Maître Dimitri de Sart, DS Avocats
Ce qui change pour les réseaux de distribution
Introduction
Lorsqu’il est demandé à un franchiseur ou à un franchisé d’identifier ses principaux atouts, les données clients sont souvent pointées du doigt. En effet, une utilisation effective de ces données leur permet de mieux se positionner sur le marché. C’est dans l’ère du temps : les développements technologiques inépuisables permettent désormais aux entreprises d’avoir aisément accès à ces données. En faisant usage des techniques de Big Data, elles peuvent dorénavant analyser et exploiter quantité de données. Quand ce traitement contient des données à caractère personnel, il doit être conforme aux dispositions les protégeant. A cet égard, les franchises doivent être conscientes que le paysage législatif est sur le point de changer de manière drastique avec le nouveau règlement européen sur la protection des données (RGPD).
Après plusieurs années de négociations, le RGPD est entré en vigueur le 24 mai 2016 et sera automatiquement d’application le 25 mai 2018. Il abroge la directive 95/46/CE et vise à harmoniser la protection des données à caractère personnel au sein des Etats membres et à l’adapter à l’ère digitale moderne. A l’instar de tout règlement, ce texte est directement applicable et ne doit donc pas être transposé en droit belge.
Un large champ d’application
Le champ d’application territorial du règlement est large. Il s’appliquera non seulement aux sociétés européennes mais aussi entreprises étrangères offrant des produits et services aux citoyens européens ou bien les ciblant. En d’autres mots, les mêmes règles s’appliqueront à toutes les entreprises opérant en Europe, sans considération de leur siège[1]. Cela implique pour les entreprises non-européennes de devoir comprendre les enjeux du RGPD et s’y plier.
Alors que l’ancien régime concernait uniquement les responsables du traitement, le nouveau règlement impose également des obligations aux sous-traitants[2]. Ils devront, entre autres, notifier toute violation de données à caractère personnel et tenir un registre des activités de traitement effectuées pour le compte du responsable du traitement. Appliqué au contexte de la franchise, le RGPD sera applicable aux franchiseurs comme aux franchisés. Le franchiseur est considéré comme le responsable de traitement mais un franchisé peut être soit responsable de traitement soit sous-traitant en fonction des arrangements entre les parties. En règle générale, le franchiseur et le franchisé sont des responsables de traitement indépendants dans la mesure où ils ont tous deux accès aux données à caractère personnelles, pour des finalités distinctes[3].
Le renforcement des droits individuels
Le RGPD renforce le contrôle qu’ont les citoyens sur les données les concernant. Parmi les principales innovations, il convient d’épingler :
- la consolidation du consentement de la personne sur la base d’une information intelligible, claire et transparente ;
- un droit à l’oubli est consacré afin de permettre à la personne concernée d’obtenir l’effacement de ses données ;
- un droit à la réparation du dommage matériel ou moral est consacré ;
- un droit à la portabilité permettant à une personne de récupérer les données fournies et, le cas échéant, de les transmettre ensuite à un tiers ;
- un droit d’être informé en cas de piratage des données ;
- des mesures de protection spécifiques aux enfants ;
- le renforcement de l’autorité indépendante de contrôle qui pourra désormais infliger des amendes administratives[4].
Le renforcement des obligations des entreprises
Le RGPD responsabilise davantage les entreprises. L’obligation de notification à l’autorité de protection des données est désormais remplacée par un « accountability package », c’est-à-dire un ensemble de mesures qu’elles doivent mettre en œuvre afin de démontrer qu’elles agissent en conformité avec le RGPD[5].
Parmi ces mesures, il convient de pointer :
- l’analyse d’impact relative à la protection des données qui doit être réalisée lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies est susceptible de d’engendrer un risque élevé pour les droits et libertés des personnes physiques[6];
- le registre des activités de traitement que chaque responsable de traitement doit tenir[7];
- la désignation d’un délégué à la protection des données par le responsable du traitement dans certaines circonstances[8].
Le transfert des données
Le transfert des données personnelles en dehors de l’Union européenne constitue une également une préoccupation majeure. Ces transferts ne seront autorisés que si le destinataire situé dans un pays tiers est soumis à des obligations offrant un niveau adéquat de protection des données. Certains Etats peuvent faire l’objet d’une décision rendue par la Commission d’adéquation de leur organisation légale avec les impératifs européens, comme c’est le cas avec les Etats Unis et le Privacy Shield.
Le nouveau règlement européen prévoit que les décisions d’adéquation rendues sur le pied de l’ancienne directive demeurent d’application jusqu’à leur abrogation, modification ou remplacement par la Commission[9]. Il va sans dire que cette dernière examinera dans quelle mesure les dispositions protectrices des données à caractère personnel de ces pays fournissent un niveau de protection adéquat en comparaison avec les standards du RGPD[10].
Conclusion
L’implémentation du nouveau règlement par les franchises peut s’avérer laborieuse en raison des changements substantiels apportés, des investissements à réaliser d’ici mai 2018 mais aussi en raison des difficultés d’interprétation. Sur ce dernier point, afin d’aider les entreprises à se conformer au nouveau texte, le Groupe 29 entend éditer des lignes directrices dont les trois premières sont déjà disponibles en ligne.
Une bonne implémentation du RGPD sera bénéfique pour les entreprises. Elle génèrera la confiance des clients tout en permettant de disposer de leurs données et de développer de nouvelles stratégies marketing. Ce nouveau règlement ne doit donc pas être perçu comme un inconvénient mais comme un moyen d’exploiter les données clients de manière plus effective. Quoiqu’il en soit, compte tenu sanctions dissuasives prévues en cas de violation (pouvant aller 4% du chiffre d’affaires de l’entreprise), les franchises n’auront guère le choix.
[1] RGPD, art. 3.
[2] Par sous-traitant, il faut entendre « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable de traitement » – art. 4, 8).
[3] G. Drakes, « Managing your franchise data : are you ready for the biggest shake up in the past ten years?”, International Law Office, http://www.internationallawoffice.com/Newsletters/Franchising/European-Union/Fieldfisher/Managing-your-franchise-data-are-you-ready-for-the-biggest-shake-up-in-the-past-20-years.
[4] A. Bensoussan, « Résumé » in Règlement européen sur la protection des données, Bruxelles, Éditions Larcier, 2016, p. 6 et s.
[5] T. Van Canneyt and G. Goossens., « The general data protection regulation : 10 things company lawyers should know », C.J., 2016/1, p. 3 et s.
[6] RGPD, art. 35.
[7] RGPD, art. 30.
[8] RGPD, art. 37 et s.
[9] S. Crespi, « La nouvelle décision d’adéquation (Privacy Shield) pour les transferts des données personnelles de l’Union européenne vers les États-Unis », J.D.E., 2016/7, n° 231, p. 259.
[10] A. Bensoussan, op. cit., p. 29.
Maître Dimitri de Sart
DS Avocats
NOV