Enseignes et données personnelles: Quels points d’attention?

Les données personnelles collectées par les réseaux de commerce doivent faire l’objet d’une attention particulière, compte tenu des obligations qui y sont liées. Il est donc important de bien analyser le système mis en place pour s’assurer qu’il ne présente pas de risques.

Les données personnelles sont devenues un enjeu stratégique, en particulier pour les réseaux de commerce. Les données collectées par l’ensemble des membres du réseau sont un outil essentiel pour le développement de celui-ci mais également pour son fonctionnement. Elles permettent en effet à une enseigne, notamment:

–    d’analyser la performance de son réseau, les caractéristiques de sa clientèle en établissant des statistiques;
–    de conduire des actions auprès de la clientèle;
–    de déceler les difficultés des établissements et membres du réseau.

S’il n’a jamais été aussi simple de collecter, échanger ou encore traiter ces données, les opérations liées à ces données sont spécifiquement réglementées, dans la mesure où elles touchent à la personnalité et à la vie privée des individus. Cette réglementation, dont l’élément central est la loi dite « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, comporte également des incriminations de natures pénales.

Dès lors qu’une enseigne, quelle qu’elle soit, ne peut s’affranchir de la mise en place d’un système de collecte et de traitement des données, il est indispensable qu’elle prenne le temps de définir précisément les caractéristiques du système mis ou à mettre en place. Cette analyse est absolument indispensable pour s’assurer que l’ensemble des intervenants respectent les règles en vigueur, effectuent le cas échéant les déclarations ou formalités nécessaires et que les droits des personnes dont les données sont collectées sont respectés.

Dans ce cadre, et sans vouloir être exhaustif sur ce sujet, il est indispensable pour les enseignes de pouvoir répondre aux questions suivantes:

–    Quelles sont les données collectées?
–    Comment et par qui ces données sont collectées?
–    Comment et selon quelles modalités sont-elles conservées? En particulier, y a-t-il une ou plusieurs bases de données, qui a pris l’initiative et supporté les investissements de la mise en place de chacune des bases de données concernées?
–    Quel est le traitement réalisé avec ces données? Quelles en sont les finalités?
–    Quelles sont les personnes qui doivent accéder à ces données? De quelles manières? Pour quelle utilisation?
–    Les données doivent-elles être transmises à des tiers? De quelle manière? Dans quel but? Où se situent ces tiers?

En dressant un tel état des lieux, l’enseigne sera à même de déterminer ses propres obligations et celles des autres parties impliquées dans les opérations liées à ces données. Ainsi en particulier, qui sera considéré comme responsable du traitement ou comme sous-traitant pour la ou les bases de données mises en œuvres, qui aura en conséquence la charge de déclarer voire obtenir l’autorisation nécessaire pour chacune des bases concernées?

Elle sera aussi à même d’organiser les relations entres les parties impliquées et le rôle de chacune. Par exemple, si les données collectées sont hébergées dans des bases individuelles propres à chaque franchisé, le franchiseur bénéficie-t-il bien d’une autorisation d’accéder à la base de données de chaque franchisé pour y consulter et le cas échéant dupliquer ou extraire certaines données. Rappelons dans ce cadre en particulier que le seul fait d’accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données constitue un délit pénal sanctionné jusqu’à deux (2) ans d’emprisonnement et 60.000 euros d’amende. Ces peines peuvent être augmentées s’il en est résulté une modification ou une suppression de données, ou encore une altération du fonctionnement du système.

Le simple fait que des données soient collectées à l’occasion de l’exploitation d’une enseigne par un tiers signataire d’un contrat de distribution avec la société tête de réseau, ne donne pas à cette dernière le droit d’accéder à ces données, sauf si ce contrat comporte une autorisation spécifique à cet effet. De plus, les modalités d’organisation des systèmes de collecte et de traitement des données peuvent être très différentes d’un réseau à l’autre, en fonction en particulier de la manière dont celui-ci est organisé et des choix qui ont pu être opérés en matière de système d’information. Une analyse précise et propre à chaque réseau est donc nécessaire. Elle doit de plus être actualisée périodiquement, en fonction de l’évolution de celui-ci et de l’organisation mise en place.

Nous vous invitons à lire ici un article paru dans le Journal du Management sur l’enjeu pour les enseignes et les industriels en matière de données collectées.