Cookie-uri de analiză și testare A/B — numai după consimțământ în Europa?

Publicat: 2020-05-26
Cookie-uri de analiză și testare A/B — numai după consimțământ în Europa?

Actualizat 19 februarie 2020: O nouă actualizare a CNIL afirmă că testarea A/B și măsurarea audienței sunt acum scutite de consimțământ .

Ai putea crede că GDPR a provocat o întrerupere doar atunci când a intrat în vigoare în mai 2018.

Adevărul este că Europa a fost în tumult pe tot parcursul anului 2019 și nu este o veste bună.

Autoritățile franceze și britanice pentru protecția datelor (CNIL și ICO) și-au actualizat notele de orientare emise în iulie 2019, subliniind că cookie-urile de analiză (inclusiv testarea A/B și personalizarea) au nevoie de consimțământ explicit înainte de a fi plasate pe dispozitivul unui vizitator. Ele se referă în mod specific la GDPR atunci când menționează consimțământul (cum ar fi opt-in-urile). Trebuie să se bazeze pe acțiunile active ale utilizatorului, nu pe setările implicite.

În februarie 2020, CNIL și-a schimbat poziția în această chestiune (mulțumesc lui Paul Schmitt pentru că mi-a subliniat acest lucru). Chiar dacă ICO și CNIL au declarat anterior că cookie-urile pentru testarea și analizele A/B au nevoie de consimțământ, cele mai recente linii directoare (în franceză) spun altceva:

„Beneficiați de scutirea de consimțământ, sub rezerva unui anumit număr de condiții, cookie-urile utilizate pentru măsurarea audienței sunt exceptate de la consimțământ. Aceste condiții, așa cum sunt specificate în ghidurile privind cookie-urile și alte dispozitive de urmărire, sunt (1) informarea utilizatorilor cu privire la utilizarea acestora; (2) să le dea puterea de a se opune; (3) să limiteze sistemul numai la următoarele scopuri: măsurarea audienței și testarea A/B.”

Aceasta înseamnă că instrumentele de analiză care sunt configurate numai pentru colectarea datelor de către o organizație (și nu sunt partajate în niciun fel cu terțe părți) pot fi instalate fără consimțământ. Această modificare ar putea fi una dificilă pentru Google Analytics. Acest acord special de la Mozilla a împins Google Analytics să nu-și partajeze datele cu alte servicii. În acest moment, nu este sigur că această setare este disponibilă pentru toți utilizatorii. Totuși, dacă Europa deschide ușa analizelor fără consimțământ, presupun că Google va trebui să urmeze cursul și să ofere această funcție bazei de clienți europeni.

Deși nicio altă autoritate națională europeană de confidențialitate nu a venit cu astfel de completări la legile Directivei privind confidențialitatea electronică (care erau în vigoare înainte de GDPR), acest lucru ar fi putut crea un vid legal între iulie 2020 și momentul în care noile Regulamente privind confidențialitatea electronică vor înlocui directiva actuală.

Ce s-a întâmplat? Ce sa schimbat?

Pentru un rezumat al principalelor modificări aduse legilor privind confidențialitatea din Europa, urmăriți videoclipul de mai jos ( avertisment : în videoclip am menționat în mod eronat că modificările au fost implementate în 2018, când de fapt au fost efectuate în 2019).

„Legea cookie-urilor” din Directiva europeană ePrivacy din 2011 și versiunea din Regatul Unit, Reglementările privind confidențialitatea și comunicațiile electronice (Directiva CE) din 2003 („PECR”), au fost recent reinterpretate de ICO. Această modificare înseamnă solicitarea „consimțământului” pentru eliminarea oricăror module cookie „neesențiale”, indiferent dacă sunt sau nu colectate date personale.

În 2012, ICO a declarat că consimțământul implicit (adică o renunțare, mai degrabă decât o înscriere) era permisă:

Consimțământul implicit a fost întotdeauna o propunere rezonabilă în contextul legii privind protecția datelor și al reglementării confidențialității și rămâne așa în contextul stocării de informații sau al accesului la informații folosind cookie-uri și dispozitive similare.

Pe 18 iulie 2019, autoritatea franceză de confidențialitate (CNIL) a lansat noile sale linii directoare privind utilizarea cookie-urilor. Regulile aplicabile cookie-urilor HTTP se aplică și multor alte tehnologii de urmărire („trackers”), inclusiv obiectelor locale partajate, amprentele echipamentelor terminale, identificatorii hardware și identificatorii generați de sistemele de operare. La fel ca liniile directoare ICO și GDPR, nici aici nu există o decizie separată cu privire la utilizarea cookie-urilor, dar amprentarea intră acum sub consimțământ.

Dar apoi CNIL face totul puțin confuz prin actualizarea paginii Github. Cele mai recente linii directoare ale CNIL afirmă că măsurarea audienței și testarea A/B sunt scutite de consimțământ și pot fi plasate imediat (opt-out).

Comitetul European pentru Protecția Datelor (EDPB) a emis un aviz scris în martie 2019, abordând interacțiunea dintre Directiva privind confidențialitatea electronică și GDPR, deoarece GDPR nu menționează cookie-uri și există un decalaj între cele două legi.

Unii au interpretat avizul EDPB în sensul că toate referirile la „consimțământ” din Directiva privind confidențialitatea electronică înseamnă consimțământ, așa cum este definit de GDPR. Pentru cookie-uri, aceasta înseamnă că nu puteți plasa cookie-uri fără ca oamenii să se înscrie în mod activ.

Deci, de ce și-au schimbat ICO și CNIL îndrumările la un an după intrarea în vigoare a GDPR? De ce s-au schimbat informațiile privind „renunțarea” cookie-urilor în opt-in-ul de consimțământ în 13 luni?

Avem Planet49 de care să-i mulțumim pentru asta.

La 30 noiembrie 2017, Planet49, un site web și o companie germană, a fost adus în judecată pentru mai multe practici îndoielnice, având în vedere GDPR și Directiva ePrivacy.

Chiar dacă a trebuit să așteptăm rezultatele (atașate integral în partea de jos a articolului), hotărârea a dat tonul că era nevoie de linii directoare mai clare pentru fiecare țară.

Din cauza acestei hotărâri, CNIL și ICO au început să își actualizeze liniile directoare pentru a reflecta modul în care legile actuale privind confidențialitatea acoperă consimțământul, partajarea informațiilor și cookie-urile (de analiză și urmărire). Va trebui să așteptăm și să vedem dacă CNIL influențează alte țări europene pentru a permite cookie-uri de măsurare a audienței și de testare A/B.

Bătălia scutirii de cookie-uri „strict necesar”.

Atunci când companiile de testare A/B au adaptat practicile GDPR, cookie-urile de analiză și de testare A/B ar putea fi prezentate clienților ca fiind esențiale pentru o afacere. În schimb, s-a concentrat mai mult pe instrumentele de urmărire a reclamelor.

În zilele noastre, s-ar putea ascunde în spatele scutirii de cookie-uri strict necesare. Am auzit chiar pe cineva spunând „dar echipa noastră juridică a spus că putem plasa cookie-ul Google Analytics fără consimțământ”. Am fost și în acea tabără până când am citit noile linii directoare ale ICO. Site-ul lor oferă câteva exemple bune despre ce cookie-uri sunt esențiale pentru funcționarea site-ului web și pentru interacțiunea corectă cu utilizatorul. Cu noi linii directoare care apar tot timpul, aderarea strictă la o parte sau la cealaltă poate fi confuză. Unele companii urmează acum cele mai recente recomandări ale CNIL.

În exemplele de mai jos, un cookie este „strict necesar” pentru a oferi un serviciu utilizatorilor. În fiecare caz, se aplică scutiri și nu este necesar consimțământul:

  • Un cookie folosit pentru a aminti produsele pe care un utilizator dorește să le cumpere atunci când merge la casă sau adaugă produse în coșul de cumpărături,
  • Cookie-uri care sunt esențiale pentru a respecta principiul de securitate al GDPR pentru o activitate pe care utilizatorul a solicitat -o ​​- de exemplu, în legătură cu serviciile bancare online,
  • Cookie-uri care ajută la asigurarea faptului că conținutul unei pagini se încarcă rapid și eficient prin distribuirea sarcinii de lucru pe numeroase computere (aceasta este adesea denumită „echilibrare de încărcare” sau „proxy inversă”).

Este important să ne amintim că ceea ce este „strict necesar” ar trebui să fie evaluat din punctul de vedere al utilizatorului sau al abonatului, nu din punctul tău de vedere. Deci, de exemplu, deși ați putea considera cookie-urile de publicitate ca fiind „strict necesare”, deoarece aduc venituri care vă finanțează serviciul, ele nu sunt „strict necesare” din perspectiva utilizatorului.

Exemplu de cookie-uri necesare și de analiză

Cookie-urile despre care ICO afirmă că au nevoie de consimțământul utilizatorului (opt-in proactiv prin acțiunea utilizatorului) sunt de exemplu:

  • Cookie-uri utilizate pentru analiză , de exemplu pentru a număra numărul de vizite unice pe un site web (care ar include personalizarea și testarea A/B),
  • Cookie-uri de publicitate primare și terțe (inclusiv cele utilizate în scopuri operaționale legate de publicitatea terților, cum ar fi detectarea fraudei prin clicuri, cercetarea, îmbunătățirea produsului etc.),
  • Cookie-uri folosite pentru a recunoaște un utilizator atunci când revine pe un site web , astfel încât salutul pe care îl primește poate fi personalizat (personalizarea este menționată în mod special de ICO).

Hotărârea CEJ „Planet49” din 1 octombrie 2019

În octombrie 2019, Curtea de Justiție a Uniunii Europene („CJUE”) a hotărât în ​​hotărârea „Planet49” că consimțământul standard GDPR se aplică și pentru setarea cookie-urilor în temeiul Directivei privind confidențialitatea electronică , în urma interpretării conform căreia CNIL și ICO a fost implementat din iulie 2019.

Prin urmare, este necesar consimțământul activ și informat pentru plasarea de cookie-uri și tehnologii de profilare (cum ar fi amprentarea), inclusiv cookie-uri de publicitate (dar nu cookie-uri strict necesare).

Căsuțele pre-bifate, precum cele cu care Planet49 a încercat să scape, nu sunt un mijloc valid de a obține consimțământul.

Noi, ca companie, ne-am reconstruit întreaga infrastructură pentru a ne asigura că respectăm GDPR și nu am stocat date personale în cookie-uri.

RESURSA RECOMANDATĂ : Convert Experiences este cea mai axată pe confidențialitate soluție de testare A/B de pe piață

În hotărârea CJUE se precizează că nu contează dacă datele personale sunt colectate prin cookie-uri. Consimțământul trebuie obținut chiar și atunci când plasarea cookie-urilor nu implică prelucrarea datelor cu caracter personal. Operatorul ar trebui să informeze utilizatorii despre durata de viață a fiecărui cookie și despre accesul oricăror terți la informațiile colectate prin astfel de cookie-uri, înainte de a obține consimțământul acestora.

Vreo speranță fără consimțământ pentru cookie-uri de analiză și testare A/B?

ICO nu face distincție între cookie-urile utilizate pentru analiză și cele utilizate în alte scopuri, dar CNIL face.

Cookie-urile de analiză nu se încadrează în scutirea „strict necesară” pentru ICO. Aceasta înseamnă că întreprinderile trebuie să informeze utilizatorii despre cookie-urile de analiză și să obțină consimțământul pentru utilizarea lor în Regatul Unit, în timp ce în Franța, CNIL permite analize (cu limitări) și testare A/B fără consimțământ.

ICO (Marea Britanie) descrie cookie-urile utilizate pentru publicitate online sau analiză web ca fiind neesențiale, așa că necesită consimțământ prealabil. Acestea includ cookie-uri primare și cookie-uri primare, astfel cum sunt setate de furnizori terți (a se citi Convert sau Google Analytics). Convert respectă, de asemenea, reglementările CNIL și nu partajează seturi de date între clienți, iar instalările sunt numai pentru fiecare client, astfel încât testarea A/B și personalizarea cu reținere pentru testare sunt permise.

Ghidul ICO afirmă clar:

Consimțământul este necesar pentru cookie-urile de analiză primare, chiar dacă acestea ar putea să nu pară la fel de intruzive ca altele care ar putea urmări un utilizator pe mai multe site-uri sau dispozitive.

Consimțământul este necesar pentru cookie-urile de analiză primare, chiar dacă acestea ar putea să nu pară la fel de intruzive ca altele care ar putea urmări un utilizator pe mai multe site-uri sau dispozitive.

Deși ICO nu poate exclude posibilitatea unei acțiuni oficiale în orice domeniu, acesta poate să nu fie întotdeauna cazul în care setarea unui cookie de analiză primar are ca rezultat un nivel scăzut de intruziune și un risc scăzut de vătămare a persoanelor. Cu toate acestea, ar trebui să rețineți că atunci când utilizați cookie-uri de analiză primare furnizate de o terță parte, acest lucru nu va fi neapărat cazul.

Ar trebui să știți că există o perioadă de grație pentru a urma liniile directoare PECR ale ICO până în iulie 2020.

Dacă informațiile colectate despre utilizarea site-ului web sunt transmise unei terțe părți, acest lucru ar trebui să fie clar pentru utilizatori. De asemenea, ar trebui să fie clar ce face această terță parte cu informațiile .

În funcție de serviciul dvs., puteți oferi utilizatorilor și posibilitatea de a modifica setările contului pentru a limita partajarea informațiilor cu terțe părți, inclusiv cu furnizorii de analize. (Un serviciu de analiză poate oferi, de asemenea, această funcționalitate, luați în considerare activarea acesteia, acolo unde este cazul.) Controalele furnizate utilizatorului ar trebui să fie afișate vizibil și nu ascunse.

În cele din urmă, oferiți utilizatorilor informații clare despre cookie-urile de analiză și solicitați-le acordul sau partajați informațiile (vechi bannere cookie). Acest lucru va implica probabil să le arătați utilizatorilor de ce le sunt utile aceste cookie-uri – dar trebuie să vă asigurați că nu îl împingeți pe utilizator să aleagă o opțiune în locul alta.

În anumite aspecte, astfel de documente de orientare merg mai departe decât proiectul actual al noului Regulament privind confidențialitatea electronică (dd. 4 octombrie 2019), care va înlocui Directiva existentă privind confidențialitatea electronică (și legile actuale PECR și franceză). În proiectul actual, acesta permite operatorilor să plaseze cookie-uri primare sau terțe pe dispozitivele utilizatorilor fără consimțământ pentru „măsurarea audienței” (adică să analizeze traficul care trece prin site-urile lor web pentru optimizarea serviciului).

Dacă mai aveți îndoieli, iată o diagramă din ICO care explică foarte bine utilizarea cookie-urilor.

Diagrama de la ICO privind noile linii directoare privind consimțământul și cookie-urile

Dă-mi-o direct

O problemă care ar putea apărea aici este că companiile care plasează cookie-uri vor încerca să interpreteze legea în felul lor. Dar, deși facem software de analiză, testare A/B și personalizare, vă vom oferi direct.

  1. Autoritățile de confidențialitate din Regatul Unit (ICO) și Franța (CNIL) și-au schimbat liniile directoare în iulie 2019, declarând că software de analiză, testare A/B și personalizare precum Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize iar restul toți au nevoie de înscriere folosind consimțământul pentru a plasa cookie-uri primare și terțe pentru cetățenii lor.
  2. Franța (CNIL) și-a schimbat pagina Github cu linii directoare care scutesc testarea A/B și analizele de bază de la consimțământul cookie-urilor.
  3. Germania și Spania urmează fie Regatul Unit (ICO) fie Franța (CNIL) și vă puteți aștepta la actualizări cu privire la ghidurile lor în curând.
  4. Curtea de Justiție a Uniunii Europene („CJUE”) a hotărât în ​​hotărârea „Planet49” din octombrie 2019 că consimțământul standard GDPR se aplică și pentru setarea cookie-urilor în conformitate cu Directiva ePrivacy. Hotărârea reafirmă că liniile directoare din Regatul Unit și Franța trebuie să fie adoptate de toate autoritățile naționale de confidențialitate.
  5. Noua lege în proiect numită Regulamente privind confidențialitatea electronică, care va înlocui Directiva privind confidențialitatea electronică, are o excepție pentru cookie-uri pentru testarea A/B, personalizare și analiză.
  6. Este puțin probabil ca ICO sau CNIL să urmărească în mod activ companiile care folosesc analize primare, testare A/B și personalizare în acest moment. Reglementările privind confidențialitatea electronică vor intra probabil în vigoare la (jumătatea) anului 2021 și există o perioadă de grație până în iulie 2020. Domeniul de aplicare al activității acestor organizații este foarte larg.
  7. Trageți propriile concluzii pe baza a ceea ce considerăm o reprezentare corectă a ceea ce s-a întâmplat din iulie 2019 în Europa. Discutați cu consilierul dvs. juridic. Nu vă bazați sfatul pe un instrument care vinde platforme de gestionare a consimțământului (aceștia vor tot consimțământul), dar nici de la furnizorii de analize, teste A/B și instrumente de personalizare... noi și ei.

Sper că acest articol a ajutat să arunce o lumină asupra schimbărilor care au loc chiar acum în Europa.

Deși dăunează modelului nostru de afaceri, ne străduim întotdeauna să împărtășim adevărul.

Ne dorim ca instrumentele noastre de optimizare să fie folosite pentru a oferi cea mai bună experiență de utilizare, astfel încât utilizatorii să obțină cea mai bună pagină de produs, cel mai puțin confuz meniu, formularul care le economisește timp pentru a o completa.

Vedem optimizarea site-ului web ca pe un meșteșug nobil, în interesul vizitatorilor și proprietarilor site-ului (clienții noștri plătitori) deopotrivă. Dorim ca clienții noștri să ia în serios confidențialitatea și să includă avertismente și confidențialitate chiar în fiecare nivel al instrumentelor noastre. Stocăm doar date agregate – și nu date personale – în instrumentele noastre, de dragul respectării și confidențialității.

Chiar ne pasă. Deși s-ar putea să ne aflăm într-un punct dificil din cauza actualului ICO și a liniilor directoare CNIL în continuă schimbare și a Regulamentelor privind confidențialitatea electronică, știm că, cu o transparență deplină, vom fi compania preferată pentru mărcile cărora le pasă de confidențialitate și în care consumatorii pot avea încredere. .

În acest scop, am lansat un mic pop-up care le arată vizitatorilor site-ului la ce personalizări și teste A/B fac parte.

Este un cod opțional pe care clienții îl pot adăuga la Javascript-ul lor global în cadrul instrumentului de testare și personalizare Convert Experiences A/B (vezi imaginea de mai jos despre cum funcționează).

Clienții de cod opțional pot adăuga la Javascript-ul lor global în cadrul instrumentului de testare și personalizare Convert Experiences A/B

Dacă doriți să discutați despre confidențialitate, despre soluțiile CNAME la care lucrăm sau despre noi evoluții legale, vă rugăm să mă contactați pe LinkedIn.

Hotărârea Curții (Marea Cameră) din 1 octombrie 2019 (cerere de pronunțare a unei hotărâri preliminare formulată de Bundesgerichtshof — Germania)

Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV v Planet49 GmbH (sursa Curia)

(Cauza C-673/17) 1

(Triminare pentru o hotărâre preliminară — Directiva 95/46/CE — Directiva 2002/58/CE — Regulamentul (UE) 2016/679 — Prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice — Cookies — Conceptul de consimțământ al subiectul datelor — Declarație de consimțământ prin intermediul unei casete de selectare pre-bifate)

Limba de procedură: germană

Instanța de trimitere

Bundesgerichtshof

Părțile în acțiunea principală

Reclamant: Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV

Pârâtă: Planet49 GmbH

Dispozitivul hotărârii

Articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Directiva privind confidențialitate și comunicații electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, coroborată cu articolul 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliul din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și articolul 4 alineatul (11) și articolul 6 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor), trebuie să fie interpretat în sensul că consimțământul la care se face referire în acele prevederi nu este valabil constituită dacă, sub formă de cookie-uri, stocarea de informații sau accesul la informații deja stocate în echipamentul terminal al unui utilizator de site este permisă prin intermediul unei casete de selectare pre-bifate pe care utilizatorul trebuie să o deselecteze pentru a o refuza consimțământul său.

Articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, coroborat cu articolul 2 litera (h) din Directiva 95/46 și cu articolul 4 alineatul (11) și cu articolul 6 alineatul (1). )(a) din Regulamentul 2016/679, nu trebuie interpretate diferit în funcție de faptul că informațiile stocate sau accesate pe echipamentul terminal al unui utilizator de site web sunt sau nu date cu caracter personal în sensul Directivei 95/46 și al Regulamentului 2016/679.

Articolul 5 alineatul (3) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le furnizeze unui utilizator de site includ durata de funcționare a cookie-urilor și dacă terți părțile pot avea acces la acele cookie-uri.

____________

1 JO C 112, 26.3.2018.

GDPR - CRO Toolbox
GDPR - CRO Toolbox