Dans le premier article de notre série “e-ticket de caisse et RGPD”, nous avons démarré le sujet en nous intéressant d’abord aux clients les plus appétents au ticket de caisse dématérialisé: ceux dont l’email est déjà dans le CRM de l’enseigne. Nous avons ainsi appliqué à leur cas l’utilisation de la base légale “intérêt légitime”.
Suite à ce premier contre-pied, nos lecteurs, qui s’attendaient à ce que l’on parle de “consentement”, vont maintenant être servis!
Mais… avant de voir ensemble comment intervient la notion de consentement dans le ticket de caisse électronique (soyons honnête, la question que tout le monde nous pose), il nous semble important d’aborder dans un premier temps l’aspect le plus critique de la question dans le commerce physique: comment recueillir un consentement en magasin?
1- Consentement
Comme vu précédemment, le RGPD propose 6 bases légales (lire les articles, de a à f) pour traiter des données personnelles. Lorsqu’une enseigne opère un traitement sur une donnée personnelle (par exemple utiliser l’email d’un client pour lui envoyer une newsletter), elle (ou dans les faits, son DPO) doit avoir au préalable déterminé sur quelle base légale repose ce traitement (dans l’exemple, la base “consentement”: le client doit avoir donné son consentement au fait de recevoir la newsletter).
Le consentement n’est qu’une de ces 6 bases légales. Son principe est très simple au premier abord: utiliser la donnée personnelle d’un client n’est autorisé que si celui-ci a donné son accord préalable. Qu’il faille un consentement, tout le monde l’a très bien compris, clients comme retailers. La question compliquée est plutôt: comment recueillir ce consentement?
Le sujet de la prise de consentement relève de l’article 7 du RGPD (« Conditions applicables au consentement »). Le droit français l’a repris tel quel en y faisant référence dans l’article 5 de la loi informatique et libertés. Soyons méthodique et procédons à la source, en reprenant un par un les 4 articles en question et en analysant les conséquences pour la distribution.
2- Preuve de consentement
ARTICLE 7.1 – Dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Problème générique
Nous pourrions presque nous contenter de ne garder que cette phrase, qui résume à elle seule la plupart des problèmes auxquels les équipes CRM des enseignes ont à faire face. En effet, comment prouver qu’un client a bien donné son consentement?
En pratique, il est désormais reconnu que le respect de ce paragraphe passe par l’horodatage du consentement, et si possible le support voire la localisation de la prise de consentement.
En e-commerce, le consentement peut être donné sur un site web (le support) par une personne identifiée à un moment donné (l’horodatage). De nos jours, ce dispositif, même s’il n’est pas si simple, est devenu assez standard.
Applications aux points de vente physiques
Nous nous intéressons ici à la question spécifique de la prise de consentement en caisse. Il convient alors de différencier deux types d’encaissement: les caisses libres service (CLS, ou SCO en anglais) et les caisses classiques et mobiles (opérées par des agents de caisse).
Caisses Libre Service
Le consentement peut être donné sur une CLS (le support), à un moment donné (l’horodatage) et sur la caisse x du magasin y (localisation). Cela se présente simplement sous la forme d’une case à cocher. Le client qui encaisse est bien celui qui va activer le consentement.
Les CLS se prêtent bien au recueil du consentement, qui est pour le coup univoque comme l’aime le RGPD. Toutefois l’infra-structure du retailer doit être en mesure d’associer au consentement tous les paramètres permettant de contextualiser la collecte: où et quand. Pour avoir opéré sur de nombreuses grandes enseignes, ce n’est pas si fréquent…
Caisses classiques et mobiles
Nous sommes maintenant sur un type de caisse opéré, non plus par le client, mais par un agent de caisse. Et c’est là que le bât blesse…
En effet, sur les caisses traditionnelles ou sur les caisses mobiles, le consentement ne pourra être demandé que à l’oral par l’hôte(sse) de caisse à son client. S’il y a une erreur, et les erreurs arrivent vite en caisse, c’est de la responsabilité de l’enseigne. Il n’y aura aucune preuve. Si les agents de caisse sont récompensés à la collecte de consentement positif, il peut être tentant de cocher la case sans demander au client. Toujours aucune preuve.
En d’autres termes, demander un consentement RGPD à son client, à l’oral, en caisse, n’est pas une pratique qui respecte le RGPD. Force est de constater que cette pratique est tout de même très répandue malgré son caractère… peu aligné avec le RGPD, pour faire un euphémisme.
Il existe bien des solutions de contournement:
-
présenter un écran tactile côté client afin que ce soit bien lui qui saisisse ses données personnelles et les consentements associés: cela implique des coûts qui ne sont pas tenables dans le retail actuel.
-
lui faire signer le consentement (avec le doigt sur une tablette ou avec un stylo sur une feuille de papier), ce qui pour le coup fera office d’acte positif clair: cela détériore grandement l’expérience client, et par ailleurs le coût de traitement est assez élevé également.
-
confirmer en ligne un consentement donné en magasin: nous en parlerons longuement dans un article à venir, qui décrira notamment toutes les innovations de rupture que Limpidius a apporté sur le sujet pour accompagner le ticket de caisse dématérialisé.
3- Un consentement = un traitement
ARTICLE 7.2 Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
Toutes les solutions proposées plus haut pour contourner le consentement oral, conduisent nécessairement à un consentement écrit. Donc au respect de l’article 7.2. du RGPD. Cette règle est toutefois bien appliquée par les retailers que nous rencontrons, c’est pourquoi il ne sera pas utile de s’y attarder.
C’est un point que tous ceux qui ont connu les débuts d’internet connaissent: autrefois il n’était pas rare d’avoir à donner un seul consentement qui disait “accepter de recevoir notre newsletter ET que l’on transmette vos données à des tiers pour ceci cela”. Aujourd’hui, la présentation s’est structurée, et deux consentements distincts sont demandés, avec la possibilité d’accepter l’une des propositions mais pas l’autre.
4- Retrait du consentement
ARTICLE 7.3 – La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
Illustrons ce point par deux exemples très concrets:
-
un client qui donne son consentement sur une caisse CLS doit pouvoir le retirer lors d’un prochain passage en caisse sur cette même caisse automatique. Exit donc les méthodes de sioux consistant à n’afficher l’état du consentement que lorsqu’il est à “non” dans l’espoir d’un effet cliquet pour le faire passer à “oui”.
-
un client qui donne son consentement à l’oral à une hôtesse de caisse doit pouvoir passer la fois suivante et lui demander le retrait du consentement. Exit donc, les hôtes(ses) de caisse qui vous disent : “mon logiciel de caisse ne me permet pas de retirer le consentement, il vous faut aller en ligne”.
Nous avons pu observer que la réversibilité du consentement est encore loin d’être mise en place dans toutes les enseignes. Cela s’explique entre autres par les difficultés techniques qu’engendrent cette question. Bien sûr à Limpidius, tous les consentements que nous traitons permettent de facto de consentir puis de se rétracter sur le même support.
5- Pas de “chantage à la donnée personnelle”
ARTICLE 7.4 -Au moment de déterminer si le consentement est donné librement, il y lieu de tenir le plus grand compte de la question de savoir, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.
Prenons à nouveau un exemple de la distribution pour bien comprendre. Il serait tentant pour un retailer de conditionner l’inscription à un programme de fidélité au fait de consentir à recevoir la newsletter. Le RGPD l’interdit explicitement. Le programme de fidélité peut très bien fonctionner sans que le client reçoive de newsletter. Ce consentement n’est pas indispensable pour la bonne exécution du service que représente le programme de fidélité.
6- Où en est le retail?
Les retailers sont en général plutôt au point sur les articles 7.2 et 7.4 car ces questions sont très orientées process et le plus souvent il s’agit simplement de les décréter. Par ailleurs, ces points de loi ont un impact modéré sur le “taux de collecte” de consentements.
Tous les problèmes se concentrent en revanche sur les articles 7.1 et 7.3. D’une part, la plupart des consentements “pour recevoir les communications de l’enseigne” sont encore collectés à l’oral en caisse par les agents de caisse et par ailleurs, il est parfois compliqué de retirer un consentement de la même manière qu’il a été donné.
Deux raisons expliquent ces lacunes:
-
il est techniquement difficile de faire autrement,
-
la collecte de consentements, lorsqu’elle respecte strictement le RGPD, fait baisser nettement le taux de collecte.
Notre point de vue à Limpidius est que les consentements positifs collectés dans des conditions respectant strictement le RGPD sont une opportunité de faire autrement. En effet, les clients ayant donné leur consentement représentent une base client réellement motivée. C’est cette base qui réagit. Qu’elle soit ou non adossée à une sur-base de clients à qui l’on aura “forcé la main” ne modifiera pas substantiellement les bénéfices que l’on pourra en tirer. Au contraire même, il est maintenant bien connu que les clients recevant des communications non désirées sont à l’origine d’impacts négatifs vis-à-vis de la marque.
Less is more.
Dans le prochain article, nous verrons comment faire fonctionner ensemble la notion de consentement et la notion de e-ticket de caisse.