Технический аудит · 2026-06-20

leroymerlin.it

Магазин товаров для дома и ремонта

Leroymerlin.it — сеть магазинов товаров для дома и ремонта. Замер главной страницы: 158 обращений, 17 доменов. Стоит платформа сбора согласия OneTrust, а рекламно-аналитический слой Google держится в режиме «согласие не дано» — это в пользу сайта. Но до согласия отрабатывает собственный трекинг головной группы Adeo: он шлёт событие просмотра страницы и, главное, данные тепловой карты — фиксацию поведения пользователя на странице. Параллельно до согласия загружаются платформа клиентских данных Tealium и мониторинг сессий Datadog. При этом собственная политика сайта прямо относит и статистическую аналитику, и профилирование к обработке по согласию — то есть площадка сама объявляет согласие обязательным, а поведенческая слежка стартует раньше него.

Хронология утечки

501–790 мс · сторонний медиа-CDN

Загружаются изображения со стороннего медиа-CDN. Это статические картинки, без трекинга, но домен сторонний.

1459 мс · платформа клиентских данных Tealium

Загружается Tealium — платформа клиентских данных и управления тегами, которая оркеструет сбор и распределение данных. Это происходит до согласия.

1510 мс · мониторинг сессий Datadog

Подключается мониторинг реальных сессий Datadog. Помимо технических метрик он фиксирует взаимодействие пользователя для анализа производительности.

1569 мс · собственный трекинг Adeo

Загружается собственный трекинг головной группы Adeo (сервис Optimeeze). Это подготовка к сбору поведенческих данных.

1987–3655 мс · платформа согласия OneTrust

Загружается платформа сбора согласия OneTrust. Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.

3701 мс · событие просмотра (статистика)

Трекинг Adeo отправляет событие просмотра страницы. По собственной политике сайта статистическая аналитика требует согласия — а оно ещё не дано.

около 18 секунд · тепловая карта поведения

Трекинг Adeo отправляет данные тепловой карты — фиксацию поведения пользователя на странице. Это поведенческое наблюдение, и оно отрабатывает примерно одновременно с фиксацией согласия, а не после явного выбора.

Декларация против факта

+ Optimeeze (Adeo) — не заявлен

+ Tealium — не заявлен

+ Datadog — не заявлен

Зафиксированные трекеры

Трекинг Adeo (Optimeeze, тепловые карты)
Tealium (CDP)
Datadog RUM
Google (denied-режим)
Caast.tv
OneTrust

Зафиксированные нарушения

Art. 6(1)(a) GDPR — статистика и поведенческая тепловая карта срабатывают до согласия, вопреки собственной политике

На сайте стоит платформа сбора согласия OneTrust, и чек согласия в этом сеансе фиксируется примерно на 18-й секунде. Но ещё до него отрабатывает собственный трекинг головной группы Adeo (сервис Optimeeze): на 3,7 секунды он отправляет событие просмотра страницы, а к 18-й секунде — данные тепловой карты, то есть фиксацию поведения пользователя на странице (движения, внимание к блокам). Параллельно загружается платформа клиентских данных Tealium и мониторинг реальных сессий Datadog. Принципиально, что сама политика сайта прямо относит и статистическую аналитику, и профилирование к обработке на основании согласия (статья 6.1, буква a). То есть площадка сама объявляет согласие обязательным для этих целей — а статистика и поведенческая тепловая карта отрабатывают раньше него. Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано», что засчитываем сайту, но собственный поведенческий трекинг группы этого режима не придерживается.

Контекст

www.leroymerlin.it — сеть гипермаркетов товаров для дома, строительства и ремонта (головная группа Adeo). Контролёр данных — оператор Leroy Merlin. Сайт коммерческий: каталог, поиск, корзина, услуги, личный кабинет.

Замер: 158 обращений к 17 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек включает собственный трекинг головной группы, платформу клиентских данных и мониторинг сессий.

Кто получает данные

Тут были замечены: Adeo (Optimeeze), Tealium, Datadog.

Собственный трекинг группы Adeo (сервис Optimeeze) собирает событие просмотра страницы и данные тепловой карты — то есть фиксацию поведения пользователя. Tealium — платформа клиентских данных, оркеструющая сбор и распределение. Datadog — мониторинг реальных сессий. Рекламно-аналитический слой Google присутствует, но держится в режиме «согласие не дано». Дополнительно работают видео-сервис покупок Caast и сторонний медиа-CDN изображений.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия OneTrust, и чек согласия в сеансе фиксируется примерно на 18-й секунде. Но к этому моменту собственный трекинг группы уже отправил событие просмотра, а тепловая карта поведения уходит примерно одновременно с фиксацией согласия — то есть не после явного выбора.

Ключевое: собственная политика сайта прямо относит и статистическую аналитику, и профилирование к обработке на основании согласия. То есть площадка сама объявляет согласие обязательным условием — а эти сборы стартуют раньше него.

Что срабатывает до согласия

До фиксации согласия отрабатывает:

собственный трекинг Adeo — событие просмотра страницы (статистика);
собственный трекинг Adeo — данные тепловой карты (поведение пользователя);
платформа клиентских данных Tealium;
мониторинг сессий Datadog.

Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано» — без cookie и персонализации, и это засчитываем сайту. Но собственный поведенческий трекинг группы этого режима не придерживается: тепловая карта фиксирует поведение, а событие просмотра уходит задолго до согласия.

Расхождение с собственной политикой

Это узловой пункт. Политика сайта недвусмысленна: и статистическая аналитика производительности, и профилирование указаны как обработка на основании добровольного, отзывного согласия по статье 6.1, буква a. То есть документ сам устанавливает, что эти цели требуют согласия. А по замеру и статистическое событие просмотра, и поведенческая тепловая карта отрабатывают до фиксации согласия. Получается, что сайт нарушает условие, которое сам же для себя сформулировал.

Вывод

Leroymerlin.it — коммерческий случай со смешанной картиной. В пользу сайта то, что рекламно-аналитический слой Google держится в режиме «согласие не дано». Но собственный трекинг головной группы отрабатывает до согласия: отправляет событие просмотра и снимает тепловую карту поведения пользователя, а рядом до согласия загружаются платформа клиентских данных и мониторинг сессий. И всё это — притом что политика сайта прямо относит статистику и профилирование к обработке по согласию. Главное, что должен вынести читатель: когда площадка сама объявляет согласие основанием для аналитики и профилирования, запуск этих сборов раньше согласия — это расхождение не с абстрактным правилом, а с собственным обещанием сайта. Достаточно перевести собственный трекинг в режим ожидания согласия, как это уже сделано для слоя Google."

Доказательство

Оригинал (разбор)

HAR-файл: it/leroymerlin-it-2026-06-20.har

SHA-256: 59aaf439a5cff81c99090453399a096f5497b7494d2d44d7b564a17dcfc9964d

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом leroymerlin.it.

2. Обстоятельства
Я посетил сайт leroymerlin.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия OneTrust, и чек согласия в этом сеансе фиксируется примерно на 18-й секунде. Но ещё до него отрабатывает собственный трекинг головной группы Adeo (сервис Optimeeze): на 3,7 секунды он отправляет событие просмотра страницы, а к 18-й секунде — данные тепловой карты, то есть фиксацию поведения пользователя на странице (движения, внимание к блокам). Параллельно загружается платформа клиентских данных Tealium и мониторинг реальных сессий Datadog. Принципиально, что сама политика сайта прямо относит и статистическую аналитику, и профилирование к обработке на основании согласия (статья 6.1, буква a). То есть площадка сама объявляет согласие обязательным для этих целей — а статистика и поведенческая тепловая карта отрабатывают раньше него. Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано», что засчитываем сайту, но собственный поведенческий трекинг группы этого режима не придерживается.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/leroymerlin-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — статистика и поведенческая тепловая карта срабатывают до согласия, вопреки собственной политике

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]