Bases de données, partage et accès : quels enjeux pour les réseaux de franchise ?
RGPD et franchise : Guide pratique pour les bases de données
La gestion des bases de données d’un réseau de franchise comprend de nombreux enjeux juridiques, encore souvent peu pris en compte par les franchisés et les franchiseurs. La diversité des règles applicables aux fichiers clients du franchisé (droit des données personnelles, droit de la propriété intellectuelle, droit des contrats…) doit alors conduire à la plus grande vigilance lors des négociations contractuelles. Le présent article a pour objectif de présenter compléter la première analyse réalisée, et de présenter les principaux enjeux juridiques issus du partage des données au sein d’un réseau de franchise.
Risque de non-conformité RGPD
Détermination des qualifications des acteurs du réseau de franchise
Le fichier clients doit être abordé sous l’angle du droit des données personnelles. En effet, les franchisés traitent de nombreuses données personnelles (prospection commerciale, système de fidélité commun, exécution du contrat de franchise, etc.), lesquelles sont souvent partagées au sein du réseau. Ce fichier clients doit ainsi respecter l’ensemble des obligations du RGPD.
Pour comprendre sur quels acteurs du réseau de franchise pèsent ces obligations, il est alors indispensable de déterminer en amont les qualifications juridiques s’imposant au franchiseur et au franchisé, au sens du RGPD.
Encadrement des obligations réciproques au sein du contrat de franchise
Afin d’éviter toutes difficultés, il est nécessaire de formaliser de manière claire et complète dans le contrat de franchise les obligations respectives des franchiseurs et des franchisés en matière de respect de la règlementation de la protection des données personnelles. Ces obligations découlent de plusieurs grands principes posés par le RGPD.
Conformément au principe de minimisation des données, chaque membre du réseau ne doit accéder et collecter que les données strictement nécessaires à son activité. Aussi, tout traitement de données doit être licite : pour pouvoir légalement être mis en œuvre, le traitement doit se fonder sur une des six bases légales prévues par le RGPD (comme le consentement de la personne concernée, le contrat ou l’intérêt légitime). Il faut prendre garde au respect de cette condition de licéité notamment lorsque la source de la collecte est un autre membre du réseau, auquel cas la base légale choisie peut ne plus correspondre en cas de partage et de réutilisation des données, et rendre le traitement de données illicite.
De plus, la sélection des outils informatiques par le franchiseur, imposés à ses franchisés, doit faire l’objet d’une attention particulière. Le franchiseur doit respecter les principes de la méthodologie privacy by design (« dès la conception ») et privacy by default (« par défaut ») (*) lors de la sélection des outils IT du réseau. Cela suppose en particulier que le responsable de traitement mette en œuvre des mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés des personnes concernées et respecter les principes du RGPD. Un franchiseur, qui disposait d’un contrôle total sur les outils et bases de données, a ainsi engagé sa responsabilité sur ce fondement (**).
Dans un souci de transparence, chaque acteur du réseau doit s’assurer de l’information complète et précise des personnes concernées par les traitements (prospects, clients, salariés, etc.). Cette information doit être effectuée à plusieurs moments et notamment en cas de nouveaux destinataires des données (transmission à un autre franchisé ou au franchiseur par exemple), de réutilisation des données pour une nouvelle finalité ou encore, le cas échéant, en cas de violation des données.
La complexité et la dimension de certains réseaux de franchise rend ainsi plus délicat le respect des principes clés du RGPD, et peut nécessiter l’intervention d’un Conseil spécialisé.
Risque pénal
Le fichier clients peut également être appréhendé sur le plan pénal. Le Code pénal sanctionne les atteintes aux systèmes de traitement automatisé de données, STAD (***). Parmi ces infractions, le fait d’accéder ou de se maintenir, frauduleusement, c’est-à-dire sans autorisation ni droit, dans tout partie d’un STAD est puni de trois ans d’emprisonnement et de 100.000 euros d’amende. Cette peine est aggravée lorsqu’il y a suppression ou modification des données ou bien altération du fonctionnement de ce système.
Les bases de données d’un réseau de franchise, en particulier le fichier « clients » peuvent être considérées comme un STAD dès lors qu’il s’agit d’un ensemble composé de logiciels, de données, de liaisons, etc., destiné au traitement automatisé de données.
Il est important de considérer le risque pénal en cas d’absence dans le contrat de franchise de définition précise des autorisations d’accès aux bases de données entre le franchisé et le franchiseur. L’atteinte au STAD suppose la violation des conditions d’accès et d’utilisation telles que définies par le « maître du système », lequel peut être selon les situations le franchisé ou le franchiseur. Aussi, les habilitations accordées au personnel du franchisé et du franchiseur doivent faire l’objet d’une attention particulière : il faut s’assurer que toutes les catégories de personnel soient intégrées dans les habilitations afin d’éviter les risques d’accès ou de maintien non autorisé dans les bases de données et donc, d’infraction pénale.
Ces risques peuvent notamment être contrôlés en rédigeant précautionneusement les droits et habilitations concédés dans le contrat de franchise.
Risque lié à la propriété intellectuelle
Le fichier client peut être appréhendé sous l’angle du droit sui generis dont dispose tout producteur de base de données (****). Pour bénéficier de cette protection, plusieurs conditions doivent être réunies (investissement financier, matériel ou humain substantiel d’un point de vue qualitatif ou quantitatif, etc.).
L’enjeu est important car le titulaire du fichier client, s’il est considéré comme producteur de base de données, bénéficie d’un monopole d’exploitation. Il a le droit d’interdire l’extraction et/ou la réutilisation de la totalité ou d’une partie substantielle du contenu de la base de données (*****). Le fait de porter atteinte aux droits du producteur d’une base de données est puni de trois ans d’emprisonnement et de 300 000 euros d’amende.
Le monopole peut alternativement revenir au franchiseur ou au franchisé. Dès lors, si les accès aux bases de l’un ou l’autre ne sont pas déterminés et encadrés au sein du contrat de franchise, ces accès peuvent constituer une atteinte au droit sui generis du producteur de la base (franchisé ou franchiseur).
Ainsi s’il s’agit du franchiseur, ce dernier peut donner un accès limité à ses bases pendant la durée de franchise au franchisé, dans les conditions qu’il détermine. Toutefois, si l’on considère que le franchisé dispose d’une clientèle et, par voie de conséquence, est propriétaire des données « clients », alors l’accord du franchisé pourrait être requis pour que le franchiseur puisse intégrer les données « clients » concernées dans sa base de données.
S’il s’agit du franchisé, le franchiseur devra obtenir l’autorisation expresse du franchisé pour exploiter sa base de données.
Il faut rappeler que ce droit sui generis n’exclut également pas la co-titularité de la qualité de producteur de base de données (entre le franchisé et le franchiseur). Afin d’éviter toute difficulté liée à la détermination a posteriori de la titularité de la qualité de producteur de base de données, il est ainsi fortement recommandé de déterminer les droits du franchisé et du franchiseur dans le contrat de franchise.
Risque cyber
L’utilisation accrue des outils et réseaux informatiques a engendré un accroissement du risque cyber, auquel la franchise est évidemment exposée.
Il est important pour chaque membre du réseau de mettre en place une politique et des mesures de sécurité adaptées. Il peut s’agir d’un accès restreint aux bases de données – en autorisant uniquement les personnes qualifiées et intéressées au traitement des données au titre de leurs missions, du cloisonnement des bases, du chiffrement des données, de mesures de pseudonymisation/anonymisation, etc.
Le franchiseur peut utilement mener des actions de sensibilisation de son réseau à la protection des données personnelles et à la cybersécurité. Ces actions sont d’autant plus importantes en cas de bases de données ou d’outils informatiques partagés par le réseau de franchise.
Le risque d’une attaque cyber s’accompagne évidemment du potentiel risque d’impact réputationnel, en cas de publication d’articles de presse relayant une cyberattaque impactant l’un des membres du réseau, risque qu’il convient d’anticiper.
(*) Article 25, paragraphe 1, du Règlement général sur la protection des données à caractère personnel
(**) Délibération CNIL 2011-205 du 6 octobre 2011
(***) Articles 323-1 à 323-8 du Code pénal
(****) Article L. 341-1 du Code de la propriété intellectuelle
(*****) Article L. 342-1 du Code de la propriété intellectuelle
À propos des auteurs
Jérôme DEROULEZ, associé & Valentine CHAUVEAU, avocate
AUMANS AVOCATS résulte de la fusion des cabinets de Jérôme DEROULEZ et de Jean-Charles FOUSSAT. Présent à Paris, Bruxelles, Lyon et Marseille, le cabinet intervient notamment en droit de la distribution et droit des données personnelles. Il accompagne ses clients tant en conseil qu’en contentieux, pour leur permettre de déployer leurs programmes de conformité (RGPD, contrats IT, risque cyber…).