Cnil рекомендації щодо печива або рецепт успіху

Юридичний обов'язок. Стаття 32-II закону від 6 січня 1978 року є однозначною, за деякими винятками файли cookie або інші індикатори не можна розміщувати або читати на терміналі користувача Інтернету, якщо останній не дав на це згоди. заздалегідь (1) .

Отже, контролери даних, які використовують файли cookie або інші індикатори, повинні:

• повідомити користувача заздалегідь;
• отримати попередню згоду.

Як виняток, це юридичне зобов'язання не поширюється на файли cookie, метою яких є надання або сприяння електронному спілкуванню, суворо необхідне для надання послуги, прямо запитуваної користувачем.

Рекомендація Cnil. Після публікації 26 квітня 2012 р. Практичного аркуша під назвою "Що Пакет телекомунікацій змінюється на файли cookie" (2), в якому CNIL вказав засоби, які слід застосувати для виконання цього зобов'язання, і через 2 місяці консультацій з гравцями в секторі, такими як UFMD, Fevad та UDA, 5 грудня 2013 року Cnil зробив рекомендацію щодо файлів cookie та інших індикаторів, згаданих у вищезазначеній статті (3), і опублікував це після 16 грудня минулого року стаття під назвою "Рекомендації щодо файлів cookie: які зобов'язання для менеджера сайту, які поради для користувача Інтернету? "(4) .

У цій рекомендації CNIL має намір згадати всі принципи, яких слід дотримуватися в контексті використання файлів cookie або інших індикаторів, щоб контролери даних, які їх використовують, відповідали статті 32-II закону від 6 січня 1978 року. Як такий, CNIL визначає обсяг зобов'язання та деталізує засоби, які мають бути застосовані для його виконання.

Яке печиво ? CNIL вказує, що це зобов'язання стосується використання всіх форм доступу та реєстрації в терміналі, будь то файли cookie або будь-які інші поточні чи майбутні технології, що дозволяють це. CNIL зазначає, що зобов'язання також поширюється на файли cookie або інші індикатори, які не збирають персональні дані у значенні Закону про захист даних; що є найменш дивовижним, оскільки це положення включено до Закону про захист даних, який конкретно стосується персональних даних.

Звільнені файли cookie. У той же час у своїй статті "Рекомендації щодо файлів cookie: які зобов'язання для менеджера сайту, які поради для користувача Інтернету? », CNIL визначає характер файлів cookie, звільнених від згоди. Таким чином, такі файли cookie розглядаються, зокрема, як файли cookie, метою яких є надання або полегшення електронного спілкування, суворо необхідне для надання послуги, прямо запитуваної користувачем:

• файли cookie "кошик покупок" для торгового сайту;
• файли cookie "ідентифікатора сеансу" на час сеансу або постійні індикатори, обмежені в деяких випадках кількома годинами;
• Файли cookie для автентифікації користувачів Інтернету;
• сесійні файли cookie, створені медіаплеєром;
• файли cookie сеансу балансування навантаження;
• постійні файли cookie для персоналізації інтерфейсу.

Файли cookie для вимірювання аудиторії. Крім того, CNIL підтверджує у своїй рекомендації (5) свою позицію щодо файлів cookie для вимірювання аудиторії та нагадує, що ці файли cookie можуть бути звільнені від обов'язку отримання попередньої згоди за таких умов:

• інформування користувача про використання цих файлів cookie;
• забезпечення легко використовуваного пристрою, що дозволяє користувачеві протистояти депонуванню цих файлів cookie на своєму терміналі;
• цілі цих файлів cookie обмежуються лише вимірюванням аудиторії переглянутого вмісту з метою оцінки опублікованого вмісту та ергономіки веб-сайту чи програми;
• зібрана IP-адреса не повинна дозволяти більш точну геолокацію, ніж місто, і повинна бути видалена або анонімізована після проведення геолокації;
• файли cookie повинні бути видалені не пізніше 13-го місяця після здачі на зберігання, а інформація, зібрана через нього, повинна зберігатися максимум 13 місяців.

Хто зобов’язаний ? Обов'язок заздалегідь повідомити користувача та отримати його попередню згоду поширюється на всіх контролерів даних, які застосовують файли cookie або інші маркери. Як такий, CNIL вказує, що це зобов'язання застосовується зокрема:

• всім видавцям сайтів, операційних систем, мобільних додатків;
• рекламні агентства;
• до соціальних мереж;
• редактори рішення для вимірювання аудиторії.

Як повідомити та отримати згоду ? Щодо умов встановлення обов'язку попередньої інформації користувача та отримання його попередньої згоди, CNIL зазначає, що просте прийняття загальних умов використання не є дійсним, і рекомендує двоетапну процедуру збору згоди:

1. Інформація про користувачів Інтернету, написана простими та зрозумілими словами, завдяки появі банера із зазначенням:

• цілі файлів cookie та інших трекерів, що використовуються сайтом;
• можливість виступу проти депонування печива або інших індикаторів на його терміналі;
• той факт, що продовження його навігації означає згоду на депонування кукі-файлів або інших індикаторів на своєму терміналі.

2. Інформація для користувача Інтернету, написана простими і зрозумілими умовами наданих йому рішень щодо прийняття або відмови від усіх або частково файлів cookie чи інших індикаторів за категоріями цілей, а також для всіх файлів cookie та індикаторів, що використовуються на сайті.

Крім того, CNIL вказує, що:

користувач, який відмовляється від файлів cookie, що вимагають згоди, повинен мати можливість продовжувати користуватися послугою;
користувач повинен мати можливість відкликати свою згоду в будь-який час.

Налаштування браузера. Крім того, CNIL також повертається в межах своєї рекомендації (6) щодо налаштування браузера як вираження згоди користувача і вказує, що він може розглядатися як такий лише у тому випадку, коли поєднані дві наступні умови:

• чи користувач міг змінити налаштування свого браузера, щоб прийняти чи відхилити файли cookie або інші маркери;
• і, якщо він був поінформований перед здачею на зберігання чи зчитуванням файлів cookie чи інших індикаторів, про їх цілі та засоби протидії.

Термін дії згоди. У своїй рекомендації (7) CNIL рекомендує шукати згоди користувача не пізніше кожних 13 місяців. Таким чином, Cnil вказує на те, що інформація, зібрана за допомогою файлів cookie або інших індикаторів, повинна зберігатися максимум протягом 13 місяців, починаючи з першого депозиту або першого зчитування на терміналі користувача.

Якщо до цих пір позиція CNIL мала говорити, що вона оцінить заходи з дотримання та зусилля, що застосовуються контролерами даних у разі контролю, не викликає сумнівів, що з цією рекомендацією його воля полягає в тому, щоб змусити суб'єктів виконувати з положеннями закону, що стосуються печива, якому зараз 2 роки (8).

Тим більше, що одночасно CNIL ввів кілька інструментів в Інтернет для контролерів даних, щоб підтримати їх у приведенні своїх веб-сайтів та мобільних додатків у відповідність.

Крім того, CNIL також зробив інструмент "Cookieviz" доступним для всіх користувачів Інтернету, що дозволяє в реальному часі ідентифікувати існування файлів cookie на відвіданому веб-сайті та їх роботу (9).

Крім того, враховуючи надані інструменти та пояснення, надані CNIL, контролери даних, які не виконують вимоги, більше не матимуть виправдання.

Ось чому, рекомендується включати в короткостроковій перспективі огляд політики щодо файлів cookie до дій, які будуть здійснені в пріоритеті в 2014 році. Більше того, якщо інструмент, розроблений Cnil і який можна безкоштовно завантажити, може бути ідентифікацією та інструмент відповідності для контролера даних, він також може бути чудовим інструментом, доступним для користувачів Інтернету для перевірки використання їх даних сайтом, який вони відвідують; що за відсутності інформації, що стосується файлів cookie, може мати дуже згубний вплив на зображення для відповідного веб-сайту.

Дії, які слід здійснити:

• ідентифікація використовуваних файлів cookie та трекерів;
• визначення їх призначення;
• визначення їх режиму;
• створення або оновлення інформаційного повідомлення щодо файлів cookie.

Селін Авіньйон
Анаїс Гімберт
Закон про електронний маркетинг Lexing

(1) Закон № 78-17 від 6-01-1978 із змінами, ст. 32-II
(2) Сайт Cnil, розділ документації - Практичні аркуші
(3) Кніл, Деліб. n ° 2013-378 від 5-12-2013
(4) Cnil, розділ Новини, стаття від 16-12-2013
(5) Кніл, Деліб. n ° 2013-378 від 5-12-2013 р., згадані вище
(6) Кніл, Деліб. n ° 2013-378 від 5-12-2013 р., згадані вище
(7) Кніл, Деліб. n ° 2013-378 від 5-12-2013 р., згадані вище
(8) Постанова № 2011-1012 від 24-8-2011 про електронні комунікації включила статтю 32-II до Закону про захист даних