2026年フランスRGPDスナップショット — クイックリード
RGPD(Reglement General sur la Protection des Donnees、EUGDPRのフランス語名)は、1978年以来の同国の独立監督機関であるCNILによってフランスで執行されています。フランス在住者に販売するオンライン事業者は、情報処理と自由に関する法律第82条に基づく準拠したクッキーバナーを運用し、プライバシーポリシーを公開し、第30条処理活動台帳を維持し、必要な場合はDPOを任命し、8つのデータ主体の権利を尊重し、EU域外への各データ移転について標準契約条項を文書化し、個人データ侵害があった場合は72時間以内にCNILへ通知しなければなりません。CNILはますますクッキーレス分析と厳格なCRM保持を推奨しています。最大制裁金は2,000万ユーロまたは全世界売上高の4%に達します。
1. RGPD概要 — フランスEコマース事業者が知るべきこと
Reglement General sur la Protection des Donneesは、国際的にはEU GDPRとしてよく知られており、欧州議会および理事会の規則(EU)2016/679です。2018年5月25日に27の全加盟国で直接適用されるようになり、2026年現在、フランスに販売するすべてのEコマース事業者が習得すべき最も重要な規制です。フランス語の略称RGPDは、CNILの決定、業界別行動規範、破毀院の判例を含め、行政・司法・商業のあらゆる実務で使用されています。
他の加盟国と比較してフランスを特に厳格にしているのは、3つの法的レイヤーの組み合わせです。第一に、RGPD自体が実体的な規則を定めています:合法的根拠、目的制限、データ最小化、正確性、保存制限、完全性と機密性、そして説明責任という包括的原則です。第二に、情報処理と自由に関する法律(1978年1月6日の78-17号法、2018年に2018-493号法により、さらに2019年に2018-1125号オルドナンスにより大幅に改正)は、RGPDをフランス独自の状況に適応させています — デジタル同意年齢(15歳)、健康データと司法データに関する追加の手続き、そしてクッキーとトラッカーを規定する有名な第82条を含みます。第三に、CNILの決定、勧告、参照枠組み、サンドボックスの成果は、フランスの裁判所が準拘束的とみなす分厚い運用ガイダンス層を追加しています。
なぜEコマースがCNILの監視対象なのか
オンライン事業者は、CNILが精査するほぼすべてのカテゴリーの処理を組み合わせています:識別情報および連絡先データの大規模処理、決済データ、パーソナライゼーションのための行動プロファイリング、米国拠点のアドテクベンダーへの越境移転、再エンゲージメントキャンペーンのための長期CRM保持です。CNILの2024-2027年戦略計画は、Eコマース、モバイルアプリ、デジタル広告を優先執行分野として明示的に挙げています。2026年だけでも、CNILは非準拠のクッキーバナー(同意への視覚的偏り)、過剰なCRM保持(3年を超える非アクティブな見込み客)、欠落または陳腐化した第30条台帳を理由に、小売業者に対する複数の注目度の高い案件を終結させました。
月間数千件の注文を扱う典型的な中小企業の店舗にとって、コンプライアンス負担は現実的ですが完全に対処可能です:CMP(CookiebotまたはOneTrust)、台帳テンプレート、明確なエスカレーションランブックに支えられた、数週間の集中的な作業です。数十万件のレコード、サーバーサイドのアドテク、国際的な倉庫を持つより大規模な事業者は、構造化されたRGPDプログラムと、ほぼ常にフルタイムのDPOを必要とします。
実際に使用する合法的根拠
- 契約の履行(第6条1項b) — 注文、配送、返品、請求書、アフターサービスの処理における主要な根拠です。同意は不要です。データは契約履行に必要だからです。
- 法的義務(第6条1項c) — 会計保持(商法典に基づき10年)、請求要件、税務記録、マネーロンダリング防止チェックをカバーします。
- 正当な利益(第6条1項f) — 不正防止、ITおよびネットワークセキュリティ、一部の構成における基本的なウェブ分析、専門家向けB2B勧誘です。文書化された比較衡量テスト(LIA — 正当な利益評価)を必要とします。
- 同意(第6条1項a) — マーケティングクッキー、行動ターゲティング広告トラッカー、非顧客向けB2Cメール/SMS勧誘、プッシュ通知、あらゆる任意のパーソナライゼーション機能に必要です。
Eコマース事業者が誤解しがちな基本原則
CNILの管理レポートは、毎年同じ過ちを指摘し続けています:必須項目が多すぎる登録フォーム(データ最小化の失敗)、永久にアクティブなまま維持される顧客アカウント(保存制限の失敗)、個人データを漏洩させる非構造化のSlackおよびNotionのエクスポート(完全性と機密性の失敗)、不要な識別子を含むダッシュボードやレポート(目的制限の失敗)です。これらのパターンはすべて、プラットフォーム設計段階で修正可能です — これはまさにRGPD第25条(設計段階および初期設定によるプライバシー保護)が求めていることです。
RGPD対応のフランス店舗を開設する準備はできていますか?
ZunaproのフランスハブにはCNIL準拠のクッキーバナー、第30条台帳テンプレート、DSARワークフロー、同意ボールトが付属しています — EコマースDPOが準拠した状態でスタートするために必要なすべてです。
2. CNIL — フランスのデータ保護機関
CNILとは実際には何か
情報処理と自由に関する全国委員会は、欧州連合が現在の形で存在するずっと以前の1978年1月6日の情報処理と自由に関する法律によって設立されました。それは、フランス国民一人ひとりの行政ファイルを単一の国民識別番号のもとに連結しようとした1974年の試みであるSAFARIスキャンダルへのフランスの回答であり、世界最古の独立データ保護機関の一つです。
CNILは独立行政機関(autorite administrative independante、AAI)であり、これは国家によって資金提供されるが、政府の階層から自由にその権限を行使することを意味します。2026年現在、約290人のスタッフを雇用しており、強力な技術チーム(CNIL LINCラボ)、業界別検査団、弁護士、制裁を発行する委員会(formation restreinte)を含みます。
CNILがオンラインショップに対して行使できる権限
- 現地、オンライン、書面による検査 — CNILの職員はあなたの倉庫を訪問し、サーバーログを要求し、CMS設定を検査することができます。オンライン検査(audit a distance)は2022年以降急増しており、クッキーバナーとアドテクタグを対象としています。
- 正式な通知(mises en demeure) — 定められた期限内に準拠するよう求める行政命令です。多くの通知は現在公開されており、大きな評判上のプレッシャーを生み出しています。
- 行政罰金 — 最も重大な違反に対しては、RGPD第83条に基づき2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方まで。2022年に導入された簡易手続きに基づくクッキー違反に対しては売上高の2%まで。
- 日次罰金付き差止命令(astreintes) — CNILは特定の是正措置を命じ、非準拠に対して日次罰金(例:1日5,000ユーロ)を追加することができます。
- 実名公表 — 決定はますます事業者名とともにcnil.frで全文公開されており、報道は組織的に行われます。
CNILの法執行はどのように進化してきたか
CNILの2024-2027年戦略計画は、より多く、より速く、より集中的な法執行への明確な転換を発表しました。2022年3月24日の政令によって導入された簡易制裁手続きにより、制限委員会の単一メンバーが、特に明確なクッキー同意違反について、中小企業に対して最大20,000ユーロの罰金を科すことができます。2026年までに、この流れだけで小規模事業者に対する年間数百件の執行措置が終結しました。
DPOとCNIL:任命プロセス
データ保護責任者を任命する場合、専用のCNILポータルを通じて正式に任命しなければなりません。この任命にはDPOの連絡先情報が含まれ、その後公開検索可能になります。CNILは検査中、DPOを主要な連絡窓口として扱います:欠落、架空、または非アクティブなDPOは、制裁決定における繰り返し発生する加重要因です。
CNILコンプライアンスを1つのパネルに集約
Zunaproは、あなたのフランス店舗の第30条台帳、DSARワークフロー、侵害ログ、CNIL任命の詳細を同期させ、数週間ではなく数分で検査に対応できるようにします。
3. クッキー同意 — バナーは必須です
法的根拠:情報処理と自由に関する法律第82条
フランスにおけるクッキーおよびその他のトラッカーは、eプライバシー指令(2002/58/ECを2009/136/ECにより改正)第5条(3)を国内法化した情報処理と自由に関する法律第82条によって規定されています。ルールはシンプルです:ユーザーが明示的に要求したオンライン通信サービスの提供に厳密に必要でない、ユーザーの端末上の情報の保存またはアクセスには、事前の同意が必要です。
CNILは、2020-091号決定(2020年9月17日の勧告)および付随するガイドラインにおいて運用ルールを明確化し、2026年までの法執行実務によって補完されました。主要な要件は以下の通り要約されます。
2026年に準拠したクッキーバナーが行うべきこと
- 同意前にすべての非必須クッキーをブロックする。 ユーザーが同意をクリックする(またはきめ細かい選択を行う)前に、分析、広告タグ、Hotjar/Clarity、Facebook Pixelは一切作動してはなりません。
- 「すべて同意」と「すべて拒否」を同一階層で提示する。 拒否は同意と同じくらい簡単でなければならず、両方のボタンは同じ視覚的重み(色のコントラスト、サイズ、位置)を持たなければなりません。
- 目的を明確にリストする — オーディエンス測定、広告、ソーシャル共有、パーソナライゼーションなど、各目的について同意を許可または拒否する能力とともに。
- いつでも撤回できるようにする持続的な再オープンメカニズム(通常はフッターの小さなクッキーアイコン)を通じて。
- 同意の証拠を保持する — 同意ID、タイムスタンプ、CMPバージョン、目的、ベンダーリスト、切り詰めたIP — 同意の期間に加えて合理的な証拠期間(CNILは撤回後最大6か月を提案)。
禁止されていること
- 事前チェック済みのボックス — 同意は能動的でなければなりません。
- 代替手段のないクッキーウォール — コンテンツへのアクセスをクッキー受諾に条件付けることは、CNILの2022年クッキーウォールガイダンスによれば、真の同等の代替手段が提供される場合にのみ合法です(通常、合理的な価格設定の「支払うか同意するか」モデル)。
- 視覚的偏り — カラフルな同意ボタンとグレーの拒否ボタンは、複数のCNIL罰金で指摘された典型的な違反です。
- 「ナビゲーション続行」型の暗黙の同意 — 単にスクロールしたり別のページに移動したりすることは同意を構成しません。
- まとめられた同意 — きめ細かい制御なしに30の異なるベンダーをカバーする単一の同意ボタンは、具体的とは言えません。
Cookiebot、OneTrust、その他 — CMPの選択
同意管理プラットフォーム(CMP)は、バナー表示、同意取得、ベンダー管理、証拠保存を自動化します。フランスで最も広く使用されている2つのCMPは、Cookiebot(Usercentricsグループ、デンマーク)とOneTrust(米国、EUデータ居住オプションあり)です。両方ともIAB TCF v2.2フレームワークと統合されており、両方ともCNILガイダンスに合わせて事前設定されたフランス向けローカライズテンプレートを提供し、両方ともGoogle Tag Managerを介してサーバーサイドでレンダリングできます。
検討に値するフランスの代替手段:Axeptio(パリ、「French Tech」ラベル)、Didomi(パリ、Euronext Growth上場)、Sirdata Choice、オープンソースのTarte au Citronです。どのCMPを選んでも、コンプライアンスの責任は管理者としてあなたに残ります — CMPは第28条に基づく処理者です。
CNIL罰金の現実: 2023-2026年にかけて、複数のフランス事業者が5万ユーロから60万ユーロの罰金を受けましたが、これは具体的に「すべて拒否」ボタンが「すべて同意」より一段階深く隠されていたり、バナーが表示される前にクッキーが作動していたりしたためです。2時間のCMP設定レビューは通常、リスク全体を防ぎます。Zunaproでフランス店舗のCMPを設定する →
4. プライバシーポリシー — すべての店舗が公開すべき文書
RGPD第13条および第14条:情報提供義務
RGPD第13条および第14条は、データが直接収集される場合(第13条)は収集時点で、間接的に収集される場合(第14条、最大1か月、例:マーケティングデータブローカーによるエンリッチメント)は合理的な期間内に、データ主体に提供されなければならない網羅的な情報リストを規定しています。
フランスEコマースのプライバシーポリシーの必須内容
- 管理者の身元および連絡先詳細 — 正式な法人名、SIREN、登記住所、電子連絡先。
- DPOの連絡先詳細(任命されている場合、例:
[email protected])。 - 処理の目的とそれぞれの合法的根拠 — 注文処理(契約)、会計保持(法的義務)、ニュースレター(同意)、不正防止(正当な利益)など。
- 受領者または受領者のカテゴリー — 運送業者(Colissimo、Chronopost、Mondial Relay、DPD France)、決済プロセッサー(Stripe、Adyen、PayPal、PayTR)、CRMツール、アドテクベンダー。
- 越境移転 — データがEEAを離れる場合、国名、セーフガード(DPF、SCC、BCR、適用除外)、コピーの入手先を記載。
- 保存期間 — データカテゴリーおよび目的ごとに、一般的な「必要な限り」という表現ではなく。
- データ主体の権利 — アクセス、訂正、消去、制限、ポータビリティ、異議申立、自動化された意思決定に関する権利、CNILへの苦情申立権。
- データの出所(データ主体から直接収集されない場合)。
- 自動化された意思決定の存在(プロファイリングを含む)、ロジックと結果に関する有意義な情報とともに(例:不正スコアによるブロック、ダイナミックプライシング)。
実践的な作成のヒント
CNILは — 特に2022年のガイダンス「明確でアクセスしやすい情報提供のための具体的なステップ」において — プライバシーポリシーは簡潔で、透明性があり、理解可能で、容易にアクセス可能でなければならず、明確で平易な言葉で記載されるべきであると明確にしています。法律用語だらけのページは準拠していません。2026年の典型的に受け入れられているパターンは2層構造の通知です:上部に短くスキャンしやすい要約(表、アイコン、平易なフランス語)、下部に目的ごとにアクセス可能なより詳細な情報です。
プライバシーポリシーへのリンクは、すべてのフッター、同意チェックボックス近くのすべてのフォーム、すべての取引メール(注文確認、配送更新、アフターサービス)に配置してください。ポリシーはバージョン管理され日付が記載されていなければなりません。実質的な変更にはデータ主体への通知が必要です。
店舗に組み込まれたプライバシーポリシージェネレーター
Zunaproのフランスハブは、アクティブな処理者、保持ルール、越境データフローから自動的に生成される第13条準拠のプライバシーポリシーを提供し、すぐに公開できます。
5. 第30条台帳とデータ保護責任者(DPO)
第30条台帳:説明責任の根幹
RGPD第30条に基づき、すべての管理者およびすべての処理者は、自身の処理活動の書面による台帳(Registre des activites de traitement、RAT)を維持しなければなりません。これは、フランスEコマースDPOが最新に保つことができる最も有用な文書です。なぜなら、それはCNILの検査官がすべての監査の開始時に要求する入口だからです。
台帳に記載する内容
- 管理者、共同管理者、代理人、DPOの名前と連絡先詳細。
- 処理の目的 — 目的ごとに1行(注文管理、顧客アカウント、ニュースレター、勧誘、ロイヤルティ、不正防止など)。
- データ主体のカテゴリーと個人データの説明。
- データが開示された、または開示される予定の受領者のカテゴリー(第三国の受領者を含む)。
- 該当する場合、第三国または国際機関への移転(文書化されたセーフガードとともに)。
- 可能な限り、さまざまなカテゴリーのデータの消去を予定している期限 — 有名な「保存期間」列。
- 可能な限り、技術的・組織的なセキュリティ対策の一般的な説明。
DPOが必須となる場合
RGPD第37条は、DPOの任命が義務付けられる3つのトリガーを規定しています。Eコマース事業者にとって最も関連性が高いのは以下の通りです:
- 主たる活動が、データ主体の大規模かつ定期的・組織的な監視を必要とする処理業務から成る場合。これは通常、大規模なロイヤルティプログラム、行動レコメンダー、継続的な見込み客スコアリング、大規模なリターゲティングを含みます。
- 主たる活動が特別な種類のデータの大規模処理から成る場合(健康、生体認証、宗教、政治的)、または刑事有罪判決に関連するデータ。純粋な一般商品のEコマースは通常このトリガーを回避しますが、準薬局、処方眼鏡、生体認証サイズ測定、類似の業種は回避しません。
義務でない場合でも、CNILは、従業員数がおよそ50人以上、または年間オンライン売上高が1,000万ユーロ以上、またはCRM内でアクティブな顧客レコードが10万件を超える場合に、任命されたDPOを強く推奨しています。DPOは社内でも社外(共有)でもよく、経営トップに直接報告しなければなりません。
DPOの独立性とリソース
RGPD第38条および第39条はDPOの独立性を保護しています:業務遂行を理由に処罰されたり解雇されたりすることはなく、必要なリソースを提供されなければならず、個人データに関するすべての問題に適切かつ適時に関与しなければなりません。破毀院は(2023-2024年の複数の判決で)、DPOに対する報復 — 例えば批判的な意見の後にDPOを疎外することなど — は不法行為であることを確認しています。
6. データ主体の権利 — アクセス、訂正、消去、ポータビリティ
8つの権利の概要
- アクセス権(第15条) — 処理の確認とデータのコピーを取得する権利。
- 訂正権(第16条) — 不正確なデータを修正し、不完全なデータを補完する権利。
- 消去権/忘れられる権利(第17条) — 定められた場合(同意の撤回、データが不要になった、違法な処理など)における消去を取得する権利。
- 処理制限権(第18条) — 紛争中に処理を凍結する権利。
- データポータビリティ権(第20条) — 構造化され、一般的に使用され、機械可読な形式で個人データを受け取り、技術的に実現可能な場合は別の管理者に送信させる権利。
- 異議申立権(第21条) — 特にダイレクトマーケティングに対して、これは絶対的かつ無料です。
- プロファイリングを含む自動化された個別の意思決定に関する権利(第22条) — 法的または同様に重大な効果を生じる自動処理のみに基づく決定に服さない権利。
- 監督機関への苦情申立権(第77条) — フランスではCNILへ。
実務上のDSARの取り扱い方
データ主体アクセス請求(DSAR)には、受領から1か月以内に対応しなければならず、複雑な請求については2か月延長可能です。応答は、請求が明らかに根拠がないか過剰である場合(まれ)を除き、無料でなければなりません。請求者の身元について合理的な疑いがある場合にのみ、身元証明を要求できます — CNILは、パスポートのスキャンを組織的に要求した複数の事業者を過剰であるとして罰金を科しました。
堅牢なDSARワークフローには以下が含まれます:受付チャネル(ウェブフォーム+[email protected]のような専用メール)、リスクに応じて調整された本人確認ステップ、あらゆるシステム(CRM、ERP、注文データベース、チケッティング、マーケティングプラットフォーム、アドテクIDスティッチング)にわたる構造化された検索、第三者データを非表示にするレビューステップ、安全なダウンロード(暗号化されたZIP、有効期限付きリンク)による配信ステップです。
Eコマースにおける消去権:実際の境界事例
純粋な消去が絶対的であることはまれです。オンラインショップの場合、典型的なパターンは以下の通りです:
- CRMおよびマーケティングツールから削除 — 完全消去。
- 5年(商業的消滅時効)を超える注文記録を匿名化 — 氏名と住所をハッシュ化された仮名識別子に置き換えるが、会計のために請求合計と製品参照は保持。
- 商法典第L.123-22条に基づき、請求書を中間ストレージに10年間保持 — 法的義務が消去請求に優先。
- 不正スコアリングの決定を、AML/CTFポリシーで宣言された保持期間、保持 — 通常、関係終了後5年間。
ポータビリティの形式と範囲
ポータビリティはデータ主体によって提供されたデータ(アカウント項目、住所、本人が入力した注文履歴)をカバーし、構造化され、一般的に使用され、機械可読な形式で配信されます — 実務上はJSONまたはCSVです。不正スコア、顧客生涯価値の計算、RFMクラスターなどの派生データはカバーされません。技術的に実現可能な場合、データ主体が指定する別の管理者に直接データを送信しなければなりません(第20条2項)。
7. 越境移転 — SCC、DPF、Schrems II
Schrems II後の法的地図
CJEUのSchrems II判決(事件番号C-311/18、2020年7月16日)は、EU-米国プライバシーシールドを無効とし、EUから十分性のない第三国への個人データ移転が許可される条件を大幅に厳格化しました。それ以来再構築された枠組みには3つの柱があります:
- 十分性認定(第45条) — 欧州委員会は、第三国が実質的に同等の保護水準を提供していると宣言します。2026年現在、これには英国、スイス、日本、韓国、カナダ(商業部門)、ニュージーランド、イスラエル、アルゼンチン、ウルグアイ、アンドラ、フェロー諸島、ガーンジー、マン島、ジャージー、そして2023年7月10日以降、認証済み輸入者に限りEU-米国データプライバシーフレームワーク(DPF)に基づく米国が含まれます。
- 適切なセーフガード(第46条) — 十分性のない国については、最も一般的な手段は新しい標準契約条項(2021年6月4日の欧州委員会実施決定2021/914)であり、EDPB勧告01/2020に基づく移転影響評価(TIA)と、保存時および転送時の暗号化、仮名化、政府アクセス要求への契約上の異議申立てなどの補完的措置と組み合わせる必要があります。
- 適用除外(第49条) — 明示的な同意、契約の履行、公益など。臨時的で非組織的な移転にのみ使用すべきです。
これがあなたの技術スタックに意味すること
個人データに触れるすべてのベンダーをマッピングし、各移転にラベルを付けてください:
- Stripe、PayPal、Adyen — EU事業体が存在します。DPAで契約主体を確認してください。
- Google Workspace、Google Analytics 4、Google Ads — DPFに基づく米国への移転。バックアップとして通常モジュール2(管理者から処理者への)SCCが適用されます。
- AWS、Cloudflare、Datadog — 移転ルールは選択したリージョンによります。EUリージョンでの展開+DPFバックストップが現在の最先端です。
- Meta(Facebook、Instagram)ピクセル、TikTokピクセル — 米国/中国への移転。同意+SCC+TIAで文書化されたリスク受容。
- メールツール(SendGrid、Mailchimp、Klaviyo) — 契約主体、EU居住オプション、DPFステータスを確認してください。
30分でわかるTIA
移転影響評価は、以下を記録する構造化文書です:データの性質、受領者、輸入国、その国の法的枠組み(政府アクセス、国家安全保障上の例外)、アクセスの実際的な可能性、実施された補完的措置、結果として生じる残存リスク。EDPBの6ステップの方法論が事実上の標準です。各ベンダーについて、対応する第30条台帳の行の隣にTIAを保存してください。
ベンダーマップ、SCCボールト、TIAテンプレート
Zunaproは、フランス店舗が依存するすべての処理者を棚卸しし、適切なSCCモジュールを添付し、第30条台帳の隣にTIA文書を保存します — CNIL検査に対応可能な状態です。
8. 侵害通知 — 72時間のカウントダウン
個人データ侵害とみなされるもの
RGPD第4条(12)は、個人データ侵害を送信、保存、またはその他の方法で処理される個人データの、偶発的または違法な破壊、喪失、変更、不正な開示、またはアクセスにつながるセキュリティ侵害と定義しています。Eコマースにおいて繰り返し発生するシナリオは、以下の通りです:顧客リストを露出させる侵害された管理者アカウント、請求書を露出させる誤設定されたS3バケット、配送先住所を漏洩させるフィッシングを起因とする倉庫詐欺、暗号化されていないCRMエクスポートを含む盗難ノートパソコン、または攻撃者が顧客アカウントにアクセスすることを可能にするクレデンシャルスタッフィングの波です。
72時間の通知義務
RGPD第33条に基づき、管理者は不当な遅滞なく、可能な場合はそれを認識してから72時間以内にCNILへ通知しなければならず、当該侵害が自然人の権利および自由に対するリスクをもたらす可能性が低い場合はこの限りではありません。通知が72時間を超える場合は、遅延の理由を添付しなければなりません。
通知は、CNILのオンラインポータルnotifications.cnil.frを通じて提出します。侵害の性質、影響を受けるデータ主体および記録のカテゴリーとおおよその数、DPOの連絡先、予想される結果、講じられたまたは提案された措置を含まなければなりません。
データ主体にも通知しなければならない場合
第34条に基づき、侵害が自然人の権利および自由に対して高いリスクをもたらす可能性が高い場合、明確で平易な言葉で、不当な遅滞なく影響を受ける個人に伝達しなければなりません。高リスクは通常、金融データ、身分証明書、健康データ、または大量の連絡先データが露出した場合に成立します。
適用除外が存在します:強力な暗号化または仮名化が実施されており、権限のない者にとってデータが理解不能であった場合、その後、高リスクがもはや実現する可能性がなくなることを保証する措置を講じた場合、または個々の通知が不釣り合いな労力を要する場合(その代わりに公的な発表を使用)。
72時間のプレイブック
- 0時間目 — アラート発生。SOCまたはシステム管理者がインシデントチケットを開き、DPOに即座にページングされます。
- 0~4時間目 — トリアージ。個人データが実際に関与しているか?どのカテゴリー、どの量、どの時間枠か?ローテーションされる前にログとIOCのスナップショットを取得してください。
- 4~24時間目 — 封じ込めと証拠保全。認証情報のローテーション、トークンの取り消し、IPのブロック、データエクスポートの凍結。
- 24~48時間目 — 個人データ侵害通知に関する事例についてのEDPBガイドライン9/2022を使用したリスク評価。決定:CNILに通知するか?データ主体に通知するか?
- 72時間前 — notifications.cnil.frを通じてCNIL通知を提出。事実がまだ判明中の場合は、部分的な通知を提出し、後で更新してください。
- インシデント後 — 根本原因分析、是正計画、内部侵害ログ(第33条5項)への侵害の記録、リーダーシップへの説明。
侵害ログの保持
RGPD第33条5項は、管理者に対し、事実、その影響、講じられた是正措置を含め、すべての個人データ侵害を文書化することを求めています。この台帳は、要求に応じてCNILが利用できるようにしなければなりません。(リスクが低いと評価されたために)通知されなかった侵害でさえ、その理由とともに記録されなければなりません — これはCNILの検査官が最初に尋ねることの一つです。
9. クッキーレス分析 — CNILガイダンスとツール
CNILがクッキーレスを推進する理由
CNILは過去5年間、フランスのパブリッシャーと事業者をクッキーレスまたは適用除外対象の分析へ移行するよう積極的に奨励してきました。理由はシンプルです:厳格なオーディエンス測定構成は、第82条の同意適用除外の範囲内に収まる可能性があり、これはクッキーバナーの摩擦がなく、すべて拒否する30%以上のユーザーのデータ損失がなく、はるかにクリーンなコンプライアンス体制を意味します。
CNILのオーディエンス測定適用除外基準
- 管理者自身の利益のためのウェブサイトのオーディエンス測定に厳密に限定される。
- 他の処理との照合がない(クロスサイトプロファイリングなし、行動広告オーディエンスなし)。
- データが第三者に送信されない — 処理者関係のみ許可される。
- 切り詰められたIPアドレス(IPv4の場合は少なくとも最後のオクテット)と短い識別子。
- 限定された保存 — CNILはクッキーまたは識別子について最大13か月、生データについて最大25か月を受け入れます。
- プライバシーポリシーでユーザーに提供される明確な情報と文書化されたオプトアウト。
適用除外に適合するツール
- Matomo(自己ホスト型またはMatomo Cloud EU) — CNIL承認の設定ガイドを備えた歴史的な参照ツール。
- Piwik PRO Core Plan — EUデータ居住(フランクフルト、ワルシャワ)、文書化されたCNIL適用除外設定。
- AT Internet Analytics Suite(現在はPianoの一部) — 大手メディアグループが使用するフランスのエンタープライズ標準。
- Plausible(EUホスト型) — 軽量で、クッキーを一切使用しない。
- Fathom Analytics、Simple Analytics — ミニマリストなクッキーレスツール。
Google Analytics 4はどうなのか?
EU-米国データプライバシーフレームワークの十分性認定(2023年7月10日)以降、GA4は制御された構成で再び利用可能になりました:サーバーサイドタグ付け、IP匿名化、同意なしのUser-IDなし、同意なしのGoogle Signalsなし、理想的にはファーストパーティドメインプロキシです。しかし、CNILは、特にヘビーなGA4設定を維持するためのエンジニアリングリソースを持たない中小企業にとって、可能な限りファーストパーティまたは完全にクッキーレスな代替手段への切り替えを引き続き推奨しています。
コンバージョン率への影響: クッキーレスまたは適用除外対象の分析に移行したフランスのパブリッシャーは、CMPの摩擦を軽減しながら、通常GA4の「すべて拒否」の壁の裏で失ったオーディエンスの25-40%を回復します。Zunapro内でクッキーレス分析ツールを比較する →
10. CRMコンプライアンス — 勧誘、保持、マーケティング権利
CNILの商業的勧誘参照枠組み
CNILのReferentiel relatif aux traitements de donnees a caractere personnel mis en oeuvre aux fins de gestion des activites commerciales(2022年更新、2026年を通じて適用)は、フランスにおけるCRMコンプライアンスの実践的なバイブルです。目的、保持、データ品質、セキュリティに関するベンチマークを設定しており、CNILは検査でこれをベースラインとして使用します。
B2C勧誘:事前オプトイン
郵便電気通信法典L.34-5条(CPCE)に基づき、自然人を対象としたメール、SMS、ファックス、または自動発呼システムによる商業的勧誘には事前の自由な、具体的な、説明を受けた同意が必要です。有名な例外が1つあります — 顧客向けソフトオプトインです:
- メールアドレスが販売時に収集された。
- 勧誘が類似の製品またはサービスに関するものである。
- 見込み客が収集時に情報を得ており、簡単で無料の拒否手段を提供された。
- その後のすべてのメッセージに明確で無料の配信停止リンクが含まれている。
専門家の仕事に関連する製品およびサービスに関する、職務上のアドレス(例:[email protected])への専門家向けB2B勧誘については、第13条の情報提供要件が満たされることを条件に、オプトアウト制度が適用されます。
CRMの保持ベンチマーク
- アクティブな見込み客 — 見込み客が開始した最後の接触(開封、クリック、請求、最後の購入)から最大3年間。3年間の純粋な非アクティブ状態の後、アーカイブまたは削除。
- アクティブな顧客 — 商業関係の存続期間に加えて関連する消滅時効期間。
- 請求書 — 商法典に基づき10年間、中間アーカイブに。
- マーケティングのオプトイン/オプトアウト — 同意期間に加えて、証拠目的で3年間。
- 非アクティブなニュースレター購読者 — ゼロインタラクションが18~24か月続いた後、再エンゲージメントキャンペーンを推奨。36か月後に削除。
ロイヤルティプログラム、プロファイリング、スコアリング
購買履歴と行動データを組み合わせてセグメント(RFM、ルックアライク、チャーンスコア)を構築するロイヤルティプログラムは、通常、第35条に基づくDPIAを必要とします。以下を文書化する準備をしてください:プロファイリングの目的、使用されるデータのカテゴリー、データ主体への影響(セグメンテーション、プロモーションの適格性、ダイナミックプライシングの許容度)、そしてセーフガード(オプトアウト、境界的な決定に対する手動レビュー、バイアスの定期監査)。
CRMツール:どのベンダーがCNILフレンドリーか?
2026年のフランスEコマースで使用されている人気のCRMには、Brevo(旧Sendinblue、パリ本社)、Splio、Actito(ベルギー、EUホスティング)、Salesforce Marketing Cloud(米国、EUデータ居住オプション+DPF)、HubSpot(米国、DPF)、Klaviyo(米国、DPF)、Customer.ioなどがあります。どのツールを選んでも、データ処理契約(第28条)が締結されていること、データがEUを離れる場合はSCCモジュール2が署名されていること、保持ルールがプラットフォームに直接エンコードされていること(N か月の非アクティブ状態後の自動削除)を確認してください。
数か月ではなく数日でCNIL対応のフランス店舗を開設
Zunaproのフランスハブには、準拠したクッキーバナーテンプレート、第30条台帳、DSARワークフロー、侵害ログ、CRM保持自動化がまとめられています — RGPDに準拠したEコマースサイトをより速く立ち上げるために必要なすべてです。
フランスマーケットプレイスハブを開く →よくある質問(FAQ)
RGPDはEUのGDPRと同じものですか?
はい。RGPD(Reglement General sur la Protection des Donnees)は、EU一般データ保護規則(規則(EU)2016/679)のフランス語略称です。実体規定は27の全加盟国で同一です。フランスは情報処理と自由に関する法律(2018年および2019年に改正された78-17号法)を通じてこの規則を国内法化しており、CNILがこれを執行する国内監督機関です。
フランスのEコマース店舗にはクッキーバナーが必要ですか?
はい。情報処理と自由に関する法律第82条および2026年まで更新されたCNILガイドラインに基づき、サービスに厳密に必要でないクッキーやトラッカーには、事前の、自由な、具体的な、説明を受けた、明確な同意が必要です。バナーは同一階層で「すべて同意」と「すべて拒否」を同等の視覚的重みで提示しなければならず、事前チェック済みのボックスや代替手段のないクッキーウォールは禁止されています。クッキーの拒否は同意と同じくらい簡単でなければなりません。
Eコマース店舗に対するCNILの最大罰金額はいくらですか?
RGPD第83条に基づき、最も重大な違反に対する行政罰金は、前会計年度の全世界年間総売上高の4%または2000万ユーロのいずれか高い方に達する可能性があります。情報処理と自由に関する法律第82条に基づくクッキー違反については、CNILは簡易手続きの下で売上高の2%までの罰金を科すこともできます。最近のフランスのクッキー罰金は、小規模事業者向けの5万ユーロから大手事業者向けの1億5000万ユーロ超まで幅があります。
自分のオンラインショップにデータ保護責任者(DPO)は必要ですか?
主たる活動がデータ主体の大規模かつ定期的・組織的な監視、または特別な種類のデータの大規模な処理から成る場合、RGPD第37条に基づきDPOは必須となります。買い物客をプロファイリングし、ロイヤルティプログラムを運営し、行動リターゲティングを使用する多くの中規模フランスEコマース事業者がこの範囲に該当します。厳密には必須でない場合でも、CNILはDPOの任命とcnil.frの任命ポータルを通じた登録を強く推奨しています。
フランスでデータ侵害を通知するまでの猶予期間はどれくらいですか?
RGPD第33条は、個人データ侵害を認識してから不当な遅滞なく、可能な場合は72時間以内にCNILへ通知することを求めていますが、当該侵害が自然人の権利および自由に対するリスクをもたらす可能性が低い場合はこの限りではありません。侵害が高リスクをもたらす可能性がある場合、第34条は影響を受けるデータ主体にも不当な遅滞なく通知することを求めています。通知はCNILのオンラインポータル(notifications.cnil.fr)を通じて提出します。
2026年にフランスでGoogle Analyticsを使用できますか?
Google Analyticsは、米国への個人データの違法な移転を指摘する複数のCNIL決定(2022年から2024年)の対象となってきました。2023年7月のEU-米国データプライバシーフレームワークの十分性認定後、IPアノニマイゼーション、サーバーサイドプロキシ、準拠した同意バナーを設定することを条件に、契約上管理された条件下でGoogle Analytics 4は再び利用可能になりました。CNILは引き続き、より安全な代替手段として、クッキーレスまたはファーストパーティの分析ソリューション(Matomo、Piwik PRO、Plausible、AT Internet Analytics Suite)を推奨しています。
データ処理台帳とは何であり、誰が保持する必要がありますか?
RGPD第30条に基づき、すべての管理者および処理者は処理活動の書面による台帳(Registre des activites de traitement)を保持しなければなりません。これは、各処理業務の目的、データの種類、受領者、保存期間、移転、セキュリティ対策を文書化するものです。この義務は250人以上の従業員を有する組織、および処理が臨時的でない、特別な種類のデータを含む、またはデータ主体にリスクをもたらす可能性のある小規模な組織にも適用され — 事実上すべてのEコマース事業がこれに該当します。
フランスの買い物客は自分の個人データに対してどのような権利を持っていますか?
RGPD第15条から第22条は、データ主体に8つの基本的権利を付与しています:アクセス権、訂正権、消去権(忘れられる権利)、処理制限権、データポータビリティ権、異議申立権、自動化された意思決定およびプロファイリングに関する権利、そしてCNILへの苦情申立権です。オンライン事業者は1か月以内に対応し、これらの権利を行使するための無料でアクセスしやすい仕組み(アカウント内フォーム、[email protected]のような専用メールなど)を提供しなければなりません。
Schrems II判決後、越境移転においてSCCはどのように機能しますか?
CJEUのSchrems II判決(C-311/18、2020年7月)後、十分性のない第三国への個人データの移転には、標準契約条項(欧州委員会実施決定2021/914)に加えて、移転影響評価および補完的措置(暗号化、仮名化)が必要となります。米国については、EU-米国データプライバシーフレームワーク(2023年7月)が認証済み輸入者向けに十分性の橋渡しを回復しました。その他の国(英国は独自の十分性認定を有し、スイスも同様)については、SCCが引き続き既定の手段であり、第30条台帳に保管されるTIA文書によって補完されます。
明示的な同意なしに顧客にマーケティングメールを送信できますか?
フランス郵便電気通信法典L.34-5条およびCNILガイドラインに基づき、自然人へのマーケティングメールには事前のオプトイン同意が必要です。1つの重要な例外(ソフトオプトイン)があります:住所が販売時に収集され、受信者が収集時にその旨を知らされ明確なオプトアウトの機会を提供され、その後のすべてのメールに配信停止リンクが含まれていることを条件に、自社の既存顧客に類似の製品またはサービスについてメールを送信できます。職務上のアドレスにいる専門家へのB2Bメールは、よりソフトなオプトアウト制度に従います。
CRMで顧客データをどのくらいの期間保持すべきですか?
商業的勧誘とCRMに関するCNILガイドライン(Referentiel Gestion commerciale、2022年更新、2026年に適用)は、アクティブな見込み客の保持期間を、見込み客が開始した最後の接触(開封、クリック、購入)から3年間と定めています。契約に紐づく顧客データは、商業関係の存続期間に加えて関連する消滅時効期間(通常、民事請求は5年、商法典に基づく会計は10年)保持されます。アクティブな保持期間の後、データはアクセス制限のある中間ストレージにアーカイブされ、その後消去されることがあります。
CCTVや不正防止ツールをCNILに登録する必要がありますか?
2018年の情報処理と自由に関する法律の改正以降、事前申告制度はほぼ廃止され、第30条台帳に文書化された説明責任と、必要な場合はRGPD第35条に基づくデータ保護影響評価(DPIA)に置き換えられました。不正スコアリング、行動プロファイリング、生体認証チェック、大規模なCCTVは通常DPIAの閾値を満たします。DPIAはCNILの検査のために利用可能な状態に保たれなければならず、残存リスクが高い場合は第36条に基づく事前協議のために提出されなければなりません。
Eコマースにおけるプライバシー・バイ・デザインの義務とは何ですか?
RGPD第25条は、設計段階および初期設定によるデータ保護を要求しています:プライバシーに配慮した初期設定(事前チェック済みのマーケティングボックスなし、登録フォームの最小限のデータ項目、短い初期設定の保持期間)、アーキテクチャ段階から組み込まれた技術的・組織的措置、可能な限りの仮名化、データ最小化の原則です。実務上、これはチェックアウト、アカウント作成、ニュースレター、レコメンダーシステム、CRMを、サービスを提供しつつ最も軽いデータフットプリントで設計することを意味します。
Cookiebot対OneTrust対Axeptio — どのCMPを選ぶべきですか?
適切に設定されていれば、3つとも CNILフレンドリーです。Cookiebot(Usercentrics)は中小企業にとって強力な既定の選択肢です — 迅速に展開でき、IAB TCF v2.2対応、透明性のある価格設定です。OneTrustは、深い統合、サーバーサイドサポート、グローバルベンダーリストを備えたエンタープライズ標準です — 複数の法域で運営するグループにとって適切な選択肢です。AxeptioとDidomiは、CNILガイダンスとCNILスタイルの言語に特化して調整されたテンプレートを備えた、フランスのナショナルチャンピオンです。CMPは第28条に基づく処理者です — 管理者(あなた)が最終的な設定の責任を負い続けます。
情報処理と自由に関する法律第82条は実際には何を規定していますか?
第82条は、eプライバシー指令(2002/58/EC)第5条(3)を国内法化したものです。電子通信サービスのユーザーの端末機器にすでに保存されている情報を保存すること、またはそれにアクセスすることを禁止していますが、ユーザーが処理の目的と拒否のために利用可能な手段について明確かつ完全な情報を得た上で同意した場合はこの限りではありません。2つの例外があります:保存またはアクセスが、電子通信ネットワークを介した通信の伝送を行うことのみを目的とする場合、またはユーザーが明示的に要求したオンライン通信サービスの提供に厳密に必要な場合です。
結論 — 競争優位性としてのRGPD
フランスにおけるRGPDコンプライアンスは、もはや一度限りの法的スプリントではなく、継続的な運用上の規律です。CNILは、その2024-2027年戦略計画と加速する制裁の流れを通じて、2026年がオンライン事業者がギャップを埋めなければならない年であることを明確にしています。良いニュースは、構成要素がよく文書化されていることです:厳格なクッキーバナー(Cookiebot、OneTrust、Axeptio、Didomi)、明確なプライバシーポリシー、最新の第30条台帳、実質的な権限を持つDPO、1か月未満で回答を返すDSARワークフロー、EU域外のすべてのベンダー向けのSCCとTIA、72時間の侵害対応プレイブック、そして可能な場合はクッキーレス分析です。
RGPDをインフラとして扱う事業者 — 後付けではなくプラットフォームに組み込む — は、一貫して2つの副次的効果を報告しています:同意バナーがすべてをブロックしなくなったときの分析シグナルの25~40%の回復、そしてより良いメールエンゲージメントと低いチャーンにつながる、より高い顧客信頼スコアです。RGPDは、正しく実施されれば、成長のレバーとなります。Zunaproのフランスハブは、エンジニアリングロードマップを停滞させることなく、このコンプライアンス体制を提供するためのテンプレート、自動化、監査証跡を提供します。
RGPDをオートパイロットにしてフランスで販売
フランス店舗をZunaproに接続し、CNIL準拠のクッキーバナー、プライバシーポリシージェネレーター、第30条台帳、DSARワークフロー、CRM保持ルールを、単一のパネルで立ち上げましょう。
フランスマーケットプレイスハブを開く →