Accueil » Actualités » Mise en conformité RGPD : quelles implications pour les professionnels de la franchise ?

Mise en conformité RGPD : quelles implications pour les professionnels de la franchise ?

Alors que le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain, il occupe une place grandissante dans l’actualité professionnelle. Face à l’explosion du numérique, cette nouvelle législation harmonise les pratiques au niveau européen et protège les consommateurs des atteintes à leur vie privée. Du côté des entreprises, cette réforme apporte des changements fondamentaux dans les pratiques de collecte de données et de sécurité informatique. Elle impose également des sanctions strictes en cas de non-respect de la conformité. Les experts de Franchise Board font le point sur les obligations des réseaux de franchise.

Comment se mettre en conformité avec la nouvelle réglementation ?

Le RGPD concerne le traitement et la circulation des données personnelles. Parmi ces dernières : nom, prénom, adresse email, numéro de téléphone mais également opinions religieuses, politiques, orientation sexuelle ou encore appartenance ethnique… Ces données sont utilisées par les entreprises pour proposer des services et des produits. Le RGPD vise à empêcher un usage abusif de ces informations collectées.

Les professionnels sont désormais tenus de garantir la sécurité des données des utilisateurs. La mise en conformité des entreprises passe par l’application des mesures suivantes :

  • Lors de la collecte de données, les professionnels doivent récolter un consentement écrit, clair et explicite de l’utilisateur. Ils sont tenus d’informer les particuliers de l’utilisation qui sera faite de leurs informations.
  • Les entreprises doivent accorder un droit à l’oubli aux utilisateurs de leurs services ou produits. Autrement dit, tout individu pourra demander le retrait ou l’effacement de ses données personnelles en cas d’atteinte à la vie privée.
  • Le règlement prévoit un droit à la portabilité des données. Les entreprises doivent organiser la possibilité pour les utilisateurs d’importer vers une plateforme concurrente leurs données collectées via un service en ligne.
  • En cas de piratage des données, les professionnels sont tenus d’en avertir immédiatement la CNIL. La notification aux particuliers dépendra du risque encouru par l’attaque, et les entreprises dont les données sont chiffrées pourront y déroger.
  • Les entreprises doivent désigner un délégué à la protection des données (DPO), en charge de toute question liée à la protection des données. Il sera l’interlocuteur des particuliers souhaitant se renseigner ou exercer leurs droits sur le traitement de leurs données.
  • Toute entreprise de plus de 250 salariés doit tenir un registre des traitements pour attester de sa conformité. Les entreprises de moins de 250 salariés ne sont pas totalement épargnées par cette obligation : si elles traitent des données sensibles (opinions politiques, religieuses, etc), elles doivent également tenir un registre.

Des contrôles juridiques a posteriori associés à de lourdes sanctions

Sur le plan juridique, un changement significatif apporté par le règlement est le passage d’un système basé sur des déclarations et autorisations préalables, à un système de contrôle a posteriori. Ainsi, la plupart des déclarations ou autorisations de fichiers qui étaient prévues par la loi informatique et libertés sont supprimées. Cela ne signifie toutefois pas un allègement des obligations incombant aux responsables de traitement (ceux qui définissent les finalités et les modalités du traitement) ou à leurs sous-traitants. Les responsabilités de ces derniers sont au contraire significativement renforcées.

Il appartient désormais aux responsables de traitement d’être en mesure de justifier à tout moment du respect des obligations définies par le RGPD et disposer à cet effet d’un système documentaire qui lui permette de faire la démonstration du respect de ses obligations en cas de contrôle. Dans un certain nombre de cas, la désignation d’un délégué à la protection des données sera obligatoire. Si un registre des activités de traitement devra être mis en place dans la plupart des cas, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (Privacy Impact Assessment – PIA) sera par ailleurs obligatoire en cas de traitement susceptible de présenter un risque élevé en matière de données. Les sous-traitants ne sont pour leur part pas soumis à cette obligation d’étude d’impact. Enfin il sera utile de prévoir des procédures internes et des clauses à insérer dans la documentation commerciale en fonction des situations et, le cas échéant, de réaliser des opérations d’audits.

Les pouvoirs de contrôle de la CNIL sont étendus. Ainsi par exemple la possibilité de visiter des locaux n’est plus limitée aux locaux professionnels, et les contrôleurs de la CNIL pourront utiliser des identités d’emprunt pour le contrôle de services de communication au public en ligne. Les sanctions sont renforcées : du rappel à l’ordre jusqu’à des peines d’amendes d’un montant maximum de 4% du chiffre d’affaires annuel mondial total de l’exercice précédent pour les entreprises.

Enfin, le RGPD organise des actions judiciaires ouvertes aux personnes concernées par les traitements, qu’il s’agisse d’actions individuelles ou d’actions de groupe, contre les responsables de traitement ou les sous-traitants, en vue d’obtenir la réparation du dommage tant moral que matériel subi du fait de la violation du règlement.

RGPD : to-do list des réseaux de franchise

Les impératifs à réaliser avant le 25 mai

  • Mettre à jour ses mentions légales
  • Ajouter une case obligatoire à cocher au bas des formulaires de contact indiquant que les données seront recueillies à des fins commerciales
  • Ajouter dans tous les emailings un lien proposant de se désabonner de la newsletter
  • Intégrer sur les sites collectant des cookies un plug-in informant de la collecte de données et proposant de personnaliser les cookies enregistrés
  • Désigner un Délégué à la Protection des Données

Mathilde Noirot (Franchise Marketing Factory)