Dans toute la série d’articles “e-ticket et RGPD” que nous allons publier, nous nous efforcerons d’appliquer les textes de loi aux problématiques que nous avons rencontrées sur le sujet de la gestion de la donnée personnelle dans notre activité, le ticket de caisse dématérialisé.
Les enseignes de retail sont déjà habituées à pratiquer le RGPD dans le cadre de leurs pratiques CRM. Il s’est ainsi créé une sorte de “zone de confort RGPD” dans laquelle nos interlocuteurs (encaissement, CRM, expérience client…) évoluent avec aise. Hélas, le cadre RGPD du e-ticket de caisse oblige à sortir du périmètre de confort pour aller au-delà des schémas classiques.
Comme toujours à Limpidius, nous allons tenter de lier la théorie à la pratique sur les cas très concrets qui sont les nôtres, et peut-être aussi déjà les vôtres.
Dans ce premier article, nous nous intéresserons au cas où le RGPD est appliqué à un client:
- qui passe en caisse chez vous
- que vous identifiez
- et dont l’email est déjà en base dans votre enseigne.
Pourquoi commençons-nous ainsi? Parce que c’est le cas le plus fréquent…!
Trois typologies de clients
Beaucoup d’enseignes nous contactent car elles souhaitent utiliser le ticket de caisse numérique pour collecter des emails « contactables ». Souvent, nos interlocuteurs ont en tête ce scénario parfait:
un client passe en caisse, il est totalement inconnu de l’enseigne (pas de carte de fidélité, pas de compte client, pas de commande etc…) et il est super sympa (il dit oui au e-ticket, et consent à tout ce que vous proposez de lui envoyer).
Dans les faits, cette belle histoire n’arrive pas si souvent. En effet, lorsque l’on pense « ticket de caisse numérique », l’usage est de diviser la clientèle d’un magasin en 3 types:
US1: les clients identifiés dont la fiche client est associée à un email
US2: les clients identifiés dont la fiche client ne contient pas d’email
US3: les clients non-identifiés
Le plus souvent, les clients sont identifiés si dans leur parcours client en magasin, ils présentent une carte de fidélité, déclinent leur identité, ou transmettent une donnée personnelle (leur email ou leur n° de téléphone par exemple) pour qu’on les retrouve dans un fichier client, ou encore s’ils viennent retirer une commande en ligne. On parle de client identifié lorsque la transaction est rattachée au client.
Si le magasin propose d’envoyer le ticket de caisse dématérialisé par email à ses clients:
- pour les clients US1, il n’est pas nécessaire de saisir leur email en caisse puisqu’il est déjà en base
- pour les clients US2 et US3 en revanche, il est nécessaire de saisir leur email
- au passage, les clients US1 peuvent aussi modifier leur email si besoin (on parle alors de client US1’)
Les clients US1 sont les plus appétents au ticket de caisse numérique. Ils sont statistiquement les plus nombreux à le demander, pour trois raisons:
- simplicité: pas de saisie de l’email (puisqu’il est déjà connu)
- cohérence: l’enseigne possède déjà leur email par conséquent ils ne se soucient plus à ce stade de savoir comment il va être utilisé puisqu’ils y avaient déjà réfléchi au moment où ils avaient cédé leur email initialement
- préférence: ils ont cédé leur email parce qu’ils ont une préférence pour l’enseigne. La fréquence de leurs achats est plus importante et rend le e-ticket plus pertinent.
RGPD appliqué à l’US1
Permis de shooter
Les clients US1 ont déjà cédé leur email à un moment donné de leurs parcours clients en magasin. Plaçons nous dans un cadre où votre enseigne évolue dans une parfaite légalité vis-à-vis du RGPD avant d’envisager d’offrir le e-ticket de caisse à vos clients, mais n’a pas recueilli de consentement spécifique au e-ticket de caisse par email.
La question la plus fréquente à ce stade est la suivante:
Doit-on demander au client US1 son consentement avant de lui envoyer un e-ticket de caisse par email?
La réponse est simple: non, il est possible d’envoyer un e-ticket de caisse au client sans lui demander son consentement, pourvu que la finalité de l’email reçu ne soit que de transmettre le e-ticket de caisse par email.
⇒ Exit, donc, le superbe template avec les promotions du moment, où le e-ticket de caisse en PJ semble presque anecdotique.
⇒ Et avec une grosse subtilité toutefois… vous devez pouvoir lui imprimer son ticket de caisse s’il le demande!
Imprimer sur demande
pourquoi suis-je obligé d’imprimer le ticket de caisse à un client qui me le demande si je lui ai déjà envoyé par email?
La première réponse qui nous vient est plus « métier » que juridique: il serait dommage de braquer un client pour si peu.
Maintenant, pour les ultra, il y a aussi un argument légal que tous ceux qui ont lu notre série “ticket de caisse et loi anti-gaspi” connaissent: le commerçant est tenu de délivrer un ticket de caisse au client si celui-ci le lui demande. Quand bien même il l’aurait déjà reçu par email? Oui, car il est tout à fait en droit de vous opposer des arguments parfaitement recevables, comme par exemple:
- “l’email que vous avez utilisé n’est pas le bon”
- “je n’ai plus accès à ma boîte email”
- “j’ai résilié ma boîte mail”
- …
Base légale du traitement
Comment se fait-il que je puisse shooter mes clients avec un e-ticket de caisse sans leur demander leur consentement?
Envoyer un e-ticket de caisse par email revient à traiter une donnée personnelle: l’email du client. Ce traitement doit être fondé sur l’une des 6 bases légales offertes par le RGPD (voir l’article 6: licéité du traitement également adapté ici dans le droit français):
- le Consentement
- l’Exécution d’un Contrat
- l’Intérêt Légitime
- l’Obligation Légale
- la Mission d’Intérêt général
- la Sauvegarde des Intérêts Vitaux
Le Consentement, c’est la star de la base légale, celle dont tout le monde parle! Dans notre raisonnement, nous affirmons qu’il n’est pas nécessaire d’y recourir dans le cas de l’US1. Il nous en reste donc 5 à examiner…
Le plus souvent, les deux dernières bases légales ne sont pas invoquées. Et par ailleurs, le e-ticket de caisse n’entre dans aucune obligation légale (voir nos articles sur les obligations concernant la remise d’un ticket de caisse ici et là). Il reste donc deux bases légale à examiner: l’Exécution d’un contrat et l’Intérêt Légitime.
Exécution d’un Contrat?
Le recours à cette base légale suppose que le traitement soit « objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées ».
Cette base légale marche donc bien pour le e-commerce. Sans le e-ticket de caisse, ou la e-facture, il est impossible de documenter la transaction. Les e-commerçant ne demandent jamais l’autorisation du client pour lui transmettre sa facture par email.
En revanche, la question est moins évidente dans le cadre du commerce physique. “Objectivement”, le e-ticket de caisse n’est pas nécessaire s’il y a présence d’une imprimante de ticket de caisse. Ce raisonnement se renversera sur lui-même en 2023 lorsque les tickets de caisse ne devront plus être imprimés par défaut (voir nos articles sur le sujet), mais pour le moment cela ressemble plus à un passage en force qu’à une revendication naturelle.
Intérêt Légitime?
C’est le traitement qui laisse le plus de marge à celui qui le choisit.
Pour recourir à l’Intérêt Légitime:
- il faut d’abord d’abord avoir un objectif… légitime (“l’intérêt poursuivi par l’organisme doit être « légitime »« ): avec le e-ticket de caisse il y a l’embarras du choix. Quelques exemples:
-
- sécurisation: faire en sorte que vos clients ne perdent plus leur ticket ⇒ votre intérêt légitime étant qu’un ticket de caisse perdu engendre des soucis de SAV par exemple
- omni-canal: besoin d’harmonisation des canaux de distribution des preuves d’achat ⇒ votre intérêt légitime étant de simplifier votre IT, de lutter contres les pure players…
- fluidification de l’encaissement: cela va quand même beaucoup plus vite lorsque le ticket de caisse part automatiquement par email
-
- Ensuite, pour poursuivre cet objectif, il ne faut pas avoir d’autre choix que d’utiliser l’email du client (“l’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »”)
-
- la seule objection que nous avons en tête concerne les autres moyens de transmettre le e-ticket de caisse: le mettre à disposition sur le compte client, le transmettre par SMS ou encore le shooter sur une appli avec une notification push
- cette objection est pour le moment levée par des réponses assez simples: les alternatives sont parfois plus intrusives (SMS, appli smartphone) et les clients ont besoin de consulter leur ticket de caisse au sortir des caisse (exit le compte client trop compliqué)
-
- il ne faut pas être trop intrusif (“le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables”) ⇒ envoyer un e-ticket de caisse au client semble parfaitement défendable dans ce cas précis.
Bonnes pratiques
Les enseignes qui peuvent se permettre d’échanger avec le client en caisse (typiquement les boutiques de mode) lui demandent en général systématiquement s’il souhaite recevoir son ticket de caisse par email. Il s’agit là moins d’un point légale que d’une volonté affichée de courtoisie vis-à-vis du client. Mais, comme nous le verrons dans les articles suivants de cette série, la collecte d’un consentement par l’agent de caisse à l’oral, ne vaut finalement pas grand chose.
Mais cette pratique n’est plus possible pour les enseignes qui souffrent de congestion en caisse. Dans leur cas, la moindre question posée par l’agent de caisse engendre des fractions de secondes d’encaissement qui ne sont pas tolérables.
L’autre bonne pratique consiste alors à intégrer dans les CGU de vos comptes clients le fait qu’un des usages possibles des emails de vos clients sera de pouvoir leur envoyer automatiquement leur e-ticket de caisse et de leur laisser la possibilité de se rétracter dans l’email. Comme vu précédemment, cela sera justifié par la base légale “intérêt légitime”, de la même manière qu’au chapitre « traitement des données » de grandes enseignes de retail, nous avons maintenant souvent ces mentions:
« Super Enseigne » se repose sur la base légale « Intérêt légitime » pour :
– La segmentation
– L’envoi d’enquête de satisfaction sur les processus de vente, la qualité des services et des produits
– L’analyse et l’amélioration du parcours sur notre site
Parmi les traitements soumis à la base légale « Intérêt Légitime », il s’agirait simplement d’ajouter:
– L’envoi des tickets de caisse dématérialisés
Conclusion
Il est possible que dans un futur proche, le e-ticket devienne une norme et que cet article, lui, devienne, vintage. Ou pour le dire en langage RGPD, que les intérêts des clients soient de moins en moins « heurtés » par le e-ticket et que celui-ci soit de plus en plus dans leurs « attentes raisonnables ».
En effet, Limpidius démocratise le e-ticket de caisse, l’ouvre à des retailers populaires, et le sort des boutiques de mode pour l’étendre à d’autres secteurs ainsi qu’aux formats super et hyper. Nos efforts permettent à chacun de s’approprier le ticket de caisse numérique, quelle que soit sa catégorie socioprofessionnelle, pour retrouver ses achats facilement et en finir avec le papier thermique. Nous pensons qu’à terme, quel que soit son format, le ticket de caisse numérique sera juste banal.
Ensuite, nous avons bien entendu mis au point des dispositifs permettant aux clients de consentir à recevoir “systématiquement” et sans question, leurs e-tickets de caisse. Cela permet de basculer sur une base légale « Consentement », connue et appréciée de tous.
Mais tout cela ne sera possible que si le RGPD est scrupuleusement respecté. La crainte principale des clients lorsque leur email est utilisé pour envoyer les e-tickets de caisse, c’est d’être bombardé par la suite de promotions. Comme nous le verrons dans les articles suivants, la base légale pour les pubs, c’est le consentement: pas de consentement = pas de pub. Il est impératif d’éviter les entourloupes.
Avant d’aborder l’application de la base légale « consentement » au e-ticket de caisse, il est nécessaire de faire un point sur la notion de « collecte du consentement ». Et comme nous parlons retail, le prochain article traitera du cadre légal dans lequel un consentement doit être recueilli en caisse.