רגולטור הפרטיות בצרפת (CNIL) פרסם לאחרונה הבהרות לבעלי אתרים ונותני שירותים באינטרנט על האחריות המוטלת עליהם בעת שימוש בעוגיות בסיטואציות נפוצות. ברקע ההבהרות עומדת האבחנה הבסיסית בדינים האירופאים בין שני סוגי גורמים העוסקים במידע אישי: "בעל השליטה במידע" (data controller) - שהוא הבעלים המקבל את ההחלטות הראשונות במעלה על מטרות עיבוד המידע ואופן העיבוד; ו-"מעבד המידע" (data processor) - שהוא גורם המחזיק במידע ומבצע פעולות עיבוד עבור בעל השליטה במידע.
ההבהרות של הרגולוטר הצרפתי מדגישות כי -
- בעל אתר אינטרנט שמשתמש בעוגיות לצרכיו הפנימיים בלבד, בין אם הוא מיישם בעצמו מנגנון עוגיות ובין אם משתמש בשירותים חיצוניים הכוללים שימוש בעוגיות (כדוגמת כלי אנליטיקה כמו גוגל אנליטיקס, או פרסום ממוקד במסגרת האתר עצמו - retargeting) ייחשב לבעל השליטה במידע. בעל האתר נדרש לציית לכל הכללים החלים עליו מתוקף מעמד זה, לרבות קבלת הסכמת המשתמשים ומתן אפשרות לגולשים לסרב לקבל עוגיות. אם בעל האתר משתמש בדרך זו בשירותים חיצוניים הכוללים שימוש בעוגיות, הם ייחשבו למעבדי המידע עבורו ועל בעל האתר לוודא שההסכם בינו לבין נותני השירותים אוסר על נותני השירותים להשתמש במידע לכל צורך אחר.
- בעל אתר המאפשר לגורמים חיצוניים להשתמש בעוגיות במסגרת האתר שלו לצרכים שלהם ולא רק לצרכיו הפנימיים של בעל האתר, ייחשב למעבד המידע עבור הגורמים החיצוניים שייחשבו לבעלי השליטה במידע. זאת, משום שאז הגורמים החיצוניים הם שקובעים את מטרות השימוש במידע ואופן עיבוד המידע. כללים אלה חלים למשל על רשתות פרסום מקוון ממוקד שמנטרות את הרגלי הגלישה של גולשים על פני אתרים שונים, בונות פרופיל על הגולשים בהתאם לנתונים אלה ומגישות להם פרסומות ממוקדות המותאמות לפרופיל שנבנה. הכללים חלים גם על פלטפורמות המוכרות שטחי פרסום מקוון בשיטות מכרז ועל גורמים המגישים הצעות במכרזים כאלה בשם המפרסמים. גם במסגרת זו, ההסכם בין בעל האתר לבין הגורם החיצוני שמשתמש בעוגיות צריך להבטיח קבלת הסכמה נאותה מגולשי האתר לשימוש בעוגיות ומתן אפשרות לגולשים לסרב לקבלן.
הרגולטור הצרפתי מדגיש כי בשני המקרים המתוארים לעיל רק בעל האתר הוא בעל היכולת המעשית לבקש את הסכמת הגולשים ולהציג להם את הגילוי הנאות הדרוש לצד הבקשה לקבלת ההסכמה. במקרה השני, בו בעל האתר פועל עבור הגורמים החיצוניים, המידע שהוא יציג לקבלת הסכמת הגולשים נסמך על המידע שיעמידו לרשותו הגורמים החיצוניים, והם בלבד אחראים על מסירת מידע לא שלם, לא מדויק או מטעה. מקור: הודעה של הרגולטור הצרפתי לפרטיות (בצרפתית).