Blog Malwarebytes pisze, że Francuski organ nadzorujący prywatność, Commission Nationale de l’Informatique et des Libertés (CNIL), nałożył na Google grzywnę w wysokości 150 mln euro, a na Facebooka 60 mln euro, ponieważ ich strony internetowe — google.fr, youtube.com i facebook.com — nie proponują tak łatwego odrzucenia ciasteczek, jak ich zaakceptowania.
CNIL przeprowadził dochodzenie online po otrzymaniu skarg od użytkowników, dotyczącej sposobu obsługi plików cookies. Okazało się, że chociaż witryny oferowały przyciski umożliwiające natychmiastową akceptację plików cookie, nie wdrożyły równoważnego rozwiązania umożliwiającego użytkownikom ich odrzucenie. Aby odrzucić wszystkie pliki cookie, wymagane było kilka kliknięć, a tylko jedno, aby je zaakceptować.
Wydaje nam się, że nie tylko Google i Facebook korzystają z takich praktyk, a całkiem spora liczba innych znanych witryn… Może po takiej reakcji francuskiej komisji to się zmieni.
Oprócz grzywien, firmy otrzymały trzy miesiące na zapewnienie użytkownikom we Francji sposobu na odrzucenie plików cookie, który będzie równie prosty jak ich akceptacja. Jeśli tego nie zrobią, firmy będą musiały zapłacić 100 000 euro kary za każdy dzień opóźnienia.
Uprawnienia unijnych organów regulacyjnych ds. ochrony danych znacznie wzrosły od czasu wejścia w życie GDPR w maju 2018 r. To prawo pozwala organom nadzoru UE nakładać kary w wysokości nawet 4% rocznej globalnej sprzedaży firmy.
Francuski CNIL uznał, że proces dotyczący plików cookie wpływa na wolność wyrażania zgody przez użytkowników Internetu i stanowi naruszenie francuskiej ustawy o ochronie danych, która wymaga, aby odrzucenie plików cookie było równie łatwe, jak zaakceptowanie ich.
Od 31 marca 2021 r., kiedy upłynął termin dostosowania stron internetowych i aplikacji mobilnych do nowych zasad dotyczących plików cookie, CNIL podjęła blisko 100 działań naprawczych (nakazów i sankcji) związanych z niezgodnością z przepisami dotyczącymi plików cookie.
Google powiedział w oświadczeniu, że „ludzie ufają nam, że szanujemy ich prawo do prywatności i zapewniamy im bezpieczeństwo” oraz że firma rozumie swoją „odpowiedzialność za ochronę tego zaufania i zobowiązuje się do dalszych zmian i aktywnej współpracy z CNIL w świetle tej decyzji”.
Facebook powiedział, że sprawdza decyzję komisji. Ważne jest, aby zauważyć, że CNIL ukarał grzywną Facebook Ireland Limited, a nie Facebook France, ponieważ siedziba główna w Irlandii przedstawia się jako administrator danych usługi Facebook w regionie europejskim.
Ciasteczka na YouTube
Jako przykład przyjrzymy się procedurze zarządzania plikami cookies na YouTube, która była jedną z witryn zgłoszonych przez CNIL.
Osoba odwiedzająca po raz pierwszy (a dokładniej osoba bez plików cookie z poprzedniej wizyty) otrzymuje taki formularz zgody:
Użytkownik może albo zaakceptować wszystkie pliki cookie, klikając „I AGREE”, albo kliknąć „CUSTOMIZE”, co skutkuje wieloma wyborami dotyczącymi dostosowywania wyszukiwania, historii YouTube, personalizacji reklam, zarządzania plikami cookie w przeglądarce, i zarządzania danymi zbieranymi przez Google Analytics w odwiedzanych witrynach.
Pierwsze trzy wpisy to proste ustawienia typu „On / Off”.
Ostatnia część wskazuje jednak na instrukcje lub linki do innych witryn, które ogólnie sprowadzają się do „Możesz zmienić ustawienia przeglądarki, aby odrzucić niektóre lub wszystkie pliki cookies”.
To wyjaśnia, dlaczego francuski organ nadzoru sprzeciwia się zaburzonej równowadze między akceptowaniem lub odrzucaniem plików cookie z tych witryn — droga do prywatności jest długa i trudna.
Dlaczego giganci stosują takie praktyki?
Internetowi giganci, tacy jak Meta (Facebook) i Alphabet (Google), zarabiają na reklamie. Stanowiła ona 98% (86 miliardów dolarów) przychodów Facebooka w 2020 roku, a ponad 80% przychodów Alphabet pochodzi z reklam Google, które wygenerowały 147 miliardów dolarów w 2020 roku.
Reklamodawcy mogą licytować określone słowa i wyrażenia oraz kierować reklamy na określone grupy demograficzne, geograficzne lub zainteresowania, co zapewnia wyświetlanie reklam odpowiednim użytkownikom we właściwych momentach, a przynajmniej tak mówi teoria. Aby dowiedzieć się, kim są „odpowiedni użytkownicy”, firmy reklamowe gromadzą ogromne ilości informacji o użytkownikach i właśnie w tym miejscu w grę wchodzi nasza prywatność.
Informacje są przechowywane w gigantycznych bazach danych, a łączem między nami a wpisami do naszych baz danych są pliki cookies w naszej przeglądarce. Ciasteczka działają jak identyfikator, pokazujesz go za każdym razem, gdy wchodzisz na stronę Google lub Facebook, lub za każdym razem, gdy wchodzisz na stronę zawierającą przycisk „Lubię to”, jakiś kod Google Analytics lub cokolwiek innego załadowanego z domeny Google lub Facebook.
Na szczęście witryny rzadko używają jednego pliku cookie do wszystkiego i zazwyczaj używają różnych ciasteczek do różnych funkcji. Właśnie dlatego opcje dostosowywania YouTube są tak zawiłe i dlatego adblockery i wtyczki prywatności w ogóle działają. Za pomocą przyzwoitego narzędzia można blokować lub odrzucać pliki cookie, których nie lubisz, i zachować te, które lubisz.
Google i Facebook to reklamowi giganci Internetu i dobrze wiedzą, że bez śledzenia użytkowników i zapisywania ich preferencji w plikach cookies, zasięg i skuteczność ich reklam znacząco spadnie. Dlatego będą robić wszystko, aby stać na cienkiej granicy prywatności jaką narzucają przepisy Unii Europejskiej.