Panorama del RGPD en Francia 2026 — Lectura rápida
El RGPD (Règlement Général sur la Protection des Données, el nombre francés del RGPD de la UE) es aplicado en Francia por la CNIL, la autoridad de control independiente del país desde 1978. Los comerciantes en línea que venden a residentes franceses deben operar un banner de cookies conforme según el artículo 82 de la Loi Informatique et Libertés, publicar una política de privacidad, mantener un registro de actividades de tratamiento del artículo 30, nombrar un DPD cuando sea necesario, respetar los ocho derechos de los interesados, documentar Cláusulas Contractuales Tipo para cualquier transferencia de datos fuera de la UE, y notificar a la CNIL en un plazo de 72 horas tras cualquier violación de datos personales. La CNIL recomienda cada vez más la analítica sin cookies y una conservación estricta en el CRM. Las sanciones máximas alcanzan los 20 millones de euros o el 4% de la facturación mundial.
1. Visión general del RGPD — Lo que deben saber los operadores de comercio electrónico franceses
El Règlement Général sur la Protection des Données, más conocido internacionalmente como RGPD de la UE, es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Se convirtió en directamente aplicable en los 27 Estados miembros el 25 de mayo de 2018 y es, en 2026, la normativa más importante que debe dominar cualquier operador de comercio electrónico que venda a Francia. El acrónimo francés RGPD se utiliza de forma generalizada en la práctica administrativa, judicial y comercial, incluidas las deliberaciones de la CNIL, los códigos de conducta sectoriales y la jurisprudencia de la Cour de cassation.
Lo que hace a Francia particularmente exigente en comparación con otros Estados miembros es la combinación de tres capas legales. En primer lugar, el propio RGPD establece las normas sustantivas: base jurídica, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, además del principio general de responsabilidad proactiva. En segundo lugar, la Loi Informatique et Libertés (Ley n.º 78-17 de 6 de enero de 1978, sustancialmente modificada en 2018 por la Ley n.º 2018-493 y de nuevo en 2019 por la ordenanza n.º 2018-1125) adapta el RGPD a las especificidades francesas — incluida la edad de consentimiento digital (15 años), formalidades adicionales para datos de salud y judiciales, y el famoso artículo 82 relativo a las cookies y rastreadores. En tercer lugar, las deliberaciones, recomendaciones, marcos de referencia y resultados del sandbox de la CNIL añaden una densa capa de orientación operativa que los tribunales franceses tratan como cuasi vinculante.
Por qué el comercio electrónico está en el radar de la CNIL
Los comerciantes en línea combinan casi todas las categorías de tratamiento que la CNIL escruta: tratamiento a gran escala de datos de identificación y contacto, datos de pago, elaboración de perfiles conductuales para personalización, transferencias transfronterizas a proveedores de adtech con sede en EE. UU., y una conservación prolongada en el CRM para campañas de reactivación. El plan estratégico 2024-2027 de la CNIL nombra explícitamente al comercio electrónico, las aplicaciones móviles y la publicidad digital como sectores prioritarios de aplicación. Solo en 2026, la CNIL cerró varios casos de alto perfil contra minoristas por banners de cookies no conformes (sesgo gráfico hacia 'Aceptar'), conservación excesiva en el CRM (más de 3 años de prospectos inactivos) y registros del artículo 30 ausentes o desactualizados.
Para una PYME típica con unos pocos miles de pedidos al mes, la carga de cumplimiento es real pero absolutamente manejable: unas semanas de trabajo enfocado, apoyadas por una CMP (Cookiebot u OneTrust), una plantilla de registro y un protocolo de escalada claro. Los operadores más grandes con cientos de miles de registros, adtech del lado del servidor y almacenes internacionales necesitan un programa RGPD estructurado y, casi siempre, un DPD a tiempo completo.
Bases jurídicas que realmente utilizará
- Ejecución del contrato (artículo 6.1.b) — la base dominante para el tratamiento de pedidos, entregas, devoluciones, facturas y atención posventa. No se necesita consentimiento; los datos son necesarios para ejecutar el contrato.
- Obligación legal (artículo 6.1.c) — cubre la conservación contable (10 años según el Code de commerce), los requisitos de facturación, los registros fiscales y las comprobaciones antiblanqueo de capitales.
- Interés legítimo (artículo 6.1.f) — prevención del fraude, seguridad informática y de red, analítica web básica en algunas configuraciones, prospección B2B hacia profesionales. Requiere una prueba de ponderación documentada (EIL — Evaluación de Interés Legítimo).
- Consentimiento (artículo 6.1.a) — requerido para cookies de marketing, rastreadores de publicidad conductual, prospección B2C por correo electrónico/SMS a no clientes, notificaciones push y cualquier función de personalización opcional.
Principios fundamentales que los operadores de comercio electrónico malinterpretan
Los informes de control de la CNIL siguen señalando los mismos errores año tras año: formularios de registro con demasiados campos obligatorios (fallo de minimización de datos), cuentas de cliente que permanecen activas para siempre (fallo de limitación del plazo de conservación), exportaciones no estructuradas de Slack y Notion que filtran datos personales (fallo de integridad y confidencialidad), y paneles o informes que incluyen identificadores innecesarios (fallo de limitación de la finalidad). Cada uno de estos patrones es corregible desde la fase de diseño de la plataforma — que es exactamente lo que exige el artículo 25 del RGPD (privacidad desde el diseño y por defecto).
¿Listo para lanzar una tienda francesa conforme al RGPD?
El hub de Francia de Zunapro incluye una plantilla de banner de cookies alineada con la CNIL, una plantilla de registro del artículo 30, un flujo de trabajo para solicitudes de derechos y una bóveda de consentimientos — todo lo que necesita un DPD de comercio electrónico para empezar en cumplimiento.
2. La CNIL — La autoridad de protección de datos de Francia
Qué es realmente la CNIL
La Commission Nationale de l’Informatique et des Libertés fue creada por la Loi Informatique et Libertés del 6 de enero de 1978, mucho antes de que la Unión Europea adoptara su forma actual. Fue la respuesta de Francia al escándalo SAFARI — un intento de 1974 de interconectar los archivos administrativos de cada ciudadano francés bajo un identificador nacional único — y es una de las autoridades de protección de datos independientes más antiguas del mundo.
La CNIL es una autoridad administrativa independiente (autorité administrative indépendante, AAI), lo que significa que está financiada por el Estado pero ejerce sus poderes con independencia de la jerarquía gubernamental. En 2026 emplea aproximadamente a 290 personas, incluido un sólido equipo tecnológico (laboratorio CNIL LINC), un cuerpo de inspección sectorial, abogados y el Comité (formation restreinte) que emite las sanciones.
Poderes que la CNIL puede utilizar contra una tienda en línea
- Inspecciones in situ, en línea y documentales — un agente de la CNIL puede visitar su almacén, solicitar registros del servidor e inspeccionar la configuración de su CMS. Las inspecciones en línea (audit à distance) han crecido notablemente desde 2022 y se centran en banners de cookies y etiquetas de adtech.
- Requerimientos formales (mises en demeure) — una orden administrativa para cumplir en un plazo determinado. Muchos requerimientos son ahora públicos, lo que genera una presión reputacional significativa.
- Multas administrativas — hasta 20 millones de euros o el 4% de la facturación anual mundial según el artículo 83 del RGPD, lo que sea mayor, para las infracciones más graves; hasta el 2% de la facturación por infracciones relativas a cookies en el marco del procedimiento simplificado introducido en 2022.
- Requerimientos con multas coercitivas diarias (astreintes) — la CNIL puede ordenar acciones correctivas específicas y añadir una multa diaria por incumplimiento (por ejemplo, 5.000 euros por día).
- Publicidad de las decisiones — las decisiones se publican cada vez más en su totalidad en cnil.fr con el nombre del comerciante; la cobertura de prensa es sistemática.
Cómo ha evolucionado la aplicación de la CNIL
El plan estratégico 2024-2027 de la CNIL anunció un giro claro hacia una aplicación más numerosa, más rápida y más focalizada. El procedimiento sancionador simplificado introducido por el Decreto del 24 de marzo de 2022 permite a un único miembro del comité restringido imponer multas de hasta 20.000 euros a PYMES por infracciones evidentes — particularmente fallos en el consentimiento de cookies. Para 2026, solo este cauce cerró varios cientos de acciones de aplicación al año contra pequeños comerciantes.
El DPD y la CNIL: proceso de designación
Si nombra a un delegado de protección de datos, debe designarlo oficialmente a través del portal dedicado de la CNIL. La designación incluye los datos de contacto del DPD, que se vuelven públicamente consultables. La CNIL trata al DPD como su punto de contacto principal durante las inspecciones: los DPD ausentes, ficticios o inactivos son un factor agravante recurrente en las decisiones sancionadoras.
Centralice el cumplimiento de la CNIL en un solo panel
Zunapro mantiene sincronizados el registro del artículo 30, el flujo de trabajo de solicitudes de derechos, el registro de brechas y los datos de designación ante la CNIL de su tienda francesa — listos para una inspección en minutos, no semanas.
3. Consentimiento de cookies — El banner es obligatorio
El fundamento legal: artículo 82 de la Loi Informatique et Libertés
Las cookies y otros rastreadores se rigen en Francia por el artículo 82 de la Loi Informatique et Libertés, que transpone el artículo 5(3) de la Directiva ePrivacy (2002/58/CE, modificada por 2009/136/CE). La regla es simple: cualquier almacenamiento de información en el equipo terminal de un usuario, o acceso a la misma, que no sea estrictamente necesario para prestar un servicio de comunicación en línea expresamente solicitado por el usuario, requiere un consentimiento previo.
La CNIL aclaró las reglas operativas en la Deliberación n.º 2020-091 (recomendación del 17 de septiembre de 2020) y directrices complementarias, complementadas por la práctica de aplicación hasta 2026. Los requisitos fundamentales se resumen a continuación.
Lo que debe hacer un banner de cookies conforme en 2026
- Bloquear todas las cookies no esenciales antes del consentimiento. Ninguna etiqueta de analítica, publicidad, Hotjar/Clarity ni el Facebook Pixel puede activarse antes de que el usuario haga clic en 'Aceptar' (o realice una elección granular).
- Ofrecer 'Aceptar todo' y 'Rechazar todo' en el mismo nivel. Rechazar debe ser tan fácil como aceptar; ambos botones deben tener el mismo peso visual (contraste de color, tamaño, posición).
- Enumerar las finalidades con claridad — medición de audiencia, publicidad, compartición social, personalización, etc., con la posibilidad de conceder o rechazar el consentimiento para cada finalidad.
- Permitir la retirada en cualquier momento mediante un mecanismo de reapertura persistente (normalmente un pequeño icono de cookie en el pie de página).
- Conservar la prueba del consentimiento — identificador de consentimiento, marca temporal, versión del CMP, finalidades, lista de proveedores, IP truncada — durante la duración del consentimiento más un periodo probatorio razonable (la CNIL sugiere como máximo 6 meses tras la retirada).
Lo que está prohibido
- Casillas premarcadas — el consentimiento debe ser activo.
- Muros de cookies sin alternativa — condicionar el acceso al contenido a la aceptación de cookies solo es legal, según las directrices de la CNIL de 2022 sobre muros de cookies, cuando se ofrece una alternativa real y equivalente (normalmente un modelo de pago 'pagar o consentir' con precios razonables).
- Sesgo gráfico — un botón de 'Aceptar' de color frente a un botón de 'Rechazar' gris es una infracción de manual señalada en varias multas de la CNIL.
- Consentimiento implícito estilo 'Continuar navegando' — el simple hecho de desplazarse o navegar a otra página NO constituye consentimiento.
- Consentimiento agrupado — un único botón de 'Aceptar' que cubra 30 proveedores diferentes sin control granular no es específico.
Cookiebot, OneTrust y similares — elegir una CMP
Una plataforma de gestión de consentimientos (CMP) automatiza la visualización del banner, la captura del consentimiento, la gestión de proveedores y el almacenamiento de pruebas. Las dos CMP más utilizadas en Francia son Cookiebot (grupo Usercentrics, Dinamarca) y OneTrust (Estados Unidos, con opciones de residencia de datos en la UE). Ambas se integran con el marco IAB TCF v2.2, ambas ofrecen plantillas localizadas para Francia preconfiguradas según las directrices de la CNIL, y ambas pueden renderizarse del lado del servidor mediante Google Tag Manager.
Alternativas francesas dignas de consideración: Axeptio (París, sello 'French Tech'), Didomi (París, cotizada en Euronext Growth), Sirdata Choice, y la herramienta de código abierto Tarte au Citron. Sea cual sea la CMP que elija, la responsabilidad del cumplimiento sigue siendo suya como responsable del tratamiento — la CMP es un encargado del tratamiento según el artículo 28.
Realidad de las multas de la CNIL: entre 2023 y 2026, varios comerciantes franceses recibieron multas de entre 50.000 y 600.000 euros específicamente porque el botón 'Rechazar todo' estaba oculto un nivel más abajo que 'Aceptar todo', o porque las cookies se activaban antes de que apareciera el banner. Una revisión de configuración del CMP de dos horas suele prevenir todo el riesgo. Configure el CMP de su tienda francesa con Zunapro →
4. Política de privacidad — El documento que toda tienda debe publicar
Artículos 13 y 14 del RGPD: la obligación de información
Los artículos 13 y 14 del RGPD establecen una lista exhaustiva de información que debe facilitarse al interesado en el momento de la recopilación cuando los datos se recopilan directamente (artículo 13), o en un plazo razonable cuando se recopilan indirectamente (artículo 14, máximo un mes, por ejemplo, enriquecimiento mediante un bróker de datos de marketing).
Contenido obligatorio de una política de privacidad de comercio electrónico francés
- Identidad y datos de contacto del responsable del tratamiento — nombre legal completo, SIREN, dirección registrada, contacto electrónico.
- Datos de contacto del DPD cuando se haya nombrado uno (por ejemplo,
[email protected]). - Finalidades del tratamiento y la base jurídica de cada una — procesamiento de pedidos (contrato), conservación contable (obligación legal), boletín (consentimiento), prevención del fraude (interés legítimo), etc.
- Destinatarios o categorías de destinatarios — transportistas (Colissimo, Chronopost, Mondial Relay, DPD France), procesadores de pago (Stripe, Adyen, PayPal, PayTR), herramientas de CRM, proveedores de adtech.
- Transferencias transfronterizas — si algún dato sale del EEE, indique el país, la garantía (DPF, CCT, BCR, excepciones) y dónde obtener una copia.
- Plazos de conservación — por categoría de datos y por finalidad, no un genérico 'durante el tiempo necesario'.
- Derechos de los interesados — acceso, rectificación, supresión, limitación, portabilidad, oposición, derechos sobre decisiones automatizadas, derecho a reclamar ante la CNIL.
- Origen de los datos cuando no se recopilen directamente del interesado.
- Existencia de decisiones automatizadas, incluida la elaboración de perfiles, con información significativa sobre la lógica y las consecuencias (por ejemplo, bloqueo por puntuación de fraude, precios dinámicos).
Consejos prácticos de redacción
La CNIL ha dejado claro — especialmente en su directriz de 2022 'Pasos concretos para una información clara y accesible' — que la política de privacidad debe ser concisa, transparente, inteligible y fácilmente accesible, en lenguaje claro y sencillo. Páginas de jerga legal no son conformes. El patrón típicamente aceptado en 2026 es un aviso de dos capas: un resumen breve y fácil de escanear en la parte superior (tablas, iconos, francés claro), con detalles más profundos accesibles por finalidad más abajo.
Coloque un enlace a la política de privacidad en cada pie de página, en cada formulario cerca de la casilla de consentimiento, y en cada correo electrónico transaccional (confirmación de pedido, actualización de envío, posventa). La política debe estar versionada y fechada; los cambios sustantivos requieren aviso a los interesados.
Generador de política de privacidad integrado en su tienda
El hub de Francia de Zunapro genera automáticamente una política de privacidad alineada con el artículo 13, rellenada con sus procesadores activos, reglas de conservación y flujos transfronterizos — lista para publicar.
5. Registro del artículo 30 y el delegado de protección de datos (DPD)
El registro del artículo 30: la columna vertebral de la responsabilidad proactiva
Según el artículo 30 del RGPD, todo responsable y todo encargado del tratamiento deben mantener un registro escrito de sus actividades de tratamiento (Registre des activités de traitement, RAT). Es el documento más útil que puede mantener actualizado un DPD de comercio electrónico francés, porque es el punto de partida que los inspectores de la CNIL solicitan al inicio de cada auditoría.
Qué se incluye en el registro
- Nombre y datos de contacto del responsable del tratamiento, del corresponsable o corresponsables, del representante y del DPD.
- Finalidades del tratamiento — una fila por finalidad (gestión de pedidos, cuenta de cliente, boletín, prospección, fidelización, fraude, etc.).
- Descripción de las categorías de interesados y de datos personales.
- Categorías de destinatarios a quienes se han comunicado o se comunicarán los datos, incluidos los destinatarios en terceros países.
- Cuando proceda, transferencias a un tercer país u organización internacional, con la garantía documentada.
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos — la famosa columna de 'plazo de conservación'.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Cuándo es obligatorio un DPD
El artículo 37 del RGPD establece tres factores desencadenantes para la designación obligatoria de un DPD. Para los operadores de comercio electrónico, los más relevantes son:
- Las actividades principales consisten en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala. Esto suele abarcar grandes programas de fidelización, recomendadores conductuales, puntuación continua de prospectos y retargeting a gran escala.
- Las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (salud, biométricos, religiosos, políticos) o datos relativos a condenas penales. El comercio electrónico de productos generales puro suele escapar a este factor desencadenante, pero la parafarmacia, las gafas graduadas, la medición biométrica de tallas y verticales similares no.
Incluso cuando no sea obligatorio, la CNIL recomienda encarecidamente un DPD designado a partir de aproximadamente 50 empleados, o a partir de 10 millones de euros de facturación anual en línea, o cuando haya más de 100.000 registros de clientes activos en el CRM. El DPD puede ser interno o externo (mutualizado) y debe reportar directamente a la alta dirección.
Independencia y recursos del DPD
Los artículos 38 y 39 del RGPD protegen la independencia del DPD: no pueden ser sancionados ni destituidos por desempeñar sus funciones, deben disponer de los recursos necesarios y deben estar involucrados de forma adecuada y oportuna en todas las cuestiones relativas a los datos personales. La Cour de cassation ha confirmado (en varias decisiones de 2023-2024) que tomar represalias contra un DPD — por ejemplo, marginándolo tras un dictamen crítico — constituye un acto ilícito.
6. Derechos de los interesados — Acceso, rectificación, supresión, portabilidad
Los ocho derechos de un vistazo
- Derecho de acceso (artículo 15) — obtener confirmación del tratamiento y una copia de los datos.
- Derecho de rectificación (artículo 16) — corregir datos inexactos, completar datos incompletos.
- Derecho de supresión / derecho al olvido (artículo 17) — obtener la eliminación en casos definidos (retirada del consentimiento, datos ya no necesarios, tratamiento ilícito, etc.).
- Derecho a la limitación del tratamiento (artículo 18) — congelar el tratamiento durante disputas.
- Derecho a la portabilidad de los datos (artículo 20) — recibir los datos personales en un formato estructurado, de uso común y legible por máquina, y hacer que se transmitan a otro responsable cuando sea técnicamente posible.
- Derecho de oposición (artículo 21) — en particular contra el marketing directo, que es absoluto y gratuito.
- Derechos relacionados con la toma de decisiones individuales automatizada, incluida la elaboración de perfiles (artículo 22) — el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente de modo similar.
- Derecho a presentar una reclamación ante una autoridad de control (artículo 77) — en Francia, la CNIL.
Cómo gestionar las solicitudes de derechos en la práctica
Una solicitud de acceso del interesado (DSAR) debe responderse en el plazo de un mes desde su recepción, prorrogable dos meses en el caso de solicitudes complejas. La respuesta debe ser gratuita, salvo que la solicitud sea manifiestamente infundada o excesiva (poco frecuente). Solo puede solicitar prueba de identidad cuando existan dudas razonables sobre la identidad del solicitante — la CNIL ha multado a varios operadores por exigir sistemáticamente un escaneo de pasaporte, lo cual es excesivo.
Un flujo de trabajo sólido para las solicitudes de derechos implica: un canal de entrada (formulario web + correo electrónico dedicado como [email protected]), un paso de verificación de identidad calibrado según el riesgo, una búsqueda estructurada en todos los sistemas (CRM, ERP, base de datos de pedidos, ticketing, plataforma de marketing, vinculación de identificadores de adtech), un paso de revisión para ocultar datos de terceros, y un paso de entrega con descarga segura (ZIP cifrado, enlace caducable).
El derecho de supresión en el comercio electrónico: casos límite reales
La supresión pura rara vez es absoluta. Para una tienda en línea, el patrón típico es:
- Eliminar del CRM y de las herramientas de marketing — supresión total.
- Anonimizar los registros de pedidos con más de 5 años de antigüedad (plazo de prescripción comercial) — sustituir el nombre y la dirección por identificadores pseudónimos hasheados, pero conservar los totales de facturación y las referencias de productos a efectos contables.
- Conservar las facturas en almacenamiento intermedio durante 10 años según el artículo L.123-22 del Code de commerce — la obligación legal prevalece sobre la solicitud de supresión.
- Conservar las decisiones de puntuación de fraude durante el plazo de conservación declarado en su política de LBC/FT — normalmente 5 años tras el fin de la relación.
Formato y alcance de la portabilidad
La portabilidad cubre los datos proporcionados por el interesado (campos de la cuenta, direcciones, historial de pedidos que introdujo) y se entrega en un formato estructurado, de uso común y legible por máquina — en la práctica JSON o CSV. NO cubre datos derivados como puntuaciones de fraude, cálculos del valor de vida del cliente o clústeres RFM. Cuando sea técnicamente posible, debe transmitir los datos directamente a otro responsable designado por el interesado (artículo 20.2).
7. Transferencias transfronterizas — CCT, DPF y Schrems II
El mapa legal tras Schrems II
La sentencia Schrems II del TJUE (asunto C-311/18, 16 de julio de 2020) invalidó el Escudo de Privacidad UE-EE. UU. y endureció significativamente las condiciones en las que los datos personales pueden transferirse de la UE a terceros países no adecuados. El marco reconstruido desde entonces se apoya en tres pilares:
- Decisiones de adecuación (artículo 45) — la Comisión Europea declara que un tercer país ofrece un nivel de protección esencialmente equivalente. En 2026, esto abarca el Reino Unido, Suiza, Japón, Corea del Sur, Canadá (sector comercial), Nueva Zelanda, Israel, Argentina, Uruguay, Andorra, las Islas Feroe, Guernsey, la Isla de Man, Jersey y — desde el 10 de julio de 2023 — Estados Unidos bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF) únicamente para importadores certificados.
- Garantías adecuadas (artículo 46) — para países no adecuados, el instrumento más común son las nuevas Cláusulas Contractuales Tipo (Decisión de Ejecución 2021/914 de la Comisión, de 4 de junio de 2021), que deben combinarse con una evaluación de impacto de la transferencia (TIA) según las Recomendaciones 01/2020 del CEPD y medidas suplementarias como el cifrado en reposo y en tránsito, la seudonimización, y desafíos contractuales a las solicitudes de acceso gubernamental.
- Excepciones (artículo 49) — consentimiento explícito, ejecución del contrato, interés público, etc. Deben usarse solo para transferencias ocasionales y no sistemáticas.
Lo que esto significa para su stack tecnológico
Mapee cada proveedor que tenga contacto con datos personales y etiquete cada transferencia:
- Stripe, PayPal, Adyen — existen entidades de la UE; verifique la entidad contratante en su acuerdo de tratamiento de datos.
- Google Workspace, Google Analytics 4, Google Ads — transferencias a EE. UU. bajo el DPF; suelen aplicarse las CCT del módulo 2 (responsable a encargado) como respaldo.
- AWS, Cloudflare, Datadog — las reglas de transferencia dependen de la región elegida. Los despliegues en región UE más el respaldo del DPF son el estado del arte actual.
- Píxeles de Meta (Facebook, Instagram), píxel de TikTok — transferencias a EE. UU./China; consentimiento + CCT + aceptación de riesgo documentada en la TIA.
- Herramientas de correo electrónico (SendGrid, Mailchimp, Klaviyo) — verifique la entidad contratante, la opción de residencia en la UE y el estado del DPF.
La TIA en 30 minutos
Una evaluación de impacto de la transferencia es un documento estructurado que registra: la naturaleza de los datos, el destinatario, el país de importación, el marco jurídico de ese país (acceso gubernamental, excepciones de seguridad nacional), la probabilidad práctica de acceso, las medidas suplementarias implementadas, y el riesgo residual resultante. La metodología de seis pasos del CEPD es el estándar de facto. Para cada proveedor, guarde la TIA junto a la fila correspondiente de su registro del artículo 30.
Mapa de proveedores, bóveda de CCT y plantilla de TIA
Zunapro inventaría cada procesador del que depende su tienda francesa, adjunta el módulo de CCT correcto y almacena los documentos de TIA junto a su registro del artículo 30 — listos para una inspección de la CNIL.
8. Notificación de brechas — El reloj de 72 horas
Qué se considera una violación de datos personales
El artículo 4(12) del RGPD define una violación de la seguridad de los datos personales como una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. En el comercio electrónico, los escenarios recurrentes son: una cuenta de administrador comprometida que expone la lista de clientes, un bucket S3 mal configurado que expone facturas, un fraude en el almacén provocado por phishing que filtra direcciones de envío, un portátil robado con un extracto de CRM sin cifrar, o una oleada de credential stuffing que permite a los atacantes acceder a las cuentas de los clientes.
La obligación de notificación en 72 horas
Según el artículo 33 del RGPD, el responsable del tratamiento debe notificar a la CNIL sin dilación indebida y, cuando sea posible, a más tardar 72 horas después de que haya tenido conocimiento de ella, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas. Si la notificación se produce más de 72 horas después, debe ir acompañada de las razones de la dilación.
La notificación se presenta a través del portal en línea de la CNIL en notifications.cnil.fr. Debe incluir la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, el contacto del DPD, las consecuencias probables, y las medidas adoptadas o propuestas.
Cuándo también debe notificar a los interesados
Según el artículo 34, cuando la violación pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, debe comunicarla a las personas afectadas sin dilación indebida, en un lenguaje claro y sencillo. El alto riesgo suele darse cuando se exponen datos financieros, documentos de identidad, datos de salud o grandes volúmenes de datos de contacto.
Existen exenciones: si contaba con un cifrado o seudonimización robustos que hicieran los datos ininteligibles para terceros no autorizados, o si desde entonces ha adoptado medidas que garantizan que el alto riesgo ya no es probable que se materialice, o si la notificación individual supondría un esfuerzo desproporcionado (use en su lugar una comunicación pública).
El protocolo de 72 horas
- Hora 0 — se lanza la alerta. El SOC o el administrador de sistemas abre un ticket de incidente; se avisa inmediatamente al DPD.
- Hora 0 a 4 — triaje. ¿Están realmente implicados datos personales? ¿Qué categorías, qué volúmenes, qué ventana temporal? Capture registros e indicadores de compromiso antes de que roten.
- Hora 4 a 24 — contención y preservación forense. Rote credenciales, revoque tokens, bloquee IPs, congele las exportaciones de datos.
- Hora 24 a 48 — evaluación de riesgos utilizando las Directrices 9/2022 del CEPD sobre ejemplos relativos a la notificación de violaciones de la seguridad de los datos personales. Decida: ¿notificar a la CNIL? ¿notificar a los interesados?
- Antes de la hora 72 — presente la notificación a la CNIL a través de notifications.cnil.fr. Si los hechos aún están en desarrollo, presente una notificación parcial y actualícela después.
- Tras el incidente — análisis de causa raíz, plan correctivo, registro de la brecha en su registro interno de brechas (artículo 33.5), informe a la dirección.
Mantener un registro de brechas
El artículo 33.5 del RGPD exige que el responsable del tratamiento documente toda violación de datos personales, incluidos los hechos, sus efectos y las medidas correctivas adoptadas. Este registro debe estar disponible para la CNIL a petición. Incluso las brechas no notificadas (porque el riesgo se evaluó como bajo) deben registrarse con su justificación — esto es una de las primeras cosas que preguntarán los inspectores de la CNIL.
9. Analítica sin cookies — Directrices de la CNIL y herramientas
Por qué la CNIL impulsa la analítica sin cookies
La CNIL ha dedicado los últimos cinco años a animar activamente a editores y comerciantes franceses a avanzar hacia una analítica sin cookies o exenta de consentimiento. El razonamiento es simple: una configuración estricta de medición de audiencia puede acogerse a la exención de consentimiento del artículo 82, lo que significa sin fricción del banner de cookies, sin pérdida de datos en el más del 30% de usuarios que rechazan todo, y una postura de cumplimiento mucho más limpia.
Los criterios de exención de la CNIL para la medición de audiencia
- Estrictamente limitada a medir la audiencia del sitio web en beneficio propio del responsable del tratamiento.
- Sin cruce con otros tratamientos (sin elaboración de perfiles entre sitios, sin audiencias de publicidad conductual).
- Sin transmisión de los datos a terceros — solo se permiten relaciones de encargado del tratamiento.
- Direcciones IP truncadas (al menos el último octeto en IPv4) e identificadores cortos.
- Conservación limitada — la CNIL acepta hasta 13 meses para la cookie o el identificador, y hasta 25 meses para los datos brutos.
- Información clara facilitada al usuario en la política de privacidad con una opción de exclusión documentada.
Herramientas que encajan en la exención
- Matomo (autoalojado o Matomo Cloud EU) — la referencia histórica, con una guía de configuración aprobada por la CNIL.
- Piwik PRO Core Plan — residencia de datos en la UE (Fráncfort, Varsovia), configuración de exención de la CNIL documentada.
- AT Internet Analytics Suite (ahora parte de Piano) — el estándar empresarial francés, utilizado por grandes grupos de medios.
- Plausible (alojado en la UE) — ligero, sin cookies en absoluto.
- Fathom Analytics, Simple Analytics — herramientas minimalistas sin cookies.
¿Qué pasa con Google Analytics 4?
Tras la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. (10 de julio de 2023), GA4 volvió a ser utilizable en una configuración controlada: etiquetado del lado del servidor, anonimización de IP, sin ID de usuario sin consentimiento, sin Google Signals sin consentimiento, e idealmente proxying de dominio propio. Sin embargo, la CNIL sigue recomendando cambiar a una alternativa de origen propio o completamente sin cookies siempre que sea posible, particularmente para PYMES sin los recursos de ingeniería necesarios para mantener la pesada configuración de GA4.
Impacto en la tasa de conversión: los editores franceses que han migrado a analítica sin cookies o exenta de consentimiento suelen recuperar entre el 25 y el 40% de la audiencia que perdían tras el muro de 'Rechazar todo' de GA4, a la vez que reducen la fricción del CMP. Compare herramientas de analítica sin cookies dentro de Zunapro →
10. Cumplimiento del CRM — Prospección, conservación y derechos de marketing
El marco de referencia de la CNIL sobre prospección comercial
El Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales de la CNIL (actualizado en 2022, aplicado durante todo 2026) es la biblia práctica del cumplimiento del CRM en Francia. Establece parámetros de referencia para las finalidades, la conservación, la calidad de los datos y la seguridad que la CNIL utiliza como base en las inspecciones.
Prospección B2C: consentimiento previo de tipo opt-in
Según el artículo L.34-5 del Code des postes et des communications électroniques (CPCE), la prospección comercial por correo electrónico, SMS, fax o sistema de llamadas automatizado dirigida a una persona física requiere un consentimiento previo, libre, específico e informado. Existe una excepción famosa — el soft opt-in para clientes:
- La dirección de correo electrónico se recopiló durante una venta.
- La prospección se refiere a productos o servicios análogos.
- Se informó al prospecto en el momento de la recopilación y se le ofreció una forma sencilla y gratuita de negarse.
- Cada mensaje posterior contiene un enlace de baja claro y gratuito.
Para la prospección B2B dirigida a direcciones funcionales (por ejemplo, [email protected]) de profesionales sobre productos y servicios relevantes para su trabajo, se aplica un régimen de exclusión voluntaria — siempre que se cumplan los requisitos de información del artículo 13.
Parámetros de referencia de conservación para el CRM
- Prospectos activos — hasta 3 años desde el último contacto iniciado por el prospecto (apertura, clic, solicitud, última compra). Tras 3 años de inactividad total, archivar o eliminar.
- Clientes activos — durante la duración de la relación comercial más el plazo de prescripción correspondiente.
- Facturas — 10 años según el Code de commerce, en archivo intermedio.
- Opt-ins / opt-outs de marketing — durante la duración del consentimiento más 3 años a efectos probatorios.
- Suscriptores inactivos del boletín — se recomienda una campaña de reactivación tras 18-24 meses de interacción cero; eliminar tras 36 meses.
Programas de fidelización, elaboración de perfiles y puntuación
Los programas de fidelización que combinan el historial de compras con datos de comportamiento para crear segmentos (RFM, lookalikes, puntuaciones de abandono) suelen requerir una EIPD según el artículo 35. Prepárese para documentar: las finalidades de la elaboración de perfiles, las categorías de datos utilizadas, las consecuencias para el interesado (segmentación, elegibilidad para promociones, tolerancia de precios dinámicos), y las salvaguardas (exclusión voluntaria, revisión manual para decisiones límite, auditoría periódica de sesgos).
Herramientas de CRM: ¿qué proveedores son favorables a la CNIL?
Entre los CRM populares utilizados por el comercio electrónico francés en 2026 se encuentran Brevo (antes Sendinblue, sede en París), Splio, Actito (Bélgica, alojamiento en la UE), Salesforce Marketing Cloud (EE. UU., opciones de residencia de datos en la UE + DPF), HubSpot (EE. UU., DPF), Klaviyo (EE. UU., DPF) y Customer.io. Sea cual sea la herramienta que elija, asegúrese de que el acuerdo de tratamiento de datos (artículo 28) esté en vigor, que el módulo 2 de CCT esté firmado allí donde los datos salgan de la UE, y que sus reglas de conservación estén codificadas directamente en la plataforma (auto-supresión tras N meses de inactividad).
Lance una tienda francesa lista para la CNIL en días, no meses
El hub de Francia de Zunapro incluye una plantilla de banner de cookies conforme, un registro del artículo 30, un flujo de trabajo de solicitudes de derechos, un registro de brechas y automatización de conservación del CRM — todo lo que necesita para lanzar un sitio de comercio electrónico limpio en materia de RGPD, más rápido.
Abrir el hub del marketplace de Francia →Preguntas frecuentes (FAQ)
¿Es el RGPD lo mismo que el RGPD de la UE?
Sí. RGPD (Règlement Général sur la Protection des Données) es el acrónimo francés del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679). Las normas sustantivas son idénticas en los 27 Estados miembros. Francia adaptó el reglamento a nivel local mediante la Loi Informatique et Libertés (Ley n.º 78-17, modificada en 2018 y 2019), y la CNIL es la autoridad de control nacional que la hace cumplir.
¿Necesita una tienda de comercio electrónico francesa un banner de cookies?
Sí. Según el artículo 82 de la Loi Informatique et Libertés y las directrices de la CNIL actualizadas hasta 2026, cualquier cookie o rastreador que no sea estrictamente necesario para el servicio requiere un consentimiento previo, libre, específico, informado e inequívoco. El banner debe ofrecer 'Aceptar todo' y 'Rechazar todo' en el mismo nivel, con el mismo peso visual; las casillas premarcadas y los muros de cookies sin alternativas están prohibidos. Rechazar las cookies debe ser tan fácil como aceptarlas.
¿Cuál es la multa máxima de la CNIL para una tienda de comercio electrónico?
Según el artículo 83 del RGPD, las multas administrativas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual mundial del ejercicio anterior, lo que sea mayor, para las infracciones más graves. Para las infracciones relativas a las cookies bajo el artículo 82 de la Loi Informatique et Libertés, la CNIL también puede imponer multas de hasta el 2% de la facturación mediante un procedimiento simplificado. Las multas recientes por cookies en Francia han oscilado entre 50.000 euros para pequeños comerciantes y más de 150 millones de euros para grandes actores.
¿Necesito un delegado de protección de datos (DPD) para mi tienda online?
Un DPD es obligatorio según el artículo 37 del RGPD si sus actividades principales consisten en la supervisión habitual y sistemática a gran escala de interesados, o en el tratamiento a gran escala de categorías especiales de datos. Muchos operadores de comercio electrónico francés de tamaño medio que perfilan a los compradores, gestionan programas de fidelización y utilizan retargeting conductual entran dentro de este ámbito. Incluso cuando no sea estrictamente obligatorio, la CNIL recomienda encarecidamente nombrar un DPD y registrarlo a través del portal de designación de cnil.fr.
¿Cuánto tiempo tengo para notificar una violación de datos en Francia?
El artículo 33 del RGPD exige la notificación a la CNIL sin dilación indebida y, cuando sea posible, en el plazo de 72 horas desde que se tuvo conocimiento de la violación de datos personales, salvo que sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas. Si la violación conlleva probablemente un alto riesgo, el artículo 34 también exige comunicarla a los interesados afectados sin dilación indebida. La notificación se presenta a través del portal en línea de la CNIL en notifications.cnil.fr.
¿Puedo usar Google Analytics en Francia en 2026?
Google Analytics ha sido objeto de varias decisiones de la CNIL (de 2022 a 2024) que señalaban transferencias ilegales de datos personales a Estados Unidos. Tras la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. en julio de 2023, Google Analytics 4 volvió a ser utilizable bajo condiciones contractualmente controladas, siempre que configure la anonimización de IP, el proxy del lado del servidor y un banner de consentimiento conforme. La CNIL sigue recomendando soluciones de analítica sin cookies o de origen propio (Matomo, Piwik PRO, Plausible, AT Internet Analytics Suite) como alternativas más seguras.
¿Qué es un registro de actividades de tratamiento y quién debe llevarlo?
Según el artículo 30 del RGPD, todo responsable y todo encargado del tratamiento debe mantener un registro escrito de sus actividades de tratamiento (Registre des activités de traitement). Documenta las finalidades, categorías de datos, destinatarios, plazos de conservación, transferencias y medidas de seguridad para cada operación de tratamiento. La obligación se aplica a organizaciones con 250 o más empleados, y a organizaciones más pequeñas cuyo tratamiento no sea ocasional, implique categorías especiales de datos o pueda suponer un riesgo para los interesados — lo que abarca esencialmente a todo negocio de comercio electrónico.
¿Qué derechos tienen los compradores franceses sobre sus datos personales?
Los artículos 15 a 22 del RGPD otorgan a los interesados ocho derechos fundamentales: el derecho de acceso, el derecho de rectificación, el derecho de supresión (derecho al olvido), el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos, el derecho de oposición, los derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles, y el derecho a presentar una reclamación ante la CNIL. Los comerciantes online deben responder en el plazo de un mes y proporcionar un mecanismo gratuito y accesible (formulario en la cuenta, correo electrónico dedicado como [email protected]) para ejercer estos derechos.
¿Cómo funcionan las CCT para las transferencias transfronterizas tras la sentencia Schrems II?
Tras la sentencia Schrems II del TJUE (C-311/18, julio de 2020), las transferencias de datos personales a terceros países no adecuados requieren Cláusulas Contractuales Tipo (Decisión de Ejecución 2021/914 de la Comisión) más una evaluación de impacto de la transferencia y medidas suplementarias (cifrado, seudonimización). Para Estados Unidos, el Marco de Privacidad de Datos UE-EE. UU. (julio de 2023) restableció un puente de adecuación para los importadores certificados. Para otros países (el Reino Unido tiene su propia adecuación, al igual que Suiza), las CCT siguen siendo el instrumento por defecto, complementadas con la documentación de la evaluación de impacto conservada en su registro del artículo 30.
¿Puedo enviar correos de marketing a mis clientes sin consentimiento explícito?
Según el artículo L.34-5 del Código francés de correos y comunicaciones electrónicas y las directrices de la CNIL, los correos de marketing dirigidos a personas físicas requieren un consentimiento previo de tipo opt-in. Existe una excepción importante (soft opt-in): puede enviar correos a sus propios clientes sobre productos o servicios análogos, siempre que la dirección se recopilara durante una venta, se informara al destinatario en el momento de la recopilación y se le ofreciera una opción de exclusión clara, y que cada correo posterior incluya un enlace de baja. Los correos B2B dirigidos a profesionales en direcciones funcionales siguen un régimen de exclusión voluntaria más flexible.
¿Cuánto tiempo debo conservar los datos de los clientes en mi CRM?
Las directrices de la CNIL sobre prospección comercial y CRM (Référentiel Gestion commerciale, actualización de 2022 aplicada en 2026) establecen la conservación de prospectos activos en tres años desde el último contacto iniciado por el prospecto (apertura, clic, compra). Los datos de clientes vinculados a un contrato se conservan durante la duración de la relación comercial más el plazo de prescripción correspondiente (normalmente 5 años para reclamaciones civiles, 10 años para contabilidad según el Code de commerce). Tras el periodo de conservación activa, los datos pueden archivarse en almacenamiento intermedio con acceso restringido y posteriormente eliminarse.
¿Debo registrar mi videovigilancia o mis herramientas antifraude ante la CNIL?
Desde la reforma de 2018 de la Loi Informatique et Libertés, el régimen de declaración previa fue en gran medida abolido y sustituido por la responsabilidad proactiva documentada en su registro del artículo 30 y, cuando sea necesario, una evaluación de impacto relativa a la protección de datos (EIPD) según el artículo 35 del RGPD. La puntuación antifraude, la elaboración de perfiles de comportamiento, las comprobaciones biométricas y la videovigilancia a gran escala suelen alcanzar el umbral de la EIPD. La EIPD debe mantenerse disponible para su inspección por la CNIL y, en casos de riesgo residual elevado, presentarse para consulta previa según el artículo 36.
¿Qué es la obligación de privacidad desde el diseño en el comercio electrónico?
El artículo 25 del RGPD exige la protección de datos desde el diseño y por defecto: configuraciones predeterminadas respetuosas con la privacidad (sin casillas de marketing premarcadas, campos de datos mínimos en los formularios de registro, conservación predeterminada breve), medidas técnicas y organizativas integradas desde la fase de arquitectura, seudonimización cuando sea posible, y el principio de minimización de datos. En la práctica, esto significa diseñar el proceso de pago, la creación de cuentas, el boletín, el sistema de recomendaciones y el CRM con la huella de datos más ligera que aún permita prestar el servicio.
Cookiebot frente a OneTrust frente a Axeptio — ¿qué CMP debería elegir?
Las tres son favorables a la CNIL cuando se configuran correctamente. Cookiebot (Usercentrics) es una opción sólida por defecto para PYMES — rápida de implementar, compatible con IAB TCF v2.2, precios transparentes. OneTrust es el estándar empresarial con integración profunda, soporte del lado del servidor y listas globales de proveedores — la elección correcta para grupos que operan en varias jurisdicciones. Axeptio y Didomi son los campeones nacionales franceses, con plantillas específicamente adaptadas a las directrices y al lenguaje propio de la CNIL. La CMP es un encargado del tratamiento según el artículo 28 — el responsable (usted) sigue siendo responsable de la configuración final.
¿Qué establece realmente el artículo 82 de la Loi Informatique et Libertés?
El artículo 82 transpone el artículo 5(3) de la Directiva ePrivacy (2002/58/CE). Prohíbe cualquier almacenamiento de información, o acceso a información ya almacenada, en el equipo terminal de un usuario de un servicio de comunicaciones electrónicas, a menos que el usuario haya dado su consentimiento tras haber recibido información clara y completa sobre las finalidades del tratamiento y los medios disponibles para negarse. Existen dos excepciones: cuando el almacenamiento o el acceso tengan como único objetivo llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o cuando sea estrictamente necesario para la prestación de un servicio de comunicaciones en línea expresamente solicitado por el usuario.
Conclusión — El RGPD como ventaja competitiva
El cumplimiento del RGPD en Francia ya no es un esfuerzo legal puntual — es una disciplina operativa continua. La CNIL ha dejado claro, a través de su plan estratégico 2024-2027 y su flujo de sanciones cada vez más rápido, que 2026 es el año en que los comerciantes en línea deben cerrar la brecha. La buena noticia es que los componentes básicos están bien documentados: un banner de cookies sólido (Cookiebot, OneTrust, Axeptio, Didomi), una política de privacidad clara, un registro del artículo 30 actualizado, un DPD con autoridad real, un flujo de trabajo de solicitudes de derechos que responde en menos de un mes, CCT y TIA para cada proveedor fuera de la UE, un protocolo de brechas de 72 horas y analítica sin cookies siempre que sea posible.
Los comerciantes que tratan el RGPD como una infraestructura básica — integrada en la plataforma en lugar de añadida a posteriori — informan sistemáticamente de dos efectos secundarios: una recuperación del 25-40% de la señal analítica cuando el banner de consentimiento deja de bloquearlo todo, y una mayor puntuación de confianza del cliente que se traduce en mejor participación por correo electrónico y menor abandono. El RGPD, bien hecho, es una palanca de crecimiento. El hub de Francia de Zunapro le ofrece las plantillas, la automatización y el rastro de auditoría para implementar esa postura de cumplimiento sin frenar su hoja de ruta de ingeniería.
Venda en Francia con el RGPD en piloto automático
Conecte su tienda francesa a Zunapro y lance un banner de cookies alineado con la CNIL, un generador de política de privacidad, un registro del artículo 30, un flujo de trabajo de solicitudes de derechos y reglas de conservación del CRM — en un único panel.
Abrir el hub del marketplace de Francia →¿Necesita ayuda con esto?
Servicio relacionado: E-Commerce