43 millions de personnes concernées par la cyberattaque de France Travail !

Qui est concerné par la cyberattaque ?

France Travail (anciennement Pôle emploi) a été victime d’une cyberattaque entre le 6 février 2024 et le 5 mars 2024 qui a permis l’extraction potentielle de données de 43 millions de personnes.

Ce nombre, encore à confirmer, concerne les personnes inscrites actuellement sur la liste des demandeurs d’emploi ou qui l’ont été au cours des 20 dernières années, ainsi que celles qui ont un espace candidat sur https://www.francetravail.fr/accueil/.

France Travail a informé la CNIL ainsi que Cap Emploi de cette situation.

Vous serez contacté prochainement si vous êtes susceptible d’avoir été touché par cette fuite de données.

Quelles sont les données concernées par la cyberattaque ?

Les données personnelles ayant fuité sont :

Quels sont les conseils de la CNIL ?

La CNIL recommande aux personnes susceptibles d’être concernées par la cyberattaque :

• d’être particulièrement vigilantes aux messages (SMS, mails) qu’elles pourraient recevoir, notamment s’ils invitent à effectuer une action en urgence, telle qu’un paiement ;
• de ne jamais communiquer leurs mots de passe ou coordonnées bancaires par messagerie ;
• en cas de doute, de ne jamais ouvrir les pièces jointes ; ne cliquez jamais sur les liens contenus dans des messages qui vous invitent à vous connecter à un espace personnel et accédez plutôt au site officiel correspondant directement via votre navigateur habituel ;
• de vérifier périodiquement les activités et mouvements sur leurs différents comptes ;
• de se rendre sur le site web cybermalveillance.gouv.fr pour obtenir des conseils pour se prémunir d’actions visant à usurper leur identité ; à ce titre, sachez que vous pouvez déposer une plainte en ligne ici ;
• de s’assurer qu’elles utilisent, pour leurs messagerie, comptes bancaires et autres services importants (impôts, sites de commerce en ligne, etc.), des mots de passe suffisamment robustes.

En raison de la gravité et de l’ampleur de la situation, la CNIL va mener des investigations pour déterminer si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD). Affaire à suivre…

Projets audiovisuels : vous pouvez déposer vos projets !

Vous avez un projet audiovisuel en lien avec les outre-mer ? Peut-être pouvez-vous prétendre à une subvention du ministère des Outre-mer ! Pour être éligible, vous devez :

• être une société de production ou une association ;
• avoir un projet d’œuvre audiovisuelle en lien avec les outre-mer (documentaire, téléfilm, podcasts, etc. à l’exclusion des clips musicaux, des courts, moyens et longs métrages et des programmes de flux, c’est-à-dire des programmes destinés à n’être diffusés qu’une seule fois car ils perdent ensuite leur valeur comme les informations, les bulletins météo, les émissions de plateau, etc.) ;
• avoir obtenu un accord de diffusion ou un engagement de coproduction d’une chaîne de télévision, d’un portail numérique ou d’un service de vidéo à la demande.

Les dossiers de demande doivent être déposés sur la plateforme numérique, disponible ici :

• avant le 29 avril 2024 pour la 1^re commission ;
• entre le 1^er juin et le 15 août 2024 pour la 2^de commission.

Notez que les réponses devraient être transmises environ 3 mois après chaque date de fin de dépôt.

À vos caméras !

Un patrimoine accessible à tous…

Si l’INPI a principalement pour mission le contrôle, la délivrance et la gestion des titres de propriété industrielle, il est aussi dépositaire de quelques millions de brevets d’invention, de marques, de dessins et modèles.

Ce fonds est aujourd’hui accessible au public grâce à un important travail d’inventorisation et de numérisation. Ainsi, grâce au portail data.inpi.fr disponible ici, toute personne peut accéder à :

• 410 000 dossiers de brevets d’invention déposés entre 1791 et 1901 ;
• 460 000 formulaires originaux de marque de fabrique et de commerce déposés entre 1857 et 1920.

Cet accès est gratuit : seules les copies des dossiers de brevets et des formulaires de marque sont payantes.

Notez que si la réutilisation de ces documents est libre de droits, c’est à la condition de citer l’INPI comme source.

Machines à filer, traitement du papier, agriculture, musique, jouets d’époque… autant de sources d’inspiration et d’étonnement !

PPV : plus de 5 milliards d’euros versés en 2023 !

En 2022, près de 5,40 milliards d’euros (au total) avaient été versés à 6,8 millions de salariés au titre de la prime pouvoir d’achat (PPV) et de la prime exceptionnelle pouvoir d’achat (PEPA).

Le montant moyen de la prime versée était alors de 779 €.

On connait désormais les chiffres pour 2023 !

Dans un récent communiqué de presse, l’Urssaf nous apprend que 5,32 milliards d’euros ont été versés à près de 5,9 millions de salariés, pour un montant moyen de 885 €.

Autre constat : le montant de la prime est plus élevé dans les petites entreprises. En moyenne, son montant s’élève à 1 141€ dans les entreprises de moins de 10 salariés contre 855 € dans celles de 2 000 salariés et plus.

S’agissant des secteurs d’activité, sachez que ceux pratiquant des salaires plus élevés ont versé des primes plus élevées.

À titre d’exemple, le secteur du commerce a versé 14,2 % de la prime en 2023 et affiche un montant moyen par salarié de 805 € contre 451 € pour l’action sociale et l’hébergement médico-social.

Notez enfin que la part des établissements ayant versé la prime est globalement plus importante dans le secteur industriel (hors agro-alimentaire).

Dépôt des documents de propagande électorale : comment ?

Pour mémoire, la représentativité des syndicats dépend de leur audience électorale, obtenue lors du 1er tour des élections professionnelles.

Ainsi un scrutin est organisé tous les 4 ans par l’administration, dans le but de mesurer l’audience des syndicats au sein des TPE (comprenez les entreprises embauchant moins de 11 salariés). Le prochain scrutin se tiendra à la fin de l’année 2024.

Si l’employeur n’a pas à organiser matériellement le vote, il doit assurer sa confidentialité, étant entendu que ce vote se déroule exclusivement par voie électronique.

Notez que récemment, les modalités et la période de dépôt des documents de propagande électorale des organisations syndicales dont la candidature a été acceptée ont été fixées.

Celles-ci sont invitées à déposer leurs documents de propagande sur un portail dédié (www.candidature-tpe.travail.gouv.fr) entre le 19 avril 2024 et le 14 juin 2024 à midi.

Notez que ces documents de propagande doivent être transférés au format PDF, en A4, et ne doivent pas excéder 6 pages.

RGPD : le DPO doit être en mesure d’exercer sa mission !

Pour rappel, la procédure simplifiée permet à la CNIL de sanctionner les organismes qui ne sont pas en conformité avec le Règlement Général sur la Protection des Données (RGPD) d’une amende d’un montant maximum de 20 000 €.

Depuis janvier 2024, la CNIL a prononcé 15 amendes au titre de cette procédure, contre 24 pour la totalité de l’année 2023… L’occasion de revenir sur 2 erreurs à ne pas commettre pour les organismes qui ont nommé un délégué à la protection des données (DPO) et qui consistent à :

• ne pas associer cette personne aux réunions intéressant la protection des données et la sécurité des systèmes d’information ;
• ne pas laisser cette personne avoir accès à la messagerie du site internet de l’organisme permettant aux personnes concernées par le traitement de données d’exercer leurs droits.

Des situations problématiques parce que les DPO ont notamment pour mission d’informer et conseiller le responsable de traitement sur ses obligations légales et d’en contrôler le respect.

À ce titre, ils doivent être associés aux échanges qui concernent la protection des données personnelles.

RGPD : rappel des bases

Lors de ses visites sur des sites internet, une personne peut rencontrer des publicités qui seront adaptées à ses habitudes et ses besoins.

Ces publicités que l’on qualifie de « ciblées » font l’objet, en arrière-plan, d’une enchère entre les annonceurs qui souhaitent acquérir cet espace publicitaire.

Mais avant que la publicité ciblée puisse être affichée, il est nécessaire que l’utilisateur ait donné son consentement au traitement de ses données personnelles pour une telle finalité.

C’est dans cette optique qu’une association belge a développé un outil permettant de recueillir le consentement des utilisateurs avant de compiler en une suite de caractères un code qui permet de savoir à quoi une personne consent ou non.

Cet outil, nommé le TC String (Transparency and Consent String) était ensuite mis à la disposition de courtiers en données et de plateformes publicitaires qui, en le combinant à l’adresse IP d’un utilisateur, pouvaient être informés sur son consentement.

L’association pensait ainsi avoir créé un outil conforme aux attentes du RGPD permettant de communiquer anonymement les préférences des internautes.

Mais ça n’est pas l’avis de l’autorité de contrôle belge qui a décidé d’interroger le juge européen.

Ce dernier va confirmer les doutes de l’autorité.

Il rappelle qu’est une donnée personnelle au sens du RGPD « toute information se rapportant à une personne physique identifiée ou identifiable ».

Pour lui, le TC String doit être considéré comme une donnée personnelle, puisqu’une fois rapproché de l’adresse IP d’une personne il permet d’établir un profil utilisateur qui n’est pas anonyme.

De ce fait, comme pour toute donnée personnelle, cette ligne de code ne peut pas s’échanger librement sans le consentement de la personne concernée.

L’économie solidaire à la conquête du matériel médical !

Si la loi anti-gaspillage autorise le don de matériel médical en vue d’un reconditionnement par les structures qui souhaitent s’en défaire, cela ne se fait pas n’importe comment. Ainsi, seules les structures suivantes peuvent donner du matériel :

• les établissement de santé publics, privés d’intérêt collectif et privés ;
• les établissements ou services accueillant des personnes âgées ;
• les prestataires de service et les distributeurs de matériels destinés à favoriser le retour à domicile et l'autonomie des personnes malades ou présentant une incapacité ou un handicap ;
• les officines de pharmacie ;
• les personnes physiques ou morales se livrant au stockage de dispositifs médicaux et à leur distribution ou à leur exportation, à l'exclusion de la vente au public.

De la même manière, seules les associations et les structures de l'économie sociale et solidaire bénéficiant de l'agrément « entreprise solidaire d'utilité sociale » et dont au moins l'un des objets est de reconditionner ce matériel en développant des activités de préparation à la réutilisation et au réemploi peuvent recevoir ces dons.

Le matériel médical pouvant être donné est également limité. Il s’agit des instruments, équipements ou systèmes techniques adaptés ou spécialement conçus pour compenser une limitation d'activité rencontrée par une personne du fait de son handicap, y compris pour répondre à un besoin lié à l'exercice de la parentalité.

Notez que ces dons doivent respecter des conditions de traçabilité et que les équipements ayant fait l’objet d’une exclusion du marché ne peuvent être donnés.

De même, les structures récupérant ces matériels de seconde main auront l’obligation d’informer l'Agence nationale de sécurité du médicament et des produits de santé de tout incident.

Enfin, retenez que ces dons devront être formalisés dans une convention dont les clauses obligatoires sont disponibles ici.

Messages tendancieux : vie privée ou faute grave ?

Une salariée utilise la messagerie professionnelle de son entreprise pour envoyer des messages à caractère raciste et xénophobe à au moins 2 autres de ses collègues, également salariés.

Lorsqu’il découvre ces messages en raison d’une erreur d’envoi, l’employeur décide de prononcer son licenciement pour faute grave.

Pour ce faire, il rappelle que le règlement intérieur de l’entreprise et la charte d’utilisation de la messagerie électronique interdisent tout propos raciste ou discriminatoire.

Sauf que la salariée conteste ce licenciement : les 9 messages en question, envoyés sur une période de 11 mois, relèvent de sa vie personnelle parce qu’ils étaient diffusés à un cercle restreint de collègues et n’avaient pas pour objet d’être publiés.

Leur volume ne permet d’ailleurs pas de caractériser un quelconque manquement au règlement intérieur, qui admet une utilisation personnelle de la messagerie professionnelle par les salariés, sauf abus.

Elle rappelle qu’un motif tiré de sa vie personnelle ne peut pas justifier un licenciement pour motif disciplinaire sauf s’il constitue un manquement à une obligation découlant de son contrat de travail : or pour elle, ces messages n’ont aucune incidence sur son emploi ou ses relations avec les usagers ou collègues.

Ce qui emporte la conviction du juge : un salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée.

Parce que ces messages s’inscrivent dans le cadre d’échanges privés à l’intérieur d’un groupe restreint et que l’employeur en a pris connaissance uniquement à la suite d’une erreur d’envoi, il ne peut pas se fonder sur cet élément pour licencier la salariée pour faute grave.