Franchise et RGPD : Les réseaux organisés et la protection des données personnelles

Franchise et RGPD : Les Réseaux Organisés (Franchise, Concession, Licence …) et la Protection des Données Personnelles (RGPD)

Le bref aperçu que nous souhaitons développer au sein de cet article, à propos de la franchise et RGPD, vise à faire prendre conscience aux différentes parties prenantes (franchiseur, franchisé, concédant, concessionnaires, licenciés … ) de la diversité des sujets qui doivent être pris, notamment au regard de la gravité des conséquences en cas de manquement.

Aussi et de manière assez pragmatique, nous proposons de faire un bref rappel du cadre légal qui s’impose à la Franchise et RGPD, puis d’attirer l’attention des têtes de réseau sur les stratégies qu’elles peuvent opérer dans le traitement des données et sur les principales conséquences qui découleront de ces stratégies.

Mais déjà, qu’est-ce que le RGPD ou le GDPR au milieu de la loi Informatique et Libertés ?

Le droit de la protection des données personnelles a été modifié par le Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD ou en anglais GDPR (Général Data Protection Régulation).

La loi Informatique et Liberté du 6 janvier 1978 a été modifié afin de mettre en œuvre le Règlement européen tout en laissant une certaine marge de manœuvre aux Etats membres dans les limites prévues par ce même Règlement européen.

C’est ainsi que notre cadre normatif s’exprime désormais au sein de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Pour aller directement à l’essentiel des notions dégagées par le cadre légal, les obligations qui découlent de la loi dépend de la nature des personnes qui interviennent sur la données client ainsi protégée.

Franchise et RGPD : Les textes prévoient plusieurs statuts d’intervention :

  • le responsable de traitement: « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres (si tel est le cas, cette personne est appelé cotraitant ou coresponsable du traitement), détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ».
  • le responsable de traitement conjoint: « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. »
  • le sous-traitant: « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »;

Et la détermination du statut des intervenants n’est pas sans conséquences car le manque d’implication dans les obligations qui pèsent sur chacun peut être sanctionné de manière très lourde.

En effet, le dispositif légal indique pour chacun, les obligations qui lui incombent et les opérateurs doivent se conformer au cadre donné, en espérant qu’en cas de contrôles, tout se passera bien.

Franchise et RGPD : De quelles sanctions parle-t-on ?

De manière assez traditionnelle, celui qui cause un dommage à un tiers par sa faute, s’oblige à le réparer par le versement de dommages et intérêts.

A ce standard, vient s’ajouter une amende dont le montant peut atteindre la somme de 10 millions d’euros ou représenter jusqu’à 2% du chiffre d’affaires mondial de l’entreprise fautive.

Des décisions de sanctions sont de plus en plus nombreuses et leur publication vient aggraver l’atteinte à l’image et à la réputation de l’entreprise sanctionnée.

Il faut aussi noter que le sous-traitant du traitement des données peut également être condamné s’il a manqué aux obligations mises à sa charge par le RGPD ; et pour mémoire, il faut également garder à l’esprit qu’une action de groupe indemnitaire en matière de protection des données personnelles peut être intentée depuis 2018.

Comment s’organise la répartition des responsabilités au sein d’un réseau organisé ?
(Franchise, concession, licence ….)

Franchise et RGPD : Sans entrer dans un niveau de détail excessif, nous pouvons schématiser les choix stratégiques des têtes de réseau de la manière suivante :

  Cas où le Franchiseur est responsable du traitement (RT) et où le Franchisé intervient en qualité de Sous-traitant (STT)

Cas où les deux parties sont responsables conjointement (RCT) du traitement des données.

Cas où le Franchisé est responsable du traitement et où le Franchiseur intervient en qualité de sous-traitant.

Cas où le Franchiseur et le Franchisé sont chacun responsables de traitement de leur propre base de données

.

Franchise et RGPD : 

Le sort des données personnelles lors de la phase de la conclusion du contrat

Dans cette hypothèse, c’est le franchiseur qui prend l’initiative du traitement, détermine les finalités et les moyens de ce traitement en décidant notamment des moyens techniques et humains qui lui sont dédiés.

Le franchisé ne peut utiliser ou traiter les données que sur l’autorité, pour le compte du franchiseur et en suivant ses instructions

Le sous-traitant peut être tenu solidairement avec le responsable de traitement dans les cas prévus au sein du RGPD. (notamment au sein de l’article 28).

Le responsable de traitement (en l’occurrence le franchiseur) doit signer un contrat écrit avec le sous-traitant. Ce contrat doit contenir le détail des modalités de traitement et un certain nombre de clauses obligatoires prévues à l’article 28.3 du RGPD.

Dans cette deuxième hypothèse, le franchiseur et le franchisé déterminent ensemble les finalités du traitement ainsi que les moyens de celui-ci.

Franchiseur et franchisé coresponsables du traitement peuvent désigner un délégué à la protection des données qui leur est commun (art. 37.2 du RGPD).

Les coresponsables du traitement doivent formaliser par contrat leurs relations.

En cas de dommage causé, les coresponsables du traitement sont solidairement responsables.

C’est le franchisé qui prend l’initiative du traitement, qui en détermine les finalités ainsi que les moyens mis en œuvre.

Le franchiseur ne peut utiliser/traiter les données que sous l’autorité, sur instructions et pour le compte du franchisé.

Le franchiseur sous-traitant peut être tenu solidairement avec le responsable de traitement, dans les cas prévus au sein du RGPD. (notamment au sein de l’article 28)

Le responsable de traitement (ici le franchisé) doit signer un contrat écrit avec le sous-traitant (ici le franchiseur). Ce contrat doit contenir le détail des modalités de traitement et un certain nombre de clauses obligatoires prévues à l’article 28.3 du RGPD.

Ici, aucune donnée n’est mise en commun.

Chacun traite ses propres données.

Aucun contrat n’est nécessaire.

Franchise et RGPD : 

Le sort des données personnelles lors de la cessation  du contrat

Si l’indivisibilité du contrat de franchise et de sous-traitance a été contractuellement organisé, la fin du contrat de franchise entraînera celle du contrat de sous-traitance.

Le principe est alors qu’au choix du franchiseur responsable du traitement, le sous-traitant franchisé doit supprimer ou renvoyer les données à caractère personnel au franchiseur puis détruire les éventuelles copies (art. 28.3 g)).

Le franchiseur, s’il est titulaire d’un droit sui generis sur la base de données ainsi constituée, pourrait autoriser le franchisé à collecter les données dans une base qui lui serait propre et dont il deviendrait alors seul responsable du traitement, le tout à condition d’avoir régulièrement obtenu le consentement des personnes dont les données sont collectées dans la base de données du franchisé.

Le franchiseur et le franchisé peuvent théoriquement poursuivre le traitement des données dont ils sont respectivement responsables.

Il convient cependant d’être vigilant sur deux points :

- l’article 5.1 b) du RGPD dispose que les données doivent être collectées « pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

- il convient de s’assurer tout particulièrement du respect par le franchisé de la clause de non-concurrence post-contractuelle et du respect de l’obligation pour l’ex-franchisé de ne pas exploiter les données-clients pendant le délai de non-concurrence.

Dans cette hypothèse, le schéma est inversé : c’est au franchiseur sous-traitant, selon la volonté du franchisé responsable du traitement, de supprimer ou de renvoyer les données à caractère personnel et de détruire les copies existantes.

Le franchisé titulaire d’un droit sui generis sur le base données ainsi constituée pourrait autoriser le franchiseur à collecter les données dans une base données qui lui serait propre et dont il deviendrait responsable du traitement, à condition de s’assurer du consentement des personnes dont les données dans la base de données du franchiseur ex-sous-traitant.

Dans cette hypothèse, le franchisé n’a pas accès aux données collectées par le franchiseur dans sa propre base de données et réciproquement.

Le contrat de franchise peut éventuellement prévoir une cession au franchiseur des données clients-collectés par le franchisé grâce à la notoriété et à la marque du franchiseur. Pour mettre en œuvre cette transmission, il faudra s’assurer de la bonne information et du consentement à la cession des personnes dont les données ont été initialement collectées dans la base du franchiseur.

L’obligation pour chacun de respecter les obligations qui lui incombent ne dispensent pas les Parties de prévoir au sein du Contrat une clause organisant les rôles, les responsabilités et les sanctions contractuelles en cas de manquement.

Franchise et RGPD, Vanessa BOUCHARA

Vanessa BOUCHARA, Avocat associé fondateur

Franchise et RGPD : Le regard du cabinet expert

Dans la franchise, le RGPD peut être vu comme un nouvel arsenal juridique visant à complexifier la vie des entreprises mais également comme une opportunité concurrentielle, éthique et pratique pour ces dernières. En effet, la sensibilité des consommateurs à la protection des données étant réelle, tout réseau faisant de la protection des données une priorité saura être reconnu et valorisé, et en tout état de cause évitera les sanctions consacrées par le RGPD ainsi que les atteintes à sa réputation.

Franchise et RGPD : Un point de vigilance

La protection des données dès la conception et par défaut est un principe fondamental. Les entreprises doivent veiller à bien prendre en considération la conformité de leurs projets en amont, et s’assurer ainsi que les données seront bien traitées dans les conditions prévues au RGPD. Il en est de même de la contractualisation des traitements de données, en particulier dans le cadre de la relation franchisé – franchiseur, qui se doit d’être finalisée dans les conditions prévues au RGPD avant la mise en œuvre des traitements.

 

Comment nous pouvons vous aider ? 

Franchise Management, forte de son expérience en audit des réseaux, peut vous aider à poser un premier diagnostic sur votre organisation en matière de traitement des données personnelles. Pour aller plus en profondeur, apprécier votre conformité légale et vous aider à progresser dans votre approche de compliance RGPD, nos cabinets partenaires et en particulier le Cabinet Bouchara & Avocats pourra vous accompagner dans vos démarches de mise en conformité.

Au sujet de l'auteur ...

Parlez nous de votre projet !

Notre équipe de consultants répond à toutes vos questions, contactez-nous !