Actualité

Depuis maintenant plusieurs années, les nouvelles technologies sont en train de bouleverser le quotidien des entreprises et des particuliers. C’est dans ce contexte que l’interdiction d’impression et de distribution systématiques de certains tickets a mis au premier plan la question de la dématérialisation du ticket de caisse. Si plusieurs moyens technologiques sont envisageables pour dématérialiser ledit ticket, toutes les solutions ne se valent pas en matière de protection des données personnelles.

Quelle(s) base(s) légale(s) pour fonder le traitement des données personnelles des clients ?

Différentes bases légales peuvent fonder un traitement des données personnelles des clients/consommateurs. Concrètement, la base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Lorsque les personnes demandent que l’envoi de leurs tickets se fasse par voie dématérialisée, leurs données (informations portées sur le ticket et/ou données de contact) peuvent être traitées tant sur la base de l’intérêt légitime que sur le consentement du client/consommateur.

S’agissant de l’intérêt légitime, les personnes doivent être informées du traitement de leurs données et mises en mesure de s’y opposer. Concrètement, dans le cas où la dématérialisation du ticket passe par un procédé utilisant l’intérêt légitime comme base légale de traitement de données personnelles, l’opposition se traduit soit dans le choix d’absence de remise du ticket soit par une demande d’impression papier.

S’agissement du consentement, c’est l’une des bases légales prévues par le règlement général sur la protection des données (RGPD) sur laquelle peut se fonder un traitement de données personnelles. Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Dans le cadre d’un traitement des données fondé sur le consentement, le commerçant devra être en mesure de rapporter la preuve que le client/consommateur a valablement consenti au traitement de ses données, de manière libre, spécifique, éclairée et univoque.

Le respect des grandes obligations en matière de protection des données personnelles 

Si le commerçant décide de recourir à une solution qui collecte des données afin de proposer à ses clients un ticket dématérialisé, il devra veiller à ce que ladite solution réponde et respecte certaines obligations en matière de protection des données personnelles et notamment les suivantes :

- La solution devra respecter le principe de minimisation des données collectées. Ce principe prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

- La solution de dématérialisation devra limiter la durée de conservation des données personnelles au strict nécessaire.

- La solution devra garantir la sécurisation des données en limitant notamment l’accès à ces dernières.

L’information des clients/consommateurs de la collecte de leurs données personnelles

A titre liminaire, il convient de rappeler que la loi relative à la lutte contre le gaspillage et à l’économie circulaire interdit l’impression et la distribution systématiques des tickets. Les clients/consommateurs ont toujours la possibilité de demander l’impression papier.

Le ticket dématérialisé est l’une des alternatives envisagées par les commerçants pour continuer à transmettre systématiquement un ticket à leurs clients/consommateurs.

Contrairement aux autres options (ticket imprimé ou absence de ticket de caisse), la dématérialisation des tickets de caisse entraîne plusieurs conséquences techniques et juridiques en matière de protection des données, de sécurité et d’exercice de leurs droits par les clients/consommateurs.

Les clients/consommateurs doivent être informés de la collecte et du traitement de leurs données personnelles. L’information doit être distinguée des autres indications sans lien avec la protection des données, elle doit être aussi succincte et claire que possible et adaptée à l’environnement du commerce physique (privilégier les formats visuels et pédagogiques, sous forme d’infographie par exemple).

En pratique, cette obligation passe, d’une part, par un premier niveau d’information générale à la caisse et, d’autre part, par un renvoi vers une information plus complète à laquelle le client/consommateur pourra accéder.

Pour le premier niveau d’information générale en caisse, le commerçant peut indiquer l’identité du responsable du traitement et les objectifs poursuivis par la collecte des données pour que les consommateurs comprennent l’utilisation qui pourrait en être faite (transmission du ticket de caisse, réutilisation des données à des fins de prospection commerciale).

Pour l’information plus complète (second niveau), cela peut, par exemple, prendre la forme d’un QR code à scanner, dédié à l’information.

Le respect des règles en cas de réutilisation des données à des fins commerciales

Les solutions de dématérialisation des tickets qui nécessitent la collecte des données personnelles des clients laissent planer le doute quant à une réutilisation desdites données à des fins commerciales. Toutefois, ce point est évidemment encadré par le législateur. Deux hypothèses doivent être distinguées.

D’une part, lorsque c’est le commerçant lui-même qui utilise les données collectées à des fins de prospections commerciales, la publicité par voie électronique (SMS, mails, etc.) est possible à condition que les personnes aient explicitement donné leur consentement avant d’être démarchées. Cependant, si la personne prospectée est déjà cliente et si la prospection concerne des produits ou services similaires fournis par la même entreprise, le consentement préalable n'est pas requis. Dans ce cas, la CNIL estime que l’intérêt légitime peut constituer une base légale valide. Les personnes doivent être informées et mises en mesure de s’opposer à tout moment à cette utilisation de manière simple et gratuite.

D’autre part, lorsque la prospection est réalisée par des partenaires commerciaux du commerçant, le consentement des personnes concernées est nécessaire avant tout transfert par le commerçant des données de contact de ces dernières. Les enseignes qui souhaitent recueillir le consentement pour le compte de leurs partenaires commerciaux devront informer le client, au moment de la collecte, de l’identité des partenaires qui se reposeront sur le consentement donné.

Pour conclure, certaines solutions de dématérialisation entraînent un traitement des données personnelles du client. Ces solutions peuvent conduire le commerçant ou un de ses partenaires à les réutiliser à d’autres fins, notamment pour de la prospection commerciale (courriel, SMS, MMS, appel, etc.). D’autres solutions de dématérialisation s’avèrent plus respectueuses en matière de protection des données personnelles. C’est notamment le cas lorsque les commerçants proposent une solution permettant au client de récupérer son ticket de caisse en scannant un QR code avec son smartphone. Cela permet d’éviter au client de communiquer ses coordonnées (numéro de téléphone, courriel, etc.). Pour la CNIL, « ces solutions doivent être privilégiées par les commerçants car elles permettent de limiter les données personnelles collectées ».