La gran liquidación de tus datos personales en Le Bon Coin

Le Bon Coin filtra tus datos personales nada más llegar a su sitio web

Le Bon Coin Tras un gran éxito comercial en Francia, el sitio de anuncios clasificados se ha vuelto indispensable para muchas personas. Al tener productos para revender con bastante regularidad, quería saber si Le Bon Coin respetaba mi privacidad. Comencemos con el sitio web. leboncoin.fr, aquí tienes los pasos a seguir si quieres reproducir la experiencia:

• Desactiva tu adblocker.
• Elimine las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación), para cerrar sesión en tu cuenta de Google.
• Abra la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), la pestaña "Red" o inicie Charles Proxy.
• Luego ve a la página de inicio. leboncoin.fr.

Primera observación: Le Bon Coin no ofrece una opción directa para rechazar la vigilancia de marketing. Esta presentación no cumple con el RGPD: la opción "Entiendo" está resaltada en color azul y, sobre todo, requiere que el usuario configure sus elecciones mediante el botón "Personalizar"; la gran mayoría de usuarios no harán el esfuerzo.

Veamos ahora las solicitudes enviadas cuando llega al sitio, como recordatorio de que aún no ha tomado la decisión de aceptar o rechazar el seguimiento:

Sorpresa! No has tomado ninguna medida pero Le Bon Coin ya está aumentando las llamadas a empresas de marketing, algunas de estas empresas están empezando a realizar un seguimiento sin tu consentimiento. Aquí hay una lista de rastreadores que utilizan un identificador personal (seudónimo):

• domo de datos: solución de protección contra bots.
• Sublime: a través de ayads.co, una red publicitaria francesa especializada en diseños de páginas (anteriormente Sublime Skinz).
• AT Internet: a través de ati-host.net, AT Internet es una empresa francesa de análisis “histórica”, originalmente llamada Xiti. Ya los hemos encontrado en otros lugares, cf. "Consentimiento: la peor experiencia de usuario y vigilancia con Lemonde.fr" y "Boursorama Banque filtra sus datos de conexión".
• Facebook: Usos de Le Bon Coin El kit de herramientas de marketing de Facebook, entre otras cosas por su bloque de análisis.
• Google: a través de dobleclick.net. Le Bon Coin también utiliza la solución de monetización de publicidad “Google Ad Manager” de la firma de Mountain View.

Ahora, ¿qué pasa si haces clic en el botón "Personalizar"?

Buenas noticias, hay un botón “Rechazar todo”, hagamos clic en él y observemos las solicitudes enviadas:

Acaba de hacer el esfuerzo de rechazar todo seguimiento, pero sigue filtrando tus datos personales a los gigantes del seguimiento publicitario:

• Facebook: seguimiento continuo, Facebook sigue todas sus acciones en el sitio leboncoin.fr. Irónicamente, la firma de Menlo Park aquí recopila específicamente la información en la que usted hizo clic en el botón "Rechazar todo".
• Google: a través de su plataforma de monetización de publicidad Google Ad Manager (que reúne un servidor de anuncios y un SSP), Google también recupera su navegación.

Consulte algunas páginas y compruebe que las llamadas a empresas de marketing siguen representando la mayoría de las consultas:

La mayoría de estos actores parecen tener en cuenta su consentimiento aquí (no se colocan cookies, aunque en teoría podrían rastrearte con su dirección IP y con las características de tu navegador), pero uno podría preguntarse por qué Le Bon Coin los llama. Los rastreadores ya enumerados anteriormente continúan monitoreando (Google, Facebook, AT Internet, Sublime, Datadome), también podemos notar uno nuevo, Index Exchange (vía casalemedia.com), otra plataforma de monetización publicitaria.

Si ahora continúas navegando sin prestar atención al banner de consentimiento (como la gran mayoría de los usuarios), es literalmente una carnicería:

Aquí no hay medias tintas: todo el mundo te rastrea, así que podemos detectar:

• Weborama: Empresa francesa de marketing de datos, que filtra en particular tus datos personales a empresas rusas.
• Criteo: un gigante francés del marketing de vigilancia especializado en "reorientación", con prácticas poco éticas.
• AppNexus: a través de adnxs.com, una plataforma estadounidense de monetización de publicidad (SSP), adquirida por el gigante de las telecomunicaciones AT&T y que también ofrece una plataforma de compra de espacios publicitarios (DSP).
• Realytics: una plataforma de compra de televisión programática.
• Amazon: en GAFA, no sólo Google o Facebook ofrecen soluciones publicitarias, Amazon también ofrece sus soluciones de monetización para editores.
• Smart AdServer: una plataforma francesa de monetización de publicidad.
• The Trade Desk: a través de adsrvr.org, una plataforma estadounidense de compra de espacios publicitarios.
• Yahoo: sí, Yahoo todavía existe... Y ofrece soluciones publicitarias.
• Temelio: a través de leadplace.fr, una solución francesa que permite cruzar tus datos personales en línea y fuera de línea, ¡no te escaparás!
• Graphinium: a través de crm4d.com, otra solución francesa que permite cruzar tus datos personales online y offline.
• Zemanta: adquirida de Outbrain (líder mundial en enlaces clickbait al final de los artículos), Zemanta ofrece una plataforma para comprar “publicidad nativa” (publicidad “disfrazada”, que tiene la misma imagen que el contenido, como en Facebook o Twitter).
• LiveRamp: a través de rlcdn.com, líder mundial en el cruce de tus datos personales online y offline (competidor de Temelio y Graphinium).
• Nielsen: a través de exelator.com, el gigante de la investigación de mercados se ha expandido a Internet a través de adquisición del proveedor de datos personales eXelate en 2015.
• ZBO Media: a través de zebestof.com, empresa del grupo Figaro-CCM Benchmark, presentándose como "el único jugador programático capaz de explotar todos los datos del Grupo Figaro – CCM Benchmark". Como recordatorio, lea el artículo "Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses".
• Pubmático: Plataforma estadounidense de monetización publicitaria.
• TripleLift: a través de 3lift.com, una red publicitaria especializada en publicidad nativa.
• Adformar: plataforma que ofrece un conjunto completo de herramientas publicitarias, en primer lugar para anunciantes y agencias (adserver, DSP y DMP), pero también para editores (adserver y SSP).
• OpenX: otra plataforma estadounidense de monetización publicitaria.
• Adolescente: a través de adotmob.com, red publicitaria francesa.
• ESVDigital: a través de www.esearchvision.com, una empresa francesa anteriormente conocida por su herramienta de seguimiento de campañas de enlaces patrocinados en Google.
• Ciencia publicitaria integral: a través de adsafeprotected.com, herramienta de detección de fraude, medición de visibilidad (¿la publicidad mostrada es visible para el usuario o en la parte inferior de la página?) y "seguridad de marca" (¿la publicidad se transmite en un sitio de "calidad"?).
• Adobe: a través de everesttech.netAdobe es conocido por Photoshop, pero la empresa estadounidense ha realizado numerosas adquisiciones (Analytics, Tag Management, DMP, compra de medios, etc.) para ofrecer una suite de marketing completa.
• Proyectos Delta: a través de de17a.com, empresa que gestiona la compra de espacios publicitarios.
• Suma: Empresa alemana que ofrece soluciones publicitarias a anunciantes y editores.
• Doblar: empresa que ofrece una plataforma de compra de espacios publicitarios y una “Plataforma de Gestión de Datos”, adquirido por Amobee en 2017.
• Cambio de oferta: actor esencial de la publicidad programática, intermediario que permite cerrar la brecha entre las plataformas de compra y las plataformas de monetización que no están directamente conectadas entre sí. Es una filial de la empresa rusa. Iponweb.
• Cera de abejas: a través de bidr.io, ofrece una plataforma de compra de espacios publicitarios configurable, lo que permite al anunciante disponer de un mayor margen de maniobra para integrar su propia lógica de compra (frente a soluciones "llave en mano" como la plataforma de compras de Google).
• Teatro de ofertas: plataforma de compra de espacios publicitarios.
• En audiencia: proveedor de datos personales.
• Quantcast: red publicitaria, que también ofrece una herramienta de análisis (a través de la cual creará un perfil de usted) y una CMP (plataforma de recopilación de consentimiento).
• conversando: a través de dotomi.com, una empresa estadounidense de marketing de datos.
• Mezclar: empresa que proporciona herramientas publicitarias para editores y anunciantes.
• Advendori: empresa especializada en la personalización de banners publicitarios.
• Simpli.fi: red publicitaria.
• lotame: a través de crwdcntrl.net, proveedor de datos personales.
• Wizaly: a través de tk.conforama.fr, plataforma de atribución. Permite al anunciante comprender qué campañas publicitarias son efectivas. Al parecer, Conforama utiliza Wizaly (que pasa por delegación de dominio o CNAME) para medir la distribución de sus anuncios en Le Bon Coin.
• Punto de pulso: a través de contextoweb.com, jugador programático especializado en el campo de la salud (!)
• NubeTecnologías: a través de erne.co, una empresa polaca que se jacta de analizar y monetizar los datos personales de los usuarios en más de 200 mercados.
• Tapad: Empresa de publicidad estadounidense especializada en vigilancia multidispositivo. Su argumento: busque el dispositivo que utilice y luego venda esta información a marcas y otras empresas de tecnología publicitaria.
• DatosXu: a través de w55c.net, plataforma de compra de espacios publicitarios comprado por roku, líder en televisión conectada en Estados Unidos (por delante de otros ChromeCast, Android TV, Amazon Fire TV o Apple TV).
• adelfo: a través de ipredictive.com, una plataforma de compra de espacios publicitarios, forma parte de la empresa de marketing viante.
• Fusión tribal: red publicitaria anticuada, estamos en un terreno difícil aquí, vaya al sitio y verá que todavía usa Adobe Flash.
• Cincuenta: a través de cincuentat.com, empresa que gestiona las campañas publicitarias de los anunciantes (Trading Desk).
• Patio de juegos: empresa que proporciona herramientas para crear anuncios y medir su eficacia.
• goma de mascar: red publicitaria.

Inicia sesión y deja que Weborama te rastree permanentemente

Cuando te conectas a tu cuenta de Le Bon Coin, Weborama no solo te rastrea a través de un identificador de publicidad que puedes restablecer eliminando tus cookies. ella consigue un picadillo de su dirección de email. ¿Cómo se presenta Weborama? Si leemos la página de inicio:

Weborama ofrece soluciones avanzadas de conocimiento del consumidor basadas en una tecnología de análisis semántico única, extremadamente precisa y escalable para permitir a las empresas generar crecimiento mientras racionalizan sus costos de marketing. Diseñado con IA semántica, Weborama ofrece una combinación de tecnologías, datos y experiencia eficientes y eficaces. 100% compatible con el RGPD.

Ya habíamos podido conocer a Weborama anteriormente:

• Weborama y Lemonde.fr, lentitud del sitio y filtración de tus datos personales a Rusia
• Consentimiento: la peor experiencia de usuario y vigilancia con Lemonde.fr
• L'Équipe, primero en deporte y vigilancia
• Fnac equilibra tus datos personales
• Le Figaro, emblema del seguimiento de la publicidad invasiva en los medios de comunicación franceses

Weborama actúa como un caballo de Troya en el sitio leboncoin.fr: "permite" la filtración de tus datos personales a un montón de nuevas empresas de marketing, algunas ubicadas en Rusia:

Lista no exhaustiva de socios con los que Weborama sincroniza su identificador personal en el sitio Le Bon Coin. Empresas francesas, americanas o rusas con las que Le Bon Coin no tiene ningún vínculo.

Pero Weborama también recupera los datos de su navegación en Le Bon Coin, vinculados a una firma (la variable "_emailpicadillo") correspondiente a su email. Aquí está la información recopilada para una consulta sencilla de la mesa de Formica:

“100% compatible con el RGPD”, ¿realmente Weborama?

Inicia sesión en Safari y filtra tus datos de conexión a Criteo

Como ya hemos visto con el artículo "Criteo, un gigante francés del marketing de vigilancia", Criteo está presionando a sus clientes para que creen una vulnerabilidad de seguridad en sus sitios para poder rastrear mejor a los usuarios que utilizan bloqueadores de publicidad o navegadores respetuosos con la privacidad como Safari. Para comprobar si Le Bon Coin es vulnerable, conectémonos a través de Safari y observemos cómo llegan las solicitudes:

¡Banco! Le Bon Coin filtra tus datos de conexión a Criteo. El extraño dominio bvubje.leboncoin.fr es una delegación de dominio (o CNAME) a dnsdelegation.io, que en sí mismo es una delegación de dominio a chicle.criteo.com. ¿Qué sentido tiene que Criteo utilice un CNAME para monitorizarte en Safari? Este mecanismo tiene varios objetivos:

• Evite ser bloqueado por ciertos bloqueadores de publicidad (use uBlock Origin para evitar este seguimiento). Pero este argumento es válido para todos los navegadores.
• Anular el bloqueo de cookies de terceros.
• Anule la limitación de duración de las cookies creadas en javascript (7 días), la cookie ahora se crea en el lado del servidor (sin limitación de duración). NÓTESE BIEN: Safari pronto corregirá este punto.

Pero el sistema de delegación de dominio permite el envío de todas las cookies asociadas al dominio. leboncoin.fr a Criteo... Incluyendo la cookie "luat" (cookie que recuerda que estás conectado), que puedo copiar y pegar en Chrome mediante la extensión Editar esta cookie estar directamente conectado. Luego, un empleado de Criteo podrá iniciar sesión en tu cuenta.

También en la aplicación de iOS, se te rastrea tan pronto como la abres

Para observar las solicitudes enviadas por la aplicación. Le Bon Coin en iOS, yo uso Charles Proxy. Abramos la aplicación Le Bon Coin:

Como puede ver y darle me gusta en la web, puede deshacerse de la molesta ventana de consentimiento haciendo clic en "Aceptar y cerrar" (opción resaltada en color azul) o gastar energía tratando de evitar la vigilancia haciendo clic en "Más información". Una vez más, un "patrón oscuro" para no dejarte elegir libremente. ¿Qué está pasando en términos de vigilancia del marketing? Incluso antes de dar (o no) mi consentimiento, Le Bon Coin filtra mis datos personales:

Algunos de estos rastreadores ya recopilaban tus datos personales en el sitio web, pero también estamos viendo nuevos rastreadores:

• Weborama: ya presente en el sitio web.
• Google: a través de DoubleClick (y la solución de monetización de publicidad para editores de Google Ad Manager) y Firebase (La caja de herramientas de Google para desarrolladores móviles), ya presente en el sitio web.
• folleto de aplicaciones: empresa de marketing móvil que ofrece en particular un producto de atribución, que permite a Le Bon Coin saber qué campañas publicitarias provocaron la instalación de la aplicación.
• Accengage: herramienta francesa de notificaciones push, comprado en 2018 por la empresa de marketing móvil Airship.
• domo de datos: ya presente en el sitio web.
• Amazon: a través de server-sys.com, el servidor de agencias y anunciantes de Sizmek, anteriormente Mediamind, originalmente llamado Eyeblaster, fue adquirido por el gigante estadounidense del comercio electrónico en 2019.

Rechazas la vigilancia, Le Bon Coin sigue filtrando tus datos personales

Hagamos clic en "Saber más":

Por ello, a algunos socios les gustaría ofrecer publicidad o contenidos específicos basándose en un interés legítimo, lo que está claramente en contradicción con el RGPD. Hagamos clic en "Rechazar todo" y veamos algunos anuncios:

La vigilancia nunca cesa: Google, AppsFlyer, Datadome y Weborama siempre me rastrean.

Conéctate, Weborama te encontrará

Cuando inicias sesión, los mismos rastreadores continúan siguiéndote. Pero un tracker va más allá: Weborama recibe los detalles de cada anuncio visto con el hash de tu dirección de email. Sí, el mismo identificador que en la web, Weborama puede rastrearte sea cual sea su dispositivo, incluso si restablece sus identificadores. Este hash le permite seguirle en todos los sitios web y aplicaciones que utilizan sus servicios y, por tanto, crear un perfil muy preciso sobre usted.

En los vericuetos del interés legítimo

Quizás estés pensando, si todavía me siguen, es porque debo haber perdido una opción. En la parte inferior del formulario "Más información", puede hacer clic en "Ver nuestros socios":

Allí descubre que algunos socios están previamente controlados, en contradicción con el RGPD:

Echemos un vistazo al socio de Weborama:

Así, Weborama comprueba previamente el interés legítimo y considera que puede utilizar esta base jurídica para diversos fines, incluida la creación de un perfil para mostrar contenidos personalizados. Ahora desactivemos todos los socios:

Nada cambia, Weborama sigue ahí, también volvemos a ver AT Internet:

Inicias sesión, Weborama sigue recuperando el hash de tu dirección de email. Sin embargo, usted ha indicado claramente que rechaza el seguimiento de todos los socios, por lo que la información de rechazo del consentimiento y "opt-out" de interés legítimo se envía a Weborama:

Esta señal fue codificada siguiendo el protocolo de TCF v2 (protocolo para recopilar y transmitir señales de consentimiento entre agentes publicitarios, creado por IAB Europe, el lobby de la tecnología publicitaria), vamos a decodificarlo mediante este sitio:

¿Cómo puede Weborama rastrearme de manera tan agresiva (detalles de todos los anuncios vistos, seguimiento permanente mediante el uso de un hash de mi dirección de email) cuando recibe la información de que he rechazado cualquier tratamiento sobre la base legal del consentimiento o del interés legítimo? ¿Cómo pueden otros socios como Google seguir rastreándome?

"Weborama, una combinación de tecnologías, datos y experiencia de alto rendimiento 100% compatible con el RGPD"?!

Le Bon Coin viola su propia política de privacidad

Si miramos atentamente el política de privacidad del sitio web de Le Bon Coin, sección “Uso de tus datos”, párrafo “Uso de tus datos con tu consentimiento”, podemos leer, entre otras cosas:

• Podemos, con su consentimiento: [...] compartir sus datos con nuestros socios publicitarios, controladores de datos, con el fin de mejorar el rendimiento de las campañas de nuestros socios en nuestro sitio.
• No compartimos tus datos personales con nuestros socios externos sin su consentimiento. Sin embargo, si hace clic en un anuncio, su anunciante podrá saber que visitó la página en la que hizo clic.

Le Bon Coin viola así su propia política de confidencialidad.

¿Qué hacer?

¿Cómo pueden permitirlo Le Bon Coin y la CNIL? A falta de sanciones disuasorias por parte de la CNIL o de reacción del sitio Le Bon Coin, usted puede protegerse individualmente. Puedes instalar un adblocker como uBlock Origin en la web o en aplicaciones como DNSCloak, AdGuard O NextDNS en iOS.