Le 25 mai 2018 le règlement européen général sur la protection des données entrera en vigueur dans toute l'Union européenne. Entreprises et organismes sont concernés. Mais de quoi s'agit-il précisément ? Et quelle application dans le secteur de la franchise ? Hello Franchise vous dit tout.
C'est un règlement européen voté le 27 avril 2016. Il a donc force de loi dans tous les pays de l'Union européenne, remplaçant une directive datant de 1995 sur la protection des données personnes, et a pour objectif de renforcer les droits des salariés et d'harmoniser les législations sur le sujet. En fait, il représente un véritable tournant en matière de protections des données personnelles, dans un monde où le numérique est devenu omniprésent. Il se veut LE texte de référence concernant la protection des données personnelles.
Mais qu'entend-on par « donnée personnelle » ? Il s'agit en fait d'une information permettant d'identifier, directement ou indirectement, une personne physique. Concrètement, cette information peut être du type : numéro de téléphone (fixe ou mobile), nom, photographie, adresse IP, adresse postale, empreinte digitale, code de connexion informatique, mail, numéro de sécurité sociale, enregistrement vocal, etc.
Le cœur du texte a pour but une extension de l'information due au travailleur par son employeur. Par exemple, le salarié pourra exiger de savoir quelle donnée personnelle est collectée par l'entreprise et à quelle fin ; d'où provient cette donnée ? ; qui sera autorisé à la consulter ? ; combien de temps celle-ci sera conservée ; si cette dernière sera susceptible d'être envoyée hors de l'Union européenne, à qui et pourquoi ?; qui l'employé doit-il contacter pour prendre connaissance des données recueillies sur lui et quels sont ses droits vis-à-vis d'elles. En terme de sanction, la sévérité face aux abus possibles a été considérablement renforcée puisque auparavant l'amende maximale que pouvait demander la CNIL se montait à 150.000€. Dorénavant, les sanctions financières pourront monter jusqu'à 20 millions d'euros et 4% du chiffre d'affaires mondial !
Qui est concerné ? Tous les salariés de l'Union européenne, employées par un organisme public ou une entreprise européenne ou non.
Au niveau purement juridique, on passe d'une responsabilité verticale à une responsabilité plus horizontale : avant la mise en place de ce nouveau règlement, en France, le service qui traitait les données personnelles recueillies était l'unique responsable en cas de condamnation. Dorénavant, cette responsabilité sera partagée puisqu'aux responsables du traitement on pourra maintenant associer les sous-traitants en cas de recours judiciaire.
En résumé, le RGPD : consolide les obligations d'informations de l'employeur vers le salarié, renforce la transparence en terme de recueil de consentement, donne de nouveaux droits quant à la portabilité des données personnelles ou à leur effacement.
Concrètement, les entreprises (donc les franchisés) n'auront plus de déclarations à envoyer à la CNIL. Elles deviendront seules responsables des données collections qu'elles détiendront. Autrement dit, de nouveaux mécanismes et procédures, souvent transversaux à différents services, vont devoir se mettre en place au sein des entreprises. De même, c'est un véritable changement de mentalité que le monde de l'entreprise va devoir opérer, tout comme les sous-traitants qui traitent les données pour nombre de ces dernières.
Mais c'est en même temps une opportunité pour ces mêmes sous-traitants : comme désormais ces derniers seront aussi responsables en cas de recours juridique, plus vite ces derniers montreront qu'ils intégré les obligations du RGPD et seront en conformité avec la loi, plus ils auront un avantage concurrentiel !
Comme toutes les entreprises de l'UE, les franchises situées sur le territoire hexagonale vont devoir se mettre en conformité avec le RGPD. En effet, il ne reste qu'un gros mois avant son entrée en vigueur. Celle-ci va imposer de nouveaux « process » et un changement de mentalité au sein des franchises, particulièrement friandes de données personnelles (pour les études de marché par exemple, en vue de l'ouverture d'une implantation par exemple).