RGPD et dématérialisation des tickets de caisse : protégez les données personnelles de vos clients

Depuis le 1^er août 2023, à moins qu’il ne le demande explicitement, le consommateur ne se voit plus délivrer systématiquement un ticket de caisse lors de ses achats, suite à la loi anti gaspillage pour une  économie circulaire votée en 2020.  La CNIL a rappelé en mars 2023 [1]ses recommandations. La dématérialisation des tickets de caisse est l’une de ses priorités de contrôle en 2024.

E-ticket : cadre légal lié au RGPD

Il n’existe aucune obligation, pour le commerçant, de proposer une alternative aux tickets de caisse à imprimer. S’il le souhaite, il pourra néanmoins délivrer des tickets dématérialisés. Ce n’est cependant pas la solution à privilégier puisque, rappelons-le, cette forme a également un impact sur l’environnement : le stockage de données et les transactions ne sont pas neutres pour la planète. L’envoi d’un ticket dématérialisé est équivalent à 5g de CO2 et 3cl d’eau. À cet égard, la CNIL conseille à tout commerçant souhaitant développer cette alternative d’en évaluer l’empreinte environnementale.

Le consommateur devra avoir le choix entre ne pas recevoir de ticket ou s’en voir imprimer un, s’il le demande. Ce choix devra faire l’objet d’une information par affichage, délivrée au niveau du paiement. Dans tous les cas, le consommateur peut toujours demander l’impression papier.

Enfin, il existe des exceptions concernant l’achat de biens attachés à une garantie ou encore pour les opérations annulées, qui devront être délivrés en format papier.

Information RGPD

La CNIL rappelle ses exigences classiques en la matière : le client doit bénéficier d’une information claire, complète et compréhensible.

Celle-ci peut prendre la forme d’un premier niveau d’information sous forme d’affichage synthétique au moment du passage en caisse ou sur l’interface d’une caisse automatique.

Un renvoi vers une information complète du traitement doit être fait sous forme de QR code, par exemple, permettant au client d’avoir accès à la politique complète de confidentialité du commerçant.

Modalités techniques de collecte des données personnelles

Le commerçant doit également faire en sorte de limiter la communication et la collecte de données personnelles. En ce sens, est à privilégier la récupération du ticket de caisse dématérialisé sans l’échanger avec une donnée personnelle (par exemple l’utilisation d’un QR code pour scanner le ticket de caisse qui ne requiert que la collecte de l’adresse IP du client, nécessaire à l’établissement d’une connexion web).

Dans l’hypothèse de l’utilisation d’un serveur web pour transmettre le ticket de caisse, il faut que le système soit sécurisé, éviter l’utilisation de cookies ou autres traceurs et prévoir un simple téléchargement avec un accès à durée limitée.

Si le commerçant souhaite collecter davantage d’informations, notamment le numéro de téléphone ou le mail du client pour envoyer le ticket de caisse, la CNIL rappelle que ce traitement devra respecter le principe de minimisation des données collectées, limiter la durée de conservation de ces données à ce qui est nécessaire, ainsi que mettre en place des mesures de sécurité en limitant son accès.  

Si le commerçant souhaite faire de la prospection commerciale

Il est possible d’envoyer de la publicité par mail, SMS ou courriel, ou encore de transférer les données à un contact partenaire commercial sous réserve d’avoir respecté les conditions applicables à la prospection commerciale et au canal propre à la prospection.

En principe, la collecte de mail ou numéro de téléphone pour l’envoi d’un ticket de caisse dématérialisé ne peut donc servir à la prospection commerciale à moins de récolter le consentement explicite du client dans ce but. Lorsque la prospection porte sur des produits ou services similaires à ceux que le client a achetés, le commerçant peut adresser des messages de prospection commerciale sans que le client ait donné son accord préalable : néanmoins, le commerçant doit en avoir informé son client et SURTOUT et lui permettre de s’y opposer lors de la collecte de vos données et à chaque envoi de message commercial (opt-out).

L’appel téléphonique, quant à lui, peut être mis en œuvre comme dans l’hypothèse où la personne prospectée est déjà cliente et que la prospection concerne les produits ou services similaires fournis par la même entreprise.

Enfin en cas de partage des données avec des partenaires, le consentement du client est nécessaire, quel que soit le canal de prospection.

La CNIL rappelle enfin que cette alternative ne doit pas servir de prétexte pour imposer un compte fidélité afin de se voir délivrer le ticket de caisse de façon automatique ou que n’en découle pas obligatoirement la collecte d’adresse e-mail ou de numéro de téléphone.

En pratique, les bonnes questions à se poser avant de déployer le dispositif sont :

-  Quelles sont les modalités techniques de la transmission du ticket dématérialisé et sont-elles sécurisées ?
-  Ai-je correctement informé mon client ? Ai-je déployé l’affichage nécessaire ?
-  Si je veux prospecter ensuite mon client, ai-je déployé l’information nécessaire et s’est-il vu offert la possibilité de s’opposer ou de donner son consentement, et suis-je en capacité de démontrer ce droit d’opposition ou son consentement, selon le cas ?

Programme de contrôle de la CNIL

Le 8 février 2024[2], la CNIL a annoncé que parmi ses axes prioritaires de contrôle figuraient les traitements additionnels de données personnelles, dans le cadre de l’envoi des tickets de caisse dématérialisés par SMS ou courriel.

La CNIL entend vérifier l’information partagée avec les consommateurs et contrôler le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.

Les clients disposent dans tous les cas de la possibilité d’exercer leurs droits auprès du commerçant et la sanction peut être élevée si celui-ci n’a pas respecté les règles exposées ci-avant, pouvant aller jusqu’à 4 % de son chiffre d’affaires.