La fin du ticket de caisse papier et le ticket dématérialisé : un nouvel eldorado de la donnée pour les commerçants ?

A l’occasion de la fin d’impression systématique des tickets de caisse au 1er avril 2023, la CNIL vient rappeler quelles règles doivent s’appliquer dans l’ hypothèse où les consommateurs solliciteraient des tickets de caisse dématérialisés.

En effet, la délivrance d’un ticket de caisse dématérialisé entraîne un traitement de données personnelles du client et nécessite donc :

1./ Un premier niveau d’information générale à la caisse (identité du responsable du traitement et les objectifs poursuivis par la collecte des données). Si i une utilisation à des fins de prospection commerciale est prévue, une information sur l’exercice des droits apparaît en outre nécessaire dès ce premier niveau. Ces informations peuvent être données :

  • par un affichage en caisse avec un éventuel rappel à l’oral par le caissier ;
  • directement sur l’interface d’une caisse automatique.

Un second niveau d’information plus complète, la CNIL précisant que le commerçant devra également prévoir un renvoi vers une information plus complète à laquelle le client pourra accéder. Cela peut, par exemple, prendre la forme, suivant la CNIL, d’un QR code à scanner, dédié à l’information. Cela permettra au client d’accéder à la politique de confidentialité du commerçant comprenant une information détaillée sur la collecte et l’utilisation des données.

Si cette règle pourra être mise en œuvre, il est fort peu probable que les clients feront l’ensemble de cette démarche lors du paiement à la caisse.

En tout état de cause, un tel traitement doit toujours répondre aux principes suivants :

  • La minimisation des données collectées ;
  • La limitation de la durée de conservation des données au strict nécessaire ;
  • La sécurisation des données,

Rappelons que le fait de pouvoir solliciter l’envoi d’un tel ticket dématérialisé ne doit pas être subordonné à l’adhésion d’un programme de fidélité. En revanche, se pose la question pour le commercent de justifier d’un traitement de données personnelles qui peut être fondé sur l’intérêt légitime et donc, par la même générer des opérations de prospection commerciale.

Les personnes devront alors être informées du traitement de leurs données et être en mesure de s’y opposer :

Le refus, a priori, de traitement des données deviendrait donc, de fait conditionné au :

  • refus d’un ticket (ce qui n’est pas évident si cette preuve de paiement peut servir en cas de remboursement d’un achat défectueux)
  • Une impression papier (ce qui n’est pas la volonté du texte qui vise justement , pour des raisons de développement durable, à supprimer un tel support)

Il sera utile de vérifier si comme l’envisage la CNIL, les personnes ne pourront pas se trouver exposées à un risque de réception massive de sollicitations commerciales puisqu’elles fréquentent parfois un grand nombre d’enseignes.

Il convient en effet de rappeler le peu d’attention que nous avons lors d’un passage en caisse, qui reste une opération que chaque consommateur, après avoir patienté à la caisse, souhaite finaliser au plus vite. Il n’est donc pas certain que le consommateur donne son consentement de manière éclairée au traitement de ses données.

A suivre

Mathieu MARTIN


Mentions légales - Données personnelles