La fin de l’impression systématique du ticket de caisse s'applique en France depuis le 1er août 2023. 

​

Ce changement s’inscrit dans le cadre de la lutte contre le gaspillage et les substances dangereuses pour la santé. Le consommateur a néanmoins la possibilité de demander l'impression du ticket de caisse ou de le recevoir sous format dématérialisé.

​

Cette dématérialisation peut impliquer le traitement de données à caractère personnel. À ce titre, le Règlement général sur la protection des données (ci-après le RGPD)impose des obligations aux commerçants et attribue des droits aux consommateurs.

​

La fin de l’impression systématique du ticket de caisse

​

En application de la loi n°2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l’économie circulaire (ci-après la « loi AGEC »), les tickets de caisse ne doivent plus être automatiquement imprimés par le commerçant depuis le 1er août 2023. 

Toutefois, cette interdiction n’est pas absolue. La loi permet au consommateur d’obtenir une impression papier de son ticket de caisse à condition d’en faire la demande. Une autre solution consiste pour le commerçant à envoyer le ticket de caisse de manière dématérialisée mais cette option ne peut pas être systématique et inévitable pour le client. 

​

Le recours à cette dernière solution entraine un traitement de données personnelles voire de la prospection commerciale. Àce titre, le RGPD impose des obligations aux commerçants dont notamment celle de respecter les droits des consommateurs. 

​

Ticket de caisse électronique : Comment respecter le RGPD ?

​

Lorsque le commerçant le propose, le client peut choisir de récupérer son ticket de caisse par voie dématérialisée sous la forme : d’une page web, d’un SMS, d’un mail etc. Cette solution repose sur la collecte des données (numéro de téléphone, mail etc.) du client, même s’il est limité dans certains cas. Dès lors, le commerçant doit respecter les principes fondamentaux de traitement de données à caractère personnel prévus par le RGPD sous peine de sanctionspouvant être prononcées par la Commission nationale de l’informatique et des libertés (ci-après la « Cnil »). 

​

Par ailleurs, le commerçant peut recourir à des solutions qui limitent au maximum voire évitent la collecte des données à caractère personnel du client. C’est, par exemple, le fait pour le client de récupérer son ticket de caisse par l’intermédiaire d’un QR code qui ne requiert que la collecte des données nécessaires à l’établissement de la connexion, comme l’adresse IP de l’utilisateur. 

​

Les règles à respecter par les commerçants en cas de collecte de données

​

Le RGPD établit des principes fondamentaux de traitement de données à caractère personnel que tout responsable du traitement doit respecter. 

Ces principes s’imposent au commerçant dans la mesure où celui-ci est amené à traiter des données à caractère personnel dans le cadre de l’envoi des tickets de caisse. Ces principes sont notamment les suivants : 

- le devoir pour le commerçant de fournir au client une information concise, transparente, compréhensible et aisément accessible sur le traitement de ses données ;

- pour qu’il soit licite, le traitement doit avoir un fondement juridique. Selon la Cnil, lorsque le client demande l’envoi de son ticket de caisse par voie dématérialisée, ses données peuvent être traitées sur la base de l’intérêt légitime. Le commerçant a également la possibilité de fonder le traitement sur le consentement des personnes. Il devra alors être en mesure de rapporter la preuve que la personne a valablement consenti au traitement de ses données, de manière libre, spécifique, éclairée et unique ;  

- le commerçant doit limiter la collecte des données à ce qui est nécessaire au regard des finalités poursuivies. Il n’a besoin que des données de contact (numéro de téléphone, adresse mail) du client afin de pouvoir lui envoyer le ticket de caisse ;

- le commerçant conserve les données pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Une fois le ticket envoyé, il n’a plus aucun motif légitime de conserver les données collectées sauf si celles-ci ont été collectées dans le cadre de la souscription à un programme de fidélité. De ce fait, les données pourront être réutilisées lors du prochain passage en caisse du client. Mais, l’envoi du ticket de caisse électronique ne peut être assujetti à la souscription obligatoire à un programme de fidélité ;

- le commerçant doit garantir la sécurité des donnéesnotamment en s’assurant que les applications utilisées sont conformes au RGPD et en limitant l’accès aux données.

​

Les droits du client

​

La collecte des données du client pour lui envoyer son ticket de caisse peut conduire le commerçant ou un de ses partenaires à les réutiliser à d’autres fins telle que la prospection commerciale. 

​

Dans ce cas, le commerçant devra respecter les droits du client et notamment : 

- obtenir l’accord préalable du client avant toute sollicitation par voie électronique (opt-in). Conformément au RGPD, ce consentement doit être libre, éclairé, spécifique et univoque. Cependant, lorsque la prospection porte sur des produits ou services similaires à ceux que le client a achetés précédemment, le commerçant peut adresser des messages de prospection commerciale sans que le client n’ait donné son accord préalable. Il doit toutefois avoir informé le client et donné la possibilité de s’y opposer lors de la collecte de ses données et à chaque envoi du message commercial (opt-out) ;   

- la possibilité pour le client de s’opposer à tout moment

Outre les droits spécifiques à la prospection commerciale, le client dispose : 

- du droit à l’information ;

- du droit d’exercer notamment son droit d’accès et de suppression de ses données ; 

- du droit de limitation du traitement de ses données (ex. : utiliser uniquement les données pour l’envoi du ticket de caisse et non pour la prospection commerciale). 

​

Lorsque, après avoir exercé ses droits auprès du commerçant, le client n’a pas obtenu de réponse dans le délai légal d’un mois ou a obtenu une réponse insatisfaisante, il peut adresser une plainte à la Cnil.  

​