Защита данных клиентов электронной коммерции: соответствие GDPR

Введение

Защита данных клиентов является важной стратегической задачей для любого игрока в сфере электронной коммерции. С момента вступления в силу Общего регламента по защите данных (GDPR) 25 мая 2018 года торговые сайты, мобильные приложения для продаж и торговые площадки должны соблюдать строгие правовые рамки под страхом санкций в размере до 20 миллионов евро или 4% годового мирового оборота. Помимо нормативных ограничений, соблюдение GDPR представляет собой реальный рычаг доверия клиентов: 87% европейских потребителей говорят, что не будут покупать на сайтах, где они сомневаются в безопасности данных. В этой основной статье подробно описаны конкретные обязательства интернет-торговцев в отношении согласия, файлов cookie, информационных бюллетеней и безопасности платежных данных.

Согласие: краеугольный камень соблюдения GDPR

Согласие представляет собой одно из шести правовых оснований для обработки, предусмотренных статьей 6 GDPR. Чтобы быть действительным, он должен соответствовать четырем совокупным критериям, определенным в статье 7: быть свободным, конкретным, информированным и недвусмысленным. В контексте электронной коммерции это означает, что согласие пользователя Интернета не может быть обусловлено покупкой продукта (принцип свободы) и что он должен иметь возможность дать согласие отдельно для каждой цели (маркетинговое профилирование, обмен информацией с партнерами, информационный бюллетень и т. д.).

С 2020 года CNIL значительно ужесточила свои требования, выпустив рекомендации в отношении файлов cookie и трекеров. Кнопка «Принять все» теперь должна сопровождаться кнопкой «Отклонить все», имеющей такую ​​же доступность и видимость. Предварительно отмеченные флажки строго запрещены (решение CJEU Planet49 от 1 октября 2019 г.). Электронные торговцы также должны сохранять подтверждение согласия с отметкой времени на весь период обработки и разрешать вывод средств так же просто, как и первоначальное разрешение.

Управление файлами cookie и трекерами на торговых сайтах.

Сайты электронной коммерции используют в среднем от 40 до 60 сторонних файлов cookie: аналитика, рекламный ретаргетинг, социальные сети, чат-боты, A/B-тестирование. Статья 82 измененного Закона о защите данных требует предварительного согласия для любого трекера, который не является строго необходимым для работы службы. Исключением являются только корзина покупок, сеанс аутентификации и файлы cookie балансировки нагрузки.

Создание соответствующей требованиям платформы управления согласием (CMP) стало необходимым. Он должен позволять посетителю быть детальным в своем выборе: принятие по цели (измерение аудитории, персонализация, таргетированная реклама) и по получателю. Санкции рушатся: Google (150 миллионов евро), Amazon (35 миллионов евро), Facebook (60 миллионов евро) в 2022 году из-за отсутствия кнопки отказа, такой же доступной, как кнопка принятия.

Информационная рассылка и коммерческий поиск: строгое согласие

Отправка информационных бюллетеней и рекламных электронных писем подпадает под действие статьи L.34-5 Кодекса почтовых и электронных коммуникаций, транспонирующей директиву ePrivacy. Принцип заключается в явном предварительном согласии для отдельных потенциальных клиентов (B2C). Заметное исключение существует для клиентов, которые уже совершили покупку: поиск аналогичных продуктов или услуг разрешен при условии, что они были проинформированы во время получения и могут возражать против каждой поставки.

В частности, поле «Я хотел бы получать коммерческие предложения от [бренда]» должно быть снято по умолчанию и отличаться от принятия Условий и положений. Каждое электронное письмо должно содержать работающую ссылку для отказа от подписки одним щелчком мыши, личность отправителя и действительный контактный адрес.

Защита платежных данных

Обработка банковских данных подпадает как под действие GDPR (статья 32 о безопасности), так и под действие стандарта PCI-DSS (Стандарт безопасности данных индустрии платежных карт). Электронным торговцам следует отдавать предпочтение токенизации через сертифицированного поставщика платежных услуг (PSP) уровня 1 PCI-DSS, избегая таким образом прямого хранения номеров карт. Строгая аутентификация (3D Secure v2) является обязательной с 15 мая 2021 года при применении директивы DSP2.

Сохранение визуальной криптограммы (CVV) после транзакции строго запрещено. Номера карт могут быть сохранены только с явного согласия для облегчения последующих покупок (решение CNIL № 2018-303).

Заключение

Соответствие GDPR в электронной коммерции — это не просто юридический контрольный список: оно структурирует все цифровые отношения с клиентами. Благодаря детальному согласию, управлению файлами cookie, строгому поиску и безопасным платежам, интернет-торговцы должны использовать подход «конфиденциальность по замыслу» при планировании своих поездок. Этот подход не является коммерческим препятствием, а становится отличительным аргументом на рынке, где цифровое доверие определяет коэффициент конверсии и лояльность.