Le décret d’application, composé de 3 articles, vient d’être publié: la source est ici. Trois informations essentielles en découlent. C’est l’objet de cet article.

Entrée en vigueur

C’est le point sur lequel tout le monde attendait l’exécutif. La loi parlait d’une entrée en vigueur au 1er janvier 2023. Le décret d’application (article 2) repousse cette échéance de 3 mois, au 1er avril 2023. Ce n’est pas une blague .

Quelles sont les exceptions?

Quelques exceptions semblaient évidentes aux yeux des hommes de métier sur le sujet. Une exception en revanche a surpris tous ceux qui n’avaient pas eu accès au projet de décret.

Les tickets de caisse qui sortent du cadre de la loi 

Les exceptions attendues concernent:

• • les tickets sous garantie: il faut que l’existence et la durée de garantie soient mentionnées sur le ticket ( ticket de caisse dématérialisé excellent dans ce cas de figure),
  • les tickets de caisse faisant l’objet d’une pesée: on reste dans le cadre du décret sur les pesées, donc cela concerne les commerçants qui effectuent la pesée en caisse ( ticket de caisse dématérialisé excellent dans ce cas de figure),
  • les tickets de caisse relatifs aux transactions avortées, annulées etc…,
  • et “Les tickets remis par des automates dont la conservation et la présentation sont nécessaires pour bénéficier d’un produit ou d’un service et permettre, le cas échéant, le calcul du montant dû en contrepartie.” : cet article inclut les tickets de sortie des caisses libre-service permettant d’ouvrir un portique. 

Une exception étonnante

Art. D. 541-370. – L’impression et la distribution systématiques des tickets et bons d’achat, mentionnées aux 1° à 4° du IV de l’article L. 541-15-10, s’entendent de leur impression et de leur remise à chaque client pour toute transaction, quels que soient le montant et la nature de celle-ci.

Concrètement cela exonère de la non-impression des coupons de réduction lorsque ceux-ci ne sont pas distribués à chaque transaction. Ce qui est le cas, rappelons-le, de la plupart des coupons.

Dans la grande distribution par exemple, la plupart des coupons sont imprimés pour des clients encartés. Comme il y a aussi des clients non encartés, les coupons ne sont pas “imprimés systématiquement”. Ils pourront donc continuer à être imprimés. Et ça, nous sommes convaincus que beaucoup ne l’avaient pas vu venir .

Comment les clients doivent-ils être informés?

Le décret impose ce que tout bon commerçant aurait fait de toute façon, à savoir positionner une affichette sous les yeux de ses clients pour les prévenir que c’est à eux de demander le ticket:

Art. D. 541-372. – Dans les surfaces de vente et les établissements recevant du public, le consommateur est informé, à l’endroit où s’effectue le paiement, par voie d’affichage et de manière lisible et compréhensible, que, sauf exception légale, l’impression et la remise des tickets de caisse et de carte bancaire ne sont réalisées qu’à sa demande.

Nous pensons que dans les faits, les agents de caisse continueront à demander aux clients s’ils souhaitent obtenir un ticket papier.

Ticket de caisse dématérialisé

Le ticket de caisse électronique n’apparaît pas plus dans le décret que dans la loi. Rappelons, à toutes fins utiles, que la loi vise à ne plus imprimer du papier thermique, sans aucune référence ou obligation vis-à-vis du ticket de caisse digital.

La digitalisation du ticket de caisse permet néanmoins de lever un bon nombre de tracasseries engendrées par la loi, et toutes les équipes de Limpidius seront ravies de vous aider à le faire! Contactez-nous ici. 

Nous avons ajouté que cette pratique tend à disparaître. Mais pourquoi arrive-t-il que certains retailers puissent encore y avoir recours? Sur quelle base juridique se fondent-ils?

Tout part d’un article bien connu et souvent cité, le fameux article L34-5 du “Code des postes et des communications électroniques”, qui, de notre avis, a conduit à des interprétations erronées.

Genèse du problème

Tout le monde le sait maintenant: envoyer un email à un client n’est autorisé que dans le cadre d’une finalité claire (“recevoir nos promotions” par exemple) pour laquelle le client aura donné son consentement en amont.

Tout se complique lorsque l’on découvre qu’il existe deux exceptions au recueil préalable de consentement. Passons sur la première qui ne concerne pas notre propos. La seconde en revanche est familière à bon nombre de juristes que nous avons rencontrés: la fameuse exception dite “des produits et services analogues” de l’article L34-5. 

Cette exception est possible à… 5 conditions:

l’email est recueilli directement auprès de la personne concernée

collecte de l’email respectant le RGPD (voir notre article sur le sujet)

l’email est recueilli à l’occasion d’une vente ou d’une prestation

la communication par email devra concerner des offres ou des produits similaires

le client doit pouvoir s’opposer à l’utilisation de son email lorsque celui-ci est recueilli, ou plus tard, utilisé.

Le sujet de la controverse: là où nous mettons une “croix rouge”, d’autres y voient un “check vert”. 

Expliquons maintenant notre point de vue.

Particularité du ticket de caisse dématérialisé par email

Lorsqu’un client donne expressément son adresse électronique à l’agent de caisse pour recevoir son ticket de caisse dématérialisé, il consent implicitement à une finalité claire.

La finalité implique un traitement simple:

• collecter l’email
• le stocker le temps de l’opération de création du ticket de caisse digital et d’envoi par email
• s’assurer que l’email a bien été reçu
• supprimer l’email

 Rien dans cette finalité ne justifie de “stocker” l’email: il doit donc être supprimé.

Voici ce à quoi le client a consenti (si l’agent de caisse n’en a pas profité pour lui demander son consentement à d’autres finalités, mais là on retombe sur un schéma tout à fait classique).

CQFD

Utiliser l’email du client qui a consenti à recevoir son ticket de caisse dématérialisé par email, pour lui envoyer des offres de “produits ou services analogues” ne respecte donc pas l’exception du même nom. 

Le trou dans la raquette, c’est bel et bien la collecte de l’email, qu’il n’est pas légal de mettre en base sans finalité consentie qui pourrait le justifier. En l’absence d’email stocké en base, tout le récit autour de l’exception des “produits et services analogues” s’effondre complètement.

D’aucuns avancent que la CNIL, à la page 62 de son livre blanc sur le paiement sorti en octobre 2021, aurait de toute façon pleinement statué sur le sujet:

À titre d’exemple, une adresse électronique recueillie à des fins d’envoi d’un ticket de caisse ou de paiement dématérialisé ne saurait être utilisée à des fins de prospection commerciale

Mais il faut lire la suite de la phrase:

sans respecter les principes en la matière (à savoir le recueil du consentement de la personne concernée, ou l’information et la possibilité de s’opposer préalablement au moment de la collecte s’agissant de prospection concernant des produits ou services analogues à ceux déjà fournis par l’entreprise), la finalité de prospection commerciale et la finalité d’envoi des tickets de manière dématérialisée étant deux finalités bien distinctes.

qui remet en jeu tout le doute instillé par la clause « produits et services analogues ». A date, nous n’avons pas trouvé de clarification sur la façon dont le ticket de caisse dématérialisé pourrait être soluble dans cette exception. Notre interprétation est… qu’elle ne l’est pas.

Des contournements de sioux?

Le code des postes et des communications électroniques pourrait toutefois s’appliquer si par exemple le client consentait à “recevoir systématiquement son ticket de caisse dématérialisé par email”. Dans ce cas, l’adresse électronique du client aura bien été collectée dans le cadre d’une vente, et aura bien vocation à être mise en base (la finalité implique que le client ne re-saisisse pas son email à chaque passage en caisse).

Mais:

• une telle finalité ne marche que pour des clients identifiés en caisse
• il faudrait de toute façon proposer au client de s’opposer au traitement “produits ou services analogues”, ce qui reviendrait, dans les faits, à lui demander son consentement en caisse
• Bref, les méthodes de contournement sont beaucoup plus compliquées que de demander simplement son consentement au client, et (de notre point de vue) plus éthiques.

À Limpidius, nous vous accompagnons dans la gestion des consentements à tous les niveaux: à travers notre module caisse EdgarPOS, sur notre verticale client Homer le Customer mais aussi sur nos différentes applications.

Si la plupart des clients semblent apprécier le ticket de caisse dématérialisé, certains s’inquiètent de ne plus pouvoir vérifier leurs achats suite à l’encaissement, ou de l’utilisation de leur e-mail.

Ticket de caisse dématérialisé : les chiffres

À Limpidius, nous traitons des milliards de transactions, nous sommes positionnés sur de nombreuses activités (alimentaire, bricolage, sport, beauté, textile…), et nous couvrons tout type de format (boutiques, proxi, super, hyper…). Il nous suffit de regarder nos statistiques pour mesurer l’appétence des clients au ticket de caisse digital.

Dans l’alimentaire, secteur qui génère le plus de tickets de caisse, en moyenne un client sur deux n’imprime plus son ticket de caisse une fois Limpidius déployé.

Dans les autres activités, cela dépend de nombreux facteurs : montant des paniers, récurrence d’achat, présence d’articles sous garantie; typologie de la clientèle… Par exemple, les enseignes de prêt-à-porter dédiées aux enfants s’adressent à une clientèle de parents dont la moyenne d’âge est entre 25 et 35 ans : 80% dématérialisent leurs tickets de caisse!

Plus intéressant encore, nous avons observé une progression de ce taux depuis nos débuts avec les grandes enseignes, où le taux de dématérialisation était seulement de 30% à l’époque. Nous considérons être à l’origine de ce progrès, grâce aux procédés toujours plus fluides que nous avons mis en place et surtout en “craquant” (jargon startup, désolé pour les non habitués) tous les problèmes qui empêchaient alors les grandes et moyennes surfaces de proposer notre service. Mais il faut aussi humblement reconnaître que le législateur a fait sa part en votant la loi AGEC.

À la louche, nous avons donc une moitié de consommateurs français qui cesse d’imprimer ses tickets de caisse, soit en optant pour le ticket de caisse dématérialisé, soit en se passant complètement de ticket.

Réticence #1 : “on me force à…”

Nous tenons là un verbatim assez classique chez tous ceux qui ne souhaitent pas dématérialiser leurs tickets de caisse.

Pour que les choses soient claires, la loi AGEC n’impose pas que le client reparte sans ticket, ni qu’il reçoive un ticket digital. La loi AGEC dit simplement que, à partir du 1er janvier 2023, si le client souhaite un ticket de caisse papier, il le demande… En un coup de cuillère à pot, cette loi va éviter l’usage de millions de tonnes de papier. Donc oui, nous sommes pour, et nous pensons que le client peut souffrir de demander son ticket papier s’il le souhaite.

Il existe aussi une mini-polémique sur le sujet de l’affichage. Pourquoi n’est-il pas exigé dans la loi que les enseignes préviennent les clients de la nouveauté, moyennant une petite affiche? Il faut aimer les polémiques mais dans les grandes lignes, les réponses entendues sont du type : “nul n’est censé ignorer la loi” ou encore : “ les enseignes vont le faire toutes seules comme des grandes”. À Limpidius nous pensons qu’une petite affichette ne fera pas de mal, même si ce n’est pas écrit noir sur blanc dans la loi.

Réticence #2 : “je ne veux pas donner mon e-mail”

Étant craintifs à l’idée de céder nos données personnelles, nous comprenons bien plus cette préoccupation que la première, qui nous semblait plus relever de la responsabilité individuelle.

Toutefois cette question doit être mise en perspective. 

Le ticket de caisse dématérialisé n’implique pas forcément un e-mail

Le ticket de caisse digital n’est pas forcément envoyé par e-mail. Il peut être simplement déposé sur un compte client, dans une application, dans un wallet etc… Les possibilités sont nombreuses.

Il existe par exemple beaucoup de clients qui choisissent de ne pas imprimer leurs tickets de caisse, simplement parce qu’ils ont l’assurance de le retrouver sur leur compte client en cas de besoin.

Les e-mails sont déjà connus dans la grande majorité des cas

Dans la grande distribution, les clients fidélisés sont très nombreux. La carte de fidélité est souvent déjà associée à une adresse électronique. En conséquence, la plupart des clients n’a pas à saisir d’e-mail puisqu’il est déjà connu dans la base de l’enseigne.

Dans les faits, la très grande majorité des clients qui reçoivent un ticket de caisse dématérialisé par e-mail n’a pas eu à saisir d’adresse électronique en caisse.

le RGPD est “censé” protéger les données

Les sujets de données personnelles sont donc restreints aux clients dont l’adresse électronique n’est pas encore connue en base chez le retailer.

Si un client communique à une enseigne son adresse électronique dans la finalité de recevoir son ticket de caisse digital par e-mail, l’enseigne doit impérativement recueillir son consentement pour exploiter cette même adresse dans le cadre d’une autre finalité. 

Au passage, la finalité « envoyer un ticket de caisse par e-mail » n’implique pas de stocker l’e-mail. Une enseigne ne doit donc pas mettre en base l’e-mail d’un client qui a uniquement demandé à recevoir un ticket de caisse dématérialisé.

Certains clients se plaignent d’avoir été tout de même contactés par une enseigne après avoir simplement demandé un ticket de caisse dématérialisé. Sans autre consentement.

Il y a certainement encore des cas de ce genre, toutefois il nous semble heureusement que les enseignes sont de plus en plus nombreuses à respecter strictement le RGPD (voir ici notre article sur le sujet. 

Les e-mails, “ça pollue”

Le débat autour du e-ticket porte enfin sur les bienfaits environnementaux du ticket de caisse dématérialisé. Certains affirment même que les e-tickets rejettent plus de CO2 que les tickets papier.

Nous sommes là sur un débat qui n’est hélas pas documenté : aucune étude à notre connaissance n’a, à ce stade visé, spécifiquement le ticket de caisse dématérialisé par e-mail. Les études souvent évoquées qui incriminent les e-mails datent en général du tout début des années 2010 (depuis le cloud est venu mutualiser un tas de ressources) et prennent comme hypothèse des e-mails de type « Newsletter » d’un poids de 1Mo (un e-ticket “pèse” 10 fois moins). L’étude la plus citée est celle de l’ADEME : à la page 10, les hypothèses sont très loin du e-ticket de caisse.

L’autre volet environnemental concerne l’activité fort polluante (essentiellement en Chine) que constitue la fabrication du papier thermique à l’origine des tickets de caisse. Ce point à lui seul est suffisant pour se convaincre d’éradiquer les tickets papier, et fait consensus auprès des écologistes.

À Limpidius, nous n’avons pas comme cible d’envoyer des e-mails, mais de digitaliser le ticket de caisse pour le déposer sur un compte client. Pour le coup, un tel dispositif présente une empreinte environnementale très faible. Et comme il est possible de le monitorer avec précision, les résultats peuvent cette fois être documentés.

En revanche, il faut garder en tête que, pour des raisons légales, les tickets de caisse sont de toute façon digitalisés par les enseignes. Supprimer les supports papier ET les supports électroniques, pour une empreinte nulle, n’est donc pas envisageable. À Limpidius, nous pensons qu’à partir du moment où l’enseigne garde une copie numérique de ses tickets de caisse, il n’y a pas de raison que ses clients n’en profitent pas également.

Pour plus de légèreté, vous trouverez le point de vue de ChatGPT sur le sujet dans cet article. Dans un prochain article, nous vous donnerons plus de détails sur les clients qui choisissent de ne pas imprimer leurs tickets de caisse, ainsi que les contextes dans lesquels ils font ces choix.

Mise à jour: 15/12/2022  le décret d’application de la loi AGEC sur les tickets de caisse vient de paraître. Nous le décortiquons ici.

Les enseignes de retail sont déjà habituées à pratiquer le RGPD dans le cadre de leurs pratiques CRM. Il s’est ainsi créé une sorte de “zone de confort RGPD” dans laquelle nos interlocuteurs (encaissement, CRM, expérience client…) évoluent avec aise. Hélas, le cadre RGPD du e-ticket de caisse oblige à sortir du périmètre de confort pour aller au-delà des schémas classiques.

Comme toujours à Limpidius, nous allons tenter de lier la théorie à la pratique sur les cas très concrets qui sont les nôtres, et peut-être aussi déjà les vôtres.

Dans ce premier article, nous nous intéresserons au cas où le RGPD est appliqué à un client:

• qui passe en caisse chez vous
• que vous identifiez
• et dont l’email est déjà en base dans votre enseigne.

Pourquoi commençons-nous ainsi? Parce que c’est le cas le plus fréquent…!

Trois typologies de clients

Beaucoup d’enseignes nous contactent car elles souhaitent utiliser le ticket de caisse numérique pour collecter des emails « contactables ». Souvent, nos interlocuteurs ont en tête ce scénario parfait:

un client passe en caisse, il est totalement inconnu de l’enseigne (pas de carte de fidélité, pas de compte client, pas de commande etc…) et il est super sympa (il dit oui au e-ticket, et consent à tout ce que vous proposez de lui envoyer).

Dans les faits, cette belle histoire n’arrive pas si souvent. En effet, lorsque l’on pense « ticket de caisse numérique », l’usage est de diviser la clientèle d’un magasin en 3 types:

US1: les clients identifiés dont la fiche client est associée à un email

US2: les clients identifiés dont la fiche client ne contient pas d’email

US3: les clients non-identifiés

Le plus souvent, les clients sont identifiés si dans leur parcours client en magasin, ils présentent une carte de fidélité, déclinent leur identité, ou transmettent une donnée personnelle (leur email ou leur n° de téléphone par exemple) pour qu’on les retrouve dans un fichier client, ou encore s’ils viennent retirer une commande en ligne. On parle de client identifié lorsque la transaction est rattachée au client.

Si le magasin propose d’envoyer le ticket de caisse dématérialisé par email à ses clients:

• pour les clients US1, il n’est pas nécessaire de saisir leur email en caisse puisqu’il est déjà en base
• pour les clients US2 et US3 en revanche, il est nécessaire de saisir leur email
• au passage, les clients US1 peuvent aussi modifier leur email si besoin (on parle alors de client US1’)

Les clients US1 sont les plus appétents au ticket de caisse numérique. Ils sont statistiquement les plus nombreux à le demander, pour trois raisons:

• simplicité: pas de saisie de l’email (puisqu’il est déjà connu)
• cohérence: l’enseigne possède déjà leur email par conséquent ils ne se soucient plus à ce stade de savoir comment il va être utilisé puisqu’ils y avaient déjà réfléchi au moment où ils avaient cédé leur email initialement
• préférence: ils ont cédé leur email parce qu’ils ont une préférence pour l’enseigne. La fréquence de leurs achats est plus importante et rend le e-ticket plus pertinent.

RGPD appliqué à l’US1

Permis de shooter

Les clients US1 ont déjà cédé leur email à un moment donné de leurs parcours clients en magasin. Plaçons nous dans un cadre où votre enseigne évolue dans une parfaite légalité vis-à-vis du RGPD avant d’envisager d’offrir le e-ticket de caisse à vos clients, mais n’a pas recueilli de consentement spécifique au e-ticket de caisse par email.

La question la plus fréquente à ce stade est la suivante:

Doit-on demander au client US1 son consentement avant de lui envoyer un e-ticket de caisse par email?

La réponse est simple: non, il est possible d’envoyer un e-ticket de caisse au client sans lui demander son consentement, pourvu que la finalité de l’email reçu ne soit que de transmettre le e-ticket de caisse par email.

⇒ Exit, donc, le superbe template avec les promotions du moment, où le e-ticket de caisse en PJ semble presque anecdotique.

⇒ Et avec une grosse subtilité toutefois… vous devez pouvoir lui imprimer son ticket de caisse s’il le demande!

Imprimer sur demande

pourquoi suis-je obligé d’imprimer le ticket de caisse à un client qui me le demande si je lui ai déjà envoyé par email?

La première réponse qui nous vient est plus « métier » que juridique: il serait dommage de braquer un client pour si peu.

Maintenant, pour les ultra, il y a aussi un argument légal que tous ceux qui ont lu notre série “ticket de caisse et loi anti-gaspi” connaissent: le commerçant est tenu de délivrer un ticket de caisse au client si celui-ci le lui demande. Quand bien même il l’aurait déjà reçu par email? Oui, car il est tout à fait en droit de vous opposer des arguments parfaitement recevables, comme par exemple:

• “l’email que vous avez utilisé n’est pas le bon”
• “je n’ai plus accès à ma boîte email”
• “j’ai résilié ma boîte mail”
• …

Base légale du traitement

Comment se fait-il que je puisse shooter mes clients avec un e-ticket de caisse sans leur demander leur consentement?

Envoyer un e-ticket de caisse par email revient à traiter une donnée personnelle: l’email du client. Ce traitement doit être fondé sur l’une des 6 bases légales offertes par le RGPD (voir l’article 6: licéité du traitement également adapté ici dans le droit français):

• le Consentement
• l’Exécution d’un Contrat
• l’Intérêt Légitime
• l’Obligation Légale
• la Mission d’Intérêt général
• la Sauvegarde des Intérêts Vitaux

Le Consentement, c’est la star de la base légale, celle dont tout le monde parle! Dans notre raisonnement, nous affirmons qu’il n’est pas nécessaire d’y recourir dans le cas de l’US1. Il nous en reste donc 5 à examiner…

Le plus souvent, les deux dernières bases légales ne sont pas invoquées. Et par ailleurs, le e-ticket de caisse n’entre dans aucune obligation légale (voir nos articles sur les obligations concernant la remise d’un ticket de caisse ici et là). Il reste donc deux bases légale à examiner: l’Exécution d’un contrat et l’Intérêt Légitime.

Exécution d’un Contrat?

Le recours à cette base légale suppose que le traitement soit « objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées ».

Cette base légale marche donc bien pour le e-commerce. Sans le e-ticket de caisse, ou la e-facture, il est impossible de documenter la transaction. Les e-commerçant ne demandent jamais l’autorisation du client pour lui transmettre sa facture par email.

En revanche, la question est moins évidente dans le cadre du commerce physique. “Objectivement”, le e-ticket de caisse n’est pas nécessaire s’il y a présence d’une imprimante de ticket de caisse. Ce raisonnement se renversera sur lui-même en 2023 lorsque les tickets de caisse ne devront plus être imprimés par défaut (voir nos articles sur le sujet), mais pour le moment cela ressemble plus à un passage en force qu’à une revendication naturelle.

Intérêt Légitime?

C’est le traitement qui laisse le plus de marge à celui qui le choisit.

Pour recourir à l’Intérêt Légitime:

• il faut d’abord d’abord avoir un objectif… légitime (“l’intérêt poursuivi par l’organisme doit être « légitime »« ): avec le e-ticket de caisse il y a l’embarras du choix. Quelques exemples:
  • • sécurisation: faire en sorte que vos clients ne perdent plus leur ticket ⇒ votre intérêt légitime étant qu’un ticket de caisse perdu engendre des soucis de SAV par exemple
    • omni-canal: besoin d’harmonisation des canaux de distribution des preuves d’achat ⇒ votre intérêt légitime étant de simplifier votre IT, de lutter contres les pure players…
    • fluidification de l’encaissement: cela va quand même beaucoup plus vite lorsque le ticket de caisse part automatiquement par email
• Ensuite, pour poursuivre cet objectif, il ne faut pas avoir d’autre choix que d’utiliser l’email du client (“l’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »”)
  • • la seule objection que nous avons en tête concerne les autres moyens de transmettre le e-ticket de caisse: le mettre à disposition sur le compte client, le transmettre par SMS ou encore le shooter sur une appli avec une notification push
    • cette objection est pour le moment levée par des réponses assez simples: les alternatives sont parfois plus intrusives (SMS, appli smartphone) et les clients ont besoin de consulter leur ticket de caisse au sortir des caisse (exit le compte client trop compliqué)
• il ne faut pas être trop intrusif (“le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables”) ⇒ envoyer un e-ticket de caisse au client semble parfaitement défendable dans ce cas précis.

Bonnes pratiques

Les enseignes qui peuvent se permettre d’échanger avec le client en caisse (typiquement les boutiques de mode) lui demandent en général systématiquement s’il souhaite recevoir son ticket de caisse par email. Il s’agit là moins d’un point légale que d’une volonté affichée de courtoisie vis-à-vis du client. Mais, comme nous le verrons dans les articles suivants de cette série, la collecte d’un consentement par l’agent de caisse à l’oral, ne vaut finalement pas grand chose.

Mais cette pratique n’est plus possible pour les enseignes qui souffrent de congestion en caisse. Dans leur cas, la moindre question posée par l’agent de caisse engendre des fractions de secondes d’encaissement qui ne sont pas tolérables.

L’autre bonne pratique consiste alors à intégrer dans les CGU de vos comptes clients le fait qu’un des usages possibles des emails de vos clients sera de pouvoir leur envoyer automatiquement leur e-ticket de caisse et de leur laisser la possibilité de se rétracter dans l’email. Comme vu précédemment, cela sera justifié par la base légale “intérêt légitime”, de la même manière qu’au chapitre « traitement des données » de grandes enseignes de retail, nous avons maintenant souvent ces mentions:

« Super Enseigne » se repose sur la base légale « Intérêt légitime  » pour :

– La segmentation

– L’envoi d’enquête de satisfaction sur les processus de vente, la qualité des services et des produits

– L’analyse et l’amélioration du parcours sur notre site

Parmi les traitements soumis à la base légale « Intérêt Légitime », il s’agirait simplement d’ajouter:

– L’envoi des tickets de caisse dématérialisés

Conclusion

Il est possible que dans un futur proche, le e-ticket devienne une norme et que cet article, lui, devienne, vintage. Ou pour le dire en langage RGPD, que les intérêts des clients soient de moins en moins « heurtés » par le e-ticket et que celui-ci soit de plus en plus dans leurs « attentes raisonnables ».

En effet, Limpidius démocratise le e-ticket de caisse, l’ouvre à des retailers populaires, et le sort des boutiques de mode pour l’étendre à d’autres secteurs ainsi qu’aux formats super et hyper. Nos efforts permettent à chacun de s’approprier le ticket de caisse numérique, quelle que soit sa catégorie socioprofessionnelle, pour retrouver ses achats facilement et en finir avec le papier thermique. Nous pensons qu’à terme, quel que soit son format, le ticket de caisse numérique sera juste banal.

Ensuite, nous avons bien entendu mis au point des dispositifs permettant aux clients de consentir à recevoir “systématiquement” et sans question, leurs e-tickets de caisse. Cela permet de basculer sur une base légale « Consentement », connue et appréciée de tous.

Mais tout cela ne sera possible que si le RGPD est scrupuleusement respecté. La crainte principale des clients lorsque leur email est utilisé pour envoyer les e-tickets de caisse, c’est d’être bombardé par la suite de promotions. Comme nous le verrons dans les articles suivants, la base légale pour les pubs, c’est le consentement: pas de consentement = pas de pub. Il est impératif d’éviter les entourloupes.

Avant d’aborder l’application de la base légale « consentement » au e-ticket de caisse, il est nécessaire de faire un point sur la notion de « collecte du consentement ». Et comme nous parlons retail, le prochain article traitera du cadre légal dans lequel un consentement doit être recueilli en caisse.

La réponse s’appuyait en partie sur l’une des 6 bases légales du RGPD, l’Intérêt Légitime de l’enseigne.

Que se passe-t-il maintenant avec tous les autres clients, ceux pour lesquels il est nécessaire de saisir un email pour qu’ils puissent recevoir leurs e-tickets? Cet article met la lumière sur l’autre base légale à laquelle le ticket de caisse digital peut recourir: le Consentement.

I. Quand faut-il saisir un email en caisse?

Pour envoyer un ticket de caisse digital à un client par email, les trois cas dans lesquels il est nécessaire de recourir à la saisie de son adresse électronique sont les suivants:

• Le client s’identifie en caisse (avec une carte de fidélité par exemple) mais l’identification ne permet pas de le lier à un email. Cela arrive lorsque la fiche client ne contient pas d’email, où lorsque l’email dans la fiche client n’est pas valide.
• Le client n’est pas identifié en caisse.
• Le client s’identifie en caisse, l’identification permet de le lier à un email, mais il souhaite le modifier. Le scénario classique est celui de Monsieur qui fait ses courses avec la carte de madame, ou vice et versa.

À quel moment dans la cinématique d’encaissement ?

Le e-ticket est souvent le seul process enseigne pour lequel la saisie d’un email peut être décorrélé de la création d’une fiche client. Dans ce cas, la saisie de l’adresse électronique du client peut avoir lieu à deux étapes différentes de l’encaissement.

1⃣ L’email du client est saisi en amont du paiement. Cette pratique se retrouve dans les enseignes qui internalisent le service de e-ticket, ou chez les prestataires de e-ticket qui créent des connecteurs avec chacun des logiciels de caisse, un à un.

Toutefois, le plus souvent, les emails collectés à ce moment de l’encaissement le sont pour créer une fiche client, et donc sortent du cadre de cet article.

2⃣ La saisie de l’email intervient en fin de paiement, dans une fenêtre dédiée. C’est ainsi que cela se passe avec Limpidius par exemple.

II. Concrètement, un consentement au e-ticket de caisse, c’est quoi?

La plupart de nos clients nous interrogent sur “le besoin ou non de recueillir un consentement pour envoyer un e-ticket aux clients”. C’est en effet nécessaire pour tous les clients auxquels nous nous intéressons dans cet article, les autres étant traités ici.

Lorsque nous répondons “oui, il faut un consentement”, les questions qui s’ensuivent, s’inscrivent souvent dans le même registre:

• “Mais où doit-on mettre “la case à cocher”?”
• “Comment collecte-t-on ce consentement?”

Revenir à la source du RGPD permet de lever le brouillard qui est dû en grande partie à toute l’iconographie engendré par le texte de loi. Pour faire court, la fameuse “case à cocher” n’est qu’une manière parmi d’autres de recueillir un consentement…

Le RGPD précise, dans les définitions du chapitre 4:

on définit par «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Dans le cadre du e-ticket de caisse, lorsque votre enseigne n’a pas déjà l’adresse email de votre client en base, il vous est nécessaire de la saisir:

le message est clair: “Puis-je vous envoyer votre ticket de caisse par email?”

la finalité est claire: recevoir un e-ticket de caisse par email

l’acte positif est clair: si le client souhaite effectivement recevoir un e-ticket de caisse, alors il donne son email.

Ainsi, la simple communication d’un email est suffisante pour établir le consentement au ticket de caisse numérique. Le protocole d’engagement a ceci de remarquable que les clients qui ne consentent pas à recevoir un e-ticket… ne donnent tout simplement pas leur email en caisse.

III. Consentement permanent

Il n’est pas rare de confondre deux finalités différentes:

recevoir son e-ticket de caisse en saisissant son email en caisse à chaque passage en caisse. C’est le sujet que nous tâchons d’expliquer dans le présent article!

et recevoir son e-ticket de caisse à chaque passage en caisse sans avoir jamais à le re-demander. Ce sujet en revanche est très éloigné du premier.

En effet, la seule expérience client qui pourrait être pertinente pour automatiser l’envoi du e-ticket de caisse à chaque passage en caisse, sans que le client n’ait à le valider à chaque fois, serait qu’il soit identifié, par exemple à travers un programme de fidélité. Nous sommes donc à nouveau dans un cas de figure similaire à celui d’une fiche client, que les retailers connaissent bien.

IV. Particularités du consentement au e-ticket

1⃣ Le premier élément inhabituel pour les retailers est lié à une particularité forte du traitement de données personnelles nécessaire pour réaliser la finalité RGPD “envoyer un e-ticket de caisse à un client”: cette finalité ne requiert pas de stocker l’adresse électronique utilisée!

Une fois que le client a reçu son e-ticket de caisse, un dispositif légal doit s’empresser d’effacer toute trace de l’adresse électronique. En effet, il est impératif d’avoir en tête que le “stockage” n’est pas un traitement nécessaire pour rendre le service de e-ticket. Seuls les emails envoyés dont on ne connaît pas encore le statut de délivrabilité peuvent être stockés. Dès que le statut d’un email passe à “délivré”, il est obligatoire de l’effacer.

2⃣ L’autre originalité du consentement réside dans la nature de l’email que le client reçoit: si le seul consentement donné par le client est de recevoir son e-ticket de caisse par email, l’email devra ne contenir que le e-ticket de caisse. Exit donc les promotions que l’on aurait envie de pouvoir glisser au fil de l’eau dans le corps de l’email!

Pour compléter votre lecture, nous précisons dans cet article, au-delà du e-ticket, les contours de la prise de consentement en caisse.

Et dans un article à venir nous regarderons de plus près les moyens que les enseignes ont à leur disposition pour inclure des contenus promotionnels dans les emails de e-ticket de caisse.

Vous pouvez nous envoyer un email à accueil@limpidius.com si vous souhaitez échanger sur le sujet.

Suite à ce premier contre-pied, nos lecteurs, qui s’attendaient à ce que l’on parle de “consentement”, vont maintenant être servis!

Mais… avant de voir ensemble comment intervient la notion de consentement dans le ticket de caisse électronique (soyons honnête, la question que tout le monde nous pose), il nous semble important d’aborder dans un premier temps l’aspect le plus critique de la question dans le commerce physique: comment recueillir un consentement en magasin?

1- Consentement

Comme vu précédemment, le RGPD propose 6 bases légales (lire les articles, de a à f) pour traiter des données personnelles. Lorsqu’une enseigne opère un traitement sur une donnée personnelle (par exemple utiliser l’email d’un client pour lui envoyer une newsletter), elle (ou dans les faits, son DPO) doit avoir au préalable déterminé sur quelle base légale repose ce traitement (dans l’exemple, la base “consentement”: le client doit avoir donné son consentement au fait de recevoir la newsletter).

Le consentement n’est qu’une de ces 6 bases légales. Son principe est très simple au premier abord: utiliser la donnée personnelle d’un client n’est autorisé que si celui-ci a donné son accord préalable. Qu’il faille un consentement, tout le monde l’a très bien compris, clients comme retailers. La question compliquée est plutôt: comment recueillir ce consentement?

Le sujet de la prise de consentement relève de l’article 7 du RGPD (« Conditions applicables au consentement »). Le droit français l’a repris tel quel en y faisant référence dans l’article 5 de la loi informatique et libertés. Soyons méthodique et procédons à la source, en reprenant un par un les 4 articles en question et en analysant les conséquences pour la distribution.

2- Preuve de consentement

ARTICLE 7.1 – Dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Problème générique

Nous pourrions presque nous contenter de ne garder que cette phrase, qui résume à elle seule la plupart des problèmes auxquels les équipes CRM des enseignes ont à faire face. En effet, comment prouver qu’un client a bien donné son consentement?

En pratique, il est désormais reconnu que le respect de ce paragraphe passe par l’horodatage du consentement, et si possible le support voire la localisation de la prise de consentement.

En e-commerce, le consentement peut être donné sur un site web (le support) par une personne identifiée à un moment donné (l’horodatage). De nos jours, ce dispositif, même s’il n’est pas si simple, est devenu assez standard.

Applications aux points de vente physiques

Nous nous intéressons ici à la question spécifique de la prise de consentement en caisse. Il convient alors de différencier deux types d’encaissement: les caisses libres service (CLS, ou SCO en anglais) et les caisses classiques et mobiles (opérées par des agents de caisse).

Caisses Libre Service

Le consentement peut être donné sur une CLS (le support), à un moment donné (l’horodatage) et sur la caisse x du magasin y (localisation). Cela se présente simplement sous la forme d’une case à cocher. Le client qui encaisse est bien celui qui va activer le consentement.

Les CLS se prêtent bien au recueil du consentement, qui est pour le coup univoque comme l’aime le RGPD. Toutefois l’infra-structure du retailer doit être en mesure d’associer au consentement tous les paramètres permettant de contextualiser la collecte: où et quand. Pour avoir opéré sur de nombreuses grandes enseignes, ce n’est pas si fréquent…

Caisses classiques et mobiles

Nous sommes maintenant sur un type de caisse opéré, non plus par le client, mais par un agent de caisse. Et c’est là que le bât blesse…

En effet, sur les caisses traditionnelles ou sur les caisses mobiles, le consentement ne pourra être demandé que à l’oral par l’hôte(sse) de caisse à son client. S’il y a une erreur, et les erreurs arrivent vite en caisse, c’est de la responsabilité de l’enseigne. Il n’y aura aucune preuve. Si les agents de caisse sont récompensés à la collecte de consentement positif, il peut être tentant de cocher la case sans demander au client. Toujours aucune preuve.

En d’autres termes, demander un consentement RGPD à son client, à l’oral, en caisse, n’est pas une pratique qui respecte le RGPD. Force est de constater que cette pratique est tout de même très répandue malgré son caractère… peu aligné avec le RGPD, pour faire un euphémisme.

Il existe bien des solutions de contournement:

• présenter un écran tactile côté client afin que ce soit bien lui qui saisisse ses données personnelles et les consentements associés: cela implique des coûts qui ne sont pas tenables dans le retail actuel.

• lui faire signer le consentement (avec le doigt sur une tablette ou avec un stylo sur une feuille de papier), ce qui pour le coup fera office d’acte positif clair: cela détériore grandement l’expérience client, et par ailleurs le coût de traitement est assez élevé également.

• confirmer en ligne un consentement donné en magasin: nous en parlerons longuement dans un article à venir, qui décrira notamment toutes les innovations de rupture que Limpidius a apporté sur le sujet pour accompagner le ticket de caisse dématérialisé.

3- Un consentement = un traitement

ARTICLE 7.2 Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

Toutes les solutions proposées plus haut pour contourner le consentement oral, conduisent nécessairement à un consentement écrit. Donc au respect de l’article 7.2. du RGPD. Cette règle est toutefois bien appliquée par les retailers que nous rencontrons, c’est pourquoi il ne sera pas utile de s’y attarder.

C’est un point que tous ceux qui ont connu les débuts d’internet connaissent: autrefois il n’était pas rare d’avoir à donner un seul consentement qui disait “accepter de recevoir notre newsletter ET que l’on transmette vos données à des tiers pour ceci cela”. Aujourd’hui, la présentation s’est structurée, et deux consentements distincts sont demandés, avec la possibilité d’accepter l’une des propositions mais pas l’autre.

4- Retrait du consentement

ARTICLE 7.3 – La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

Illustrons ce point par deux exemples très concrets:

• un client qui donne son consentement sur une caisse CLS doit pouvoir le retirer lors d’un prochain passage en caisse sur cette même caisse automatique. Exit donc les méthodes de sioux consistant à n’afficher l’état du consentement que lorsqu’il est à “non” dans l’espoir d’un effet cliquet pour le faire passer à “oui”.

• un client qui donne son consentement à l’oral à une hôtesse de caisse doit pouvoir passer la fois suivante et lui demander le retrait du consentement. Exit donc, les hôtes(ses) de caisse qui vous disent : “mon logiciel de caisse ne me permet pas de retirer le consentement, il vous faut aller en ligne”.

Nous avons pu observer que la réversibilité du consentement est encore loin d’être mise en place dans toutes les enseignes. Cela s’explique entre autres par les difficultés techniques qu’engendrent cette question. Bien sûr à Limpidius, tous les consentements que nous traitons permettent de facto de consentir puis de se rétracter sur le même support.

5- Pas de “chantage à la donnée personnelle”

ARTICLE 7.4 -Au moment de déterminer si le consentement est donné librement, il y lieu de tenir le plus grand compte de la question de savoir, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Prenons à nouveau un exemple de la distribution pour bien comprendre. Il serait tentant pour un retailer de conditionner l’inscription à un programme de fidélité au fait de consentir à recevoir la newsletter. Le RGPD l’interdit explicitement. Le programme de fidélité peut très bien fonctionner sans que le client reçoive de newsletter. Ce consentement n’est pas indispensable pour la bonne exécution du service que représente le programme de fidélité.

6- Où en est le retail?

Les retailers sont en général plutôt au point sur les articles 7.2 et 7.4 car ces questions sont très orientées process et le plus souvent il s’agit simplement de les décréter. Par ailleurs, ces points de loi ont un impact modéré sur le “taux de collecte” de consentements.

Tous les problèmes se concentrent en revanche sur les articles 7.1 et 7.3. D’une part, la plupart des consentements “pour recevoir les communications de l’enseigne” sont encore collectés à l’oral en caisse par les agents de caisse et par ailleurs, il est parfois compliqué de retirer un consentement de la même manière qu’il a été donné.

Deux raisons expliquent ces lacunes:

• il est techniquement difficile de faire autrement,

• la collecte de consentements, lorsqu’elle respecte strictement le RGPD, fait baisser nettement le taux de collecte.

Notre point de vue à Limpidius est que les consentements positifs collectés dans des conditions respectant strictement le RGPD sont une opportunité de faire autrement. En effet, les clients ayant donné leur consentement représentent une base client réellement motivée. C’est cette base qui réagit. Qu’elle soit ou non adossée à une sur-base de clients à qui l’on aura “forcé la main” ne modifiera pas substantiellement les bénéfices que l’on pourra en tirer. Au contraire même, il est maintenant bien connu que les clients recevant des communications non désirées sont à l’origine d’impacts négatifs vis-à-vis de la marque.

Less is more.

Dans le prochain article, nous verrons comment faire fonctionner ensemble la notion de consentement et la notion de e-ticket de caisse.