RGPD : un point sur l’évolution des violations de données personnelles en France

Adopté en 2016 et entré en application en 2018, le Règlement général sur la protection des données (RGPD) s’est imposé comme un texte majeur. Un texte qui, à l’époque, a suscité beaucoup de discussions et d’inquiétudes.

Mais un texte qui a néanmoins permis de faire prendre conscience au grand public de la valeur des données personnelles et des risques associés.

La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative chargée de la bonne application du RGPD en France a décidé de marquer les 5 ans du règlement en proposant un bilan chiffré des violations de données personnelles dont elle a eu connaissance durant cette période.

La Commission rappelle qu’on entend par violation de données la « perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Ainsi, entre mai 2018 et mai 2023, ce sont 17 483 violations de données qui ont été signalées à la CNIL.

Des signalements qui n’ont pas cessé de croître sur cette période, ce qui laisse entrevoir un nombre important d’atteintes aux données, mais également une meilleure connaissance et prise en compte du RGPD par le grand public.

La CNIL note également que de façon constante depuis 2018, les actes malveillants externes sont à l’origine de près de 55 % des violations de données signalées, alors que les erreurs humaines internes n’en représentent que 20 %. Quant aux violations d’origines inconnues, elles représentent une part importante des cas restants.

L’Observatoire des projets alimentaires territoriaux (PAT) : une mine d’informations !

La plateforme « France PAT », disponible ici, propose un certain nombre d’outils afin d’informer et d’initier de nouveaux projets alimentaires au niveau local. Vous trouverez sur le site :

• une cartographie interactive des projets alimentaires territoriaux (PAT) de France métropolitaine et des outre-mer ;
• une base de données comportant des indicateurs clés et des informations relatives aux actions et thématiques des PAT ;
• un annuaire des acteurs qui recense les parties prenantes des PAT ;
• une boite à outils pour accompagner les PAT dans leurs démarches ou simplement pour s’informer et se former ;
• des actualités.

Notez qu’au 16 janvier 2024, 435 PAT ont été recensés…

Des normes pour protéger les données personnelles !

En matière de sécurité informatique, il existe 2 normes internationales :

• la norme ISO/IEC 27001, qui certifie un « système de management de la sécurité de l’information » ;
• la norme ISO/IEC 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

Pour compléter ces normes et afin de renforcer la protection des données personnelles, la CNIL recommande la lecture de 2 normes ISO (attention, l’accès est payant).

En premier lieu, la norme ISO/IEC 27701, qui a vu le jour en 2019 et définit :

• un « système de management de la protection de la vie privée » étendu pour inclure les particularités des traitements de données personnelles :
  • détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant) ;
  • gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes, désignation d’un responsable pour la protection de la vie privée ;
  • sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ;
  • conditions des transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ;
  • conformité aux exigences légales et réglementaires, etc. ;
• des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) :
  • principes fondamentaux : finalité de traitement, base légale, recueil et retrait du consentement, inventaire des traitements, évaluation des impacts pour la vie privée ;
  • droits des personnes : information, accès, rectification, suppression, décision automatisée ;
  • protection de la vie privée dès la conception et par défaut (privacy by design and by default) : minimisation, dé-identification et suppression des données, durée de conservation ;
  • contrats de sous-traitance, transferts et partage de données.

En complément, la CNIL recommande la lecture de la norme ISO/IEC 42001, qui a été publiée en décembre 2023, et qui définit un « système de management pour l'intelligence artificielle » destiné aux organismes qui fournissent ou utilisent des systèmes d’intelligence artificielle (IA).

Cette norme s’attache à décrire le processus pour gérer les préoccupations liées à la fiabilité des systèmes d'IA : sécurité, sûreté, équité, transparence, qualité des données et des systèmes tout au long du cycle de vie.

En outre, elle donne des mesures opérationnelles et des recommandations pour les mettre en œuvre.

« Pass’colo » : un soutien financier sous conditions

Le « Pass’colo » est un dispositif mis en place par l’État pour favoriser le départ en colonie de vacances des enfants durant l’année civile de leurs 11 ans (en cette année 2024, l’enfant doit donc être né en 2013).

Pour pouvoir bénéficier de cette aide, il faut choisir une colonie éligible au dispositif… dont la liste sera dévoilée le 15 avril 2024 !

Le montant de l’aide financière est ensuite calculé en fonction de votre quotient familial (QF), selon la grille suivante :

• QF mensuel du foyer inférieur ou égal à 200 € : 350 € ;
• QF mensuel du foyer compris entre 201 et 700 € : 300 € ;
• QF mensuel du foyer compris entre 701 et 1 200 € : 250 € ;
• QF mensuel du foyer compris entre 1 201 et 1 500 € inclus : 200 €.

Concrètement, l’aide sera directement déduite du prix du séjour. Il appartiendra ensuite aux organisateurs des colonies de demander le remboursement de la somme correspondant au « Pass’colo » à la Caisse nationale des allocations familiales dès la fin du séjour de l'enfant et au plus tard le 31 janvier de l'année suivante.

Notez que le Pass'colo ne peut être utilisé qu’une seule fois par enfant et seulement pendant les vacances scolaires. Toutes conditions remplies, il est cumulable avec les autres aides aux vacances.

Enfin, sachez qu’en cas de non-utilisation du Pass’colo l’année des 11 ans, il peut être reporté une fois, pour être mobilisé l’année des 12 ans de l’enfant.

Une revalorisation du RSA applicable depuis le 1^er avril 2024

Pour rappel, dans le cadre d’une saisie sur rémunération, la loi oblige à laisser à disposition du salarié une somme dite « absolument insaisissable ».

Cette fraction correspond au montant forfaitaire du revenu de solidarité active (RSA) pour un allocataire seul.

Et justement ! Le Gouvernement nous fait savoir que ce montant forfaitaire a fait l’objet d’une revalorisation à hauteur de 4,6 % (par rapport à 2023).

Ainsi, depuis le 1^er avril 2024, le montant forfaitaire du RSA pour une personne seule est de 635,71 €.

En conséquence, la part absolument insaisissable s’élève elle aussi désormais à 635,71 €, contre 607,75 € jusqu’alors.

Attention : si ce montant est revalorisé en France et dans les départements d’Outre-mer, notez qu’il diffère à Mayotte où il s’élève désormais à 317,86 €.

Notez que cette revalorisation à hauteur de 4,6 % concerne également d’autres prestations sociales, telles que la prime d’activité, l’allocation aux adultes handicapés ou encore l’allocation de solidarité spécifique…

Pacte Dutreil : quelle est l’activité principale de la société ?

À l’occasion de la transmission de parts de société, des droits d’enregistrement sont généralement dus.

Toutefois, il existe certains dispositifs permettant de réduire le montant de ces droits, parmi lesquels le « pacte Dutreil ».

Schématiquement, ce pacte permet, toutes conditions remplies de bénéficier d’une exonération de droits d’enregistrement à concurrence des ¾ de la valeur des titres transmis et ce, sans limitation de montant.

Plus simplement, seuls 25 % de la valeur des titres transmis sera soumise à l’impôt.

Parmi les conditions à remplir, la société dont les titres sont transmis doit être une société «opérationnelle », c’est-à-dire qu’elle doit exercer, de manière prépondérante, une activité industrielle, commerciale, artisanale, agricole ou libérale.

Vous l’aurez compris, si la société exerce de manière prépondérante une activité dite « civile », il ne sera pas possible de mettre en place un pacte Dutreil et donc, de bénéficier de l’avantage fiscal correspondant.

Mais qu’en est-il des entreprises qui exercent à la fois une activité « opérationnelle » et une activité civile ? Dans ce cas de figure, comment apprécier la prépondérance de l’activité ?

Dans une affaire récente, suite au décès de son père, un particulier hérite des actions d’une société anonyme (SA) qui exerce une activité commerciale d’exploitation de galerie d’art et d’édition de livres d’art, ainsi qu’une activité civile consistant à donner en location une partie de son patrimoine immobilier.

Parce qu’il estime que toutes les conditions sont remplies, l’héritier demande à bénéficier de l’avantage fiscal lié au pacte Dutreil… Ce que lui refuse l’administration, qui constate que l’activité civile est ici prépondérante. Et pour preuves :

• la location du patrimoine immobilier de la SA représente plus de 80 % de son chiffre d’affaires ;
• cette activité correspond à plus de 65 % de la valeur de ses actifs.

« Insuffisant ! », estime l’héritier qui rappelle que la prépondérance de l’activité de la SA doit être appréciée en tenant compte d’un faisceau d’indices déterminés d’après la nature de l’activité et les conditions de son exercice. Ce que l’administration fiscale n’a pas fait ici...

Or force est de constater que :

• 47 % de la surface de l’immeuble est affectée à l’activité commerciale de la SA ;
• les recettes commerciales et locatives ont principalement été affectées au financement de l’activité commerciale ;
• l’activité locative a uniquement permis de faire perdurer l’activité commerciale de la SA qui est depuis des décennies sa « raison d’être ».

Partant de là il est clairement établi que l’activité principale de la SA est de nature commerciale, maintient l’héritier, ce qui lui permet de bénéficier de l’exonération demandée.

« Faux ! », estime l’administration, qui constate que :

• la « raison d’être » historique de la SA est certes commerciale, mais qu’il convient de déterminer le caractère prépondérant de l’activité de la société au moment du fait générateur de l’impôt. Or ici, c’est bel et bien l’activité locative qui est dominante à cette date ;
• la valeur des locaux dédiés à l’activité commerciale est nettement inférieure à celle des locaux loués ou vacants ;
• l’affectation des recettes de la SA à l’activité commerciale est un choix de gestion. Pour déterminer la nature de l’activité de la société, ce n’est pas l’affectation des recettes qui doit être prise en compte, mais l’origine des recettes. Et dans cette affaire, l’activité commerciale est déficitaire contrairement à l’activité locative.

Partant de là il est clairement établi que l’activité principale de la SA est de nature civile, maintient l’administration. L’avantage fiscal du pacte Dutreil ne peut qu’être refusé.

Ce que confirme le juge, qui donne raison à l’administration.

Services d’incendie et de secours : pas d’accise sur les gazoles et les essences !

Les produits qui, au regard de la réglementation fiscale, relèvent de la catégorie des gazoles ou de celle des essences et qui sont utilisés par les services d’incendie et de secours (SDIS) pour le fonctionnement de leurs véhicules, bénéficient d’un tarif nul d’accise.

Pour mémoire, « l’accise » est une taxation qui est notamment due pour les usages de certains produits en tant que carburants ou combustibles.

Pour en revenir aux SDIS, sachez que le « tarif nul » d’accise prend en réalité la forme d’un remboursement.

Concrètement, pour les achats de carburant intervenus depuis le 12 juillet 2023, le SDIS qui souhaite en bénéficier doit déposer une demande de remboursement, conforme au modèle fourni par l’administration, soit par voie électronique, soit par voie postale.

Cette demande doit être déposée entre le 1^er janvier de l’année suivant l’année d’achat des produits au titre de laquelle le remboursement est demandé et le 31 décembre de la 2^de année qui suit celle de l’achat desdits produits.

Elle doit être accompagnée de toutes les pièces permettant de justifier le montant dont le remboursement est demandé.

Dernier point important : un même SDIS ne peut pas déposer plus d’une demande de remboursement au cours d’une même année civile.

Entretien préalable à un licenciement : « qui êtes-vous » ?

Après avoir été licencié pour inaptitude, un salarié conteste : selon lui, la procédure n’ayant pas été respectée, son licenciement est irrégulier !

Il indique tout d’abord, que la lettre de convocation à l’entretien préalable à un éventuel licenciement envoyée par l’employeur ne l’informe pas de sa faculté de se faire assister au cours de cet entretien.

Ensuite, cet entretien préalable s’est déroulé de manière déséquilibrée en raison de la présence des 2 dirigeants…et d’une tierce personne dont il ignorait l’identité !

Un tiers qui était « conseiller du salarié », se défend l’employeur qui rappelle que conformément à la procédure, cette personne était tout à fait en droit d’assister à l’entretien.

Un constat qui répond d’ailleurs au 2^nd argument du salarié : ce dernier ne peut pas reprocher à l’employeur de ne pas l’avoir informé de sa possibilité de se faire assister dès lors qu’il était bel et bien accompagné par un conseiller du salarié durant l’entretien.

Ce qui ne convainc pas le juge, qui donne raison au salarié. S’il est vrai qu’un salarié, venu accompagné à son entretien préalable, ne peut pas se prévaloir ensuite du défaut de la mention d’assistance possible pour faire reconnaître l’irrégularité de son licenciement, la question n’est pas là dans cette affaire…

Ici, il faut se demander si le fait que 3 personnes aient assisté à l’entretien préalable, dont l’une que le salarié ne connaissait pas, n’a pas pour effet de rendre irrégulière la procédure de licenciement.

L’affaire devra donc être rejugée sur ce point.

BOSS : une nouvelle rubrique depuis le 1^er avril 2024 !

Pour mémoire, les entreprises bénéficiant du statut de « jeune entreprise innovante (JEI) » peuvent bénéficier d’une exonération de cotisations patronales d’assurances sociales et d’allocations familiales, sous réserve de respecter certaines conditions.

Il en va de même pour les « jeunes entreprises universitaires » (JEU) et les « jeunes entreprises de croissance » (JEC), qui constituent toutes deux des sous-catégories des JEI.

Suite à la loi de finances pour 2024, le Bulletin officiel de la Sécurité sociale (BOSS) a intégré une nouvelle rubrique dédiée à la réglementation et aux exonérations applicables pour les JEI.

Le contenu de cette rubrique était soumis à une consultation publique, qui s’est achevée le 20 janvier 2024.

Et dans un récent communiqué, le BOSS nous fait savoir que le contenu de la rubrique relative aux JEI est entré en vigueur le 1^er avril 2024. Il est donc désormais opposable à l’administration, comme aux entreprises !