Cybersécurité : des diagnostics gratuits, des financements et des formations

C’est un fait qui n’aura échappé à personne : le nombre d’actes de cybermalveillance augmente chaque année. La cybersécurité est donc devenue un enjeu très concret pour les entreprises et une nécessité pour protéger son activité.

Or, les TPE et les PME, moins protégées, sont les cibles privilégiées des cyberattaques. En effet, les plus petites structures peuvent manquer sur ce sujet :

• de moyens financiers ;
• de compétences dédiées, les grandes entreprises pouvant plus facilement bénéficier de l’expertise de professionnels du sujet ;
• de temps, etc.

Pour inciter les entreprises à s’emparer du sujet, les pouvoirs publics ont mis en place :

• des dispositifs d'accompagnement ;
• des aides financières ;
• des formations ; des listes de prestataires pour accompagner les entreprises.

Établir un diagnostic de la situation

Avant d’investir dans sa cybersécurité, encore faut-il savoir où en est son entreprise. Pour cela, les entreprises peuvent utiliser :

• MonAideCyber : il s’agit d’un dispositif mis en place par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour un diagnostic cyber de premier niveau gratuit avant d’être orienté vers des dispositifs cyber complémentaires ;
• Diagonal : il s’agit d’un dispositif destiné en priorité aux entreprises situées dans les zones relevant de la Gendarmerie nationale grâce auquel un cyber gendarme réalise dans les locaux un pré-diagnostic ;
• les dispositifs mis en place par les Chambres de commerce et de l’industrie (CCI) ;
• Cyber PME : il s’agit d’un dispositif orienté vers certains secteurs prioritaires et subventionné à hauteur de 50 % qui intègre un diagnostic, la mise en œuvre d'un plan d'action et l'achat de solutions ;
• l’accompagnement CYBIAH qui associe diagnostic et mise en place de solutions, grâce à des subventions.

Financement des solutions

Une fois les diagnostics établis, il faut mettre en place les solutions adéquates… qui ont un coût ! Là encore, il existe des aides tant à l’échelon régional qu’à l’échelon européen grâce au Pôle européen d’innovation numérique (EDIH) qui propose des subventions pouvant aller jusqu’à 50 % des coûts et un accompagnement par des professionnels.

Concernant les régions, vous trouverez ici la liste des aides proposées dans toute la France.

Se former

Pour acquérir les bons réflexes, des modules de formation gratuits sont disponibles ici.

Enfin, notez qu’est mise à votre disposition ici, une liste des Activateurs France Num : il s’agit de prestataires privés et référencés par France Num pour accompagner les TPE et PME.

Paiement de la CFE par virement : nouvelles autorisations

Les personnes redevables de la cotisation foncière des entreprises (CFE) doivent s’acquitter des sommes dues :

• soit par paiement sur internet depuis le compte fiscal en ligne. Ce mode de paiement est le mode de paiement par défaut, il est obligatoire pour les entreprises relevant de la Direction des grandes entreprises (DGE) ;
• soit par prélèvement mensuel. Sur option du redevable, la CFE est prélevée tous les 15 du mois de janvier à octobre ;
• soit par prélèvement à l'échéance. Sur option du redevable, la CFE est prélevée de manière automatique à l'échéance.

Par tolérance administrative, le paiement de la CFE par virement directement opéré sur le compte du Trésor est autorisé pour les entreprises relevant de la DGE dans les cas suivants :

• à la suite d'un plan de règlement octroyé par le comptable de la DGE ou une commission des chefs de services financiers (CCSF) ;
• à la suite d'une procédure collective avec désignation d'un mandataire ; pour une société absorbée dans le cadre d'une transmission universelle du patrimoine au moment de la réception de l'avis d'imposition (facture) ;
• à la suite d'un contentieux.

Depuis le 1^er janvier 2024, la possibilité de payer la CFE par virement est étendue aux professionnels non-résidents situés dans un État figurant sur une liste établie par arrêté, et ce, quel que soit le montant dû.

Des précisions viennent d’être apportées concernant les bénéficiaires de cette nouvelle autorisation.

Dans ce cadre, il peut s’agir des loueurs de locaux nus passibles de la CFE résidant dans ces pays ou encore des entreprises étrangères n’ayant pas d’établissement stable en France.

Les personnes ou entreprises ainsi concernées par cette autorisation doivent résider dans l’un des États suivants :

• La Barbade ;
• Cuba ;
• les Îles Vierges britanniques ;
• l'Iran ;
• le Kenya ;
• le Liban ;
• le Maroc ;
• le Soudan ;
• le Venezuela ;
• le Zimbabwe.

Par ailleurs, l'administration fiscale récapitule les différents moyens de paiement autorisés de la CFE dans des tableaux disponibles ici.

Un récapitulatif des récentes évolutions du suivi de santé des salariés

Dans le cadre de la loi du 2 août 2021, dite « Loi santé au travail », le Ministère du travail vient de publier un questions-réponses visant à répondre aux principales interrogations des professionnels du secteur.

Ce questions-réponses concernent :

• les compétences des professionnels de santé en matière de suivi individuel de l’état de santé des travailleurs ;
• un rappel des visites d’information et de prévention ;
• les spécificités du suivi individuel renforcé ;
• l’inaptitude et ses suites ; les examens médicaux du salarié.

Notez que ce questions-réponses intègre un tableau récapitulatif permettant de connaître le champ d’intervention de chacun des acteurs médicaux, en fonction du suivi de l’état de santé du salarié, tel que prescrit par la loi.

Licenciement : des messages privés relèvent-ils de la vie privée ?

Le directeur des ventes d’une société est licencié pour faute grave, après la plainte d’une cliente régulière, ayant reçu de sa part des messages insistants à connotation sexuelle et sexiste.

Sauf que le salarié conteste le bienfondé du licenciement : ces messages privés relèvent de sa vie privée puisqu’ils ont été envoyés depuis son compte personnel, en dehors du temps et du lieu de travail.

D’ailleurs, il rappelle qu’il n’a jamais rencontré personnellement la salariée dans un cadre professionnel !

« Faux ! », réfute l’employeur : cette cliente régulière s’est plainte auprès de l’employeur. Les agissements de ce directeur ont donc bel et bien porté atteinte à l’image de l’entreprise, peu importe qu’ils ne se soient pas rencontrés dans un cadre professionnel.

Mais cela ne suffit pas à convaincre le juge qui tranche en faveur du salarié : le salarié a commis les faits de harcèlement via sa messagerie privée vers celle de la victime, hors du temps et du lieu de travail, à l’aide d’un matériel informatique qui lui appartient à titre personnel.

Ainsi, ces messages privés qui n’ont fait l’objet d’aucune publication, ne peuvent pas fonder le licenciement pour faute du salarié, puisqu’ils relèvent de la vie privée sans pouvoir être rattachés à la sphère professionnelle, par un lien suffisant.

Demande de congé parental : possible, même hors délai ?

Un salarié sollicite un congé parental d’éducation, 5 jours avant la date de début de congé souhaité…

L’employeur lui oppose un refus en lui rappelant qu’il n’a pas respecté les délais légaux et enjoint le salarié à refaire une demande en respectant, cette fois-ci, le délai de prévenance légalement prescrit.

Mais le salarié ne l’entend pas de cette oreille : si la loi impose effectivement un délai pour faire une demande de congé parental d’éducation, l’irrespect de ce délai de prévenance n’est pas sanctionné par une irrecevabilité de la demande.

L’employeur ne peut donc pas le priver du bénéfice d’un congé parental au seul motif d’un dépassement du délai posé pour formuler la demande !

Ce qui va convaincre le juge, qui tranche en faveur du salarié : si la loi impose effectivement le respect d’un délai de prévenance, obligeant le salarié à informer l’employeur dans un délai minimal avant la date du 1^er jour de congé souhaité, elle ne sanctionne par l’irrespect de cette limité par une irrecevabilité de la demande.

En d’autres termes, l’employeur ne peut pas refuser le bénéfice d’un congé parental d’éducation au salarié au seul motif qu’il n’a pas respecté le délai de prévenance, fixé à 1 ou 2 mois, selon les cas.

Que se passe-t-il lorsqu’un manquement de l’employeur est à l’origine du licenciement ?

Une analyste en information, exerçant des fonctions de responsable, est licenciée pour inaptitude par son employeur après son burn-out et son impossibilité de reclassement.

Sauf que la salariée conteste le bienfondé de son licenciement : selon elle, il serait dépourvu de cause réelle et sérieuse dans la mesure où cette inaptitude est consécutive à un manquement de l’employeur à ses obligations.

Plus précisément, elle lui reproche de ne pas avoir respecté son obligation de sécurité ! Elle en veut pour preuve le fait qu’il n’ait pris aucune mesure destinée à alléger sa charge de travail alors même qu’elle l’avait alerté sur sa surcharge de travail, liée à des horaires journaliers dépassant parfois les 11 heures…

Ce dont se défend l’employeur : le lien de causalité n’est pas établi entre un prétendu manquement à l’obligation de sécurité et l’état de santé de la salariée ayant conduit à son inaptitude.

À ce propos, il souligne le fait que la salariée n’a fait que produire 5 mails envoyés par l’intéressée avant 9 heures ou après 18 heures, dans lesquels elle se bornait à remercier ses collègues ou à confirmer des informations, ce qui lui apparaît insuffisant à caractériser un tel manquement.

Quand bien même ce lien serait établi, poursuit-il, il ne serait pas de nature à rendre le licenciement sans cause réelle et sérieuse, mais simplement à le conduire à verser éventuellement des dommages-intérêts pour réparer le dommage dont s’estime victime la salariée du fait de ce surmenage professionnel.

Mais le juge ne l’entend pas ainsi et tranche en faveur de la salariée : pour lui, le licenciement est bel et bien consécutif à un manquement de l’employeur à son obligation de sécurité, directement à l’origine du surmenage professionnel ayant conduit à l’incapacité de la salariée.

De ce fait, il rappelle que lorsque l’inaptitude d’un salarié est consécutive à un manquement de l’employeur, le licenciement pour inaptitude est en réalité dépourvu de cause réelle et sérieuse.

La CNIL fait ses recommandations pour l’élaboration des applications mobiles

La Commission nationale de l’informatique et des libertés (CNIL), autorité de tutelle française pour tout ce qui touche à la protection des données personnelles, tire le constat qu’en France, en moyenne, chaque personne télécharge 30 applications par an sur son téléphone mobile.

Ce qui en fait donc un sujet de préoccupation majeur pour la commission, notamment du fait que les téléphones personnels contiennent de très nombreuses informations sensibles sur leur propriétaire.

C’est pourquoi la commission a décidé de publier ses recommandations à l’intention des :

• éditeurs d’applications mobiles ;
• développeurs d’applications mobiles ;
• fournisseurs de kits de développement logiciel ;
• fournisseurs de systèmes d’exploitation ;
• fournisseurs de magasins d’applications.

Par ces recommandations, la CNIL cherche à garantir que l’ensemble du processus de mise à disposition des applications se fasse dans les meilleures conditions.

Pour ce faire, elle suggère d’encadrer le rôle de chaque acteur, d’améliorer le niveau d’information des utilisateurs sur les utilisations faites de leurs données et que leur consentement est éclairé.

La commission va proposer plusieurs webinaires dans les prochains mois pour accompagner les différents acteurs.

Ensuite, à compter du printemps 2025, la CNIL entamera une campagne de contrôles pour vérifier que les règles sont bien respectées.

Branche d’activité (in)complète : (pas d’) exonération de plus-value

La vente d’un fonds de commerce ou d’une entreprise débouche fréquemment sur la constatation d’une plus-value (gain). Cette plus-value doit normalement être soumise à l’impôt sur les bénéfices (impôt sur le revenu ou impôt sur les sociétés).

Toutefois, si le montant de la vente n’excède pas un certain seuil, vous pourrez bénéficier d’une exonération, totale ou partielle, d’impôt. Ainsi :

• l’exonération sera totale si le montant de la vente n’excède pas 300 000 € ;
• l’exonération sera partielle si le montant de la vente est compris entre 300 000 € et 500 000 €.

Cette exonération vise les ventes d'une activité commerciale, industrielle, artisanale, libérale ou agricole à l'occasion de la transmission d'une entreprise individuelle ou d'une branche complète d'activité.

Une branche complète d'activité se définit comme l'ensemble des éléments d'actif et de passif d'une division d'une entreprise ou d'une société qui constituent, du point de vue de l'organisation, une exploitation autonome, c'est-à-dire un ensemble capable de fonctionner par ses propres moyens.

C’est parce qu’il estime justement avoir vendu une branche complète d’activité qu’un agent d’assurance a demandé le bénéfice de cette exonération.

Dans cette affaire, un agent général d’assurance exerce son activité à titre individuelle dans le cadre d’un mandat accordé par une célèbre compagnie d’assurance.

Parce qu’il souhaite poursuivre son activité en s’associant, la compagnie lui propose de s’associer avec d’autres agents d’assurance.

Un protocole d’accord est conclu pour définir les modalités de l’association au sein d’une société en participation d’exercice conjoint créée à cette occasion.

Dans le cadre de ce protocole, l’agent d’assurance convient de vendre à la compagnie d’assurance 25 % des droits de créances afférents aux portefeuilles dont la gestion lui a été confiée, de sorte qu’il posséderait, après cette cession, 75 % des parts de la nouvelle société et l’agent d’assurance associé en posséderait 25 %.

Suite à la vente, l’agent d’assurance réalise une plus-value pour laquelle il demande à bénéficier de l’exonération d’impôt considérant qu’il s’agit ici de la vente d’une branche complète de son activité.

Une exonération que lui refuse l’administration puisque, selon elle, il ne s’agit pas ici de la vente d’une branche complète d’activité : l’agent d’assurance n’a vendu qu’une partie de ses droits de créances de son portefeuille, constate l’administration.

En outre, la vente n’est pas accompagnée d’un transfert au nouvel associé de moyens d’exploitation, mais de la création d’une société dont l’objet est de mutualiser la gestion des portefeuilles des associés.

Ce que confirme le juge qui donne raison à l’administration. Rien ne prouve ici que la vente porte sur une branche complète d’activité. L’exonération ne peut être que refusée.

Registre des bénéficiaires effectifs : favoriser le respect de la vie privée

Le registre des bénéficiaires effectifs (RBE) a été mis en place en 2016. Ce registre doit permettre à tout un chacun de s’informer rapidement sur les personnes qui contrôlent et bénéficient, directement ou indirectement, des activités de certaines entités, comme les entreprises, les fondations ou les associations.

Une fois que les entités concernées avaient renseigné l’identité de leurs bénéficiaires effectifs, toutes personne pouvait accéder aux informations en se connectant sur le portail du RBE.

Mais, en 2022, une décision de la Cour de justice de l’Union européenne a relevé que cet accès généralisé portait atteinte à la vie privée des personnes désignées.

Il était donc nécessaire d’adapter les modalités d’accès aux informations afin de trouver un juste milieu entre la transparence et la vie privée.

C’est pourquoi, depuis le 31 juillet 2024, seules les personnes justifiant d’un intérêt légitime pourront accéder aux informations du RBE, c’est-à-dire :

• les entreprises qui justifient d’un intérêt pour accéder aux informations d’éventuels co-contractants ;
• les autorités compétentes et les professionnels assujettis aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme ;
• les journalistes, chercheurs et acteurs de la société civile engagés pour la transparence financière.

Faute grave : et si le salarié a un passé disciplinaire intact ?

Ici, le salarié d’une caisse primaire d’assurance maladie (CPAM) est licencié pour faute grave après avoir divulgué l’attestation de salaire d’un joueur de rugby, personnalité publique, comportant des données confidentielles.

Sauf que le salarié conteste le bienfondé du licenciement : il ne repose ni sur une faute grave, ni sur une cause réelle et sérieuse selon lui.

À ce titre, le salarié rappelle ses 39 ans d’ancienneté au sein de la CPAM au cours desquels il n’a jamais eu le moindre passé disciplinaire.

Ce que l’employeur conteste fermement : la faute grave ici est justifiée par la seule violation du secret professionnel que le salarié aurait dû respecter.

Le fait de transmettre, à un tiers, un certificat de salaire d’une personnalité publique, contenant des informations confidentielles et auquel il a eu accès dans le cadre de ses fonctions, constitue une faute grave, peu importe son ancienneté ou son passé disciplinaire…

Ce qui convainc le juge, qui tranche en faveur de l’employeur : la transmission de l’attestation de salaire d’une personnalité publique, par un salarié qui y a eu accès dans le cadre de ses fonctions, constitue bel et bien une faute grave justifiant le licenciement, et ce, quelle que soit l’ancienneté ou le passé disciplinaire du salarié.