Toutes les entreprises, petites et grandes, doivent se conformer au règlement général sur la protection des données (RGPD) depuis le 25 mai 2018.
Mais, qu’en est-il des entreprises liées par un contrat d’enseigne, impliquant la réitération d’un savoir-faire ou la transmission d’une expérience réussie (réseaux du commerce indépendant tels que les réseaux de franchise ou de partenariat) ?
Bien que franchiseur et franchisés (et plus généralement, tête de réseau et affiliés) soient des entreprises indépendantes, la spécificité de l’organisation des réseaux doit être prise en compte ; ainsi de :
l’utilisation d’un logiciel commun au réseau (logiciel de facturation, de remontées d’informations sur les clients : coordonnées, achat, habitude …) impliquant le traitement de données personnelles…
l’activité commune des entreprises du réseau (issue de la réitération du savoir-faire ou de l’expérience de la tête de réseau) ;
la publicité du réseau au niveau national réalisée par la tête de réseau impliquant l’utilisation de données personnelles recueillies par ses affiliés pour réaliser des opérations de e-marketing.
Ces constats amènent à s’interroger sur le rôle que peut jouer la tête de réseau dans l’application du règlement au sein de son réseau et au sein des entreprises affiliés.
Deux axes de réflexion peuvent être identifiés :
– dans le cadre de leurs obligations d’assistance technique et commercial, le franchiseur et la plupart des têtes de réseaux pourraient prévoir de conseiller leurs franchisés et affiliés sur la mise en place des outils et process nécessaires à la mise en conformité au RGPD (I) ;
– mais un niveau d’implication supplémentaire de la tête de réseau pourrait être également envisagé : celui de la prise en charge de tout ou partie du traitement des données du franchisé en qualité de sous-traitant (II).
I - l’obligation d’assistance technique et commerciale du franchiseur et des têtes de réseaux.
Dans le cadre de leurs obligations d’assistance, tant au commencement de l’activité du franchisé ou de l’affilié que tout au long de l’exécution du contrat, le franchiseur ou la tête de réseau doit pouvoir proposer les services suivants liés à l’application du RGPD :
– aide à la cartographie des traitements ;
– Vérification de la licéité du traitement ;
– aide à la tenue d’un registre des activités de traitement ;
– audit sur la sécurisation des données ;
– audit sur le respect des droits des personnes concernées par les traitements du franchisé/affilié et sur les modalités pratiques de l’exercice de ces droits ;
– analyse d’impact (s’il y a lieu).
II - Le franchiseur / tête de réseau sous-traitant de son franchisé / affilié.
Il convient de rappeler quelques définitions à ce stade :
– Le sous-traitant est celui qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.
– le responsable du traitement est celui qui détermine les finalités et les moyens d’un traitement.
La question est ici de savoir si le franchiseur/tête de réseau peut être le sous-traitant de ses franchisés/ affiliés pour le traitement de leurs données personnelles.
En effet, il est très courant dans un réseau de franchise par exemple, que le franchiseur prenne en charge les campagnes de communication d’enseigne par e-mailing, grâce aux données qui lui sont transmises par ses franchisés sur leurs propres clients.
Dans la mesure où le sous-traitant agit au nom et pour le compte de son donneur d’ordre, il ne peut déterminer les finalités et les moyens du traitement (fonction qui relève du responsable de traitement, le franchisé/affilié en l’espèce).
Il convient d’utiliser la méthode du faisceau d’indices pour déterminer, au cas par cas, si un prestataire a la qualité de sous-traitant (et non pas de responsable de traitement) :
– niveau d’instruction donnée par le donneur d’ordre (franchisés / affiliés) au prestataire (franchiseur / tête de réseau) ;
– degré de contrôle de l’exécution de la prestation ;
– valeur ajoutée fournie par le prestataire.
Il est donc possible pour le franchiseur/tête de réseau, de prendre en charge le traitement de tout ou partie des données personnelles de ses franchisés/affiliés à la condition de respecter les critères ci-dessus et de se ménager la preuve de leur application.
L’organisation de la sous-traitance et la preuve du respect de ces critères doivent être formalisés par écrit, dans le cadre d’un contrat précisant les obligations de chaque partie.
Dans le cadre des relations franchiseur/franchisés et plus généralement tête de réseau/affiliés, c’est donc au sein même du contrat de franchise / contrat de réseau que devront être précisées les conditions dans lesquelles les franchisés / affiliés vont sous-traiter tout ou partie du traitement de leurs données personnelles.
Jean-Philippe Chenard,
Avocat.
Article initialement publié dans le Journal du Management Juridique n°63.