Las reglas del juego
El pasado mes de agosto, yo estaba twitteando en el camino infernal para rechazar la vigilancia de Decathlon. Hasta la fecha, este es mi tweet más exitoso con 1760 Retweets y más de 1 millón de impresiones. Evidentemente, esto no era suficiente para tener derecho a una respuesta por parte de Yann, el CM de Decathlon. Unos meses después de este episodio, ¿qué ha cambiado? Estudiemos esto en detalle.
Nada más llegar al sitio web de Decathlon, aparecerá un banner “Cookies: las reglas del juego”:
reglas de decatlón, los de la ley?
Estas acostumbrado a estos patrones oscuros e instintivamente haces clic en el botón "Rechazar y cerrar" en la parte superior derecha? Yo también hice esto... Lee atentamente el texto:
Algunos socios no solicitar su consentimiento para tratar sus datos y confiar en su interés comercial legítimo. Podrás revocar tu consentimiento u oponerte al tratamiento de datos basado en el interés legítimo en cualquier momento. haciendo clic en “Saber más”
¿Quiénes son estos socios? Misterio... ¿Cómo oponerse al tratamiento de datos basado en el interés legítimo? El texto de Decathlon es inconsistente porque no existe el botón "Más información". Probemos de todos modos haciendo clic en "Configurar tus cookies":
“Por supuesto, la pelota está en tu tejado, depende de ti aceptar o rechazar determinadas cookies para elegir cuáles permanecen en el campo”.
El banner no menciona intereses legítimos; aún así puedes hacer clic en "Rechazar todo". Continuamos la investigación haciendo clic en "Ver nuestros socios":
La larga lista de socios de Decathlon.
A Decathlon le gusta compartir tus datos personales y trabaja con nada menos que 26 socios: AB Tasty, AT Internet, Awin, Bing (Microsoft), Content Square, Dynamics Yield, Easyence, Epsilon, Google, Hotjar, IAdvize, Idealo, Kelkoo, Lucky Orange, Meta (Facebook), Mobsuccess, Ogury, Pinterest, Rakuten Advertising, RTB House, SpeedCurve, Target 2 Sell, Teads, Teester, Valiuz y Verizon Media.
Aquí también puede hacer clic en "Bloquear" para "Todos los socios", no verá ninguna mención de interés legítimo, estos socios se basan en su consentimiento. Sigue siendo un misterio qué "socios" se basan en intereses legítimos; a primera vista parece que basta con hacer clic en "Rechazar y cerrar" en la parte superior derecha del banner inicial.
A través de el sitio web de Consent String Decoder, sin embargo lo compruebo mi cadena de consentimiento, una cadena de caracteres que codifica mis elecciones y que deben ser respetados por los socios de Decathlon:
las variables purposeConsents Y purposeLegitimateInterests están vacíos, ningún socio de Decathlon tiene base legal para procesar mis datos personales.
Después del rechazo, iAdvize sigue rastreándote
Después de hacer clic en "Rechazar y cerrar", inicio Charles Proxy para observar las solicitudes enviadas por mi navegador:
Sorpresa! Decathlon no es el único destinatario de mis datos personales.
iAdvize por lo tanto sigue su navegación, gracias a los parámetros url, sourceVisitorId Y deviceId. El parámetro cookieConsent también preguntas, se informa a unknown! ¿Qué es iAdvize? Una ventana de conversación en el sitio web de Decathlon, para incentivar la compra:
Sporty by iAdvize, ¡siempre disponible para observar tu comportamiento!
Si vuelvo al banner de cookies para comprobar mis opciones, a través de "Gestión de cookies" (y no de "Datos personales") en la parte inferior de la página:
Mucho amor por las “cookies innecesarias”.
Luego, si hago clic en "Administrar mis cookies" y busco mi elección para iAdvize:
Rechacé el seguimiento de iAdvize, por lo que Decathlon ignora mi elección.
Ten en cuenta que Decathlon e iAdvize podrían argumentar que iAdvize no establece cookies cuando hace clic en "Rechazar y cerrar". Excepto que este último te identifica mediante identificadores. sourceVisitorId Y deviceId, A huella dactilar De hecho, es un identificador de usuario y su consentimiento es necesario:
La CNIL es explícita En cuanto a la aplicación de la directiva ePrivacy, se trata de "huellas dactilares".
Registro, con un socio misterioso pero un compromiso firme
¿Quieres realizar un pedido en Decathlon? Necesitará registrarse:
¡Como equipo! Decathlon te ofrece su oferta con “sus socios”.
Ya habéis rechazado el seguimiento de 26 socios, ¿por qué Decathlon os vuelve a hablar de “socios”? Parece que la referencia es más a los vendedores de su mercado, pero nos hubiera gustado que Decathlon fuera más explícito. Introduce una dirección de email, luego una contraseña:
Un “compañero” más, Valiuz (recordad este nombre para el resto).
No necesariamente deseas recibir boletines informativos de Decathlon a través del misterioso socio "Valiuz", así que no marques la casilla y simplemente haz clic en "Confirmar y continuar":
El número de teléfono es obligatorio, y por supuesto, es sólo para contactar contigo sobre tu pedido;-)
También puedes introducir tus deportes favoritos. En la misma página, Decathlon te informa sobre la forma en que se utilizan sus datos, en primer lugar para la creación de una cuenta:
Con palabras fuertes:
¿A dónde van tus datos? En nuestra casa, ¡y listo! Es raro que apreciemos que nuestro email se venda a otras marcas. Tenga la seguridad de que esta no es una política de la casa. Tus datos están destinados únicamente a Decathlon: nuestro servicio de logística, nuestro centro de atención al cliente, etc.. Si nuestros subcontratistas tratan sus datos, únicamente lo hacen con fines estadísticos, de deduplicación o corrección, y siguiendo instrucciones de DECATHLON.
Decathlon se comunica con las mismas palabras sobre cómo se utilizan sus datos para la comunicación:
Observamos la confianza del deportista:
Finalmente, si a pesar del interés que tenemos en proteger tus datos no estás satisfecho, puedes presentar una reclamación ante la CNIL.
Estos compromisos se refieren a la creación de cuentas y a las comunicaciones Decathlon. Pero como vimos anteriormente, con su consentimiento (excepto iAdvize), Decathlon puede compartir tus datos personales con no menos de 26 socios para diversos fines: "Anuncios personalizados", "Medición del rendimiento de la audiencia y del contenido" y "Personalización del contenido".
Por lo tanto, algunos de tus datos personales no están destinados únicamente a Decathlon...
En busca de la configuración de privacidad
Como sospecho, quiero comprobar si Decathlon ha protegido correctamente mi cuenta, con las opciones más protectoras en el lado de la privacidad. Para esto voy a "mi tablero":
¿El acceso más rápido a la configuración de privacidad?
En el apartado "Gestionar mi cuenta Decathlon" del menú, escondido en "Preferencias", descubro 2 entradas interesantes, "Historial de navegación" y "Datos personales":
¿Victoria?
Hagamos clic en "Historial de navegación":
Siempre “mejorando la experiencia presencial”.
Al desmarcar la opción, te explicamos que ya no verás los artículos ya vistos:
De hecho, esta opción de "Historial de navegación" está bien oculta.
Si ahora hago clic en "Datos personales", me encuentro en la página "Tus datos y Decathlon". Para asegurarme de no perderme ninguna opción, hago clic en la entrada "Seguridad" en el menú de la página.mi tablero". Y allí, sorpresa, un segundo panel de control:
"¡Administre todos sus datos en un solo lugar!" Si lo encuentras;-)
Allí podrás darle a Decathlon un poco más de información, incluidas tus medidas:
El capitalismo de vigilancia está atacando tu cuerpo.
¿La idea? Ofrecerte productos y servicios adaptados a tu tipo de cuerpo:
Decathlon te apoya en tu disciplina, eso es genial, ¿no?
A continuación, veamos las "Preferencias de comunicación":
Evidentemente, casi todas las comunicaciones se comprueban previamente.
Si haces clic en "Cancelar suscripción a toda la información", se te preguntará si estás realmente seguro:
Después de todos estos esfuerzos, nos preguntamos si realmente quieres perderte nuestras comunicaciones comerciales.
Finalmente, vayamos a la entrada "Uso de datos" en el menú:
Otra página relevante sobre tu vida privada, bien escondida, ¿no?
Si hace clic en "Editar" para "Sitios web y aplicaciones de socios", verá una página más o menos vacía, dependiendo de sus cuentas:
Siempre socios, y sin embargo “Tus datos sólo están destinados a Decathlon”.
No tengo "sitios web y aplicaciones de socios", ni intercambio adicional de datos personales. Si ahora haces clic en "Editar" para "Deducción de preferencias por Decathlon":
La opción está premarcada, ¡un clásico!
Si recuerdas, ya he desactivado mi historial de navegación así como todas las comunicaciones, ¿cómo puede Decathlon seguir "infiriendo" mis preferencias? Misterio... Ahora hagamos clic en "Modificar" para "Compartir con Valiuz":
Nueva opción premarcada, para compartir tus datos con “un grupo de marcas”.
Te recordamos el compromiso de Decathlon al registrarte:
¿A dónde van tus datos? En nuestra casa, y eso es todo.! Es raro que apreciemos que nuestro email se venda a otras marcas. Tenga la seguridad de que esta no es una política de la casa. Tus datos sólo están destinados a Decathlon: nuestro servicio logístico, nuestro centro de atención al cliente, etc. Si nuestros subcontratistas tratan sus datos, lo hacen únicamente con fines estadísticos, de deduplicación o corrección, y siguiendo instrucciones de DECATHLON.
Así que no es la política de la casa, pero sigue siendo lo que hace Decathlon, para tus datos personales más interesantes: hábitos de compra, dirección, composición de su hogar, datos de contacto. Puede que hayas rechazado todo, pero este compartir está activado por defecto, compartiendo con un grupo de marcas misteriosas. Además, a través de @Eriatolc, sabrás que Decathlon te inscribe automáticamente en su programa de fidelización.
Hablando de Valiuz, es un compañero que ya tenía bloqueado:
Un socio ya bloqueado, pero con el que Decathlon sigue compartiendo tus datos personales.
El texto del banner de consentimiento es interesante, ya que Valiuz se permite hacer mucho con tus datos personales:
VALIUZ ayuda a personalizar los banners publicitarios distribuidos online (en los sitios web de los miembros de la alianza, sitios externos, redes sociales), promocionar los productos y servicios de anunciantes externos (extensión de audiencia). Tus datos nunca se transmiten a los anunciantes interesados. VALIUZ constituye audiencias (lista de personas con puntos en común) en función de sus datos de navegación y la información que ha transmitido a las empresas de la alianza, y estas audiencias están expuestas a anuncios en línea que coinciden con su perfil.
En la página "Tus datos y Decathlon", apartado "NUESTRAS COMUNICACIONES SE ADAPTAN A TU VIDA DEPORTIVA", puedes conocer un poco más sobre esta "ampliación de audiencias":
Valiuz vende campañas publicitarias basadas en tu perfil, en sitios web que no pertenecen a la alianza ("extensión de audiencia"), ¡un muy buen negocio!
Más información sobre Valiuz
Para entender mejor lo que hace Valiuz, hice clic en el enlace "Más información sobre Valiuz" de la página "Compartir con el programa Valiuz" de Decathlon. Aquí estoy en el sitio web de Valiuz, y aquí la lista de miembros de la alianza: Auchan, Boulanger, Kiabi, Leroy Merlin, Norauto, Flunch, 3 brasseurs, Alinea, Top Office, Saint Maclou, Tape à l'oeil, Jules, Electro Depot, Rouge-Gorge, Nhood, Chronodrive, Grain de Malice, Bizzbee, Decathlon, Oney, "¡y muchos más por venir!"
En la página "cómo funciona", Valiuz te vende la utilidad de sus correos electrónicos dirigidos:
"Soy una familia con 2 hijos, que tienen un gran interés en los productos frescos y de alta tecnología para cocinar".
Valiuz también te vende la utilidad de sus SMS y notificaciones dirigidas:
"Soy un cliente que sólo compra en tienda y nunca online, y acude los sábados a mi zona de compra habitual."
Pero Valiuz también quiere tranquilizarle:
Tus datos son, y nunca serán, revendidos o intercambiados entre marcas asociadas a Valiuz.. Sólo Valiuz tiene acceso a los datos que le transmiten sus socios.
Valiuz ha creado un conjunto común de tus datos personales en las diferentes marcas asociadas, para utilizarlos mejor:
Valiuz permite que Decathlon y otras marcas asociadas se dirijan mejor a usted.
¿Qué pasa con el identificador único creado por Valiuz? La pagina "mis derechos"da un pequeño detalle:
Espero que estés tranquilo, todos tus datos identificativos (tu dirección de email, tu dirección postal o tu número de teléfono) están hasheado antes de ser comparados entre marcas. Para los más inteligentes que usarían un sistema de alias de email típico SimpleLogin, Valiuz te encontrará mediante tu número de teléfono (obligatorio para el registro) y tu dirección postal (recomendada si has realizado el pedido).
Por cierto, el hash de tu dirección de email es Probablemente ya sea conocido por las principales plataformas. Y de toda la tecnología publicitaria. ¿Es “seguro” como indica Valiuz?
“Valiuz garantiza la máxima seguridad”.
Podemos dudarlo, vaya a echar un vistazo al sitio "¿Me han engañado?" y verifique su dirección de email, es probable que se haya filtrado (al igual que su número de teléfono). Si este es el caso, alguien con acceso a la filtración podrá rastrear su dirección de email a partir de su hash.
Siempre en la página “Mis derechos”, puedes oponerte al uso de tu información relacionada con tus compras (en tienda y online) en el marco de Valiuz:
Introduce su email para no ser vigilado a través de su email.
¿Por qué dar tu dirección de email? Esta sería la única forma de “darse de baja”:
Esta dirección de email debe ser conocida por uno de los miembros de la alianza para permitirnos identificar el perfil del cliente en cuestión. Sólo se utilizará para enviarle un mensaje de confirmación automático y será seudonimizado (es decir, se transformará en información de tipo 1a2b3c4d5e6f que compararemos con nuestros datos para tener en cuenta su solicitud).
De hecho, también puedes desmarcar la opción “Compartir con el programa Valiuz” en tu cuenta Decathlon. Pero tendrás que hacer esto con todas las demás marcas de la alianza Valiuz en las que tengas cuenta, si te ofrecen la opción:
Oposición a compartir mis datos de Decathlon con Valiuz frente a la oposición al servicio Valiuz de forma global.
Durante mi prueba del pasado mes de agosto, pude oponerme al procesamiento de información de navegación, al precio de un magnífico dark pattern:
Cuando está 'APAGADO', está 'ENCENDIDO'.
Entonces, ¿cómo puedes bloquear el procesamiento de tu información de navegación? Volvemos al banner de consentimiento inicial:
La carrera de obstáculos.
Para rechazar la cookie Valiuz, debe utilizar la herramienta de gestión de cookies disponible en los sitios web de nuestros socios.
¡Uf! Así ya está hecho, desde el principio de este artículo. Sin embargo, hubiera sido interesante permitir al usuario rechazar este seguimiento directamente desde el sitio de Valiuz, para todos los sitios de la alianza. Ahora debes hacer clic en "Rechazar todo" en el banner de consentimiento de cada uno de los sitios de la alianza.
Y tenga en cuenta que cuando Valiuz combina información relacionada con sus compras (en tienda y online) con información de su navegación, esa es mucha información:
Para perfilarlo mejor, Valiuz también recopila "datos de libre acceso al público (datos abiertos) o de bases de datos proporcionadas por terceros (ejemplo: INSEE)".
El regalo adicional, su información de navegación y la conciliación con los datos en poder de los miembros de la alianza no son operados directamente por Valiuz, se llevan a cabo a través de la tecnología publicitaria francesa Mediarithmics:
“Tus datos sólo están destinados a Decathlon”, nuevo episodio.
¿Cuáles son las bases legales del tratamiento por Valiuz?
Pregunta difícil, si tomamos la información:
Valiuz se basa en el consentimiento (a través del banner de cookies de Decathlon) para:
- La personalización de banners publicitarios distribuidos en línea (en los sitios web de los miembros de la alianza, sitios externos, redes sociales), promocionando los productos y servicios de terceros anunciantes (extensión de audiencia). VALIUZ constituye audiencias (lista de personas con puntos en común) en función de sus datos de navegación y la información que ha transmitido a las empresas de la alianza, y estas audiencias están expuestas a anuncios en línea que coinciden con su perfil.
Valiuz se basa en su interés legítimo por lo demás, es decir:
- Realizar análisis estadísticos no individuales que permitan a sus empresas colaboradoras comprender mejor las expectativas de sus clientes y responder a ellas desarrollando su actividad.
- Mejorar la calidad de la información de los clientes de sus empresas colaboradoras y contribuir así a su actualización (ejemplo: identificar personas cuya dirección postal está obsoleta, dejar de enviarles comunicaciones).
- Segmentar las bases de datos de clientes de sus empresas colaboradoras y así ayudar a mejorar la relevancia de las comunicaciones que le envían.
Entendemos mejor esta articulación en el apartado “¿Cuál es el servicio que brinda VALIUZ” en la página “Política de cookies y datos personales de Alianza":
Interés legítimo en la elaboración de perfiles publicitarios, consentimiento para los datos de navegación y visualización de publicidad dirigida.
Además, el enigmático mensaje del banner de consentimiento en el sitio web de Decathlon ahora cobra sentido:
Algunos socios no solicitan su consentimiento para procesar sus datos y se basan en su interés comercial legítimo. Puede revocar su consentimiento u oponerse al procesamiento de datos basado en el interés legítimo en cualquier momento haciendo clic en “Más información”
Excepto que oponerse al procesamiento de datos basado en un interés legítimo fue un poco más complicado que hacer clic en "Más información", este banner es particularmente deshonesto. En términos más generales, Decathlon parece tener un problema con la noción de consentimiento, como lo demuestra la página "Tus datos y Decathlon", apartado “NUESTRAS COMUNICACIONES SE ADAPTAN A TU VIDA DEPORTIVA”:
"[...] si y sólo si las personas interesadas han dado su consentimiento [...]", pero todavía nos basamos en el interés legítimo.
Detrás de Valiuz, el grupo Mulliez
¿Quién está detrás de esta alianza “Valiuz”? Si no eres un conocedor del capitalismo a la francesa, no necesariamente adivinarás que Auchan, Decathlon o Leroy Merlin pertenecen a la rica familia Mulliez. El artículo "Valiuz, el proyecto de datos con 150 millones de tarjetas de fidelización del grupo Mulliez" (que puedes leer utilizando el modo "lectura" de tu navegador), escrito en 2019, proporciona cierta información:
- Valiuz ya llegó a 29 millones de hogares franceses.
- Por tanto, reunió más de 150 millones de tarjetas de fidelización.
- Esta no es la única alianza, 3W.RelevanC (Casino) reunió a 31 millones de consumidores, también menciona el artículo RetailLink de Fnac-Darty.
- mediarithmics envía perfiles de usuario a las plataformas de gestión de datos (DMP) de los distintos miembros de la alianza, por lo que otros actores de Actech recuperan tus datos personales enriquecidos.
- La iniciativa, actualmente limitada a la galaxia Mulliez, podría abrirse a otros grupos en los próximos meses. Particularmente en verticales donde las entidades miembros de AFM no están presentes, como las telecomunicaciones, por ejemplo.
Si recuerdas, Valiuz dijo:
Tus datos son, y nunca serán, revendidos o intercambiados entre marcas asociadas a Valiuz. Sólo Valiuz tiene acceso a los datos que le transmiten sus socios.
Valiuz también ofrece una aplicación de cashback para aspirar tus transacciones bancarias
Valiuz recupera su historial de compras en la web y en la tienda de los miembros de la alianza. Pero ¿por qué no recuperar todas tus transacciones bancarias? Evidentemente, si te preocupa tu privacidad, no utilizarás este tipo de aplicaciones, pero Valiuz ofrece una aplicación de "cashback" llamado Naomi:
Acumular recompensas automáticamente, ¿interesante no?
Al registrarse, Naomi le solicita acceso a tu cuenta bancaria:
"La información de su conexión bancaria simplemente nos permite identificar sus compras para pagar sus ganancias".
De hecho, Naomi no tiene acceso a los identificadores bancarios, "sólo" a todas las transacciones bancarias del cliente:
Privacidad y seguridad, ¿por qué preocuparse?
La "política de protección de datos personales" de la aplicación Naomi es interesante. Observamos que los estudios estadísticos sobre sus transacciones bancarias se basan en el interés legítimo de Naomi alias Valiuz:
Sigue siendo la famosa seudonimización, ahora con todas sus transacciones bancarias.
Dada la sensibilidad de los datos recuperados, no necesariamente le tranquilizará saber que Naomi utiliza subcontratistas para muchas acciones:
“estudios estadísticos, segmentación y elaboración de perfiles publicitarios basados en datos”, realizados por subcontratistas cuyo nombre usted desconoce.
La guinda del pastel es que Naomi trabaja con los reyes del capitalismo de vigilancia, Google y Facebook:
Los famosos "píxeles", vectores de seguimiento muy efectivos.
Pero las transacciones bancarias no son lo suficientemente precisas, Naomi quiere saber exactamente lo que compraste y por eso te sugiere escanear los recibos:
Naomi recupera así los detalles de las compras: naturaleza del producto, tiendas, fecha, importe.
Ten en cuenta que, a diferencia de Decathlon, la base legal para la elaboración de perfiles para la alianza Valiuz es el consentimiento:
Tienes suerte, las compras o pagos que sean sensibles o que no correspondan a una compra no son compartidos por Naomi.
Como dice tan bellamente la cuenta de Twitter de Valiuz:
Valiuz, conocerte mejor para hablar mejor contigo.
El capitalismo de vigilancia está reclutando
Convencido por este elogioso artículo, decides ir a la página de Valiuz de Welcome to the Jungle y leer ofertas de trabajo. Si está en operaciones, podría ser Account Manager Programmatique por ejemplo:
“Especializados en la implementación de modelos económicos en torno a datos”.
Si te sientes vendedor, podrías serlo Gerente de Ventas - Medios Retail:
"Valiuz Media, la oferta minorista más potente del mercado: 18 marcas complementarias, 55 millones de clientes registrados, 1.700 millones de transacciones omnicanal, 3.520 tiendas en Francia."
¿Pero por qué trabajar en Valiuz, me preguntas?
“[...] la mayor base de datos de clientes de Francia” suena como un sueño, ¿verdad?
La última palabra, en página de inicio de Valiuz, con “Nuestros valores”:
"No vendemos su información".