CNIL: nieuwe richtlijnen voor gebruik van cookies en trackers

Author info

Met de beraadslagingen van 17 september 2020 heeft de CNIL nieuwe richtsnoeren inzake cookies en andere trackers aangenomen, die zij heeft aangevuld met aanbevelingen om de implementatie ervan te vergemakkelijken, met name voor configuraties die specifiek zijn voor webomgevingen en mobiele toepassingen. Deze aanbevelingen zijn niet prescriptief of exhaustief en zijn uitsluitend bedoeld om de betrokken professionals te helpen bij hun inspanningen om aan de eisen te voldoen. De nieuwe richtlijnen vervangen de richtlijnen die de Raad van State in een besluit van 20 juni 2020 gedeeltelijk ongeldig had verklaard, vanwege het algemene en absolute verbod op cookie walls dat ze bevatten (voor meer informatie over dit onderwerp verwijzen we u naar onze blogpost over dit onderwerp).

Toepassingsgebied van de richtsnoeren

De CNIL-richtlijnen zijn van toepassing op elke handeling die gericht is op het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van de gebruiker, of op het schrijven van informatie over deze apparatuur

Deze definitie is opzettelijk ruim en heeft tot doel een maximaal aantal apparaten te omvatten, zonder afbreuk te doen aan hun besturingssysteem of de gebruikte toepassingssoftware. De CNIL dringt met name aan op de toepasselijkheid van deze richtlijnen op HTTP-cookies, maar ook op andere technologieën zoals "local shared objects" (Flash-cookies), de "lokale opslag" van de HTML5-standaard, identificatie door middel van vingerafdrukken op de terminal, door besturingssystemen gegenereerde identifiers (al dan niet reclame: IDFA, IDFV, Android ID, etc.), hardware-identifiers (MAC-adres, serienummer of een andere apparaatidentifier), etc. 

Bovendien zijn deze richtsnoeren van toepassing op de verwerking van gegevens, ongeacht of het gaat om persoonsgegevens in de zin van de GDPR of niet. "De bepalingen van artikel 5, lid 3, van de ePrivacyrichtlijn, en dus van de bepalingen van de Franse wet op de gegevensbescherming waarin deze zijn omgezet, zijn inderdaad van toepassing op dergelijke handelingen, ongeacht of het om persoonsgegevens gaat of niet" (vrije vertaling).

Toestemming

In het kader van deze richtsnoeren moet de toestemming worden opgevat zoals gedefinieerd in de GDPR, d.w.z..: elke vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene waardoor hij of zij, door een verklaring of door een duidelijke positieve handeling, instemt met de verwerking van gegevens die op hem of haar betrekking hebben. 

De CNIL geeft in haar aanbevelingen ook aan dat het ontbreken van toestemming door de gebruiker moet worden opgevat als een weigering en dat er dus geen enkele informatieverstrekking of schrijfactiviteit kan plaatsvinden. 

Ten slotte beveelt de CNIL aan dat de mogelijkheid voor de gebruiker/abonnee om zijn toestemming in te trekken te allen tijde beschikbaar moet zijn en gemakkelijk te identificeren moet zijn. De CNIL stelt een specifieke link voor naar een specifieke pagina die gemakkelijk identificeerbaar en permanent beschikbaar is op de homepage van de site of de applicatie. 

Gratis 

De CNIL wijst erop dat het afhankelijk maken van de levering van een dienst of de toegang tot een website van de acceptatie van cookies en andere trackers, in bepaalde gevallen een inbreuk kan vormen op de vrijheid van toestemming. Met betrekking tot de cookie walls geeft de CNIL nu alleen aan dat een beoordeling per geval noodzakelijk is en dat de informatie die aan de gebruiker wordt verstrekt over de gevolgen van de acceptatie of weigering duidelijk moet zijn. 

Evenzo is de CNIL van mening dat de praktijk van het gelijktijdig verzamelen van toestemming voor verschillende verwerkingshandelingen met verschillende doeleinden (koppeling van doeleinden) ook van invloed kan zijn op de geldigheid van de toestemming. Daarom beveelt zij aan de toestemmingvoor elk doel afzonderlijk te verzamelen. Het is natuurlijk mogelijk om de toestemming globaal te verzamelen, maar alleen als alle doeleinden vooraf duidelijk worden uitgelegd. 

De CNIL bepaalt dat de informatie over de doeleinden van de trackers "op een begrijpelijke manier moet worden geformuleerd, in passende taal en voldoende duidelijk om de gebruikers in staat te stellen precies te begrijpen waar zij toestemming voor geven" (vrije vertaling). Aanbevolen wordt om "elk doel te belichten in een korte en opvallende titel, vergezeld van een korte beschrijving" (vrije vertaling), zoals "Gepersonaliseerde reclame: [naam van de locatie/toepassing"] [en externe bedrijven/onze partners] gebruikt/gebruiken trackers om reclame weer te geven die is aangepast aan uw browsen en profiel" als de tracker(s) wordt/worden gebruikt om aangepaste reclame weer te geven. Deze korte uitleg moet worden aangevuld voor meer gedetailleerde uitleg, beschikbaar op verzoek door te klikken op een speciale link (bijvoorbeeld "meer informatie" of "meer informatie bekijken").

Specifiek en verlicht 

De CNIL herhaalt dat toestemming voor het gebruik van cookies en trackers alleen specifiek kan worden verzameld en niet door de algemene aanvaarding van gebruiksvoorwaarden.

De informatie moet in eenvoudige, voor iedereen begrijpelijke  bewoordingen worden verstrekt en daarom moet elke juridische terminologie worden vermeden. De CNIL beveelt ook aan om de gebruikte trackers expliciet te noemen. Bovendien moet de informatie gemakkelijk toegankelijk zijn. 

De CNIL beveelt het gebruik van een uniforme woordenschat aan, evenals de ontwikkeling en het gebruik van interfaces met een gestandaardiseerd ontwerp die op dezelfde manier werken. Het aanbieden van soortgelijke hulpmiddelen van het ene platform naar het andere om keuzes te beheren zou het voor gebruikers gemakkelijker maken om de informatie goed te begrijpen. 

In het algemeen moet het ontwerp van de interface de gebruiker zoveel mogelijk ondersteunen, zodat hij/zij de informatie begrijpt en zijn/haar keuzes dienovereenkomstig aanpast. Over dit onderwerp heeft het digitale innovatielaboratorium van het CNIL (LINC) in 2019 zijn 6e Innovation and Prospective Paper, La Forme des choix - Données personnelles, design et frictions désirables, gepubliceerd: une exploration des enjeux du design dans la conception des services numériques, au prisme de la protection des données et des libertés (De vorm van keuzes - Persoonlijke gegevens, design en wenselijke wrijvingen: een verkenning van ontwerpkwesties in het ontwerp van digitale diensten, door middel van het prisma van gegevensbescherming en vrijheden).

Ondubbelzinnig

Toestemming moet de vorm aannemen van een positieve actie van de gebruiker, en daarom houdt het feit dat men doorgaat met bladeren of scrollen door een pagina niet in dat men cookies accepteert, ondanks enige indicatie van het tegendeel. Er moeten namelijk geschikte systemen worden ingevoerd om de keuze van de gebruiker te ondersteunen, zoals aankruisvakjes of schuifregelaars met duidelijke informatie. Als er op verschillende websites cookies en andere trackers worden gebruikt, is het bovendien aan te raden om op elk van deze websites de toestemming van de gebruiker te verkrijgen.

Bewijs van toestemming

Het is aan de uitgever van de website, als verantwoordelijke voor de verwerking, om de toestemming aan te tonen. De CNIL raadt zelfs aan om het bewijs van keuze te bewaren: toestemming of weigering, voor een periode van zes maanden (een duur moet worden aangepast aan de aard van de site en de specifieke kenmerken van het publiek). Het wordt aanbevolen om het bewijs van weigering te bewaren, om te voorkomen dat er herhaaldelijk verzoeken om toestemming worden ingediend die het vrije karakter van de toestemming zouden kunnen aantasten, aangezien de gebruiker uiteindelijk toestemming kan geven, zodat de vraag niet meer wordt gesteld. De CNIL benadrukt echter dat als er een proces nodig is om te weigeren, dit net zo eenvoudig moet zijn als voor de toestemming. De mogelijkheid om te weigeren moet net zo zichtbaar zijn als die van de aanvaarding en op hetzelfde venster staan. Het ontwerp dat op de interface wordt gebruikt, mag niet de voorkeur geven aan de ene optie boven de andere. 

Verder wordt aanbevolen om het proces van het verkrijgen van toestemming regelmatig te vernieuwen.

Kwalificatie van de actoren

Het gebruik van trackers brengt niet noodzakelijkerwijs de verwerking van persoonsgegevens met zich mee, hoewel dit vaak wel het geval is. Als het gebruik betrekking heeft op één enkele entiteit, de uitgever van de website, dan is deze laatste volledig verantwoordelijk. Als de trackers daarentegen aan meerdere entiteiten zijn gekoppeld, moet elk van hen zijn status (verantwoordelijke of verwerker) met betrekking tot de betreffende verwerking bepalen. 

De CNIL herinnert u er in ieder geval aan dat de uitgever van een website moet worden beschouwd als een verantwoordelijke voor de verwerking en in de beste positie verkeert om de gebruiker de nodige informatie te verstrekken en zijn toestemming te verzamelen, ook wanneer hij het beheer van deze in eigen naam opgezette trackers uitbesteedt aan derden. Bovendien moeten derden die trackers gebruiken op een dienst die door een andere organisatie wordt geleverd, ook als verantwoordelijke worden beschouwd. 

Het is dus aan de uitgever van de site om ervoor te zorgen dat de regels worden nageleefd en dat er een mechanisme is voor het verkrijgen van toestemming, en om alle nuttige stappen te ondernemen bij derden om een einde te maken aan een eventuele inbreuk. In een dergelijke situatie is de loutere aanwezigheid van contractuele verbintenissen niet voldoende om de naleving van de regels aan te tonen. Het bewijs van het bestaan en de geldigheid van de toestemming berust ook op die toestemming en moet worden geleverd.

De betrokkenen moeten worden geïnformeerd over de identiteit van alle voor de verwerking verantwoordelijken. De CNIL beveelt aan dat deze informatie wordt verstrekt op opeenvolgende niveaus, de identiteit, de doeleinden en de categorieën van verwerkte gegevens.

Trackers vrijgesteld van toestemming

Trackers die uitsluitend bedoeld zijn om communicatie via elektronische middelen mogelijk te maken of te vergemakkelijken of die noodzakelijk zijn voor de levering van de dienst waarom de gebruiker uitdrukkelijk heeft verzocht, zijn vrijgesteld van de verplichting om toestemming te verkrijgen. De gebruikers moeten echter worden geïnformeerd over de installatie van trackers op de gebruikte terminals. Deze vrijstelling geldt met name voor trackers die de door de gebruikers op de trackerinstallatie gemaakte keuze behouden, trackers die bestemd zijn voor authenticatie met een dienst of trackers voor het aanpassen van de gebruikersinterface.

Als een van deze trackers ook voor andere doeleinden wordt gebruikt, dan valt dit buiten het toepassingsgebied van de vrijstelling en moet de toestemming van de gebruiker worden gevraagd. Zo kan bijvoorbeeld een tracer die nodig is voor de authenticatie van de gebruiker worden gebruikt voor reclamedoeleinden.

De publieksmeting trackers

Met betrekking tot de trackers voor publieksmetingen merkt de CNIL op dat het gebruik van frequentie- en/of prestatiestatistieken bijna systematisch vereist is voor het beheer van een website of applicatie. Ze kunnen zelfs noodzakelijk zijn voor de goede werking van de website en de levering van de dienst. In dergelijke omstandigheden is het niet nodig om de toestemming van de gebruiker te vragen, ook al moet de gebruiker naar behoren worden geïnformeerd over de aanwezigheid van deze trackers. Zij moeten echter strikt beperkt blijven tot de omvang van het publiek en kunnen niet worden gebruikt om de betrokken persoon te controleren. Evenzo benadrukt de CNIL dat "deze trackers alleen mogen worden gebruikt om anonieme statistische gegevens te produceren en dat de verzamelde persoonsgegevens niet kunnen worden getoetst aan andere verwerkingsoperaties of aan derden worden doorgegeven, en dat deze operaties ook niet noodzakelijk zijn voor de werking van de dienst" (vrije vertaling). De CNIL beveelt ook aan dat deze trackers een beperkte levensduur hebben die relevant is voor het beheer van de site, maar niet langer dan dertien maanden, en dat de verzamelde informatie niet langer dan vijfentwintig maanden wordt bewaard.

Korte bloemlezing van aanbevelingen :

  1. De CNIL stelt een specifieke link voor naar een specifieke pagina die gemakkelijk te identificeren is en permanent aanwezig is op de startpagina van de website of de applicatie om de cookie-keuzes te beheren, en de mogelijkheid voor de gebruiker om zijn toestemming in te trekken.
  2. De CNIL is van mening dat de geldigheid van de cookie walls per geval moet worden beoordeeld. 
  3. Het wordt aanbevolen om verschillende cookies te gebruiken voor elk afzonderlijk doel, zodat gebruikers deze kunnen onderscheiden en ervoor kunnen zorgen dat hun toestemming wordt gerespecteerd, maar ook om lees- of schrijfwerkzaamheden transparanter te maken.
  4. In het geval van verschillende verwerkingsoperaties moet de toestemming voor elk doel afzonderlijk worden verzameld.
  5. Globale toestemming is alleen mogelijk als alle noodzakelijke informatie vooraf aan de betrokkene is verstrekt.
  6. De namen van de gebruikte trackers moeten expliciet zijn en, indien mogelijk, gestandaardiseerd, ongeacht de actor die ze uitvoert.
  7. Doorgaan met bladeren of scrollen op een pagina betekent niet dat cookies en andere trackers worden geaccepteerd, positieve actie is vereist voor toestemming om geldig te zijn.
  8. Als er op meer dan één site cookies en andere trackers worden gebruikt, moet de gebruiker op elk van deze sites toestemming geven.
  9. De CNIL beveelt aan het bewijs van keuze te bewaren: toestemming of weigering, gedurende zes maanden (een duur moet worden aangepast aan de aard van de site en de specifieke kenmerken van het publiek).
  10. De afwijzingsoptie moet net zo zichtbaar zijn als de aanvaardingsoptie en op hetzelfde scherm. Het ontwerp dat op de interface wordt gebruikt, mag de ene optie niet bevoordelen ten opzichte van de andere.
  11. Het is niet nodig om de gebruiker toestemming te vragen voor cookies en publiek of performance trackers als deze nodig zijn voor de goede werking van de site en de levering van de dienst.