Nieuwe Cookie Richtlijnen in Frankrijk (ook relevant voor België)

De Franse gegevensbeschermingsautoriteit (de “CNIL”) publiceerde op 1 oktober 2020 nieuwe richtlijnen rond het gebruik van cookies op websites ter vervanging van haar oude richtlijnen uit 2019.  Dit is ook voor België van belang omdat de CNIL, samen met de Britse ICO en de Spaanse AEPD de enige gegevensbeschermingsautoriteit is die tot op heden zulke duidelijke en volledige richtlijnen rond het gebruik van cookies en andere tracking technologie publiek gemaakt heeft.

 

Nog even over cookies in het algemeen

We zijn bij Sirius Legal het voorbije jaar erg intensief bezig met cookieregelgeving.  Het Planet 49 arrest en de boete voor Jubel vorig jaar hebben heel wat reacties losgeweekt en in de voorbije maanden hebben we een hele reeks opleidingen, webinars en infosessies gegeven rond het gebruik van cookies op websites.  Gelijktijdig hebben we samen met onze partner Grava.be een Cookiescan uitgewerkt, die bedrijven kan helpen om zich zowel technisch als juridisch in regel te stellen.  Binnenkort wordt bovendien een handig handboek over cookies van onze hand gepubliceerd bij uitgeverij Politeia en achter de schermen lobbyen we samen met enkele bevriende vakverenigingen voor een meer soepele interpretatie van de regels.

Eén van onze grootste frustraties van het afgelopen jaar is de afwezigheid van duidelijke en praktisch toepasbare instructies vanuit de overheid over wat nu precies wél en niet aanvaardbaar is als het over het gebruik van cookies of andere trackers op websites gaat.

Dit nieuwe advies van de CNIL is wat dat betreft zeer welgekomen.  Het geeft ons en andere gespecialiseerde professionals een extra houvast om onze cliënten beter en preciezer te adviseren.

 

Wat zeggen die cookie richtlijnen van de CNIL nu precies?

De CNIL richtlijnen vormen best een lijvig document.  We vatten hier even samen wat je er kan terugvinden: 

• De bevestiging dat toestemming voor het plaatsen van cookies niet stilzwijgend kan gebeuren.  Wie geen expliciete toestemming heeft gegeven, heeft géén toestemming gegeven.
• De bevestiging (volgend op het Facebook Share Button arrest uit 2019) dat de website zelf en de derde-aanbieder die cookies plaatst via die website (bvb bij het gebruik van share of like buttons) gezamenlijke verantwoordelijken voor de verwerking zijn.  Dat betekent eenvoudig gezegd dat websites altijd mee verantwoordelijk zijn voor wat derden zoals Facebook, LinkedIn, ShareThis of AddThis doen via cookies op hun website.
• Het verbod op cookiewalls wordt enigszins afgezwakt, in die zin dat de Franse Raad van State oordeelde dat een algeheel verbod op cookiewalls niet mogelijk is en dat geval per geval bekeken moet worden of de websitebezoeker vrij is om al dan niet toestemming te geven of te weigeren (de facto laat een cookiewall die vrijheid nooit en dus zijn ze bij een individueel onderzoek geval per geval altijd illegaal, alleen mag dat niet als algemene regel in Frans recht opgenomen worden…)
• Cookie consent kan niet gegeven worden samen met de aanvaarding van algemene voorwaarden.  Beide toestemmingen moeten los van elkaar staan en een aparte opt-in is vereist.
• Toestemming is vereist per categorie en per doeleinde of althans de bezoeker moet de keuze hebben om zijn of haar toestemming op die manier te geven (een globale “accepteer alles” knop kan wel, zolang ook “manage my choices” aangeboden wordt)
• De cookie richtlijnen herhalen de aanbeveling van de AVG om eenvoudige en begrijpelijke taal te gebruiken om individuen te informeren over de aard en de doeleinden van cookies en om juridisch of (marketing)technisch jargon te vermijden.
• Om het voorgaande mogelijk te maken, nodigt de CNIL belanghebbenden uit om samen te komen om gestandaardiseerde interfaces te ontwerpen die op dezelfde manier en met dezelfde bewoordingen werken.
• De minimale info die een gebruiker moet krijgen om geïnformeerd zijn of haar toestemming te kunnen geven is de volgende:
  • De identiteit van de gegevensbeheerder (s);
  • Het doel van cookies;
  • Hoe je cookies accepteert of weigert;
  • De gevolgen van hun weigering of aanvaarding; en
  • Het recht om de gegeven toestemming op elk moment in te trekken.
• Zogenaamde “continued browsing” (“door onze website te bezoeken, gaat u akkoord…”) vormt géén geldige toestemming en de CNIL gaat zelfs een stapje verder door te zeggen dat het verder bezoeken van de website zonder actieve keuze, gezien moet worden als een actieve weigering door de bezoeker voor het plaatsen van cookies
• De CNIL geeft ook nog mee dat browser settings op zich geen bewijs kunnen zijn van opt-in.  De techniek laat vandaag immers niet toe aan websitebezoekers om in de settings van Chrome, Edge of Firefox voldoende geïndividualiseerd te kiezen welke cookies zij wel of niet willen aanvaarden.
• Advertentienetwerken die cookies plaatsen op websites zijn in vele gevallen zelf verantwoordelijken voor de verwerking van persoonsgegevens onder GDPR, vaak samen met de website-eigenaar.  
• Hoe lang blijft consent geldig?  Vroeger hanteerde de CNIL in het algemeen 13 maanden.  In dit advies nuanceert zij en zegt zij dat dit afhangt van de aard van de website of applicatie en van het specifieke publiek dat de website of de applicatie gebruikt of bezoekt.  Consent moet dus regelmatig vernieuwd worden.
• De toestemming moet in ieder geval ook op elk moment, kosteloos, kunnen worden ingetrokken, net zo gemakkelijk als deze aanvankelijk werd gegeven. Hiertoe raadt de CNIL aan om een ​​link te gebruiken naar een mechanisme voor het verzamelen van toestemming met een beschrijving zoals “manage my choices”.

 

En wat met analytics?

Wie ons het voorbije jaar gevolgd heeft, weet dat we érg bezorgd zijn over de impact van de cookiewetgeving op het gebruik van analytics cookies.  Die laatste vereisen immers ook voorafgaande toestemming en we weten uit statistieken dat die opt-in moeilijk te pakken te krijgen is, wat zorgt voor een grote drop in analytics data voor wie de wet correct naleeft.

De CNIL nam eerder al een veel genuanceerder standpunt in dan de Belgische GBA ten aanzien van analytics cookies en dit wordt bevestigd in deze richtlijnen. De CNIL geeft immers ook een opsomming van cookies waarvoor geen toestemming vereist is: 

• Cookies die dienen om de cookiekeuze van bezoekers te bewaren;
• Authentication cookies;
• Shopping cart cookies;
• Personalisatiecookies voor gebruikersinterface (bijvoorbeeld voor de taalkeuze of presentatie van een dienst), wanneer dergelijke personalisatie een intrinsiek en verwacht onderdeel van de dienst vormt;
• Load balancing cookies; 
• Paywall-cookies;
• Met betrekking tot analytics cookies heeft de CNIL gespecificeerd dat ze “niet systematisch de voorafgaande toestemming van de gebruiker vereisen”, zolang ze alleen worden gebruikt om het publiek van een website of een applicatie te meten en op voorwaarde dat deze Cookies:

• • niet toestaan ​​dat gebruikers door verschillende websites of applicaties browsen (cross device tracking); 
  • alleen worden gebruikt om anonieme statistische gegevens te produceren en op voorwaarde dat de verzamelde persoonlijke gegevens niet kunnen worden gecontroleerd of aan derden kunnen worden doorgegeven.

 

Vragen over cookies of GDPR of wil je beroep doen op onze Cookiescan dienst?

Bel of mail gerust met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of boek hier rechtstreeks een vrijblijvende Google Meet kennismaking in in de agenda van Bart.