L’application et l’interprétation des règles issues du RGPD peuvent s’avérer particulièrement complexes dans un réseau de franchise. Entre indépendance du franchisé et harmonisation des pratiques au sein du réseau, le niveau de responsabilité de chaque acteur et leur qualification juridique doivent reposer sur une répartition factuelle de leurs rôles respectifs. Par Amira Bounedjoum, avocate au cabinet Simon & Associés
Au sens du RGPD, le responsable de traitement est celui qui détermine les finalités et les moyens du traitement. En pratique, cette notion vise à attribuer les responsabilités d’un traitement à celui qui exerce une influence de fait. Dans un réseau de franchise, il est souvent délicat d’identifier les rôles du franchiseur et des franchisés en ce qui concerne le traitement “commun” des données prospects et clients. Si par définition un franchisé est un commerçant indépendant, il devrait revêtir la qualification de responsable du traitement des données de ses clients lorsque celui-ci est réalisé pour son compte dans le cadre de son activité commerciale.
Responsabilité du franchiseur
Pourtant, le franchiseur endosse également un rôle important pouvant mettre à mal cette qualification. Lorsque la CNIL opère des contrôles au sein de têtes de réseaux, elle tient compte de plusieurs critères pour qualifier leur rôle. Le contrôle opéré par un franchiseur sur une base de données centralisée, en déterminant notamment quelles données traiter ou encore combien de temps les conserver conduit à le qualifier de responsable de traitement et ce, même si le contrôle n’est que partiel.
Dans une délibération “Acadomia”, la CNIL a retenu la seule responsabilité du franchiseur notamment en raison d’un manquement à l’obligation de veiller au caractère non-excessif des données alors même qu’une large proportion de ces données était saisie par des franchisés. Cette interprétation a été confirmée par la CNIL dans ses décisions ultérieures. Pour autant, cette lecture ne devrait pas conduire à systématiquement écarter pleinement la responsabilité des franchisés.
En effet, la CNIL tient également compte du positionnement “public” en matière de traitement de données car l’identité de celui qui réalise des démarches auprès de la CNIL ou des personnes concernées donne également un indice sur l’identité du responsable. Il ressort aussi de la doctrine de la CNIL que les prestations qu’un franchiseur fournit à ses franchisés pour soutenir leur activité ont un rôle dans la détermination du degré de sa responsabilité.
Les décisions connues de la CNIL sont fondées sur des actions antérieures au RGPD. Or, depuis ce texte, la CNIL reconnait l’existence d’une responsabilité conjointe qui semble permettre d’opérer une répartition des rôles et niveaux de responsabilité plus en adéquation avec la réalité du mode de fonctionnement d’un réseau.
Si la responsabilité du franchiseur doit être invoquée, celle des franchisés ne devrait pas être écartée pour autant, dès lors que ces derniers exercent également une influence de fait sur les traitements en choisissant d’adhérer à un réseau pour poursuivre leur activité sous l’enseigne et selon le savoir-faire du franchiseur.