Lydia filtra tu dirección de correo electrónico

¿Te hago un Lydia? La app de pago filtra tus datos personales a varios terceros

Publicado por Pixel de Tracking el 8 de mayo de 2020

A Lydia le gustan los rastreadores

Lydia es una aplicación muy práctica, que permite en particular reembolsar fácilmente a los amigos y crear botes comunes. Es una "fintech" francesa que ha levantado 40 millones de euros este año, especialmente del gigante chino Tencent. Como Lydia gestiona transacciones financieras, no esperaba estar vigilado.

Para detectar las posibles herramientas de tracking instaladas por Lydia, seguí el siguiente procedimiento en mi iPhone:

  • Cierre de las distintas aplicaciones en segundo plano
  • Lanzamiento de la aplicación Charles Proxy y activación del seguimiento
  • Lanzamiento de la aplicación Lydia, y después navegación por la app
  • Exportación de los logs de mi sesión de Charles Proxy a mi ordenador

Lydia_iPhone

Como puedes ver en la captura de pantalla, la app Lydia es habladora y comunica tus datos personales a varios actores:

  • Google: a través de la caja de herramientas para desarrolladores Firebase, Lydia mide tu uso de la aplicación, los fallos (Crashlytics) y envía por tanto tus datos personales al gigante de Mountain View.
  • Braze: esta empresa permite a Lydia enviarte mensajes adaptados (in-app, notificaciones, emails) en el "momento adecuado". Braze rastrea todas tus acciones en Lydia, y en particular el detalle de tus pagos.
  • Vero: otra empresa que permite a Lydia enviarte mensajes adaptados en el momento adecuado. Lydia también envía tu navegación y el detalle de tus pagos a Vero para adaptar sus futuras comunicaciones. Más grave aún, asociado a tus distintas acciones, Lydia no filtra simplemente un seudónimo, sino también tu dirección de correo electrónico.
  • Appsflyer: empresa de marketing móvil que ofrece en particular un producto de atribución, lo que permite a Lydia saber qué campañas publicitarias desencadenaron la instalación de la aplicación.
  • Amplitude: herramienta de analytics que permite a Lydia analizar en detalle tu comportamiento en su aplicación. Aquí también todo está rastreado: cada pantalla vista, el detalle de tus transacciones, el modelo de tu smartphone, tu operador móvil o incluso tu identificador de smartphone.

Una política de privacidad indigente, que no ofrece ningún control al usuario

La "Política de protección de datos personales de Lydia" no es accesible directamente en la app: hay que buscarla desde tu perfil, luego abrir las C.G.U. al final de la página y, por último, encontrar el enlace correcto. La sección 4 trata de la transferencia de datos personales: "a los socios bancarios y proveedores de Lydia y a sus prestadores operativos".

En contradicción con el RGPD, Lydia no informa al usuario de los socios de marketing a los que filtra tus datos personales; solo se puede suponer que están incluidos en los "prestadores operativos". Además, Lydia pisotea su propia política al filtrar tu dirección de correo electrónico, ya que afirma anonimizar previamente tus datos personales:

Lydia también podrá comunicar los datos personales de sus clientes personas físicas a uno de sus proveedores u otros socios, siempre que estos hayan sido previamente anonimizados. Esta anonimización consiste en retirar de ellos los siguientes elementos: nombre y apellidos, dirección de correo electrónico, número de teléfono, dirección postal y cualquier otro elemento que permita identificar o contactar directamente al cliente persona física.

La política de privacidad de Lydia también es difícil de encontrar: hay que pasar directamente por el sitio web de Lydia (observa también la falta de ortografía en la URL de la página, "confidentilaite" en lugar de "confidentialité"). Lydia indica en esta página:

Tus datos personales no serán vendidos, intercambiados, transferidos ni entregados a otra empresa por ningún motivo, sin tu consentimiento, fuera de lo necesario para responder a una solicitud operativa, como por ejemplo la realización de una transacción. Esto no incluye a los terceros de confianza que nos permiten llevar a cabo nuestra actividad (legislador, socio bancario, proveedor de alojamiento) siempre que dichas partes acepten mantener esta información confidencial.

De nuevo, Lydia no respeta su compromiso: tus datos personales se transfieren a otras empresas (de marketing, y no legislador, socio bancario o proveedor de alojamiento), sin tu consentimiento. Lydia también indica:

La seguridad de tus datos personales está protegida mediante un sistema de cifrado y códigos de acceso. Solo los empleados que necesitan realizar un trabajo específico, como el servicio comercial o el soporte al cliente, tienen acceso a algunos de tus datos personales identificables. Los servidores utilizados para almacenar información personal identificable se mantienen en un entorno seguro.

Aquí también es falso: Lydia filtra tus datos personales a varios terceros, incluido tu email a Vero. Algunos empleados de Vero pueden por tanto reconstruir tu comportamiento en Lydia y tu historial de transacciones. Por último, Lydia tiene una definición muy particular del consentimiento, en violación flagrante del RGPD:

Al utilizar nuestros servicios, aceptas nuestra política de privacidad.

Por supuesto, Lydia no ofrece ningún control sobre estas fugas de datos personales. Tu única opción es pasar por apps como DNSCloak, Adguard o NextDNS en iOS.