Ce este CNIL și cum să o respectăm?

La 1 octombrie 2020, Autoritatea Franceză pentru Protecția Datelor (CNIL) a publicat o versiune revizuită a ghidurilor sale din 2019 privind cookie-urile și tehnologiile similare. Versiunea revizuită a fost publicată pentru a ține cont și de reglementarea GDPR privind cookie-urile.

CNIL sau Commission Nationale de l'informatique et des libertes (Comisia Națională pentru Informatică și Libertăți) este un organism de reglementare administrativ francez care are competența de a aplica legile privind protecția datelor în Franța. CNIL este responsabilă pentru aplicarea tuturor celor trei legi de mai jos în țară.

• Legea franceză privind protecția datelor
• GDPR
• Directiva privind confidențialitatea electronică

De asemenea, are competența de a primi plângeri și de a emite amenzi pentru încălcarea legilor.

Dacă afacerea dvs. se încadrează în oricare dintre următoarele categorii, vi se cere să o respectați.

• Are sediul în Franța și teritoriile franceze de peste mări
• Colectează și/sau prelucrează date personale ale cetățenilor și rezidenților Franței și teritoriilor franceze de peste mări

Acestea sunt aceleași principii de aplicabilitate ca și în GDPR.

Utilizatorul ar trebui să permită consimțământul printr-o acțiune pozitivă afirmativă clară (cum ar fi făcând clic pe „Accept” pe un banner cookie). Inacțiunea utilizatorului, derularea sau continuarea navigării etc., nu pot fi considerate consimțământ și niciun cookie, altul decât cele necesare, nu trebuie să fie introdus în dispozitivul utilizatorilor până la primirea consimțământului explicit.

Utilizatorii ar trebui să poată refuza cookie-urile cu aceeași ușurință cu care le-au acceptat în primul rând.

Utilizatorii ar trebui să își poată retrage consimțământul pentru cookie-uri cu ușurință și în orice moment.

Utilizatorii trebuie să fie informați în mod clar cu privire la scopurile cookie-urilor înainte de a-și da acordul, împreună cu consecințele acceptării sau respingerii cookie-urilor.

Companiile care solicită consimțământul pentru cookie-uri ar trebui să furnizeze, în orice moment, dovada colectării valide a consimțământului liber, informat, specific și fără ambiguitate al utilizatorului.

În continuare este un infografic care vă va oferi o idee rapidă despre cerințele de conformitate conform CNIL.

Atât CNIL, cât și GDPR au cerințe similare atunci când vine vorba de solicitarea consimțământului utilizatorilor cu privire la redarea cookie-urilor. Sunt așa cum se arată mai jos.

• Consimțământul trebuie dat în mod liber. Utilizatorul ar trebui să fie liber să aleagă dacă să-și dea sau nu consimțământul pentru cookie-uri.

• Consimțământul trebuie să fie specific. Trebuie să obțineți consimțământul pentru fiecare scop de colectare a datelor. Aceasta înseamnă că, dacă ați obținut consimțământul în scopuri de analiză, aveți nevoie de un nou consimțământ pentru colectarea datelor în scopuri de marketing.

• Cererea de consimțământ trebuie să fie bine informată. Înseamnă că trebuie să informați utilizatorul despre practicile dumneavoastră de confidențialitate în momentul solicitării. Informarea acestora că utilizați cookie-uri și prezentarea acestora cu un link către politica dvs. de confidențialitate este o practică bună.

• Consimțământul trebuie să fie clar. Trebuie să afișați un buton ACCEPT și RESPINGERE. Afișarea doar a butonului ACCEPT nu este suficientă. Utilizatorul ar trebui să poată lua măsuri afirmative pe site-ul dvs.

Deși solicitarea consimțământului explicit este necesară conform CNIL, aceasta scutește ca anumite cookie-uri să fie permise fără acordul utilizatorilor. Mai jos este lista cookie-urilor exceptate de la colectarea consimțământului.

• Cookie-uri destinate autentificarii cu un serviciu
• Cookie-urile folosite pentru a reține articolele coșului de pe un site de comerț electronic
• Anumite cookie-uri menite să genereze statistici de trafic
• Cookie-uri care permit site-urilor plătite să limiteze accesul gratuit la un eșantion de conținut solicitat de utilizatori
• Cookie-uri care stochează alegerea consimțământului utilizatorilor
• Cookie-uri de personalizare a interfeței cu utilizatorul
• Cookie-uri de preferință de limbă

CNIL consideră că consimțământul ar trebui să provină exclusiv dintr-un act pozitiv. Prin urmare, orice inacțiune trebuie înțeleasă ca un refuz la utilizarea cookie-urilor.

Mai jos sunt cele două cazuri în care puteți seta cookie-uri pe dispozitivele utilizatorilor dvs.

• Utilizatorul și-a exprimat consimțământul pentru cookie-uri
• Cookie-urile aparțin categoriei exceptate (așa cum este enumerată în secțiunea de mai sus)

In principiu, este necesar sa se pastreze alegerile exprimate de utilizator, fie ca este vorba de consimtamantul sau de refuzul acestuia. Astfel, în timpul navigării pe site, aceștia nu vor fi nevoiți să-și reformuleze alegerea de la o pagină la alta.

În general, este deci recomandat să salvezi alegerea exprimată de utilizatorul de internet pentru a nu-l mai solicita pentru o anumită perioadă.

Perioada de păstrare a opțiunilor va trebui să fie evaluată de la caz la caz (în funcție de natura site-ului web sau a aplicației în cauză și de specificul audienței sale). În general, este o practică bună să păstrați opțiunile pentru o perioadă de 6 luni.

Pereții cookie sunt modele de site-uri web care necesită ca utilizatorul să accepte cookie-uri înainte de a putea accesa conținutul site-ului web. În timp ce regulile din 2019 interzic complet utilizarea pereților cookie. Ca urmare a hotărârii judecătorești a Franței împotriva legii, CNIL și-a editat Ghidurile pentru a afirma că legalitatea pereților cookie-urilor trebuie evaluată de la caz la caz.

Dacă se folosește un perete cookie, utilizatorul ar trebui să fie anunțat în mod clar că este imposibil să acceseze conținut fără consimțământ. În caz contrar, peretele cookie sau banner-ul ar trebui să dispară în scurt timp, astfel încât să nu interfereze cu accesul utilizatorului la conținut și să nu influențeze în alt mod utilizatorul să consimtă.

CNIL a prezentat atât linii directoare, cât și recomandări. Orientările CNIL privind cookie-urile și alte elemente de urmărire vă informează cu privire la legea aplicabilă în timp ce un utilizator interacționează cu internetul prin interfața unui smartphone, computer, tabletă etc.

Recomandarea este menită să ghideze profesioniștii în cauză în procesul lor de conformare. Oferă exemple de metode practice pentru obținerea consimțământului conform regulilor aplicabile, dar și pentru îndeplinirea cerințelor prevăzute la articolul 82 din Legea privind protecția datelor.

CNIL emite o amendă împotriva unei organizații în cazul unei încălcări a GDPR sau a Legii franceze privind protecția datelor în două moduri.

• În urma unei plângeri sau a unui raport de încălcare la CNIL
• În urma unei anchete efectuate de CNIL

În ambele cazuri, președintele CNIL poate desemna un raportor dintre comisarii CNIL, cu excepția membrilor comisiei restrânse, și poate trimite comisiei restrânse. Comitetul restrâns este compus din cinci comisari ai CNIL și un președinte ales dintre aceștia.

Organizația incriminată este informată, iar în cadrul procedurii scrise se fac schimb de documente între raportor și organizație. Comitetul restrâns primește apoi toate documentele.

Pe parcursul procedurii, organizația incriminată poate fi audiată dacă raportorul consideră că este util. În acest caz, un raport scris va confirma audierea.

Pedeapsa poate fi monitorizată sau nemonitorie. În termeni de monitorizare, afacerea sau organizația incriminată va fi obligată să plătească o sumă de până la 4% din cifra de afaceri totală la nivel mondial sau până la 20 de milioane de lire sterline, oricare dintre acestea este mai mare. În termeni nemonitori, va exista un avertisment, ordin cu plata penalităților periodice etc.

După cum a anunțat, estimează că termenul limită pentru respectarea noilor reguli (care au fost publicate la 1 octombrie) nu ar trebui să depășească șase luni, adică cel târziu până la sfârșitul lunii martie 2021.

CNIL va efectua apoi audituri și va aduce măsuri de executare. Ca întotdeauna, operatorii trebuie, de asemenea, să se asigure că respectă atât Directiva privind confidențialitatea electronică, cât și Regulamentul general privind protecția datelor.

Puteți face călătoria conformității CNIL mai ușoară pentru site-ul dvs. WordPress cu ajutorul pluginului CookieYes GDPR Cookie Consent and Compliance Notice. Pluginul facilitează gestionarea cookie-urilor cu setul său puternic de funcții.

Pluginul vă oferă următoarele caracteristici.

• Scanare automată a cookie-urilor – pluginul scanează automat site-ul dvs. web pentru cookie-uri.
• Banner de consimțământ cookie – Puteți crea și personaliza bannerul de consimțământ pentru a îndeplini cerințele menționate în liniile directoare ale legilor.
• Opțiune de consimțământ granular – Căutați consimțământul explicit pentru cookie-uri informând utilizatorii cu privire la utilizarea fiecărui tip de cookie pe site-ul dvs.
• Jurnal de consimțământ pentru cookie-uri – Înregistrați consimțământul utilizatorilor dvs. cu date relevante, cum ar fi cookie-urile acceptate, data, ora etc.
• Blocarea automată a scripturilor – Puteți activa blocarea script-urilor cookie-urilor de la pluginuri și servicii terță parte
• Generator de politici de confidențialitate – Generați cu ușurință o politică de confidențialitate/cookie de la zero.

În urma noului set de linii directoare propus de CNIL, nu mai aveți prea mult timp pentru a-l respecta. Așa că începeți astăzi călătoria dvs. de conformitate cu pluginul CookieYes GDPR Cookie Consent and Compliance Notice.