GDPR: deținătorul unei publicații online amendat pentru nerespectarea prevederilor cookie
8 minute • Ana-Maria Udriste • 12 iulie 2018
Consiliul de Stat francez a confirmat amenda de 25.000 EUR impusă de CNIL pentru Editions Croque Futur (challenges.fr) pentru nerespectarea legislației franceze privind protecția datelor și, în special, a cerințelor privind cookie-urile.
Faptele duc înapoi în 2014-2015, când autoritatea franceză pentru protecția datelor (CNIL) a aflat că compania franceză Editions, Croque Futur, editor al site-ului challenges.fr, a încălcat mai multe dispoziții ale legii privind protecția datelor. La trei luni de la notificarea formală, președintele CNIL a inițiat o procedură de sancționare în fața comitetului restrâns (restreinte formative ), care a aplicat o amendă administrativă de 25.000 de euro companiei la data de 18 mai 2017 (înainte de intrarea GDPR în cerere). Sancțiunea nu a fost făcută publică.
Editions, Croque Futur au contestat această sancțiune în fața Conseil d’Etat , cea mai înaltă instanță administrativă din Franța, care a pronunțat hotărârea din 6 iunie.
Judecătorii Consiliului de Stat au respins apelul, menținând toate cele patru motive pentru sancționare ale CNIL. Această decizie este deosebit de interesantă, deoarece cele mai multe dintre aceste încălcări sunt adesea văzute pe site-urile web:
1. Încălcarea obligației de informare
Legislația franceză impune introducerea unei informări în formă scurtă privind colectarea datelor cu caracter personal (de exemplu, formularul de înregistrare), specificând identitatea operatorului de date, scopurile prelucrării, dacă este obligatorie sau nu furnizarea datelor și drepturile persoanelor vizate (aceleași obligații se regăsesc și în GDPR la articolele 13-14). În acest caz, anunțul de informare pe scurt utilizat de Editions Croque Futur a fost incomplet, deoarece a detaliat doar drepturile persoanelor vizate.
2. Încălcarea obligațiilor de informare și consimțământ în ceea ce privește cookie-urile
Site-ul challenges.fr a folosit diferite tipuri de cookie-uri, inclusiv cookie-urile de publicitate, pe care compania le-a considerat “necesare pentru viabilitatea economică a site-ului” și, prin urmare, scutite de obligația de cere consimțământul din partea persoanei vizate.
Într-adevăr, în conformitate cu legislația franceză, cookie-urile pot fi desfășurate în mod legal numai dacă abonatul/utilizatorul a consimțit în mod expres după ce a fost informat cu privire la scopurile cookie-urilor și mijloacele de refuzare a acestora. Cu toate acestea, astfel de cerințe nu se aplică:
- la cookie-urile al căror unic scop este de a permite sau de a facilita comunicarea electronică de către un utilizator;
- dacă cookie-ul este strict necesar pentru a furniza servicii de comunicații on-line solicitate special de utilizator.
Cu toate acestea, Consiliul de Stat a respins acest argument, considerând că faptul că aceste cookie-uri au fost necesare pentru viabilitatea economică a site-ului nu înseamnă că acestea sunt “strict necesare pentru furnizarea serviciului”, care este adevăratul test pentru a beneficia de scutirea.
Apoi, judecătorii au considerat că există o lipsă de transparență în ceea ce privește informațiile furnizate utilizatorilor site-ului, care nu le permiteau nici să distingă clar diferitele categorii de cookie-uri utilizate pe site, nici să se opună acelor cookie-uri anterior obținerii consimțământului și nici măcar nu cunosc consecințele asupra experienței lor de navigare în cazul în care se opun acestor cookie-uri.
Consiliul de Stat a confirmat astfel decizia CNIL că setările browserului de Internet nu erau un mijloc valid de control al cookie-urilor în acest caz.
Această decizie este în conformitate cu doctrina CNIL, care a considerat întotdeauna că setările browserului pot exprima acordul utilizatorului numai dacă:
- utilizatorul a putut să-și modifice setările browserului pentru a accepta cookie-urile de refuz; și
- utilizatorul a fost informat, înainte de instalarea cookie-urilor, despre scopurile lor și despre modalitățile de a le refuza.
Cu toate acestea, după cum subliniază CNIL, în prezent, setările browserului nu sunt suficient de sofisticate pentru a gestiona tehnologiile de urmărire, altele decât cookie-urile HTTP. Prin urmare, aceste setări ale browserului nu reprezintă un mijloc valid de consimțământ atunci când site-ul web utilizează alte tehnologii, cum ar fi pixeli invizibili, module cookie flash sau tehnologii de amprentare.
3. Încălcarea obligației de stabilire a unei perioade limitate de păstrare a datelor
Site-urile challenges.fr au folosit atât cookie-urile primare (de exemplu, cookie-urile stabilite de site-ul vizitat, aici challenges.fr), cât și cookie-urile terță parte (de exemplu cookies setate de un alt domeniu decât cel al site-ului web vizitat de utilizator ). Problema a fost că cookie-urile terță parte au fost instalate pe o perioadă nelimitată de timp, în timp ce CNIL recomandă ca perioada de valabilitate a consimțământului utilizatorilor de a seta cookie-urile pe dispozitivul lor să fie limitată la 13 luni (această perioadă se bazează pe necesitatea în conformitate cu CNIL pentru a se asigura că utilizatorii nu s-au răzgândit în timp în cazul în care au uitat că au consimțit la setarea cookie-urilor).
Dacă, prin definiție, cookie-urile terță parte sunt controlate de terți, ceea ce înseamnă că aceștia rămân “controlorii de date” ai acestor cookie-uri, CNIL consideră, de asemenea, că editorul unui site care autorizează terțe părți să creeze cookie-uri pe site- de asemenea, să fie considerat un “controlor de date” cu privire la aceste cookie-uri terță parte. Prin urmare, chiar dacă editorul nu ar fi supus tuturor obligațiilor tradiționale impuse controlorilor de date (deoarece controlul efectiv al cookie-urilor ar fi deținut de terți), acesta ar fi în continuare responsabil pentru a asigura că terții nu setează pe site-ul său cookie-uri care nu respectă cerințele cookie-ului francez.
În acest caz, Editions Croque Futur nu a furnizat nicio dovadă că a luat măsuri împotriva partenerilor săi pentru a se asigura că respectă legea, motiv pentru care CNIL a constatat că încălca legea.
Această cerință poate avea un impact substanțial asupra editorilor site-urilor web, care, în general, nu iau măsuri pentru a verifica dacă terțele părți respectă obligațiile lor atunci când implementează cookie-urile pe site-ul lor web.
4. Încălcarea obligației de a coopera cu CNIL
Editions Croque Future nu au răspuns niciodată notificării oficiale a CNIL (în ciuda unei scrisori de revenire), care caracterizează o încălcare a obligației de a coopera cu CNIL, solicitând să comunice autorității toate informațiile necesare pentru a demonstra că au fost remediate în situația respectivă.
Pe această bază, Consiliul de Stat a confirmat decizia CNIL, considerând că sancțiunea a fost proporțională în funcție de natura, severitatea și persistența încălcărilor.
* * *
Această decizie este deosebit de interesantă deoarece clarifică faptul că setările browserului nu sunt întotdeauna un mijloc valid de consimțământ pentru cookie-uri, în timp ce multe dintre politicile de cookie-uri aflate în continuare se referă la setările browser-ului ca singura modalitate de a controla cookie-urile.
Odată cu intrarea în aplicare a GDPR luna trecută, criteriile pentru consimțământul valabil au fost consolidate și putem observa că întreprinderile implementează mai multe instrumente de gestionare a cookie-urilor pe site-urile lor.
Într-adevăr, mai multe site-uri web au fost actualizate pentru a revizui limbajul tradițională prin care spuneau că “continuând navigarea pe site-ul nostru, sunteți de acord cu utilizarea cookie-urilor“, deoarece acest lucru probabil nu satisface condiția conform căreia consimțământul trebuie să fie “neechivoc” – ar trebui folosit un limbaj mai clar și mai direct, cum ar fi ” accept “.
Grupul de lucru al articolului 29 (WP29) a luat această poziție în recentele sale orientări privind consimțământul, care prevăd că “operatorii de date ar trebui să elaboreze mecanisme de aprobare în moduri clare pentru persoanele vizate. Operatorii trebuie să evite ambiguitatea și trebuie să se asigure că acțiunea prin care consimțământul este dat se poate deosebi de alte acțiuni. Prin urmare, doar continuarea utilizării obișnuite a unui site web nu este un comportament din care se poate deduce o indicație de dorință a persoanei vizate de a își da acordul său cu privire la o operațiune de prelucrare propusă “. Și WP29 continuă cu un exemplu instructiv: ” Deplasarea în jos sau trecerea printr-un site web nu va satisface cerința unei acțiuni clare și afirmative . Acest lucru se datorează faptului că alerta care continuă să deruleze va constitui un consimțământ dificil de distins și/sau poate fi ratat atunci când o persoană vizată se deplasează rapid prin cantități mari de text și o astfel de acțiune nu este suficient de clară “.
Ai nevoie de ajutor pe GDPR? Scrie-ne mai jos!
[wpforms id=”13083″]