EUGDPR Audit
RU EN
Технический аудит · 2026-06-23

decathlon.nl

Сайт спортивного ритейлера Decathlon
NL

Decathlon.nl — сайт крупной сети спортивных товаров. Замер главной страницы: 306 обращений, 49 доменов (среди них обращения к edge.microsoft.com — встроенный перевод браузера Edge, а не трекинг сайта). На сайте есть механизм согласия Didomi (через TCF), и основной рекламный стек — DoubleClick, Facebook, TikTok, Pinterest, рекламные биржи, Contentsquare, Medallia — поднимается только после нажатия «принять» (согласие на 33580 мс); сам Google Analytics 4 шлёт первое событие лишь после согласия (35022 мс). Это в пользу сайта. Но до согласия успевает отстреляться рекламно-конверсионный слой: Google Ads (конверсия и ccm/collect с 3970 мс), DoubleClick Floodlight (активность конверсий с 4830 мс), Microsoft Bing UET (действия и insights с 4524 мс) и аффилиат-трекер Impact (4582 мс). Это рекламные и конверсионные цели, требующие согласия, и здесь они срабатывают до него.

Хронология утечки

2454–2531 мс · сборщик тегов и механизм согласия
Загружаются Google Tag Manager (2454 мс) и механизм согласия Didomi (sdk.privacy-center.org, 2531 мс). Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.
3970–4827 мс · конверсии Google Ads
Google Ads отправляет конверсионные обращения: ccm/collect (с 3970 мс) и конверсию (4805 мс). Это рекламно-конверсионная цель, и она отрабатывает до согласия.
4524–5146 мс · Microsoft Bing UET
Загружается Microsoft Bing UET (bat.bing.com, 4524 мс) и отправляет действия и insights (bat.bing.net, действие на 4844 мс). Это рекламное отслеживание конверсий, до согласия.
4582 мс · аффилиат-трекер Impact
Загружается скрипт аффилиат-трекинга Impact (utt.impactcdn.com). Это маркетинговая цель, до согласия.
4830–13242 мс · DoubleClick Floodlight
DoubleClick Floodlight отправляет активность конверсий (ade.googlesyndication.com, ddm/activity на 4830 мс и 13213 мс). Это рекламно-конверсионная цель, до согласия.
согласие зафиксировано на 33580 мс; основной стек и GA4 — после, но рекламные конверсии отработали раньше
Механизм согласия Didomi присутствует, решение «принять» фиксируется на 33580 мс, после чего поднимается основной рекламный стек, а GA4 шлёт первое событие на 35022 мс (сигнал gcs=G111). Но конверсии Google Ads, Floodlight, Bing UET и аффилиат-трекер Impact к этому моменту уже отработали — до согласия.

Декларация против факта

Реклама и маркетинг — за согласием (privacy-заявление) — заявлен
Bing UET, Google Ads, DoubleClick Floodlight, Impact — заявлены в cookie-политике — заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.decathlon.nl — нидерландский сайт Decathlon, крупной международной сети спортивных товаров (каталог, личный кабинет, программа лояльности). Контролёр данных — Decathlon. Сайт коммерческий.

Замер: 306 обращений к 49 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Рекламно-аналитический стек обширный. На сайте есть механизм согласия Didomi (через рамку IAB TCF). Обращения к edge.microsoft.com — это встроенный перевод страницы в браузере Edge, а не трекинг сайта.

Кто получает данные

Напрямую до согласия: Google (Ads/DoubleClick), Microsoft (Bing), Impact.

Google Ads отправляет конверсионные обращения (pagead2.googlesyndication.com), DoubleClick Floodlight — активность конверсий (ade.googlesyndication.com), Microsoft Bing UET — действия и insights (bat.bing.com, bat.bing.net), а аффилиат-трекер Impact (utt.impactcdn.com) загружает свой скрипт. Всё это до согласия.

Основной же рекламный стек — DoubleClick, Facebook, TikTok, Pinterest, рекламные биржи (Criteo через rt.udmserve, Rubicon, AppNexus, Teads), Contentsquare (тепловые карты и поведение), Medallia (опросы), igodigital, beslist, y-track — поднимается только после согласия. Сам Google Analytics 4 также отправляет события лишь после согласия. Из технического — мониторинг Datadog.

Был ли баннер согласия

Да, на сайте есть механизм согласия Didomi, работающий через рамку IAB TCF. И основная часть устроена правильно: решение «принять» фиксируется на 33580 мс, и только после этого поднимается основной рекламный стек, а GA4 шлёт первое событие (35022 мс, сигнал согласия gcs=G111 — обе категории разрешены). Это показывает, что гейтинг по согласию в принципе работает.

Узловой момент в том, что рекламно-конверсионный слой отработал раньше: конверсии Google Ads (с 3970 мс), Floodlight (с 4830 мс), Bing UET (с 4524 мс) и аффилиат-трекер Impact (4582 мс) ушли до согласия.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

  • Google Ads — ccm/collect и конверсия (с 3970 мс);
  • DoubleClick Floodlight — активность конверсий (с 4830 мс);
  • Microsoft Bing UET — действия и insights (с 4524 мс);
  • аффилиат-трекер Impact — загрузка скрипта (4582 мс);
  • сборщик тегов и механизм согласия — функциональные.

Сборщик тегов и сам механизм согласия претензий не вызывают. Претензия — к рекламно-конверсионному слою: это маркетинговые цели, и они контактируют с рекламными сетями до выбора пользователя.

Почему это нарушение, хотя основной стек ждёт согласия

Это важно для понимания. Decathlon выстроил согласие правильно для большей части стека: десятки рекламных и аналитических средств честно дожидаются нажатия «принять», и даже Google Analytics не шлёт событий до согласия. Это выгодно отличает сайт. Но рекламные конверсии Google Ads, активность DoubleClick Floodlight, Microsoft Bing UET и аффилиат-трекер Impact выставлены так, что срабатывают раньше выбора. Cookie-политика Decathlon сама относит эти средства к рекламной категории за согласием, а privacy-заявление прямо обусловливает таргетированную рекламу и маркетинг согласием. Запуск этих конверсий до согласия противоречит и правилу, и собственным документам сайта.

Вывод

Decathlon.nl — случай, когда согласие выстроено правильно для основного стека, но рекламно-конверсионный слой выбивается. В пользу сайта то, что десятки рекламных и аналитических средств дожидаются нажатия «принять», а Google Analytics не шлёт событий до согласия. Но конверсии Google Ads, активность DoubleClick Floodlight, Microsoft Bing UET и аффилиат-трекер Impact отрабатывают до согласия, при том что собственные документы Decathlon относят рекламу к обработке по согласию. Главное, что должен вынести читатель: достаточно перевести рекламные конверсии и аффилиат-трекинг в режим ожидания согласия — так же, как это уже сделано для основного стека и Google Analytics, — чтобы конфигурация стала чистой.

Доказательство
Оригинал (разбор)
HAR-файл: nl/decathlon-nl-2026-06-23.har
SHA-256: 47804f72c5b97883b4a97b768642efa47963ba14f89e3bf25d93390d5f8e84c1
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом decathlon.nl.

2. Обстоятельства
Я посетил сайт decathlon.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 23.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть полноценный механизм согласия (Didomi, через TCF), и устроен он во многом правильно: основной рекламный стек — DoubleClick, Facebook, TikTok, Pinterest, биржи Criteo/Rubicon/AppNexus/Teads, Contentsquare, Medallia — поднимается только после того, как пользователь нажимает «принять» (согласие фиксируется на 33580 мс), и сам Google Analytics 4 отправляет первое событие лишь после согласия (35022 мс, сигнал gcs=G111). Это в пользу сайта. Однако ещё до согласия успевает отстреляться рекламно-конверсионный слой. Google Ads отправляет конверсионные обращения (ccm/collect на 3970 мс, конверсия на 4805 мс). DoubleClick Floodlight отправляет активность конверсий (ade.googlesyndication, ddm/activity на 4830 мс и 13213 мс). Microsoft Bing UET загружается и отправляет действия и insights (bat.bing на 4524 мс, действие на bat.bing.net на 4844 мс). Аффилиат-трекер Impact загружается на 4582 мс. Все эти цели — рекламные и конверсионные, требующие согласия по art. 11.7a Telecommunicatiewet и Art. 6(1)(a) GDPR. Cookie-политика Decathlon сама относит эти средства к рекламной категории за согласием, а privacy-заявление прямо обусловливает таргетированную рекламу и маркетинг-персонализацию согласием — то есть площадка признаёт согласие основанием, но рекламные конверсии отрабатывают до него.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/decathlon-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и art. 11.7a Telecommunicatiewet — рекламные конверсии и трекеры срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]