La dématérialisation des tickets de caisse soulève d'importantes questions en matière de protection des données personnelles et de respect du RGPD. Dans cet article, Caroline Belotti, avocate associée en droit des nouvelles technologies et DPO certifiée, vous présente les précautions essentielles à prendre pour préserver la confidentialité des informations de vos clients. |
Depuis le 1er août 2023, à moins qu’il ne le demande explicitement, le consommateur ne se voit plus délivrer systématiquement un ticket de caisse lors de ses achats, suite à la loi anti gaspillage pour une économie circulaire votée en 2020. La CNIL a rappelé en mars 2023 [1]ses recommandations. La dématérialisation des tickets de caisse est l’une de ses priorités de contrôle en 2024.
E-ticket : cadre légal lié au RGPD
Il n’existe aucune obligation, pour le commerçant, de proposer une alternative aux tickets de caisse à imprimer. S’il le souhaite, il pourra néanmoins délivrer des tickets dématérialisés. Ce n’est cependant pas la solution à privilégier puisque, rappelons-le, cette forme a également un impact sur l’environnement : le stockage de données et les transactions ne sont pas neutres pour la planète. L’envoi d’un ticket dématérialisé est équivalent à 5g de CO2 et 3cl d’eau. À cet égard, la CNIL conseille à tout commerçant souhaitant développer cette alternative d’en évaluer l’empreinte environnementale.
Le consommateur devra avoir le choix entre ne pas recevoir de ticket ou s’en voir imprimer un, s’il le demande. Ce choix devra faire l’objet d’une information par affichage, délivrée au niveau du paiement. Dans tous les cas, le consommateur peut toujours demander l’impression papier.
Enfin, il existe des exceptions concernant l’achat de biens attachés à une garantie ou encore pour les opérations annulées, qui devront être délivrés en format papier.
Information RGPD
La CNIL rappelle ses exigences classiques en la matière : le client doit bénéficier d’une information claire, complète et compréhensible.
Celle-ci peut prendre la forme d’un premier niveau d’information sous forme d’affichage synthétique au moment du passage en caisse ou sur l’interface d’une caisse automatique.
Un renvoi vers une information complète du traitement doit être fait sous forme de QR code, par exemple, permettant au client d’avoir accès à la politique complète de confidentialité du commerçant.
Modalités techniques de collecte des données personnelles
Le commerçant doit également faire en sorte de limiter la communication et la collecte de données personnelles. En ce sens, est à privilégier la récupération du ticket de caisse dématérialisé sans l’échanger avec une donnée personnelle (par exemple l’utilisation d’un QR code pour scanner le ticket de caisse qui ne requiert que la collecte de l’adresse IP du client, nécessaire à l’établissement d’une connexion web).
Dans l’hypothèse de l’utilisation d’un serveur web pour transmettre le ticket de caisse, il faut que le système soit sécurisé, éviter l’utilisation de cookies ou autres traceurs et prévoir un simple téléchargement avec un accès à durée limitée.
Si le commerçant souhaite collecter davantage d’informations, notamment le numéro de téléphone ou le mail du client pour envoyer le ticket de caisse, la CNIL rappelle que ce traitement devra respecter le principe de minimisation des données collectées, limiter la durée de conservation de ces données à ce qui est nécessaire, ainsi que mettre en place des mesures de sécurité en limitant son accès.
Si le commerçant souhaite faire de la prospection commerciale
Il est possible d’envoyer de la publicité par mail, SMS ou courriel, ou encore de transférer les données à un contact partenaire commercial sous réserve d’avoir respecté les conditions applicables à la prospection commerciale et au canal propre à la prospection.
En principe, la collecte de mail ou numéro de téléphone pour l’envoi d’un ticket de caisse dématérialisé ne peut donc servir à la prospection commerciale à moins de récolter le consentement explicite du client dans ce but. Lorsque la prospection porte sur des produits ou services similaires à ceux que le client a achetés, le commerçant peut adresser des messages de prospection commerciale sans que le client ait donné son accord préalable : néanmoins, le commerçant doit en avoir informé son client et SURTOUT et lui permettre de s’y opposer lors de la collecte de vos données et à chaque envoi de message commercial (opt-out).
L’appel téléphonique, quant à lui, peut être mis en œuvre comme dans l’hypothèse où la personne prospectée est déjà cliente et que la prospection concerne les produits ou services similaires fournis par la même entreprise.
Enfin en cas de partage des données avec des partenaires, le consentement du client est nécessaire, quel que soit le canal de prospection.
La CNIL rappelle enfin que cette alternative ne doit pas servir de prétexte pour imposer un compte fidélité afin de se voir délivrer le ticket de caisse de façon automatique ou que n’en découle pas obligatoirement la collecte d’adresse e-mail ou de numéro de téléphone.
En pratique, les bonnes questions à se poser avant de déployer le dispositif sont :
- Quelles sont les modalités techniques de la transmission du ticket dématérialisé et sont-elles sécurisées ?
- Ai-je correctement informé mon client ? Ai-je déployé l’affichage nécessaire ?
- Si je veux prospecter ensuite mon client, ai-je déployé l’information nécessaire et s’est-il vu offert la possibilité de s’opposer ou de donner son consentement, et suis-je en capacité de démontrer ce droit d’opposition ou son consentement, selon le cas ?
Programme de contrôle de la CNIL
Le 8 février 2024[2], la CNIL a annoncé que parmi ses axes prioritaires de contrôle figuraient les traitements additionnels de données personnelles, dans le cadre de l’envoi des tickets de caisse dématérialisés par SMS ou courriel.
La CNIL entend vérifier l’information partagée avec les consommateurs et contrôler le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.
Les clients disposent dans tous les cas de la possibilité d’exercer leurs droits auprès du commerçant et la sanction peut être élevée si celui-ci n’a pas respecté les règles exposées ci-avant, pouvant aller jusqu’à 4 % de son chiffre d’affaires.
RGPD : bénéficiez de l'expertise de nos avocatsNos avocats en droit des nouvelles technologies et RGPD sont à votre disposition pour vous accompagner dans la mise en conformité de vos pratiques et outils. Forts d'une expérience approfondie et d'une veille juridique constante, ils vous offrent un accompagnement personnalisé et sur-mesure pour sécuriser vos activités et optimiser votre gestion des données personnelles. Que vous soyez une start-up innovante, une PME en croissance ou un grand groupe, nous adaptons nos solutions à vos besoins spécifiques. Pour en savoir plus sur nos expertises juridiques en matière de protection des données et découvrir comment nous pouvons vous aider à transformer les exigences du RGPD en opportunités pour votre entreprise, consultez notre page dédiée ou contactez-nous dès aujourd'hui pour un audit. Ensemble, faisons de la conformité RGPD un atout pour votre développement. |