A Autoridade Francesa de Proteção de Dados (Commission Nationale de l'Informatique - CNIL) publicou um texto em 18 de março de 2021 para explicar suas diretrizes e recomendações sobre cookies e outras tecnologias de rastreamento. A publicação do FAQ coincide com o término da carência para atendimento às diretrizes e recomendações.

A CNIL irá prosseguir e reforçar as suas missões de auditoria em curso relacionadas com cookies. A fase 1 dessas missões de auditoria começou em outubro de 2020, principalmente por meio de inspeções online de sites para avaliar a conformidade com as diretrizes. Durante a Fase 2, com início em 1º de abril de 2021, a CNIL planeja reforçar suas missões de auditoria avaliando o cumprimento dessas novas diretrizes e recomendações. Portanto, acabou o tempo de adiar a conformidade com os cookies na França.

Histórico da legislação

As diretrizes e recomendações da CNIL de 17 de setembro de 2020 revogam as diretrizes anteriores de 2013 para levar em consideração a definição de consentimento da GDPR. Eles são as versões finais destes documentos após uma consulta pública e uma decisão de 19 de junho de 2020 do Supremo Tribunal Administrativo francês (Conseil d'Etat) que decidiu que a CNIL não tinha poderes para proibir cookies, exigindo que as diretrizes sejam modificadas.

As diretrizes estabelecem os requisitos legais gerais para cookies e outras tecnologias de rastreamento, enquanto a recomendação detalha o que a CNIL considera as melhores práticas para obter o consentimento dos usuários. Esses documentos indicam a interpretação jurídica e a posição da autoridade de dados, que pode emitir sanções da GDPR por descumprimento.

Aspectos principais das diretrizes e recomendações da CNIL sobre cookies

Consentimento e cookies: a CNIL explica que tornar o consentimento uma condição de acesso a um serviço pode infringir o princípio da GDPR de consentimento livre e recomenda a realização de uma avaliação caso a caso de tais modelos.

Um consentimento comum para todos os cookies não é aceitável, pois não fornece ao usuário uma escolha real. Um consentimento deve ser coletado para cada finalidade de cookie e manifestado por uma ação clara e positiva do usuário (por exemplo, marcar uma caixa, exibir controles deslizantes etc. desativado por padrão), como qualquer outra ação (por exemplo, rolar, navegar, etc) é considerada uma recusa.

Conteúdo do banner do cookie: Para fornecer informações facilmente acessíveis, a CNIL recomenda que as informações e opções (aceitar, rejeitar, etc.) sejam fornecidas no primeiro nível de informações com o mesmo design para que não possam enganar os usuários. 

Na prática, isso significaria, por exemplo, ter botões ou links para as opções "aceitar todos os cookies" / "recusar todos os cookies" exibidas com o mesmo formato, tamanho e tipo no banner do cookie. O CNIL ainda fornece um exemplo de banner de cookie com botões semelhantes para "aceitar todos", "recusar todos" e "personalizar minhas escolhas".

Retirada do consentimento: os usuários devem ser capazes de retirar o consentimento a qualquer momento e com facilidade. Os sites não podem depender apenas das configurações de cookies dos navegadores e sistemas operacionais para fornecer possibilidades de recusar cookies ou retirar o consentimento, mas também devem fornecer uma página acessível onde os usuários podem indicar e alterar suas escolhas.

Exceções de consentimento: em princípio, o consentimento dos usuários deve ser coletado para cada categoria ou finalidade de cookies. Existe uma exceção a esta regra, mas deve ser estritamente interpretada e diz respeito apenas a uma categoria específica de cookies, que são aqueles estritamente necessários. Cookies estritamente necessários são requeridos para o funcionamento do site e sem os quais ele não funciona. Eles são listados estritamente da seguinte forma:

• rastreadores armazenando a escolha expressa pelos usuários sobre o uso de rastreadores;
• rastreadores destinados à autenticação em um serviço, incluindo aqueles para garantir a segurança do mecanismo de autenticação;
• rastreadores destinados a armazenar um carrinho de compras;
• rastreadores usados ??para personalização da interface do usuário, onde tal personalização é uma parte intrínseca do serviço;
• rastreadores que permitem o balanceamento de carga dos equipamentos envolvidos em um serviço de comunicação;
• rastreadores que permitem que sites pagos limitem o acesso gratuito a uma amostra de conteúdo.

Próximos passos

A conformidade com as diretrizes e recomendações da CNIL sobre cookies deve ser implementada na França logo, pois esta é uma área que a CNIL está monitorando ativamente e será intensificada por meio de suas missões de auditoria em abril.