Le 1er janvier 2023 marquera la fin des tickets de caisse au format papier. Une mesure prise d'abord pour la planète - 30 milliards de tickets sont imprimés chaque année en France -, toutefois la Cnil est inquiète quant à la protection des données des consommateurs.
Chaque année, 30 milliards de tickets de caisse sont imprimés en France, et ce sont 25 millions d'arbres qui disparaissent pour les fabriquer. Un constat qui a poussé l'Etat à les interdire, à compter du 1er janvier 2023. Mais cette fin programmée du ticket par la loi anti-gaspillage pour une économie ciruclaire (AGEC), ouvre aussi la voie à une récupération de données pointée du doigt par la Cnil. Car pour obtenir votre ticket dématérialisé, de nombreuses entreprises et commerces proposent de vous l'envoyer par mail ou par SMS, voire par le biais d'une application client. Un bon moyen d'obtenir une trace de votre passage et de se constituer un fichier garni de données personnelles.
«Donnez-nous votre adresse e-mail et je vous enverrai la facture dématérialisée ?» La phrase peut paraître anodine, mais que cache-t-elle ? En réalité, fournir une information de ce type est un moyen de suivre les habitudes d'un client et de lui envoyer par la suite des publicités ciblées, comme le font les réseaux sociaux et certains acteurs de l'Internet.
Un recueil du consentement encore flou
«À titre d’exemple, une adresse électronique recueillie à des fins d’envoi d’un ticket de caisse ou de paiement dématérialisé ne saurait être utilisée à des fins de prospection commerciale sans respecter les principes en la matière (à savoir le recueil du consentement de la personne concernée, ou l’information et la possibilité de s’opposer préalablement au moment de la collecte, s’agissant de prospection concernant des produits ou services analogues à ceux déjà fournis par l’entreprise), la finalité de prospection commerciale et la finalité d’envoi des tickets de manière dématérialisée étant deux finalités bien distinctes», écrivait la Cnil dans son livre blanc «Quand la confiance paie» (d'octobre 2021).
Dès lors, obtenir le consentement d'un client doit être obligatoire pour pouvoir traiter les données après avoir recueilli son adresse e-mail ou son numéro, ou encore valider l'application client. Or, c'est sur ce point que la Cnil et les associations de défense des consommateurs appellent à la vigilance. Car le recueil de ce consentement est encore très flou. Faudra-t-il demander une signature en caisse ou expliquer ce que ce type de procédure implique pour envoyer un ticket dématérialiser... au risque de ralonger les files d'attente en magasins ? Un simple accord verbal est-il valable avec un client ?
Un casse-tête qui implique de trouver des solutions. Et quand certaines enseignes se frottent les mains en imaginant grossir leurs fichiers clients, certaines sociétés se positionnent déjà sur l'anonymisation du ticket dématérialisé.
C'est le cas de start-up, comme Billiv, qui avancent une solution basée sur un QR Code généré lors du passage en caisse, qui permettrait au client de récupérer avec son smartphone son ticket, sans avoir à laisser ni adresse e-mail, ni numéro de téléphone et encore moins souscrire à une application de fidélité.
Parallèlement, la société My Data propose l'application etick, qui invite à donner une adresse liée à l'application et non pas son adresse mail personnelle. Un algorithme va alors trier les tickets numérisés et va automatiquement refouler les mails à des fins publicitaires.
L'année 2023 s'annonce donc comme décisive afin de mettre en place des solutions garantissant le respect des données personnelles.