Guide de la sécurité des données personnelles : les nouveautés de l’édition 2024

Le guide de la sécurité des données personnelles édité par la CNIL vient d’être mis à jour pour cette année 2024.

Structuré en 5 parties, il comporte de nouveaux contenus portant sur :

• l’informatique en nuage (cloud) ;
• les applications mobiles ;
• l’intelligence artificielle (IA) ;
• les interfaces de programmation applicative (API) ;
• le pilotage de la sécurité des données.

Les fiches déjà existantes ont été enrichies, notamment celles portant sur l’utilisation d’équipements personnels en environnement professionnel.

Notez que pour mieux prendre connaissance des modifications, la CNIL a publié un journal des modifications.

C’est l’histoire d’un salarié qui oublie qu’il est dans un véhicule professionnel…

Un salarié embauché en qualité de conducteur livreur est licencié par son employeur pour faute grave.

Pourquoi ? Parce que son employeur lui reproche d’avoir adopté un comportement obscène sur son trajet domicile-travail, à l’issue de sa journée de travail, dans le véhicule qui était mis à disposition par l’entreprise…

Une décision qui s’appuie sur un témoignage anonyme envoyé par un autre salarié.

Pour l’employeur, ces faits portent atteinte à l’image de la structure et rendent impossible le maintien du salarié dans l’entreprise… Ce qui justifie un licenciement pour faute grave !

Sauf que pour le salarié ce comportement, qui relève de sa vie privée, ne peut pas fonder son licenciement pour faute.

Il rappelle que les faits ont été commis en dehors du temps de travail et que le seul fait qu’il se trouvait dans un véhicule professionnel ne peut pas suffire à rattacher les faits reprochés à sa vie professionnelle.

« Tout à fait ! » tranche le juge en faveur du salarié : les faits reprochés ne constituent pas un manquement du salarié aux obligations qui découlent de son contrat de travail.

Les éléments invoqués par l’employeur ne permettent pas d’établir un lien suffisant entre le comportement reproché et la vie professionnelle du salarié et ne peuvent pas fonder son licenciement pour faute grave.

Salarié envoyé à l’étranger : à qui profite la prospection ?

Un particulier signe un contrat de travail avec une entreprise établie en France, elle-même détenue par une société américaine, en vue de prospecter le marché commercial de la location d’avions à l’étranger.

Une situation qui selon lui, lui permet de bénéficier d’une exonération d’impôt sur le revenu (IR) au titre des salaires perçus dans le cadre de cette activité… Mais pas selon l’administration fiscale, qui lui refuse le bénéfice de cet avantage.

« Pourquoi ? », s’étonne le salarié qui rappelle que les salariés envoyés à l’étranger par un employeur établi en France pour exercer une activité de prospection commerciale pendant plus de 120 jours par an peuvent bénéficier d’une exonération d’IR à raison des salaires perçus en rémunération de cette activité.

Et toutes les conditions requises pour bénéficier de ce dispositif sont ici remplies, maintient le salarié. Pour preuves :

• son employeur est domicilié en France ;
• son activité salariée consiste à prospecter, à l’étranger, un marché commercial ;
• sa mission à l’étranger a duré plus de 120 jours au cours d’une période de 12 mois consécutifs.

Sauf qu’une condition essentielle fait pourtant défaut, constate l’administration : si le salarié a effectivement été envoyé à l’étranger pour exercer une activité de prospection, cette activité a uniquement pour but de développer l’activité de location d’avions commerciaux de la société américaine… et non celle de l’entreprise française.

Ce que confirme le juge : l’exonération d’IR s’applique uniquement si l’activité du salarié a pour but d’assurer le développement des activités ou des marchés à l’étranger d’un employeur français.

L’exonération d’impôt réclamée est donc ici refusée !

Quand la numérisation trace sa route !

Assurance

Pour rappel, à partir du 1^er avril 2024, vous n’aurez plus besoin, pour prouver que votre véhicule est assuré, de détenir la carte verte de votre assurance ni d’apposer le « papillon vert » sur votre pare-brise.

La vérification de votre assurance se fera systématiquement via le Ficher des Véhicules Assurés (FVA). Vous pouvez d’ailleurs vérifier que votre véhicule est bien répertorié en vous rendant sur le portail dédié, disponible ici.

Pour information, l’impression et l’envoi des cartes vertes représentent 1 200 tonnes de CO2 par an…

Points de permis de conduire

Parmi les portails numériques avec lesquels les conducteurs vont devoir s’habituer à vivre, on trouve la plateforme « MesPointsPermis ». Cette dernière vient de faire l’objet d’une mise à jour : les utilisateurs peuvent maintenant consulter le relevé intégral des informations relatives à leur permis.

Une information plus complète que le simple solde de points à l’instant T…

Congés payés et arrêt maladie : rappel du contexte

Par une série d’arrêts rendus le 13 septembre 2023, le juge a considéré que certaines dispositions du Code du travail relatives à l’acquisition des congés payés par les salariés en arrêt maladie ne devaient plus être appliquées, car contraires au droit de l’Union européenne (UE).

Pour mémoire, ces dispositions prévoyaient que l’arrêt de travail pour maladie d’origine non professionnelle n’était pas considéré comme du temps de travail effectif.

Le juge a estimé que ces règles ne devaient pas s’appliquer : pour lui, un salarié en arrêt maladie doit pouvoir acquérir des congés payés.

Il rappelait également que le délai de prescription pour le report des congés payés acquis avant ou pendant un arrêt maladie, ne commençait à courir qu’à partir du moment où le salarié était effectivement en mesure de prendre ses congés…

Quelques temps plus tard, interrogé à son tour, le Conseil constitutionnel a rappelé que même si ces dispositions étaient non conformes au droit de l’UE, elles restaient valables au regard de la Constitution.

D’où un flou juridique et un casse-tête pour les entreprises…

En l’état, seul le législateur est donc en mesure d’apporter une réponse aux entreprises quant aux règles applicables à l’acquisition de congés payés en cas d’arrêt de travail.

D’où l’intervention du Conseil d’État, appelé à donner son avis sur un futur projet de loi…

Congés payés et arrêt maladie : quel est l’avis du Conseil d’État ?

Concrètement, 2 questions ont notamment été posées au Conseil d’État :

• la 1^re concernant la mise en place d’une limite quant à l’acquisition des congés payés pendant l’arrêt maladie non professionnel ;
• la 2^de pour régler le droit (et le délai) au report des congés payés acquis avant ou pendant un arrêt maladie, quelle que soit son origine.

Sur le 1^er point, le Conseil d’État estime qu’il est possible de limiter à 4 semaines les congés acquis au cours d’une absence pour maladie non professionnelle, conformément au projet du Gouvernement.

Sur le 2^nd point, il rappelle que lorsque les droits à congés payés expirent alors que le salarié est en arrêt maladie, le début de la période de report devra nécessairement être postérieur à la date de reprise du travail, ainsi qu’à celle où l’employeur aura dûment informé le salarié de ses droits.

Par ailleurs, si les congés payés sont acquis au cours de la période de maladie, la période de report de 15 mois telle que prévue par le Gouvernement pourra débuter à la fin de la période d’acquisition, si le salarié n’a pas repris le travail.

Il précise également qu’il sera possible de prévoir une extinction de ces congés à l’issue d’une période de 15 mois quand bien même l’employeur était dans l’impossibilité de prévenir le salarié.

Notez que si ces éléments permettent d’éclairer le gouvernement quant au projet de loi à venir, ils ne sont que provisoires et ne permettent pas, en l’état, d’apporter une réponse aux besoins opérationnels des entreprises…

La suite au prochaine épisode…

Lobbying et affaires publiques : un guide pour la protection des données personnelles

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité française chargée de la bonne application des réglementations relatives à la protection des données à caractère personnel des Français et, plus largement, des européens, en collaboration avec les autorités des autres pays.

C’est dans le cadre de cette mission que la CNIL a été sollicitée par plusieurs associations professionnelles intervenant dans le secteur des affaires publiques et du lobbying, afin de se faire accompagner dans la mise en place de la conformité du secteur au Règlement général sur la protection des données (RGPD).

En effet, les professionnels de ce secteur sont amenés à collecter de nombreuses données personnelles concernant les personnalités politiques, médiatiques ou issues du monde associatif avec lesquelles elles traitent.

Le travail en commun de la Commission et des associations a permis l’édition d’un guide à destination de l’ensemble des professionnels du secteur.

L’objectif de ce guide est d’apporter les clés de compréhension nécessaires pour que les professionnels puissent exercer leur activité en toute sécurité juridique pour eux, mais aussi pour les personnes dont ils collectent les données.

Un entretien (immédiatement) préalable à la signature de la rupture conventionnelle : c’est possible !

Pour mémoire, lorsque l’employeur et le salarié décident de conclure une rupture conventionnelle individuelle, ils doivent s’accorder sur le principe et les modalités de la rupture au cours d’un (ou plusieurs) entretien(s).

Une fois les modalités fixées, les parties formalisent leur accord en signant une convention de rupture.

Mais la loi reste muette quant à l’existence d’un délai devant s’écouler entre le dernier entretien et la signature de la convention…

Dans une récente affaire, un employeur et une salariée se rencontrent au cours d’un entretien afin de négocier une rupture conventionnelle individuelle du contrat de travail.

À la fin de cet entretien, et puisqu’ils sont d’accord sur toutes les modalités de la rupture, ils signent immédiatement la convention de rupture.

Après l’homologation de cette convention par l’autorité administrative, la salariée décide de saisir le juge en vue d’obtenir son annulation.

Au soutien de sa demande, elle fait valoir le fait que la signature a eu lieu le même jour que l’entretien… Ce qui porte nécessairement atteinte à sa validité !

Ce que conteste l’employeur : d’abord, il rappelle que le consentement de la salariée est exempt de vice.

Ensuite, puisque les parties étaient d’accord sur les modalités de rupture le jour de l’entretien, rien n’interdit qu’ils puissent signer la convention le jour même de l’entretien.

Ce que confirme le juge, qui donne raison à l’employeur. Une convention de rupture conventionnelle individuelle peut tout à fait être signée le jour de l’entretien !

Paiement des droits de succession : choisir, c’est renoncer…

Un homme décède, laissant pour lui succéder son épouse et leurs 2 fils. Pour rappel, lorsque les enfants sont tous communs au couple, le conjoint survivant a le droit de choisir entre :

• l’usufruit de la totalité de la succession, laissant aux enfants la nue-propriété ;
• un quart de la succession en pleine propriété.

Une personne ayant la pleine propriété d’un bien a le droit de l’utiliser, le louer, le détruire, le modifier, le vendre ou le donner. Quant à l’usufruit, il s’agit, schématiquement, des droits de profiter du bien et d’en tirer des fruits (les loyers notamment lorsqu’il est placé en location).

Dans cette affaire, l’épouse survivante choisit l’usufruit de la succession. Ces fils se partagent donc la nue-propriété. Se pose alors pour eux la question du paiement des droits de succession.

Pourquoi ? Parce qu’ils ont la possibilité d’aménager le paiement de l’impôt. Concrètement, ils ont le choix entre :

• 1^re option : payer des droits de succession calculés sur la valeur de la nue-propriété, avec application d’intérêts ;
• 2^e option : payer des droits de succession calculés sur la valeur de la pleine propriété, sans intérêt.

Les 2 fils choisissent la 2^e option, ce que l’administration fiscale accepte… avant de changer d’avis ! Ils demandent, finalement, à bénéficier de la 1^re option.

Ce que l’administration refuse : les 2 frères ont déjà fait un choix et il est irrévocable !

« Non ! », contestent les fils : la loi n’indique nulle part que le choix entre les 2 modalités de paiement est irrévocable !

« Irrévocable », confirme pourtant le juge, qui précise que cette règle n’est pas un avantage fiscal, mais une modalité de paiement de l’impôt. Par conséquent, ayant déjà fait un choix, les 2 fils ne peuvent pas changer d’avis !

Intelligence artificielle : l’IA Act arrive !

En décembre 2023, les États membres de l’Union européenne (UE) se sont mis d’accord sur le contenu de l’IA Act, texte destiné à encadrer l’intelligence artificielle (IA) en son sein.

Ce texte prévoit d’interdire l’usage de l’IA dans certaines situations : ce sera le cas, par exemple, de la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, de la notation sociale, de la police prédictive (lorsqu’elle est basée uniquement sur le profilage d’une personne ou sur l’évaluation de ses caractéristiques) ou encore de la manipulation du comportement humain ou de l’exploitation des vulnérabilités des personnes.

Notez que si l’utilisation des systèmes d’identification biométrique par les services répressifs est en principe interdite, des exceptions ont toutefois été mises en place.

Ainsi, des systèmes d’identification biométrique « en temps réel » pourront être déployés à condition que des garanties strictes soient respectées. Leur utilisation sera, par exemple, limitée dans le temps et dans l’espace, et soumise à une autorisation judiciaire ou administrative préalable spécifique.

Après les catégories d’IA interdites, vient la catégorie des IA à haut risque (en raison du préjudice potentiel qu’elles peuvent représenter pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit).

Parmi les domaines d’utilisation à haut risque de l’IA, il est possible de citer les infrastructures critiques, l’éducation et la formation professionnelle, l’emploi, les services privés et publics essentiels (par exemple, les soins de santé et les banques), etc.

Pour ces IA, une évaluation et une réduction des risques devront avoir lieu, et elles devront être accompagnées de registres d’utilisation. Des obligations de transparence devront être respectées et une supervision humaine sera obligatoire. Les citoyens pourront déposer une plainte et recevoir des explications sur les décisions basées sur ces IA à haut risque lorsqu’elles auront une incidence sur leurs droits.

Une autre catégorie d’IA sont les IA à usage général (connues sous le nom « d’IA génératives ») : elles devront respecter des exigences de transparence et la réglementation sur les droits d’auteurs. Des résumés détaillés des contenus utilisés pour leur entraînement devront être publiés.

Notez que les IA à usage général les plus puissantes devront respecter des exigences supplémentaires. Par exemple, des évaluations de modèles devront être effectuées, les risques systémiques devront être évalués et atténués et les incidents devront être signalés.

De plus, les images et les contenus audio et vidéo artificiels ou manipulés (« deep fakes ») devront être clairement signalés comme tels.

Par ailleurs, sachez que des « bacs à sable réglementaires » vont voir le jour pour soutenir l’innovation. Pour rappel, ce dispositif permet aux acteurs de tester leur technologie ou service innovant sans devoir nécessairement respecter l’ensemble du cadre réglementaire qui devrait normalement s’appliquer.

Notez que l’IA Act sera définitivement adopté avant la fin de la législature européenne actuelle (les prochaines élections étant fixées au 9 juin 2024).

Il entrera en vigueur 20 jours après sa publication au Journal officiel et sera pleinement applicable 24 mois après son entrée en vigueur, à l’exception :

• des dispositions relatives aux pratiques interdites, qui s’appliqueront 6 mois après la date d’entrée en vigueur ;
• des codes de pratique, qui s’appliqueront 9 mois après l’entrée en vigueur ;
• des règles concernant l’IA à usage général, qui s’appliqueront 12 mois après l’entrée en vigueur ;
• des obligations pour les systèmes à haut risque qui s’appliqueront 36 mois après l’entrée en vigueur.

Affaire à suivre…

43 millions de personnes concernées par la cyberattaque de France Travail !

Qui est concerné par la cyberattaque ?

France Travail (anciennement Pôle emploi) a été victime d’une cyberattaque entre le 6 février 2024 et le 5 mars 2024 qui a permis l’extraction potentielle de données de 43 millions de personnes.

Ce nombre, encore à confirmer, concerne les personnes inscrites actuellement sur la liste des demandeurs d’emploi ou qui l’ont été au cours des 20 dernières années, ainsi que celles qui ont un espace candidat sur https://www.francetravail.fr/accueil/.

France Travail a informé la CNIL ainsi que Cap Emploi de cette situation.

Vous serez contacté prochainement si vous êtes susceptible d’avoir été touché par cette fuite de données.

Quelles sont les données concernées par la cyberattaque ?

Les données personnelles ayant fuité sont :

Quels sont les conseils de la CNIL ?

La CNIL recommande aux personnes susceptibles d’être concernées par la cyberattaque :

• d’être particulièrement vigilantes aux messages (SMS, mails) qu’elles pourraient recevoir, notamment s’ils invitent à effectuer une action en urgence, telle qu’un paiement ;
• de ne jamais communiquer leurs mots de passe ou coordonnées bancaires par messagerie ;
• en cas de doute, de ne jamais ouvrir les pièces jointes ; ne cliquez jamais sur les liens contenus dans des messages qui vous invitent à vous connecter à un espace personnel et accédez plutôt au site officiel correspondant directement via votre navigateur habituel ;
• de vérifier périodiquement les activités et mouvements sur leurs différents comptes ;
• de se rendre sur le site web cybermalveillance.gouv.fr pour obtenir des conseils pour se prémunir d’actions visant à usurper leur identité ; à ce titre, sachez que vous pouvez déposer une plainte en ligne ici ;
• de s’assurer qu’elles utilisent, pour leurs messagerie, comptes bancaires et autres services importants (impôts, sites de commerce en ligne, etc.), des mots de passe suffisamment robustes.

En raison de la gravité et de l’ampleur de la situation, la CNIL va mener des investigations pour déterminer si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD). Affaire à suivre…