TikTok は、Cookie の同意に関する規則を破ったとして、フランスのデータ保護監視機関によって教育された最新のハイテク大手です。
500万ユーロの罰金 発表した CNIL による今日の報告は、昨年初めまで TikTok がそのウェブサイト (tiktok.com) で使用していた Cookie 同意フローに関連しています。サイト訪問者がオプトアウトするよりも追跡を受け入れる方が簡単になるようにすることで、同意を操作する。
これは、監視機関が 2021 年 6 月に TikTok のプロセスにチェックインしたときから、2022 年 2 月にサイトに「すべて拒否」ボタンを実装するまでの間、問題が解決したように見える場合に当てはまりました。 (この場合、比較的少額の罰金が課せられたこと、影響を受けるユーザーと未成年者の数、およびモバイル アプリではなく Web サイトのみに関連する強制措置が説明される可能性があります。)
トラッキング Cookie は通常、行動広告の提供に使用されますが、分析などの他のサイト アクティビティにも使用できます。
「2021 年 6 月に実施されたチェック中に、CNIL は、TikTok United Kingdom と TikTok Ireland の企業が Cookie をすぐに受け入れることができるボタンを提供していたが、許可するための同等のソリューション (ボタンまたはその他) を導入していないことを指摘しました。インターネット ユーザーは簡単に預金を拒否できます。 すべての Cookie を拒否するには数回のクリックが必要でしたが、受け入れるには 1 回だけでした」とウォッチドッグはプレスリリースで述べています。 [translated from French with machine translation].
「制限付き委員会は、拒否メカニズムをより複雑にすることは、実際には、ユーザーがクッキーを拒否するのを思いとどまらせ、「すべて受け入れる」ボタンの使いやすさを好むように促すことになると考えた」と付け加え、TikTok が法的要件に違反したことを発見したと述べた。同意の自由 – フランスのデータ保護法第 82 条の違反。
さらに、CNILは、TikTokがCookieの目的を「十分に正確な方法で」ユーザーに通知していないことを発見しました.バナーに表示されたリンクをクリックした後にアクセスできたもの。 したがって、第 82 条のいくつかの違反を発見します。
フランスの施行は、欧州連合の ePrivacy Directive に基づいて行われました。これは、EU の一般データ保護規則 (GDPR) とは異なり、ブロック全体のユーザーに影響を与える苦情を、EU 加盟国の主任データ監督者に差し戻す必要はありません。主要な施設 (会社がその地位を主張している場合 — TikTok が GDPR のためにアイルランドと行っているように)。
これにより、フランスの規制当局は近年、ビッグテックの Cookie 侵害に対して一連の強制措置を講じることができました。2019 年の更新に続いて、2020 年以来、Amazon、Google、Facebook、Microsoft などに多額の罰金 (および是正命令) を課しています。 ePrivacy Directive に関するガイダンスに準拠 広告の追跡には同意が必要であると規定しています。
クッキーの同意をクリーンアップするためのフランスの活動は、ペースの遅い国境を越えた GDPR 施行の重要な補助のように見えます — これは、Facebook に対する最終決定など、同意のない追跡を中心とした広告ベースのビジネス モデルに影響を与え始めたばかりです。 Instagramは今月初めにアイルランドのデータ保護委員会によって発行されました。
追跡とプロファイリングを行う巨大広告企業が、行動ターゲティング広告を掲載するためにユーザーの同意を得ることに頼らざるを得ない場合、収集される同意の質が自由で公正であることは非常に重要です。 CNIL の ePrivacy Cookie の施行は重要に見えます。
たとえば昨年の夏だけ、TikTok は、人々のデータを処理して「パーソナライズされた」広告を実行するための法的根拠として、ユーザーの同意に依存することから、法的根拠としての正当な利益の主張に切り替えることを妨げられました (ユーザーに尋ねるのをやめることを意図していたことを暗示しています)。 EU データ保護当局は、そのような動きは ePrivacy Directive と両立しない (そして GDPR にも違反する可能性が高い) と警告しました。
ePrivacy に基づく施行は、規制当局自身の市場 (この場合はフランス) でのみ適用されますが、これらの決定の影響はより広範囲になる可能性があります。 たとえば、Google は CNIL からの制裁を受けて、EU 全体で Cookie に対する同意を収集する方法を修正しました。 これはすべての企業が対応する方法ではないかもしれませんが、すべての EU 市場で 1 つの (高い) 基準を適用するのではなく、異なる EU 市場に異なるコンプライアンス構成を適用することに関連するコストが発生する可能性があります。 したがって、ePrivacy の施行は、EU の基準を設定するのに役立つ可能性があります。
TikTok は、CNIL の制裁に関するコメントを求めて連絡を受けました。 同社の広報担当者は、次のような声明を送ってきました。
これらの調査結果は、必須ではない Cookie を拒否しやすくしたり、特定の Cookie の目的に関する追加情報を提供したりするなど、昨年対処した過去の慣行に関連しています。 CNIL自体は、調査の過程で私たちの協力を強調し、ユーザーのプライバシーはTikTokの最優先事項であり続けています.