شريط ملفات تعريف الارتباط (cookies) لدى اللجنة الوطنية — الامتثال الحقيقي

شريط cookies هو موضوع الامتثال الذي تكون فيه المسافة بين التصور والواقع هي الأكبر. الإدارة التي ترى شريطاً جميلاً يظهر على الصفحة الرئيسية لموقعها تقتنع بسهولة بأن الامتثال قد تحقق. أما المدقق الذي يفتح الصفحة في متصفح بوضع التحقيق فيكتشف عادةً العكس: سكريبتات أطراف ثالثة انطلقت بالفعل، cookies تتبع تم إيداعها قبل أي نقرة، غياب لأي تصنيف مفيد، وعدم وجود إثبات مؤرشف للموافقة. هذه إحصائياً نقطة عدم الامتثال الأكثر انتشاراً على الويب المغربي.

ما الذي يفرضه المبدأ القانوني، بوضوح

يجمع الأساس القانوني بين القانون 09-08 المتعلق بحماية البيانات الشخصية ومبادئ توجيه ePrivacy الأوروبي (المادة 5(3)) التي تستعيدها اللجنة الوطنية عملياً في منهجها التدريجي. تبرز أربع متطلبات:

الموافقة الصريحة مطلوبة لأي cookie أو أداة تتبع ليست ضرورية حصراً لاشتغال الخدمة. جلسة تقنية، سلة شراء، تفضيل لغة: هذه cookies يمكن أن تشتغل دون موافقة مسبقة. وكل ما عداها — قياس الجمهور، التسويق، التخصيص، الشبكات الاجتماعية — يتطلب فعلاً إيجابياً واضحاً من المستخدم.

ويجب أن يكون هذا الفعل مستنيراً بمعلومات مسبقة سهلة الوصول. ليس عبارة غامضة من قبيل "نستعمل cookies لتحسين تجربتك"، بل معلومات دقيقة عن فئات cookies المودعة وغاياتها والمستفيدين منها ومدة الحفظ. صفحة "إدارة cookies الخاصة بي" يجب أن تكون في المتناول بدون احتكاك من أي مكان في الموقع.

ويجب أن تكون الموافقة محددة حسب الغاية. لا موافقة شاملة تأذن بكل شيء بنقرة واحدة. التفصيل حسب الفئة هو القاعدة المعتمدة: فئتان على الأقل (ضرورية + غير ضرورية)، والمثالي أربع أو خمس لتفصيل مفيد.

ويجب أن تكون سهلة السحب كما هي سهلة المنح. أي أنه يجب على المستخدم في أي لحظة أن يتمكن من العودة إلى خياراته بنفس عدد النقرات الذي استلزمه التعبير عنها. زر "قبول الكل" بارز في الصفحة الرئيسية وانسحاب مخفي في سياسة cookies على عمق ثلاث نقرات هو نمط غير منصف — وهو سمة الأشرطة التجميلية.

الاختبار التقني في ثلاثين ثانية

إليك كيفية التحقق بسرعة مما إذا كان شريط cookies مطابقاً فعلاً أم تجميلياً فقط. الاختبار يستغرق حرفياً ثلاثين ثانية لكل موقع.

افتح الموقع في نافذة تصفح خاصة (لتحييد cookies الموجودة). افتح أدوات المطور، علامة التبويب "الشبكة". أعد تحميل الصفحة. وقبل النقر على أي شيء في الشريط، انظر إلى الطلبات الصادرة. إذا انطلق طلب واحد فقط نحو نطاق تتبع — google-analytics.com، googletagmanager.com، facebook.net، linkedin.com/insights، hotjar.com، clarity.ms — فالموقع في حالة عدم امتثال. الأمر بهذه البساطة.

الاختبار الثاني: انقر على "رفض" في الشريط، ثم تحقق من علامة "التخزين" في المتصفح. يجب ألا يكون أي cookie تتبع موجوداً. إذا وُجد أحدها، فالشريط له أثر تجميلي لا تشغيلي.

الاختبار الثالث: تنقل عبر ثلاث صفحات أخرى، ثم عُد للتحقق من التخزين. يجب أن تكون الموافقة دائمة بين الصفحات — لا ينبغي على المستخدم أن يعيد تأكيد اختياره في كل صفحة.

غالبية المواقع المهنية المغربية تفشل في أحد الاختبارات الثلاثة. ليس لأن الفرق غير كفؤة، بل لأن حلول "plug and play" التي ركبتها لا تقوم بالعمل فعلاً. هي تعرض؛ لا تحجب.

الحجب في وقت التشغيل — ما يفصل الامتثال عن الواجهة

حجب أداة تتبع قبل الموافقة ليس خياراً تقنياً ثانوياً. إنه الرهان المركزي. الفرق بين شريط "يُعلم بأن cookies قد تم إيداعها" (ويودعها فعلاً) وشريط "يستوفي موافقة قبل إيداع أي شيء" هو فرق طبيعة، لا فرق درجة.

من الناحية التقنية، توجد مقاربتان.

مقاربة الاعتراض في وقت التشغيل تتمثل في منع المتصفح من تنفيذ سكريبتات الأطراف الثالثة طالما لم تُعطَ الموافقة. طبقة وسيطة — عموماً CMP (Consent Management Platform) — تعترض تحميل السكريبتات وتحتجزها. عندما يوافق المستخدم على فئة، تُحرَّر السكريبتات المقابلة. وعندما يسحب موافقته، لا تُنفَّذ السكريبتات في التحميل التالي. هذه المقاربة أعقد تقنياً، لكنها الوحيدة التي تنتج امتثالاً حقيقياً.

مقاربة التحميل المشروط تتمثل في عدم حقن سكريبتات الأطراف الثالثة إلا بعد قراءة الموافقة المخزنة. وهي أبسط في التنفيذ، لكنها تستلزم أن تُحمَّل جميع سكريبتات التتبع عبر آلية تتحكم فيها شيفرة المؤسسة. تناسب جيداً موقعاً حديثاً بإطار JavaScript، وأقل ملاءمة لموقع WordPress يضم عشرين إضافة (plugin) تحقن سكريبتاتها الخاصة.

مقاربة الحجب الزائف — التي تعرض شريطاً وتدع كل شيء يُحمَّل في الخلفية — ليست مقاربة، بل إخلال. ومع ذلك، هذا ما يهيمن على السوق.

فخّ مزوّد الامتثال غير المطابق

إليك وضعاً نصادفه بانتظام في التدقيق. مؤسسة استثمرت في حل لإدارة الموافقة، عادةً Cookiebot أو OneTrust أو ما يماثلهما. تظن أن الموضوع قد عُولج. تدفع اشتراكاً شهرياً مقابل ذلك.

غير أن أبرز حلول السوق هي SaaS أمريكية. واستعمالها يستلزم نقل بيانات شخصية (على الأقل بصمات المتصفح واختيارات الموافقة) إلى الولايات المتحدة أو ولايات قضائية أخرى خارج الاتحاد الأوروبي والمغرب. هذا النقل يجب أن يكون مرخصاً بموجب F118 أو مؤطراً ببنود تعاقدية نموذجية معتمدة صراحةً. كثير من المؤسسات المغربية نشرت Cookiebot أو OneTrust دون أن تعالج هذا البعد. النتيجة: الحل المفترض أن يحل مشكلة امتثال خلق مشكلة جديدة، أحياناً أكثر وضوحاً.

البديل العملي هو استعمال حلول مستضافة ذاتياً في الاتحاد الأوروبي — توجد عدة حلول مفتوحة المصدر بجودة عالية (Klaro، Tarteaucitron، Orejime) — أو تطوير CMP أدنى مدمج في الموقع عندما يكون النطاق محدوداً. هو أقل بريقاً من حل SaaS، لكنه منسجم مع منطق السيادة الذي تشجعه اللجنة الوطنية.

صفحة "سياسة cookies" — ما يجب أن تتضمنه

إلى جانب الشريط، يجب أن توجد الصفحة المخصصة، وأن تكون سهلة الوصول، وأن تتضمن في حدها الأدنى:

القائمة الشاملة لـ cookies المودعة، منظمة حسب الفئة. لكل cookie: الاسم التقني، الغاية الملموسة، مدة الحفظ، النوع (داخلي أو طرف ثالث). يُفترض أن تعكس هذه القائمة ما يحدث فعلاً في الموقع — لا إسقاطاً نظرياً. عند تدقيقها، يُقارَن محتوى الصفحة بالجرد التقني الفعلي.

شرح للخيارات المتاحة للمستخدم. ما يستطيع فعله للتعديل والسحب والحذف. مع رابط مباشر إلى واجهة الإدارة، وليس فقط إلى إعدادات المتصفح.

هوية المسؤول عن المعالجة لهذه cookies، مع قناة اتصال لممارسة الحقوق. منطقياً، هو DPO أو قناة الاتصال العامة المنصوص عليها في سياسة الخصوصية.

منهج اللجنة الوطنية لا يحدد صيغة وحيدة لهذه الصفحة، لكن توصيات CNIL للسياق الفرنسي تشكل مرجعاً عملياً جداً، يمكن نقله مع إثرائه بالخصوصيات المغربية.

مسار تنزيل امتثال ناجح

على موقع قائم ينطلق من الصفر على صعيد cookies، إليك المسار الذي يشتغل:

الأسبوع 1: جرد تقني شامل. ما هي cookies المودعة. بأي سكريبتات. لأي غايات. بدون هذا الجرد، أي إجراء لاحق يكون غير منظم.

الأسبوعان 2 و3: تصنيف cookies حسب الفئة والمفاضلة. أيها ضروري حصراً (فعلاً، لا للراحة)؟ أيها يندرج في قياس الجمهور؟ أيها تسويقي؟ أيها أدوات تتبع لأطراف ثالثة يمكن إقصاؤها؟

الأسابيع 3 إلى 5: تنفيذ CMP مع حجب فعلي في وقت التشغيل. اختبارات في بيئة ما قبل الإنتاج. التحقق من أن الحجب يشتغل قبل النشر.

الأسبوع 6: التحويل إلى الإنتاج مع متابعة دقيقة. التحقق من معدلات الموافقة، وتعديل صياغة الشريط عند الاقتضاء.

الأسبوعان 7 و8: تحرير صفحة سياسة cookies بمحاذاة مع الواقع التقني بعد النشر. تحديث سياسة الخصوصية مع إحالة صريحة إلى صفحة cookies.

الأسبوع 9: تدقيق نهائي بعين خارجية. هي الخطوة التي يتم تخطيها أكثر من غيرها، ومع ذلك تكشف التفاصيل التي مرّت دون انتباه.

مراجع

• CNIL — cookies وأدوات التتبع
• EDPB — توجيهات الموافقة
• Klaro — CMP مفتوح المصدر قابل للاستضافة الذاتية
• الموقع الرسمي للجنة الوطنية
• الدليل المرجعي — الامتثال للجنة الوطنية بالمغرب 2026
• F118 والنقل الدولي
• خدمة — مواكبة تنزيل الامتثال

في الصحافة الاقتصادية المغربية (Médias24، L'Économiste)، تطفو مواضيع cookies بانتظام في أبواب التكنولوجيا منذ ثلاث أو أربع سنوات. استوعب السوق المبدأ بشكل عام، دون أن يستوعب الممارسة. الفجوة بين الاثنين هي بالضبط ما يكشفه التدقيق الجاد، وهي ما يُكسب المواكبة المهيكلة قيمتها. الشريط الذي يُرضي العين ويُربك المدقق صار كليشيهاً في السوق — ومن نادر العيوب التي تُصحَّح جيداً.

مهدي أ. — خبير حماية البيانات، مساهم في DataSouv. مقال راجعه وصادق عليه أمين رايس، المؤسس.