Fin de l’impression systématique du ticket de caisse : quelles solutions sont possibles et quelles sont les règles ?
À partir du 1er août 2023, l’impression systématique des tickets de caisse sera interdite. Le consommateur pourra toutefois en demander un s’il le souhaite. Il est également possible, à titre facultatif et à certaines conditions, de proposer des tickets dématérialisés. La CNIL rappelle les règles à respecter et les bonnes pratiques.
À retenir :
- À partir du 1er août 2023, pour les achats du quotidien, vous devez informer et laisser le choix au client : pas de ticket, ticket papier ou ticket dématérialisé (si vous proposez ce dernier).
- Les tickets de caisse dématérialisés ne sont pas nécessairement les solutions les plus respectueuses de l’environnement et leur déploiement doit être encadré.
- Si vous décidez de proposer l’envoi dématérialisé du ticket, les solutions à privilégier sont celles qui nécessitent de collecter le moins de données personnelles. Elles doivent, dans tous les cas, respecter le RGPD et la loi Informatique et Libertés.
- La prospection n’est possible que dans le respect de certaines règles : le commerçant doit recueillir le consentement des personnes ou leur permettre de s’y opposer, selon le type de publicité.
- La CNIL propose également une fiche pour permettre aux clients de connaître leurs droits.
La loi relative à la lutte contre le gaspillage et à l’économie circulaire interdit aux commerçants d’imprimer systématiquement certains tickets de caisse pour le client, à partir du 1er août 2023. Ces évolutions doivent contribuer à lutter contre le gaspillage, réduire l’impact environnemental des tickets de caisse et le contact avec des substances dangereuses pour la santé présentes dans ces tickets.
Les personnes peuvent toujours demander l’impression papier. Elles doivent en être informées par voie d’affichage lors de leur passage en caisse.
Le ticket de caisse dématérialisé (notamment par SMS, par courriel, ou en scannant un QR code), ou numérique, est l’une des alternatives envisagées par les acteurs. Cependant, la loi n’oblige pas les commerçants à retenir ce dispositif.
Dans le cadre de sa mission d’accompagnement, la CNIL a échangé avec certaines associations professionnelles (commerçants, fournisseurs de solutions, services de paiement) et associations de consommateurs pour répondre au mieux aux besoins de clarifications exprimés par les professionnels et les particuliers. Cette concertation a permis à la CNIL de mieux appréhender les enjeux sociétaux, techniques et opérationnels liés à la fin de l’impression systématique du ticket de caisse.
Elle rappelle ici les obligations que doivent respecter les professionnels en matière de protection des données personnelles et présente les bonnes pratiques que ces travaux ont permis d’identifier.
Donner le choix aux personnes concernées
La remise ou non du ticket de caisse ainsi que ses modalités (impression papier, envoi dématérialisé) doivent découler d’un choix éclairé des clients.
Pour cela, le commerçant doit les informer des différentes options qui s’offrent à eux afin qu’ils puissent faire leur choix en fonction de leurs préférences et en tenant compte des enjeux écologiques et de protection de la vie privée :
- Le commerçant doit permettre aux personnes de ne pas obtenir de ticket (en caisse physique ou automatique). L’absence de ticket, lorsqu’elle ne porte pas préjudice aux droits du consommateur (par ex. : demander un remboursement), permet à la fois de répondre aux objectifs environnementaux de la loi et aux enjeux en matière de protection de la vie privée.
- Le commerçant doit permettre l’impression du ticket papier, comme le prévoit la loi. Cette option ne nécessite pas de collecte des données personnelles.
- Le commerçant peut proposer une solution permettant la réception du ticket, si celle-ci respecte notamment le principe de minimisation des données et de protection des données dès la conception et par défaut. Pour respecter l’objectif de la loi, la CNIL invite par ailleurs les commerçants qui souhaiteraient mettre en place cette solution à évaluer l’empreinte environnementale d’un tel choix avant de le proposer : les solutions numériques ne sont pas nécessairement les plus vertueuses en terme de protection de l’environnement.
Dématérialisation des tickets de caisse : des solutions qui doivent être encadrées
Contrairement aux autres options (ticket imprimé ou absence de ticket de caisse), la dématérialisation des tickets de caisse entraîne plusieurs conséquences techniques et juridiques en matière de protection des données, de sécurité et d’exercice de leurs droits par les clients.
Informer les personnes concernées
En principe, la délivrance d’un ticket de caisse dématérialisé entraîne un traitement de données personnelles du client, même s’il est limité dans certains cas. Les personnes ne doivent pas rencontrer de difficultés dans l’accès à l’information comme dans sa compréhension.
Elle doit :
- être bien distinguée des autres indications sans lien avec la protection des données (informations sur support distinct de celui expliquant que l’impression des tickets concernés ne sera réalisée que sur demande ou des autres affichages obligatoires applicables aux lieux acceuillant du public) ;
- être aussi succincte et claire que possible (vocabulaire simple, phrases courtes) ; et
- adaptée à l’environnement du commerce physique (privilégier les formats visuels et pédagogiques, sous forme d’infographie par exemple).
Un premier niveau d’information générale à la caisse
Pour informer ses clients, le commerçant peut donner un premier niveau d’information synthétique, au moment du passage en caisse, indiquant l’identité du responsable du traitement et les objectifs poursuivis par la collecte des données pour que les personnes comprennent l’utilisation qui pourrait en être faite (transmission du ticket de caisse, réutilisation des données à des fins de prospection commerciale). Si une utilisation à des fins de prospection commerciale est prévue, une information sur l’exercice des droits apparaît en outre nécessaire dès ce premier niveau. Ces informations peuvent être données :
- par un affichage en caisse « traditionnelle », avec un éventuel rappel à l’oral par le caissier ;
- directement sur l’interface d’une caisse automatique.
Une information complète
Le commerçant devra également prévoir un renvoi vers une information plus complète à laquelle le client pourra accéder. Cela peut, par exemple, prendre la forme d’un QR code à scanner, dédié à l’information.
Cela lui permettra d’accéder à la politique de confidentialité du commerçant comprenant une information détaillée sur la collecte et l’utilisation de ses données et sur la manière dont il peut exercer ses droits.
Privilégier les solutions qui limitent la communication de données personnelles
Si le commerçant décide de proposer l’envoi dématérialisé du ticket, les solutions à privilégier devront chercher à minimiser, autant que possible, la collecte de données personnelles, voire à l’éviter.
Les solutions à privilégier sont celles qui permettent aux personnes de récupérer leurs tickets de caisse sans transmettre leurs données de contact aux commerçants. C’est notamment le cas de la récupération du ticket de caisse par l’intermédiaire du scan d’un QR code qui ne requiert que la collecte des données nécessaires à l’établissement de la connexion (web ou locale), comme l’adresse IP de l’utilisateur.
Certaines de ces solutions, encore à l'étude, reposant sur un envoi « en local » peuvent permettre la transmission du ticket sans collecte de données personnelles. La CNIL encourage le développement de ces techniques et recommande le recours à ce fonctionnement.
Si la récupération du ticket de caisse doit se faire par le biais d’un serveur web, la CNIL recommande :
- de sécuriser le système, par exemple par un système de jeton d’accès (token) ou d’horloge limitant la durée pendant laquelle le ticket est disponible ;
- d’éviter l’utilisation de cookies ou d’autres traceurs sur le serveur web, qui pourraient permettre un suivi. Cela permettra également de ne pas faire apparaître de fenêtre pour recueillir le consentement des personnes, ce qui nuirait à la navigation et qui contribuerait à la fatigue du consentement des utilisateurs ;
- de privilégier le simple téléchargement du ticket de caisse et prévoir une durée de péremption du jeton d’accès.
Respecter la réglementation en cas de collecte de coordonnées
D’autres solutions reposent sur la collecte des coordonnées des personnes (numéro de téléphone ou courriel) pour leur permettre de recevoir leur ticket de caisse. Ces données sont collectées, par exemple, lors de la souscription à un programme fidélité ou lors du passage en caisse.
Si les commerçants décident de recourir à ces solutions, ils devront veiller à ce qu’elles répondent aux obligations en matière de protection des données personnelles et notamment :
- La minimisation des données collectées ;
- La limitation de la durée de conservation des données au strict nécessaire ;
- La sécurisation des données, notamment en limitant l’accès aux données.
Ces solutions doivent intégrer un dispositif permettant aux personnes, selon le cas, de consentir ou d’exercer leur droit d’opposition à la réutilisation de leurs données de contact, de la manière la plus fluide et transparente possible.
Les solutions qui impliquent la collecte de données de contact suscitent de vives inquiétudes quant à l’usage qui pourrait en être fait au-delà de l’envoi des tickets, par exemple, pour de la prospection commerciale. En effet, les personnes peuvent se trouver exposées à un risque de réception massive de sollicitations commerciales puisqu’elles fréquentent parfois un grand nombre d’enseignes.
Le choix d’une solution qui n’implique pas la communication de données de contact permettra de rassurer les personnes qui souhaiteraient uniquement obtenir leur ticket par voie dématérialisée.
Un traitement de données personnelles qui peut être fondé sur l’intérêt légitime
Lorsque les personnes demandent que l’envoi de leurs tickets se fasse par voie dématérialisée, leurs données (informations portées sur le ticket et/ou données de contact, selon le cas) peuvent être traitées sur la base légale de l’intérêt légitime.
Les personnes devront être informées du traitement de leurs données et mises en mesure de s’y opposer : en pratique, cette opposition consiste simplement à choisir l’absence de remise du ticket ou une impression papier.
Il est également possible pour le commerçant de fonder le traitement sur le consentement des personnes. Le commerçant devra, dans ce cas, être en mesure de rapporter la preuve que la personne a valablement consenti au traitement de ses données, de manière libre, spécifique, éclairée et univoque.
Pour plus d’informations, voir la rubrique « Comment choisir la base légale d’un traitement ? ».
Respecter les règles pour la réutilisation des données à des fins de prospection commerciale
Pour la prospection par le commerçant lui-même
La publicité par voie électronique (courriels, SMS, MMS, fax, etc.) est possible à condition que les personnes aient explicitement donné leur consentement avant d’être démarchées (article L.34-5 du code des postes et des communications électroniques ou CPCE).
Toutefois, si la personne prospectée est déjà cliente et si la prospection concerne des produits ou services similaires fournis par la même entreprise, le consentement préalable n'est pas requis. Dans ce cas, la CNIL estime que l’intérêt légitime peut constituer une base légale valide.
Les personnes doivent être informées et mises en mesure de s’opposer à cette utilisation de manière simple et gratuite lorsque les données sont collectées et à tout moment notamment lors de chaque envoi d’un courrier électronique de prospection.
Pour la prospection téléphonique (hors automate d’appel), le traitement peut être mis en œuvre sur la base légale de l’intérêt légitime. La personne devra également alors en être informée et en mesure de s’y opposer, à tout moment.
Pour la prospection par des partenaires commerciaux du commerçant
Lorsque le commerçant envisage de transmettre les données de contact à des partenaires commerciaux pour de la prospection commerciale par voie électronique, le consentement des personnes concernées est nécessaire. Les enseignes qui souhaitent recueillir le consentement pour le compte de leurs partenaires commerciaux devront informer le client, au moment de la collecte, de l’identité des partenaires qui se reposeront sur le consentement donné.
Pour plus d’informations sur les règles à suivre, voir la rubrique « La prospection commerciale ».
Les textes de référence
- Loi n° 2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l'économie circulaire - Légifrance
- Décret n° 2022-1565 du 14 décembre 2022 relatif aux conditions et modalités d'application du IV de l'article L. 541-15-10 du code de l'environnement - Légifrance
- Code de l'environnement : Article L541-15-10 - Légifrance
- Article 34-5 du CPCE (consentement préalable pour de la prospection par voie électronique, notamment) - Légifrance
- Article 13 du RGPD (Informations à donner en cas de collecte de données personnelles)
- Article 21 du RGPD (droit d’opposition)