ما هو CNIL وكيف نلتزم به؟

في 1 أكتوبر 2020 ، نشرت هيئة حماية البيانات الفرنسية (CNIL) نسخة منقحة من إرشاداتها لعام 2019 بشأن ملفات تعريف الارتباط والتقنيات المماثلة. تم نشر النسخة المنقحة لمراعاة لائحة اللائحة العامة لحماية البيانات (GDPR) على ملفات تعريف الارتباط أيضًا.

CNIL أو اللجنة الوطنية للمعلوماتية والحريات (اللجنة الوطنية للمعلوماتية والحرية) هي هيئة تنظيمية إدارية فرنسية تتمتع بصلاحية إنفاذ قوانين حماية البيانات في فرنسا. CNIL هي المسؤولة عن تطبيق جميع القوانين الثلاثة التالية في الدولة.

• قانون حماية البيانات الفرنسي
• اللائحة العامة لحماية البيانات
• توجيه بشأن الخصوصية الإلكترونية

كما أنها تتمتع بصلاحية تلقي الشكاوى وإصدار غرامات لمخالفة القوانين.

إذا كان عملك يقع في أي من الفئات التالية ، فأنت مطالب بالامتثال له.

• يقع مقرها في فرنسا والأقاليم الفرنسية في الخارج
• يجمع و / أو يعالج البيانات الشخصية للمواطنين والمقيمين في فرنسا والأقاليم الفرنسية في الخارج

هذه هي نفس مبادئ التطبيق كما في اللائحة العامة لحماية البيانات (GDPR).

يجب على المستخدم السماح بالموافقة بإجراء إيجابي واضح (مثل النقر على "أوافق" على لافتة ملف تعريف الارتباط). لا يمكن اعتبار تقاعس المستخدم أو التمرير أو التصفح المستمر ، وما إلى ذلك ، بمثابة موافقة ولا يجب وضع ملفات تعريف ارتباط بخلاف الملفات الضرورية في جهاز المستخدمين حتى يتم الحصول على موافقة صريحة.

يجب أن يكون المستخدمون قادرين على رفض ملفات تعريف الارتباط بنفس السهولة التي قبلوها بها في المقام الأول.

يجب أن يكون المستخدمون قادرين على سحب موافقتهم على ملفات تعريف الارتباط بسهولة وفي أي وقت.

يجب إبلاغ المستخدمين بوضوح بأغراض ملفات تعريف الارتباط قبل الموافقة ، بالإضافة إلى عواقب قبول ملفات تعريف الارتباط أو رفضها.

يجب أن تقدم الشركات التي تسعى للحصول على الموافقة لملفات تعريف الارتباط ، في أي وقت ، دليلًا على المجموعة الصالحة للموافقة الحرة والمستنيرة والمحددة والتي لا لبس فيها للمستخدم.

فيما يلي رسم بياني يعطيك فكرة سريعة عن متطلبات الامتثال بموجب CNIL.

لكل من CNIL و GDPR متطلبات مماثلة عندما يتعلق الأمر بالسعي للحصول على موافقة من المستخدمين على عرض ملفات تعريف الارتباط. هم كما هو مبين أدناه.

• يجب إعطاء الموافقة بحرية. يجب أن يكون للمستخدم الحرية في اختيار الموافقة على ملفات تعريف الارتباط أم لا.

• يجب أن تكون الموافقة محددة. يجب عليك الحصول على موافقة لكل غرض من أغراض جمع البيانات. هذا يعني أنك إذا حصلت على موافقة لأغراض التحليل ، فأنت بحاجة إلى موافقة جديدة لجمع البيانات لأغراض التسويق.

• يجب أن يكون طلب الموافقة على علم جيد. هذا يعني أنه يجب عليك إبلاغ المستخدم بممارسات الخصوصية الخاصة بك في لحظة تقديم الطلب. إخبارهم بأنك تستخدم ملفات تعريف الارتباط وتقديم رابط لسياسة الخصوصية الخاصة بك هو ممارسة جيدة يجب القيام بها.

• يجب أن تكون الموافقة لا لبس فيها. يجب عليك إظهار زر قبول ورفض. لا يكفي إظهار زر "قبول" فقط. يجب أن يكون المستخدم قادرًا على اتخاذ إجراءات إيجابية على موقع الويب الخاص بك.

على الرغم من أن طلب الموافقة الصريحة ضروري بموجب CNIL ، إلا أنه يعفي بعض ملفات تعريف الارتباط للسماح بها دون موافقة المستخدمين. فيما يلي قائمة ملفات تعريف الارتباط المستثناة من جمع الموافقة.

• ملفات تعريف الارتباط المخصصة للمصادقة مع خدمة
• ملفات تعريف الارتباط المستخدمة لتذكر عناصر سلة التسوق على موقع التجارة الإلكترونية
• تهدف بعض ملفات تعريف الارتباط إلى إنشاء إحصاءات حركة المرور
• تسمح ملفات تعريف الارتباط للمواقع المدفوعة بتقييد الوصول المجاني إلى عينة من المحتوى الذي يطلبه المستخدمون
• ملفات تعريف الارتباط التي تخزن اختيار موافقة المستخدمين
• ملفات تعريف الارتباط لتخصيص واجهة المستخدم
• ملفات تعريف ارتباط تفضيلات اللغة

تعتبر CNIL أن الموافقة يجب أن تأتي حصريًا من فعل إيجابي. لذلك ، يجب فهم أي تقاعس عن العمل على أنه رفض لاستخدام ملفات تعريف الارتباط.

فيما يلي حالتان حيث يمكنك تعيين ملفات تعريف الارتباط على أجهزة المستخدمين.

• أعرب المستخدم عن موافقته على ملفات تعريف الارتباط
• تنتمي ملفات تعريف الارتباط إلى الفئة المستثناة (كما هو مذكور في القسم أعلاه)

من حيث المبدأ ، من الضروري الاحتفاظ بالخيارات التي عبر عنها المستخدم ، سواء كانت موافقته أو رفضه. وبالتالي ، أثناء تصفح موقع الويب ، لن يضطروا إلى إعادة صياغة اختيارهم من صفحة إلى أخرى.

بشكل عام ، يوصى بحفظ الخيار الذي عبر عنه مستخدم الإنترنت حتى لا يطلبه مرة أخرى لفترة معينة.

يجب تقييم فترة الاحتفاظ بالخيارات على أساس كل حالة على حدة (فيما يتعلق بطبيعة الموقع الإلكتروني أو التطبيق المعني وخصوصيات جمهوره). بشكل عام ، من الممارسات الجيدة الاحتفاظ بالاختيارات لمدة 6 أشهر.

جدران ملفات تعريف الارتباط هي تصميمات مواقع الويب التي تتطلب من المستخدم قبول ملفات تعريف الارتباط قبل التمكن من الوصول إلى محتويات الموقع. بينما تحظر إرشادات عام 2019 تمامًا استخدام جدران ملفات تعريف الارتباط. نتيجة لقرار محكمة فرنسية ضد القانون ، قامت CNIL بتحرير إرشاداتها لتوضيح أنه يجب تقييم قانونية جدران ملفات تعريف الارتباط على أساس كل حالة على حدة.

في حالة استخدام جدار ملفات تعريف الارتباط ، يجب إخطار المستخدم بوضوح أنه من المستحيل الوصول إلى المحتوى دون موافقة. بخلاف ذلك ، يجب أن يختفي جدار ملف تعريف الارتباط أو الشعار قريبًا ، لذلك لا يتداخل مع وصول المستخدم إلى المحتوى أو يؤثر بطريقة أخرى على الموافقة.

قدمت CNIL كلاً من المبادئ التوجيهية والتوصيات. تُعلمك إرشادات CNIL بشأن ملفات تعريف الارتباط وأدوات التتبع الأخرى بالقانون المعمول به أثناء تفاعل المستخدم مع الإنترنت عبر واجهة الهاتف الذكي أو الكمبيوتر أو الجهاز اللوحي ، إلخ.

تهدف التوصية إلى توجيه المهنيين المعنيين في عملية الامتثال الخاصة بهم. يقدم أمثلة على الأساليب العملية للحصول على الموافقة وفقًا للقواعد المعمول بها ولكن أيضًا لتلبية المتطلبات المنصوص عليها في المادة 82 من قانون حماية البيانات.

تصدر CNIL غرامة ضد منظمة في حالة انتهاك القانون العام لحماية البيانات (GDPR) أو قانون حماية البيانات الفرنسي بطريقتين.

• بعد شكوى أو تقرير انتهاك إلى CNIL
• بعد تحقيق أجرته CNIL

في كلتا الحالتين ، قد يعين رئيس CNIL مقررًا من بين مفوضي CNIL ، باستثناء أعضاء اللجنة المقيدة ، والإحالة إلى اللجنة المقيدة. وتتألف اللجنة المقيدة من خمسة مفوضين من المجلس الوطني لنواب الشعب الصيني ورئيس منتخب من بينهم.

يتم إبلاغ المنظمة المتورطة ، ويتم تبادل الوثائق خلال الإجراء الكتابي بين المقرر والمنظمة. ثم تستلم اللجنة المقيدة جميع المستندات.

أثناء الإجراء ، يمكن الاستماع إلى المنظمة المتهمة إذا رأى المقرر أنها مفيدة. في هذه الحالة ، سيؤيد تقرير مكتوب جلسة الاستماع.

يمكن أن تكون العقوبة نقدية أو غير نقدية. من الناحية المالية ، ستضطر الشركة أو المنظمة المتهمة إلى دفع مبلغ يصل إلى 4٪ من إجمالي المبيعات العالمية أو ما يصل إلى 20 مليون جنيه إسترليني ، أيهما أكبر. في الشروط غير النقدية ، سيكون هناك تحذير أو أمر قضائي بدفع غرامة دورية ، إلخ.

كما أعلنت ، تقدر أن الموعد النهائي للامتثال للقواعد الجديدة (التي تم نشرها في 1 أكتوبر) يجب ألا يتجاوز ستة أشهر ، أي بنهاية مارس 2021 على أبعد تقدير.

ستقوم CNIL بعد ذلك بإجراء عمليات تدقيق وتنفيذ إجراءات الإنفاذ. كما هو الحال دائمًا ، يجب على المشغلين أيضًا التأكد من امتثالهم لكل من توجيه الخصوصية الإلكترونية واللائحة العامة لحماية البيانات.

يمكنك تسهيل رحلة امتثال CNIL لموقع الويب الخاص بك على WordPress بمساعدة ملف تعريف الارتباط CookieYes GDPR Cookie Consent and Compliance Notice Notice Notice Notice. يجعل المكون الإضافي إدارة ملفات تعريف الارتباط أمرًا سهلاً من خلال مجموعة ميزاته القوية.

يوفر لك البرنامج المساعد الميزات التالية.

• فحص ملفات تعريف الارتباط التلقائي - يقوم المكون الإضافي تلقائيًا بمسح موقع الويب الخاص بك بحثًا عن ملفات تعريف الارتباط.
• شعار الموافقة على ملفات تعريف الارتباط - يمكنك إنشاء شعار الموافقة وتخصيصه لتلبية المتطلبات المذكورة في إرشادات القوانين.
• خيار الموافقة الدقيقة - اطلب موافقة صريحة على ملفات تعريف الارتباط عن طريق إبلاغ المستخدمين فيما يتعلق باستخدام كل نوع من أنواع ملفات تعريف الارتباط على موقع الويب الخاص بك.
• سجل الموافقة على ملفات تعريف الارتباط - سجل موافقة المستخدمين بالبيانات ذات الصلة مثل ملفات تعريف الارتباط التي تمت الموافقة عليها والتاريخ والوقت وما إلى ذلك.
• الحظر التلقائي للبرامج النصية - يمكنك تمكين حظر البرامج النصية لملفات تعريف الارتباط من المكونات الإضافية والخدمات التابعة لجهات خارجية
• مُنشئ سياسة الخصوصية - يمكنك إنشاء سياسة خصوصية / ملفات تعريف الارتباط بسهولة من البداية.

في أعقاب مجموعة الإرشادات الجديدة التي وضعتها CNIL ، لم يتبق لديك وقت طويل للامتثال لها. لذا ابدأ رحلة الامتثال اليوم مع البرنامج الإضافي CookieYes الخاص بملف تعريف الارتباط الخاص بالموافقة على ملف تعريف الارتباط وإشعار الامتثال.