CNILとは何ですか?それを遵守する方法は?

公開: 2021-03-26

2020年10月1日、フランスのデータ保護局(CNIL)は、Cookieおよび同様のテクノロジーに関する2019年のガイドラインの改訂版を公開しました。 改訂版は、CookieのGDPR規制も考慮して公開されました。

CNILとは何ですか?

CNILまたはCommissionNationale de l'informatique et des libertes(National Commission on Informatics and Liberty)は、フランスのデータ保護法を施行する権限を持つフランスの行政規制機関です。 CNILは、国内で以下の3つの法律すべてを施行する責任があります。

  • フランスのデータ保護法
  • GDPR
  • eプライバシー指令

また、苦情を受け取り、法律違反に対して罰金を科す権限もあります。

誰がCNILの対象になりますか?

あなたのビジネスが以下のカテゴリーのいずれかに該当する場合、あなたはそれに準拠する必要があります。

  • フランスと海外のフランス領に拠点を置いています
  • フランスおよび海外のフランス領の市民および居住者の個人データを収集および/または処理します

これらは、GDPRと同じ適用原則です。

CNILの下でのCookieコンプライアンスの要件は何ですか?

明示的なユーザーの同意

ユーザーは、明確な肯定的な肯定的なアクション(Cookieバナーの[同意する]をクリックするなど)で同意を許可する必要があります。 ユーザーの不作為、スクロールまたは継続的な閲覧などは同意とみなすことはできず、明示的な同意が得られるまで、必要なもの以外のCookieをユーザーのデバイスに入れてはなりません。

クッキーを拒否するオプション

ユーザーは、最初にCookieを受け入れたのと同じくらい簡単にCookieを拒否できる必要があります。

同意を撤回するオプション

ユーザーは、いつでも簡単にCookieの同意を取り消すことができる必要があります。

クッキーの目的

ユーザーは、同意する前に、Cookieの目的と、Cookieを受け入れるか拒否するかの結果を明確に通知する必要があります。

同意の証明

Cookieの同意を求める企業は、いつでも、ユーザーの無料の、情報に基づいた、具体的で明確な同意の有効なコレクションの証拠を提供する必要があります。

以下は、CNILの下でのコンプライアンス要件の簡単なアイデアを提供するインフォグラフィックです。

CNILの下でCookieの同意を求める方法は?

Cookieのレンダリングについてユーザーの同意を求める場合、CNILとGDPRの両方に同様の要件があります。 以下のとおりです。

  • 同意は自由に与えられなければなりません。 ユーザーは、Cookieに同意するかどうかを自由に選択できる必要があります。
  • 同意は具体的でなければなりません。 データ収集の目的ごとに同意を得る必要があります。 これは、分析目的で同意を得た場合、マーケティング目的でのデータ収集について新たな同意が必要であることを意味します。
  • 同意要求は十分な情報に基づいている必要があります。 これは、リクエストの時点でプライバシー慣行をユーザーに通知する必要があることを意味します。 Cookieを使用していることを通知し、プライバシーポリシーへのリンクを提示することをお勧めします。
  • 同意は明確でなければなりません。 ACCEPTおよびREJECTボタンを表示する必要があります。 ACCEPTボタンだけを表示するだけでは不十分です。 ユーザーはあなたのウェブサイトで肯定的な行動を取ることができるはずです。

CNILによる同意の収集から免除されたCookie

CNILの下では明示的な同意を求める必要がありますが、ユーザーの同意なしに許可される特定のCookieを免除します。 以下は、同意の収集から免除されたCookieのリストです。

  • サービスによる認証を目的としたCookie
  • eコマースサイトのカートアイテムを記憶するために使用されるCookie
  • トラフィック統計を生成することを目的とした特定のCookie
  • 有料サイトがユーザーから要求されたコンテンツのサンプルへの無料アクセスを制限できるようにするCookie
  • ユーザーの同意の選択を保存するCookie
  • ユーザーインターフェイスのカスタマイズCookie
  • 言語設定Cookie

ユーザーの沈黙はCNILの下でどのように解釈されるべきですか?

CNILは、同意はもっぱら前向きな行動からもたらされるべきであると考えています。 したがって、何もしないことは、Cookieの使用を拒否するものとして理解する必要があります。

以下は、ユーザーのデバイスにCookieを設定できる2つのケースです。

  • ユーザーがCookieに同意したこと
  • クッキーは免除されたカテゴリーに属します(上記のセクションにリストされているように)

CNILの下で同意の更新を求めるのはいつですか?

原則として、ユーザーの同意であろうと拒否であろうと、ユーザーが表明した選択を維持する必要があります。 したがって、ウェブサイトを閲覧している間、彼らはページからページへと彼らの選択を再定式化する必要はありません。

したがって、一般的には、インターネットユーザーが表明した選択を保存して、一定期間再度要求しないようにすることをお勧めします。

選択肢の保持期間は、ケースバイケースで評価する必要があります(関連するWebサイトまたはアプリケーションの性質とその対象者の特異性に関して)。 一般に、選択を6か月間保持することをお勧めします。

クッキーウォールに関するCNILの発言とは何ですか?

クッキーウォールは、ユーザーがウェブサイトのコンテンツにアクセスする前にクッキーを受け入れることを要求するウェブサイトのデザインです。 2019年のガイドラインでは、Cookieの壁の使用は完全に禁止されています。 フランスの法廷での判決の結果、CNILはガイドラインを編集し、Cookieの壁の合法性をケースバイケースで評価する必要があると述べました。

Cookieウォールを使用する場合は、同意なしにコンテンツにアクセスすることは不可能であることをユーザーに明確に通知する必要があります。 それ以外の場合は、Cookieの壁またはバナーがすぐに消えて、ユーザーのコンテンツへのアクセスを妨げたり、ユーザーの同意を妨げたりすることはありません。

CNILガイドラインと推奨事項の違いは何ですか?

CNILはガイドラインと推奨事項の両方を提案しています。 クッキーおよびその他のトレーサーに関するCNILガイドラインは、ユーザーがスマートフォン、コンピューター、タブレットなどのインターフェースを介してインターネットと対話する際に適用される法律を通知します。

この推奨事項は、コンプライアンスプロセスに関係する専門家をガイドすることを目的としています。 これは、適用される規則に従って同意を取得するだけでなく、データ保護法の第82条に定められた要件を満たすための実際的な方法の例を提供します。

コンプライアンス違反の結果はどのようなものであり、どのように実装されますか?

CNILは、GDPRまたはフランスのデータ保護法に2つの方法で違反した場合、組織に対して罰金を科します。

  • CNILへの苦情または違反の報告に続いて
  • CNILによって実施された調査に続いて

どちらの場合も、CNILの議長は、制限された委員会のメンバーを除いて、CNILのコミッショナーの中から報告者を任命し、制限された委員会を参照することができます。 制限された委員会は、5人のCNILの委員とその中から選出された委員長で構成されています。

告発された組織に通知され、報告者と組織の間で書面による手続き中に文書が交換されます。 その後、制限された委員会はすべての文書を受け取ります。

手続き中に、報告者がそれが有用であると考える場合、罪を犯した組織が聞かれる可能性があります。 この場合、書面による報告が聴聞会を確認します。

ペナルティは、監視または非監視の場合があります。 監視の観点から、犯罪を受けた企業または組織は、全世界の総売上高の最大4%または最大2,000万ポンドのいずれか大きい方を支払うことを余儀なくされます。 非監視の用語では、警告、定期的なペナルティ支払いの差し止めなどがあります。

CNILはいつ施行されますか?

発表されたように、新しい規則(10月1日に公開された)の遵守期限は、遅くとも2021年3月末までに6か月を超えてはならないと見積もっています。

その後、CNILは監査を実施し、執行措置を講じます。 いつものように、オペレーターは、eプライバシー指令と一般データ保護規則の両方に準拠していることも確認する必要があります。

CNILに簡単に準拠する方法は?

CookieYes GDPR Cookie Consent and Compliance Noticeプラグインを使用すると、WordPressWebサイトのCNILコンプライアンスジャーニーを簡単にすることができます。 プラグインは、その強力な機能セットでCookieの管理を容易にします。

プラグインは次の機能を提供します。

  • 自動Cookieスキャン–プラグインはWebサイトのCookieを自動的にスキャンします。
  • Cookie同意バナー–法律のガイドラインに記載されている要件を満たすように、同意バナーを作成およびカスタマイズできます。
  • きめ細かい同意オプション– Webサイトでの各タイプのCookieの使用についてユーザーに通知することにより、Cookieの明示的な同意を求めます。
  • Cookieの同意ログ–同意したCookie、日付、時刻などの関連データを使用して、ユーザーの同意を記録します。
  • 自動スクリプトブロック–サードパーティのプラグインおよびサービスからのCookieのスクリプトブロックを有効にできます
  • プライバシーポリシージェネレーター–プライバシー/ Cookieポリシーを最初から簡単に生成します。

結論

CNILによって発表された新しい一連のガイドラインをきっかけに、それを遵守するのにそれほど長くは残っていません。 それでは、CookieYes GDPR Cookie Consent and Compliance Noticeプラグインを使用して、今日からコンプライアンスの旅を始めましょう。