فرنسا Marketplace Integrationفرنسا E-Commerce Packagesفرنسا Corporate Websiteفرنسا Custom Softwareفرنسا Company Formationفرنسا Fulfillment Centerفرنسا Product Storageفرنسا Mobile App Development
Login
فرنسا · تأسيس شركة

دليل RGPD شامل 2026 للتجارة الإلكترونية في فرنسا: هيئة CNIL، لافتة موافقة الكوكيز، سياسة الخصوصية، مسؤول حماية البيانات، حقوق أصحاب البيانات، إخطار الخرق خلال 72 ساعة، النقل عبر الحدود.

FR · دليل شامل لامتثال RGPD وCNIL — إصدار 2026

RGPD للتجارة الإلكترونية في فرنسا 2026: امتثال CNIL، موافقة الكوكيز والتزامات حماية البيانات

تُعد فرنسا واحدة من أكثر الولايات القضائية صرامةً في الاتحاد الأوروبي فيما يخص إنفاذ حماية البيانات الشخصية. أنهت CNIL (اللجنة الوطنية للمعلوماتية والحريات) عام 2026 بأكثر من 16,000 شكوى واردة من أصحاب البيانات وأكثر من 87 مليون يورو من الغرامات الصادرة بموجب RGPD والمادة 82 من قانون المعلوماتية والحريات. بالنسبة لأي تاجر عبر الإنترنت، ليس عام 2026 هو العام المناسب للمقامرة بالامتثال: يجب أن تقدم لافتات الكوكيز خياري 'قبول الكل' و'رفض الكل' في نفس المستوى، وتبدأ عدّاد الإخطار بالخرق خلال 72 ساعة بمجرد إثارة أحد مهندسي مركز العمليات الأمنية للتنبيه، وتتطلب عمليات نقل البيانات عبر الحدود إلى الولايات المتحدة أو المملكة المتحدة أو الدول غير المعتمدة بنودًا تعاقدية قياسية (SCCs) بالإضافة إلى تقييم أثر نقل موثّق. يستعرض هذا الدليل كل التزام بموجب RGPD يجب على متجر تجارة إلكترونية يبيع للعملاء الفرنسيين تنفيذه — موافقة الكوكيز، سياسة الخصوصية، سجل المادة 30، مسؤول حماية البيانات، حقوق أصحاب البيانات، خطة الاستجابة للخروقات، التحليلات بدون كوكيز، والامتثال في إدارة علاقات العملاء — مع إشارات محددة إلى مداولات CNIL، وCookiebot، وOneTrust، وإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة.

+ 10 ركائز لـ RGPD مغطاة + إرشادات CNIL لعام 2026 + جاهز لـ Cookiebot وOneTrust + خطة استجابة للخروقات خلال 72 ساعة
zunapro.com/panel/france/rgpd
مركز RGPD متوافق
درجة CNIL 9.6 / 10
الموافقات
12,847
ارتفاع 6%
طلبات أصحاب البيانات
37
بمتوسط 4 أيام
أدوات التتبع
0 تسرّب
مُدقَّق
معدل الموافقة · آخر 7 أيام 68.4%ارتفاع 5%
إثنينثلاثاءأربعاءخميسجمعةسبتاليوم
طلبات أصحاب البيانات مباشر
#DSAR-2841 طلب وصول · ج. مارتان يوم 5/30
#DSAR-2840 محو · ل. دوبون قيد المراجعة
#DSAR-2839 نقل البيانات · م. بوتي تم التسليم
مزامنة RGPD نشطة · سجل CNIL محدَّث · البنود التعاقدية القياسية مُتحقق منها
87+ مليون يورو
غرامات CNIL الصادرة في 2026
+16,000
شكوى وردت في 2026
72 ساعة
المهلة النهائية للإخطار بالخرق
4% / 20 مليون يورو
أقصى غرامة بموجب RGPD

لمحة سريعة عن RGPD في فرنسا 2026

RGPD (Reglement General sur la Protection des Donnees، الاسم الفرنسي لـ GDPR الأوروبية) تُنفَّذ في فرنسا بواسطة CNIL، السلطة الرقابية المستقلة للبلاد منذ 1978. يجب على التجار عبر الإنترنت الذين يبيعون للمقيمين الفرنسيين تشغيل لافتة كوكيز متوافقة بموجب المادة 82 من قانون المعلوماتية والحريات، ونشر سياسة خصوصية، والاحتفاظ بسجل المادة 30 لأنشطة المعالجة، وتعيين مسؤول حماية بيانات عند الاقتضاء، واحترام حقوق أصحاب البيانات الثمانية، وتوثيق البنود التعاقدية القياسية لأي نقل بيانات خارج الاتحاد الأوروبي، وإخطار CNIL خلال 72 ساعة من أي خرق للبيانات الشخصية. توصي CNIL بشكل متزايد بـالتحليلات بدون كوكيز واحتفاظ صارم بإدارة علاقات العملاء. تصل أقصى العقوبات إلى 20 مليون يورو أو 4% من حجم الأعمال العالمي.

1. نظرة عامة على RGPD — ما يجب أن يعرفه مشغلو التجارة الإلكترونية الفرنسية

Reglement General sur la Protection des Donnees، المعروفة دوليًا باسم GDPR الأوروبية، هي اللائحة (EU) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس. أصبحت واجبة التطبيق مباشرة في جميع الدول الأعضاء الـ27 في 25 مايو 2018، وهي، في 2026، أهم قطعة تشريعية يجب أن يتقنها أي مشغل تجارة إلكترونية يبيع في فرنسا. يُستخدم الاختصار الفرنسي RGPD على نطاق واسع في الممارسات الإدارية والقضائية والتجارية، بما في ذلك في مداولات CNIL، ومدونات السلوك القطاعية، وأحكام محكمة النقض.

ما يجعل فرنسا صارمة بشكل خاص مقارنة بالدول الأعضاء الأخرى هو مزيج من ثلاث طبقات قانونية. أولاً، تضع RGPD نفسها القواعد الجوهرية: الأساس القانوني، تحديد الغرض، تقليل البيانات، الدقة، تحديد فترة التخزين، النزاهة والسرية، بالإضافة إلى مبدأ المساءلة الشامل. ثانيًا، يُكيّف قانون المعلوماتية والحريات (القانون رقم 78-17 الصادر في 6 يناير 1978، والمعدَّل جوهريًا في 2018 بموجب القانون رقم 2018-493 ومرة أخرى في 2019 بموجب المرسوم رقم 2018-1125) اللائحة وفق الخصوصيات الفرنسية — بما في ذلك سن الموافقة الرقمية (15 عامًا)، وإجراءات إضافية لبيانات الصحة والبيانات القضائية، والمادة الشهيرة 82 التي تحكم الكوكيز وأدوات التتبع. ثالثًا، تضيف مداولات CNIL وتوصياتها ومراجعها ونتائج البيئة التجريبية طبقة سميكة من الإرشادات التشغيلية التي تعاملها المحاكم الفرنسية على أنها شبه ملزمة.

لماذا التجارة الإلكترونية تحت رقابة CNIL

يجمع التجار عبر الإنترنت بين معظم فئات المعالجة التي تدققها CNIL: المعالجة واسعة النطاق لبيانات التعريف والاتصال، وبيانات الدفع، والتنميط السلوكي للتخصيص، وعمليات النقل عبر الحدود إلى موردي التقنيات الإعلانية الأمريكيين، والاحتفاظ الطويل بإدارة علاقات العملاء لحملات إعادة التفاعل. تُسمّي الخطة الاستراتيجية لـ CNIL للفترة 2024-2027 صراحةً التجارة الإلكترونية وتطبيقات الجوال والإعلان الرقمي كقطاعات إنفاذ ذات أولوية. في عام 2026 وحده، أغلقت CNIL عدة قضايا بارزة ضد تجار التجزئة بسبب لافتات كوكيز غير متوافقة (تحيّز بصري نحو القبول)، والاحتفاظ المفرط بإدارة علاقات العملاء (أكثر من 3 سنوات من العملاء المحتملين غير النشطين)، وسجلات المادة 30 المفقودة أو المنتهية الصلاحية.

بالنسبة لمتجر متوسط الحجم مع بضعة آلاف من الطلبات شهريًا، فإن عبء الامتثال حقيقي لكنه قابل للإدارة تمامًا: بضعة أسابيع من العمل المركّز، مدعومة بمنصة إدارة الموافقة (Cookiebot أو OneTrust)، وقالب سجل، وخطة تصعيد واضحة. المشغلون الأكبر الذين لديهم مئات الآلاف من السجلات، والتقنيات الإعلانية من جانب الخادم، والمستودعات الدولية يحتاجون إلى برنامج RGPD منظّم وغالبًا ما يحتاجون إلى مسؤول حماية بيانات بدوام كامل.

الأسس القانونية التي ستستخدمها فعليًا

  • تنفيذ العقد (المادة 6.1.ب) — الأساس السائد لمعالجة الطلبات، والتسليمات، والمرتجعات، والفواتير، وخدمة ما بعد البيع. لا حاجة لموافقة؛ البيانات ضرورية لتنفيذ العقد.
  • الالتزام القانوني (المادة 6.1.ج) — يغطي الاحتفاظ بالسجلات المحاسبية (10 سنوات بموجب قانون التجارة)، ومتطلبات الفوترة، والسجلات الضريبية، وفحوصات مكافحة غسل الأموال.
  • المصالح المشروعة (المادة 6.1.و) — منع الاحتيال، وأمن تكنولوجيا المعلومات والشبكات، وتحليلات الويب الأساسية في بعض التهيئات، والتسويق بين الشركات (B2B) للمهنيين. يتطلب اختبار موازنة موثّق (تقييم المصلحة المشروعة).
  • الموافقة (المادة 6.1.أ) — مطلوبة لكوكيز التسويق، وأدوات التتبع الإعلاني السلوكي، والتسويق عبر البريد الإلكتروني/الرسائل النصية بين الشركات والمستهلكين لغير العملاء، والإشعارات الفورية، وأي ميزة تخصيص اختيارية.

المبادئ الأساسية التي يخطئ فيها مشغلو التجارة الإلكترونية

تستمر تقارير مراقبة CNIL في الإشارة إلى نفس الأخطاء عامًا بعد عام: نماذج التسجيل ذات الحقول الإلزامية الكثيرة (فشل تقليل البيانات)، وحسابات العملاء المُبقاة نشطة إلى الأبد (فشل تحديد فترة التخزين)، وصادرات Slack وNotion غير المنظمة التي تُسرّب بيانات شخصية (فشل النزاهة والسرية)، ولوحات المعلومات أو التقارير التي تتضمن معرّفات غير ضرورية (فشل تحديد الغرض). كل نمط من هذه الأنماط قابل للإصلاح في مرحلة تصميم المنصة — وهو بالضبط ما تتطلبه المادة 25 من RGPD (الخصوصية حسب التصميم وبشكل افتراضي).

هل أنت جاهز لإطلاق متجر فرنسي متوافق مع RGPD؟

يأتي مركز Zunapro لفرنسا مزوّدًا بلافتة كوكيز متوافقة مع CNIL، وقالب سجل المادة 30، وسير عمل لطلبات أصحاب البيانات، وخزنة موافقة — كل ما يحتاجه مسؤول حماية بيانات التجارة الإلكترونية للبدء بامتثال كامل.

أطلق متجري الفرنسي →

2. CNIL — هيئة حماية البيانات في فرنسا

ما هي CNIL فعليًا

تأسست اللجنة الوطنية للمعلوماتية والحريات بموجب قانون المعلوماتية والحريات الصادر في 6 يناير 1978، قبل وقت طويل من وجود الاتحاد الأوروبي بشكله الحالي. كانت رد فعل فرنسا على فضيحة SAFARI — محاولة عام 1974 لربط ملفات كل مواطن فرنسي الإدارية بمعرّف وطني فريد — وهي واحدة من أقدم هيئات حماية البيانات المستقلة في العالم.

CNIL هي سلطة إدارية مستقلة (autorite administrative independante، AAI)، مما يعني أنها ممولة من الدولة لكنها تمارس صلاحياتها بمعزل عن التسلسل الهرمي الحكومي. في عام 2026، توظف نحو 290 موظفًا، بما في ذلك فريق تقني قوي (مختبر CNIL LINC)، وهيئة تفتيش قطاعية، ومحامون، واللجنة (formation restreinte) التي تصدر العقوبات.

الصلاحيات التي يمكن لـ CNIL استخدامها ضد متجر إلكتروني

  • عمليات التفتيش الميدانية والإلكترونية والوثائقية — يمكن لموظف CNIL زيارة مستودعك، وطلب سجلات الخادم، وفحص تهيئة نظام إدارة المحتوى الخاص بك. زادت عمليات التفتيش عبر الإنترنت (audit a distance) بشكل حاد منذ 2022 وتستهدف لافتات الكوكيز وعلامات التقنيات الإعلانية.
  • الإنذارات الرسمية (mises en demeure) — أمر إداري بالامتثال في غضون مهلة محددة. أصبحت العديد من الإنذارات الآن علنية، مما يخلق ضغطًا كبيرًا على السمعة.
  • الغرامات الإدارية — تصل إلى 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي بموجب المادة 83 من RGPD، أيهما أعلى، للمخالفات الأكثر جسامة؛ وتصل إلى 2% من حجم الأعمال لمخالفات الكوكيز بموجب الإجراء المبسط الذي أُدخل في 2022.
  • الأوامر الزجرية بغرامات يومية (astreintes) — يمكن لـ CNIL طلب إجراءات تصحيحية محددة وإضافة غرامة يومية لعدم الامتثال (على سبيل المثال 5,000 يورو يوميًا).
  • التسمية والتشهير — يُنشر عدد متزايد من القرارات بالكامل على موقع cnil.fr مع اسم التاجر؛ التغطية الصحفية منهجية.

كيف تطوّر إنفاذ CNIL

أعلنت الخطة الاستراتيجية لـ CNIL للفترة 2024-2027 عن تحوّل واضح نحو إنفاذ أكثر وأسرع وأكثر تركيزًا. يسمح الإجراء المبسط للعقوبات الذي أدخله مرسوم 24 مارس 2022 لعضو واحد من اللجنة المقيدة بفرض غرامات تصل إلى 20,000 يورو ضد الشركات الصغيرة والمتوسطة للمخالفات الواضحة — خاصة إخفاقات موافقة الكوكيز. بحلول عام 2026، أغلق هذا المسار وحده مئات إجراءات الإنفاذ سنويًا ضد التجار الصغار.

i
موارد CNIL الرسمية: تنشر CNIL المداولات والتوصيات والمراجع القطاعية على www.cnil.fr. يجب على كل مسؤول حماية بيانات في التجارة الإلكترونية الاشتراك في نشرة CNIL الإخبارية ومتابعة قسم العقوبات، وإرشادات الكوكيز وأدوات التتبع الأخرى، ومرجع التسويق التجاري.

مسؤول حماية البيانات وCNIL: عملية التعيين

إذا عيّنت مسؤول حماية بيانات، يجب عليك تعيينه رسميًا عبر بوابة CNIL المخصصة. يتضمن التعيين تفاصيل الاتصال بمسؤول حماية البيانات، والتي تصبح بعد ذلك قابلة للبحث علنًا. تعامل CNIL مسؤول حماية البيانات كنقطة الاتصال الأساسية أثناء عمليات التفتيش: يُعد مسؤولو حماية البيانات المفقودون أو الوهميون أو غير النشطين عاملاً مشدّدًا متكررًا في قرارات العقوبات.

مركّز امتثال CNIL في لوحة واحدة

تحافظ Zunapro على تزامن سجل المادة 30 لمتجرك الفرنسي، وسير عمل طلبات أصحاب البيانات، وسجل الخروقات، وتفاصيل تعيين CNIL — جاهزة للتفتيش في دقائق، وليس أسابيع.

افتح مركز CNIL الخاص بي →

الأساس القانوني: المادة 82 من قانون المعلوماتية والحريات

تُحكم الكوكيز وأدوات التتبع الأخرى في فرنسا بموجب المادة 82 من قانون المعلوماتية والحريات، التي تنقل المادة 5(3) من توجيه الخصوصية الإلكترونية (2002/58/EC كما عُدّل بـ 2009/136/EC). القاعدة بسيطة: أي تخزين أو وصول إلى معلومات على جهاز المستخدم النهائي غير ضروري بشكل صارم لتقديم خدمة اتصال إلكترونية طلبها المستخدم صراحةً يتطلب موافقة مسبقة.

وضّحت CNIL القواعد التشغيلية في المداولة رقم 2020-091 (توصية 17 سبتمبر 2020) والإرشادات المرافقة، مكمّلة بممارسات الإنفاذ حتى 2026. المتطلبات الأساسية ملخصة أدناه.

ما يجب أن تفعله لافتة كوكيز متوافقة في 2026

  • حظر جميع الكوكيز غير الأساسية قبل الموافقة. لا يجوز تشغيل أي تحليلات، أو علامة إعلانية، أو Hotjar/Clarity، أو Facebook Pixel قبل نقر المستخدم على قبول (أو اتخاذ خيار تفصيلي).
  • تقديم خياري 'قبول الكل' و'رفض الكل' في نفس المستوى. يجب أن يكون الرفض سهلاً كالقبول؛ يجب أن يتمتع كلا الزرين بنفس الوزن البصري (تباين اللون، الحجم، الموضع).
  • سرد الأغراض بوضوح — قياس الجمهور، الإعلان، المشاركة الاجتماعية، التخصيص، إلخ، مع القدرة على منح أو رفض الموافقة لكل غرض.
  • السماح بالسحب في أي وقت عبر آلية إعادة فتح دائمة (عادةً أيقونة كوكيز صغيرة في التذييل).
  • الاحتفاظ بإثبات الموافقة — معرّف الموافقة، الطابع الزمني، إصدار منصة إدارة الموافقة، الأغراض، قائمة الموردين، عنوان IP المختصر — لمدة الموافقة بالإضافة إلى فترة إثبات معقولة (تقترح CNIL 6 أشهر كحد أقصى بعد السحب).

ما هو محظور

  • المربعات المحددة مسبقًا — يجب أن تكون الموافقة نشطة (إيجابية).
  • جدران الكوكيز بدون بديل — اشتراط الوصول إلى المحتوى بقبول الكوكيز، وفق إرشادات CNIL لعام 2022 بشأن جدران الكوكيز، مشروع فقط عند تقديم بديل حقيقي ومكافئ (عادةً نموذج 'الدفع أو الموافقة' بتسعير معقول).
  • التحيّز البصري — زر قبول ملوّن مقابل زر رفض رمادي هو مخالفة نموذجية وردت في عدة غرامات من CNIL.
  • الموافقة الضمنية على غرار 'مواصلة التصفح' — مجرد التمرير أو الانتقال إلى صفحة أخرى لا يشكل موافقة.
  • الموافقة المجمّعة — زر قبول واحد يغطي 30 موردًا مختلفًا بدون تحكم تفصيلي ليس محددًا.

Cookiebot وOneTrust وأمثالهما — اختيار منصة إدارة الموافقة

تعمل منصة إدارة الموافقة (CMP) على أتمتة عرض اللافتة، والتقاط الموافقة، وإدارة الموردين، وتخزين الإثبات. أكثر منصتي إدارة موافقة استخدامًا في فرنسا هما Cookiebot (مجموعة Usercentrics، الدنمارك) وOneTrust (الولايات المتحدة، مع خيارات إقامة بيانات في الاتحاد الأوروبي). تتكامل كلتاهما مع إطار IAB TCF v2.2، وتقدّمان قوالب محلية لفرنسا مُهيَّأة مسبقًا وفق إرشادات CNIL، ويمكن لكلتيهما العرض من جانب الخادم عبر Google Tag Manager.

بدائل فرنسية جديرة بالاعتبار: Axeptio (باريس، علامة "French Tech")، وDidomi (باريس، مُدرجة في Euronext Growth)، وSirdata Choice، ومنصة مفتوحة المصدر Tarte au Citron. أيًا كانت منصة إدارة الموافقة التي تختارها، تظل مسؤولية الامتثال عليك بصفتك المراقب — منصة إدارة الموافقة هي معالج بموجب المادة 28.

مسموح دائمًا
بدون موافقة
كوكيز الجلسة، رموز CSRF، تفضيل اللغة، عربة التسوق، تقارب موازن الأحمال، كوكيز الأمن ومنع الاحتيال الضرورية بشكل صارم للخدمة.
موافقة اختيارية (إعفاء CNIL)
قياس الجمهور
قياس جمهور محدد الغرض بشكل صارم (عنوان IP مجهول الهوية، بدون تتبع عبر المواقع، بدون تنميط سلوكي) مُهيَّأ وفق إرشادات CNIL — مثل Matomo مقفلة الإعدادات، وPiwik PRO Cloud (الاتحاد الأوروبي)، وAT Internet، وبعض تهيئات GA4 بموجب إطار خصوصية البيانات.
موافقة مطلوبة
الإعلان / التسويق
Facebook Pixel، علامة تحويل Google Ads، TikTok Pixel، إعادة الاستهداف، أزرار المشاركة الاجتماعية التي تحمّل كود طرف ثالث، أدوات اختبار A/B التي تُنمّط المستخدمين، أنظمة التوصية السلوكية.
!

واقع غرامات CNIL: في الفترة 2023-2026، تلقى العديد من التجار الفرنسيين غرامات تتراوح بين 50,000 و600,000 يورو على وجه التحديد لأن زر "رفض الكل" كان مخفيًا في مستوى أعمق من زر "قبول الكل"، أو لأن الكوكيز كانت تُشغَّل قبل ظهور اللافتة. عادةً ما تمنع مراجعة تهيئة منصة إدارة الموافقة لمدة ساعتين المخاطرة بأكملها. هيّئ منصة إدارة الموافقة لمتجرك الفرنسي مع Zunapro →

4. سياسة الخصوصية — الوثيقة التي يجب أن ينشرها كل متجر

المادتان 13 و14 من RGPD: التزام الإعلام

تضع المادتان 13 و14 من RGPD قائمة شاملة بالمعلومات التي يجب تقديمها لصاحب البيانات وقت الجمع عند جمع البيانات مباشرة (المادة 13) أو خلال فترة معقولة عند جمعها بشكل غير مباشر (المادة 14، بحد أقصى شهر واحد، مثل الإثراء عبر وسيط بيانات تسويقي).

المحتوى الإلزامي لسياسة خصوصية التجارة الإلكترونية الفرنسية

  • هوية وتفاصيل الاتصال بالمراقب — الاسم القانوني الكامل، رقم SIREN، العنوان المسجل، وسيلة الاتصال الإلكتروني.
  • تفاصيل الاتصال بمسؤول حماية البيانات عند تعيين أحدهم (مثل [email protected]).
  • أغراض المعالجة والأساس القانوني لكل منها — معالجة الطلبات (العقد)، الاحتفاظ المحاسبي (الالتزام القانوني)، النشرة الإخبارية (الموافقة)، منع الاحتيال (المصلحة المشروعة)، إلخ.
  • المستلمون أو فئات المستلمين — شركات النقل (Colissimo، Chronopost، Mondial Relay، DPD France)، معالجات الدفع (Stripe، Adyen، PayPal، PayTR)، أدوات إدارة علاقات العملاء، موردو التقنيات الإعلانية.
  • عمليات النقل عبر الحدود — إذا غادرت أي بيانات المنطقة الاقتصادية الأوروبية، اذكر الدولة، والضمانة (إطار خصوصية البيانات، البنود التعاقدية القياسية، القواعد الملزمة للشركات، الاستثناءات) وأين يمكن الحصول على نسخة.
  • فترات الاحتفاظ — لكل فئة من البيانات ولكل غرض، وليس عبارة عامة مثل "طالما لزم الأمر".
  • حقوق أصحاب البيانات — الوصول، التصحيح، المحو، التقييد، النقل، الاعتراض، حقوق القرارات الآلية، حق الشكوى إلى CNIL.
  • مصدر البيانات عندما لا تُجمع مباشرة من صاحب البيانات.
  • وجود اتخاذ قرار آلي بما في ذلك التنميط، مع معلومات ذات معنى حول المنطق والعواقب (مثل حظر درجة الاحتيال، التسعير الديناميكي).

نصائح عملية للصياغة

كانت CNIL واضحة — خاصة في إرشاداتها لعام 2022 بعنوان "خطوات ملموسة لمعلومات واضحة وسهلة الوصول" — أن سياسة الخصوصية يجب أن تكون موجزة وشفافة ومفهومة وسهلة الوصول، بلغة واضحة وبسيطة. صفحات المصطلحات القانونية غير متوافقة. النمط النموذجي المقبول في 2026 هو إشعار من طبقتين: ملخص قصير وسهل المسح ضوئيًا في الأعلى (جداول، أيقونات، لغة فرنسية بسيطة)، مع تفاصيل أعمق يمكن الوصول إليها لكل غرض أدناه.

ضع رابطًا لسياسة الخصوصية في كل تذييل، وفي كل نموذج بالقرب من مربع الموافقة، وفي كل بريد إلكتروني معاملي (تأكيد الطلب، تحديث الشحن، خدمة ما بعد البيع). يجب أن تكون السياسة مرقّمة الإصدار ومؤرخة؛ تتطلب التغييرات الجوهرية إشعارًا لأصحاب البيانات.

مولّد سياسة الخصوصية مدمج في متجرك

يُنشئ مركز Zunapro لفرنسا تلقائيًا سياسة خصوصية متوافقة مع المادة 13، ومملوءة من معالجاتك النشطة، وقواعد الاحتفاظ، وتدفقات البيانات عبر الحدود — جاهزة للنشر.

أنشئ سياسة الخصوصية الخاصة بي →

5. سجل المادة 30 ومسؤول حماية البيانات (DPO)

سجل المادة 30: العمود الفقري للمساءلة

بموجب المادة 30 من RGPD، يجب على كل مراقب وكل معالج الاحتفاظ بسجل مكتوب لأنشطة معالجتهما (Registre des activites de traitement، RAT). إنه الوثيقة الأكثر فائدة التي يمكن لمسؤول حماية بيانات التجارة الإلكترونية الفرنسية الاحتفاظ بها محدَّثة، لأنها نقطة الدخول التي يطلبها مفتشو CNIL في بداية كل عملية تدقيق.

ما الذي يدخل في السجل

  • اسم وتفاصيل الاتصال بالمراقب، والمراقب (المراقبين) المشترك(ين)، والممثل، ومسؤول حماية البيانات.
  • أغراض المعالجة — صف واحد لكل غرض (إدارة الطلبات، حساب العميل، النشرة الإخبارية، التسويق، الولاء، الاحتيال، إلخ).
  • وصف فئات أصحاب البيانات والبيانات الشخصية.
  • فئات المستلمين الذين تم أو سيتم الكشف عن البيانات لهم، بما في ذلك المستلمون في دول ثالثة.
  • عند الاقتضاء، عمليات النقل إلى دولة ثالثة أو منظمة دولية، مع توثيق الضمانة.
  • حيثما أمكن، الآجال المتوخاة لمحو الفئات المختلفة من البيانات — عمود "فترة الاحتفاظ" الشهير.
  • حيثما أمكن، وصف عام للتدابير الأمنية التقنية والتنظيمية.

متى يكون مسؤول حماية البيانات إلزاميًا

تحدد المادة 37 من RGPD ثلاثة محفّزات لتعيين مسؤول حماية بيانات إلزامي. بالنسبة لمشغلي التجارة الإلكترونية، أكثرها صلة هي:

  • تتضمن الأنشطة الأساسية عمليات معالجة تتطلب مراقبة منتظمة ومنهجية واسعة النطاق لأصحاب البيانات. يشمل هذا عادةً برامج الولاء الكبيرة، وأنظمة التوصية السلوكية، والتصنيف المستمر للعملاء المحتملين، وإعادة الاستهداف واسع النطاق.
  • تتضمن الأنشطة الأساسية معالجة واسعة النطاق لفئات خاصة من البيانات (الصحة، البيومترية، الدينية، السياسية) أو بيانات متعلقة بالإدانات الجنائية. عادةً ما تفلت التجارة الإلكترونية للسلع العامة الخالصة من هذا المحفّز، لكن الصيدلة شبه الطبية، والنظارات الطبية، وقياس الحجم البيومتري وقطاعات مماثلة لا تفلت.

حتى عندما لا يكون إلزاميًا، توصي CNIL بشدة بمسؤول حماية بيانات معيّن ابتداءً من نحو 50 موظفًا، أو ابتداءً من 10 ملايين يورو من حجم الأعمال السنوي عبر الإنترنت، أو عندما يكون أكثر من 100,000 سجل عميل نشطًا في إدارة علاقات العملاء. يمكن أن يكون مسؤول حماية البيانات داخليًا أو خارجيًا (مشتركًا) ويجب أن يرفع تقاريره مباشرة إلى الإدارة العليا.

استقلالية مسؤول حماية البيانات وموارده

تحمي المادتان 38 و39 من RGPD استقلالية مسؤول حماية البيانات: لا يمكن معاقبتهم أو فصلهم لأداء مهامهم، ويجب تزويدهم بالموارد اللازمة، ويجب إشراكهم بشكل صحيح وفي الوقت المناسب في جميع المسائل المتعلقة بالبيانات الشخصية. أكدت محكمة النقض (عدة قرارات خلال 2023-2024) أن الانتقام من مسؤول حماية البيانات — على سبيل المثال بتهميشه بعد رأي نقدي — يُعد فعلاً غير مشروع.

6. حقوق أصحاب البيانات — الوصول، التصحيح، المحو، النقل

الحقوق الثمانية بلمحة

  • حق الوصول (المادة 15) — الحصول على تأكيد المعالجة ونسخة من البيانات.
  • حق التصحيح (المادة 16) — تصحيح البيانات غير الدقيقة، استكمال البيانات غير الكاملة.
  • حق المحو / الحق في النسيان (المادة 17) — الحصول على الحذف في حالات محددة (سحب الموافقة، البيانات لم تعد ضرورية، معالجة غير قانونية، إلخ).
  • حق تقييد المعالجة (المادة 18) — تجميد المعالجة أثناء النزاعات.
  • حق نقل البيانات (المادة 20) — تلقي البيانات الشخصية بتنسيق منظّم وشائع الاستخدام وقابل للقراءة الآلية ونقلها إلى مراقب آخر حيثما كان ذلك ممكنًا تقنيًا.
  • حق الاعتراض (المادة 21) — خاصة ضد التسويق المباشر، وهو حق مطلق ومجاني.
  • الحقوق المتعلقة باتخاذ القرارات الفردية الآلية، بما في ذلك التنميط (المادة 22) — الحق في عدم الخضوع لقرار يستند حصريًا إلى المعالجة الآلية وينتج آثارًا قانونية أو مشابهة كبيرة.
  • حق تقديم شكوى إلى سلطة رقابية (المادة 77) — في فرنسا، هي CNIL.

كيفية التعامل مع طلبات أصحاب البيانات عمليًا

يجب الرد على طلب وصول صاحب البيانات (DSAR) في غضون شهر واحد من استلامه، قابلة للتمديد بشهرين إضافيين للطلبات المعقدة. يجب أن يكون الرد مجانيًا إلا إذا كان الطلب غير معقول بشكل واضح أو مفرطًا (نادرًا). يمكنك طلب إثبات الهوية فقط عند وجود شك معقول بشأن هوية مقدّم الطلب — غرّمت CNIL عدة مشغلين لطلبهم بشكل منهجي مسحًا لجواز السفر، وهو أمر مفرط.

يتضمن سير عمل قوي لطلبات أصحاب البيانات: قناة استقبال (نموذج ويب + بريد إلكتروني مخصص مثل [email protected])، وخطوة للتحقق من الهوية معايرة حسب المخاطر، وبحث منظّم عبر كل نظام (إدارة علاقات العملاء، تخطيط موارد المؤسسة، قاعدة بيانات الطلبات، التذاكر، منصة التسويق، ربط معرّفات التقنيات الإعلانية)، وخطوة مراجعة لتنقيح بيانات الطرف الثالث، وخطوة تسليم بتنزيل آمن (ملف ZIP مشفّر، رابط منتهي الصلاحية).

حق المحو في التجارة الإلكترونية: حالات حدّية من العالم الحقيقي

المحو الخالص نادرًا ما يكون مطلقًا. بالنسبة لمتجر إلكتروني، النمط النموذجي هو:

  • الحذف من إدارة علاقات العملاء وأدوات التسويق — محو كامل.
  • إخفاء هوية سجلات الطلبات الأقدم من 5 سنوات (فترة التقادم التجارية) — استبدال الاسم والعنوان بمعرّفات مستعارة مُجزَّأة، مع الاحتفاظ بإجماليات الفواتير ومراجع المنتجات للمحاسبة.
  • الاحتفاظ بالفواتير في تخزين وسيط لمدة 10 سنوات بموجب المادة L.123-22 من قانون التجارة — الالتزام القانوني يتجاوز طلب المحو.
  • الاحتفاظ بقرارات تصنيف الاحتيال لفترة الاحتفاظ المعلنة في سياسة مكافحة غسل الأموال/تمويل الإرهاب لديك — عادةً 5 سنوات بعد نهاية العلاقة.

تنسيق ونطاق قابلية النقل

تغطي قابلية النقل البيانات المقدَّمة من صاحب البيانات (حقول الحساب، العناوين، سجل الطلبات الذي أدخله) وتُسلَّم بتنسيق منظّم وشائع الاستخدام وقابل للقراءة الآلية — عمليًا JSON أو CSV. لا تغطي البيانات المشتقة مثل درجات الاحتيال، وحسابات القيمة الدائمة للعميل، أو مجموعات RFM. حيثما كان ذلك ممكنًا تقنيًا، يجب عليك نقل البيانات مباشرة إلى مراقب آخر يحدده صاحب البيانات (المادة 20.2).

7. عمليات النقل عبر الحدود — البنود التعاقدية القياسية، إطار خصوصية البيانات وحكم Schrems II

الخريطة القانونية بعد Schrems II

ألغى حكم محكمة العدل الأوروبية في قضية Schrems II (القضية C-311/18، 16 يوليو 2020) درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة وشدّد بشكل كبير الشروط التي يمكن بموجبها نقل البيانات الشخصية من الاتحاد الأوروبي إلى دول ثالثة غير معتمدة. الإطار الذي أُعيد بناؤه منذ ذلك الحين له ثلاث ركائز:

  • قرارات الكفاية (المادة 45) — تُعلن المفوضية الأوروبية أن دولة ثالثة تقدّم مستوى حماية مكافئًا جوهريًا. في 2026، يشمل هذا المملكة المتحدة، وسويسرا، واليابان، وكوريا الجنوبية، وكندا (القطاع التجاري)، ونيوزيلندا، وإسرائيل، والأرجنتين، وأوروغواي، وأندورا، وجزر فارو، وغيرنزي، وجزيرة مان، وجيرزي، ومنذ 10 يوليو 2023، الولايات المتحدة بموجب إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF) للمستوردين المعتمدين فقط.
  • الضمانات المناسبة (المادة 46) — بالنسبة للدول غير المعتمدة، الأداة الأكثر شيوعًا هي البنود التعاقدية القياسية الجديدة (قرار التنفيذ للمفوضية 2021/914 الصادر في 4 يونيو 2021)، التي يجب دمجها مع تقييم أثر النقل (TIA) وفق توصيات المجلس الأوروبي لحماية البيانات 01/2020 وتدابير تكميلية مثل التشفير أثناء التخزين والنقل، وإخفاء الهوية، والتحديات التعاقدية لطلبات وصول الحكومة.
  • الاستثناءات (المادة 49) — الموافقة الصريحة، تنفيذ العقد، المصلحة العامة، إلخ. تُستخدم فقط لعمليات النقل العرضية غير المنهجية.

ماذا يعني هذا لبنيتك التقنية

ارسم خريطة لكل مورّد يتعامل مع بيانات شخصية وصنّف كل عملية نقل:

  • Stripe وPayPal وAdyen — توجد كيانات في الاتحاد الأوروبي؛ تحقق من الكيان المتعاقد في اتفاقية معالجة البيانات الخاصة بك.
  • Google Workspace وGoogle Analytics 4 وGoogle Ads — عمليات نقل إلى الولايات المتحدة بموجب إطار خصوصية البيانات؛ عادةً ما تنطبق البنود التعاقدية القياسية للوحدة 2 (من المراقب إلى المعالج) كاحتياطي.
  • AWS وCloudflare وDatadog — تعتمد قواعد النقل على المنطقة المختارة. عمليات النشر في منطقة الاتحاد الأوروبي بالإضافة إلى احتياطي إطار خصوصية البيانات هي الحالة الراهنة للتقنية.
  • بيكسل Meta (Facebook، Instagram)، بيكسل TikTok — عمليات نقل إلى الولايات المتحدة/الصين؛ الموافقة + البنود التعاقدية القياسية + قبول المخاطر موثّق في تقييم أثر النقل.
  • أدوات البريد الإلكتروني (SendGrid، Mailchimp، Klaviyo) — تحقق من الكيان المتعاقد، وخيار الإقامة في الاتحاد الأوروبي، وحالة إطار خصوصية البيانات.

تقييم أثر النقل في 30 دقيقة

تقييم أثر النقل هو وثيقة منظّمة تسجّل: طبيعة البيانات، والمستلم، ودولة الاستيراد، والإطار القانوني لتلك الدولة (وصول الحكومة، استثناءات الأمن القومي)، والاحتمالية العملية للوصول، والتدابير التكميلية المُنفَّذة، والمخاطر المتبقية الناتجة. منهجية المجلس الأوروبي لحماية البيانات المكوّنة من ست خطوات هي المعيار الفعلي. لكل مورّد، خزّن تقييم أثر النقل بجانب الصف المقابل في سجل المادة 30 الخاص بك.

خريطة الموردين، خزنة البنود التعاقدية القياسية، وقالب تقييم أثر النقل

يُجرد Zunapro كل معالج يعتمد عليه متجرك الفرنسي، ويُرفق وحدة البنود التعاقدية القياسية الصحيحة، ويخزّن وثائق تقييم أثر النقل بجانب سجل المادة 30 الخاص بك — جاهزة لتفتيش CNIL.

ارسم خريطة عمليات النقل عبر الحدود الخاصة بي →

8. الإخطار بالخرق — عدّاد الـ72 ساعة

ما الذي يُعد خرقًا للبيانات الشخصية

تُعرّف المادة 4(12) من RGPD خرق البيانات الشخصية بأنه خرق أمني يؤدي إلى التدمير العرضي أو غير القانوني، أو الفقدان، أو التغيير، أو الكشف غير المصرَّح به عن، أو الوصول إلى، بيانات شخصية منقولة أو مخزَّنة أو معالجة بطريقة أخرى. بالنسبة للتجارة الإلكترونية، السيناريوهات المتكررة هي: حساب مسؤول مُخترق يكشف قائمة العملاء، أو دلو S3 سيئ التهيئة يكشف الفواتير، أو احتيال مستودع مدفوع بالتصيّد الاحتيالي يُسرّب عناوين الشحن، أو حاسوب محمول مسروق يحتوي على مستخرج غير مشفّر لإدارة علاقات العملاء، أو موجة حشو بيانات الاعتماد تسمح للمهاجمين بالدخول إلى حسابات العملاء.

التزام الإخطار خلال 72 ساعة

بموجب المادة 33 من RGPD، يجب على المراقب إخطار CNIL دون تأخير لا مبرر له وحيثما أمكن في موعد لا يتجاوز 72 ساعة بعد العلم به، ما لم يكن من غير المرجح أن يشكل الخرق خطرًا على حقوق وحريات الأشخاص الطبيعيين. إذا كان الإخطار متأخرًا عن 72 ساعة، يجب أن يكون مصحوبًا بأسباب التأخير.

يُقدَّم الإخطار عبر بوابة CNIL الإلكترونية على notifications.cnil.fr. يجب أن يتضمن طبيعة الخرق، وفئات وعدد تقريبي لأصحاب البيانات والسجلات المتأثرة، وجهة اتصال مسؤول حماية البيانات، والعواقب المحتملة، والتدابير المتخذة أو المقترحة.

متى يجب عليك أيضًا إخطار أصحاب البيانات

بموجب المادة 34، عندما يكون من المرجح أن يشكل الخرق خطرًا عاليًا على حقوق وحريات الأشخاص الطبيعيين، يجب عليك إبلاغ الأفراد المتأثرين دون تأخير لا مبرر له، بلغة واضحة وبسيطة. عادةً ما يتحقق الخطر العالي عند كشف بيانات مالية، أو وثائق هوية، أو بيانات صحية، أو أحجام كبيرة من بيانات الاتصال.

توجد استثناءات: إذا كان لديك تشفير قوي أو إخفاء هوية قائم يجعل البيانات غير مفهومة للأطراف غير المصرَّح لها، أو إذا اتخذت منذ ذلك الحين تدابير تضمن أن الخطر العالي لم يعد محتمل التحقق، أو إذا كان الإخطار الفردي يتطلب جهدًا غير متناسب (استخدم بلاغًا عامًا بدلاً من ذلك).

خطة الاستجابة خلال 72 ساعة

  1. الساعة 0 — إثارة التنبيه. يفتح مركز العمليات الأمنية أو مسؤول النظام تذكرة حادثة؛ يتم استدعاء مسؤول حماية البيانات فورًا.
  2. من الساعة 0 إلى 4 — الفرز. هل البيانات الشخصية متورطة فعليًا؟ ما الفئات، وما الأحجام، وما الإطار الزمني؟ التقط لقطة من السجلات ومؤشرات الاختراق قبل تدويرها.
  3. من الساعة 4 إلى 24 — الاحتواء والحفظ الجنائي. تدوير بيانات الاعتماد، إلغاء الرموز، حظر عناوين IP، تجميد تصدير البيانات.
  4. من الساعة 24 إلى 48 — تقييم المخاطر باستخدام إرشادات المجلس الأوروبي لحماية البيانات 9/2022 بشأن أمثلة تتعلق بالإخطار بخرق البيانات الشخصية. القرار: إخطار CNIL؟ إخطار أصحاب البيانات؟
  5. قبل الساعة 72 — تقديم إخطار CNIL عبر notifications.cnil.fr. إذا كانت الحقائق لا تزال تتكشف، قدّم إخطارًا جزئيًا وحدّثه لاحقًا.
  6. ما بعد الحادثة — تحليل السبب الجذري، خطة تصحيحية، تسجيل الخرق في سجل الخروقات الداخلي (المادة 33.5)، إحاطة القيادة.

الاحتفاظ بسجل الخروقات

تتطلب المادة 33.5 من RGPD من المراقب توثيق كل خرق للبيانات الشخصية، بما في ذلك الوقائع وآثاره والإجراءات العلاجية المتخذة. يجب إتاحة هذا السجل لـ CNIL عند الطلب. حتى الخروقات غير المُخطَر بها (لأن المخاطرة قُيِّمت على أنها منخفضة) يجب تسجيلها مع الأساس المنطقي — هذا أحد أول الأمور التي سيسأل عنها مفتشو CNIL.

9. التحليلات بدون كوكيز — إرشادات CNIL والأدوات

لماذا تدفع CNIL نحو انعدام الكوكيز

أمضت CNIL السنوات الخمس الماضية في تشجيع الناشرين والتجار الفرنسيين بنشاط على التحوّل نحو تحليلات بدون كوكيز أو مؤهلة للإعفاء. المنطق بسيط: يمكن أن تندرج تهيئة قياس جمهور صارمة ضمن إعفاء الموافقة بموجب المادة 82، مما يعني عدم وجود احتكاك بلافتة الكوكيز، وعدم فقدان البيانات على أكثر من 30% من المستخدمين الذين يرفضون كل شيء، وموقف امتثال أنظف بكثير.

معايير إعفاء قياس الجمهور لدى CNIL

  • مقتصر بشكل صارم على قياس جمهور الموقع لصالح المراقب نفسه.
  • عدم مطابقة مع معالجات أخرى (بدون تنميط عبر المواقع، بدون جماهير إعلانية سلوكية).
  • عدم نقل البيانات إلى أطراف ثالثة — يُسمح فقط بعلاقات المعالج.
  • عناوين IP مختصرة (على الأقل الثُّمانية الأخيرة لـ IPv4) ومعرّفات قصيرة.
  • احتفاظ محدود — تقبل CNIL حتى 13 شهرًا للكوكيز أو المعرّف، وحتى 25 شهرًا للبيانات الخام.
  • معلومات واضحة تُقدَّم للمستخدم في سياسة الخصوصية مع خيار إلغاء اشتراك موثّق.

الأدوات التي تتناسب مع الإعفاء

  • Matomo (مستضاف ذاتيًا أو Matomo Cloud EU) — المرجع التاريخي، مع دليل تهيئة معتمد من CNIL.
  • Piwik PRO Core Plan — إقامة بيانات في الاتحاد الأوروبي (فرانكفورت، وارسو)، تهيئة إعفاء CNIL موثّقة.
  • AT Internet Analytics Suite (جزء من Piano الآن) — المعيار الفرنسي للشركات، تستخدمه مجموعات إعلامية كبيرة.
  • Plausible (مستضاف في الاتحاد الأوروبي) — خفيف الوزن، بدون كوكيز على الإطلاق.
  • Fathom Analytics وSimple Analytics — أدوات بسيطة بدون كوكيز.

ماذا عن Google Analytics 4؟

بعد قرار كفاية إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (10 يوليو 2023)، أصبح استخدام GA4 ممكنًا مرة أخرى في تهيئة محكومة: العلامات من جانب الخادم، إخفاء هوية IP، بدون معرّف مستخدم بدون موافقة، بدون Google Signals بدون موافقة، ومن الناحية المثالية وكيل نطاق من الطرف الأول. ومع ذلك، تواصل CNIL التوصية بالتحوّل إلى بديل من الطرف الأول أو بدون كوكيز تمامًا حيثما أمكن، خاصة بالنسبة للشركات الصغيرة والمتوسطة التي تفتقر إلى الموارد الهندسية للحفاظ على تهيئة GA4 الثقيلة.

+

تأثير معدل التحويل: استعاد الناشرون الفرنسيون الذين انتقلوا إلى تحليلات بدون كوكيز أو مؤهلة للإعفاء عادةً 25-40% من الجمهور الذي فقدوه خلف جدار "رفض الكل" في GA4، مع تقليل احتكاك منصة إدارة الموافقة أيضًا. قارن أدوات التحليلات بدون كوكيز داخل Zunapro →

10. امتثال إدارة علاقات العملاء — التسويق، الاحتفاظ وحقوق التسويق

مرجع CNIL للتسويق التجاري

مرجع CNIL Referentiel relatif aux traitements de donnees a caractere personnel mis en oeuvre aux fins de gestion des activites commerciales (المحدَّث في 2022 والمطبَّق طوال 2026) هو الإنجيل العملي لامتثال إدارة علاقات العملاء في فرنسا. يضع معايير للأغراض، والاحتفاظ، وجودة البيانات، والأمن التي تستخدمها CNIL كخط أساس في عمليات التفتيش.

التسويق للمستهلكين (B2C): الموافقة المسبقة الصريحة

بموجب المادة L.34-5 من قانون البريد والاتصالات الإلكترونية (CPCE)، يتطلب التسويق التجاري عبر البريد الإلكتروني أو الرسائل النصية أو الفاكس أو نظام الاتصال الآلي الموجَّه لشخص طبيعي موافقة مسبقة حرة ومحددة ومستنيرة. يوجد استثناء واحد مشهور — الموافقة الضمنية اللينة للعملاء:

  • تم جمع عنوان البريد الإلكتروني أثناء عملية بيع.
  • يتعلق التسويق بمنتجات أو خدمات مماثلة.
  • تم إبلاغ العميل المحتمل عند الجمع وعُرضت عليه وسيلة بسيطة ومجانية للرفض.
  • تحتوي كل رسالة لاحقة على رابط إلغاء اشتراك واضح ومجاني.

بالنسبة للتسويق بين الشركات (B2B) الموجَّه إلى العناوين الوظيفية (مثل [email protected]) للمهنيين حول منتجات وخدمات ذات صلة بعملهم، ينطبق نظام إلغاء الاشتراك — شريطة استيفاء متطلبات الإعلام في المادة 13.

معايير الاحتفاظ لإدارة علاقات العملاء

  • العملاء المحتملون النشطون — حتى 3 سنوات من آخر اتصال بادر به العميل المحتمل (فتح، نقر، طلب، آخر عملية شراء). بعد 3 سنوات من عدم النشاط الخالص، أرشف أو احذف.
  • العملاء النشطون — لمدة العلاقة التجارية بالإضافة إلى فترة التقادم القانونية ذات الصلة.
  • الفواتير — 10 سنوات بموجب قانون التجارة، في أرشيف وسيط.
  • موافقات/إلغاءات اشتراك التسويق — لمدة الموافقة بالإضافة إلى 3 سنوات لأغراض الإثبات.
  • مشتركو النشرة الإخبارية غير النشطين — يُنصح بحملة إعادة تفاعل بعد 18-24 شهرًا من عدم التفاعل الصفري؛ احذف بعد 36 شهرًا.

برامج الولاء والتنميط والتصنيف

عادةً ما تتطلب برامج الولاء التي تجمع بين تاريخ الشراء والبيانات السلوكية لبناء شرائح (RFM، الشبيه، درجات فقدان العملاء) تقييم أثر حماية البيانات بموجب المادة 35. كن مستعدًا لتوثيق: أغراض التنميط، وفئات البيانات المستخدمة، والعواقب على صاحب البيانات (التجزئة، أهلية العروض الترويجية، تحمّل التسعير الديناميكي)، والضمانات (إلغاء الاشتراك، المراجعة اليدوية للقرارات الحدّية، التدقيق المنتظم للتحيّز).

أدوات إدارة علاقات العملاء: أي الموردين صديقون لـ CNIL؟

تشمل أنظمة إدارة علاقات العملاء الشائعة المستخدمة من قبل التجارة الإلكترونية الفرنسية في 2026 Brevo (سابقًا Sendinblue، مقرها باريس)، وSplio، وActito (بلجيكا، استضافة في الاتحاد الأوروبي)، وSalesforce Marketing Cloud (الولايات المتحدة، خيارات إقامة بيانات في الاتحاد الأوروبي + إطار خصوصية البيانات)، وHubSpot (الولايات المتحدة، إطار خصوصية البيانات)، وKlaviyo (الولايات المتحدة، إطار خصوصية البيانات)، وCustomer.io. أيًا كانت الأداة التي تختارها، تأكد من وجود اتفاقية معالجة البيانات (المادة 28)، وتوقيع وحدة البنود التعاقدية القياسية 2 حيثما تغادر البيانات الاتحاد الأوروبي، وتشفير قواعد الاحتفاظ الخاصة بك مباشرة في المنصة (إلغاء تلقائي بعد N أشهر من عدم النشاط).

أطلق متجرًا فرنسيًا جاهزًا لـ CNIL في أيام، لا أشهر

يجمع مركز Zunapro لفرنسا قالب لافتة كوكيز متوافقة، وسجل المادة 30، وسير عمل طلبات أصحاب البيانات، وسجل خروقات، وأتمتة الاحتفاظ بإدارة علاقات العملاء — كل ما تحتاجه لإطلاق موقع تجارة إلكترونية نظيف من الناحية القانونية لـ RGPD، بشكل أسرع.

افتح مركز سوق فرنسا →

الأسئلة الشائعة (FAQ)

هل RGPD هي نفسها اللائحة العامة لحماية البيانات الأوروبية (GDPR)؟

نعم. RGPD (Reglement General sur la Protection des Donnees) هو الاختصار الفرنسي للائحة العامة لحماية البيانات الأوروبية (اللائحة (EU) 2016/679). القواعد الجوهرية متطابقة في جميع الدول الأعضاء الـ27. كيّفت فرنسا اللائحة محليًا من خلال قانون المعلوماتية والحريات (القانون رقم 78-17 كما عُدّل في 2018 و2019) وهيئة CNIL هي السلطة الرقابية الوطنية التي تُنفذه.

هل يحتاج متجر التجارة الإلكترونية الفرنسي إلى لافتة كوكيز؟

نعم. بموجب المادة 82 من قانون المعلوماتية والحريات وإرشادات CNIL المحدّثة حتى 2026، أي كوكي أو أداة تتبع ليست ضرورية بشكل صارم للخدمة تتطلب موافقة مسبقة وحرة ومحددة ومستنيرة وغير غامضة. يجب أن توفر اللافتة خياري قبول الكل ورفض الكل في نفس المستوى، وبنفس الوزن البصري؛ يُحظر تحديد المربعات مسبقًا وجدران الكوكيز بدون بديل. يجب أن يكون رفض الكوكيز سهلاً كقبولها.

ما هي أقصى غرامة تفرضها CNIL على متجر تجارة إلكترونية؟

بموجب المادة 83 من RGPD، يمكن أن تصل الغرامات الإدارية إلى 20 مليون يورو أو 4% من إجمالي حجم الأعمال السنوي العالمي للسنة المالية السابقة، أيهما أعلى، للمخالفات الأكثر جسامة. أما مخالفات الكوكيز بموجب المادة 82 من قانون المعلوماتية والحريات، فيمكن لـ CNIL أيضًا فرض غرامات تصل إلى 2% من حجم الأعمال بموجب إجراء مبسط. تراوحت غرامات الكوكيز الفرنسية الأخيرة بين 50,000 يورو للتجار الصغار وأكثر من 150 مليون يورو لكبرى الشركات.

هل أحتاج إلى مسؤول حماية بيانات (DPO) لمتجري الإلكتروني؟

يُعد تعيين مسؤول حماية البيانات إلزاميًا بموجب المادة 37 من RGPD إذا كانت أنشطتك الأساسية تتضمن مراقبة منتظمة ومنهجية واسعة النطاق لأصحاب البيانات، أو معالجة واسعة النطاق لفئات خاصة من البيانات. تقع العديد من متاجر التجارة الإلكترونية الفرنسية متوسطة الحجم التي تُنشئ ملفات تعريف للمتسوقين وتُدير برامج ولاء وتستخدم إعادة الاستهداف السلوكي ضمن هذا النطاق. حتى عندما لا يكون إلزاميًا بشكل صارم، توصي CNIL بشدة بتعيين مسؤول حماية بيانات وتسجيله عبر بوابة التعيين على موقع cnil.fr.

كم من الوقت لدي للإبلاغ عن خرق للبيانات في فرنسا؟

تتطلب المادة 33 من RGPD الإبلاغ إلى CNIL دون تأخير لا مبرر له وحيثما أمكن في غضون 72 ساعة من العلم بخرق البيانات الشخصية، ما لم يكن من غير المرجح أن يشكل الخرق خطرًا على حقوق وحريات الأشخاص الطبيعيين. إذا كان من المرجح أن يشكل الخرق خطرًا عاليًا، تتطلب المادة 34 أيضًا إخطار الأشخاص المتأثرين دون تأخير لا مبرر له. يتم تقديم الإخطار عبر بوابة CNIL الإلكترونية على notifications.cnil.fr.

هل يمكنني استخدام Google Analytics في فرنسا عام 2026؟

كانت Google Analytics موضوع عدة قرارات من CNIL (2022 إلى 2024) تشير إلى عمليات نقل غير قانونية للبيانات الشخصية إلى الولايات المتحدة. بعد قرار الكفاية الخاص بإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة في يوليو 2023، أصبح استخدام Google Analytics 4 ممكنًا مرة أخرى بشروط تعاقدية محكومة، شريطة تهيئة إخفاء هوية عنوان IP، والوكيل من جانب الخادم، ولافتة موافقة متوافقة. تواصل CNIL التوصية بحلول التحليلات بدون كوكيز أو من الطرف الأول (Matomo، Piwik PRO، Plausible، AT Internet Analytics Suite) كبدائل أكثر أمانًا.

ما هو سجل معالجة البيانات ومن يجب أن يحتفظ به؟

بموجب المادة 30 من RGPD، يجب على كل مراقب ومعالج الاحتفاظ بسجل مكتوب لأنشطة المعالجة (Registre des activites de traitement). يوثق هذا السجل الأغراض، وفئات البيانات، والمستلمين، وفترات الاحتفاظ، وعمليات النقل، والتدابير الأمنية لكل عملية معالجة. يسري الالتزام على المنظمات التي يعمل بها 250 موظفًا أو أكثر، وعلى المنظمات الأصغر التي لا تكون معالجتها عرضية، أو تتضمن فئات خاصة من البيانات، أو من المرجح أن تشكل خطرًا على أصحاب البيانات — وهو ما يشمل عمليًا كل شركات التجارة الإلكترونية.

ما هي الحقوق التي يتمتع بها المتسوقون الفرنسيون على بياناتهم الشخصية؟

تمنح المواد من 15 إلى 22 من RGPD أصحاب البيانات ثمانية حقوق أساسية: حق الوصول، وحق التصحيح، وحق المحو (الحق في النسيان)، وحق تقييد المعالجة، وحق نقل البيانات، وحق الاعتراض، والحقوق المتعلقة باتخاذ القرارات الآلية والتنميط، وحق تقديم شكوى إلى CNIL. يجب على التجار عبر الإنترنت الرد في غضون شهر واحد وتوفير آلية مجانية وسهلة الوصول (نموذج داخل الحساب، بريد إلكتروني مخصص مثل [email protected]) لممارسة هذه الحقوق.

كيف تعمل البنود التعاقدية القياسية (SCCs) لعمليات النقل عبر الحدود بعد حكم Schrems II؟

بعد حكم محكمة العدل الأوروبية في قضية Schrems II (C-311/18، يوليو 2020)، تتطلب عمليات نقل البيانات الشخصية إلى دول ثالثة غير معتمدة بنودًا تعاقدية قياسية (قرار التنفيذ للمفوضية 2021/914) بالإضافة إلى تقييم أثر النقل وتدابير تكميلية (التشفير، إخفاء الهوية). بالنسبة للولايات المتحدة، أعاد إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (يوليو 2023) بناء جسر الكفاية للمستوردين المعتمدين. بالنسبة للدول الأخرى (تتمتع المملكة المتحدة بقرار كفاية خاص بها، وكذلك سويسرا)، تظل البنود التعاقدية القياسية الأداة الافتراضية، مكمَّلة بوثائق تقييم أثر النقل المحفوظة في سجل المادة 30 الخاص بك.

هل يمكنني إرسال رسائل تسويقية بالبريد الإلكتروني إلى عملائي دون موافقة صريحة؟

بموجب المادة L.34-5 من قانون البريد والاتصالات الإلكترونية الفرنسي وإرشادات CNIL، تتطلب رسائل البريد الإلكتروني التسويقية الموجهة للأشخاص الطبيعيين موافقة مسبقة صريحة. يوجد استثناء مهم واحد (الموافقة الضمنية اللينة): يمكنك مراسلة عملائك الحاليين بشأن منتجات أو خدمات مماثلة، شريطة أن يكون العنوان قد جُمع أثناء عملية بيع، وأن يكون المستلم قد أُبلغ عند الجمع وعُرض عليه خيار إلغاء اشتراك واضح، وأن تتضمن كل رسالة لاحقة رابط إلغاء اشتراك. تخضع رسائل البريد الإلكتروني بين الشركات (B2B) الموجهة للمهنيين على عناوين وظيفية لنظام إلغاء اشتراك أكثر مرونة.

كم من الوقت يجب أن أحتفظ ببيانات العملاء في نظام إدارة علاقات العملاء (CRM) الخاص بي؟

تحدد إرشادات CNIL بشأن التسويق التجاري وإدارة علاقات العملاء (المرجع المحدَّث في 2022 والمطبَّق في 2026) فترة الاحتفاظ ببيانات العملاء المحتملين النشطين بثلاث سنوات من آخر اتصال بادر به العميل المحتمل (فتح رسالة، نقر، شراء). تُحفظ بيانات العملاء المرتبطة بعقد لمدة العلاقة التجارية بالإضافة إلى فترة التقادم القانونية ذات الصلة (عادةً 5 سنوات للمطالبات المدنية، و10 سنوات للمحاسبة بموجب قانون التجارة). بعد فترة الاحتفاظ النشطة، يمكن أرشفة البيانات في تخزين وسيط بوصول مقيد، ثم حذفها.

هل يجب عليّ تسجيل أدوات المراقبة بالفيديو (CCTV) أو منع الاحتيال لدى CNIL؟

منذ إصلاح 2018 لقانون المعلوماتية والحريات، أُلغي إلى حد كبير نظام التصريح المسبق واستُبدل بمبدأ المساءلة الموثّق في سجل المادة 30 الخاص بك، وحيثما يلزم، بتقييم أثر حماية البيانات (DPIA) بموجب المادة 35 من RGPD. عادةً ما تستوفي عمليات تقييم مخاطر الاحتيال، والتنميط السلوكي، والفحوصات البيومترية، والمراقبة بالفيديو واسعة النطاق حد تقييم أثر حماية البيانات. يجب الاحتفاظ بتقييم أثر حماية البيانات متاحًا لتفتيش CNIL، وفي حالات الخطر المتبقي المرتفع، تقديمه للتشاور المسبق بموجب المادة 36.

ما هو التزام الخصوصية حسب التصميم في التجارة الإلكترونية؟

تتطلب المادة 25 من RGPD حماية البيانات حسب التصميم وبشكل افتراضي: إعدادات افتراضية صديقة للخصوصية (بدون مربعات تسويقية محددة مسبقًا، وحد أدنى من حقول البيانات في نماذج التسجيل، وفترة احتفاظ افتراضية قصيرة)، وتدابير تقنية وتنظيمية مدمجة منذ مرحلة التصميم، وإخفاء الهوية حيثما أمكن، ومبدأ تقليل البيانات. عمليًا، يعني هذا تصميم صفحة الدفع، وإنشاء الحساب، والنشرة الإخبارية، ونظام التوصيات، وإدارة علاقات العملاء بأقل بصمة بيانات ممكنة مع تقديم الخدمة.

Cookiebot أم OneTrust أم Axeptio — أي منصة إدارة موافقة يجب أن أختار؟

الثلاثة جميعها صديقة لـ CNIL عند تهيئتها بشكل صحيح. Cookiebot (Usercentrics) خيار افتراضي قوي للشركات الصغيرة والمتوسطة — سريعة النشر، جاهزة لإطار IAB TCF v2.2، وتسعير شفاف. OneTrust هي المعيار للشركات الكبيرة مع تكامل عميق، ودعم من جانب الخادم، وقوائم موردين عالمية — الخيار الصحيح للمجموعات العاملة في ولايات قضائية متعددة. Axeptio وDidomi هما البطلان الوطنيان الفرنسيان، بقوالب مصمّمة خصيصًا وفق إرشادات CNIL ولغة على طراز CNIL. منصة إدارة الموافقة هي معالج بموجب المادة 28 — يبقى المراقب (أنت) مسؤولاً عن التهيئة النهائية.

ماذا تقول المادة 82 من قانون المعلوماتية والحريات فعليًا؟

تنقل المادة 82 المادة 5(3) من توجيه الخصوصية الإلكترونية (2002/58/EC). تحظر أي تخزين لمعلومات مخزَّنة بالفعل في معدات المستخدم النهائي لخدمة اتصالات إلكترونية، أو الوصول إليها، ما لم يكن المستخدم قد وافق بعد تلقيه معلومات واضحة وكاملة حول أغراض المعالجة والوسائل المتاحة للرفض. يوجد استثناءان: عندما يكون التخزين أو الوصول لغرض حصري هو تنفيذ نقل اتصال عبر شبكة اتصالات إلكترونية، أو عندما يكون ضروريًا بشكل صارم لتقديم خدمة اتصالات عبر الإنترنت طلبها المستخدم صراحةً.

الخاتمة — RGPD كميزة تنافسية

لم يعد الامتثال لـ RGPD في فرنسا نشاطًا قانونيًا لمرة واحدة — إنه انضباط تشغيلي مستمر. أوضحت CNIL، من خلال خطتها الاستراتيجية للفترة 2024-2027 وتدفق عقوباتها المتسارع، أن 2026 هو العام الذي يجب على التجار عبر الإنترنت فيه سد الفجوة. الخبر السار هو أن اللبنات الأساسية موثّقة جيدًا: لافتة كوكيز محكمة (Cookiebot، OneTrust، Axeptio، Didomi)، وسياسة خصوصية واضحة، وسجل المادة 30 محدَّث، ومسؤول حماية بيانات يتمتع بسلطة حقيقية، وسير عمل لطلبات أصحاب البيانات يُعيد الإجابات في أقل من شهر، وبنود تعاقدية قياسية وتقييمات أثر نقل لكل مورّد خارج الاتحاد الأوروبي، وخطة استجابة للخروقات خلال 72 ساعة، وتحليلات بدون كوكيز حيثما أمكن.

يبلغ التجار الذين يتعاملون مع RGPD كبنية تحتية — مدمجة في المنصة بدلاً من إضافتها لاحقًا — باستمرار عن تأثيرين جانبيين: استعادة 25-40% من إشارة التحليلات عندما تتوقف لافتة الموافقة عن حظر كل شيء، ودرجة ثقة عملاء أعلى تتحول إلى تفاعل أفضل عبر البريد الإلكتروني وتراجع في معدل الفقدان. RGPD، عند تنفيذها بشكل صحيح، هو رافعة نمو. يمنحك مركز Zunapro لفرنسا القوالب والأتمتة ومسار التدقيق لتقديم موقف الامتثال هذا دون تعطيل خارطة طريق هندستك.

بِع في فرنسا مع RGPD في الطيار الآلي

اربط متجرك الفرنسي بـ Zunapro وأطلق لافتة كوكيز متوافقة مع CNIL، ومولّد سياسة خصوصية، وسجل المادة 30، وسير عمل لطلبات أصحاب البيانات، وقواعد الاحتفاظ بإدارة علاقات العملاء — في لوحة واحدة.

افتح مركز سوق فرنسا →
مشاركة:

هل تحتاج إلى مساعدة؟

الخدمة ذات الصلة: تأسيس شركة

Contact Us

Get free consultation for your e-commerce project.

الدردشة عبر WhatsApp