Bescherming van klantgegevens voor e-commerce: naleving van de AVG

Inleiding

De bescherming van klantgegevens vormt een belangrijke strategische kwestie voor elke e-commercespeler. Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 moeten verkopersites, mobiele verkoopapplicaties en marktplaatsen een strikt juridisch kader respecteren, op straffe van sancties tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Afgezien van de wettelijke beperkingen, vertegenwoordigt de naleving van de AVG een echte hefboom voor het vertrouwen van klanten: 87% van de Europese consumenten zegt dat ze niet zullen kopen op een site waar ze twijfelen aan de gegevensbeveiliging. Dit pijlerartikel beschrijft de concrete verplichtingen van e-retailers op het gebied van toestemming, cookies, nieuwsbrieven en beveiliging van betaalgegevens.

Toestemming: hoeksteen van naleving van de AVG

Toestemming vormt een van de zes rechtsgrondslagen voor verwerking zoals bepaald in artikel 6 van de AVG. Om geldig te zijn, moet het voldoen aan vier cumulatieve criteria zoals gedefinieerd in artikel 7: vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. In de context van e-commerce betekent dit dat een internetgebruiker zijn toestemming niet afhankelijk kan stellen van de aankoop van een product (vrijheidsbeginsel), en dat hij voor elk doel afzonderlijk toestemming moet kunnen geven (marketingprofilering, delen met partners, nieuwsbrief, enz.).

De CNIL heeft haar eisen sinds 2020 aanzienlijk aangescherpt met haar richtlijnen over cookies en trackers. De knop ‘Alles accepteren’ moet nu vergezeld gaan van een knop ‘Alles weigeren’ met een gelijkwaardige toegankelijkheid en zichtbaarheid. Vooraf aangevinkte vakjes zijn ten strengste verboden (arrest HvJ-EU Planet49, 1 oktober 2019). E-handelaren moeten ook een tijdsgestempeld bewijs van toestemming bewaren voor de duur van de verwerking, en intrekking net zo eenvoudig toestaan ​​als de initiële toekenning.

Beheer van cookies en trackers op sites van verkopers

E-commercesites gebruiken gemiddeld 40 tot 60 cookies van derden: analyses, retargeting van advertenties, sociale netwerken, chatbots, A/B-testen. Artikel 82 van de gewijzigde Wet Bescherming Persoonsgegevens vereist voorafgaande toestemming voor elke tracker die niet strikt noodzakelijk is voor de werking van de dienst. Alleen cookies voor winkelwagentjes, authenticatiesessies en taakverdeling zijn vrijgesteld.

Het opzetten van een conform Consent Management Platform (CMP) is essentieel geworden. Het moet de bezoeker de mogelijkheid bieden om gedetailleerd te zijn in zijn keuzes: acceptatie per doel (publieksmeting, personalisatie, gerichte reclame) en per ontvanger. De sancties regenen neer: Google (150 miljoen euro), Amazon (35 miljoen euro), Facebook (60 miljoen euro) in 2022 vanwege het ontbreken van een weigeringsknop die even toegankelijk is als de knop Accepteren.

Nieuwsbrief en commerciële prospectie: strenge opt-in

Het versturen van nieuwsbrieven en promotionele e-mails valt onder artikel L.34-5 van de Post- en Elektronische Communicatiewet, waarmee de ePrivacy-richtlijn is omgezet. Het principe is dat van expliciete voorafgaande opt-in voor individuele prospects (B2C). Er bestaat een opmerkelijke uitzondering voor klanten die al een aankoop hebben gedaan: prospectie is toegestaan ​​voor soortgelijke producten of diensten, op voorwaarde dat ze tijdens het ophalen op de hoogte zijn gesteld en tegen elke verzending bezwaar kunnen maken.

Concreet moet het vakje “Ik wil graag commerciële aanbiedingen ontvangen van [merk]” standaard zijn aangevinkt en los staan ​​van acceptatie van de Algemene Voorwaarden. Elke e-mail moet een werkende afmeldlink met één klik, de identiteit van de afzender en een geldig contactadres bevatten.

Betaalgegevens beveiligen

De verwerking van bankgegevens valt onder zowel de AVG (artikel 32 over beveiliging) als de PCI-DSS-standaard (Payment Card Industry Data Security Standard). E-handelaren zouden de voorkeur moeten geven aan tokenisatie via een PCI-DSS niveau 1 gecertificeerde betalingsdienstaanbieder (PSP), waardoor de directe opslag van kaartnummers wordt vermeden. Sterke authenticatie (3D Secure v2) is sinds 15 mei 2021 verplicht in toepassing van de DSP2-richtlijn.

Het bewaren van het visuele cryptogram (CVV) is ten strengste verboden na de transactie. Kaartnummers kunnen alleen worden bewaard met uitdrukkelijke toestemming om latere aankopen te vergemakkelijken (CNIL-beraadslagingsnr. 2018-303).

Conclusie

GDPR-compliance in e-commerce is niet alleen een juridische checklist: het structureert de hele digitale klantrelatie. Tussen gedetailleerde toestemming, cookiebeheer, nauwkeurigheid bij prospectie en veilige betalingen moeten e-retailers een ‘privacy by design’-aanpak hanteren bij het ontwerpen van hun trajecten. Deze aanpak is verre van een commercieel obstakel, maar wordt een onderscheidend argument in een markt waar digitaal vertrouwen de conversieratio en loyaliteit bepaalt.