La cybersécurité et la franchise : Protéger la marque tout en évitant la responsabilité du fait d'autrui (Partie 1)
Par F. Georges Sayegh
F. Georges Sayegh, D.S.C., Adm. A., FCMC du Québec et de l'Ontario, est expert- conseil en franchise et transfert de technologie et auteur de 18 livres sur les franchises et les commerces associés. Parmi ses ouvrages, nous retrouvons « Les secrets de commerce et les renseignements confidentiels ». Visitez sa page de consultant ici
Pour le rejoindre : gsayegh@gsayegh.com ; Tél.: (514) 216-8458.
Ces dernières années, les rançongiciels et autres cyberattaques sont les ennemis de l'organisation actuelle axée sur les données. Les attaques sont de plus en plus destructrices, ce qui fait grimper le coût des dépenses par attaque à plusieurs millions de dollars. Les cybermenaces prennent des formes très diverses et les attaquants utilisent de multiples techniques et plateformes. Il ne s'agit pas de savoir « si » une organisation sera la cible de cybercriminels, mais plutôt « quand ». Les atteintes à la cybersécurité ont augmenté impliquant, entre autres, des réseaux de franchises notables tels que Dairy Queen, Supervalu, les sandwicheries Jimmy John's, Goodwill et UPS.
Les logiciels malveillants (malware) modifient souvent les configurations avant de corrompre les données. Ces violations de données coûtent de plus en plus cher aux entreprises de diverses manières, telles que la récupération (ou la suppression) des dossiers perdus, le paiement de la défense juridique et du règlement, la notification des personnes touchées par la violation et la fourniture de services de surveillance du crédit aux clients ou employés concernés. De plus, le fait de ne pas avoir suffisamment de sécurité des données en place, qu'il y ait ou non une violation, ou d'utiliser les données des consommateurs de manière inappropriée peut entraîner de lourdes responsabilités. Surtout, la perte de réputation de la marque peut avoir un impact négatif affectant ainsi tout le réseau de franchise que le franchiseur aura pris des années à bâtir.
Le coût de la réputation est particulièrement important pour les franchiseurs car leurs actifs les plus critiques sont leurs marques. Les franchiseurs opèrent souvent dans des secteurs où les marques sont très concurrentielles, où les consommateurs peuvent facilement transférer leur clientèle ailleurs. En cas de violation, il est peu probable que les clients fassent la distinction entre le franchiseur qui octroie la licence de la marque et le franchisé qui exploite son établissement en utilisant cette marque. Par conséquent, une violation au niveau du franchisé, n'ayant que peu ou rien à voir avec les actions du franchiseur, peut discréditer la réputation de l'ensemble de la marque aux yeux du public et avoir un impact drastique sur les résultats de l'ensemble du système de franchise.
Les cyberattaques se produisent toutes les 11 secondes, selon le dernier rapport sur les violations de données publié par IBM et l'Institut Ponemon, le coût d'une violation de données en 2021 est de 4,24 millions de dollars US, soit une hausse de 10 % par rapport au coût moyen de 2019 qui était de 3,86 millions de dollars.
Le coût moyen mondial de la cybercriminalité devrait culminer à 6 milliards de dollars US par an d'ici la fin 2021, sous l'effet de la prolifération des attaques par ransomware.
Le rapport du Ponemon Institute et d'IBM Security prend en compte des centaines de facteurs de coûts allant d’activités juridiques, réglementaires et techniques à la perte de capital de marque, en passant par la rotation des clients et la ponction sur la productivité des employés.
Le dernier rapport de la FTC sur les types de vols d'identité nous révèle ce qui suit :
- Fraude par carte de crédit (comptes nouveaux et existants) - 32,3 %.
- Autre usurpation d'identité (courriel ou médias sociaux, contournement de la loi, assurance, services médicaux, achats ou paiements en ligne, comptes de titres, autres) - 26,5 %.
- Fraude en matière de prêt ou de location (location d'un appartement ou d'une maison, prêt automobile, location d'un véhicule, prêt commercial, prêt étudiant, prêt immobilier) - 14,4 %.
- Fraude au téléphone et aux services publics (téléphone fixe, téléphone mobile (comptes nouveaux et existants) - 11,0 %.
- Fraude bancaire (cartes de débit, transfert électronique de fonds (comptes nouveaux et existants) - 7,3 %.
- Fraude liée à l'emploi ou aux impôts (fraude liée à l'emploi ou aux salaires et fraude fiscale) - 5,5 %.
- Fraude de documents gouvernementaux ou aux prestations (permis de conduire délivré ou falsifié, prestations gouvernementales demandées ou reçues, autres documents gouvernementaux délivrés ou falsifiés) - 3 %.
Pour ces raisons, il est crucial pour les franchiseurs de comprendre les enjeux posés par la cybersécurité et les méthodes pour y faire face.
Ceci dit, cela nous révèle que les franchiseurs ont une obligation en matière de cybersécurité envers leurs franchisés et les consommateurs. Ils doivent être conscients qu’ils gèrent simultanément plusieurs données appartenant à des consommateurs, que ce soit à travers une base de données centralisée chez le franchiseur ou par l’entreprise des données traitées par les différents appareils au niveau des franchisés. Il faut toujours s’assurer du respect de la sécurité des données et de la confidentialité de l’information des consommateurs, notamment en ce qui concerne :
- le traitement des cartes de crédit ;
- l’émission d’un billet d’avion ou de croisière ;
- la location d’une automobile, de moto marine ou de motoneige ;
- la réservation d’une chambre d’hôtel ;
- le remplissage de son réservoir d’essence à une station de service ;
- l’achat d’un téléphone cellulaire sur les coordonnées d’habitation, et la divulgation de certains renseignements confidentiels ;
- l’achat d’un livre ou une paire de lunettes par l’intermédiaire d’un réseau de franchise ;
- l’achat ou la location d’un ordinateur avec un contrat de service permettant au personnel du franchiseur d’avoir accès aux données du client ;
- la consommation d’un dîner dans une chaîne de restaurants ;
- l’achat de meubles dans un magasin à petite ou grande surface ;
- la collecte ou le traitement d'informations médicales/de santé d’un patient lors de l’émission d’une ordonnance médicale ou le traitement d’une prescription dans une pharmacie ;
- le traitement d’une déclaration fiscale ;
- le traitement d’un transfert de fonds fournissant des services financiers aux particuliers.
Pour ne lister que ceux-là.
Diverses réglementations nationales et locales s'appliquent lors d’une violation de données aux parties concernées. Le fardeau sera sur les épaules du franchiseur à se démener pour se conformer aux différentes lois ou règlements s’appliquant là où la cybersécurité se produit, et ce, peu importe, que ce soit au niveau de ses unités en propres (corporate units) ou au niveau de ses franchisés.
Les violations de données rendent également les franchiseurs vulnérables aux poursuites individuelles et collectives des consommateurs. Ces poursuites sont fondées sur plusieurs lois statutaires et/ou les jurisprudences. La tendance des tribunaux est de plus en plus sévère pour ces violations de données et les plaignants n'ont plus besoin de démontrer qu’il y a eu préjudice réel (comme le vol d'identité) pour demander justice.
Compte tenu de la nature des systèmes de franchise, un franchiseur imposera souvent d’utiliser certains types de progiciels et systèmes informatiques que les franchisés doivent utiliser dans leurs établissements afin d'assurer l'uniformité et la cohésion dans l'ensemble du système de franchise. Le revers de cette uniformité est le danger de la responsabilité imputée au franchiseur si les systèmes ou programmes informatiques requis sont compromis bien que dans le résultat final de tels cas, les régulateurs n'aient pas toujours réussi à le faire. Par exemple, en 2012, la FTC avait intenté une action contre Wyndham Hotels, FTC v. Wyndham Worldwide Corp., Civil Action No. 2:13-CV-01887 ES-JAD (US Dist. Court, DNJ), pour avoir omis de maintenir la sécurité du système informatique qu'elle obligeait les franchisés à utiliser pour stocker les renseignements personnels des clients. Le tribunal a entièrement dégagé le franchiseur de toute responsabilité en cas de violation de données dans les hôtels franchisés Wyndham.
Nous constatons, de plus en plus, des clauses être introduites dans les contrats de franchise autorisant les franchiseurs d’accéder aux bases de données de leurs franchisés. Le problème le plus large et non encore résolu pour les franchiseurs, est celui des limites de l’obligation du franchiseur de surveiller les activités des franchisés dans leur utilisation, divulgation et traitement des informations des consommateurs. Dans quelle mesure « l'implication » ou la « connaissance » rend un franchiseur responsable ? Dans la cybersécurité comme dans d'autres domaines, il existe une tension non résolue entre les efforts des franchiseurs pour maintenir leur séparation juridique des franchisés et l'implication des franchiseurs dans les activités de leurs franchisés afin de protéger la marque. Ainsi, en plus de protéger la valeur de leurs marques contre les cyberattaques et de mettre leurs systèmes de franchise en conformité avec les lois sur les données, les franchiseurs doivent guider - mais pas trop orienter - les pratiques de leurs franchisés en matière de données.