Données personnelles des habitants : quelle latitude pour la commune ?

Le Gouvernement a récemment été interrogé sur la problématique que peut représenter l’obtention des coordonnées des habitants d’une commune par une association.

Le règlement général sur la protection des données personnelles (RGPD) garantissant un certain nombre de droits aux personnes quant aux utilisations faites de leurs données à caractère personnel, la question était de savoir si lorsqu’une association se rapproche d’une commune pour obtenir communication des coordonnées de ses habitants, il est nécessaire d’obtenir au préalable l’accord de tous les habitants concernés ?

Pour le Gouvernement, la question ne se pose pas réellement puisqu’il rappelle que les communes n’ont de toute façon pas vocation à produire de tels documents pour les associations : cela représenterait effectivement une problématique vis-à-vis des règles du RGPD, mais consisterait surtout en une charge anormale de travail pour l’administration…

Il rappelle néanmoins que les associations peuvent accéder aux listes électorales d’une commune, à condition de justifier qu’elles ne cherchent pas à en faire un usage commercial.

Aide à la continuité territoriale : modification des conditions de ressources !

Pour rappel, l’aide à la continuité territoriale permet aux résidents des territoires d’Outre-mer de voir une partie de leurs billets d’avion aller-retour en direction de l’Hexagone financés par l’État.

Depuis 2023, la participation de l’État est de 50 % en moyenne du prix des billets, l’aide étant délivrée sous conditions de ressources notamment.

Cette condition vient de faire l’objet d’une modification, applicable depuis le 26 janvier 2024 : le plafond de ressources à respecter passe de 11 991 € à 18 000 €.

Taxe intérieure de consommation finale sur l’électricité : un retour progressif à la normale…

Pour rappel, pour protéger les consommateurs pendant la crise de l’énergie, l’État avait baissé la taxe intérieure de consommation finale sur l’électricité (TICFE) en la passant de 32 € le mégawatt / heure à 1 € le mégawatt / heure.

À partir du 1^er février 2024 et jusqu’au 31 janvier 2025, et bien que le bouclier tarifaire ait été prolongé d’un an, la TICFE applicable sera en moyenne de 20 € le mégawatt / heure.

Plus précisément, les tarifs applicables au mégawatt / heure sont les suivants :

• 21 € pour les ménages et assimilés (c’est-à-dire les entreprises avec une puissance inférieure ou égale à 36 kVA ) ;
• 20,5 € pour les petites et moyennes entreprises (c’est-à-dire les entreprises avec une puissance supérieure à 36 kVA et inférieure ou égale à 250 kVA) ;
• 20,5 € pour la catégorie fiscale « haute puissance » (c’est-à-dire les entreprises avec une puissance supérieure à 250 kVA).

Le Gouvernement fournit quelques exemples concrets, disponibles ici, des augmentations applicables en fonction des situations types.

Titres-restaurant : quelle exonération pour l’employeur ?

Depuis le 1^er janvier 2024, la limite de participation de l’employeur aux titres-restaurant exonérée de cotisations et contributions sociales est passée à 7,18 €, contre 6,91 € en 2023.

À toutes fins utiles, notez que le bénéfice de cette exonération suppose que la part financée par l’employeur soit comprise en 50 % et 60 % de la valeur globale du titre-restaurant.

Titres-restaurant : vers une augmentation du plafond journalier ?

Pour une députée, les salariés qui résident en zone rurale seraient désavantagés quant à l’utilisation de leurs titres-restaurant vis-à-vis des salariés habitant en ville.

La raison ? Le plafond journalier d’utilisation de ces titres, fixé à 25 €.Or les salariés qui habitent en zone rurale peuvent faire les courses moins souvent que leurs homologues citadins !

Un plafond uniforme qui est source d’inégalité, selon elle, ce qui justifie l’intervention du Gouvernement. Une demande à laquelle ce dernier refuse de donner suite ! Si le titre-restaurant a été récemment adapté pour faire face à l’inflation, en ouvrant la possibilité d’utilisation pour des denrées non directement consommables, le plafond journalier d’utilisation de 25 € est fixé par rapport au prix moyen d’un plat du jour en France en 2023, estimé à 15,41 €.

Par conséquent, il n’est pas prévu de tenir compte de la situation particulière des salariés habitant à la campagne pour créer différents plafonds d’utilisation journaliers.

Une suppression des indications déjà connues par l’organisme d’accompagnement !

Pour mémoire, la période de mise en situation professionnelle (dite « PMSP ») est un dispositif ayant pour objet de permettre à un travailleur, privé ou non d’emploi, ainsi qu’à un demandeur d’emploi, soit de découvrir un métier ou un secteur d’activité, soit de confirmer un projet professionnel, soit d’initier une démarche de recrutement.

Ce dispositif peut notamment être prescrit par France Travail ou la mission locale (dans le cas où le bénéficiaire a moins de 26 ans) et est ouvert à tous.

Il est formalisé par une convention, dont les indications viennent d’être modifiées.

Principalement, sont supprimées les informations qui peuvent être recueillies par ailleurs ou qui sont déjà détenues par l’organisme en charge de l’accompagnement du bénéficiaire.

C’est le cas pour les mentions suivantes, qui n’ont donc plus à figurer dans la convention :

• adresse du bénéficiaire ;
• situation professionnelle du bénéficiaire ;
• forme juridique de la structure d’accompagnement.

Notez que les modalités de dépôt seront prochainement précisées par un arrêté du ministre chargé de l’emploi.

Licenciement reposant sur des faits fautifs différents, mais connus : possible ?

Un salarié protégé fait l’objet d’une mise à pied disciplinaire de 3 jours.

Quelques mois plus tard, son employeur sollicite l’administration d’une demande de licenciement de ce même salarié protégé, pour des faits fautifs différents.

Ce que l’administration refuse au motif que l’employeur avait déjà connaissance de ces faits lors du prononcé de la sanction disciplinaire…

Mais l’employeur insiste et saisit le ministre du Travail qui finit par donner son autorisation.

Licencié, le salarié protégé décide de contester : selon lui, les faits invoqués étaient prescrits puisque l’employeur en avait connaissance depuis plus de 2 mois. Concrètement, il en a eu connaissance lors du prononcé de la sanction disciplinaire.

Dans une telle situation, insiste le salarié, il importe peu que la mise à pied ait été prononcée pour d’autres faits que ceux invoqués au soutien de son licenciement.

Ce que confirme le juge : l’employeur qui a connaissance de divers faits et qui décide de n’en sanctionner qu’une partie, ne peut pas, postérieurement à la première sanction disciplinaire, sanctionner à nouveau le salarié pour les autres faits dont il avait connaissance lors du prononcé de la première sanction.

Ainsi, dans cette affaire, l’administration ne pouvait pas autoriser le licenciement d’un salarié protégé reposant sur des faits que l’employeur connaissait au moment du prononcé de la mise à pied !

Quelles conditions pour la recevabilité d’une preuve déloyale ?

Un salarié saisit le juge pour obtenir la résiliation judiciaire de son contrat de travail. La cause ? Le harcèlement moral dont l’employeur serait à l’origine.

Dans ce cadre, les membres de l’instance représentative du personnel diligentent une enquête et un entretien est réalisé. Un entretien que le salarié enregistre et fournit au juge dans le cadre de la procédure.

Le problème ? Cet enregistrement a été obtenu à l’insu des membres de cette instance. La question de sa recevabilité se pose donc.

Le 1^er juge saisi a considéré que cet enregistrement n’était pas absolument indispensable à la défense des intérêts du salarié dans le cadre de ce procès. Et donc, qu’il était déloyal !

Plus précisément, c’est parce que d’autres éléments (notamment le rapport d’enquête établi en lien avec l’inspecteur et le médecin du travail) laissent supposer l’existence d’un tel harcèlement que cet enregistrement déloyal n’est pas recevable.

« Tout à fait ! » confirme le 2^d juge : si une preuve illicite ou déloyale peut être recevable en justice, c’est à la seule condition qu’elle soit absolument indispensable à l’exercice du droit invoqué et que l’atteinte soit proportionnée au but poursuivi. Ce qui n’était pas le cas ici…

L’enregistrement n’est donc pas recevable.

Association et intérêt à agir : que disent les statuts ?

Une société se voit accorder un permis de construire en vue de la création d’une zone d’activités. Une autorisation contestée par une association.

Mais une contestation qui doit être rejetée d’office sans même analyser les arguments de l’association, estime la société, puisqu’elle n’a pas d’intérêt à agir.

La société rappelle, en effet, que l’association a pour objet d'assurer la défense et la préservation du cadre de vie dans l'ensemble du département. Or le permis de construire litigieux, compte tenu de sa nature, du nombre de constructions autorisées, du choix d'implantation retenu ainsi que des caractéristiques du secteur dans lequel il doit être implanté, n’est pas susceptible de porter atteinte au cadre de vie défendu par l’association...

Sauf que les 3 bâtiments devant être construits totalisent une surface plancher de plus de 7 100 m² et sont destinés à accueillir des activités artisanales et commerciales, relève l’association.

Or ses statuts prévoient qu’elle défend et préserve « le cadre de vie contre toute atteinte qui y serait portée par la planification ou l'autorisation de surfaces destinées au commerce », notamment en veillant « à la légalité des autorisations d'urbanisme portant sur des surfaces destinées au commerce, y compris celles ne nécessitant pas la saisine de la commission départementale d'aménagement commercial ».

Elle a donc bien intérêt à agir et son action contre le permis de construire est parfaitement recevable.

Un raisonnement que valide le juge : la contestation du permis de construire par l’association est valable !

La CNIL sanctionne les manquements au RGPD…

En ce début d’année 2024, la CNIL a annoncé avoir sanctionné plusieurs sociétés pour divers manquements au RGPD.

Voici les exemples les plus marquants des manquements constatés :

• une durée de conservation des données de 10 ans, à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés… ce qui aboutissait à conserver les données pour une durée indéterminée ;
• une information des personnes via une politique de confidentialité incomplète et obsolète ;
• des règles de complexité des mots de passe des comptes utilisateurs insuffisamment robustes. Près de 50 000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs. En ce qui concerne les mots de passe qui étaient stockés sous une forme hachée, la fonction de hachage utilisée était obsolète (SHA-1) ;
• un dépôt de cookies d’un service d’analyse d’audience d’un important moteur de recherche sur le terminal de l’utilisateur sans son accord : une pratique qui a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes ;
• malgré l’absence de tout consentement exprimé sur le bandeau de cookies, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute ;
• la mise en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif, ainsi que l’utilisation de la vidéosurveillance sans information et insuffisamment sécurisée.

… s’intéresse aux moyens donnés aux DPO…

Pour l’année 2023, la CNIL avait annoncé que l’un de ses axes de contrôles principaux seraient de vérifier le rôle exact et les moyens confiés par les organismes à leurs délégués à la protection des données (DPO).

Voici le bilan de ces contrôles :

• en ce qui concerne les points positifs :
  • les organismes ont bien pris en compte les obligations liées aux missions du DPO et ce dernier est souvent associé aux décisions en lien avec les données personnelles ;
  • le DPO dispose généralement de moyens suffisants à l’accomplissement de ses missions ;
• en ce qui concerne les points négatifs ayant donné lieu à sanctions :
  • l’existence de conflits d’intérêts entre les missions du DPO et d’autres tâches qui lui sont affectées ;
  • l’absence d’association du DPO aux problématiques liées à la protection des données ;
  • un manque de visibilité sur les fonctions du DPO pour les collaborateurs de l’organisme.

… et fait des annonces pour le cloud !

Étant très sollicitée sur l’usage du « cloud », la CNIL vient de publier 2 fiches pour éclairer les organismes sur le sujet :

• « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public » : la CNIL y expose les différentes techniques de chiffrement des données utilisées et qui peuvent impacter le client en le rendant plus ou moins dépendant de son fournisseur ;
• « Les outils de sécurisation d’applications web dans l’informatique en nuage (cloud) » : la CNIL y présente les différents produits de sécurité nécessaires pour sécuriser un cloud et les points de vigilance à connaître pour chacun d’entre eux.