Fin des tickets de caisse : les bonnes pratiques en matière de protection des données

A compter du 1ᵉʳ avril, les commerçants ne pourront plus fournir de tickets de caisse imprimés à leurs clients de manière systématique. Ticket dématérialisé par mail, SMS ou QR code, information du consommateur par voie d'affichage... Quelles sont les règles à respecter pour se conformer au RGPD ?

Au 1er avril, les tickets de caisse papier, c’est fini ! Enfin presque… Afin de contribuer à la lutte contre le gaspillage, réduire l’impact environnemental et mieux protéger la santé des consommateurs, les commerçants ne pourront bientôt plus imprimer systématiquement certains tickets de caisse. D’autres solutions alternatives pourront toutefois être mises en place. Le point sur les règles bientôt applicables et les bonnes pratiques recommandées par la CNIL.

Donner le choix au client

En caisse physique ou automatique, le commerçant devra permettre au client de ne pas obtenir de ticket. Toutefois à la demande du client, le commerçant devra lui imprimer un ticket. Attention, le commerçant devra informer le client par voie d’affichage les options qui s’offrent à lui lors de son passage en caisse :

  • pas de papier,
  • ticket papier,
  • ticket dématérialisé (non obligatoire).

Un éventuel rappel à l’oral par le caissier 

Si le commerçant propose le ticket dématérialisé, il devra respecter certaines règles en matière d’information du consommateur et de protection des données.

Au moment du passage en caisse, le professionnel pourra donner un premier niveau d’information synthétique en « indiquant l’identité du responsable du traitement et les objectifs poursuivis par la collecte des données », recommande la CNIL. Le client doit comprendre l’utilisation qui pourra en être faite : transmission du ticket de caisse, réutilisation des données à des fins de prospection commerciale.

Si une utilisation à des fins de prospection commerciale est prévue, « une information sur l’exercice des droits apparaît nécessaire dès ce premier niveau ».

Ces informations pourront être données :

  • par un affichage en caisse physique, « avec un éventuel rappel à l’oral par le caissier » ;
  • directement sur l’interface d’une caisse automatique.

Eviter la collecte de données personnelles

Le commerçant devra également prévoir un renvoi vers « une information plus complète » (via un QR code à scanner par exemple) permettant d’accéder à la politique de confidentialité.

Rappel de la CNIL : le commerçant devra privilégier le principe de minimisation des données (en collecter le moins possible), voire éviter leur collecte. La solution encouragée : permettre au client de récupérer son ticket via un QR code, qui ne requiert que la collecte de son adresse IP.

En cas de collecte des coordonnées (numéro de téléphone ou courriel) visant à envoyer le ticket dématérialisé, la CNIL rappelle de limiter la durée conservation de ces données « au strict nécessaire ». Un dispositif devra alors permettre aux personnes soit de consentir, soit d’exercer leur droit d’opposition à la réutilisation des données de contact « de la manière la plus transparente possible ».

La CNIL rappelle enfin que si le traitement de données est fondé sur l’intérêt légitime, les personnes devront être informées du traitement et mises en mesure de s’y opposer. En pratique, cela revient – pour le client, à « choisir l’absence de remise de ticket ou une impression papier ».

 

© Lefebvre Dalloz