RGPD : franchiseurs, attention au piège de la responsabilité conjointe de traitement
Un franchisé et le franchiseur dont il suit les directives sont responsables conjoints du traitement des données à caractère personnel des clients.
C’est en tout cas ce que considère l’Autorité de protection des données dans une affaire où le franchisé, bien qu’autonome, avait besoin de l’approbation du franchiseur pour fournir des informations spécifiques réclamées par le client.
La demande d’accès du client portait en l’espèce sur un diagnostic posé dans le cadre de l’expertise d’un véhicule. Le franchisé justifiait son refus de fournir ce rapport sur la base de directives internes au réseau.
Qu’est-ce que la responsabilité conjointe de traitement ?
Des personnes morales ou physiques sont qualifiées de responsables conjoints du traitement des données lorsqu’elles déterminent de concert les finalités et les moyens d’un traitement. En d’autres termes, plusieurs entités endossent ensemble le rôle de responsable de traitement et s’organisent pour que le traitement conjoint qu’ils effectuent soit conforme au Règlement général sur la protection des données personnelles (ci-après le « RGPD »).
Ainsi, des responsables conjoints de traitement peuvent être identifiés dans l’hypothèse où le traitement des données n’est pas faisable sans la participation de deux ou plusieurs entités impliquées au traitement.
Quelles sont les conséquences concrète du régime de responsabilité conjointe pour les franchisés et les franchiseurs ?
Les droits conférés à la personne concernée par le RGPD – tels que le droit d’accès, le droit de rectification ou le droit à l’oubli – sont, dans une certaine mesure, renforcés puisque leur mise en œuvre peut être demandée tant au franchiseur qu’au franchisé.
La personne concernée jouit également de la possibilité d’introduire une plainte contre les deux parties en cas d’infraction au RGPD.
Cependant, en amont, la responsabilité conjointe implique l’adaptation des documents contractuels et d’information des clients :
- Les responsables conjoints du traitement doivent définir entre eux leurs obligations respectives en matière de protection des données :
- qui communique aux clients les informations exigées par le RGPD,
- vers qui les clients sont-ils invités à adresser leurs requêtes fondées sur le RGPD.
- Les clients doivent être informés :
- des grandes lignes de cet accord,
- du point de contact central mis à leur disposition.
Si ce n’est pas le cas, un manquement au RGPD est donc commis.
Quel impact sur la responsabilité du franchisé ?
La désignation du franchisé et du franchiseur comme responsables conjoints du traitement des données permet à la personne concernée de tenir les deux parties responsables conformément au RGPD. Une clause désignant une partie comme étant l’unique responsable de traitement est inopposable à la personne concernée.
Toutefois, tel que la Cour de justice l’Union européenne l’a décidé en 2018, la responsabilité conjointe de traitement n’implique pas une responsabilité équivalente des différentes entités.
Par conséquent, le degré de responsabilité incombant au franchiseur et au franchisé peut varier selon le cas d’espèce. Le niveau de latitude laissé au franchisé peut constituer un critère déterminant dans l’appréciation de cette responsabilité.
A titre illustratif, si un franchisé doit systématiquement demander l’autorisation du franchiseur pour divulguer des informations relatives au traitement de données à une personne concernée, il est fort à parier qu’un niveau élevé de responsabilité sera imputable au franchiseur.
En revanche, si des données sont uniquement traitées par le franchisé, à l’exclusion du franchiseur, le franchisé sera seul responsable pour le traitement des données en question.
Our advice:
Si des lignes directrices existent actuellement quant à la communication de certaines données par le franchisé au client final, il est important pour les franchiseurs d’analyser l’impact de cette jurisprudence de l’APD sur leur activité.
Pour ce faire, Lexing peut conjuguer les forces de ses départements Creactivity, spécialisé dans la protection des données, et Emulation, possédant une expertise pointue dans le domaine complexe des contrats de franchise.
Pour toutes questions, notre équipe se tient à votre disposition. Contactez-nous dès maintenant !