Consentimiento: lo peor de la experiencia de usuario y de la vigilancia con Lemonde.fr

El "diario de referencia" viola tus elecciones y permite que numerosas empresas de la adtech te vigilen

Publicado por Pixel de Tracking el 30 de agosto de 2020

Actualización 6 de junio de 2021: Lemonde.fr ha realizado algunas correcciones adicionales:

  • (+) Lemonde.fr sigue activando los rastreadores de AT Internet nada más llegar a su sitio web. Pero AT Internet, siempre que esté configurado adecuadamente y se haga de él un uso estrictamente necesario para el funcionamiento y la administración diaria del sitio web, entra dentro del ámbito de la exención de consentimiento definida por la CNIL.
  • (+) Cuando te niegas a dar tu consentimiento, Lemonde.fr bloquea la carga del reproductor de vídeo Dailymotion, lo que evita que se filtren tus datos personales.
  • (-) La plataforma de blogs sigue olvidada, por desgracia: filtra tus datos personales a Google Analytics antes del consentimiento.
  • (+) Si no tenemos en cuenta AT Internet (exención de consentimiento), Batch (notificaciones) y Google Firebase (técnico), la aplicación iOS no te rastrea al iniciarla ni cuando te niegas a dar tu consentimiento.

Actualización 20 de septiembre de 2020: vía Twitter (aquí y allá), me informaron de que Lemonde.fr había realizado correcciones. Tras comprobarlas:

  • (-) Lemonde.fr sigue filtrando tus datos personales a AT Internet nada más llegar a su sitio web.
  • (-) Lemonde.fr todavía no ofrece opción de opt-out para AT Internet.
  • (-) Lemonde.fr sigue filtrando tus datos de conexión a AT Internet.
  • (+) Tu desplazamiento ya no constituye consentimiento.
  • (+) Si te niegas a ser rastreado, Lemonde.fr ahora respeta tu elección y no multiplica los rastreadores. En particular, el interés legítimo ya no aparece premarcado cuando te has negado a dar tu consentimiento.
  • (-) Pero, por desgracia, Lemonde.fr se ha olvidado de su reproductor Dailymotion, integrado ya en la página de inicio. Este no respeta tus elecciones y filtra tus datos personales a varias empresas (y presenta un curioso cronómetro: tienes 10 segundos para reaccionar).
  • (-) Lemonde.fr también se ha olvidado de su plataforma de blogs, cuyos artículos suelen destacarse en su página de inicio. Ejemplo con este artículo destacado el 20 de septiembre: por mucho que hayas rechazado los rastreadores, tus datos personales enriquecen a múltiples empresas de marketing.
  • (-) Nada cambia en la aplicación iOS: Lemonde.fr te rastrea desde el primer inicio y, si rechazas el seguimiento, la vigilancia continúa.

Temporizador de movimiento diario Ya has rechazado el seguimiento publicitario, pero esto no ha terminado: tienes 10 segundos para rechazar el seguimiento iniciado por el reproductor de vídeo Dailymotion. De hecho, aunque te molestes en hacer clic en Personalizar y en "Rechazar todo" en la página "Tu configuración de privacidad" de Dailymotion, el seguimiento continúa.

Actualización 2 de septiembre de 2020: pude completar la información jurídica (y corregir erratas) gracias a las explicaciones de @Cellular_PP, ¡gracias!

Lemonde.fr cede tus datos personales a AT Internet cuando accedes a su sitio web

Desde el 15 de agosto, Google ha integrado el nuevo “framework” para recoger el consentimiento de la industria publicitaria, el bien llamado "Transparency and Consent Framework (TCF) v2.0", y los editores actualizan sus banners de consentimiento. ¿Una mejora de la experiencia de usuario? No necesariamente, a juzgar por mi hilo de Twitter en francés:

consentimiento de 20 minutos

En Inglaterra, no es mejor:

El consentimiento de The Independant

Para comprender mejor qué ha cambiado en los sitios de medios, decidí probar Lemonde.fr, el “diario de referencia”, del que soy lector ocasional. Para ser sincero, no tenía muy buena impresión de partida:

Pero estás en tu derecho de exigir un mayor respeto de tu vida privada. Para hacerte una idea del seguimiento en el sitio Lemonde.fr, sigue estos pasos:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación); así cierras la sesión de tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), pestaña "Network", o inicia Charles Proxy.
  • Luego ve a la página de inicio de Lemonde.fr.

Lemonde inicio

Primera observación: Le Monde no permite rechazar el seguimiento directamente, solo “Configurar cookies”. Esta opción es contraria al espíritu del RGPD, aunque la CNIL lleva mucho retraso en su aplicación. Leamos por ejemplo la entrevista a la presidenta de la CNIL en el periódico... Le Monde, en febrero de 2020:

¿Esto significa que el internauta ya no tendrá un gran botón verde que ofrezca “Aceptar” y un pequeño texto en una esquina para rechazar?

Tiene que haber simetría entre los dos. Además, los usuarios deben poder conocer a los destinatarios de sus datos recopilados con fines de elaboración de perfiles publicitarios. Hay textos en vigor que imponen la obtención de un consentimiento libre e informado, pero estas recomendaciones, por lo general, no se aplican.

Recordatorio: el RGPD entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018 (cf. artículo 99 del RGPD). Los profesionales han tenido, por tanto, 4 años para prepararse, de modo que la CNIL no debería posponer la aplicabilidad del texto pasando por alto los derechos fundamentales de las personas.

Pero quizá Le Monde esté esperando las nuevas recomendaciones (¡¿o incluso las sanciones?!) de la CNIL para actuar... Veamos ahora las solicitudes enviadas:

Inicio Éxitos

3 enseñanzas:

  • Lemonde.fr llama a dos empresas de marketing para descargar sus archivos javascript, Batch y Amplitude; aquí no hay llamadas de seguimiento.
  • Iubenda es la CMP (Consent Management Platform) utilizada por Le Monde.
  • Tras investigar, el subdominio buf.lemonde.fr resulta ser una “tapadera” para la empresa de análisis francesa AT Internet: Le Monde le permite rastrearte incluso antes de que hayas dado tu consentimiento.

Lemonde.fr no ofrece opt-out de AT Internet, infringiendo la ley

¿En qué puede basarse Lemonde.fr para filtrar tus datos personales a AT Internet incluso antes de haber recibido tu consentimiento? Quizá en una vieja exención de la CNIL, poco acorde con el espíritu del RGPD.

Salvo que esta exención tenía su origen en el artículo 6 de la deliberación de la CNIL de 2013, y las condiciones para colocar cookies sin consentimiento se especifican ahora en el artículo 5 de la deliberación de la CNIL de julio de 2019. El hecho de que la CNIL deje el artículo en línea podría llevar a un editor de sitios a alegar que la CNIL lo indujo a error y que, en consecuencia, actuó de buena fe al no aplicar la deliberación de 2019; por eso la CNIL debería modificar su artículo.

Pero, ya miremos la deliberación de 2013 o la de 2019, una regla sigue siendo obligatoria: la implementación de la opción "opt-out": "debe poder oponerse mediante un mecanismo de oposición fácilmente utilizable en todos los terminales, sistemas operativos, aplicaciones y navegadores web. No debe realizarse ninguna operación de lectura o escritura en el terminal desde el que la persona se haya opuesto".

Hagamos clic, pues, en "Configurar cookies":

Consentimiento Paso 1

¿Sientes curiosidad por saber qué se esconde detrás de estas “cookies operativas”?

Funcionamiento de AT Internet

¡Sorpresa! Junto a las cookies de autenticación, Lemonde.fr coloca los rastreadores de AT Internet en la categoría "Cookies operativas" (y no en "Cookies analíticas", como cabría esperar). ¿La excusa que se aduce? La OJD, ahora denominada ACPM, un organismo de certificación de audiencia de medios, que permite a Le Monde presumir con regularidad de sus buenas cifras de audiencia.

Como consecuencia de esta clasificación de AT Internet en las “cookies operativas”, no se ha implementado la opción de “opt-out”, infringiendo las condiciones de la exención.

Otra regla que debe respetarse para beneficiarse de la exención es la información, que debe tener lugar antes de colocar la cookie: "la persona debe ser informada con carácter previo a su implementación" (la deliberación de 2013 solo indicaba que la persona debía ser informada). Una vez más, Lemonde.fr viola las condiciones de la exención de consentimiento.

A través de un fallo de seguridad, Lemonde.fr filtra tus datos de conexión a AT Internet

Continuemos la investigación sobre estas llamadas a AT Internet: detrás del subdominio buf.lemonde.fr se esconde un oscuro dominio:

CNAME Lemonde AT Internet

Dominio que en realidad pertenece a AT Internet:

AT Internet CNAME

Esta “tapadera” se lleva a cabo mediante un mecanismo llamado delegación de dominio o CNAME. Lemonde.fr permite a AT Internet gestionar un subdominio en su nombre, mediante un mecanismo de alias. El interés para las empresas de marketing es sortear las protecciones del navegador (como Safari ITP o Firefox Enhanced Tracking Protection) y otros adblockers (aunque algunos adblockers como uBlock Origin en Firefox consiguen bloquear estos rastreadores).

El uso de CNAME es peligroso: puede filtrar tus datos de conexión, ya que las cookies del dominio consultado (como las cookies de autenticación de lemonde.fr) pueden enviarse al subdominio del rastreador (como buf.lemonde.fr). Veamos entonces las solicitudes enviadas a AT Internet cuando estoy conectado al sitio Lemonde.fr:

Autenticación AT

AT Internet recupera, en efecto, todas las cookies del dominio lemonde.fr. Para comprobar si estas cookies permiten acceder a mi cuenta de cliente de Lemonde.fr, elimino mis cookies y, a través de la extensión de Chrome Edit This Cookie, introduzco las distintas cookies que recoge AT Internet. Enseguida me doy cuenta de que la cookie “lmd_a_s” permite conectarse a mi cuenta:

Conexión Lemonde

¡Magia! Un empleado de AT Internet puede así acceder a tu cuenta

Ya he tenido ocasión de hablar de este fallo de seguridad en artículos anteriores:

Niégate a ser vigilado y Lemonde.fr multiplica los rastreadores, en particular a través de Weborama

Continuemos nuestro recorrido por el banner de consentimiento de Lemonde.fr:

Rechazo del seguimiento Lemonde

Salvo las cookies operativas, todo está desmarcado por defecto; Lemonde.fr ofrece además un botón "Rechazar todo". Buenas prácticas, pues; hagamos clic ahora en "Guardar y continuar". ¿Esperas ya no ser vigilado?

Lemonde tras el rechazo 1Lemonde tras el rechazo 2

Sí, no estás soñando: estas son todas las solicitudes enviadas tras haber hecho el esfuerzo de rechazar el seguimiento. Y ello sin consultar un solo artículo ni siquiera recargar la página. En detalle, estos son los rastreadores que colocan cookies a través de la cabecera HTTP (algunos rastreadores también crean cookies mediante javascript, o almacenan identificadores en el almacenamiento local del navegador), con un identificador personal (seudónimo):

  • Outbrain: los artículos sensacionalistas del pie de página también te rastrean por la web y en el sitio lemonde.fr sin tu consentimiento.
  • Weborama: empresa francesa de “data marketing” que trabaja con Lemonde.fr, te perfila en la web y, como puedes leer a continuación, filtra tus datos personales a muchos otros terceros.
  • Index Exchange: a través de casalemedia.com, plataforma de monetización publicitaria (SSP) utilizada por Lemonde.fr mediante un sistema llamado "Header Bidding" (puesta en competencia del inventario publicitario en varios mercados).
  • The Trade Desk: a través de adsrvr.org, plataforma de compra de inventario publicitario, llamada por Index Exchange y Weborama.
  • Criteo: líder mundial del retargeting, y francés, te rastrea agresivamente en la web y en las aplicaciones; Lemonde.fr ha instalado su "Direct Bidder" (que permite a Criteo comprar sin pagar comisión a una plataforma de monetización); Criteo también es llamado por Weborama.
  • Nielsen: a través de exelator.com, la empresa eXelate, adquirida por el gigante de los estudios de mercado Nielsen en 2017, también es llamada por Weborama.
  • Smart AdServer: plataforma francesa de monetización publicitaria utilizada por Lemonde.fr mediante "Header Bidding", también llamada por Weborama.
  • Adobe: a través de everesttech.net, el gigante estadounidense también ofrece una suite de marketing; igualmente es llamado por Weborama.
  • MediaMath: a través de mathtag.com, plataforma de compra de inventario publicitario, llamada por Weborama.
  • Temelio: a través de leadplace.fr, empresa francesa de data marketing, ofrece a los anunciantes la posibilidad de cruzar tus datos personales online y offline, siempre a través de Weborama.
  • Graphinium: a través de crm4d.com, empresa francesa especializada en la reconciliación de datos personales online y offline, de nuevo a través de Weborama.
  • Yahoo: sí, Yahoo todavía existe; ha sido resucitado por Weborama.
  • ZBO Media: a través de zebestof.com, plataforma francesa de compra de inventario publicitario, llamada por Weborama.
  • Sublime: a través de ayads.co, plataforma francesa de monetización publicitaria, especializada en los revestimientos de página ("Sublime Skinz"), integrada por Lemonde.fr mediante "Header Bidding".
  • Pubstack; a través de pbstck.com, solución francesa de “Header Bidding”.

Como ya vimos el pasado diciembre, Lemonde.fr permite a Weborama filtrar tus datos personales a numerosas empresas, en el solo interés de Weborama. A continuación, la lista completa de socios (incluidas varias empresas rusas):

Filtración de Weborama en lemonde.fr

Los socios con una pequeña flecha azul delante se activaron al cargarse la página de inicio (redirección de Weborama hacia el socio y, por tanto, filtración de mis datos personales); los demás se activarán potencialmente al leer un artículo, ¡qué alegría!

Cabe señalar que algunos actores publicitarios respetan tu elección y no colocan cookies: las plataformas de monetización publicitaria AppNexus, Magnite (antes Rubicon) y, sobre todo, Google (que ocupa una posición privilegiada en Lemonde.fr, al ser el principal adserver y plataforma de monetización publicitaria).

Bien oculta, la información de que tus datos personales aún pueden explotarse mediante una base jurídica dudosa, el "interés legítimo"

¿Qué pueden hacer estas empresas publicitarias con tus datos personales? Volvamos al banner de consentimiento y, en particular, a las “Cookies de orientación publicitaria”:

Cookies de publicidad dirigida

No hay error, los has rechazado. Sin embargo, hagamos clic en "Ver la descripción y personalizar":

Detalle de cookies publicitarias

Tampoco hay error: Lemonde.fr te advierte, por cierto, de que al desactivar estas cookies se te propondrán anuncios sin relación con tus supuestos intereses. Hagamos clic ahora en “Personalizar el seguimiento publicitario”, ¡y sorpresa! Se explican numerosas finalidades y el consentimiento está, en efecto, desactivado. Pero, salvo para la finalidad "Almacenar y/o acceder a información almacenada en un terminal" (la que permite a los actores colocar una cookie con un identificador publicitario), la casilla "Autorizar el tratamiento de tus datos sobre la base de un interés legítimo para esta finalidad" está marcada:

Finalidad almacenar La finalidad “Almacenar y/o acceder a información almacenada en un terminal” necesita tu consentimiento (aquí no hay interés legítimo). Los distintos actores publicitarios sí violan tus elecciones al colocar cookies con identificadores publicitarios.

Interés legítimo El TCF v2 permite a las distintas empresas publicitarias declarar el interés legítimo como base jurídica para diferentes finalidades. Pero estos actores necesitan a menudo un identificador publicitario para lograr esas finalidades (para el que siempre se requiere tu consentimiento)... ¡Es la pescadilla que se muerde la cola!

Así, los actores publicitarios que te vigilan se permitirían distintos tratamientos no sobre la base jurídica del consentimiento (recordatorio: ya te has negado), sino sobre la base jurídica del interés legítimo, previsto por el RGPD. Es difícil justificar el interés legítimo cuando se trata de finalidades como:

  • Crear un perfil publicitario personalizado (= perfilarte).
  • Seleccionar anuncios personalizados (= influir en ti según tu perfil).

Es probable que el interés legítimo no se sostenga para la mayoría de las finalidades presentadas en este banner de consentimiento. La CNIL recuerda, por cierto, que el interés legítimo solo puede admitirse si el tratamiento satisface la condición de "necesidad", y la vigilancia y la publicidad dirigida no son "necesidades".

Desmarca el interés legítimo en las distintas finalidades: nada cambia

¡Continuemos nuestro maratón! Para rechazar el interés legítimo en las distintas finalidades, ¡el botón "Rechazar todo" no funciona! Un nuevo "Dark Pattern", ¡como nos gustan! Tienes que desmarcar el interés legítimo en cada una de las finalidades individualmente, es decir, ¡9 clics! Haz clic en “Guardar y continuar” y observa el resultado:

interés legítimo 1interés legítimo 2

¡Caramba, nada cambia! Si nos fijamos en el detalle, la mayoría de estos actores siguen colocando una cookie, como si nada.

¿Desactivar el interés legítimo en cada empresa individualmente?

No todo está perdido: retomemos nuestro banner de consentimiento, reproduzcamos los distintos rechazos y, esta vez, desplacémonos hasta el final de la ventana "Personalizar el seguimiento publicitario" (date prisa, porque Lemonde.fr tiene un refresco automático que te devuelve a la página de inicio y te obliga a rehacer todos los pasos):

Para cada servicio

Llegas a una interminable lista de socios (más de 500), algunos de los cuales sí se basan en el interés legítimo para finalidades determinadas. Y por mucho que hayas desmarcado todas las finalidades de interés legítimo en el paso anterior, ¡estos socios todavía tienen marcada la casilla de interés legítimo! Al azar, Google:

Google: interés legítimo

Google se basa en el consentimiento para la primera finalidad "Almacenar y/o acceder a información almacenada en un terminal" (no tiene elección, es la ley, y el TCF no permite hacer otra cosa). Y, en efecto, Google no colocó un identificador publicitario en mi equipo (sin cookie de DoubleClick IDE). En cambio, Google indica que se basa en el interés legítimo para diversas finalidades, lo cual es muy discutible:

Seleccionar anuncios estándar; Crear un perfil para mostrar contenido personalizado; Seleccionar contenido personalizado; Medir el rendimiento de los anuncios; Explotar estudios de mercado para generar datos de audiencia; Desarrollar y mejorar los productos.

Criteo es una de las empresas que sigue rastreándote, incluso tras rechazar el consentimiento. ¿Qué finalidades declara y sobre qué bases jurídicas?

Consentimiento Criteo

Así pues, Criteo declara basarse en el consentimiento para la primera finalidad "Almacenar y/o acceder a información almacenada en un terminal" (no tiene elección, es la ley y el TCF no permite hacer otra cosa), y nunca se basa en el interés legítimo. Criteo viola la ley, ya que coloca un identificador publicitario en mi equipo sin mi consentimiento (a través de la cookie uid), lo cual no es de extrañar dado el historial de la empresa en materia de violaciones de tu vida privada.

También habíamos constatado que Weborama, el “caballo de Troya” que filtra tus datos personales a múltiples empresas, no respetaba tu rechazo del consentimiento. ¿Qué finalidades declara y sobre qué bases jurídicas?

Consentimiento Weborama

Weborama declara basarse en el consentimiento para la primera finalidad "Almacenar y/o acceder a información almacenada en un terminal" (no tiene elección, es la ley y el TCF no permite hacer otra cosa), pero en el interés legítimo para muchas otras finalidades. Weborama infringe, por tanto, la ley al colocar un identificador publicitario en mi equipo sin mi consentimiento (a través de la cookie "AFFICHE_W"), y se permite sincronizar este identificador publicitario con muchas otras empresas que así pueden vigilarme. El interés legítimo que esgrime para diversas finalidades le permite luego perfilarme y explotar mi navegación.

¿Hasta qué punto abusan las empresas publicitarias de la adtech de esta noción de interés legítimo? Para profundizar en la cuestión, puedes leer la publicación de Célestin Matte, Cristiana Santos y Nataliia Bielova, “Purposes in IAB Europe’s TCF: which legal basis and how are they used by advertisers?”. En mayo de 2020, solo 325 empresas de la adtech estaban registradas en el TCF, pero el interés legítimo se usaba con profusión:

Estadísticas de TCF v2

Evidentemente, no puedo rechazar el interés legítimo de todas estas empresas de vigilancia (más de 500 empresas con las que, en teoría, Lemonde.fr podría trabajar). Ten en cuenta que no deberías tener que rechazar el interés legítimo de cada empresa publicitaria:

  • Rechazar el consentimiento en el paso 1 debería permitirte rechazar las “Cookies de orientación publicitaria”: normalmente, ahí se acaba la partida para la industria publicitaria.
  • Si continúas navegando, la finalidad "Almacenar y/o acceder a información almacenada en un terminal" no puede basarse en el interés legítimo, así que, una vez más, no hay más opción que basarse en tu consentimiento para colocar una cookie con un identificador publicitario.
  • Cuando desmarcas el interés legítimo en las distintas finalidades, esto se aplica a todas las empresas publicitarias. No deberías tener que desmarcar el interés legítimo de una empresa en concreto.

Sin embargo, ¿qué ocurre si rechazo el interés legítimo de Weborama ("opt-out")?

legítimo 1legítimo 2

Como puedes ver... todo sigue igual que siempre. Te siguen rastreando de forma extensiva. En particular, Weborama te sigue identificando mediante un identificador publicitario y sigue sincronizando este identificador con el pequeño mundo de la vigilancia publicitaria en línea.

Lemonde.fr, su CMP Iubenda y las empresas adtech, un trío infernal

Resumamos la carrera de obstáculos de un usuario que no quiere ser rastreado y que sigue el protocolo establecido por Lemonde.fr y su proveedor Iubenda (Consent Management Platform):

  • Al llegar a Lemonde.fr, no te desplaces ni hagas clic en un artículo, porque a través de un fallo introducido por la CNIL en una deliberación que data de 2013, "la continuación de su navegación implica el consentimiento a la colocación de cookies en su terminal". Y, evidentemente, Lemonde.fr aprovecha este fallo, que, por cierto, ya no es válido.
  • En efecto, esta deliberación fue derogada en julio de 2019; la nueva deliberación indica: "El refuerzo de los derechos de las personas lleva a la Comisión a derogar su deliberación n.º 2013-378, de 5 de diciembre de 2013, por la que se adoptaba una recomendación relativa a las cookies y otros rastreadores contemplados en el artículo 32-II de la ley de 6 de enero de 1978 (en lo sucesivo, «la recomendación sobre las cookies y otros rastreadores»), para sustituirla por estas directrices. Estas directrices se completarán posteriormente con recomendaciones sectoriales destinadas, en particular, a precisar las modalidades prácticas de obtención del consentimiento.". Pero el valor jurídico de las recomendaciones no aplaza, sin embargo, la aplicación de ePrivacy, ni del RGPD, ni de la nueva deliberación.
  • Sobre el desplazamiento en particular, la deliberación de 2019 indica: “La Comisión subraya que el consentimiento debe manifestarse mediante una acción positiva de la persona previamente informada de las consecuencias de su elección y que disponga de los medios para ejercerla. El hecho de continuar navegando por un sitio web, de utilizar una aplicación móvil o de desplazar la página de un sitio web o de una aplicación móvil no constituye una acción positiva clara asimilable a un consentimiento válido.".
  • A pesar de estas precauciones, AT Internet ya te está rastreando: Lemonde.fr ya infringe la ley.

Continuemos nuestra prueba del banner de consentimiento:

  • Hacer clic, pues, en "Configurar cookies", porque no existe una opción de primer nivel para rechazar las cookies (a diferencia del botón "Aceptar" del primer nivel).
  • Darse cuenta de que Lemonde.fr vuelve a infringir la ley al no permitir el opt-out.
  • Las "Cookies de orientación publicitaria" están desmarcadas, pero la mayoría de las empresas publicitarias siguen vigilándote (excepción notable, Google). Haz clic en "Ver la descripción y personalizar", al pie de la ventana, para entender si se puede evitar esta vigilancia.
  • Leer que los servicios publicitarios se adhieren al marco de transparencia y consentimiento de la IAB, y que este está desmarcado, pero aun así hacer clic en "Personalizar el seguimiento publicitario".
  • Darte cuenta, en la página siguiente, de que estos servicios publicitarios explotan tus datos personales para diversas finalidades (10 finalidades y 2 finalidades especiales sobre las que no tienes ningún control) y de que, si bien el consentimiento está desmarcado para esas finalidades, el interés legítimo está marcado para casi todas ellas salvo una ("Almacenar y/o acceder a información almacenada en un terminal" requiere tu consentimiento). Como no hay botones para desmarcar el interés legítimo de esas distintas finalidades de una vez, desmárcalas una a una (9 clics). Ten en cuenta que esto no tiene ningún efecto en las empresas publicitarias, que siguen vigilándote.
  • Al pie de esta larga ventana, hacer clic en "Gestionar las preferencias de cada servicio publicitario" y darse cuenta de que hay más de 500 socios que teóricamente pueden vigilarte (por cierto, Lemonde.fr podría reducir considerablemente la lista: muchos actores son demasiado pequeños o están ausentes del mercado francés). Darse cuenta también de que, por mucho que hayas desmarcado el interés legítimo de las distintas finalidades en el paso anterior, la casilla de interés legítimo sigue marcada en buena parte de estas empresas, para diversas finalidades.
  • Al no tener opción de desmarcar de golpe el interés legítimo de cada una de las empresas, desmarcar Weborama, un “caballo de Troya” de la vigilancia publicitaria, y darse cuenta de que no tiene ningún efecto. Weborama sigue vigilándote y permitiendo que muchas otras empresas te vigilen.

Un recorrido mortal, por tanto, gracias a Lemonde.fr, su CMP Iubenda y empresas publicitarias a las que les traen sin cuidado tus elecciones y tu vida privada. Un último apunte sobre Iubenda, el proveedor que permite a Lemonde.fr ofrecerte este banner de recogida de consentimiento con un recorrido tan penoso. Su trabajo es recoger y transmitir tus elecciones a las distintas empresas publicitarias; comprobemos que la señal recogida y luego transmitida a las empresas publicitarias es correcta.

Esta es la señal que se transmite cuando te limitas a ignorar el banner publicitario desplazándote por la página de inicio del sitio Lemonde.fr (lo que constituye consentimiento gracias a la CNIL). ¿Cómo pude recuperarla? A través de Charles o la consola de Chrome, recupera el campo "gdpr_consent" de una solicitud enviada a un actor publicitario y decodifica la cadena de caracteres a través de este sitio (TCF v2):

cadena de consentimiento del desplazamiento

Solo me he desplazado, pero, evidentemente, se trata de un "consentimiento libre, específico, informado e inequívoco". Veamos ahora la señal enviada cuando has rechazado el consentimiento y el interés legítimo de cada una de las finalidades propuestas:

cadena de interés legítimo

Iubenda no proporciona el valor de las variables que representan las distintas finalidades de consentimiento e interés legítimo. Resulta que, si leemos la especificación del TCF v2, es correcto:

TCF v2

Si las variables purposeConsents y purposeLegitimateInterests no están definidas, esto debe interpretarse como “Sin consentimiento” (por tanto, no hay cookies con identificadores publicitarios) e “Interés legítimo no establecido”.

Una buena noticia: ni vigilancia de Google... ni publicidad entregada por Google

Aunque Lemonde.fr, su CMP y el pequeño mundo de la vigilancia publicitaria se las arreglan para violar tus elecciones y seguir vigilándote, podemos observar, no obstante, que cuando te tomas la molestia de hacer clic en "Personalizar" en el banner de consentimiento y luego en "Guardar y continuar", Google ya no coloca cookies y el número de anuncios cae con fuerza, lo que te permite tener una experiencia de lectura algo mejor.

¿Por qué? La primera versión del TCF (Transparency & Consent Framework), el protocolo establecido por la IAB (la industria publicitaria) para recoger y propagar las señales de consentimiento por toda la cadena publicitaria, no contaba con el respaldo de Google.

Desde el 15 de agosto, Google es compatible con el TCF v2. Para los clientes de su plataforma de monetización Google Ad Manager (como Lemonde.fr), Google está obligado a respetar las elecciones del usuario. Así es como comunica sobre la primera finalidad, "Almacenar información en un dispositivo y/o acceder a ella":

Consentimiento de Google

Aquí hay varios datos interesantes:

Google no es capaz de entregar publicidad sin vigilarte (es decir, sin colocar la cookie de DoubleClick IDE). ¿Qué razones aduce? Google declara necesitarla para detectar fraudes y abusos, para limitar el número de exposiciones a un mismo anuncio ("frequency capping") y para proporcionar informes agregados.

Google declara necesitar tu consentimiento para colocar cookies o identificadores móviles, incluso para anuncios no dirigidos. Si leemos sus "Normas relativas al consentimiento del usuario en la Unión Europea", pero también la Ayuda relativa a las normas sobre el consentimiento del usuario en la Unión Europea", Google indica que esta obligación proviene de las "disposiciones sobre cookies de la directiva de la UE sobre la privacidad y las comunicaciones electrónicas" (también llamada directiva ePrivacy):

Google e-Privacy

Google necesita identificadores de usuario para medir el rendimiento de los anuncios y, por tanto, tu consentimiento:

Google e-Privacy

Sin consentimiento para la primera finalidad, los editores no deben llamar a Google (Lemonde.fr no lo tiene en cuenta y llama a Google). Si se llama a Google, este no entregará publicidad (y, en efecto, no se difunde publicidad a través de Google).

Explicaciones jurídicas sobre la necesidad de consentimiento para colocar cookies

Atención, esto es técnico; gracias a @Cellular_PP por sus explicaciones detalladas. Partamos de la Directiva 2002/58/CE, artículo 5, apartado 3 (he puesto en negrita el pasaje interesante):

Los Estados miembros garantizarán que el uso de las redes de comunicaciones electrónicas con la finalidad de almacenar información o de obtener acceso a la información almacenada en el equipo terminal de un abonado o usuario solo se permita a condición de que se facilite al abonado o usuario, de conformidad con la Directiva 95/46/CE, una información clara y completa, entre otras cosas sobre los fines del tratamiento, y de que el abonado o usuario tenga derecho a oponerse a dicho tratamiento por parte del responsable del tratamiento de los datos. Esta disposición no impedirá el almacenamiento o el acceso técnico destinados exclusivamente a efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o estrictamente necesarios para la prestación de un servicio de la sociedad de la información expresamente solicitado por el abonado o usuario.

La Directiva 2009/136/CE, aplicable desde 2012, modifica el artículo 5, apartado 3 (en negrita, obsérvese la introducción del consentimiento):

Los Estados miembros garantizarán que el almacenamiento de información, o la obtención de acceso a información ya almacenada, en el equipo terminal de un abonado o usuario solo se permita a condición de que el abonado o usuario haya dado su consentimiento, después de que se le haya facilitado, de conformidad con la Directiva 95/46/CE, una información clara y completa, entre otras cosas sobre los fines del tratamiento. Esta disposición no impedirá el almacenamiento o el acceso técnico destinados exclusivamente a efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o estrictamente necesarios para que el prestador preste un servicio de la sociedad de la información expresamente solicitado por el abonado o usuario.

La transposición francesa está en el artículo 82 de la ley de protección de datos.

La noción de consentimiento se menciona en el artículo 2 de la misma Directiva 2002/58/CE:

el "consentimiento" de un usuario o abonado se corresponde con el "consentimiento del interesado" que figura en la Directiva 95/46/CE

Esta es, pues, la famosa definición de consentimiento, en el artículo 2 de la Directiva 95/46/CE

«consentimiento del interesado»: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

¿Qué vínculo hay entre estas directivas “ePrivacy” y el RGPD en lo relativo a esta obligación de consentimiento? El artículo 95 del RGPD indica que no impone obligaciones adicionales:

El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE.

Un dictamen del @EU_EDPB viene a aclarar la relación entre ambos textos.

El punto 28 del dictamen indica que el artículo 5, apartado 3, se aplica a las cookies:

El objetivo primordial de la Directiva sobre la privacidad electrónica es garantizar la protección de los derechos y libertades fundamentales del público cuando hace uso de redes de comunicación electrónica. A la luz de este objetivo, los artículos 5, apartado 3, y 13 de la Directiva sobre la privacidad electrónica se aplican a los proveedores de servicios de comunicaciones electrónicas, así como a los operadores de sitios web (p. ej., para las cookies) u otras empresas (p. ej., para el marketing directo).

El punto 40 del dictamen indica que, cuando el artículo 5, apartado 3, menciona que se requiere el consentimiento, no es posible recurrir a otras bases:

Se produce una situación similar con el artículo 5, apartado 3, de la Directiva sobre la privacidad electrónica, en la medida en que la información almacenada en el dispositivo del usuario final constituye datos personales. El artículo 5, apartado 3, de la Directiva sobre la privacidad electrónica establece que, por regla general, se requiere el consentimiento previo para el almacenamiento de información o la obtención de acceso a información ya almacenada en el equipo terminal de un abonado o usuario. En la medida en que la información almacenada en el dispositivo del usuario final constituya datos personales, el artículo 5, apartado 3, de la Directiva sobre la privacidad electrónica prevalecerá sobre el artículo 6 del RGPD en lo que respecta a la actividad de almacenar u obtener acceso a esta información. El resultado es similar en la interacción entre el artículo 6 del RGPD y los artículos 9 y 13 de la directiva "ePrivacy". Cuando estos artículos exigen el consentimiento para las acciones específicas que describen, el responsable del tratamiento no puede recurrir a toda la gama de posibles bases jurídicas previstas en el artículo 6 del RGPD.

Conclusión: es, en efecto, ilegal pretextar el interés legítimo para colocar una cookie con un identificador publicitario.

Respetar tu vida privada, el gran miedo de la adtech

Leyendo la prensa, podemos seguir el razonamiento de las agencias de publicidad:

  • Google ya no entrega publicidad a través de Google Ad Manager si el internauta no da su consentimiento. La mayoría de los sitios de información franceses utilizan precisamente Google Ad Manager como herramienta de difusión y monetización publicitaria.
  • Los banners de consentimiento actuales disgustan a la gran mayoría de los internautas, pero la CNIL debe emitir nuevas recomendaciones para respetar por fin el espíritu del RGPD.

Posible consecuencia si algún día la CNIL hace su trabajo: un verdadero mecanismo de consentimiento (como colocar los botones "Aceptar" y "Rechazar" al mismo nivel, o, mejor aún, una simple elección a nivel del navegador) con sanciones de verdad en caso de violación de la ley. Esta es una reacción representativa del sector de la adtech:

Dado que el rechazo del internauta no tiene ningún impacto en su experiencia de navegación, es dramático poner esta opción en pie de igualdad con la aceptación, se indigna un directivo de la adtech

Evidentemente, rechazar el consentimiento sí tendría un enorme impacto en la experiencia de navegación: ya no se te rastrearía (extra: se acabó la publicidad intrusiva) y los tiempos de carga de la página se reducirían enormemente.

Las agencias de publicidad, por su parte, harían bien en plantearse las preguntas adecuadas: ¿son el fuerte deterioro de la experiencia de usuario y la vigilancia generalizada la solución a sus problemas económicos? No del todo, si nos fijamos en la mala salud financiera de los sitios de información, alimentados por goteo de publicidad intrusiva. A este respecto, puedes leer estos 2 excelentes artículos:

Por tu parte, ¿qué hacer? Como siempre, no contar con que los sitios web respeten tus elecciones, sino equiparte con un adblocker como uBlock Origin.

En su aplicación iOS, Le Monde te rastrea desde el primer inicio

En el smartphone no estás obligado a pasar por el sitio web Lemonde.fr; también puedes utilizar la aplicación. ¿Es más respetuosa con tu vida privada? Para probar la aplicación iOS de Le Monde, seguí este procedimiento en mi iPhone:

Lemonde - inicio

Al igual que en su sitio web, Le Monde muestra su banner de consentimiento, sin ofrecer una opción de primer nivel para rechazar los rastreadores. Veamos los rastreadores enviados mediante la exportación de los registros de mi sesión de Charles Proxy a mi ordenador:

Lemonde - inicio de la app

Incluso antes de configurar el banner de consentimiento, Le Monde ya ha filtrado tus datos personales a varias empresas:

  • Accengage: herramienta francesa de notificaciones push, adquirida en 2018 por la empresa de marketing móvil Airship.
  • Google: Le Monde utiliza Firebase, el kit de herramientas de los desarrolladores de aplicaciones.
  • AT Internet: la empresa de análisis francesa también te rastrea en la aplicación Le Monde.
  • Batch: solución de CRM móvil y de notificaciones push.
  • Outbrain: los artículos sensacionalistas, también en la app.
  • Microsoft: a través de appcenter.ms, Le Monde utiliza Visual Studio App Center para gestionar la integración y la entrega continuas de su aplicación.

Rechazas el seguimiento, la vigilancia continúa

Vuelve al banner de consentimiento y haz clic en “Configurar cookies”:

Lemonde finalidades premarcadas

Primera (mala) sorpresa: todas las finalidades están premarcadas, lo que no es realmente el espíritu del RGPD. Veamos el detalle de las "Cookies operativas":

Cookies operativas

Una vez más, Le Monde considera (erróneamente) que los rastreadores de AT Internet pueden clasificarse como cookies operativas, sin ofrecerte opt-out. La clasificación de Accengage, Batch y Google entre las cookies operativas también es cuestionable. Desmarca ahora las distintas finalidades, consulta 3 artículos y observa los rastreadores:

Lemonde consentimiento negativo

La vigilancia continúa, por tanto, con las mismas empresas pero también con un invitado adicional: Smart AdServer, un adserver francés, utilizado por Le Monde para su aplicación.

¿Cómo protegerte? A la espera de hipotéticas sanciones de la CNIL, puedes recurrir a aplicaciones como DNSCloak, Adguard o NextDNS en iOS.