Dans notre précédent article, nous avons évoqué que certains clients se plaignaient de recevoir parfois des communications non sollicitées suite à l’envoi d’un ticket de caisse dématérialisé par email.
Nous avons ajouté que cette pratique tend à disparaître. Mais pourquoi arrive-t-il que certains retailers puissent encore y avoir recours? Sur quelle base juridique se fondent-ils?
Tout part d’un article bien connu et souvent cité, le fameux article L34-5 du “Code des postes et des communications électroniques”, qui, de notre avis, a conduit à des interprétations erronées.
Genèse du problème
Tout le monde le sait maintenant: envoyer un email à un client n’est autorisé que dans le cadre d’une finalité claire (“recevoir nos promotions” par exemple) pour laquelle le client aura donné son consentement en amont.
Tout se complique lorsque l’on découvre qu’il existe deux exceptions au recueil préalable de consentement. Passons sur la première qui ne concerne pas notre propos. La seconde en revanche est familière à bon nombre de juristes que nous avons rencontrés: la fameuse exception dite “des produits et services analogues” de l’article L34-5.
Cette exception est possible à… 5 conditions:
✅ l’email est recueilli directement auprès de la personne concernée
❌ collecte de l’email respectant le RGPD (voir notre article sur le sujet)
✅ l’email est recueilli à l’occasion d’une vente ou d’une prestation
✅ la communication par email devra concerner des offres ou des produits similaires
✅ le client doit pouvoir s’opposer à l’utilisation de son email lorsque celui-ci est recueilli, ou plus tard, utilisé.
💡Le sujet de la controverse: là où nous mettons une “croix rouge”, d’autres y voient un “check vert”.
Expliquons maintenant notre point de vue.
Particularité du ticket de caisse dématérialisé par email
Lorsqu’un client donne expressément son adresse électronique à l’agent de caisse pour recevoir son ticket de caisse dématérialisé, il consent implicitement à une finalité claire.
La finalité implique un traitement simple:
- collecter l’email
- le stocker le temps de l’opération de création du ticket de caisse digital et d’envoi par email
- s’assurer que l’email a bien été reçu
- supprimer l’email
➡️ Rien dans cette finalité ne justifie de “stocker” l’email: il doit donc être supprimé.
Voici ce à quoi le client a consenti (si l’agent de caisse n’en a pas profité pour lui demander son consentement à d’autres finalités, mais là on retombe sur un schéma tout à fait classique).
CQFD
Utiliser l’email du client qui a consenti à recevoir son ticket de caisse dématérialisé par email, pour lui envoyer des offres de “produits ou services analogues” ne respecte donc pas l’exception du même nom.
Le trou dans la raquette, c’est bel et bien la collecte de l’email, qu’il n’est pas légal de mettre en base sans finalité consentie qui pourrait le justifier. En l’absence d’email stocké en base, tout le récit autour de l’exception des “produits et services analogues” s’effondre complètement.
D’aucuns avancent que la CNIL, à la page 62 de son livre blanc sur le paiement sorti en octobre 2021, aurait de toute façon pleinement statué sur le sujet:
À titre d’exemple, une adresse électronique recueillie à des fins d’envoi d’un ticket de caisse ou de paiement dématérialisé ne saurait être utilisée à des fins de prospection commerciale
Mais il faut lire la suite de la phrase:
sans respecter les principes en la matière (à savoir le recueil du consentement de la personne concernée, ou l’information et la possibilité de s’opposer préalablement au moment de la collecte s’agissant de prospection concernant des produits ou services analogues à ceux déjà fournis par l’entreprise), la finalité de prospection commerciale et la finalité d’envoi des tickets de manière dématérialisée étant deux finalités bien distinctes.
qui remet en jeu tout le doute instillé par la clause « produits et services analogues ». A date, nous n’avons pas trouvé de clarification sur la façon dont le ticket de caisse dématérialisé pourrait être soluble dans cette exception. Notre interprétation est… qu’elle ne l’est pas.
Des contournements de sioux?
Le code des postes et des communications électroniques pourrait toutefois s’appliquer si par exemple le client consentait à “recevoir systématiquement son ticket de caisse dématérialisé par email”. Dans ce cas, l’adresse électronique du client aura bien été collectée dans le cadre d’une vente, et aura bien vocation à être mise en base (la finalité implique que le client ne re-saisisse pas son email à chaque passage en caisse).
Mais:
- une telle finalité ne marche que pour des clients identifiés en caisse
- il faudrait de toute façon proposer au client de s’opposer au traitement “produits ou services analogues”, ce qui reviendrait, dans les faits, à lui demander son consentement en caisse
- Bref, les méthodes de contournement sont beaucoup plus compliquées que de demander simplement son consentement au client, et (de notre point de vue) plus éthiques.
À Limpidius, nous vous accompagnons dans la gestion des consentements à tous les niveaux: à travers notre module caisse EdgarPOS, sur notre verticale client Homer le Customer mais aussi sur nos différentes applications.
