Franchisés et données personnelles, quelles précautions prendre ?

La gestion des données personnelles est un enjeu pour les enseignes, qui doivent s’assurer du respect des règles posées par le RGPD par l’ensemble des membres de leur réseau.

Franchise Business Club a récemment fait paraître un article intitulé « Comment les franchisés peuvent mettre votre marque en danger ». Tiré d’un article publié par Deloitte Australie de 2017, il pointait les risques liés à un éventuel incident concernant les données personnelles d’un client et attirait l’attention des enseignes sur la nécessité de s’assurer du respect de ces règles par les franchisés.

Qu’en est-il pour les réseaux français, au regard de la réglementation en vigueur ? Pour mémoire, en France le cadre réglementaire résulte du règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel, dit RGPD, ainsi que de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que refondue à la suite de l’adoption du RGPD par l’ordonnance n°2018-1125 du 12 décembre 2018. Ce cadre est complété par le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 remaniée.

Il est bien sûr indispensable que l’enseigne s’assure que son franchisé respecte la règlementation en vigueur. Un engagement spécifique doit être pris sur ce point dans le contrat de franchise. Mais il doit également s’assurer auprès des fournisseurs de solutions informatiques que les solutions qu’il sélectionne et dont il impose l’usage au franchisé permettent le respect de ces règles, en fonction de la nature des données concernées. Ainsi, dans le domaine de la santé, qui implique la collecte de données sensibles répondant à des exigences spécifiques. Le Franchiseur veillera également à ce que les sites internet qui permettent la collecte de données comportent les mentions d’information requises et permettent le consentement des personnes dont les données sont collectées. En imposant contractuellement à ses franchisés l’utilisation d’outils non conformes, il serait susceptible d’engager sa responsabilité.

Il doit en outre s’assurer de l’effectivité de ce respect. Cela peut se traduire en amont par une formation et une assistance sur le fonctionnement desdites solutions. Au-delà de la maîtrise technique des outils, de la bonne application des consignes de sécurité (comme la protection des identifiants et mots de passe des utilisateurs, pour éviter toute intrusion), les franchisés doivent savoir dans quel cas un traitement est licite ou non, connaitre les principes liés au traitement des données, savoir comment collecter l’accord des personnes dont ils recueillent les données, ou encore connaitre les droits de ces derniers et comment agir en cas d’exercice de ceux-ci. Ils doivent savoir quels sont les documents dont ils doivent disposer et les procédures à mettre en œuvre en cas de difficultés. En outre, ils doivent être sensibilisés à certains risques spécifiques. Ainsi par exemple, tous les outils de collecte ou de traitement qui comportent la possibilité d’associer des commentaires libres aux données personnelles présentent des risques importants dans la mesure où les utilisateurs de ces solutions peuvent y intégrer des données ou commentaires prohibés. Cela peut être le cas de commentaires qui, par exemple, révéleraient une origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques ou encore l’appartenance syndicale des personnes. Plus généralement, ne peuvent être collectées et traitées que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Les franchisés doivent y être sensibilisés et s’assurer que leur personnel respecte ces prescriptions. Ce n’est pas forcément le franchiseur qui les formera sur tous ces éléments, mais il doit leur rappeler leurs obligations et s’assurer que ces questions sont maîtrisées.

En matière de données personnelles et de franchise (ou plus généralement de réseaux de commerce organisé) il y a un point d’attention particulier qui doit être spécifiquement traité et ce, dès le contrat de franchise. Il s’agit des obligations respectives du Franchiseur et du Franchisé par rapport aux données traitées. En effet, le fait que le réseau soit composé de commerçants indépendants implique que les données d’une même personne peuvent être transmises à une autre personne que celle qui les a collectées ou à tout le moins faire l’objet d’un traitement par plusieurs personnes (exemple : le franchisé qui collecte les données en point de vente et le franchiseur qui organise un emailing aux clients du réseau). Cela implique l’accès d’une partie à une base de données de l’autre partie. Cet accès doit bien sûr être autorisé, sous peine de sanctions pénales.

Entrent également en jeu, en lien avec le traitement de ces données, les notions essentielles de responsable de traitement et de sous-traitant. Le responsable de traitement est défini comme : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement » (RGPD art. 4). Le sous-traitant est défini pour sa part comme : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (RGPD art. 4).

A ces deux notions sont associées des responsabilités et des obligations spécifiques. Ainsi le responsable de traitement doit « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au [RGPD] ». Il ne peut recourir qu’à des sous-traitants qui présentent des garanties suffisantes pour la mise en œuvre de ces mesures.

Le traitement par un sous-traitant doit faire l’objet d’un contrat qui doit comporter certaines mentions spécifiques, définies à l’article 28 du RGPD. C’est pour cela qu’il est essentiel que cette question soit traitée dès le contrat de franchise, dans la mesure où des données sont susceptibles d’être traitée dès le début de son exécution.

Se pose alors la question de savoir qui, du franchiseur ou du franchisé, sera responsable de traitement, le cas échéant co-responsable, ou sous-traitant. Sur cette question il n’existe pas de réponse définitive. Il convient d’analyser la situation dans chaque réseau, en fonction des logiciels retenus, de l’organisation des bases de données, des finalités et moyens du traitement, de qui définit ces derniers, et des traitements éventuellement opérés par l’autre partie au contrat. Les qualifications seront ainsi différentes entre, par exemple :

• Un réseau de restaurants, avec un logiciel de caisse référencé par le franchiseur, reposant sur des bases de données propres chaque franchisé, qui est le seul à collecter les données au sein du restaurant, pour les utiliser pour un système de fidélité valide uniquement dans son restaurant, sans que le franchiseur ne réalise de traitements spécifiques ; et

• Un réseau de prestations de services dont les données sont essentiellement collectées par le site internet du franchiseur, stockées dans une base de donnée unique commune à l’ensemble des membres du réseau, disposant d’un système de fidélité commun, que le franchiseur utilise pour faire régulièrement des emailings, le franchisé ne traitant les données que pour l’émission des factures des prestations dont il avait la charge.

Un autre point d’attention spécifique porte sur les conséquences de la fin du contrat entre le responsable de traitement et le sous-traitant, telles que prévues à l’article 28 du RGPD. Par principe, le sous-traitant, lorsque sa relation cesse avec le franchiseur, doit soit détruire toutes les données en sa possession, soit les restituer au responsable de traitement et détruire toute copie qu’il aurait en sa possession. Manifestement conçu pour des sous-traitant prestataires du responsable du traitement (exemple : une agence de communication qui va réaliser une opération d’emailing pour le compte du responsable de traitement), cela pose une difficulté dans les réseaux de commerce organisé. En effet, cela veut dire que la partie qui est considérée comme sous-traitant doit cesser tout usage des données des clients. Or l’enseigne peut souhaiter continuer adresser des informations aux clients dont les données ont été collectées par un franchisé qui a quitté le réseau. De son côté, un franchisé peut souhaiter conserver les données des clients dont il a collecté les données dans son point de vente ou son agence.

Dans ce cas il est nécessaire de prévoir contractuellement le transfert des données, entre celui qui sera le responsable de traitement et celui qui était sous-traitant, afin que ce dernier puisse les conserver dans une base de données qui lui sera propre et dont il sera alors responsable de traitement. Si rien n’est prévu un tel transfert ne sera pas possible, sous réserve en outre, et en toute hypothèse, que la personne dont les données ont été collectées ait consenti à ce transfert.

La « data » est devenue un enjeu économique majeur. Les réseaux de commerce organisés et le développement des outils informatiques interconnectés, en accès distant, permettent de la collecter et de la mutualiser facilement, dans l’intérêt de ses membres. Toutefois, les enjeux liés à la protection de ces données impliquent des précautions particulières, dont le respect implique tous les membres des réseaux, et même au-delà, toutes les personnes qui peuvent y avoir accès. Dans les réseaux, il n’y a pas à cet égard une solution type qui s’appliquerait à tous les réseaux. Un travail d’analyse est nécessaire, pour mettre en place des solutions adaptées, lesquelles doivent en outre être périodiquement revues, compte tenu de l’évolution du réseau, de son organisation, et des outils qu’il utilise.