Amélioration de la performance énergétique : pour quoi ?

Un objectif global… Le Gouvernement a fixé un cap devant permettre d’atteindre un objectif : l’efficacité et la sobriété énergétique des bâtiments à usage tertiaire.

… par rapport à 2010 ! Il est désormais prévu d’obliger les propriétaires ou les locataires de bâtiments ou parties de bâtiments à usage tertiaire à mettre en œuvre des actions de réduction de la consommation d’énergie pour arriver à une réduction des consommations d’énergie de l’ensemble de ces bâtiments par rapport à 2010 d’au moins :

• 40 % en 2030,
• 50 % en 2040,
• et 60 % en 2050.

Plus précisément. Chaque bâtiment soumis à cette obligation doit atteindre :

• soit un niveau de consommation d’énergie finale réduit, respectivement, de 40 %, 50 % et 60 % par rapport à une consommation énergétique de référence qui ne peut être antérieure à 2010 ;
• soit un niveau de consommation d’énergie finale fixé en valeur absolue, en fonction de la consommation énergétique des bâtiments nouveaux de leur catégorie.

Des objectifs modulables. Les objectifs précités peuvent être modulés en fonction :

• de contraintes techniques, architecturales ou patrimoniales relatives aux bâtiments concernés ;
• d’un changement de l’activité exercée dans ces bâtiments ou du volume de cette activité ;
• de coûts manifestement disproportionnés des actions par rapport aux avantages attendus en termes de consommation d’énergie finale.

Quelles actions faut-il mettre en œuvre ? Pour atteindre les objectifs de réduction de la consommation d'énergie finale, il faut notamment mettre en œuvre des actions qui portent sur :

• la performance énergétique des bâtiments ;
• l'installation d'équipements performants et de dispositifs de contrôle et de gestion active de ces équipements ;
• les modalités d'exploitation des équipements ;
• l'adaptation des locaux à un usage économe en énergie et le comportement des occupants.

À noter. La chaleur fatale autoconsommée par les bâtiments soumis à obligation peut être déduite de la consommation, contribuant ainsi à atteindre les objectifs. Pour mémoire, la chaleur fatale est la chaleur émise par un bâtiment (un site industriel, un hôpital, etc.) : récupérer cette chaleur permet de faire des économies d’énergie. Cette chaleur fatale autoconsommée peut provenir d’un bâtiment non tertiaire présent sur le site.

À noter (bis). La consommation d’énergie liée à la recharge de tout véhicule électrique et hybride rechargeable est déduite de la consommation énergétique du bâtiment et ne rentre pas dans la consommation de référence.

Affichez vos objectifs ! Les objectifs de réduction de la consommation d'énergie finale doivent être publiés soit par voie d'affichage, à un endroit visible et facilement accessible, soit par tout autre moyen pertinent au regard de l'activité tertiaire, pour permettre d’informer le personnel du bâtiment.

Des méthodologies à respecter. Pour atteindre les objectifs de réduction des consommations d’énergie, il faut mettre en œuvre les méthodologies consultables à l’adresse suivante : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041842389&dateTexte=&categorieLien=id.

À titre d’exemple, les modalités de calcul à effectuer pour reconstituer la consommation d’énergie de référence des parties de l’immeuble exploitées lorsque certains bureaux sont vides sont explicitées.

OPERAT. Pour réduire les consommations d’énergie des bâtiments à usage tertiaire, une plateforme intitulée « OPERAT » (https://operat.ademe.fr/#/public/accueil) a vu le jour, gérée par l’Ademe. Un guide d’accompagnement et une FAQ y seront bientôt disponibles.

Sanctions. Le non-respect de la nouvelle réglementation peut être sanctionnée par le paiement d’une amende de 1 500 € pour une personne physique et 7 500 € pour une société. Cette amende est prononcée par le préfet.

Amélioration de la performance énergétique : pour qui ?

Une obligation qui s’impose aux propriétaires et aux locataires ! L’obligation de réduction de la consommation d’énergie pèse aussi sur les locataires. Ils doivent définir, avec leurs bailleurs, les moyens de respecter cette obligation. Ils devront transmettre conjointement les consommations d’énergie de leur bâtiments ou parties de bâtiment au fin d’assurer le suivi du respect de son obligation.

En cas de vente ou de location d’un bâtiment à usage tertiaire. L’évaluation du respect de l’obligation de réduction de la consommation d’énergie est annexée, à titre d’information :

• en cas de vente, à la promesse ou au compromis de vente et, à défaut, à l’acte authentique de vente ;
• en cas de location, au contrat de bail.

Une obligation pour quels bâtiments ? La réglementation concerne les immeubles d’une surface supérieure ou égale à 1 000 m² dédiés à des activités marchandes ou non marchandes.

Amélioration de la performance énergétique : une déclaration annuelle en ligne

Une déclaration annuelle sur OPERAT. La plateforme OPERAT permet d’assurer un suivi de la réduction de la consommation d’énergie finale des bâtiments à usage tertiaire. Le propriétaire ou, le cas échéant, le locataire, doit notamment déclarer sur cette plateforme Web, chaque année :

• la ou les activités tertiaires exercées dans le bâtiment à usage tertiaire ;
• la surface des bâtiments soumis à l’obligation de réduction de consommation d’énergie finale ;
• les consommations annuelles d’énergie par type d’énergie.

Quand faut-il effectuer la déclaration ? Les données relatives à l’année précédente doivent être transmises, au plus tard le 30 septembre, chaque année.

Une mission de contrôle pour le gestionnaire de la plateforme Web. Au plus tard les 31 décembre 2031, 2041 et 2051, le gestionnaire de la plateforme Web devra vérifier que les objectifs de réduction de consommation d’énergie finale ont été atteints.

Des conditions à remplir

Un délai. Si vous souhaitez vous opposer à l’enregistrement d’une marque, vous devez former une opposition devant le directeur général de l’Institut national de la propriété industrielle (INPI) dans un délai de 2 mois suivant la publication de la demande d’enregistrement.

Une atteinte à vos droits. Pour pouvoir former cette opposition, vous devez justifier d’une atteinte à vos droits antérieurs produisant leurs effets en France, concernant :

• une marque antérieure ;
• une marque antérieure jouissant d'une renommée ;
• une dénomination ou une raison sociale, s'il existe un risque de confusion dans l'esprit du public ;
• un nom commercial, une enseigne ou un nom de domaine, dont la portée n'est pas seulement locale, s'il existe un risque de confusion dans l'esprit du public ;
• une indication géographique enregistrée ou une demande d'indication géographique, sous réserve de l'homologation de son cahier des charges et de son enregistrement ultérieur ;
• le nom, l'image ou la renommée d'une collectivité territoriale ou d'un établissement public de coopération intercommunale ;
• le nom d'une entité publique, s'il existe un risque de confusion dans l'esprit du public ;
• une marque protégée dans un État partie à la convention de Paris pour la protection de la propriété industrielle.

Qui peut s’opposer ? Bien évidemment, le titulaire d’une marque antérieure peut former cette opposition. Mais ce n’est pas le seul… Peuvent aussi engager cette procédure :

• le mandataire spécialement désigné par le titulaire de la marque ;
• le bénéficiaire d’un droit exclusif d’exploitation ;
• le titulaire d’un nom de domaine ;
• etc.

Attention. Le recours à un mandataire pour former une opposition à l’enregistrement d’une marque est obligatoire dans les cas suivants :

• l’opposition est formée sur la base d’une marque appartenant à plusieurs propriétaires ;
• l’opposant n’est ni établi, ni domicilié dans un État membre de l’Union européenne ou dans un État partie à l’Espace économique européen.

Une procédure à suivre

Comment. L’opposition à l’enregistrement d’une marque se fait par écrit, directement sur le site internet de l’INPI.

Des justificatifs. À l’appui de votre demande, vous devez fournir les justificatifs suivants :

• l'identité de l'opposant, ainsi que les indications propres à établir l'existence, la nature, l'origine et la portée de ses droits ;
• les références de la demande d'enregistrement contre laquelle est formée l'opposition, ainsi que l'indication des produits ou services visés par l'opposition ;
• l'exposé des moyens sur lesquels repose l'opposition ;
• la justification du paiement de la redevance ;
• le cas échéant, le pouvoir du mandataire, sauf lorsqu'il a la qualité de conseil en propriété industrielle ou d'avocat.

Un coût. Le fait de former une opposition à l’enregistrement d’une marque n’est pas gratuit. Vous devrez vous acquitter de la somme de 400 € pour une opposition fondée sur un seul droit, auxquels s’ajoutent 150 € par droit antérieur supplémentaire. Le paiement s’effectue par voie électronique.

Une procédure en 2 temps. La procédure d’opposition à l’enregistrement d’une marque suit 2 étapes :

• une phase écrite, dite « phase d’instruction », pendant laquelle les parties vont pouvoir échanger leurs arguments ; cette phase peut durer de 6 mois à 1 an ;
• une décision : à l’issue de la phase d’instruction, en effet, le directeur de l’INPI dispose d’un délai de 3 mois pour rendre sa décision.

Création d’un code de conduite : pourquoi ? Pour qui ?

Code de conduite : c’est quoi ? Un « code de conduite » est un document élaboré par une organisation représentative d’un secteur d’activité (association, fédération professionnelle, etc.) pour accompagner les professionnels de ce secteur et faciliter leur mise en conformité au règlement général sur la protection des données (RGPD).

Pour mémoire. Le RGPD est un règlement européen encadrant le traitement des données personnelles (collecte, enregistrement, conservation, etc.) sur le territoire de l’Union européenne.

Un outil de conformité. Le code de conduite fait partie des 9 outils prévus par le RGPD permettant aux entreprises et organismes de gérer leur conformité et de démontrer qu’ils respectent la réglementation.

Un outil adapté. Le RGPD étant un règlement général applicable à tous les secteurs d’activité, le code de conduite permet de l’adapter à un secteur donné. Il s’agit donc d’un socle commun de bonnes pratiques prenant en compte les exigences d’une profession en particulier tout en respectant la réglementation.

Une démarche volontaire. L’élaboration d’un code de conduite relève d’une démarche volontaire de l’organisation qui en est à l’origine, ainsi que des professionnels qui décident, ou non, d’y adhérer.

Pourquoi élaborer un code de conduite ? Les apports d’un code de conduite sont multiples :

• il permet aux professionnels de démontrer leur conformité au RGPD ;
• il homogénéise les pratiques d’un secteur d’activité ;
• il facilite la mise en conformité des petites entreprises qui n’ont pas forcément les moyens de faire appel à des professionnels compétents en matière de règlementation sur la protection des données.

Pour qui ? Un code de conduite est élaboré pour les professionnels du secteur d’activité concerné, notamment pour les micro-entreprises (effectif inférieur à 10 personnes et chiffre d'affaires ou total du bilan annuel n'excédant pas 2 M€) et les petites et moyennes entreprises (effectif inférieur à 250 personnes et chiffre d’affaires annuel n'excédant pas 50 M€ ou total de bilan n'excédant pas 43 M€).

Code de conduite national ou européen ? Un code de conduite peut avoir une portée soit nationale et ainsi s’appliquer uniquement dans le pays concerné, soit européenne et ainsi s’appliquer dans l’ensemble des états membres de l’Union européenne.

Qui intervient dans la création d’un code de conduite ?

Un porteur. Le porteur du code de conduite est l’organisation représentative d’un secteur d’activité qui est à l’initiative de son élaboration.

Une autorité de contrôle. Les autorités de contrôle sont les organismes chargés de surveiller l’application du RGPD dans chaque état membre de l’Union européenne. En France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL). Cette autorité accompagne le porteur pendant l’élaboration du code et l’approuve une fois qu’il est terminé.

Un organisme de contrôle. L’organisme de contrôle est désigné par le porteur du code de conduite. Il a pour mission de vérifier la bonne application de ce code par les adhérents.

Au niveau européen. Lorsqu’il s’agit d’un code de conduite européen, une procédure d’approbation spécifique est mise en place faisant intervenir le Comité européen de la protection des données (CEPD) ainsi que la Commission européenne.

Quelles sont les étapes clés de l’élaboration d’un code de conduite ?

La rédaction du document. Tout code de conduite est destiné à retranscrire les dispositions du RGPD dans des termes clairs et compréhensibles pour faciliter leur application par les professionnels.

Des exigences à respecter. Pour que le code de conduite soit conforme et puisse être approuvé par la CNIL, l’organisme qui l’élabore doit impérativement respecter certaines exigences. Le document doit donc notamment :

• contenir des réponses aux questions qui se posent pour un secteur en matière de protection des données ; le contenu peut être large ou ciblé, c’est-à-dire qu’il peut s’attacher à un type d’opération de traitement particulier ;
• avoir un format facilitant sa compréhension ;
• contenir des solutions concrètes applicables par les adhérents ;
• contenir des garanties permettant de limiter les risques liés aux traitements de données personnelles par les professionnels du secteur (bonnes pratiques en matière de mesures de sécurité par exemple) ;
• établir des mécanismes de contrôle de la bonne application des dispositions qu’il contient par les adhérents ;
• inclure dans le projet une introduction présentant ses objectifs, son champ d’application et la manière dont il faciliterait l’application effective des dispositions du RGPD ;
• démontrer que l’organisation à l’origine du code représente bien le secteur d’activité concerné (précision du nombre d’adhérents par exemple) ;
• définir le champ d’application matériel (les traitements de données concernés) et territorial (l’État ou les États dans lequel ou lesquels il sera en vigueur) ;
• préciser s’il s’agit d’un code de conduite européen ou national ;
• désigner l’autorité de contrôle compétente (la CNIL) ;
• préciser les modalités d’application du code (modalité d’adhésion, processus de mise à jour, critères de sélection de l’organisme de contrôle, etc.) ;
• désigner l’organisme de contrôle chargé de vérifier la bonne application du code par les adhérents) ;
• etc.

Choix de l’organisme de contrôle. Ce choix s’effectue dès le début de l’élaboration du code de conduite et devra apparaître dans le projet du document.

L’approbation. Une fois que le code de conduite est rédigé, il doit être transmis à la CNIL pour être enregistré puis analysé par leur service. Débute alors une phase d’échanges entre le porteur du code et la CNIL pour effectuer des éventuelles modifications. A l’issue de cette phase, le code est ensuite approuvé.

À noter. La procédure d’approbation d’un code de conduite dure de 8 à 14 mois en moyenne.

Les missions de l’organisme de contrôle

Par qui ? L’organisme de contrôle ne doit pas être confondu avec l’autorité de contrôle (la CNIL par exemple) et ses missions ne doivent pas interférer avec celles de cette autorité.

Ses missions. L’organisme de contrôle est chargé de veiller à la bonne application du code de conduite dans lequel sont décrits les mécanismes lui permettant :

• d’organiser le suivi du code après son approbation ;
• d’effectuer les audits préalables à l’adhésion au code de conduite ;
• de traiter les réclamations relatives aux violations du code et de prendre, le cas échéant, les mesures appropriées ;
• de participer à sa mise à jour.

Elaboration d’un code de conduite : besoin d’aide ?

La CNIL vous accompagne. Lorsque vous souhaitez établir un code de conduite, la CNIL peut vous accompagner dès le début et pendant toute la durée d’élaboration du projet. De plus, un formulaire de contact est disponible ici pour vous permettre de poser toutes les questions concernant la procédure ou la méthodologie à respecter.

À noter. Le CEPD a publié des lignes directrices pour aider les organismes à appréhender les exigences de forme et de fond qu’il est nécessaire de respecter lors de l’élaboration d’un code de conduite.

      => Consultez ici les lignes directrices du CEPD.

Les codes de conduite approuvés. La CNIL référence ici l’ensemble des codes de conduite approuvés.

Transmission de documents à l’administration : le point sur la notion de « tiers autorisé » et de « RGPD »

Qu’est-ce qu’un tiers autorisé ? Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une Loi l'y autorise expressément.

Exemples. Il peut s’agir de l’administration fiscale, des organismes de sécurité sociale, des administrations de la justice, de la police et de la gendarmerie ou encore des huissiers de justice.

Conditions requises. Pour qu’un « tiers autorisé » puisse obtenir les informations réclamées, il doit respecter les conditions suivantes :

• sa demande doit être écrite et préciser les références du texte législatif qui la justifie ;
• sa demande doit viser des personnes nommément identifiées ou identifiables (il ne peut pas avoir accès à l'intégralité d'un fichier) ;
• sa demande doit être ponctuelle ;
• sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

Qu’est-ce que le RGPD ? Le Règlement Général sur la Protection des Données (RGPD) est le texte législatif, issue de l’Union Européenne (UE), qui protège les données à caractère personnel.

Transmission de documents à l’administration : la protection du RGPD

Tiers autorisé + RGPD : quelles conséquences ? Lorsqu’un « tiers autorisé » sollicite la communication d’un document, il va prendre connaissance de données à caractère personnel protégées par le RGPD. Dans ce cas, au regard de cette règlementation particulière, de quoi faut-il s’assurer ?

Réponse de la CNIL. Pour répondre à cette question, la CNIL a publié un guide pratique, consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf.

Quel objectif ? Au regard du RGPD, l’enjeu principal pour le responsable de traitement de l’entreprise recevant une demande d’un tiers autorisé est de veiller à se conformer aux demandes prévues par les dispositions légales et de garantir la sécurité des données à caractère personnel traitées.

Les étapes à respecter. Pour atteindre son objectif de protection des données à caractère personnel, le responsable de traitement doit respecter 3 étapes :

• étape 1 : identifier une demande de « tiers autorisé » ;
• étape 2 : vérifier la source et le périmètre de la demande ;
• étape 3 : veiller à sécuriser la communication.

Étape 1. 2 scenarii sont ici possibles :

• si la demande mentionne une référence légale ou réglementaire précise, alors le responsable de traitement doit vérifier la réalité des dispositions mentionnées ;
• si la demande ne mentionne aucune disposition particulière, alors le responsable de traitement doit demander au « tiers autorisé » s’il agit en application d’un texte et de préciser la référence légale afin que la vérification précitée puisse être menée.

Attention ! Si le responsable de traitement adresse des données à caractère personnel à un « tiers autorisé » sans qu’une telle vérification n’ait été réalisée, il s’expose à des sanctions de la CNIL.

Quelles sanctions ? Pour rappel, le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d'euros.

Étape 2. À cette étape, le responsable de traitement doit vérifier que l’émetteur de la demande de communication de documents provient effectivement de l’organisme mentionné dans la demande.

Exemples. Il s’agit, par exemple, pour le responsable de traitement d’effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration sur son site web (il ne faut pas utiliser le numéro fourni par le demandeur) ou de vérifier que l’adresse postale communiquée correspond à celle diffusée par le « tiers autorisé » sur son site web.

Bon à savoir. Si un responsable de traitement réalise a posteriori que des données à caractère personnel ont été transmises « à tort », il doit aussitôt envisager de notifier une violation de données à la CNIL.

Vérification juridique. À cette 2^e étape, le responsable de traitement doit aussi vérifier que la demande est effectivement autorisée par la disposition légale invoquée. Ainsi, il doit s’assurer que :

• les informations transmises sont effectivement visées par les dispositions invoquées par le « tiers autorisé » ;
• les informations réunies, avant transmission, ne contiennent pas de données à caractère personnel « en trop », c’est-à-dire non demandées par le « tiers autorisé » dans sa requête.

Bon à savoir. Lorsque le « tiers autorisé » sollicite la communication des noms et prénoms des salariés d’un service, le responsable de traitement peut, par commodité, transmettre la copie de l’organigramme correspondant, à condition de masquer les informations « en trop » (photo, adresse de messagerie et numéro de téléphone).

Le point sur le secret professionnel. Le secret professionnel doit être opposé par le responsable de traitement seulement si aucune disposition ne prévoit sa levée. Mais, en pratique, il est rarement possible d’opposer le secret professionnel à un « tiers autorisé » comme l’administration fiscale, par exemple…

Étape 3. Dans cette dernière étape, va se poser la question de la détermination du canal de transmission des informations. Le responsable de traitement doit, à ce titre, privilégier dans la mesure du possible les modalités de communication offrant un niveau de sécurité adapté.

Conseil. Le choix par le « tiers autorisé » de modalités d’échanges jugées peu sûres par le responsable de traitement ne peut pas, en principe l’autoriser à s’opposer à la transmission. Il est cependant conseillé au responsable de traitement d’adresser cette observation à l’organisme tiers autorisé et de conserver tout échange et élément jugé utile sur ce point.

Transmission de documents à l’administration : quelles procédures ?

Un recueil des procédures « tiers autorisés ». La CNIL a rassemblé les procédures « tiers autorisés » en raison de leur fréquence d’utilisation dans un document consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/recueil-procedures-tiers-autorises.pdf.

Découpage du recueil. Le recueil est découpé selon le champ d’intervention du « tiers autorisé », à savoir :

• enquêtes juridictionnelles ;
• enquêtes administratives ;
• enquêtes économiques ;
• enquêtes sociales, travail et santé.

RGPD et droit d’accès : pour qui ?

Un droit d’accès… à quoi ? Le droit d’accès, prévu dans le cadre du RGPD, est le droit d’une personne physique d’accéder au traitement de ses données à caractère personnel par un professionnel ou une administration.

Concrètement. La personne va recevoir une confirmation écrite que ses données sont traitées et peut obtenir, si elle le souhaite, la copie de ses données traitées.

Qui demande ? La demande peut être formulée par un client à une entreprise, par un salarié à son employeur, par un particulier à l’administration, par un patient à son médecin, etc.

Mandat. La personne qui souhaite accéder à ses données personnelles qui font l’objet d’un traitement peut confier à une autre personne la tâche d’exercer son droit par un mandat.

À noter. La CNIL a récemment publié une recommandation relative à l’encadrement de la mission et du rôle des mandataires chargés d’exercer les droits des personnes dont les données personnelles sont traitées. Pour plus de détail, cliquez ici.

Droit d’accès à ses données. Le droit d’accès d’une personne ne donne le droit d’accéder qu’à ses propres données. Ainsi, une personne ne peut pas demander à accéder aux données à caractère personnel de son conjoint, en l’absence de mandat.

RGPD et droit d’accès : la procédure à suivre

Un délai à respecter. Lorsqu’une personne demande à accéder à ses données à caractère personnel que vous collectez, vous avez 1 mois pour lui répondre.

Un délai prolongeable. Le délai peut être prolongé de 3 mois « compte tenu de la complexité et du nombre de demandes ». Toutefois, il faut en informer la personne qui demande à bénéficier de son droit d’accès (ou son mandataire) dans le délai d’1 mois.

Un coût ? Par principe, une demande d’accès aux données personnelles est gratuite. Toutefois, il est possible de prévoir des frais, dès lors que ceux-ci sont « raisonnables et basés sur les coûts administratifs », et notamment :

• pour toute copie supplémentaire demandée par le demandeur ;
• si la demande est manifestement infondée ou excessive.

Bon à savoir (1). S’il arrive que le demandeur se déplace dans votre local et si vous n’êtes pas en mesure de lui fournir ses données à caractère personnel, il faut lui remettre un avis de réception daté et signé.

Bon à savoir (2). Si vous envoyez les informations demandées par courrier, il est conseillé de le faire par lettre recommandée avec avis de réception.

Sous-traitant. Le cas échéant, n’hésitez pas à demander de l’aide à votre sous-traitant pour répondre à la demande d’accès d’un client, d’un salarié, etc.

Refuser le droit d’accès ? Vous avez le droit de refuser une demande d’accès si :

• les demandes sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
• les données ne sont plus conservées ou ont été effacées.

À noter. Un refus au droit d’accès doit toujours être motivé. En cas de refus, vous devez également informer le demandeur des voies et délais de recours dont il dispose.

Demande d’accès à vos données personnelles : pensez aux courriers types !

Le contexte. Pour accompagner les personnes désireuses d’interagir avec les organismes qui détiennent leurs données personnelles, la CNIL a mis en ligne divers courriers types aux fins de faciliter leur démarche.

Quels domaines ? Les courriers types proposés ont trait aux domaines suivants :

• internet ;
• travail ;
• banque-crédit ;
• droits ;
• commerce-publicité ;
• télécommunications ;
• santé ;
• transport ;
• logement.

Pour quelles actions ? Les démarches facilitées par ces modèles de courrier sont diverses et touchent notamment :

• à ne plus recevoir de publicités ;
• à exercer son droit d'accès à ses données personnelles ;
• à connaître les informations détenues par un établissement financier ;
• à accéder au fichier central des chèques (FCC) ;
• à rectifier des données incomplètes ou inexactes ;
• etc.

Pour accéder à ces courriers, cliquez ici.

Protection du secret des affaires : focus sur l’information protégée

Secret des affaires = 3 critères. Pour qu’une information puisse bénéficier de la protection du secret des affaires, il faut que 3 critères cumulatifs soient remplis.

Critère 1. L’information ne doit pas être connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité.

Critère 2. L’information doit avoir une valeur commerciale, effective ou potentielle, du fait de son caractère secret.

Critère 3. L’information doit faire de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.

Détenteur légitime. Cette information ne peut être détenue que par un « détenteur légitime » qui se définit comme celui « qui en a le contrôle de façon licite ».

Obtention par une tierce personne. Outre un détenteur légitime, des personnes tierces peuvent obtenir une information protégée par le secret des affaires. La Loi définit des modes d’obtention licite et illicite d’un secret des affaires.

Obtention licite. Constituent des modes d'obtention licite d'un secret des affaires :

• une découverte ou une création indépendante ;
• l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret.

Obtention illicite. L'obtention d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime et qu'elle résulte :

• d'un accès non autorisé à tout document, objet, matériau, substance ou fichier numérique qui contient le secret ou dont il peut être déduit, ou bien d'une appropriation ou d'une copie non autorisée de ces éléments ;
• de tout autre comportement considéré, compte tenu des circonstances, comme déloyal et contraire aux usages en matière commerciale.

Utilisation et divulgation illicite. L'utilisation ou la divulgation d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime par une personne qui a obtenu le secret dans des conditions illicites ou qui agit en violation d'une obligation de ne pas divulguer le secret ou de limiter son utilisation.

Connaissance de l’illicéité (1). La production, l'offre ou la mise sur le marché, de même que l'importation, l'exportation ou le stockage à ces fins de tout produit résultant de manière significative d'une atteinte au secret des affaires sont également considérés comme une utilisation illicite lorsque la personne qui exerce ces activités savait, ou aurait dû savoir au regard des circonstances, que ce secret était utilisé de façon illicite.

Connaissance de l’illicéité (2). L'obtention, l'utilisation ou la divulgation d'un secret des affaires est aussi considérée comme illicite lorsque, au moment de l'obtention, de l'utilisation ou de la divulgation du secret, une personne savait, ou aurait dû savoir au regard des circonstances, que ce secret avait été obtenu, directement ou indirectement, d'une autre personne qui l'utilisait ou le divulguait de façon illicite.

Protection du secret des affaires : l’inopposabilité du secret des affaires

Inopposabilité du secret des affaires : prévue par un texte législatif. Le secret des affaires n'est pas opposable lorsque l'obtention, l'utilisation ou la divulgation du secret est requise ou autorisée par la réglementation de l'Union européenne, les traités ou accords internationaux en vigueur ou le droit français, notamment dans l'exercice des pouvoirs d'enquête, de contrôle, d'autorisation ou de sanction des autorités juridictionnelles ou administratives.

Inopposabilité du secret des affaires : en justice (1). A l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque son obtention, son utilisation ou sa divulgation est intervenue :

• pour exercer le droit à la liberté d'expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d'information telle que proclamée dans la Charte des droits fondamentaux de l'Union européenne ;
• pour révéler, dans le but de protéger l'intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l'exercice du droit d'alerte ;
• pour la protection d'un intérêt légitime reconnu par la réglementation de l'Union européenne ou le droit français.

Inopposabilité du secret des affaires : en justice (2). Lorsque, à l'occasion d’un litige, il est fait état ou est demandé la communication ou la production d'une pièce dont il est allégué par une partie ou un tiers ou dont il a été jugé qu'elle est de nature à porter atteinte à un secret des affaires, le juge peut, d'office ou à la demande d'une partie ou d'un tiers, si la protection de ce secret ne peut être assurée autrement et sans préjudice de l'exercice des droits de la défense :

• prendre connaissance seul de cette pièce et, s'il l'estime nécessaire, ordonner une expertise et solliciter l'avis, pour chacune des parties, d'une personne habilitée à l'assister ou la représenter, afin de décider s'il y a lieu d'appliquer des mesures de protection au titre du secret des affaires ;
• décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ;
• décider que les débats auront lieu et que la décision sera prononcée en chambre du conseil ;
• adapter la motivation de sa décision et les modalités de la publication de celle-ci aux nécessités de la protection du secret des affaires.

Inopposabilité du secret des affaires : en justice (3). Les personnes ayant eu accès à une pièce protégée par le secret des affaires au cours d’un litige sont tenues par une obligation de confidentialité qui perdure à l’issue de la procédure (sauf décision judiciaire contraire).

Inopposabilité du secret des affaires : lors d’un conflit avec un salarié. À l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque :

• l'obtention du secret des affaires est intervenue dans le cadre de l'exercice du droit à l'information et à la consultation des salariés ou de leurs représentants ;
• la divulgation du secret des affaires par des salariés à leurs représentants est intervenue dans le cadre de l'exercice légitime par ces derniers de leurs fonctions, pour autant que cette divulgation ait été nécessaire à cet exercice.

Atteinte à la protection des affaires : comment réagir ?

Ça arrive… Il peut arriver qu’une entreprise doive faire face à une atteinte à l’une de ses informations qu’elle estime protégée par le secret des affaires. Dans ce cas, il existe des mesures à prendre pour qu’elle puisse défendre ses intérêts.

Que l’atteinte au secret des affaires soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés.

Faites cesser l’atteinte ! Il faut saisir rapidement le juge pour faire cesser l’atteinte. Le juge peut alors prescrire, y compris sous astreinte, toute mesure proportionnée de nature à empêcher ou à faire cesser une l’atteinte. Il peut notamment :

• interdire la réalisation ou la poursuite des actes d'utilisation ou de divulgation d'un secret des affaires ;
• interdire les actes de production, d'offre, de mise sur le marché ou d'utilisation des produits soupçonnés de résulter d'une atteinte significative à un secret des affaires, ou d'importation, d'exportation ou de stockage de tels produits à ces fins ;
• ordonner la saisie ou la remise entre les mains d'un tiers de tels produits, y compris de produits importés, de façon à empêcher leur entrée ou leur circulation sur le marché.

À noter. Lorsque le juge limite l’une des mesures précitées dans le temps, il faut que cette limite soit suffisante pour éliminer tout avantage commercial ou économique que l'auteur de l'atteinte au secret des affaires aurait pu tirer de l'obtention, de l'utilisation ou de la divulgation illicite du secret des affaires.

Un coût. Sauf circonstances particulières et sans préjudice des dommages-intérêts qui pourraient être réclamés, les mesures précitées sont ordonnées aux frais de l'auteur de l'atteinte.

Versement d’une provision. Le juge peut conditionner la mise en œuvre des mesures précitées au versement d’une somme d’argent par l’entreprise qui se dit victime d’une atteinte au secret des affaires. Cette somme vise à assurer l'indemnisation du préjudice éventuellement subi par la personne accusée à tort ou par un tiers touché par ces mesures, si l’action en justice est par la suite jugée non fondée.

Et en matière administrative ? Le juge des référés en matière administrative peut être saisi afin de prévenir ou faire cesser une atteinte au secret des affaires. Il peut ordonner en urgence des mesures provisoires (listées ci-dessus), et peut assortir celles-ci d’une « astreinte », c’est-à-dire une condamnation pécuniaire dont le montant augmente en fonction du nombre de jours de retard d’exécution.

Atteinte au secret des affaires : les mesures procédurales

Des pièces protégées placées sous séquestre. Le juge a la possibilité d’ordonner d'office le placement sous séquestre provisoire des pièces demandées afin d'assurer la protection du secret des affaires.

Faire des copies des pièces protégées ? Au nom de la protection du secret des affaires, lorsque le juge restreint l'accès des pièces et autres documents utiles au déroulé de la procédure aux seules personnes habilitées à assister ou représenter les parties, il peut également décider que ces personnes ne peuvent pas en faire de copie ou de reproduction, sauf accord du détenteur de la pièce.

À noter. A peine d'irrecevabilité, la partie ou le tiers à la procédure qui invoque la protection du secret des affaires pour une pièce dont la communication ou la production est demandée remet au juge, dans le délai fixé par celui-ci :

• la version confidentielle intégrale de cette pièce ;
• une version non confidentielle ou un résumé ;
• un mémoire précisant, pour chaque information ou partie de la pièce en cause, les motifs qui lui confèrent le caractère d'un secret des affaires.

Produire une pièce intégralement. Le juge peut ordonner la communication ou la production de la pièce dans sa version intégrale lorsque celle-ci est nécessaire à la solution du litige, alors même qu'elle est susceptible de porter atteinte à un secret des affaires. Dans ce cas, le juge doit désigner la ou les personne(s) pouvant avoir accès à la pièce dans sa version intégrale. Lorsqu'une des parties est une société, il doit désigner, après avoir recueilli son avis, la ou les personne(s) physique(s) pouvant, outre les personnes habilitées à assister ou représenter les parties, avoir accès à la pièce.

Le jugement : une publication occultée ? Une version non confidentielle de la décision, dans laquelle sont occultées les informations couvertes par le secret des affaires, peut être remise aux tiers et mise à la disposition du public sous forme électronique.

Publication de la sanction. Le juge peut ordonner que la décision judiciaire soit publiée (intégralement ou par extraits) dans des journaux ou sur des sites Internet, selon des modalités précisées dans cette décision. Cette publication se fait au frais de l’auteur de l’atteinte.

Procédure abusive. Lorsque la procédure lancée par une personne qui s’estime victime d’atteinte au secret des affaires est manifestement abusive, celle-ci peut être condamnée au paiement d'une amende dont le montant ne peut être supérieur à 20 % du montant de la demande de dommages-intérêts. En l'absence de demande de dommages et intérêts, le montant de l'amende ne peut excéder 60 000 €.

5 ans ! Les actions relatives à une atteinte au secret des affaires sont prescrites par 5 ans à compter des faits qui en sont la cause. La personne qui porte atteinte au secret des affaires engage, en outre, sa responsabilité civile.

Atteinte au secret des affaires : en cas d’atteinte interne

Ça arrive aussi… Dans l’hypothèse où l’atteinte au secret des affaires provient de l’intérieur de l’entreprise, le dirigeant va devoir constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime d’une atteinte au secret des affaires, le dirigeant doit réagir très rapidement, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Attention ! Le dossier doit être constitué rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête est menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable à un éventuel licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourrez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

     =>  Pour en savoir plus, consultez notre fiche « Un salarié commet une faute : qualifier la faute »

Lanceurs d’alerte. Lorsque l’atteinte à un secret des affaires provient d’un collaborateur, il faut être vigilant car le juge peut considérer, par la suite, que ce collaborateur est protégé par la réglementation des lanceurs d’alerte.

     =>  Pour en savoir plus, consultez notre fiche « Lanceurs d’alerte : ce qu’il faut savoir »

Cookies : de quoi parle-t-on ?

Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».

Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».

3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :

• que l’internaute soit informé de la finalité des « cookies » ;
• qu’il consente à l’activation des « cookies » ;
• que l’internaute puisse refuser l’activation des « cookies ».

Cookies : recueillir le consentement de l’internaute

Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.

Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :

• de la finalité précise des « cookies » ;
• de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;

Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).

À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».

Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».

Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.

Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.

Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :

• les « cookies » liés aux opérations relatives à la publicité ;
• les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
• les « cookies » de mesures d’audience.

Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :

• les « cookies » identifiant de session ;
• les « cookies » d’authentification ;
• certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.

La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.

Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :

• l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
• le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
• le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
• lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?

Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.

Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :

• informer les responsables de traitement de données de leurs droits et obligations ;
• veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
• prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
• prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.

Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.

Cookies : 2 situations à distinguer !

2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.

Cas 1. Dans cette 1^re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.

Cas 2. Dans cette 2^de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.

Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.

Cookies : de l’importance du design

Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :

• les bannières neutres ;
• les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
• les bannières « bright patterns » qui encouragent la réflexion de l’internaute.

Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles. 

Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :

• 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
• 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
• 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).

Cookies : de l’usage par l’écosystème publicitaire

Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.

L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
 

Détournements de fonds : comment les empêcher de survenir ?

Ça arrive... Les détournements sont souvent le fait de personnes extérieures à l’entreprise. Qui n’a pas entendu parler de « l’arnaque au président » qui consiste, pour des escrocs, à convaincre le collaborateur d'une entreprise à effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, ou encore de la « fraude au changement de RIB » qui consiste pour les fraudeurs à envoyer un mail à un salarié du service de comptabilité de l'entreprise en se faisant passer pour un fournisseur, et lui demander de diriger ses versements vers un autre compte bancaire appartenant à des escrocs.

… aussi en interne. Mais les détournements de fonds peuvent aussi être commis par des collaborateurs de l’entreprise, notamment ceux qui sont affectés à la comptabilité de l’entreprise ou en charge de la gestion de la trésorerie.

Comment se protéger ? Le dirigeant est responsable des fonds appartenant à l’entreprise. Il doit donc se montrer particulièrement vigilant pour tout ce qui touche à la gestion de trésorerie et aux flux financiers. Il dispose à cet égard de plusieurs outils. Lesquels ?

1^re action. En premier lieu, respectez (faites respecter) le principe de la séparation ordonnateur / payeur : il est essentiel que la personne qui ordonne la dépense ne soit pas celle qui procède à son paiement.

2^e action. L’entreprise doit maîtriser la gestion des moyens de paiement pour optimiser sa sécurité financière. L’accès à ces moyens de paiement (coordonnées bancaires, accès au chéquier, etc.) doit donc être réservé à un nombre restreint de personnes et conservé en lieu sûr.

3^e action. Il faut mettre en place des circuits courts d’ordonnancement de la dépense (validée par le dirigeant ou un responsable qui aura obtenu une délégation à ce titre) et de son paiement : plus les process sont démultipliés, plus les risques de détournements de fonds sont aussi démultipliés. Il y a notamment un risque que chaque échelon se déresponsabilise en pensant que les vérifications nécessaires seront effectuées par l’échelon inférieur ou supérieur.

Détournements de fonds : comment réagir ?

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime de détournements de fonds, le dirigeant doit réagir très rapidement car les délais sont strictement encadrés, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Que le détournement soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés en droit pénal des affaires et en droit social.

En cas de détournement interne… Le dirigeant va constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Attention ! Le dossier doit être construit rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête était menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable au licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourriez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

Quelle faute retenir ? En présence d’un détournement de fonds, la tendance sera de retenir une faute lourde contre le salarié, privative de toute indemnité de rupture (à l’exception de l’indemnité de congés payés qui reste due) et permettant d’obtenir, de la part du salarié, une indemnisation du préjudice subi par l’entreprise. Mais une faute lourde suppose de la part du salarié une réelle intention de nuire à l’entreprise ou à son dirigeant. Or, c’est rarement reconnu comme tel par les juges dans le cas d’un détournement de fonds.

Exemple de faute lourde reconnue. Un salarié a été licencié pour faute lourde suite aux détournements de fonds de l’entreprise. Il occupait un poste de directeur administratif et financier. Il a, notamment, édité de fausses factures et dissimulé des documents pour masquer ses actes (démarches qui caractérisaient, ici, sa volonté de nuire à l’entreprise). L’employeur avait alors appris l’existence de ces détournements à la suite d’un contrôle Urssaf. Le juge a, ici, validé la faute lourde.

Conseil. Retenir une faute lourde, sans apporter la preuve de cette intention de nuire, rendrait le licenciement sans cause réelle et sérieuse. Voilà pourquoi il est souvent préconisé de retenir la faute grave en pareille situation. Mais, comme toujours, cela dépendra des circonstances de l’espèce. Voilà pourquoi il est essentiel de faire appel à son conseil pour que la procédure disciplinaire diligentée à l’encontre d’un salarié coupable de détournement de fonds soit pleinement efficace.

Réclamer des indemnités à la banque ? Il peut être possible de réclamer des indemnités à une banque lorsque les celle-ci a failli dans ses procédures de contrôle. Néanmoins, il faut aussi que la société n’ait pas commis de faute de son côté…

Exemple. Une salariée a falsifié 330 chèques en 5 ans, pour un montant de 20 000 €/an. Pour le juge, la banque n’a commis aucune faute puisque la salariée imitait la signature de son dirigeant et que la société n’avait mis en place aucun contrôle de l’activité de sa salariée.

RGPD : pour qui, pour quoi ?

Des données personnelles… Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies…). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.

Une définition... Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale est une « donnée personnelle » au sens de la règlementation.

Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, les obligations déclaratives envers la CNIL ont disparues (quelques exceptions subsistent toutefois). En contrepartie de la fin de ces obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability » ou l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles, d’une part et d’être en mesure d’en justifier, d’autre part.

Les exceptions qui subsistent. Les formalités déclaratives devant être effectuées auprès de la CNIL, supprimée en grande partie par le RGPD, sont maintenues pour les données « sensibles » : données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, données génétiques, données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques et données de santé.

Traitements de données interdits. Certains traitements de données sont par principe interdits. Ainsi, il est interdit de traiter des données à caractère personnel :

• qui révèlent la prétendue origine raciale ou l’origine ethnique ;
• qui révèlent les opinions politiques,
• qui révèlent les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ;
• qui traitent des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique ;
• qui traitent des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Des exceptions... Ces données peuvent néanmoins faire l’objet d’un traitement dans un nombre limité de cas :

• la personne concernée a donné son consentement ;
• le traitement est nécessaire à l’exécution d’obligations respectives entre la personne concernée et le responsable de traitement ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne qui n’est pas en mesure de donner son consentement ;
• le traitement est effectué dans le cadre des activités d’un organisme à but non lucratif concernant ses membres ;
• les données sont rendues publiques par la personne concernée ;
• le traitement est nécessaire à l’exercice d’un droit en justice ;
• le traitement est nécessaire pour des motifs d’intérêt public ;
• le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail ;
• le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé ;
• le traitement est nécessaire à des fins archivistiques dans l’intérêt public.

Concernant les numéros de carte bancaire. Par principe, les sites de commerce en ligne ne peuvent collecter les données bancaires de leurs clients que pour une seule transaction, impliquant une interdiction de conservation de celles-ci. Toutefois, cette conservation est possible :

• si la société propriétaire du site a obtenu le consentement préalable et explicite du consommateur ;
• dans le cadre de la souscription d’un abonnement instaurant une relation commerciale régulière entre la société et le client.

Contrôle a posteriori de la CNIL. La CNIL dernière exerce une mission de contrôle. C’est pourquoi, les entreprises doivent garantir une protection optimale des données collectées et être en mesure de justifier la conformité de leur démarche à la réglementation.

Pour la petite histoire. Il a été jugé qu’une société propriétaire d’un moteur de recherche sur Internet qui informe l’utilisateur du traitement de ses données personnelles par une information vague, dont le contenu est éparpillé sur plusieurs pages, ne respecte pas ses obligations. De plus, le fait que le consentement de l’utilisateur au traitement de ses données soit recueilli par le biais d’une case déjà pré-cochée le rend invalide.

Une charte des contrôles. En raison des enjeux particulièrement importants de ces contrôles, il est essentiel que les entités contrôlées comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir. À cet effet, la CNIL a publié une charte des contrôles.

     =>  Pour en savoir plus, consultez la charte des contrôles de la CNIL

Médiateur des entreprises. La Cnil s’est alliée avec le Médiateur des entreprises pour apaiser les tensions liées à la mise en application du RGPD. Pour rappel, le Médiateur des entreprises propose une aide gratuite, confidentielle et neutre, aux entreprises qui rencontrent des difficultés contractuelles ou relationnelles avec un client ou un fournisseur.

Quels sont les domaines concernés ? Cette nouvelle réglementation ne concerne pas seulement les rapports d’affaires mais également le rapport des entreprises avec leurs salariés, ces derniers pouvant alors être considérés comme des « utilisateurs ». Cela implique donc un allègement des déclarations des traitements de données RH.

Les droits des personnes renforcés. Le RGPD renforce les droits des personnes dont les données personnelles sont collectées :

• son consentement devra être « actif », ce que vous devrez prouver (case cochée, déclaration, écrite, etc.) ;
• il aura un droit à la portabilité de ces données.

Droit à la portabilité des données. Les personnes disposent d’un droit à la portabilité des données les concernant, leur permettant de récupérer les données qu’ils ont fournies sous une forme réutilisable, pour éventuellement les transmettre à un tiers.

Droit d’accès, de rectification et droit à l’oubli des utilisateurs. Les personnes doivent pouvoir accéder aux données collectées à leur sujet, les rectifier et, éventuellement, user de leur « droit à l’oubli numérique » (c’est-à-dire à l’effacement de leurs données personnelles).

Modalités d’exercice des droits. Il n’est pas précisé par quel moyen la demande des personnes concernées doit être faite et l’entreprise peut décider elle-même des modalités à mettre en place (il est par exemple possible d’exiger une demande par voie postale).

Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.

Page Facebook : la co-responsabilité de l’entreprise. Une société est co-responsable de traitement, avec Facebook, dès lors qu’en tant qu’administratrice de la page « fan » Facebook, elle peut :

• obtenir des statistiques établies par Facebook à partir des visites de cette page à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page « fan » ;
• par la création d’une telle page, placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page « fan », que cette personne dispose ou non d’un compte Facebook ;
• posséder une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page « fan ».

Opposition de l’utilisateur. Tout utilisateur peut s’opposer, sans frais et simplement, au traitement de ses données à caractère personnel lorsqu’elles sont traitées à des fins de marketing direct.

Une obligation de transparence et d'information. Les entreprises sont soumises à une obligation d'information et de transparence qui leur impose de délivrer aux utilisateurs au moment de la collecte, une information accessible et facile à comprendre, formulée en termes simples et clairs. Cela doit leur permettre de savoir exactement si des données à caractère personnel les concernant sont collectées, par qui, dans quel but et pour quelle durée.

Impact pour votre entreprise. Ces adaptations impliquent, pour beaucoup d’entreprises, des développements informatiques pour se mettre en conformité avec la réglementation et pour leur faciliter le travail d’extraction des données dans le cadre de la portabilité.

Une procédure d’auto-évaluation. Pour aider les différents organismes (entreprises, associations, etc.) à évaluer facilement le degré d’efficacité des actions qu’ils mènent en matière de protection des données personnelles, la CNIL vient de publier une procédure d’auto-évaluation composée de 6 niveaux de maturité. Vous pouvez la consulter ici.

Mise en place d’un délégué à la protection des données : obligatoire ?

Du Correspondant Informatique et Libertés facultatif… Auparavant, toutes les entreprises pouvaient désigner un Correspondant Informatique et Libertés (CIL), leur permettant de s’affranchir des formalités déclaratives, de veiller au respect de la Loi et à la sécurité des données…

… au Délégué à la protection des données obligatoire. Depuis le 25 mai 2018, certaines entreprises doivent impérativement désigner un délégué à la protection des données (DPD ou DPO, pour « Data Protection Officer »). Les entreprises concernées sont celles qui, quelle que soit leur taille, ont une activité de base impliquant des opérations de traitement exigeant un suivi régulier et systématique des personnes ou si le traitement s’effectue à grande échelle, quand bien même il ne s’agit pas du cœur de l’activité de l’entreprise.

Qui est-il ? Le DPO peut être un salarié de l’entreprise ou non, commun à plusieurs entreprises ou non. Il est choisi sur la base de ses qualités professionnelles, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions, parmi lesquelles :

• l’information et le conseil du responsable de traitement ou du sous-traitant ;
• le contrôle du respect de la réglementation ;
• la coopération avec la CNIL ;
• etc.

Comment le désigner ? La désignation du DPO se fait par le biais d’un téléservice sur le site web de la CNIL.

Comment exerce-t-il ses fonctions ? Le responsable du traitement et le sous-traitant veillent à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le DPO à exercer ses missions en lui fournissant les ressources nécessaires, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d'entretenir ses connaissances spécialisées.

Il est indépendant ! Le DPO ne doit recevoir aucune instruction en ce qui concerne l'exercice de ses missions. Il ne peut pas être relevé de ses fonctions ou pénalisé ni par le responsable du traitement, ni par le sous-traitant pour l'exercice de ses missions. Il fait, en outre, directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

La contrepartie. Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.

À noter. Le DPO exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

Suivez le guide de la CNIL ! Pour accompagner les organismes et aider les DPO dans leur mission, la CNIL a mis en place un guide pratique que vous pouvez consulter ici.

Garantir sa conformité avec le RGPD !

Des sanctions sévères. Le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d'euros (le montant le plus élevé est retenu).

Que devez-vous faire ? Pour que votre entreprise soit conforme avec le RGPD, il est nécessaire de réaliser une cartographie des données qu’elle est susceptible de collecter. Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Étude d’impact. Selon les résultats de cette cartographie, il peut être opportun de réaliser une étude d’impact : cette étude est obligatoire si les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, notamment si le traitement nécessite un profilage ou dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions. Une analyse d’impact se décompose en 3 parties :

• une description détaillée du traitement mis en œuvre ;
• une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
• une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact est obligatoire (liste non exhaustive, selon la CNIL)

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact n’est pas nécessaire (liste non exhaustive, selon la CNIL)

Cas de dispenses ? La réalisation d’une telle analyse d’impact, en principe obligatoire depuis le 25 mai 2018, n’était cependant pas exigé dans certains cas :

• traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
• traitements ayant été consignés au registre d’un correspondant « informatique et libertés ».

Une analyse définitivement obligatoire ! Cette dispense, d’une durée initiale de 3 ans, est arrivé à sa fin. Depuis le 25 mai 2021, toute personne responsable du traitement des données devra avoir effectué cette analyse, si le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Un outil d’accompagnement. Un logiciel a été mis en place par la CNIL pour faciliter la conduite d’une analyse d’impact. Celui-ci peut être téléchargé ici.

Une charte. Dans le cadre de sa mission de conseil, la CNIL a décidé de publier une charte d’accompagnement pour les professionnels afin d’apporter de la visibilité sur les différents outils qu’elle a mis en place pour leur permettre de se mettre en conformité avec le règlement. Cette charte s’adresse plus précisément :

• aux responsables de traitement ou leurs sous-traitants ;
• aux fournisseurs de solutions techniques.

À consulter. Pour en savoir plus, vous pouvez consulter et télécharger la charte à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/charte_accompagnement_des_professionnels.pdf

Attention aux arnaques ! Face à la multiplication des arnaques (mails frauduleux, appels utilisant le numéro de la CNIL, etc.) destinées à soutirer de l’argent aux sociétés dans le cadre de leur mise en conformité avec le RGPD, la CNIL rappelle qu’il ne faut jamais :

• répondre à ces messages ;
• communiquer son numéro de carte bancaire pour obtenir un prétendu remboursement ;
• effectuer des paiements en contrepartie d’un service de mise en conformité au RGPD ou dans le cadre d’un prétendu contrôle de la CNIL.

Protection des données personnelles et Chatbots

Les Chatbots, aussi appelés agents conversationnels, sont des systèmes de dialogue disponibles sur un site internet et permettent aux utilisateurs de poser des questions à un programme automatique.

Pour qu’ils puissent fonctionner correctement, certaines données personnelles peuvent être récoltées par ces dispositifs, imposant donc une conformité au règlement général sur la protection des données (RGPD), même si leur accès ne nécessite pas d’inscription.

En plus des dispositions générales, des précautions particulières doivent être prises par les responsables des Chatbots.

Cookie nécessaire à la continuité technique du Chatbot

Pour que l’internaute puisse naviguer sur le site, tout en conservant la conversation avec le Chatbot, un cookie doit être déposé. Deux cas de figure sont possibles :

• le cookie est déposé avant l’activation du Chatbot par l’utilisateur : son consentement libre, spécifique, éclairé et univoque doit être récolté au préalable ;
• le cookie est déposé au moment de l’activation du Chatbot par l’utilisateur qui clique sur la fenêtre : son consentement préalable n’est pas requis.

La conservation des données

La CNIL précise que les données peuvent et doivent être conservées le temps nécessaire à la finalité du traitement. Si l’internaute a pu obtenir une réponse à sa question à la fin du dialogue, les données devront être directement effacées. Si sa question requiert un délai de traitement plus important, les données pourront être conservées jusqu’à la clôture de la demande.

Prises de décisions de l’internaute et collecte de données sensibles

Une décision importante qui entraine des conséquences juridiques pour une personne ne peut être récoltée par l’intermédiaire d’un Chatbot entièrement automatisée sauf si :

• la personne a donné son consentement explicite ;
• la décision est nécessaire à l’exécution d’un contrat entre l’internaute et le responsable de la récolte des données ;
• la décision est autorisée par le droit de l’Union européenne ou le droit d’un Etat membre.

Enfin, le RGPD interdit la récolte des données dites « sensibles » (informations sur la santé, les opinions politiques, la prétendue origine raciale ou ethnique, etc). Cette disposition s’applique également au Chatbot.

Toutefois, il existe deux exceptions à cette règle si :

• la collecte est prévisible et le traitement pertinent : le responsable du traitement devra veiller à ce que les dispositions du RGPD concernant les données sensibles soient scrupuleusement respectées ;
• la collecte est imprévisible : il est nécessaire de mettre en garde l’utilisateur et de mettre en place un système de purge régulier.

     => Consultez le guide pratique de sensibilisation au RGPD pour les PME

À noter. L’Union nationale des associations familiales (UNAF), en collaboration avec la CNIL, a établi un guide spécifique à destination des professionnels du secteur social et médico-social qui sont susceptibles de collecter des données personnelles et notamment des données dites « sensibles ».

     => Consultez le guide pour les professionnels du secteur social et médico-social

     => Consultez le guide pour les professionnels du secteur de la gestion locative

     => Consultez le référentiel « gestion commerciale »

     => Consultez le référentiel « gestion des impayés »