetización publicitaria de Google, además de AppNexus. No deja de sorprender que Le Figaro no consiga desactivar Doubleclick cuando aún no has navegado por su sitio.
  • eStat: filial de Médiamétrie especializada en la medición de audiencias.
  • ACPM: la Alianza para las Cifras de la Prensa y los Medios, antigua OJD, especializada también en la medición de audiencias.
  • Hubvisor: una solución francesa de monetización publicitaria, especializada en el "Header Bidding", práctica que consiste en poner en competencia múltiples plataformas de monetización publicitaria, cada una de las cuales pone a su vez en competencia múltiples plataformas de compra de espacios publicitarios para segmentarte mejor (inception).
  • Taboola: proveedor de enlaces con titulares cazaclics al final de los artículos, se ha fusionado con el líder mundial del sector, Outbrain. También aquí, ¿por qué cargar artículos de Taboola si aún no has empezado a navegar?

Rechaza las cookies y Le Figaro seguirá filtrando tus datos personales

¿Qué pasa si configuras el "banner de consentimiento" para rechazar las cookies? La solución (una CMP, "Consent Management Platform") propuesta por la empresa bordelesa SFBX (antes Chandago) no te facilita la vida: en lugar de mostrar un botón "Rechazar" al mismo nivel que el botón "Aceptar", ¡rechazar el seguimiento cuesta 7 clics!

Rechazo de cookies lefigaro

¿El lema de SFBX? "Privacy Matters". Al leer la página de inicio de SFBX, uno se cree en 1984:

SFBX Privacidad por diseño

¿Qué pasa después de que hayas rechazado las distintas categorías de cookies? De nuevo mala suerte: la denegación del consentimiento no afecta a las cookies de terceros mencionadas más arriba, y estas empresas de marketing siguen rastreándote de página en página:

Cookies tras el rechazo lefigaro

En particular, Le Figaro le da carta blanca a Google a través de su servicio Doubleclick, que puede monetizar tu tiempo de cerebro también cuando rechazas el seguimiento (mientras que la gran mayoría de las demás plataformas de monetización publicitaria quedan excluidas).

Las herramientas analíticas de Le Figaro, una mentira descarada

Otro problema de las "Consent Management Platform" (CMP) que siguen el "Transparency & Consent Framework" de la IAB (la asociación profesional de las empresas de publicidad de internet): no tienen en cuenta las herramientas de analítica ni otras herramientas de marketing, sino únicamente las herramientas directamente vinculadas a los anuncios. Por eso podrías creer que, al desmarcar "Medición", las herramientas de analítica quedarían desactivadas. Pero se trata únicamente del componente de "medición" de las herramientas publicitarias. Tras rechazar las cookies mediante el banner de consentimiento, fíjate en el nombre de las cookies "propias" (las cookies colocadas en el dominio lefigaro.fr):

medición de cookies lefigaro

Puedes observar cookies asociadas a las siguientes herramientas:

  • Google Analytics: todas las cookies que contienen "ga" las coloca Google Analytics, la herramienta "gratuita" de analítica web de Google que te rastrea en la gran mayoría de la web mundial.
  • Chartbeat: herramienta de analítica web especializada en sitios de medios.

Le Figaro ha redactado una página de información sobre las cookies; un párrafo está dedicado a las cookies de medición de audiencia:

medición de audiencia cookies lefigaro

Le Figaro declara que las herramientas de analítica utilizadas "solo envían a nuestros proveedores técnicos o a nuestros socios comerciales estadísticas agregadas y volúmenes de tráfico".

En realidad se trata de un profundo desconocimiento del funcionamiento de las herramientas de analítica. Le Figaro transmite información personal a estas empresas (que incluye tu identificador, lo que permite seguir tu sesión y reconocerte si vuelves a lefigaro.fr); estas calculan entonces información agregada, incluidos los volúmenes de tráfico, que luego ponen a disposición de sus clientes en una interfaz dedicada.

Le Figaro indica a continuación que estas cookies de medición de audiencia "no permiten seguir tu navegación en otros sitios". La mayoría de las herramientas de analítica, en efecto, no permiten seguir tu navegación en otros sitios (porque se basan únicamente en cookies propias), salvo que Google Analytics ofrece esa opción (que da acceso a las "funciones publicitarias de Google Analytics") y Le Figaro la ha activado (esta funcionalidad es "opt-in"). La prueba, en la siguiente captura de pantalla:

Google Analytics DoubleClick Le Figaro

En ella puede leerse que Le Figaro, mediante su uso de Google Analytics, permite a Google seguirte (y enriquecer tu perfil de Google) a través de los siguientes elementos:

  • stats.g.doubleclick.net es el dominio de doubleclick asociado a Google Analytics.
  • collect? función que permite a Google recopilar los parámetros de analítica vinculados a tu consulta del sitio lefigaro.fr.
  • la cookie "IDE" permite a Google identificarte en el conjunto de los sitios web, porque no está asociada al dominio propio lefigaro.fr, sino al dominio doubleclick.net, propiedad de Google.

Por último, Le Figaro te miente sobre la duración de las cookies de medición de audiencia, informándote de que esta "no supera los 13 meses". En primer lugar, hay que precisar que esta duración es renovable: vuelve a lefigaro.fr dentro de 12 meses y la fecha de caducidad de la cookie se actualizará. Después, basta con hacer zoom sobre las cookies colocadas por Google Analytics para ver que algunas cookies (como "ga" o "gads") tienen una vida útil de 24 meses:

Cookies Google Analytics lefigaro 24 meses

Si nos remitimos ahora a la página de la CNIL Cookies y rastreadores: ¿qué dice la ley?:

Vida útil de las cookies CNIL

Le Figaro, mediante su uso de Google Analytics, pisotea la ley en estos 2 puntos:

  • Le Figaro utiliza cookies cuya vida útil supera los 13 meses.
  • Estas cookies ven prolongada su vida útil con cada nueva visita al sitio.

Como Le Figaro no te permite bloquear las cookies de analítica directamente desde su sitio, se limita a indicarte que puedes hacerlo desde tu navegador, o pasando por cada uno de los proveedores, lo cual no es de lo más sencillo:

opt-out analítica

Continúa tu navegación, Le Figaro multiplica los rastreadores

Si, como casi todos los internautas, decides no tocar el "banner de consentimiento" y continuar tu navegación desplazándote por la página de inicio o haciendo clic en un artículo, activarás entonces multitud de rastreadores adicionales. En efecto, Le Figaro considera que continuar la navegación equivale a consentir: es una práctica ilegal pero todavía tolerada hoy en día, porque a la CNIL le cuesta adaptar nuestra legislación al RGPD.

Si observamos el detalle a través de la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), pestaña "Application", "Cookies", podemos ver que la página lefigaro.fr coloca numerosas cookies de terceros (la lista era demasiado larga; tuve que eliminar algunas cookies para esta captura):

cookies de navegación lefigaro

Así, además de ser rastreado por las empresas citadas anteriormente, también te rastrean:

Pero tu vigilancia no termina ahí: algunos rastreadores desencadenan una segunda oleada de rastreadores, encapsulados en "iframes" (páginas invisibles dentro de la página lefigaro.fr). Así, Krux (propiedad de Salesforce), la DMP ("Data Management Platform") del grupo Le Figaro, permite colocar las siguientes cookies (también aquí la lista era larga; tuve que eliminar algunas cookies para la captura de pantalla):

Cookies lefigaro Krux

Te rastrean así las siguientes empresas:

  • Comscore: a través de scorecardresearch.com, herramienta estadounidense de análisis publicitario y de elaboración de perfiles.
  • Liveramp: a través de rlcdn.com, líder mundial en el cruce de datos personales online y offline.
  • Xaxis: a través de mookie1.com, plataforma de compra de espacios publicitarios propiedad de la agencia de publicidad WPP.
  • Nielsen: a través de exelator.com, empresa de análisis de marketing.
  • Bluekai: empresa de Data Management, adquirida por Oracle.

ZBO Media, por su parte, permite colocar las siguientes cookies (lista reducida para la captura de pantalla):

cookies lefigaro zbo media

Por tanto, también te rastrean las siguientes empresas:

  • Outbrain: el líder mundial de los enlaces a artículos cazaclics, se ha fusionado con Taboola, citado anteriormente.
  • Graphinium: a través de crm4d.com, empresa francesa especializada en la reconciliación de datos personales online y offline.
  • Yahoo: siempre sorprende reencontrarse con este dinosaurio de internet; Yahoo fue adquirido por Verizon, que luego lo fusionó con AOL para formar Verizon Media, una enorme agencia publicitaria.
  • Adyoulike: a través de omnitagis.com, plataforma de monetización publicitaria especializada en la publicidad "nativa" (que busca confundirse visualmente con el contenido).
  • Weborama: empresa francesa de data marketing que, como vimos, filtraba tus datos personales a empresas rusas en este artículo.
  • Improve Digital: a través de 360yield.com, solución de monetización publicitaria.
  • Index Exchange: a través de casalemedia.com, otra solución de monetización publicitaria.

Ya abordamos la vida útil de las cookies de analítica, que según Le Figaro no supera los 13 meses (en realidad, 24 meses). En su página de información sobre las cookies, Le Figaro es un poco más prudente con las cookies publicitarias (el énfasis en en principio es mío):

La vida útil de las cookies publicitarias colocadas con ocasión de tu navegación por el Sitio/Aplicación es en principio de 13 meses. Los datos asociados que se transmiten a los socios comerciales son conservados por estos últimos durante un periodo que en principio no supera los 13 meses.

¿Qué sentido tiene señalar los 13 meses si se sabe que es falso? Por ejemplo, vemos una cookie publicitaria de LinkedIn con una vida útil de 24 meses:

Cookie de linkedin 24 meses - lefigaro

La política de privacidad de Le Figaro repite también la mentira:

Los datos relativos a tu navegación por nuestros servicios en línea recogidos mediante cookies tienen, en todos los casos, un plazo de conservación que no podrá exceder de trece (13) meses.

En la aplicación iOS, un seguimiento desinhibido

Para completar mi investigación, instalé la aplicación iOS de Le Figaro y seguí estos pasos:

  • Cierre de las distintas aplicaciones en segundo plano.
  • Inicio de la aplicación Charles Proxy y activación del seguimiento.
  • Inicio de la aplicación Le Figaro y navegación por ella: consulté algunos artículos.
  • Exportación de los registros de mi sesión de Charles Proxy a mi ordenador, para analizar fácilmente las solicitudes enviadas por Le Figaro.

No tuve derecho a ningún "banner de consentimiento", sino a multitud de rastreadores (los mismos que en la web, y algunos más):

rastreadores de aplicaciones lefigaro 1rastreadores de aplicaciones lefigaro 2

Para evitar el seguimiento, tienes que buscar en el menú, luego "Ajustes", luego "Acerca de" > "Mis datos personales" y, por último, desmarcar cada categoría:

Aplicación Lefigaro - Mis datos personales

De nuevo mala suerte: si en la web rechazar el seguimiento reducía el número de rastreadores, ese rechazo no parece tener ningún impacto en la aplicación; Le Figaro sigue filtrando mis datos personales a numerosos terceros.

Aplicación lefigaro sin consentimiento 1Aplicación le figaro sin consentimiento 2

¿Qué dice la página de información sobre las cookies? Le Figaro afirma que ahí puedes bloquear las cookies:

rechazo de cookies app

Salvo que es falso: activé la opción "Seguimiento de anuncios limitado" en mi iPhone (no hay que desactivarla, como parece entender Le Figaro), pero eso no tiene ningún impacto en los rastreadores que se activan.

Seguimiento de anuncios limitado

Por desgracia, Le Figaro no es la excepción

Que a Le Figaro le traiga sin cuidado tu privacidad no es más que un ejemplo entre muchos: los medios franceses están, en su mayoría, enganchados al seguimiento publicitario. Podrían ofrecer una mejor experiencia de usuario limitando los anuncios y demás rastreadores, respetando la noción de consentimiento, sin dejar por ello de mantener unos ingresos holgados. Pero, sin un verdadero gendarme y sin sanciones (CNIL, ¿estás ahí?), es poco probable que las cosas cambien.