Den 1 oktober 2020 publicerade den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) en reviderad version av sina riktlinjer för cookies och liknande teknologier (“riktlinjerna”). I riktlinjerna ger CNIL sina slutliga rekommendationer om praktiska metoder för att få användares samtycke för att lagra eller läsa icke-nödvändiga cookies och liknande tekniker på deras enheter (“rekommendationerna”). Därutöver redovisas en uppsättning frågor och svar om rekommendationerna (“FAQs”).
Vad har hänt?
Den 18 juli 2019 publicerade CNIL riktlinjer för användning av cookies och liknande tekniker mot bakgrund av de ökade kraven på samtycke i dataskyddsförordningen (”GDPR”). Riktlinjerna skulle kompletteras med rekommendationer för att vägleda företag och andra organisationer i genomförandet av dessa regler genom att erbjuda konkreta exempel för att få användarnas samtycke till icke-nödvändiga cookies. Den 14 januari 2020 publicerade CNIL utkastet till rekommendationerna, som var öppna för offentligt samråd fram till 25 februari 2020.
Den 19 juni 2020 fattade Frankrikes högsta förvaltningsdomstol (”Conseil d’Etat”) ett beslut som delvis ogiltigförklarade riktlinjerna. Conseil d’Etat ogiltigförklarade bestämmelsen i riktlinjerna som införde ett allmänt och absolut förbud mot “cookie walls” som hindrar användare som inte samtycker till användningen av cookiesfrån att komma åt en webbplats eller mobilapp. På dagen för Conseil d’Etats beslut publicerade CNIL ett uttalande om att de kommer att revidera sina riktlinjer i enlighet med detta.
CNIL:s riktlinjer och rekommendationer om cookies
CNIL:s ändrade riktlinjerna och rekommendationer innehåller bland annat följande:
Användarnas samtycke ska hämtas in på varje enskild webbplats: CNIL ansåg tidigare att det var acceptabelt att hämta in användarnas samtycke för en grupp webbplatser om användarna informerades om den exakta omfattningen av deras samtycke. CNIL rekommenderar nu istället att webbplatsinnehavare hämtar inanvändarnas samtycke individuellt för varje enskild webbplats när icke-nödvändiga cookies placeras av andra aktörer än webbplatsinnehavaren (t.ex. i samband med användning av plug-ins som erbjuds av tredje parter) och dessa cookies möjliggör spårning av användarnas aktiviteter via andra webbplatser.
Information som ska ges till användarna för att få ett informerat samtycke: Riktlinjerna utökar listan med information som ska ges till användare för att webbplatsinnehavaren ska uppfylla GDPR:s krav på att ett samtycke ska vara informerat. Användare får inte bara informeras om den personuppgiftsansvariges identitet, syftet med användningen av cookies och liknande tekniker och om användarnas rätt att återkalla samtycke, utan de ska också informeras om hur de kan godkänna eller neka användningen av cookies och liknande tekniker och konsekvenserna av ett sådant godkännande eller nekande.
Möjlighet att neka cookies ska vara lika enkelk som att samtycka till dem: Både riktlinjerna och rekommendationerna betonar att det måste vara lika enkelt att godkänna som att neka användningen av cookies. Gränssnitt som endast har knappar som “Godkänn alla” och “Anpassa inställningar”, där användarna antingen kan godkänna alla cookies med ett klick men behöver neka användningen med flera klick, är inte lagliga. Om det finns en knapp för “Godkänn alla” måste det alltså finnas en knapp för “Neka alla” med samma gränssnitt. Alternativt kan gränssnittet för att godkänna alla cookies innehålla en länk “Fortsätt utan att godkänna.” Det måste dock vara tydligt för användarna hur de kan neka användningen av cookies.
Användarnas tysta samtycken: CNIL godkände tidigare möjligheten för användare att skjuta upp sitt valavseende cookies och rekommenderade att webbplatsinnehavare placerar en “kryss-knapp” i gränssnittet för ändamålet. CNIL anser nu att användarnas tystnad, passivitet eller handling (annat än en entydig bekräftandehandling som visar på ett samtycke) måste tolkas som ett nekande till att få cookies inställd på sina enheter.
Mer flexibla villkor för analyscookies: CNIL har historiskt ansett att analyscookies som exempelvis Google Analytics, under vissa villkor, skulle kunna undantas från kravet på samtycke, inklusive möjligheten för användare att välja bort sådana cookies. Som ett resultat var det mycket få webbplatsinnehavare som kunde dra nytta av undantaget från samtycke. CNIL har nu förenklat dessa villkor, men undantaget från samtycke gäller fortfarande endast för analyscookies vars syfte är begränsat till att mäta användningen av webbplatsen eller appen för webbplatsinnehavarens räkning. Dessa analyscookies får vidare endast användas för att ta fram anonym statistik, och de personuppgifter som samlas in via dessa cookies får inte kombineras med annan information eller andra användningsområden, och de får inte heller delas med tredje part. Mot bakgrund av den omfattande personuppgiftsbehandling som sker vid användning av Google Analytics bör användning av denna tjänst även fortsättningsvis kräva ett samtycke.
Cookies walls: Riktlinjerna medför inte längre ett allmänt och absolut förbud mot “cookie walls”. CNIL anser dock att detta sannolikt, i vissa fall, kommer att påverka frivilligheten i användarnas samtycke varförlagligheten måste bedömas från fall till fall. Vidare så måste användarna tydligt informeras om konsekvenserna av deras val när en “cookie wall” installeras på en webbplats, i synnerhet i situationer när de inte kommer åt tjänsten eller innehållet på webbplatsen eller i appen om de inte ger sitt samtycke.
Vad händer nu?
CNIL går med på en övergångsperiod på sex månader för att webbplatsinnehavare ska ha möjlighet att anpassa sig till de nya reglerna för cookies (dvs. till slutet av mars 2021). CNIL kommer att genomföra kontroller för att säkerställa att riktlinjerna efterföljs efter denna övergångsperiod. I enlighet med Conseil d’Etats rättspraxis förbehåller sig CNIL dock rätten att vidta ytterligare åtgärder mot vissa överträdelser, särskilt vid allvarliga intrång i rätten till privatliv. Därutöver kommer CNIL under övergångsperioden att fortsätta att kontrollera överträdelser avseende tidigare gällande regler för cookies.