En pra­tique

RGPD : exi­gez une aide de votre fran­chi­seur !

L'Officiel de La Franchise - - SOMMAIRE - Ève Men­nes­son

Le RGPD oblige les en­tre­prises de l’Union eu­ro­péenne, quelle que soit leur taille, à trai­ter les don­nées per­son­nelles avec da­van­tage de trans­pa­rence et de sé­cu­ri­té. Si les fran­chi­sés sont éga­le­ment concer­nés par cette nou­velle ré­gle­men­ta­tion, ils ne peuvent se mettre en confor­mi­té qu’avec l’aide de leur tête de ré­seau.

Le 25 mai 2018 est en­trée en vi­gueur une nou­velle rè­gle­men­ta­tion : le RGPD (ré­gle­ment gé­né­ral sur la pro­tec­tion des don­nées). Ins­ti­tué par l'Union eu­ro­péenne, il a pour ob­jec­tif de pro­té­ger les don­nées per­son­nelles des ci­toyens en obli­geant les en­tre­prises qui les uti­lisent à prendre un cer­tain nombre de pré­cau­tions. Toutes les en­tre­prises oeu­vrant sur le ter­ri­toire eu­ro­péen sont concer­nées, y com­pris les plus pe­tites. Les fran­chi­sés doivent donc se mettre en confor­mi­té vis-à-vis de cette nou­velle loi. Ai­dés par leur tête de ré­seau, bien évi­dem­ment !

Un trai­te­ment transparent

Mais quelles sont les nou­velles obli­ga­tions im­po­sées par ce RGPD ? Il s'agit tout sim­ple­ment de ne pas faire un mau­vais usage des don­nées per­son­nelles dont on dis­pose (clients, pros­pects mais aus­si sa­la­riés et four­nis­seurs) et de les pro­té­ger des éven­tuels dé­tour­ne­ments réa­li­sés par des ha­ckers mal­in­ten­tion­nés. En France, cette loi s'ins­crit dans la conti­nui­té de la loi In­for­ma- tique et Li­ber­tés qui obli­geait dé­jà les en­tre­prises à trai­ter les don­nées per­son­nelles avec res­pect. Elles de­vaient par exemple ob­te­nir le consen­te­ment des per­sonnes dont les don­nées étaient re­cueillies, les conser­ver un temps dé­fi­ni, etc. Avec le RGPD, on va plus loin : les en­tre­prises doivent faire preuve de da­van­tage de trans­pa­rence et clai­re­ment in­for­mer les per­sonnes sur la fa­çon dont leurs don­nées se­ront uti­li­sées avant d’ob­te­nir leur consen­te­ment. Plus ques­tion, donc, d’uni­que­ment faire co­cher une case. La no­tion de sé­cu­ri­té, aus­si, s’in­ten­si­fie : l’en­tre­prise doit tout mettre en oeuvre pour que la sé­cu­ri­té des don­nées dont elle dis­pose soit cor­rec­te­ment as­su­rée et elle s’en­gage à in­for­mer la Cnil et les per­sonnes concer­nées en cas de pi­ra­tage. “Le chan­ge­ment le plus im­por­tant ap­por­té par le RGPD est le trans­fert de res­pon­sa­bi­li­té : les en­tre­prises n’ont plus à faire de dé­cla­ra­tion au­près de la Cnil des don­nées conser­vées mais, en cas de pro­blème, elles de­vront prou­ver que tout a été fait pour pro­té­ger les don­nées dont elles dis­posent”, sou­ligne Éric Schahl, as­so­cié au sein du ca­bi­net In­lex et ani­ma­teur des for­ma­tions “Fran­chise et RGPD” de l’Aca­dé­mie de la fran­chise (école de for­ma­tion de la Fé­dé­ra­tion fran­çaise de la fran­chise).

Le cas par­ti­cu­lier des ré­seaux

En pra­tique, comment se mettre en confor­mi­té ? Le cas par­ti­cu­lier des ré­seaux, consti­tués d’une tête de ré­seau et d’en­tre­prises in­dé­pen­dantes mais af­fi­liées, com­plexi­fie la pro­cé­dure. En ef­fet, fran­chi­seur et fran­chi­sés par­tagent de nom­breuses don­nées, no­tam­ment des in­for­ma­tions clients. Dans ce cas, qui est res­pon­sable du trai­te­ment et de la sé­cu­ri­té de ces don­nées ? Jean-Bap­tiste Gouache, avo­cat spé­cia­li­sé en fran­chise, voit trois si­tua­tions pos­sibles : soit le fran­chi­seur est res­pon­sable des don­nées et le fran­chi­sé n’est qu’un sous-trai­tant qui col­lecte et uti­lise ces in­for­ma­tions, soit le fran­chi­sé est res­pon­sable des don­nées et le fran­chi­seur les uti­lise de temps à autre (pour ai­der le fran­chi­sé à mettre en place une ac­tion de com­mu­ni­ca­tion par exemple), soit fran­chi­sé et fran­chi­seur sont

co-res­pon­sables des don­nées. La pre­mière ac­tion à en­tre­prendre est donc d’ana­ly­ser quelles sont les don­nées per­son­nelles col­lec­tées et trai­tées par l’en­tre­prise, où et comment elles sont col­lec­tées, qui in­ter­vient sur ces don­nées et comment, etc. C’est uni­que­ment une fois ce tra­vail d’au­dit réa­li­sé que les ac­tions pour se mettre en confor­mi­té vis-à-vis du RGPD pour­ront dé­bu­ter. Un tra­vail qui ne peut évi­dem­ment pas se faire sans l’aide de son fran­chi­seur. C’est même à lui d’ini­tier cette dé­marche. La pre­mière chose à faire pour tout fran­chi­sé est donc d’in­ter­pel­ler sa tête de ré­seau quant à cette nou­velle ré­gle­men­ta­tion. L’ob­jec­tif étant de sa­voir quelles ac­tions il a mis en place au ni­veau du siège mais aus­si quelles pro­cé­dures il re­com­mande à ses fran­chi­sés de suivre. C’est éga- le­ment l’oc­ca­sion de lui de­man­der d’or­ga­ni­ser une for­ma­tion sur le su­jet : on ne peut prendre en charge un su­jet que si on l’a bien com­pris et le RGPD né­ces­site des ex­pli­ca­tions ap­pro­fon­dies. On peut par exemple se tour­ner vers l’Aca­dé­mie de la fran­chise.

Le tra­vail à me­ner pour se mettre en confor­mi­té est en­suite un chan­tier d’en­ver­gure qu’il faut conduire pe­tit bout par pe­tit bout. “Il s’agit de prio­ri­ser les ac­tions”, conseille Éric Schahl.

Tra­vailler sur ses don­nées

La col­lecte des don­nées, tout d’abord, doit être en­ca­drée. “Si les don­nées clients sont col­lec­tées en point de vente, le fran­chi­sé doit s’as­su­rer du consen­te­ment. Si cette col­lecte se fait sur In­ter­net, le consen­te­ment doit être ren­for­cé”, in­dique Jean-Bap­tiste Gouache. Et ce pour les sites In­ter­net gé­rés par le fran­chi­seur comme par les fran­chi­sés, qui ont par­fois leur site propre. “Dis­po­ser les men­tions d’in­for­ma­tion sur les sites In­ter­net est à faire en prio­ri­té car c’est une ac­tion très vi­sible qui se­ra contrô­lée en prio­ri­té par la Cnil”, in­siste Éric Schahl. Il in­vite à bien re­cueillir le consen­te­ment, à consti­tuer un re­gistre de trai­te­ment des don­nées et à bien en­ca­drer leur trans­fert hors de la zone UE. “C’est im­por­tant de bien s’en pré­oc­cu­per car ce se­ra lour­de­ment sanc­tion­né”, pré­vient-il. Les bases de don­nées doivent en­suite être bien sé­cu­ri­sées, celles re­la­tives aux clients mais aus­si aux col­la­bo­ra­teurs et aux four­nis­seurs. “At­ten­tion en re­vanche à ne pas tom­ber dans le piège de la sé­cu­ri­té ca­de­nas­sée : cer­taines entre- prises pro­posent des pres­ta­tions qui vont au-de­là de ce qu’exige le RGPD et qu’elles fac­turent à prix d’or”, alerte Éric Schahl. Il in­vite à adop­ter des so­lu­tions de sé­cu­ri­té simples : mot de passe sé­cu­ri­sé, cryp­tage des don­nées, uti­li­sa­tion du https, etc. Se­lon lui, le coût de la mise en confor­mi­té de­vrait os­cil­ler entre 10 000 et 40 000 eu­ros, en fonc­tion du vo­lume de don­nées trai­tées. Pour faire bais­ser la fac­ture, une autre bonne pra­tique peut être de ré­duire le vo­lume de don­nées dont on dis­pose. En ef­fet, le RGPD est l’oc­ca­sion de re­voir sa re­la­tion aux da­ta. Les en­tre­prises col­lectent et conservent bien sou­vent beau­coup d’in­for­ma­tions in­utiles dont elles ne se servent en­suite ja­mais. Il peut donc être in­té­res­sant de faire un tri et de ne conser­ver que celles qui sont réel­le­ment in­té­res­santes pour son ac­ti­vi­té. Grâce au RGPD, le trai­te­ment des don­nées peut de­ve­nir plus sé­cu­ri­sé mais aus­si et sur­tout plus ef­fi­cace !

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.