• Beranda
  • Artikel
  • SEO
  • Cookie Analytics dan Pengujian A/B — Hanya Setelah Persetujuan di Eropa?

Cookie Analytics dan Pengujian A/B — Hanya Setelah Persetujuan di Eropa?

Diterbitkan: 2020-05-26
Cookie Analytics dan Pengujian A/B — Hanya Setelah Persetujuan di Eropa?

Diperbarui 19 Februari 2020: Pembaruan baru dari CNIL menyatakan bahwa pengujian A/B dan pengukuran audiens kini dikecualikan dari izin .

Anda mungkin mengira GDPR hanya menyebabkan gangguan ketika mulai berlaku pada Mei 2018.

Yang benar adalah Eropa telah mengalami kekacauan sepanjang 2019 dan itu bukan kabar baik.

Otoritas perlindungan data Prancis dan Inggris (CNIL dan ICO) memperbarui catatan panduan mereka yang dikeluarkan pada Juli 2019, menyoroti bahwa cookie analitik (termasuk pengujian A/B dan personalisasi) memerlukan persetujuan eksplisit sebelum ditempatkan di perangkat pengunjung. Mereka secara khusus merujuk ke GDPR saat menyebutkan persetujuan (seperti keikutsertaan). Itu harus didasarkan pada tindakan pengguna aktif, bukan pada pengaturan default.

Pada Februari 2020, CNIL mengubah pendiriannya tentang masalah ini (terima kasih kepada Paul Schmitt karena telah menunjukkan hal ini kepada saya). Meskipun ICO dan CNIL sebelumnya menyatakan bahwa cookie untuk pengujian dan analitik A/B memerlukan persetujuan, pedoman terbaru (dalam bahasa Prancis) mengatakan sebaliknya:

“Manfaat dari pengecualian dari persetujuan, tunduk pada sejumlah kondisi tertentu, cookie yang digunakan untuk pengukuran audiens dikecualikan dari persetujuan. Ketentuan ini, sebagaimana ditentukan dalam pedoman tentang cookie dan pelacak lainnya, adalah (1) memberi tahu pengguna tentang penggunaannya; (2) memberi mereka kekuatan untuk menentangnya; (3) untuk membatasi sistem hanya untuk tujuan berikut: pengukuran audiens dan pengujian A/B.”

Ini berarti bahwa alat analitik yang disiapkan hanya untuk pengumpulan data oleh organisasi (dan tidak dibagikan dengan cara apa pun kepada pihak ketiga) dapat diinstal tanpa persetujuan. Perubahan ini mungkin sulit bagi Google Analytics. Perjanjian khusus dari Mozilla ini mendorong Google Analytics untuk tidak membagikan datanya dengan layanan lain. Saat ini, pengaturan ini belum pasti tersedia untuk semua pengguna. Namun, jika Eropa membuka pintu analitik tanpa persetujuan, saya berasumsi Google harus mengikuti kursus dan memberikan fitur ini kepada basis pelanggan Eropanya.

Meskipun tidak ada otoritas privasi nasional Eropa lainnya yang datang dengan tambahan seperti itu pada undang-undang ePrivacy Directive (yang ada sebelum GDPR), ini mungkin telah menciptakan kekosongan hukum antara Juli 2020 dan saat Peraturan ePrivacy baru akan menggantikan Directive saat ini.

Apa yang terjadi? Apa yang berubah?

Untuk ringkasan perubahan utama undang-undang privasi di Eropa, tonton video di bawah ini ( penafian : dalam video saya salah menyebutkan bahwa perubahan diterapkan pada tahun 2018, padahal sebenarnya dilakukan pada tahun 2019).

“Cookie law” Pedoman ePrivasi Eropa tahun 2011 dan versi Inggris Raya, Peraturan Privasi dan Komunikasi Elektronik (EC Directive) tahun 2003 (“PECR”), baru-baru ini ditafsirkan ulang oleh ICO. Perubahan ini berarti meminta 'persetujuan' untuk menghapus cookie 'tidak penting', terlepas dari apakah data pribadi dikumpulkan atau tidak.

Pada tahun 2012, ICO menyatakan bahwa persetujuan tersirat (yaitu memilih keluar daripada memilih ikut) diizinkan:

Persetujuan tersirat selalu menjadi proposisi yang masuk akal dalam konteks undang-undang perlindungan data dan peraturan privasi dan tetap demikian dalam konteks penyimpanan informasi atau akses ke informasi menggunakan cookie dan perangkat serupa.

Pada 18 Juli 2019, otoritas privasi Prancis (CNIL) merilis pedoman barunya terkait penggunaan cookie. Aturan yang berlaku untuk cookie HTTP juga berlaku untuk banyak teknologi pelacakan lainnya (“pelacak”), termasuk objek bersama lokal, sidik jari peralatan terminal, pengidentifikasi perangkat keras, dan pengidentifikasi yang dihasilkan oleh sistem operasi. Sama seperti pedoman ICO dan GDPR, di sini juga tidak ada keputusan terpisah tentang penggunaan cookie, tetapi sidik jari sekarang berada di bawah persetujuan.

Tapi kemudian CNIL membuat semuanya sedikit membingungkan dengan memperbarui halaman Github mereka. Pedoman terbaru CNIL menyatakan bahwa pengukuran audiens dan pengujian A/B dikecualikan dari persetujuan dan dapat langsung ditempatkan (opt-out).

European Data Protection Board (EDPB) mengeluarkan opini tertulis pada Maret 2019 yang membahas interaksi antara ePrivacy Directive dan GDPR, karena GDPR tidak menyebutkan cookie dan ada kesenjangan antara kedua undang-undang tersebut.

Beberapa orang menafsirkan pendapat EDPB sebagai makna bahwa semua referensi ke “persetujuan” dalam ePrivacy Directive berarti persetujuan sebagaimana didefinisikan oleh GDPR. Untuk cookie, ini berarti Anda tidak dapat menempatkan cookie tanpa orang yang secara aktif ikut serta.

Jadi mengapa ICO dan juga CNIL mengubah pedoman mereka setahun setelah GDPR mulai berlaku? Mengapa informasi mengenai "memilih tidak ikut" cookie berubah menjadi persetujuan ikut serta dalam 13 bulan?

Kami memiliki Planet49 untuk berterima kasih untuk itu.

Pada 30 November 2017, Planet49, sebuah situs web dan perusahaan Jerman, dibawa ke pengadilan atas beberapa praktik yang dipertanyakan dengan mempertimbangkan Pedoman GDPR dan ePrivacy.

Meskipun kami harus menunggu hasilnya (terlampir secara lengkap di bagian bawah artikel), keputusan tersebut menetapkan bahwa diperlukan pedoman yang lebih jelas untuk setiap negara.

Karena keputusan ini, CNIL dan ICO mulai memperbarui pedoman mereka untuk mencerminkan bagaimana undang-undang privasi saat ini mencakup izin, berbagi informasi, dan cookie (analisis dan pelacakan). Kami harus menunggu dan melihat apakah CNIL memengaruhi negara-negara Eropa lainnya untuk mengizinkan pengukuran audiens dan cookie pengujian A/B.

Pertempuran Pengecualian Cookie 'Sangat Diperlukan'

Saat kami perusahaan pengujian A/B mengadaptasi praktik GDPR, analitik dan cookie pengujian A/B dapat disajikan kepada pelanggan sebagai hal yang penting untuk bisnis. Sebaliknya, fokusnya lebih pada pelacak iklan.

Saat ini, seseorang mungkin bersembunyi di balik pengecualian cookie yang sangat diperlukan. Saya bahkan mendengar seseorang berkata "tetapi tim hukum kami mengatakan bahwa kami dapat menempatkan cookie Google Analytics tanpa persetujuan". Saya juga berada di kamp itu sampai saya membaca pedoman baru ICO. Situs mereka memberikan beberapa contoh bagus tentang cookie apa yang penting untuk fungsi situs web dan interaksi pengguna yang tepat. Dengan pedoman baru yang keluar setiap saat, berpegang teguh pada satu sisi atau sisi lainnya dapat membingungkan. Beberapa perusahaan sekarang mengikuti rekomendasi terbaru CNIL.

Dalam contoh di bawah, cookie 'sangat diperlukan' untuk menyediakan layanan kepada pengguna. Dalam setiap kasus, pengecualian berlaku dan tidak diperlukan persetujuan:

  • Cookie yang digunakan untuk mengingat produk yang ingin dibeli pengguna saat mereka pergi ke kasir atau menambahkan barang ke keranjang belanja mereka,
  • Cookie yang penting untuk mematuhi prinsip keamanan GDPR untuk aktivitas yang diminta pengguna — misalnya, sehubungan dengan layanan perbankan online,
  • Cookie yang membantu memastikan bahwa konten halaman dimuat dengan cepat dan efektif dengan mendistribusikan beban kerja ke banyak komputer (ini sering disebut sebagai 'load balancing' atau 'proxy terbalik').

Penting untuk diingat bahwa apa yang 'sangat diperlukan' harus dinilai dari sudut pandang pengguna atau pelanggan, bukan dari sudut pandang Anda sendiri. Jadi, misalnya, sementara Anda mungkin menganggap cookie iklan sebagai 'sangat diperlukan' karena menghasilkan pendapatan yang mendanai layanan Anda, cookie itu tidak 'sangat diperlukan' dari sudut pandang pengguna.

Contoh cookie yang diperlukan dan analitik

Cookie yang dinyatakan ICO memerlukan persetujuan pengguna (keikutsertaan proaktif berdasarkan tindakan pengguna) misalnya:

  • Cookie yang digunakan untuk analitik , misalnya untuk menghitung jumlah kunjungan unik ke situs web (yang mencakup personalisasi dan pengujian A/B),
  • Cookie iklan pihak pertama dan ketiga (termasuk yang digunakan untuk tujuan operasional terkait dengan iklan pihak ketiga, seperti deteksi penipuan klik, penelitian, peningkatan produk, dll.),
  • Cookie digunakan untuk mengenali pengguna ketika mereka kembali ke situs web sehingga sapaan yang mereka terima dapat disesuaikan (personalisasi secara khusus disebutkan oleh ICO).

Keputusan ECJ “Planet49” 1 Oktober 2019

Pada bulan Oktober 2019, Pengadilan Kehakiman Uni Eropa ('CJEU') memutuskan dalam penilaian “Planet49” bahwa persetujuan standar GDPR juga berlaku untuk pengaturan cookie di bawah Pedoman ePrivacy , mengikuti interpretasi bahwa CNIL dan ICO telah diterapkan sejak Juli 2019.

Oleh karena itu, persetujuan aktif dan terinformasi diperlukan untuk menempatkan cookie dan teknologi pembuatan profil (seperti sidik jari), termasuk cookie iklan (tetapi bukan cookie yang benar-benar diperlukan).

Kotak yang telah dicentang sebelumnya, seperti yang coba disingkirkan oleh Planet49, bukanlah cara yang sah untuk mendapatkan persetujuan.

Kami sebagai perusahaan membangun kembali seluruh infrastruktur kami untuk memastikan bahwa kami mematuhi GDPR dan tidak menyimpan data pribadi dalam cookie.

SUMBER YANG DIREKOMENDASIKAN : Convert Experiences adalah Solusi Pengujian A/B yang Paling Berfokus pada Privasi di Pasar

Keputusan CJEU menyatakan bahwa tidak masalah apakah data pribadi dikumpulkan melalui cookie. Persetujuan harus diperoleh bahkan ketika penempatan cookie tidak melibatkan pemrosesan data pribadi. Pengontrol harus memberi tahu pengguna tentang masa pakai setiap cookie dan akses pihak ketiga mana pun ke informasi yang dikumpulkan melalui cookie tersebut, sebelum mendapatkan persetujuan mereka.

Harapan Non-persetujuan untuk Cookie Analytics dan Pengujian A/B?

ICO tidak membedakan antara cookie yang digunakan untuk analitik dan yang digunakan untuk tujuan lain, tetapi CNIL melakukannya.

Cookie analitik tidak termasuk dalam pengecualian 'sangat diperlukan' untuk ICO. Ini berarti bisnis perlu memberi tahu pengguna tentang cookie analitik dan mendapatkan persetujuan untuk penggunaannya di Inggris Raya, sementara di Prancis, CNIL mengizinkan analitik (dengan batasan) dan pengujian A/B tanpa persetujuan.

ICO (Inggris Raya) menjelaskan cookie yang digunakan untuk iklan online atau analisis web sebagai tidak penting, sehingga memerlukan persetujuan sebelumnya. Ini termasuk cookie pihak pertama dan cookie pihak pertama sebagaimana ditetapkan oleh penyedia pihak ketiga (baca Konversi atau Google Analytics). Konversi juga mematuhi peraturan CNIL dan tidak membagikan kumpulan data di antara pelanggan dan pemasangan hanya per pelanggan, jadi pengujian A/B dan personalisasi dengan penahanan untuk pengujian diperbolehkan.

Panduan ICO dengan jelas menyatakan:

Persetujuan diperlukan untuk cookie analitik pihak pertama, meskipun cookie tersebut mungkin tidak tampak mengganggu seperti cookie lainnya yang mungkin melacak pengguna di beberapa situs atau perangkat.

Persetujuan diperlukan untuk cookie analitik pihak pertama, meskipun cookie tersebut mungkin tidak tampak mengganggu seperti cookie lainnya yang mungkin melacak pengguna di beberapa situs atau perangkat.

Meskipun ICO tidak dapat mengesampingkan kemungkinan tindakan formal di area mana pun, ini mungkin tidak selalu terjadi di mana pengaturan cookie analitik pihak pertama menghasilkan tingkat gangguan yang rendah dan risiko bahaya yang rendah bagi individu. Namun, Anda juga harus memperhatikan bahwa jika Anda menggunakan cookie analitik pihak pertama yang disediakan oleh pihak ketiga, hal ini belum tentu akan terjadi.

Anda harus tahu ada masa tenggang untuk mengikuti pedoman PECR ICO hingga Juli 2020.

Jika informasi yang dikumpulkan tentang penggunaan situs web diteruskan ke pihak ketiga, ini harus dijelaskan kepada pengguna. Juga harus jelas apa yang dilakukan pihak ketiga ini dengan informasi tersebut .

Bergantung pada layanan Anda, Anda juga dapat menawarkan kepada pengguna kemampuan untuk mengubah pengaturan akun untuk membatasi berbagi informasi dengan pihak ketiga, termasuk penyedia analitik. (Layanan analitik juga dapat menyediakan fungsi ini, pertimbangkan untuk mengaktifkannya, jika perlu.) Kontrol yang diberikan kepada pengguna harus ditampilkan dengan jelas dan tidak disembunyikan.

Pada akhirnya, berikan informasi yang jelas kepada pengguna tentang cookie analitik dan minta persetujuan mereka atau bagikan informasi tersebut (spanduk cookie lama). Ini mungkin melibatkan menunjukkan kepada pengguna mengapa cookie ini berguna bagi mereka — tetapi Anda harus memastikan bahwa Anda tidak mendorong pengguna untuk memilih satu opsi daripada opsi lainnya.

Pada aspek-aspek tertentu, dokumen panduan tersebut lebih jauh dari draf Peraturan ePrivasi yang baru saat ini (dd. 4 Oktober 2019), yang akan menggantikan Arahan ePrivasi yang ada (dan undang-undang PECR dan Prancis saat ini). Dalam draf saat ini, mengizinkan operator untuk menempatkan cookie pihak pertama atau ketiga pada perangkat pengguna tanpa persetujuan untuk "pengukuran audiens" (yaitu untuk menganalisis lalu lintas yang melewati situs web mereka untuk mengoptimalkan layanan).

Jika masih ragu, berikut diagram dari ICO yang menjelaskan penggunaan cookies dengan sangat baik.

Diagram dari ICO tentang pedoman persetujuan & cookie baru

Berikan padaku secara langsung

Masalah yang dapat muncul di sini adalah bahwa perusahaan yang menempatkan cookie akan mencoba menafsirkan undang-undang dengan cara mereka sendiri. Tetapi meskipun kami membuat perangkat lunak analitik, pengujian A/B, dan personalisasi, kami akan memberikannya langsung kepada Anda.

  1. Otoritas privasi Inggris Raya (ICO) dan Prancis (CNIL) mengubah pedoman mereka pada Juli 2019 yang menyatakan bahwa perangkat lunak analitik, pengujian A/B, dan personalisasi seperti Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize dan sisanya semua perlu ikut serta menggunakan persetujuan untuk menempatkan cookie pihak pertama dan ketiga bagi warganya.
  2. France (CNIL) mengubah halaman Github mereka dengan pedoman yang mengecualikan pengujian A/B dan analisis dasar dari izin cookie.
  3. Jerman dan Spanyol mengikuti Inggris Raya (ICO) atau Prancis (CNIL) dan Anda dapat mengharapkan pembaruan tentang pedoman mereka segera.
  4. Pengadilan Kehakiman Uni Eropa ('CJEU') memutuskan dalam penilaian “Planet49” pada Oktober 2019 bahwa persetujuan standar GDPR juga berlaku untuk pengaturan cookie di bawah Pedoman ePrivasi. Putusan itu menegaskan kembali bahwa pedoman Inggris dan Prancis perlu diadopsi oleh semua otoritas privasi nasional.
  5. Undang-undang baru dalam rancangan yang disebut Peraturan ePrivasi yang akan menggantikan Arahan ePrivasi memiliki pengecualian cookie untuk pengujian A/B, personalisasi, dan analitik.
  6. Tidak mungkin ICO atau CNIL akan secara aktif mengejar perusahaan yang menggunakan analitik pihak pertama, pengujian A/B, dan personalisasi saat ini. Peraturan ePrivasi kemungkinan akan berlaku pada (pertengahan) 2021 dan ada masa tenggang hingga Juli 2020. Ruang lingkup kerja organisasi-organisasi ini sangat luas.
  7. Buat kesimpulan Anda sendiri berdasarkan apa yang kami anggap sebagai representasi yang adil dari apa yang terjadi sejak Juli 2019 di Eropa. Bicaralah dengan penasihat hukum Anda. Jangan mendasarkan saran Anda pada alat yang menjual platform manajemen persetujuan (mereka menginginkan semua persetujuan), tetapi tidak juga dari penyedia analitik, pengujian A/B, dan alat personalisasi… kami dan mereka.

Saya harap artikel ini membantu menjelaskan perubahan yang terjadi saat ini di Eropa.

Meskipun itu menyakiti model bisnis kami, kami selalu berusaha untuk membagikan kebenaran.

Kami ingin alat pengoptimalan kami digunakan untuk memberikan pengalaman pengguna terbaik, sehingga pengguna mendapatkan halaman produk terbaik, menu paling tidak membingungkan, formulir yang menghemat waktu mereka untuk menyelesaikannya.

Kami melihat pengoptimalan situs web sebagai pekerjaan mulia, demi kepentingan terbaik pengunjung dan pemilik situs web (pelanggan kami yang membayar). Kami ingin pelanggan kami menganggap serius privasi dan membangun peringatan dan privasi langsung ke setiap lapisan alat kami. Kami hanya menyimpan data agregat — dan tidak ada data pribadi — ke dalam alat kami, demi kepatuhan dan privasi.

Kami sebenarnya peduli. Meskipun kami mungkin berada di tempat yang sulit karena ICO saat ini dan pedoman CNIL yang selalu berubah dan Peraturan ePrivasi, kami tahu bahwa dengan transparansi penuh, kami akan menjadi perusahaan pilihan untuk merek yang peduli dengan privasi dan yang dapat dipercaya konsumen .

Untuk tujuan ini, kami meluncurkan pop-up kecil yang menunjukkan kepada pengunjung situs web personalisasi dan pengujian A/B apa yang menjadi bagian dari mereka.

Ini adalah kode opsional yang dapat ditambahkan pelanggan ke Javascript global mereka di dalam alat pengujian dan personalisasi Convert Experiences A/B (lihat gambar di bawah tentang cara kerjanya).

kode opsional yang dapat ditambahkan pelanggan ke Javascript global mereka di dalam alat pengujian dan personalisasi A/B Convert Experiences

Jika Anda ingin mendiskusikan privasi, solusi CNAME yang sedang kami kerjakan, atau perkembangan hukum baru, hubungi saya di LinkedIn.

Putusan Pengadilan (Kamar Agung) 1 Oktober 2019 (permintaan putusan awal dari Bundesgerichtshof — Jerman)

Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV v Planet49 GmbH (sumber Curia)

(Kasus C-673/17) 1

(Referensi untuk keputusan pendahuluan — Directive 95/46/EC — Directive 2002/58/EC — Regulation (EU) 2016/679 — Pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik — Cookies — Konsep persetujuan dari subjek data — Pernyataan persetujuan melalui kotak centang yang telah dicentang sebelumnya)

Bahasa kasus: Jerman

Pengadilan rujukan

Bundesgerichtshof

Pihak dalam proses utama

Pemohon: Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV

Terdakwa: Planet49 GmbH

Bagian operasional dari penghakiman

Pasal 2(f) dan Pasal 5(3) Petunjuk 2002/58/EC Parlemen Eropa dan Dewan 12 Juli 2002 tentang pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik (Petunjuk tentang privasi dan komunikasi elektronik), sebagaimana diubah oleh Petunjuk 2009/136/EC Parlemen Eropa dan Dewan 25 November 2009, dibaca bersama dengan Pasal 2(h) Petunjuk 95/46/EC Parlemen Eropa dan Dewan 24 Oktober 1995 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data tersebut dan Pasal 4(11) dan Pasal 6(1)(a) Regulasi (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut, dan pencabutan Arahan 95/46 (Peraturan Perlindungan Data Umum), harus diartikan sebagai persetujuan dimaksud dalam ketentuan tersebut tidak sah jika, dalam bentuk cookie, penyimpanan informasi atau akses ke informasi yang sudah disimpan dalam peralatan terminal pengguna situs web diizinkan melalui kotak centang yang telah dicentang sebelumnya yang harus ditolak oleh pengguna. persetujuannya.

Pasal 2(f) dan Pasal 5(3) Petunjuk 2002/58, sebagaimana diubah dengan Petunjuk 2009/136, dibaca bersama dengan Pasal 2(h) Petunjuk 95/46 dan Pasal 4(11) dan Pasal 6(1 )(a) Regulasi 2016/679, tidak boleh ditafsirkan secara berbeda menurut apakah informasi yang disimpan atau diakses pada peralatan terminal pengguna situs web adalah data pribadi dalam arti Instruksi 95/46 dan Regulasi 2016/679.

Pasal 5(3) Directive 2002/58, sebagaimana diubah dengan Directive 2009/136, harus diartikan sebagai informasi yang harus diberikan oleh penyedia layanan kepada pengguna situs web termasuk durasi pengoperasian cookie dan apakah ketiga atau tidak pihak mungkin memiliki akses ke cookie tersebut.

____________

1 OJ C 112, 26.3.2018.

GDPR - Kotak Alat CRO
GDPR - Kotak Alat CRO