Beskyttelse af e-handelskundedata: GDPR-overholdelse

Introduktion

Beskyttelse af kundedata udgør et stort strategisk spørgsmål for enhver e-handelsaktør. Siden ikrafttrædelsen af ​​den generelle databeskyttelsesforordning (GDPR) den 25. maj 2018, skal købmandswebsteder, mobilsalgsapplikationer og markedspladser respektere en streng juridisk ramme med sanktioner på op til 20 millioner euro eller 4 % af den årlige globale omsætning. Ud over de lovgivningsmæssige begrænsninger repræsenterer GDPR-overholdelse en reel løftestang for kundernes tillid: 87 % af europæiske forbrugere siger, at de ikke vil købe fra et websted, hvor de tvivler på datasikkerheden. Denne søjleartikel beskriver e-forhandlernes konkrete forpligtelser med hensyn til samtykke, cookies, nyhedsbreve og sikkerhed for betalingsdata.

Samtykke: hjørnestenen i GDPR-overholdelse

Samtykke udgør et af de seks juridiske grundlag for behandling i henhold til artikel 6 i GDPR. For at være gyldig skal den opfylde fire kumulative kriterier defineret i artikel 7: være fri, specifik, informeret og utvetydig. I e-handelssammenhæng betyder det, at en internetbruger ikke kan få sit samtykke betinget af køb af et produkt (frihedsprincippet), og at de skal kunne give særskilt samtykke til hvert enkelt formål (markedsføringsprofilering, deling med partnere, nyhedsbrev mv.).

CNIL har styrket sine krav betydeligt siden 2020 med sine retningslinjer for cookies og trackere. "Accepter alle"-knappen skal nu ledsages af en "Afvis alle"-knap med tilsvarende tilgængelighed og synlighed. Forhåndsmarkerede felter er strengt forbudt (CJEU Planet49-dom, 1. oktober 2019). E-handlere skal også beholde et tidsstemplet bevis for samtykke under behandlingens varighed og tillade tilbagetrækning så simpel som den oprindelige bevilling.

Håndtering af cookies og trackere på forhandlerwebsteder

E-handelswebsteder bruger i gennemsnit 40 til 60 tredjepartscookies: analyser, reklameretargeting, sociale netværk, chatbots, A/B-test. Artikel 82 i den ændrede databeskyttelseslov kræver forudgående samtykke for enhver tracker, der ikke er strengt nødvendig for driften af ​​tjenesten. Kun indkøbskurv, autentificeringssession og belastningsbalanceringscookies er undtaget.

Opsætning af en kompatibel Consent Management Platform (CMP) er blevet afgørende. Det skal give den besøgende mulighed for at være detaljeret i deres valg: accept efter formål (målgruppemåling, personalisering, målrettet annoncering) og efter modtager. Sanktionerne regner ned: Google (150 millioner euro), Amazon (35 millioner euro), Facebook (60 millioner euro) i 2022 for manglen på en afvisningsknap lige så tilgængelig som acceptknappen.

Nyhedsbrev og kommerciel efterforskning: streng opt-in

Afsendelse af nyhedsbreve og salgsfremmende e-mails falder ind under artikel L.34-5 i koden for post- og elektronisk kommunikation, der gennemfører e-databeskyttelsesdirektivet. Princippet er eksplicit forudgående opt-in for individuelle kundeemner (B2C). En bemærkelsesværdig undtagelse findes for kunder, der allerede har foretaget et køb: efterforskning er autoriseret til lignende produkter eller tjenester, forudsat at de blev informeret under afhentningen og kan gøre indsigelse mod hver forsendelse.

Helt konkret skal boksen "Jeg vil gerne modtage kommercielle tilbud fra [brand]" være afkrydset som standard og adskiller sig fra accept af T&C'erne. Hver e-mail skal indeholde et fungerende et-klik afmeldingslink, afsenderens identitet og en gyldig kontaktadresse.

Sikring af betalingsdata

Behandlingen af ​​bankdata falder ind under både GDPR (artikel 32 om sikkerhed) og PCI-DSS standarden (Payment Card Industry Data Security Standard). E-handlere bør foretrække tokenisering via en PCI-DSS niveau 1 certificeret betalingstjenesteudbyder (PSP), og dermed undgå direkte lagring af kortnumre. Stærk godkendelse (3D Secure v2) har været obligatorisk siden 15. maj 2021 i henhold til DSP2-direktivet.

Det er strengt forbudt at opbevare det visuelle kryptogram (CVV) efter transaktionen. Kortnumre kan kun opbevares med udtrykkeligt samtykke for at lette efterfølgende køb (CNIL-deliberation nr. 2018-303).

Konklusion

GDPR-overholdelse i e-handel er ikke kun en juridisk tjekliste: den strukturerer hele det digitale kundeforhold. Mellem detaljeret samtykke, cookiehåndtering, stringens i efterforskning og sikre betalinger, skal e-detailhandlere anvende en "privacy by design"-tilgang, når de designer deres rejser. Denne tilgang, langt fra at være en kommerciel hindring, bliver et differentierende argument på et marked, hvor digital tillid betinger konverteringsraten og loyaliteten.