Réseau de franchise : comment garantir sa conformité RGPD ?

Lors de la création d’un réseau de franchise, le franchiseur met en place une organisation spécifique. Cette dernière s’accompagne régulièrement d’engagements réciproques contractualisés au sein du contrat de franchise. Ces engagements permettent ainsi de répartir les accès aux bases de données clients, aux outils informatiques du franchiseur, aux actions de communication, etc.

Or, l’ensemble de ces sujets ont un lien direct avec la protection des données personnelles, et entraînent le nécessaire respect de règles sectorielles (par exemple, le respect des dispositions du Code des postes et de la communication électronique qui gouvernent les actions de prospection commerciale par SMS et courriel).

Le présent article a pour objectif de présenter les principales conséquences issues de l’application du RGPD au sein d’un réseau de franchise.

Détermination des qualifications des acteurs du réseau de franchise

En organisant un réseau de franchise, un franchiseur effectue la définition – souvent sans le savoir – des qualifications juridiques applicables : responsable de traitement conjoint ou indépendant, sous-traitant initial ou ultérieur. En effet, selon le degré de partage des bases de données ou la répartition des différentes actions de communication, le franchiseur peut être qualifié alternativement de responsable de traitement indépendant, conjoint, voire de sous-traitant.

Ces qualifications s’imposent aux acteurs : elles ne peuvent pas être sélectionnées et figées contractuellement par la seule volonté des parties. Selon des critères fixés par les autorités de contrôle (et principalement par le CEPD – le Comité européen de protection des données) (*), les acteurs du réseau de franchise seront susceptibles d’être qualifiés, de façon objective, de responsable ou de sous-traitant.

Cette analyse est menée au cas par cas, selon l’organisation du réseau de franchise. Les principaux critères à analyser sont les suivants : 

L’organisation des bases de données

L'organisation de la source de données comprend la source de la collecte, l’organisation du partage des données et des accès, la présence de bases communes.

Les flux de données

Par exemple, en présence d’une récupération des données collectées par le franchisé à des fins de prospection commerciale de la part du franchiseur.

L’existence d’un système de fidélité commun

Quatre solutions peuvent être retenues, selon les résultats de cette analyse : 

1. Le franchiseur est responsable de traitement et le franchisé est sous-traitant
2. Le franchiseur et le franchisé sont responsables conjoints de traitement
3. Le franchisé est responsable de traitement et le franchiseur est sous-traitant
4. Le franchiseur et le franchiseur sont responsables de traitement indépendants

Ces qualifications emportent de nombreuses conséquences, qui devront être organisées au sein du contrat de franchise. Notamment, en cas de sous-traitance, la partie qualifiée de sous-traitant est soumise à l’interdiction de principe de conservation et de traitement des données personnelles à l’issue du contrat de franchise. Or, cette interdiction entre en totale contradiction avec la nécessité de conserver son fichier client à l’issue du contrat de franchise.

D’autres conséquences sont également très peu considérées par les acteurs. Pour exemple, la sélection des outils informatiques par le franchiseur, imposés à ses franchisés, doit faire l’objet d’une attention particulière : ces outils devront permettre aux franchisés de se conformer au RGPD (par exemple, si de nombreux champs de commentaires libres y figurent, sans aucune restriction de contenu ni alerte, le logiciel peut être considéré comme non-conforme au RGPD ; ou encore lorsque l’outil est en mode SaaS et que l’éditeur ne présente pas les garanties nécessaires pour assurer la sécurité des données qui y sont stockées). 

Si ce n’était pas le cas, le franchiseur est susceptible d’engager sa responsabilité. En effet, la CNIL a déjà, par le passé, sanctionné un franchiseur pour avoir imposé des outils à ses franchisés au sein desquels figuraient des zones de commentaires libres non contrôlées. Ces zones étaient utilisées par les membres des sociétés de la franchise afin de rédiger des commentaires inappropriés voire injurieux (**). Le franchiseur a été jugé responsable car disposant du contrôle total sur les outils et bases de données utilisés par les franchisés.

Or, en prenant en compte ces considérations dès l’organisation du réseau de franchise et sa création, de nombreuses conséquences préjudiciables pourront être contrôlées et évitées.

Encadrement des obligations réciproques au sein du contrat de franchise

Le contrat de franchise est l’outil privilégié pour encadrer les responsabilités et les obligations réciproques des acteurs du réseau de franchise. Sa rédaction permettra d’anticiper les nombreuses conséquences issues du respect de la règlementation de protection des données personnelles. 

La conclusion de clauses dédiées à la protection des données est par ailleurs strictement obligatoire lorsque : 

• l’un des acteurs agit en tant que sous-traitant
• les acteurs agissent en tant que responsables conjoints
• des données personnelles sont transférées en dehors de l’Union européenne

Ces accords permettront également d’organiser la remontée d’informations : en cas d’incident de sécurité ou de demande d’exercice de droits réceptionnée directement par un franchisé. 

En effet, le RGPD impose le respect de délais, parfois extrêmement courts dans les cas suivants :

• Une violation de données personnelles, si elle engendre un risque pour les droits et libertés des personnes, doit être notifiée auprès des services de la CNIL dans les 72 heures à compter de la découverte de la violation ;
• En cas de réception d’une demande d’exercice de droits (demande d’accès, demande suppression, etc.), le responsable de traitement dispose d’un mois (augmenté de deux mois en cas de demande complexe) pour y répondre.

Enfin, le principal enjeu de ces contrats se révèle être celui de l’organisation des conséquences de la fin de la relation contractuelle : selon les qualifications applicables, il sera nécessaire de prévoir les conditions de réutilisation du fichier-client par le franchisé et le franchiseur à la fin du contrat, tout en respectant les dispositions du RGPD (potentielle obligation de recueil du consentement des personnes concernées ; nécessité d’effectuer et de documenter un test de compatibilité des finalités de traitement ultérieures, etc.).

Sensibilisation du réseau aux enjeux de protection des données 

Afin de se prémunir contre un risque de sanction de la part la CNIL, le franchiseur peut utilement mener des actions de sensibilisation de son réseau à la protection des données personnelles. Ces actions s’avèrent particulièrement nécessaires lorsque le franchiseur dispose d’un contrôle important sur les outils informatiques utilisés par les franchisés. 

Nous l’avons vu, ce dernier est dès lors responsable de leur contenu et de leur bonne utilisation par le réseau. Parmi les mesures correctives mises en place par le franchiseur sanctionné au sein de la délibération de la CNIL précitée, ce dernier a : 

• inséré « un avertissement au sein des zones de commentaires, précisant que celles-ci ne peuvent contenir que des données factuelles et non-répréhensibles au titre de » la réglementation de protection des données (qui n’était pas encore composée du RGPD mais uniquement de la loi « Informatique et Libertés »)
• créé et déployé « un outil d’analyse sémantique des zones de commentaires fonctionnant sur la base d’un dictionnaire de mots interdits, mis à jour et actualisés »
• effectué « un rappel sur les zones commentaires dans la note de référence CNIL groupe » (***)

Sans pour autant s’immiscer dans la gestion des franchisés, le franchiseur devra également effectuer des sessions de formation et de sensibilisation à la protection des données personnelles et à la cybersécurité, ou encore fournir aux franchisés des packs de compliance RGPD (comprenant des modèles de procédures, de politique de confidentialité, de mentions d’information, de contrats, etc.). 

L’augmentation sensible du nombre de cyberattaques doit enfin aboutir à prise de conscience des enjeux cyber, d’autant plus en cas de bases de données ou d’outils informatiques partagés par le réseau de franchise. L’ensemble des accès doivent être sécurisés, et le personnel formé. Sinon, il s’agit d’autant de vulnérabilités exploitables par des hackers. Ces enjeux doivent ainsi être connus de tous les intervenants au sein du réseau de franchise.

Importance de la conformité du réseau

Un réseau de franchise partage généralement une même marque, enseigne, logo, nom commercial et ainsi, une même image générale aux yeux du public. 

Ainsi, le prononcé d’une sanction CNIL rendue publique impactera nécessairement l’ensemble des membres d’un même réseau, avec un potentiel important préjudice d’image.

Par ailleurs, il doit être relevé que ces conséquences seront peu ou prou les mêmes en cas de publications d’articles de presse relayant une cyberattaque impactant l’un des membres du réseau. L’ensemble du réseau apparaîtra alors comme non-sécurisé, même lorsque les systèmes d’information sont en réalité totalement indépendants. 

Il est donc nécessaire que les acteurs des réseaux de franchise se saisissent du sujet, au besoin accompagnés d’un conseil juridique spécialisé.

(*)  CEPD, lignes directrices 07/2020 concernant les notions de responsable de traitement et de sous-traitant dans le RGPD
(**) Délibération CNIL 2011-205 du 6 octobre 2011
(***) Précitée, délibération CNIL 2011-205 du 6 octobre 2011

À propos des auteurs

Jérôme DEROULEZ, associé & Valentine CHAUVEAU, avocate

AUMANS AVOCATS résulte de la fusion des cabinets de Jérôme DEROULEZ et de Jean-Charles FOUSSAT. Présent à Paris, Bruxelles, Lyon et Marseille, le cabinet intervient notamment en droit de la distribution et droit des données personnelles. Il accompagne ses clients tant en conseil qu’en contentieux, pour leur permettre de déployer leurs programmes de conformité (RGPD, contrats IT, risque cyber…).