Gestión de cookies y consentimiento: ¿Boursorama está jugando con fuego?

De la teoría a la práctica a veces (a menudo) hay un abismo. Este suele ser el caso con respecto a la regulación general sobre la protección de datos personales (RGPD) y más específicamente las pautas relacionadas con el uso de cookies por parte de los sitios web. La decisión del Consejo de Estado del 19 de junio de 2020, en dirección a los editores del sitio, de bloquear el acceso a los usuarios de Internet que se niegan Galletas a pesar de que la CNIL considera que el uso de paredes de cookies contrarias al GDPR, sonó como un trueno. “La CNIL continúa su trabajo en el proyecto de recomendación y directrices relacionadas con las cookies y otros rastreadores. Por lo tanto, las directrices se ajustarán para extraer las consecuencias de esta decisión (del Consejo de Estado). Este ajuste y la adopción de esta recomendación por parte de la universidad de la CNIL debería tener lugar después del comienzo del año escolar de septiembre de 2020, de acuerdo con un calendario que aún no se ha especificado ", nos explicó el comité.

En este contexto legal todavía fluido, los sitios web están haciendo su mejor esfuerzo, o no, para aplicar las regulaciones mientras esperan un marco legislativo más claro. Con respecto a Boursorama, parece que los esfuerzos implementados en términos de gestión de cookies y consentimiento están lejos de dar fruto, por el contrario. Señalado, las opciones de banca en línea en esta área de hecho plantean preguntas. Comenzando con el seguimiento de la actividad de los usuarios y clientes de los servicios de Boursorama en su propia área de clientes. Para pasar bajo el radar de posibles bloqueadores de anuncios que podrían "interrumpir la buena navegación" y evitar la "consulta de riesgo cero" de las cuentas, Boursorama ha adoptado un subdominio personalizado registrado en forma de un campo CNAME en el DNS (c0011 .boursorama .com) en realidad apunta a at-o.net dependiente de AT Internet y permite evitar las protecciones de los navegadores y bloqueadores de anuncios.

El uso de un CNAME administrado por un tercero, en este caso AT Internet, también puede crear un riesgo de seguridad. De hecho, un usuario malicioso en el proveedor de servicios, incluso un empleado al que apunta la ingeniería social, puede acceder, sujeto a tener habilidades técnicas y el nivel necesario de autorización, registros de sesión y potencialmente iniciar sesión en lugar del usuario. & # 39; usuario. "Es una fuente potencial de violación de seguridad y el marco contractual requiere, por el contrario, una obligación de seguridad, ya que Boursorama puede ser acusado de negligencia en el uso de socios", dice Florence Bonnet, directora asociada de datos en el gabinete de TNP. “No existe el riesgo cero, pero aquí es muy teórico, se necesitan una sucesión de factores para llegar allí e, incluso si este fuera el caso, la persona maliciosa no podría hacer nada porque todas las operaciones sensibles están protegidas ”, Nos dijo Aurore Gaspar, subdirector general de Boursorama.

Boursorama lejos de ser un caso aislado

"Un CNAME permite la creación de subdominios y URL ficticias para pasar por debajo de las horquillas caudinas de los bloqueadores de anuncios integrados, gracias a los datos de marketing y publicidad que se identifican como datos de propiedad pero no de terceros", nos dijo un experto en marketing digital quien prefirió permanecer en el anonimato. "El objetivo es disfrazar un poco las cookies de terceros al pasarlas como cookies de propiedad", nos dijo Florence Bonnet. “Esto ayuda a evitar las medidas tomadas para los navegadores que buscan evitarlas. Por el lado de Boursorama, por el contrario, no hay deseo de ocultar nada. "Cuando los clientes llegan a los espacios, no se les rastrea antes de dar su consentimiento, al aceptar la instalación de cookies o al configurarlas en la consola de administración de cookies", nos dijo Aurore Gaspar.

Pero, ¿por qué tomarse tantas molestias para ocultar una cookie de terceros como propietario? "Chrome eliminará las cookies de terceros pero no las propietarias, lo que permitirá Boursorama continuar rastreando al individuo desde el momento en que el individuo da su consentimiento ", continúa el experto anónimo en marketing digital. " Desafortunadamente Boursorama no es un caso aislado, todavía es muy frecuente en Francia hoy ”. Y Florence Bonnet lanzó: “Para nosotros Boursorama Es un mal estudiante. Vemos que las empresas cumplen claramente, no podemos decir que este sea el caso cuando haya una calificación deficiente de las cookies de terceros que rastrearán y, por lo tanto, que no haya un consentimiento válido. . Depende de la persona presentarse, es una práctica abusiva, pero no es solo Boursorama en ese caso ".

Desde espacios de autopromoción hasta publicidad monetizada

Entre las elecciones realizadas por Boursorama con respecto a las cookies, algunas pueden resultar inquietantes. Este es el caso, por ejemplo, para el muro de cookies donde las opciones de aceptación predeterminadas para 5 categorías de procesamiento (almacenamiento y acceso a la información, personalización, selección, distribución y medición de anuncios, selección, distribución y medición de contenido y estadísticas) están marcados en "Activado". Además, cuando el usuario desmarca manualmente estos cuadros, no se realiza el historial de preferencias. Resultado: el usuario / cliente debe reiniciar el procedimiento para rechazar las cookies en cada conexión. Al final, ¿para qué se utilizan los plotters de navegación establecidos en el área de clientes de Boursorama? Por el momento, impulsar las autopromociones, es decir, productos y servicios internos, pero en el futuro no se excluye que se logre la monetización de estos espacios publicitarios. "No hay publicidad de terceros en el área del cliente, somos una empresa bastante innovadora y si algún día se hiciera esto, por supuesto, cumpliría con los consentimientos", asegura Aurore Gaspar.

"Los CMP (plataforma de gestión de consentimiento) se ajustan bien a los fines, excepto que no están claramente definidos y no cumplen los requisitos de la normativa europea", explica Florence Bonnet. "Proporcionan que podemos elegir algo más que el consentimiento como el interés legítimo que permite Boursorama para excluirse. Esta es quizás la razón por la cual algunos ya configuraron de manera predeterminada el CMP para que las cookies se depositen incluso si esto no cumple con el GDPR ”. De acuerdo con su política de privacidad, Boursorama basa la creación de perfiles con fines publicitarios, y por lo tanto el seguimiento, eninteresar legítimo. Lo incluye en prospección comercial. "En este punto puede haber discusión sobre la elección de la base legal, pero los propósitos no son lo suficientemente precisos", admite Florence Bonnet.

Una entrada de la CNIL en caso de que el consentimiento requerido no se obtenga de acuerdo con el GDPR

Y la CNIL especifica por su parte: "el depósito y la lectura de cookies implica, en principio, el consentimiento libre, específico, informado e inequívoco después de que el usuario haya sido informado de los propósitos de los rastreadores y los medios para rechazarlos. Las únicas excepciones, en esta etapa, se establecen en el artículo 82 de la Ley de Protección de Datos; el artículo 15 de la directiva "ePrivacy" deja la posibilidad de que los Estados miembros establezcan limitaciones a esta obligación (la del artículo 5 (3) de la "ePrivacy" directiva) para ciertos objetivos. La naturaleza inequívoca implica en particular que la aceptación de cookies no puede ser el modo predeterminado o el resultado de la inacción o de las casillas previamente marcadas por defecto, etc. (...) Si se requiere consentimiento y no es obtenido de acuerdo con los requisitos reglamentarios (previo, gratuito, específico, informado e inequívoco), los usuarios pueden contactar a la CNIL ". Queda por ver si Boursorama aceptará modificar su gestión de cookies para evitar enfrentarse a tal situación.