Che cos'è la CNIL e come rispettarla?

Il 1° ottobre 2020, l'Autorità francese per la protezione dei dati personali (CNIL) ha pubblicato una versione rivista delle sue linee guida 2019 sui cookie e tecnologie simili. La versione rivista è stata pubblicata per tenere conto anche del regolamento GDPR sui cookie.

La CNIL o Commission Nationale de l'informatique et des libertes (Commissione nazionale per l'informatica e la libertà) è un organismo di regolamentazione amministrativa francese che ha il potere di far rispettare le leggi sulla protezione dei dati in Francia. La CNIL è responsabile dell'applicazione di tutte le tre leggi seguenti nel paese.

• Legge francese sulla protezione dei dati
• GDPR
• Direttiva ePrivacy

Ha anche il potere di ricevere denunce e di comminare sanzioni per violazione delle leggi.

Se la tua attività rientra in una delle seguenti categorie, sei tenuto a rispettarla.

• Ha sede in Francia e nei territori francesi d'oltremare
• Raccoglie e/o tratta dati personali di cittadini e residenti in Francia e territori francesi d'oltremare

Questi sono gli stessi principi di applicabilità del GDPR.

L'utente deve consentire il consenso con una chiara azione affermativa positiva (ad esempio facendo clic su "Accetto" su un cookie banner). L'inerzia dell'utente, lo scorrimento o il proseguimento della navigazione, ecc., non possono costituire un consenso e nessun cookie diverso da quello necessario deve essere inserito nel dispositivo dell'utente fino a quando non viene ricevuto il consenso esplicito.

Gli utenti dovrebbero essere in grado di rifiutare i cookie con la stessa facilità con cui li hanno accettati in primo luogo.

Gli utenti dovrebbero poter revocare il proprio consenso per i cookie facilmente e in qualsiasi momento.

Gli utenti devono essere chiaramente informati delle finalità dei cookie prima di acconsentire, insieme alle conseguenze dell'accettazione o del rifiuto dei cookie.

Le aziende che richiedono il consenso per i cookie dovrebbero fornire, in qualsiasi momento, prova della valida raccolta del consenso libero, informato, specifico e inequivocabile dell'utente.

Di seguito è riportata un'infografica che ti darà una rapida idea dei requisiti di conformità ai sensi della CNIL.

Sia CNIL che GDPR hanno requisiti simili quando si tratta di chiedere il consenso degli utenti alla trasmissione dei cookie. Sono come mostrato di seguito.

• Il consenso deve essere prestato liberamente. L'utente dovrebbe essere libero di scegliere se prestare o meno il consenso per i cookie.

• Il consenso deve essere specifico. È necessario ottenere il consenso per ogni finalità di raccolta dei dati. Ciò significa che se hai ottenuto il consenso per scopi di analisi, hai bisogno di un nuovo consenso per la raccolta dei dati per scopi di marketing.

• La richiesta di consenso deve essere ben informata. Significa che devi informare l'utente delle tue pratiche sulla privacy al momento della richiesta. Informarli che utilizzi i cookie e presentare loro un collegamento alla tua politica sulla privacy è una buona pratica da fare.

• Il consenso deve essere inequivocabile. Devi mostrare un pulsante ACCETTA e RIFIUTA. Mostrare solo il pulsante ACCETTA non è sufficiente. L'utente dovrebbe essere in grado di intraprendere un'azione affermativa sul tuo sito web.

Sebbene la richiesta di consenso esplicito sia necessaria ai sensi della CNIL, esenta l'autorizzazione di alcuni cookie senza il consenso degli utenti. Di seguito l'elenco dei cookie esentati dalla raccolta del consenso.

• Cookie destinati all'autenticazione con un servizio
• Cookie utilizzati per ricordare gli articoli del carrello su un sito di eCommerce
• Alcuni cookie hanno lo scopo di generare statistiche sul traffico
• Cookie che consentono ai siti a pagamento di limitare il libero accesso a un campione di contenuto richiesto dagli utenti
• Cookie che memorizzano la scelta del consenso degli utenti
• Cookie di personalizzazione dell'interfaccia utente
• Cookie di preferenza della lingua

La CNIL ritiene che il consenso debba provenire esclusivamente da un atto positivo. Pertanto, l'eventuale inerzia deve essere intesa come un rifiuto all'uso dei cookie.

Di seguito sono riportati i due casi in cui puoi impostare cookie sui dispositivi dei tuoi utenti.

• L'utente ha espresso il proprio consenso per i cookie
• I cookie appartengono alla categoria esentata (come elencata nella sezione precedente)

In linea di principio, è necessario mantenere le scelte espresse dall'utente, che si tratti del suo consenso o del suo rifiuto. Pertanto, durante la navigazione nel sito Web, non dovranno riformulare la loro scelta di pagina in pagina.

In generale, si raccomanda quindi di salvare la scelta espressa dall'utente Internet in modo da non richiederlo nuovamente per un certo periodo.

Il periodo di conservazione delle scelte dovrà essere valutato caso per caso (in relazione alla natura del sito web o dell'applicazione interessata e alle specificità del suo pubblico). In genere è buona norma mantenere le scelte per un periodo di 6 mesi.

I cookie wall sono progetti di siti Web che richiedono all'utente di accettare i cookie prima di poter accedere ai contenuti del sito Web. Mentre le linee guida del 2019 vietano completamente l'uso dei cookie wall. A seguito della sentenza del tribunale francese contro la legge, la CNIL ha modificato le sue Linee guida per affermare che la liceità dei cookie wall deve essere valutata caso per caso.

Se viene utilizzato un cookie wall, l'utente deve essere chiaramente informato dell'impossibilità di accedere ai contenuti senza il consenso. In caso contrario, il cookie wall o il banner dovrebbe scomparire a breve, in modo da non interferire con l'accesso dell'utente al contenuto o comunque influenzare l'utente al consenso.

La CNIL ha presentato sia linee guida che raccomandazioni. Le linee guida CNIL sui cookie e altri traccianti ti informano della legge applicabile quando un utente interagisce con Internet tramite l'interfaccia di uno smartphone, computer, tablet, ecc.

La raccomandazione ha lo scopo di guidare i professionisti interessati nel loro processo di conformità. Offre esempi di modalità pratiche per ottenere il consenso secondo le norme applicabili ma anche per soddisfare i requisiti di cui all'articolo 82 della legge sulla protezione dei dati.

La CNIL emette una sanzione contro un'organizzazione in caso di violazione del GDPR o della legge francese sulla protezione dei dati in due modi.

• A seguito di denuncia o denuncia di violazione alla CNIL
• A seguito di un'indagine svolta dalla CNIL

In entrambi i casi, il presidente della CNIL può nominare un relatore tra i commissari della CNIL, esclusi i membri della commissione ristretta, e riferire alla commissione ristretta. Il comitato ristretto è composto da cinque commissari della CNIL e da un presidente eletto tra loro.

L'organizzazione incriminata viene informata e i documenti vengono scambiati durante la procedura scritta tra il relatore e l'organizzazione. La commissione ristretta riceve quindi tutti i documenti.

Durante il procedimento, l'organizzazione incriminata può essere ascoltata se il relatore lo ritiene utile. In questo caso, una relazione scritta confermerà l'udienza.

La sanzione può essere vigilata o non vigilata. In termini di monitoraggio, l'azienda o l'organizzazione incriminata sarà costretta a pagare un importo fino al 4% del fatturato mondiale totale o fino a £ 20 milioni, a seconda di quale sia maggiore. In termini non vigilati, ci sarà una diffida, un'ingiunzione con penalità di mora, ecc.

Come annunciato, stima che il termine per il rispetto delle nuove regole (che sono state pubblicate il 1° ottobre) non dovrebbe superare i sei mesi, cioè entro la fine di marzo 2021 al più tardi.

La CNIL condurrà quindi audit e avvierà azioni esecutive. Come sempre, gli operatori devono anche assicurarsi di rispettare sia la Direttiva ePrivacy che il Regolamento generale sulla protezione dei dati.

Puoi semplificare il percorso di conformità CNIL per il tuo sito Web WordPress con l'aiuto del plug-in CookieYes GDPR Cookie Consent and Compliance Notice. Il plugin semplifica la gestione dei cookie con il suo potente set di funzionalità.

Il plug-in fornisce le seguenti funzionalità.

• Scansione automatica dei cookie: il plug-in esegue automaticamente la scansione dei cookie del tuo sito Web.
• Banner di consenso ai cookie – È possibile creare e personalizzare il banner di consenso per soddisfare i requisiti indicati nelle linee guida della normativa.
• Opzione di consenso granulare – Richiedere il consenso esplicito per i cookie informando gli utenti in merito all'utilizzo di ciascun tipo di cookie sul proprio sito web.
• Registro del consenso dei cookie – Registra il consenso dei tuoi utenti con dati rilevanti come i cookie a cui hai acconsentito, data, ora, ecc.
• Blocco automatico degli script: è possibile abilitare il blocco degli script dei cookie da plug-in e servizi di terze parti
• Generatore di norme sulla privacy: genera facilmente una politica sulla privacy/cookie da zero.

Sulla scia della nuova serie di linee guida della CNIL, non hai molto tempo per rispettarla. Quindi inizia oggi il tuo percorso di conformità con il plug-in CookieYes GDPR Cookie Consent and Compliance Notice.