SOMMAIRE
- I/ Quels sont les principaux risques auxquels un franchiseur s’expose s’il ne respecte pas le RGPD ?
- II/ Dans une relation franchiseur-franchisé, comment le RGPD s’applique-t-il spécifiquement à la gestion des données personnelles des franchisés, des employés et des clients ?
- III/ Quels documents ou processus sont indispensables pour prouver la conformité d’un réseau de franchise au RGPD ?
- IV/ Quels types de données personnelles sont particulièrement sensibles dans le cadre d’un réseau de franchise, et comment les franchiseurs doivent-ils les protéger ?
- V/ Que faut-il prévoir au contrat de franchise ou d’autres accords pour que les responsabilités relatives au RGPD soient clairement définies entre le franchiseur et ses franchisés ?
- VI/ Quels sont les écueils les plus courants observés chez les franchiseurs dans la mise en œuvre le RGPD, et quelles solutions pratiques recommandez-vous ?
Pour adresser ce sujet crucial mais aussi assez technique, nous avons interviewé Maître Arnaud Tessalonikos, avocat associé et responsable du Pôle Digital Tech & Data du cabinet Fidal à Paris.
Pour une meilleure compréhension, les réponses de l’expert ont été sous-rubriquées.
Bonne lecture,
L’équipe Axe Réseaux
Fidèle à sa réputation, Axe Réseaux aide le dirigeant de tout concept prometteur à développer sa franchise.
I/ Quels sont les principaux risques auxquels un franchiseur s’expose s’il ne respecte pas le RGPD ?
1.1/ Un risque de sanctions financières
Tout d’abord, le franchiseur contrevenant s’expose à une éventuelle amende de la part de la CNIL. En 2023, l’autorité administrative Indépendante en a infligé 36, pour un montant cumulé de près de 90 millions d’euros[1]. En cela, elle veut pénaliser les entreprises qui ne mettent pas en place des mesures adéquates pour le traitement des données personnelles, cela quelle que soit leur taille.
Dans ce contexte et selon le RGPD[2], rappelons que les sanctions pécuniaires peuvent atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial.
Lorsqu’elle siège en formation restreinte, la CNIL peut prononcer différentes mesures[3] :
- Un rappel à l’ordre ;
- Une injonction de mise en conformité des traitements ;
- Une limitation temporaire ou définitive des opérations concernées ;
- Et une obligation de satisfaire aux demandes d’exercice des droits des personnes concernées.
Le risque financier peut également découler de la condamnation par une juridiction civile, à la suite d’une action en responsabilité introduite par des personnes ayant subi une violation de leurs données personnelles. Une action pouvant aussi inclure des actions de groupe, et ainsi amplifier les montants en jeu, étant donné l’indemnisation collective des victimes.
1.2/ Un risque d’image
A ces risques financiers, s’ajoute un risque réputationnel, car la CNIL peut rendre publiques les amendes infligées aux entreprises.
Si la sanction financière infligée par la commission ou le juge concerne exclusivement la société (franchiseur ou franchisée) n’ayant pas respecté les obligations liées au RGPD, la décision de publier cette sanction peut avoir un impact réputationnel pour le réseau de franchise.
Je rappelle qu’en qualité de garant de l’enseigne et titulaire légitime de la marque, le franchiseur en concède l’usage à chacun de ses franchisés, aux fins d’exploiter son concept et selon son savoir-faire.
Aussi, contrevenir à la règlementation des données personnelles par le franchiseur ou par l’un des franchisés peut affecter gravement l’image de marque du réseau de franchise et finir par nuire à la performance des franchisés.
Afin d’éviter toutes conséquences dommageables pour les membres du réseau et ainsi préserver la relation de confiance avec les parties prenantes, franchiseur et franchisés s’assureront de respecter leurs obligations en matière de données personnelles – telles que prévues dans le contrat de franchise.
Je souligne aussi que pour la CNIL la protection des données personnelles est un sujet de plus en plus prégnant pour le grand public. En 2023, elle a reçu pas moins de 16 433 plaintes (+35 % par rapport à 2022)[4].
1.3/ Un risque pénal
Le Code pénal, et plus particulièrement ses articles 226-16 et suivants, prévoient des sanctions pénales pour les atteintes à ces données, telles que la méconnaissance de l’obligation de notifications de ces violations [5].
Obligatoires auprès de la CNIL et parfois des personnes concernées, ces notifications peuvent également engendrer des coûts élevés pour les responsables de traitement (frais d’envoi, campagnes de communication, etc.)
II/ Dans une relation franchiseur-franchisé, comment le RGPD s’applique-t-il spécifiquement à la gestion des données personnelles des franchisés, des employés et des clients ?
Dans une relation franchiseur-franchisé, le RGPD s’applique à trois niveaux : le responsable de traitement, le responsable conjoint du traitement et le sous-traitant. Et de cette qualification découlent différentes obligations spécifiques.
Pour autant, il n’existe pas de situation qui soit applicable systématiquement. Il vaut mieux déterminer in concreto qui va réaliser quelle opération, avec quelles finalités et quels moyens – même si certaines tendances se dégagent dans les réseaux de franchise.
Sur un plan pratique, on peut réaliser une analyse détaillée des pratiques puis ventiler les opérations réalisés par chacune des parties dans les catégories appropriées, pour déterminer quelles obligations légales en découlent.
Dès lors il n’est pas opportun de procéder par des clauses-types, même s’il est possible de s’appuyer sur un document-type lié à notre expertise des réseaux de franchise, pour mener l’analyse susmentionnée et vérifier les pratiques du réseau sur cette base.
Je rappelle également que les qualifications éventuellement mentionnées dans les contrats de franchise (par exemple, le franchiseur est responsable de traitement et les franchisés sont sous-traitants) sont inopérantes si elles ne correspondent pas à la réalité. Le juge n’hésitera alors pas à restituer l’exacte qualification juridique aux pratiques des parties, conformément aux dispositions du RGPD.
Enfin, les contrats de franchise étant relativement homogènes, le franchiseur désireux de se conformer à la législation pourrait devoir modifier les clauses des contrats signés avec chacun de ses franchisés.
2.1/ Le franchiseur, responsable de traitement et le franchisé sous-traitant
Le responsable de traitement est l’entité – personne physique ou morale (autorité publique, société ou organisme), qui détermine les finalités et les moyens d’un traitement de données personnelles (article 4 du RGPD).
Le sous-traitant est l’entité qui traite ces informations pour le compte du responsable de traitement, sans en définir ni les finalités ni les moyens.
Ainsi lorsque le franchiseur les collecte ou les utilise à ses propres fins (suivi de la performance des franchisés, communication client de niveau nationale …), il agit généralement en tant que responsable de traitement.
2.2/ Le franchiseur est co-responsable de traitement avec le franchisé
Le franchiseur peut aussi être considéré comme co-responsable du traitement avec le franchisé, lorsqu’ils prennent conjointement des décisions relatives aux finalités et aux moyens de l’opération.
Prenons l’exemple de la mise en place d’un programme de fidélité partagé :
Contexte
Le franchiseur met en place un programme de fidélité pour l’ensemble du réseau de franchise, chaque franchisé ayant accès aux données des clients inscrits dans sa zone géographique.
Rôles
- Le franchiseur détermine les finalités principales (ex. analyse globale pour la stratégie marketing nationale) et il fournit la plateforme technique ;
- Le franchisé collecte les données en magasin, il les utilise pour ses propres campagnes locales (ex. envoi de promotions spécifiques), et il les partage avec le franchiseur pour une exploitation centralisée.
Pourquoi une co-responsabilité ?
Parce que les décisions concernant les finalités et les moyens (ex. outil de collecte, stratégie marketing) sont prises en commun, et que les éléments sont utilisées par les deux parties dans leurs intérêts respectifs.
2.3/ Le franchisé est responsable de traitement
Le franchisé est habituellement responsable du traitement pour les données personnelles produites dans le cadre de son activité propre, qu’il s’agisse (i) des données de ses employés, ou (ii) de celles relevant des clients qui fréquentent son point de vente (ou “ficher client”).
Chaque typologie de traitement doit donc être examinée au cas par cas, pour que la répartition des responsabilités entre franchiseur et franchisés soit conforme au RGPD.
Lire aussi “Le Digital Asset Management, atout maître des réseaux de franchise dans leur digitalisation”
III/ Quels documents ou processus sont indispensables pour prouver la conformité d’un réseau de franchise au RGPD ?
3.1/ Pourquoi y a-t-il besoin d’une bibliothèque de conformité ?
Chaque membre du réseau de franchise doit constituer une documentation apportant la preuve de sa conformité au RGPD. Cela permet également aux entreprises de respecter le principe d’ “accountability”, qui les oblige à mettre en place les mécanismes et les formalités internes qui démontreront leur conformité aux exigences du RGPD. Cette preuve de conformité découle des articles 5 et 24 du Règlement.
La CNIL recommande[6] que la bibliothèque de conformité comporte une documentation relative aux traitements de données personnelles, à l’information des personnes concernées, ainsi qu’aux contrats définissant les rôles et les responsabilités des différents acteurs du réseau de franchise.
3.2/ Contenu de la bibliothèque
a) Le registre des traitements
En vertu de l’article 30 du RGPD, le responsable de traitement et le cas échéant le sous-traitant, doivent tenir un registre listant les traitements de données. Cela permet d’avoir une vision claire et globale des activités qui nécessitent leur collecte et leur manipulation.
Ce registre indique notamment :
- Les finalités du traitement ;
- Une description des catégories de personnes concernées ;
- Les catégories de données à caractère personnel ;
- La base de légale de l’opération ;
- La durée de conservation ;
- Et d’autres informations requises pour garantir la conformité.
b) Les procédures en cas de violations des données
Chaque membre du réseau doit aussi disposer de procédures internes pour gérer les violations de données personnelles.
Ces procédures peuvent être harmonisées et définies par le franchiseur pour garantir une gestion cohérente au sein du réseau, notamment en cas de contrôle de la CNIL.
c) L´information des personnes concernées
Elle comprend des modèles de recueil du consentement des personnes concernées ainsi que les procédures mises en place pour permettre l’exercice de leurs droits, tels que le droit d’accès, de rectification ou d’opposition.
d) Les contrats définissant les rôles et responsabilités des membres du réseau
Cela inclut également les contrats conclus avec des sous-traitants externes, comme les prestataires de services ou les solutions de CRM, qui peuvent manipuler des datas pour le compte des franchiseurs ou des franchisés.
Lire aussi “Qu’est-ce que le manuel opératoire en franchise”
IV/ Quels types de données personnelles sont particulièrement sensibles dans le cadre d’un réseau de franchise, et comment les franchiseurs doivent-ils les protéger ?
4.1/ La distinction entre les données dites sensibles et non sensibles
Il convient de différencier les données sensibles au sens de l’article 9 du RGPD qui doivent être traitées selon des conditions strictes, de celles non sensibles au sens du RGPD mais qui méritent une attention particulière en raison de leur nature.
Leur gestion impose une rigueur particulière afin de garantir la conformité réglementaire et la preuve de cette conformité par le franchiseur mais aussi par tous ses franchisés.
4.2/ Les données dites sensibles
Tout d’abord, certains réseaux de franchise notamment dans des secteurs tels que la cosmétique, traitent des données sensibles au sens du RGPD en particulier celles relevant de la santé.
Conformément au règlement, la collecte ou l’utilisation de ces données est interdite sauf dans des cas précis, notamment lorsque la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ou encore lorsque leur utilisation est justifiée par l’intérêt public et est autorisée par la CNIL.
4.3/ Les données non sensibles
Les franchiseurs collectent et traitent aussi des données personnelles non sensibles au sens du RGPD, mais qui requièrent une vigilance accrue étant donné leur caractère stratégique ou confidentiel.
Parmi celles-ci :
- Les données financières et bancaires, telles que les chiffres d’affaires, les marges ou les investissements réalisés, et les informations bancaires des clients et des franchisés ;
- Les informations relatives aux performances commerciales, incluant les données sur les ventes ou les indicateurs de rentabilité des magasins ;
- Les données clients collectés via des programmes de fidélité ou les CRM, comme les préférences d’achat ou l’historique des commandes.
Bien que ces éléments ne soient pas soumis aux restrictions de l’article 9 du règlement RGPD, leur traitement exige des mesures de sécurité adéquates, ainsi qu’une transparence totale envers les personnes concernées.
Besoin de faire le point sur la gestion des données de votre réseau ? Parlons-en.
V/ Que faut-il prévoir au contrat de franchise ou d’autres accords pour que les responsabilités relatives au RGPD soient clairement définies entre le franchiseur et ses franchisés ?
Le contrat de franchise est le cadre indiqué pour intégrer des clauses spécifiques visant à (i) définir clairement les rôles respectifs des parties (responsable du traitement, sous-traitant, ou co-responsable), (ii) prévoir des mécanismes de collaboration, (iii) garantir la transparence sur les flux de données (notamment si transferts hors UE) et (iv) formaliser les procédures à suivre en cas d’incidents ou de demandes liées aux droits des personnes concernées.
La conclusion de clauses et/ou contrats connexes dédiées à cette protection est indispensable dans différentes situations :
5.1/ L’un des acteurs agit en tant que sous-traitant
Un Data Processing Agreement (DPA) conforme à l’article 28 du RGPD est indispensable pour encadrer les obligations du sous-traitant, telles que la confidentialité, la sécurité des données et l’assistance au responsable de traitement. Cela peut (doit) être une annexe au contrat de franchise.
5.2/ Les acteurs agissent en tant que responsables conjoints
Conformément à l’article 26 du règlement, un accord doit préciser leurs responsabilités respectives concernant le respect des droits des personnes concernées. Cela peut (doit) aussi être une annexe au contrat.
5.3/ Des données personnelles sont transférées en dehors de l’Union européenne
Des garanties adéquates doivent être prévues, telles que des clauses contractuelles types (CTT).
5.4/ Organiser la remontée d’informations en cas d’incidents de sécurité
Une procédure doit être définie pour que les franchiseurs ou les franchisés signalent à la CNIL rapidement toute violation de données, afin de respecter les délais imposés par le RGPD (72 heures).
Je rappelle que le non-respect de cette obligation peut entraîner des sanctions (amende prononcée par la CNIL). À titre d’exemple, Carrefour France a été sanctionnée en 2020 d’une amende de 2 250 000 euros pour plusieurs manquements, notamment pour son défaut de notification d’une violation de données personnelles[7].
5.5/ Organiser la remontée d’informations en cas de demande d’exercice de droits
Enfin, les franchisés doivent informer le franchiseur des demandes reçues de clients, pour pouvoir y répondre dans le délai imparti d’un mois, prolongeable de deux mois en cas de complexité, conformément à l’article 12 du RGPD.
VI/ Quels sont les écueils les plus courants observés chez les franchiseurs dans la mise en œuvre le RGPD, et quelles solutions pratiques recommandez-vous ?
Les franchiseurs rencontrent plusieurs écueils courants dans l’implémentation du RGPD, et ils font face notamment aux défis suivants :
6.1/ Définition imprécise des responsabilités
Plutôt courante, une définition imprécise des rôles et des responsabilités entre les parties au contrat, dans le traitement des données personnelles peut conduire à (i) une confusion sur qui est responsable de traitement et qui est sous-traitant, (ii) des difficultés à déterminer les obligations respectives de chaque partie, et (iii) à un risque de non-conformité et de sanctions.
Pour clarifier les responsabilités, il faut répondre aux questions suivantes :
- Qui prend les décisions ?
- À quelles fins le traitement est-il mis en place ?
- Qui décide des outils ou méthodes utilisés pour traiter les données ?
Je précise également que la détermination des finalités confère automatiquement le statut de responsable du traitement. Toutefois, le sous-traitant dispose d’une certaine latitude, dans les limites définies par le responsable de traitement lors de la conclusion du DPA.
6.2/ Accompagnement insuffisant des franchisés
Compte tenu des enjeux réputationnels, je considère que les franchisés devraient être formés au RGPD. Ainsi, au titre de son assistance commerciale et/ou technique, un franchiseur pourrait mettre en place (i) des actions de formation et de sensibilisation du réseau de franchise, (ii) des outils et des procédures standardisés pour une mise en conformité du réseau, (iii) de bonnes pratiques afin d’éviter des disparités entre les franchisés.
Dans la pratique, j’observe que les franchiseurs :
a) Organisent une sensibilisation au RGPD
Ils proposent aux franchisés des formations relatives aux obligations à respecter en matière de RGPD – telles qu’elles résultent du contrat de franchise, et à l’utilisation d’outils communs de gestion de la conformité pour l’ensemble du réseau.
Ensuite, ils communiquent des procédures permettant de gérer les droits des personnes et d’assurer la notification d’une violation de données.
b) Désignent un DPO mutualisé
Selon l’art. 37, al. 4 du RGPD, ils peuvent nommer un délégué à la protection des données commun à tout le réseau, chargé de superviser la mise en conformité, sous réserve de respecter les spécificités de la relation franchiseur-franchisés. Cela offre de nombreux avantages comme :
- Une réduction des coûts ;
- Une centralisation des compétences ;
- Une neutralité et une indépendance ;
- Une mutualisation des problématiques ;
- Une meilleure accessibilité et réactivité ;
- Et une meilleure intermédiation vis-à-vis des autorités.
De plus, en vertu de l’article 28 du RGPD, lorsqu’un franchiseur est responsable du traitement et que le franchisé agit en qualité de sous-traitant, le franchiseur doit veiller à ce que les franchisés offrent des garanties suffisantes dans la mise en œuvre de mesures techniques et organisationnelles appropriées.
Il peut s’agir de mesures techniques de sécurité du système d’information, d’audits réguliers, de la tenue d’un registre des traitements, etc. Ces garanties sont indispensables pour que le traitement respecte les exigences du RGPD, faute de quoi le franchiseur pourrait être tenu pour comptable.
6.3/ Enjeux connexes au RGPD pour les réseaux de franchise
Enfin, les réseaux de franchise doivent se saisir de deux enjeux connexes au RGPD :
a) La sécurisation des données personnelles
Dernièrement, de grandes enseignes (Auchan, Boulanger et Cultura) ont été victimes de cyberattaques. Des pirates ont pu accéder à leurs systèmes d’information et causer d’importantes fuites de données personnelles de leurs clients : noms, prénoms, identifiants, adresses e-mail et postales, numéros de téléphone, liste des produits achetés …
Face à de telles menaces, les réseaux de franchise doivent sécuriser ces données (art. 32 du RGPD), par la mise en place de processus internes de sécurité qui soient conformes aux récentes législations nationales et européennes en matière de sécurité (Loi SREN, Directive NIS 2, Directive Résilience des Entités Critiques (REC), etc.).
En ce sens, je considère que les entreprises sont passées d’un « droit à la sécurité » à une « obligation de se sécuriser ».
b) La protection des producteurs de bases de données
Découlant d’un droit sui generis en droit de la propriété intellectuelle, cette protection permet à la personne qui prend l’initiative et assume le risque des investissements nécessaires à la production d’une base de données, de bénéficier d’un droit exclusif sur sa structure et son organisation. Un droit qui la protège également contre l’extraction ou la réutilisation non autorisée des informations.
Dans le cadre d’un réseau de franchise, ces droits doivent être clairement définis dans les contrats en raison de leur valeur commerciale, qui correspond aux investissements ayant permis de constituer le savoir-faire et les bases informatiques de l’enseigne.
Un cadre contractuel rigoureux permettra au franchiseur, en tant que producteur de bases de données, de protéger son investissement tout en respectant les prescriptions légales liées à la gestion et à l’utilisation des données.
Références :
[1] La CNIL publie son rapport annuel 2023 | CNIL
[2] CHAPITRE VIII – Voies de recours, responsabilité et sanctions | CNIL – Article 83
[3] Sanction | CNIL
[4] La CNIL publie son rapport annuel 2023 | CNIL
[5] Article 226-17-1 – Code pénal – Légifrance
[6] RGPD : Documenter la conformité | CNIL
[7] Délibération SAN-2020-008 du 18 novembre 2020 – Légifrance
- Vous souhaitez nous partager votre problématique ? Prenons RDV sans attendre !
- Que vous doutiez ou partagiez notre point de vue, n’hésitez pas à entamer la discussion en commentaires ou sur la page LinkedIn Axe Réseaux.
- Retrouvez également toutes nos ressources: