« フランス CNIL 人工知能に対する行動計画 | Main | OECD デジタル政府レビュー :トルコ »

2023.05.19

フランス CNIL Cookieに関するウェブプラクティスの変化:CNILが行動計画の影響を評価

こんにちは、丸山満彦です。

クッキーが受け入れるか、どうか、、、の選択肢の前もって出せという規制の話ですが、英国は、「普通の人わからないでしょう。そんな手間を増やすようなことしなくても。。。」という感じですから、フランスは、みんな理解しているよ。。。というのをデータで示したい?

そんなかんじでしょうかね。。。しらんけど。。。

 

⚫︎ CNIL

・2023.05.15 Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action

 

Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action Cookieに関するウェブプラクティスの変化:CNILが行動計画の影響を評価
Le plan d’action de la CNIL en matière de cookies (2020 à 2022) avait pour objectif de favoriser la conformité des professionnels aux nouvelles règles, tout en s’assurant de la bonne compréhension de celles-ci par les internautes. L’analyse des effets de sa régulation à travers le temps montre que ce plan d’action a eu un fort impact. CNILのCookieに関する行動計画(2020年から2022年)は、インターネットユーザーが新ルールを正しく理解できるようにしながら、専門家によるコンプライアンスを促進することを目的としている。その規制の効果を経年的に分析すると、この行動計画が強い影響を及ぼしていることがわかる。
Dans le cadre de son plan d’action sur les cookies et autres traceurs, la CNIL a publié ses lignes directrices ainsi qu’une recommandation le 1er octobre 2020, à l’issue d’une concertation avec l’écosystème et d’une consultation publique. Après cette première étape, la CNIL a instauré une période transitoire pour permettre aux éditeurs de site web de se mettre en conformité avec les nouvelles règles, avant de lancer des actions répressives, à partir du mois d’avril 2021. CNILは、Cookieやその他のトラッカーに関する行動計画の一環として、エコシステムとの協議や一般公開を経て、2020年10月1日にガイドラインと勧告を発表した。この最初のステップの後、CNILは、2021年4月から抑圧的な行動を開始する前に、ウェブサイト発行者が新しい規則を遵守するための経過期間を設定した。
Par la suite, la CNIL a entamé une démarche d’évaluation de la mise en place de ces lignes directrices et recommandation. L’objectif était d’examiner l’efficacité de ces outils, leur pertinence, leur bonne connaissance par les personnes et les responsables de traitement ainsi que leurs éventuels effets, notamment économiques. その後、CNILは、これらのガイドラインと勧告の実施に関する評価プロセスを開始した。その目的は、これらのツールの有効性、関連性、個人およびデータ管理者の知識、および考えられる効果(特に経済的なもの)を検証することであった。
Cette démarche visant à mesurer les effets de ses décisions sur le terrain a reposé sur : この分野での決定事項の効果を測定するためのこのアプローチは、以下の内容に基づいている:
des sondages réguliers évaluer la compréhension et l’utilisation des nouvelles règles par les internautes français ; フランスのインターネットユーザーによる新ルールの理解と利用を評価するための定期的な調査
la mise en place d’un observatoire interne pour étudier l’évolution des pratiques du web français en matière de cookies. Cookieに関するフランスのウェブ慣行の変化を調査するための内部観測所の設置。
Des utilisateurs mieux informés et un taux de refus en hausse ユーザーへの情報提供の向上と拒否率の上昇
Cinq vagues de sondages ont été menées par l’IFOP, de décembre 2019 à juin 2022, sur des échantillons de plus de 1 000 personnes représentatives de la population française, âgées de 18 ans et plus, par questionnaires auto-administrés en ligne. IFOPは、2019年12月から2022年6月にかけて、18歳以上のフランス人を代表する1000人以上のサンプルを対象に、自記式オンラインアンケートによる調査を5波実施した。
Une bien meilleure connaissance de la réglementation 規制に関する知識が格段に向上
En juin 2022, 95 % des personnes interrogées déclarent savoir ce que En juin 2022, 95 % des personnes interrogées déclarent savoir ce que sont les cookies et 52 % d’entre elles connaître précisément les évolutions réglementaires récentes sur le sujet (contre 44 % seulement en novembre 2020). Les personnes sont également bien au fait des différents usages des cookies : publicité personnalisée (81 %), mesure d’audience (78 %), ou publicité géolocalisée (78 %) et affichage de vidéos externes (64 %). 2022年6月には、回答者の95%がCookieとは何かを知っていると答え、52%がこのテーマに関する最近の規制の変更を正確に知っていた(2020年11月には44%しかいなかった)。また、パーソナライズされた広告(81%)、視聴者測定(78%)、または地理的に限定された広告(78%)、外部ビデオの表示(64%)など、Cookieのさまざまな用途についてもよく理解している。
Le recueil du consentement et une information suffisamment précise ont incontestablement permis aux internautes de comprendre l’usage qui est fait de leurs données. 同意の収集と十分に正確な情報により、インターネットユーザーが自分のデータがどのように使用されるかを理解できるようになったことは間違いない。
Pour autant, malgré ces chiffres, les internautes français ont encore une impression d’opacité : ils considèrent très majoritairement que l’information sur les entreprises de l’écosystème publicitaire est insuffisante ou inexistante (68 %) et sont seulement 32 % à considérer qu’elle est suffisante (+ 8 points vs. 2019). しかし、これらの数値にもかかわらず、フランスのインターネットユーザーは依然として不透明な印象を持っている。大多数が広告エコシステムの企業に関する情報が不十分または存在しないと考え(68%)、十分であると考えるのはわずか32%である(対2019年8ポイント増)。
Qualité de l’information sur les sites faisant du suivi de navigation via des cookies (juin 2022) Cookieで閲覧を追跡するサイトに関する情報の質(2022年6月時点)
Graphique_1_cookies_qualiteinformation
En juin 2022, 20 % des répondants considèrent encore que les sites web leur donnent moins de contrôle sur les cookies qu’il y a un an. Cette défiance envers le numérique concerne surtout les moins de 35 ans, les employés, ouvriers et, dans une moindre mesure, les non diplômés. 2022年6月においても、回答者の20%が、1年前と比較して、ウェブサイトがCookieをコントロールすることができないとみなしている。このデジタル技術に対する不信感は、主に35歳以下、従業員、勤め人、そしてそれほどでもないが、非大学院生に関係している。
Un taux de refus des cookies en hausse 高まるCookieの拒否率
L’évolution du taux de refus dans le temps accrédite globalement l’existence d’un consommateur-citoyen informé et actif. Si le taux de refus global atteint 39 % en juin 2022, il n’est pas pour autant devenu majoritaire, ce qui n’accrédite pas la thèse d’une « fatigue du consentement » en ligne. Le taux de personnes déclarant paramétrer les cookies passe d’ailleurs de 43 % en novembre 2020 à 49 % en juin 2022 (à l’inverse, les personnes utilisant moins Internet ont tendance à moins paramétrer : plus de 65 ans, personnes passant moins d’1 h par jour à naviguer). 拒否率の経年変化は、情報に敏感で活動的な消費者=市民の存在を全体的に裏付けている。全体の拒否率は2022年6月に39%に達したものの、まだ多数派にはなっておらず、ネット上の「同意疲れ」というテーゼを支持するものにはなっていない。 Cookieを設定していると宣言している人の割合は、2020年11月の43%から2022年6月には49%に上昇した(逆に、インターネットをあまり使わない人は、パラメータの設定が少ない傾向にある:65歳以上、1日のサーフィン時間が1時間未満の人)。
Le taux d’acceptation des cookies, de 59 %, reste élevé et comparable avec celui constaté par le baromètre 2022 du numérique réalisé sur la même population par le CREDOC, à 65 %. Cookieの受容率は59%と依然として高く、CREDOCが同じ母集団を対象に実施した2022年のデジタルバロメーター(65%)と同程度である。
Graphique_2_cookies_evolutiontauxrefus
Accepter ou refuser les cookies : un choix décorrelé de la catégorie socio-professionnelle Cookieを受け入れるか拒否するか:社会的職業カテゴリーとは無関係な選択である。
L’attitude par rapport au refus de cookies dépasse les clivages habituels de catégorie socio-professionnelle, d’âge ou de géographie. Parmi les catégories donnant moins leur accord, au-delà de la marge d’erreur, on trouve les ouvriers, les retraités et les habitants de l’Île-de-France, alors que les 25-34 ans, les habitants du Sud-Est ou d‘une commune rurale donnent plus souvent leur accord que la moyenne. À noter que le refus de donner son accord est néanmoins croissant dans le temps chez les 18-24 ans (+ 5 points entre octobre 2021 et juin 2022, date à laquelle 34 % des moins de 35 ans les refusaient contre 41 % des plus de 35 ans). Cookieを拒否する態度は、社会的職業カテゴリー、年齢、地域という通常の区分を超えている。 誤差の範囲内で同意が少ないカテゴリーには、ブルーカラー労働者、退職者、イル・ド・フランス地方の住民が含まれ、25~34歳、南東部の住民、農村のコミューンの住民は、平均よりも同意することが多いことがわかる。なお、18~24歳では時間の経過とともに同意拒否が増加している(2021年10月から2022年6月にかけて5ポイント上昇し、35歳未満の34%が同意拒否であるのに対し、35歳以上の41%は同意拒否)。
Par ailleurs, alors même que les ouvriers et employés ont un usage moins fréquent de l’Internet que les cadres et professions intermédiaires (77% pour le souvriers, 82% pour les employés contre 95% pour les cadres et 90% pour les professions intermédiaires, selon l’enquête TIC auprès des ménages 2019 de l’INSEE), cette différence d’usage ne se traduit pas par une différence d’attitude envers les cookies : les ouvriers et employés d’une part, les cadres et professions intermédiaires d’autre part, ressortent en moyenne dans les données IFOP à 39 % de refus, comme la moyenne nationale. さらに、ブルーカラー労働者や従業員は管理職や専門職よりもインターネットの利用頻度が低いにもかかわらず(INSEEの2019年ICT家庭調査によると、ブルーカラー労働者は77%、従業員は82%に対し、管理職は95%、専門職は90%)、この利用状況の違いがCookieに対する意識の違いにつながっていない:一方のブルーカラー労働者や従業員ともう一方の管理者や専門家は全国平均と同じくIFOPのデータで39%の平均拒否率を持っていると判明した。
Point intéressant, l’effet du diplôme tout comme l’usage d’Internet sont ambigus : si les personnes d’un niveau de diplôme inférieur au CAP/BEP refusent plus fréquemment, les diplômés du supérieur ont un taux de refus systématique plus élevé que la moyenne. De même, un usage peu fréquent d’Internet (moins de 1 h par jour) comme un usage intensif (plus de 4 h par jour) sont associés à un taux de refus supérieur à la moyenne. Ainsi la protection de la vie privée n’apparaît pas ici comme l’apanage des catégories les plus économiquement favorisées mais pourrait également s’interpréter comme un refus de l’exploitation économique qui est faite de leurs données par les catégories les moins économiquement favorisées. 興味深いことに、インターネットの利用状況だけでなく、卒業資格の効果も曖昧で、CAP/BEP以下の卒業資格レベルの人は拒否頻度が高いが、高等教育修了者は平均より高い拒否率を組織的に示している。同様に、インターネットの使用頻度が低い(1日1時間未満)、または使用頻度が高い(1日4時間以上)場合も、平均より高い拒否率と関連している。このように、プライバシーの保護は、経済的に最も恵まれたカテゴリーの特権ではなく、経済的に最も恵まれないカテゴリーによるデータの経済的利用を拒否していると解釈することも可能である。
Les finalités les plus acceptées sont la mesure d’audience (61 % de « oui » en juin 2022 contre 59 % en décembre 2019) et la personnalisation du site (56 % contre 55 %), alors que la publicité ciblée est moins acceptée (52 % d’acceptation en juin 2022, contre 44 % en décembre 2019). Par ailleurs, un bon taux d’acceptation de ces finalités va de pair avec leur bonne connaissance par les citoyens. 最も受け入れられている目的は、オーディエンス測定(2019年12月の59%に対し、2022年6月は61%の「はい」)とサイトのパーソナライズ(55%に対し56%)で、ターゲット広告はあまり受け入れられていない(2019年12月の44%に対し、2022年6月は52%の受け入れ)。さらに、これらの目的に対する受け入れ率の高さは、市民による知識の高さと密接に関係している。
Observer les évolutions des pratiques des sites web français à travers le temps フランスのウェブサイトの慣行における経時的な変化の観察
Suivant une méthodologie d’analyse des pratiques des sites en matière de cookies, fondée sur la solution CookieViz développée par la CNIL, le Laboratoire d’innovation numérique de la CNIL (LINC) a suivi, de janvier 2021 à août 2022, les pratiques des 1 000 sites à plus forte audience en France. L’analyse n’avait pas pour objectif d’apprécier la conformité de ces sites à la réglementation, mais permettait d’observer le nombre de cookies déposés ou lus par des acteurs tiers avant toute action de l’utilisateur. CNILが開発したCookieVizソリューションに基づく、Cookieに関するウェブサイトの慣行を分析するための手法に従い、CNILのデジタルイノベーション研究所(LINC)は、2021年1月から2022年8月まで、フランスで最も人気のあるウェブサイト1000の慣行を監視した。分析の目的は、これらのサイトが規制を遵守しているかどうかを評価することではなく、ユーザーによるアクションの前に第三者によって堆積または読み取られたCookieの数を観察することであった。
Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des services tiers qui ont été interrogés par le site visité et non pas à l’initiative de l’internaute lui-même : ces cookies peuvent être nécessaires au bon fonctionnement du site mais servent majoritairement au service tiers pour voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui, notamment à des fins publicitaires. 「第三者」Cookieとは、メインサイト以外のドメインに預けられるCookieのことで、一般に、ユーザー自身の主導ではなく、訪問したサイトによって要求された第三者サービスによって管理される。これらのCookieは、サイトの適切な機能には必要かもしれませんが、主に第三者サービスによって、ユーザーが当該サイトでどのページを訪問したかを確認し、ユーザーに関する情報、特に広告目的のために収集するために使われる。
Les résultats démontrent que l’action de la CNIL a permis de diminuer l’intensité du traçage publicitaire sur les sites web visités par les français. Ainsi, la part des sites déposant plus de 6 cookies tiers est passée de 24% à 12% entre janvier 2021 et août 2022. Parallèlement, la proportion du nombre de sites ne déposant aucun cookie tiers est passée de 20% à 29%. Dans le même temps, on constate une réduction du nombre moyen de cookies tiers déposés par site (voir ci-dessous), nombre qui doit être croisé avec les pratiques en matière d’information des personnes et de gestion du consentement par les sites avant de conclure à une non-conformité. この結果から、CNILの措置により、フランス人が訪問するウェブサイトにおける広告追跡の強度を下げることが可能になったことがわかる。このように、6個以上の第三者Cookieを預けているサイトの割合は、2021年1月から2022年8月にかけて24%から12%に減少した。同時に、サードパーティCookieを預けないサイトの割合は20%から29%に上昇した。同時に、1サイトあたりの平均サードパーティCookie預託数も減少しており(下記参照)、非対応と判断する前に、サイトの情報および同意の管理方法と照らし合わせる必要がある数字である。
Graphique_3_cookies_tiers
Ces résultats montrent des premiers résultats positifs des actions de la CNIL en ce qui concerne la première visite des sites, avant que l'utilisateur n’exprime un choix en matière de traceurs. Les chiffres indiquent toutefois que le traçage des données de navigation par les acteurs de la publicité ciblée, sans consentement des personnes, reste potentiellement important : en conséquence, la CNIL maintiendra ses efforts de mise en conformité sur les sites à forte audience en France. これらの結果は、ユーザーがトラッカーに関して選択を表明する前の、サイトへの最初の訪問に関して、CNILの措置の最初の肯定的な結果を示している。しかし、この数字は、ターゲット広告会社が同意なしに閲覧データを追跡していることが潜在的に重要であることを示している。そのため、CNILは、フランスで多くの利用者を持つサイトに対するコンプライアンスの取り組みを継続する。
CookieViz : l’extension de navigateur de la CNIL pour suivre le dépôt de cookies tiers en ligne CookieViz:サードパーティCookieをオンラインで追跡するためのCNILのブラウザ拡張機能
Les internautes peuvent également se faire une idée des pratiques des sites qu’ils visitent en matière de cookies en utilisant la solution CookieViz de la CNIL. Cette solution est désormais disponible en tant qu’extension de votre navigateur. インターネットユーザーは、CNILのCookieVizソリューションを使用することで、訪問するサイトのCookieの慣行を把握することもできます。このソリューションは現在、ブラウザの拡張機能として提供されている。
L’extension analyse les cookies déposés sur le navigateur et le nombre de tiers les ayant déposés. この拡張機能は、ブラウザに預けられたCookieと、それを預けた第三者の数を分析する。
Les contrôles, mises en demeure et sanctions de la CNIL CNILの管理、正式な通知、制裁
Depuis la publication de ses lignes directrices et recommandation, la CNIL a procédé à plusieurs vérifications de la bonne mise en conformité des sites visités par les internautes français. ガイドラインと勧告の発表以来、CNILは、フランスのインターネットユーザーが訪問するサイトのコンプライアンスについて、いくつかのチェックを実施してきた。
Ces contrôles ont porté sur les sites à plus fortes audiences visités par les internautes français, que l’éditeur du site soit établi en France, dans le reste de l’Europe ou dans un pays tiers. En effet, les nouvelles règles sont applicables à tous les acteurs du web, quels qu’ils soient, à partir du moment où l’internaute est situé en France. これらの検査は、フランスのインターネットユーザーが訪問する最も人気のあるサイトに焦点を当て、サイトの発行者がフランス、ヨーロッパの他の地域、または第三国に設立されているかどうかにかかわらず行われた。実際、この新しい規則は、ユーザーがフランスにいる限り、誰であろうと、すべてのウェブプレーヤーに適用される。
Après une période d’adaptation de six mois, expirant au 31 mars 2021, la CNIL a adressé 94 mises en demeure à des organismes non conformes lors d’une campagne de 125 contrôles en ligne. Au total, trois vagues de mises en demeure ont été lancées (mai 2021, fin juin 2021, décembre 2021), puis ont été closes après la mise en conformité des sites concernés. 2021年3月31日までの6ヶ月間の適応期間の後、CNILは、125のオンラインチェックのキャンペーンにおいて、非適合組織に対して94の正式な通知を発行した。合計で3回(2021年5月、2021年6月末、2021年12月)の正式通知の波があり、その後、当該サイトが遵守された後に閉鎖された。
Parallèlement, les acteurs majeurs du numérique qui ne pouvaient ignorer l’entrée en vigueur des nouvelles règles et disposaient des moyens de se mettre en conformité, des procédures de sanctions ont été lancées. Ainsi, la CNIL a sanctionné Google (250 M€), Facebook (60 M€) et Amazon (35 M€) en les contraignant à se mettre en conformité dans un délai de trois mois. 同時に、新ルールの発効を無視できず、それを遵守する手段を持つ大手デジタル企業に対して、制裁手続きが開始された。CNILは、Google(2億5000万ユーロ)、Facebook(6000万ユーロ)、Amazon(3500万ユーロ)に対し、3ヶ月以内に遵守するよう制裁を科した。
Au total, la CNIL a prononcé 8 sanctions de 2020 à 2022 sur la thématique des cookies, pour des manquements tels que le défaut d’information, le dépôt de cookies sans consentement préalable, la défaillance du mécanisme de refus, ou l’impossibilité de refuser les cookies aussi facilement que de les accepter. CNILは2020年から2022年にかけて、Cookieを題材に、情報不足、事前同意のないCookieの預託、拒否機構の不備、Cookieを受け入れるのと同じくらい簡単に拒否することができないなどの失敗に対して、合計8件の制裁を課した。
Le montant cumulé de ces sanctions atteint 421 millions d’euros. Pour certains acteurs, transnationaux, leur impact a bien souvent dépassé le territoire français, car les entités se sont alors mises en conformité pour l’ensemble de leurs opérations européennes. これらの罰則の累積額は、4億2,100万ユーロにのぼる。 一部の多国籍企業にとって、その影響はしばしばフランスの領域を超えており、その企業はその後、ヨーロッパのすべての事業で規則を遵守するようになった。

 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

英国はこんな感じ...Cookieの規制は必要だけど、ボップアップじゃないでしょう...

 

・2023.03.15 英国 英国版GDPR新版の審議始まる (2023.03.08)


企業にとって無意味なペーパーワークを削減し、迷惑なクッキーのポップアップを減らすための新しいデータ法が、本日、国会で政府によって紹介される。


・2022.12.14 英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

 

EUやフランスはこんな感じ...

・2023.01.20 EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

・2022.01.09 フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...)

 

・2021.12.15 フランス CNILがウェブおよびアプリ開発者向けのGDPRガイドを改訂


今回の大幅な改訂では、GDPRの要件の一部を実践的に説明するファクトシートやコードの抜粋を新たに追加しました。 これらの内容は、特に、クッキーやその他のオンライン追跡機能の使用に関する規則や、閲覧者の測定ソリューションの適用に関するものです。


 

・2021.10.03 欧州データ保護委員会 (EDPB) Cookieバナーについてのタスクフォースを設置

・2021.03.07 フランス CNIL - 重点分野は、(1)ウェブサイトのサイバーセキュリティ、(2)健康データのセキュリティ、(3)Cookie等のトレーサーに適用されるルールの遵守

・2021.02.18 デンマーク - データ保護局 Cookieを使用するためのクイックガイド

・2020.04.18 ベルギーもCookie等の追跡技術に関するガイダンスを公表していますね。

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

 

|

« フランス CNIL 人工知能に対する行動計画 | Main | OECD デジタル政府レビュー :トルコ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« フランス CNIL 人工知能に対する行動計画 | Main | OECD デジタル政府レビュー :トルコ »