Collecte de données personnelles et envoi du ticket de caisse : règles et bonnes pratiques
Depuis le 1er août 2023, l’impression systématique des tickets de caisse est interdite par la loi sur la lutte contre le gaspillage et l’économie circulaire. Néanmoins, les consommateurs ont toujours la possibilité d’obtenir un ticket sur demande, et certains commerçants proposent des formats papier ou dématérialisés. Les données collectées varient selon le choix effectué, et les consommateurs doivent en être conscients lors de leur décision.
Une collecte dépendant du choix effectué
Si la délivrance d’un ticket papier ne nécessite pas la collecte de données relatives au consommateur, transmettre un ticket par voie électronique (SMS, courriel, etc.) peut comporter des risques car cela implique le recueil et l’utilisation de données personnelles.
Ticket de caisse : Quelles règles à respecter
Dans le cas où le commerçant souhaite proposer le format numérique pour l’envoi des tickets, la Commission Nationale de l’Informatique et des Libertés recommande de recourir à des solutions permettant d’obtenir le ticket de caisse via un QR code. Cela permet de limiter les données personnelles collectées à des données techniques nécessaires pour la connexion entre les terminaux, et n’implique pas la collecte de données de contact.
Dans le cas où d’autres méthodes sont proposées telles que l’envoi par SMS ou par courriel, des données sont collectées relatives à la personne physique pour permettre la transmission du ticket de caisse, et ces données peuvent être réutilisées à des fins de prospection commerciale. Dans ce cas, il est important de respecter l’ensemble des principes et obligations du Règlement Général sur la Protection des Données, notamment en obtenant le consentement préalable de la personne lorsque la prospection concerne des produits ou services différents de ceux déjà achetés, et en lui offrant la possibilité de s’opposer à chaque envoi et à chaque sollicitation téléphonique.
Il est également important de noter que si les données doivent être transmises à un partenaire commercial à des fins de prospection commerciale, l’accord de la personne doit être collecté au préalable, et que des mesures de sécurité adéquates soient mises en place, afin d’assurer la bonne protection des données à caractère personnel.
En outre, le commerçant ne peut pas rendre obligatoire la création d’un compte fidélité pour obtenir le ticket de caisse. La CNIL considère que cette solution peut entraîner la collecte de données personnelles non nécessaires pour la délivrance du ticket, et ne devrait donc pas être imposée aux consommateurs.
Dans tous les cas et quelle que soit la méthode choisie, le commerçant est tenu d’informer les personnes sur le traitement de leurs données, et sur les droits dont elles disposent pour contrôler leur utilisation.
