Beskyttelse av e-handelskundedata: GDPR-overholdelse

Introduksjon

Beskyttelse av kundedata utgjør et viktig strategisk spørsmål for enhver e-handelsaktør. Siden ikrafttredelsen av den generelle databeskyttelsesforordningen (GDPR) 25. mai 2018, må selgernettsteder, mobilsalgsapplikasjoner og markedsplasser respektere et strengt juridisk rammeverk i henhold til sanksjoner på opptil 20 millioner euro eller 4 % av årlig global omsetning. Utover regulatoriske begrensninger, representerer GDPR-samsvar en reell løftestang for kundetillit: 87 % av europeiske forbrukere sier at de ikke vil kjøpe fra et nettsted der de tviler på datasikkerheten. Denne søyleartikkelen beskriver de konkrete forpliktelsene til e-forhandlere når det gjelder samtykke, informasjonskapsler, nyhetsbrev og sikkerhet for betalingsdata.

Samtykke: hjørnesteinen i GDPR-overholdelse

Samtykke utgjør ett av de seks rettslige grunnlagene for behandling fastsatt i artikkel 6 i GDPR. For å være gyldig må den oppfylle fire kumulative kriterier definert i artikkel 7: være fri, spesifikk, informert og entydig. I e-handelssammenheng betyr dette at en internettbruker ikke kan få sitt samtykke betinget av kjøp av et produkt (frihetsprinsippet), og at de må kunne samtykke separat til hvert formål (markedsføringsprofilering, deling med partnere, nyhetsbrev etc.).

CNIL har styrket kravene sine betraktelig siden 2020 med sine retningslinjer for informasjonskapsler og sporere. "Godta alle"-knappen må nå ledsages av en "Avvis alle"-knapp med tilsvarende tilgjengelighet og synlighet. Forhåndsavmerkede bokser er strengt forbudt (CJEU Planet49-dommen, 1. oktober 2019). E-selgere må også beholde tidsstemplet bevis på samtykke så lenge behandlingen varer, og tillate tilbaketrekking så enkelt som den første bevilgningen.

Administrasjon av informasjonskapsler og sporere på selgernettsteder

Netthandelssider bruker i gjennomsnitt 40 til 60 tredjeparts informasjonskapsler: analyser, reklameretargeting, sosiale nettverk, chatbots, A/B-testing. Artikkel 82 i den endrede databeskyttelsesloven krever forhåndssamtykke for enhver sporing som ikke er strengt nødvendig for driften av tjenesten. Bare handlekurv, autentiseringsøkt og lastbalanseringsinformasjonskapsler er unntatt.

Å sette opp en kompatibel samtykkestyringsplattform (CMP) har blitt viktig. Den må tillate den besøkende å være detaljert i sine valg: aksept etter formål (målgruppemåling, personalisering, målrettet annonsering) og etter mottaker. Sanksjonene regner ned: Google (150 millioner euro), Amazon (35 millioner euro), Facebook (60 millioner euro) i 2022 for mangelen på en avslagsknapp like tilgjengelig som godta-knappen.

Nyhetsbrev og kommersiell prospektering: streng opt-in

Sending av nyhetsbrev og salgsfremmende e-poster faller inn under artikkel L.34-5 i koden for post- og elektronisk kommunikasjon, som implementerer ePersonverndirektivet. Prinsippet er eksplisitt forhåndsvalg for individuelle prospekter (B2C). Et bemerkelsesverdig unntak eksisterer for kunder som allerede har foretatt et kjøp: prospektering er autorisert for lignende produkter eller tjenester, forutsatt at de ble informert under henting og kan protestere mot hver forsendelse.

Konkret må boksen "Jeg vil gjerne motta kommersielle tilbud fra [merke]" være avmerket som standard og forskjellig fra aksept av vilkårene. Hver e-post må inneholde en fungerende avmeldingslenke med ett klikk, identiteten til avsenderen og en gyldig kontaktadresse.

Sikring av betalingsdata

Behandlingen av bankdata faller inn under både GDPR (artikkel 32 om sikkerhet) og PCI-DSS-standarden (Payment Card Industry Data Security Standard). E-selgere bør favorisere tokenisering via en PCI-DSS nivå 1-sertifisert betalingstjenesteleverandør (PSP), og dermed unngå direkte lagring av kortnumre. Sterk autentisering (3D Secure v2) har vært obligatorisk siden 15. mai 2021 i henhold til DSP2-direktivet.

Å beholde det visuelle kryptogrammet (CVV) er strengt forbudt etter transaksjonen. Kortnummer kan kun oppbevares med uttrykkelig samtykke for å lette senere kjøp (CNIL deliberation nr. 2018-303).

Konklusjon

GDPR-samsvar i e-handel er ikke bare en juridisk sjekkliste: den strukturerer hele det digitale kundeforholdet. Mellom detaljert samtykke, håndtering av informasjonskapsler, strenghet i prospektering og sikre betalinger, må e-forhandlere ta i bruk en "privacy by design"-tilnærming når de utformer sine reiser. Denne tilnærmingen, langt fra å være en kommersiell hindring, blir et differensierende argument i et marked der digital tillit betinger konverteringsraten og lojaliteten.