Les risques RGPD dans les réseaux de franchise
Deux ans après l’entrée en application du Règlement Général sur la Protection des Données Personnelles (RGPD), il est aujourd’hui impératif pour toute entreprise traitant des données de résidents européens, de se conformer aux enjeux de la protection des données personnelles.
Encore de nombreuses structures tardent à se mettre en règle malgré les nombreux risques d’une non-conformité aux règles de protection des données.
Au regard du nombre important de réseaux de franchises au sein de l’économie française (on pouvait compter notamment 78 218 points de vente franchisés en 2019), la question de la mise en conformité de tels réseaux se pose. Ces réseaux partagent la même marque, et de fait également, les risques d’image liés à un non-respect des exigences relatives à la protection des données personnelles.
Les réseaux de franchise :
La franchise est un mode de collaboration entre deux entreprises juridiquement et financièrement indépendantes : le franchiseur et le franchisé.
C’est ainsi que le franchiseur accorde au franchisé, le droit de commercialiser des types de produits et/ou de services ainsi que des droits incorporels (nom commercial, marques, licences), en échange d’une compensation financière directe ou indirecte, établi dans un contrat de franchise.
Le franchisé est propriétaire de son entreprise. Il est certes juridiquement indépendant, mais il doit appliquer la stratégie commerciale décidée par son franchiseur. Il doit également respecter la politique commerciale définie par le franchiseur à savoir la manière de présenter le concept sous franchise et les standards de qualité qui s’y appliquent. La relation franchiseur/franchisé est fondée sur le principe d’indépendance du franchisé et sur l’obligation du franchiseur d’apporter assistance et conseil.
Par cette relation, le franchiseur peut proposer des outils techniques et juridiques tels que des outils de gestion de la base de données clients ou des outils de gestion des ressources humaines. Il peut également mettre à disposition des modèles de documents tels que des contrats types ou des procédures. Le franchiseur et le franchisé peuvent également disposer d’un Délégué à la Protection des Données mutualisé. Comme le précise, le Code européen de la franchise, le franchiseur est censé assister son franchisé « par l’apport continu d’assistance commerciale et ou technique ».
La protection des données personnelles et risques associés :
Ne pas se conformer aux enjeux de la protection des données personnelles peut sembler sans conséquence mais cela engendre de lourds risques pour l’entreprise.
Un risque financier
Tout d’abord un risque financier car avec plus de 300 contrôles effectués en 2019, la CNIL n’hésite pas à sanctionner tous ceux qui n’adopteraient pas des mesures de protection des données personnelles (et ces sanctions ne sont pas réservées uniquement aux grandes entreprises).
Pour rappel, le non-respect des dispositions légales entraine une sanction pécuniaire pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial d’un organisme ou bien 20 millions d’euros, le montant le plus élevé étant celui retenu.
Un risque d’image
Bien plus qu’un risque financier, une sanction de la CNIL conduit à un risque d’image, qui a pour conséquence une perte de confiance tant des clients que des partenaires ou des collaborateurs.
Selon une étude menée par OpinionWay en 2018 :
8 français sur 10 se disaient prêts à renoncer à acheter des marques qui ne respecteraient pas la règlementation sur la protection des données personnelles
55% seraient même prêts à attaquer en justice l’entreprise non conforme.
Le nombre de plaintes reçues par la CNIL a augmenté de 27 % entre 2018 et 2019 et plus de 40% des contrôles réalisés par la CNIL font suite à la réception d’une plainte.
Le non-respect des droits des individus sur leurs données ou un manque d’information apportées aux utilisateurs peut entraîner une mise en demeure ou une sanction de la CNIL. Cette action de la CNIL engendre un fort impact d’image sur l’ensemble du réseau et donc un risque de perte de clients, de salariés et de partenaires.
De plus, ne pas protéger les données personnelles traitées au sein d’un organisme peut augmenter les risques liés à la cybersécurité. En 2020, 91% des organisations françaises ont été victimes d’une cyberattaque selon une étude menée par le spécialiste Proofpoint. Ainsi une mauvaise protection des données facilite le vol de données par une personne malveillante. Les données pouvant être subtilisées par une telle personne pourront être, à titre d’exemple, des données d’identité d’un client ou d’un salarié. Ce « hacker » pourra par la suite demander une rançon sous peine de les rendre indisponibles ou de les divulguer. L’entreprise prend alors le risque de se faire sanctionner par la CNIL et de mettre en péril son image de marque.
Réseaux de franchises, quelles sont les solutions pour se mettre en conformité ?
Les actions prioritaires à mettre en place pour limiter ces risques sont alors de :
Définir les responsabilités du franchiseur et du franchisé
Conseiller les franchisés sur la démarche à suivre
Sensibiliser tout le réseau de commerce organisé
1- Définir les responsabilités
L’une des questions principales à laquelle les réseaux de franchises doivent répondre est la question de la responsabilité du franchiseur et du franchisé dans le cadre des opérations de traitements de données.
Pour rappel, conformément à l’article 4 du RGPD, le responsable de traitement est la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de réalisation d’un traitement de données.
En pratique, il s'agit généralement de la personne morale (entreprise, collectivité, etc.) incarnée par son représentant légal (président, maire, etc.).
Le sous-traitant est quant à lui, la personne, l’autorité publique, la société ou l’organisme qui réalise un traitement de données, pour le compte d’un responsable de traitement sans en avoir déterminé les objectifs ou moyens.
Pour chaque typologie de traitement, les responsabilités doivent être analysées.
Le franchiseur responsable de traitement
Prenons pour exemple le cas d’un franchiseur mettant à disposition de son franchisé un outil de gestion des données clients. Dans cet outil, toutes les données clients du réseau de franchise sont stockées. Si le franchiseur réalise des campagnes marketing directement depuis cette base clients commune, il pourrait être considéré comme un responsable de traitement, déterminant les finalités et les moyens des traitements liés à l’utilisation de cette base de données clients (article 24 du RGPD).
Le franchiseur sous-traitant
Cependant lorsque le franchiseur propose uniquement un logiciel mutualisé de gestion de la base client sans pour autant avoir accès aux données personnelles des clients du franchisé, le franchisé sera en charge de la relation clientèle ainsi que des données collectées en tant que responsable de traitement. Le franchiseur sera alors considéré comme un sous-traitant car il mettra à disposition de son franchisé une solution informatique.
Ainsi en tant que sous-traitant, le franchiseur devra garantir à son franchisé, la conformité de cet outil aux exigences légales (conformément à l’article 28 du RGPD) notamment par :
la réalisation d’audit,
la mise en place d’une protection de données by design et by default,
une obligation de transparence,
la mise en œuvre de mesures de sécurité,
et l’obligation de communiquer au responsable de traitement toute la documentation nécessaire.
Le franchiseur et le franchisé comme responsables de traitement distincts
Enfin, il est possible que le franchiseur et le franchisé soient tous deux responsables de traitements, indépendamment l’un de l’autre.
Chacun sera donc responsable des traitements qu’il réalise, et devra ainsi assumer la protection des données collectées. Tel est le cas, lorsque le franchisé gère à lui seul, son fichier client et que le franchiseur ne réalise aucune opération sur les données du franchisé. Le franchisé et le franchiseur engageront donc leur responsabilité, uniquement s’ils commettent des fautes dans le traitement de leurs propres données collectées.
Ainsi, on constate que le franchisé peut être tant responsable de traitement que sous-traitant. C’est ce qu’illustre une délibération de l’autorité de contrôle de 2010, dans laquelle le franchisé était nommé en tant que responsable de traitement car il avait la faculté de façon partielle, de déterminer les finalités et les moyens des traitements mis en cause. En l’espèce, le franchisé renseignait dans le champ des commentaires libres d’un logiciel mis à disposition par le franchiseur des informations sensibles. Le franchisé effectuait donc un contrôle des bases de données et du contenu.
A contrario, par la suite, la CNIL a admis que le franchiseur était un responsable de traitement car il était le seul qui avait la main pour définir les moyens du traitement.
La non-détermination claire et précise du rôle de chacun dans la relation de franchise, pousserait donc la CNIL à plus facilement concevoir que le franchiseur et le franchisé sont tous deux responsables de traitement distincts. Cela aurait pour conséquence de faire porter une lourde responsabilité sur chacune des deux parties. De ce fait, il est impératif de préciser les moyens et les finalités du traitement de chacun dans le contrat de franchise par une clause RGPD claire, notamment en cartographiant les données traitées par chacun pour ensuite statuer sur une qualification adéquate.
Par exemple, lors de la cessation de la relation, si un franchisé est déterminé comme étant un sous-traitant, il doit en principe restituer au responsable de traitement les données en sa possession et les détruire. Il est possible que ce franchisé souhaite garder la liste de sa clientèle constituée. Dès lors, il est important de prévoir dans le contrat ce transfert de données, afin de déterminer en amont si le franchisé quittant le réseau puisse ou non garder la base de données clients.
Des indices permettant de déterminer le rôle de chacun : la nature du réseau de la franchise, le caractère facultatif ou obligatoire des outils mis à disposition, la gestion des données par le franchiseur ou le franchisé ou encore par les deux acteurs.
2- Accompagnement du réseau de franchise par le franchiseur
Dans le cadre son obligation d’assistance commerciale et technique, il est nécessaire, que le franchiseur accompagne son réseau dans sa mise en conformité au RGPD.
Cet accompagnement peut prendre plusieurs formes :
La mise à disposition d’outils de mise en conformité : plan d’action, audit, réalisation d’analyse d’impact, mise en place de kit documentaire type notamment sur les sites web, outil de gestion de la conformité (commun à l’ensemble du réseau de franchise), mise en œuvre de registres de traitement, rédaction de procédures de gestion des droits et de procédures de notification en cas de violation ;
Le choix d’un DPO mutualisé pour l’ensemble du réseau de franchise, pilotant ce dispositif de mise en conformité ;
Le choix d’un partenaire externe, expert du sujet, ayant la capacité d’accompagner l’ensemble du réseau ;
La mise en conformité de quelques franchises, représentatives du réseau afin de pouvoir préparer un kit de conformité déployable par l’ensemble des autres franchises du réseau ;
S’assurer que les partenaires du franchiseur (et dont les services sont imposés aux franchisés), respectent les dispositions du RGPD.
3- Sensibilisation du réseau de franchise
Le projet de mise en conformité ne peut être efficace sans la sensibilisation et la formation des acteurs traitant opérationnellement les données.
Ces actions de sensibilisation doivent être incluses au processus d’intégration des nouveaux franchisés mais également concerner l’ensemble des nouveaux salariés du réseau.
Le franchiseur a tout intérêt à assister et former ses franchisés afin qu’ils respectent les principes de protection des données personnelles
La sensibilisation peut être réalisée de différentes manières :
L’assimilation de cette thématique dès l’intégration des nouveaux franchisés, afin de leur apprendre les principes liés au traitement licite des données ;
La mise à disposition d’un kit de sensibilisation intégrant des infographies et des fiches réflexes ;
La mise à disposition de charte d’hygiène informatique, sur les bonnes pratiques informatiques à avoir (mots de passe robustes, protection des identifiants, mise à jour régulière et sauvegarde externe) ;
La mise à disposition d’un programme de formation en e-learning à déployer dans l’ensemble du réseau (protection des données, cybersécurité, …) ;
La formation en présentiel des acteurs clés des traitements de données personnelles (notamment les commerciaux, le service RH, le service informatique).
Ainsi les réseaux de franchises, sont amenés à collecter et à traiter une volumétrie importante de données. Ces données personnelles sont de plus en plus souvent traitées via des outils interconnectés ou mutualisées. Il est donc d’autant plus important de mettre en place un système de protection des données solide afin d’améliorer la gouvernance des activités.
Une analyse complète pour identifier les carences et mettre en place des solutions adaptées est nécessaire. L’effectivité de ces mesures ne sera réelle que si elles sont accompagnées d’une bonne sensibilisation des équipes aux enjeux de la protection des données personnelles.
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Justine Cabanis, DPO certifiée et Irina Sookun, juriste, pour le blog La Robe Numérique
Sources :
Règlements général sur la protection des données
Fédération française de la franchise
Délibération de la CNIL 2010-113 du 22 avril 2010
Délibération de la CNIL 2011-205 du 6 octobre 2011
RGPD et franchises : un choc des titans ? Article de doctrine Patchwork Avocats et Hayat Avocats