Réseaux de franchise et protection des données personnelles

L’appréhension par la règlementation relative à la protection des données à caractère personnel des réseaux de franchise, suppose de définir les notions nécessaires à la compréhension des spécificités des contrats de franchise.

Les spécificités du contrat de franchise

Le contrat de franchise est celui par lequel une personne, le franchiseur met à la disposition de l’autre, le franchisé ses propres signes distinctifs et un savoir-faire original, technique ou commercial, moyennant une rémunération versée sous forme de redevance.

En contrepartie, le franchisé doit utiliser le savoir-faire transmis sous le contrôle du franchiseur ou avec son assistance.

Le contrat de franchise est constitué de trois éléments constitutifs :

• la mise à disposition de signes notoires destinée au ralliement de la clientèle (marques, enseignes, nom commercial) ;
• la transmission d’un savoir-faire identifié ;
• la délivrance d’une assistance technique et/ou commerciale permanente au profit du franchisé.

Classiquement, on distingue deux grandes catégories de franchise :

• la franchise commerciale, qui commercialise des produits ou propose des services ;
• la franchise industrielle pour la fabrication de produits selon une technologie identifiée.

Une franchise désigne donc un système de commercialisation de produits ou services basé sur une collaboration entre des entreprises juridiquement et financièrement distinctes et indépendantes : le franchiseur et ses franchisés (1).

La détermination des rôles dans la protection des données personnelles

On distingue trois acteurs pouvant intervenir dans le traitement de données à caractère personnel.

Le premier, le responsable de traitement, désigne « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Le sous-traitant, quant à lui, désigne « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Enfin, les responsables conjoints de traitement sont deux responsables de traitement ou plus déterminant conjointement les finalités et les moyens du traitement.

On comprend pourquoi la distinction entre ces trois acteurs des réseaux de franchise, est importante pour l’application de la règlementation des données à caractère personnel à un réseau de franchise. Le point clé est la détermination des rôles dans la protection entre le franchiseur et le franchisé.

Pour aller plus loin, des critères de distinction ont été posés dès 2010 par le G29 (2), et par la Cnil (3), qui prennent notamment en compte l’autonomie du sous-traitant, les instructions qui lui sont données, le degré de contrôle exercé lors de l’exécution de la prestation et le degré de surveillance.

La collecte de données personnelles dans les réseaux de franchise

La collecte de données personnelles à vocation à intervenir par le franchiseur ou par le franchisé. A titre illustratif :

Les traitements de données à caractère personnel susceptibles d’intervenir le plus souvent sont :

• les données personnelles des salariés ;
• les données clients.

Dans la première hypothèse, il n’y a pas a priori de difficulté directe dans la détermination des rôles. En effet, le franchiseur et le franchisé seront chacun responsable du traitement des données de leurs salariés.

A noter cependant, que dans certains cas, le franchiseur pourrait être sous-traitant, dans le cas d’un audit des franchisés, ou encore dans le cadre d’une formation obligatoire pour les salariés des franchisés.

Concernant les données clients, l’organisation du réseau va plus ou moins complexifier les rôles respectifs des franchisés et du franchiseur dans les traitements de données à caractère personnel.

Néanmoins, les rapports de sous-traitance, les outils potentiellement mis à la disposition du franchisé par le franchiseur pour la mise en conformité au RGPD et plus généralement les risques d’atteinte à l’indépendance du franchisé mènent naturellement à un arbitrage entre ces différents droits.

Les principes de la protection des données personnelles et le contrat de franchise

En effet, l’appréhension du RGPD par un réseau de franchise va dépendre de son organisation. Il est en effet préférable et recommandé aux acteurs d’un tel réseau d’identifier clairement et contractuellement les obligations respectives des franchisés et des franchiseurs en matière de données personnelles.

En effet, il existe un risque d’ingérence du franchiseur dans l’activité de son franchisé. Il est cependant complexe d’apporter une réponse générale à la manière dont une franchise doit se mettre en conformité, en raison de la diversité des organisations possibles. L’appréciation des situations se fera donc nécessairement in concreto.

En outre, les principes du RGPD devront être respecté par les franchiseurs et les franchisés, notamment :

• privacy by default ;
• privacy by design ;
• minimisation des données ;
• la tenue du registre des activités de traitement ;
• la désignation d’un délégué à la protection des données personnelles ;
• les clauses contractuelles nécessaires à la sous-traitance (RGPD, art. 28) ;
• transparence et information des personnes concernées.

La complexité des réseaux de franchise appelle à la prudence au regard de la protection des données à caractère personnel. Pour cela, les franchiseurs et les franchisés devront organiser contractuellement leurs relations et identifier clairement les flux de données et les différents traitements .

Virginie Bensoussan Brulé
Barthélémy Busse
Lexing Département Contentieux Numérique

(1) Code de déontologie européen de la franchise, janvier 2017
(2) Avis du G29 n° 1/2010 du 16 février 2010 sur les notions de responsable du traitement et de sous-traitant, WP 169.
(3) Cnil, Guide du sous-traitant, 2017.