Le 1er aout 2023 marque la fin de l’impression automatique du ticket de caisse par les commerçants.
En application de la loi anti-gaspillage et pour l’économie circulaire (dite « AGEC »), les commerçants auront l’obligation de demander au consommateur s’il souhaite, ou non, imprimer son ticket de caisse.
Cette nouvelle disposition vise à lutter contre le gaspillage des ressources naturelles et réduire l’impact environnemental que représente cette impression puisque près de 30 milliards de tickets sont imprimés chaque année (tickets de caisse, de cartes bancaires et bons d’achat). Les nouvelles dispositions sont intégrées au Code de l’environnement, par les articles L541-15-10 et suivants dudit code.
Quelles catégories de tickets sont concernées?
Au 1er août 2023, ne seront plus imprimés, sauf demande expresse du client :
- Les tickets de caisse produits dans les surfaces de vente et dans les établissements recevant du public ;
- Les tickets émis par des automates ;
- Les tickets de carte bancaire ;
- Les bons d’achat et tickets visant à la promotion ou à la réduction des prix d’articles de vente dans les surfaces de vente.
L’impression d’un ticket de caisse reste obligatoire dans certains cas, notamment pour :
- L’achat de produits ou de service nécessitant un justificatif : les produits sous garantie légale, les produits pesés, les services d’un montant supérieur ou égal à 25 euros, les notes et additions dans le secteur de la restauration et de l’hôtellerie et les accès à un bien ou services (autoroute, parking) ; et
- Les opérations de crédit (remboursement ou un transfert de fonds)
Dématérialisation du ticket de caisse : le respect des principes de protection des données à caractère personnel
Les commerçants doivent informer le client de la faculté laissée aux clients de demander l’impression de leurs tickets de caisse ou de carte bancaire par voie d’affichage à proximité du lieu d’encaissement.
Les commerçants ont également la possibilité de proposer à leurs clients d’obtenir une version dématérialisée (par sms, courrier électronique, QR CODE, etc.) de leurs tickets.
Dans le cadre de cette dématérialisation, le commerçant réalise un traitement de données à caractère personnel. En effet, ce dernier traite et collecte le numéro de téléphone du consommateur, son adresse mail ou encore sa localisation – pour le QR CODE – qui seront nécessaires pour assurer l’envoi du ticket de caisse. Les principes fondamentaux de la protection des données doivent donc être respectés tant concernant la détermination de la base légale du traitement, la sécurité des données, la durée de conservation limitée ainsi que l’information des personnes concernées et les modalités d’exercice de leurs droits.
Sur quelle base juridique fonder ce traitement ?
Dans l’hypothèse où les consommateurs souhaitent recevoir leurs tickets d’une manière dématérialisée, leurs données peuvent être traitées en vertu de l’intérêt légitime. Indépendamment d’être informé de ce traitement, le consommateur doit avoir la possibilité de manière effective de s’y opposer. La Cnil préconise, à titre d’illustration, que l’opposition puisse être mise en œuvre en choisissant soit de ne pas avoir de ticket, soit une version imprimée.
En revanche, un commerçant qui souhaite réutiliser les données collectées à des fins de prospection commerciales doit fonder le traitement des données sur le consentement de la personne concernée (l’article L.34-5 du Code des postes et des communications électroniques).
Toutefois, n’oublions pas que si la personne prospectée est déjà cliente et si la prospection concerne des produits ou des services similaires fournis par la même entreprise, le consentement préalable n’est pas requis et l’intérêt légitime est la base légale pertinente pour traiter les données personnelles. Les pratiques habituelles de conformité au regard de la protection des données à caractère personnel devront toujours être mises en œuvre. De même si le commerçant souhaite également transmettre les données de contact à des partenaires commerciaux.
L’information nécessaire des clients
La CNIL rappelle que tout traitement de données à caractère personnel doit faire l’objet d’une information claire et précise auprès des personnes concernées. Ainsi, le premier niveau d’information doit être porté à la connaissance du client dès le passage en caisse (y compris sur l’interface de la caisse automatique).
Un renvoi vers une information plus complète, de 2ème niveau, devra être mis en place. A cet effet, la politique de confidentialité du commerçant devra être complétée et détaillée en prenant en compte cette nouvelle finalité de traitement. A noter également que cette obligation d’information devra prévoir la possibilité pour un commerçant de contrôler le paiement de l’achat en l’absence d’un ticket (prévention contre le vol) notamment par l’usage de la vidéosurveillance, comme la précise la DGCCRF.
Les enjeux de minimisation et de sécurité du ticket de caisse dématérialisé
La dématérialisation du ticket de caisse reste une faculté laissée au commerçant. Toutefois, en cas d’usage de cette dernière, le commerçant devra veiller à respecter les principes de minimisation dans la collecte des données du client, sécuriser notamment en limitant l’accès auxdites données et en prévoyant une durée de conservation limitée.
Cette dématérialisation, comme le note la Cnil, peut engendrer des inquiétudes de la part des clients, consommateurs ou encore des associations de consommateurs concernant la réception massive de prospections commerciales non sollicitées. En effet, même si le consommateur reste un client du commerçant, une solution sécurisée avec une collecte non excessive des données de contact permettra de rassurer ce dernier et de dépasser des potentielles appréhensions. Gageons que la DGCCRF et la CNIL restent vigilantes dans le cadre de la mise en œuvre de cette pratique et des éventuelles précisions à y apporter.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !