Guide de la sécurité des données personnelles : les nouveautés de l’édition 2024

Le guide de la sécurité des données personnelles édité par la CNIL vient d’être mis à jour pour cette année 2024.

Structuré en 5 parties, il comporte de nouveaux contenus portant sur :

• l’informatique en nuage (cloud) ;
• les applications mobiles ;
• l’intelligence artificielle (IA) ;
• les interfaces de programmation applicative (API) ;
• le pilotage de la sécurité des données.

Les fiches déjà existantes ont été enrichies, notamment celles portant sur l’utilisation d’équipements personnels en environnement professionnel.

Notez que pour mieux prendre connaissance des modifications, la CNIL a publié un journal des modifications.

Vente immobilière : une erreur qui joue en faveur de l’acquéreur…

Un couple souhaite construire un chalet sur un terrain lui appartenant et sur lequel coule un ruisseau. Pour réaliser son projet, il obtient un permis de construire pour le chalet et une autorisation de busage pour faire passer le ruisseau dans une canalisation souterraine.

Mais quelques années après, le couple change finalement d’avis et vend son terrain à une SCI en lui transférant le permis de construire.

Souhaitant faire aboutir le projet, la SCI commence l’opération de busage, qu’elle doit rapidement stopper à la demande de la préfecture, celle-ci rappelant que l’autorisation de busage est largement expirée.

Mécontente, la SCI réclame l’annulation de la vente : si elle a acheté le terrain, c’est dans le but de construire le chalet. Or pour que celui-ci soit construit, il faut buser le ruisseau, ce qu’elle n’a plus le droit de faire. En outre, au jour de la vente, l’autorisation de busage (non annexée à l’acte de vente) était déjà expirée…

« Ce n’est pas notre problème ! », estime le couple, rappelant que le permis de construire reste valable. Pour lui, la SCI n’avait qu’à solliciter une nouvelle autorisation de busage lors de la vente…

Ce qui ne convainc pas le juge, qui tranche en faveur de la société : il ressort des circonstances de la vente que la SCI a été amenée à acheter le terrain par erreur. Et comme l’erreur porte sur une condition essentielle de l’achat (à savoir la possibilité de construire un chalet), la vente est nulle…

C’est l’histoire d’un salarié qui oublie qu’il est dans un véhicule professionnel…

Un salarié embauché en qualité de conducteur livreur est licencié par son employeur pour faute grave.

Pourquoi ? Parce que son employeur lui reproche d’avoir adopté un comportement obscène sur son trajet domicile-travail, à l’issue de sa journée de travail, dans le véhicule qui était mis à disposition par l’entreprise…

Une décision qui s’appuie sur un témoignage anonyme envoyé par un autre salarié.

Pour l’employeur, ces faits portent atteinte à l’image de la structure et rendent impossible le maintien du salarié dans l’entreprise… Ce qui justifie un licenciement pour faute grave !

Sauf que pour le salarié ce comportement, qui relève de sa vie privée, ne peut pas fonder son licenciement pour faute.

Il rappelle que les faits ont été commis en dehors du temps de travail et que le seul fait qu’il se trouvait dans un véhicule professionnel ne peut pas suffire à rattacher les faits reprochés à sa vie professionnelle.

« Tout à fait ! » tranche le juge en faveur du salarié : les faits reprochés ne constituent pas un manquement du salarié aux obligations qui découlent de son contrat de travail.

Les éléments invoqués par l’employeur ne permettent pas d’établir un lien suffisant entre le comportement reproché et la vie professionnelle du salarié et ne peuvent pas fonder son licenciement pour faute grave.

Droit de communication des Douanes : un élargissement encadré

Pour rappel, le droit de communication permet à l’administration douanière de prendre connaissance de documents de toute nature pour établir l’assiette de l’impôt et lutter contre la fraude.

Ce droit de communication est encadré par la loi qui prévoit, notamment, la liste des personnes qui peuvent y être soumises. Les agents habilités des Douanes peuvent, par exemple, exiger la communication de certains documents des gares de chemin de fer, des locaux des compagnies aériennes, des concessionnaires d'entrepôts, docks et magasins généraux, des destinataires et expéditeurs des marchandises, etc.

Afin de renforcer l’efficacité de la lutte contre la fraude, ce droit de communication a été élargi aux « informations relatives à des personnes non nommément désignées ». Cela permet, notamment, d’obtenir des listes de clients, de fournisseurs, d’utilisateurs, etc.

Les modalités d’application de cet « élargissement » viennent d’être publiées.

Qui peut exercer ce droit de communication ?

Seuls les agents des Douanes ayant au moins le grade de contrôleur peuvent effectuer cette procédure, à condition d’avoir un ordre écrit d’un agent ayant au moins le grade d’inspecteur. Cet ordre doit d’ailleurs être présenté aux personnes concernées par la mise en œuvre de cette prérogative.

La demande de l’administration douanière

Dans sa demande de communication, l’administration doit mentionner :

• la nature de la relation juridique ou économique existant entre la personne soumise au droit de communication et la ou les personnes dont l'identification est demandée ;
• la ou les informations demandées, précisées par l'un au moins des critères de recherche suivants :
  • la nature de la transaction ou du flux ;
  • la situation géographique ;
  • le seuil, pouvant être exprimé en quantité, en nombre, en fréquence ou en montant financier ;
  • le mode de paiement ;
• la période sur laquelle porte la recherche, éventuellement fractionnée, mais ne pouvant excéder 24 mois au total.

Les informations recueillies

La personne sollicitée dispose d’un délai, fixé par l’administration, pour envoyer les informations demandées via un support informatique.

Notez que ces informations seront conservées pendant 3 ans à compter de leur réception, à moins qu’une procédure devant le juge ne soit enclenchée. Dans ce cas, elles seront conservées jusqu’à l’expiration de toutes les voies de recours.

Taxe sur les bureaux : fiscalement, c’est quoi un espace de coworking ?

Parce qu’elle exerce une activité de mise à disposition d’espaces de travail (espaces de coworking) à Paris, une société se voit réclamer le paiement de la taxe annuelle sur les locaux à usage de bureaux, les locaux commerciaux, les locaux de stockage et les surfaces de stationnement perçue dans la région Ile-de-France.

Une erreur selon la société qui estime être exonérée de cette taxe. Et pour cause, dans le cadre de son activité, elle fournit non seulement des espaces de coworking à ses clients, mais aussi différentes prestations de services de type hôtelier : accueil et conciergerie, standard et réception du courrier, accès à des évènements sociaux et professionnels, services de bien-être.

Partant de là, les locaux litigieux sont des « locaux commerciaux ». Et parce que leur surface est inférieure à 2 500 m², elle peut bénéficier de l’exonération prévue en pareil cas par la loi.

Mais l’administration considère au contraire que les locaux loués aux clients sous forme d’espaces de travail sont des bureaux… Et non des locaux commerciaux…

Elle relève, en effet, que ni la description des prestations offertes à la clientèle ni le contrat de prestations de service conclu avec les clients, ni les conditions générales de vente ne permettent de conclure que les prestations de type hôtelier constitueraient l’activité principale de la société.

Par conséquent, l’administration considère que l’activité de mise à disposition de bureaux est l’activité principale de la société, qui doit bien payer la taxe réclamée.

Ce que confirme le juge : les locaux litigieux étant principalement utilisés pour un usage de bureau, ils doivent être taxés comme tels !

La situation financière préoccupante des EHPAD publics…

Une députée attire l'attention du Gouvernement sur la situation financière particulièrement difficile de la majorité des établissements d'hébergement pour personnes âgées dépendantes (EHPAD) publics en France.

À ce titre, elle rappelle que selon les chiffres fournis par la Fédération hospitalière de France, près de 80 % de ces EHPAD enregistrent un résultat déficitaire en 2022, contre 42 % en 2019.

Elle interroge donc le gouvernement sur les mesures étudiées pour soutenir les EHPAD publics et garantir qu’ils puissent continuer leur travail dans de bonnes conditions, tout en offrant un accueil digne aux résidents.

Ce à quoi le Gouvernement répond qu’un certain nombre de mesures ont d’ores et déjà été mises en place.

D’abord, un fond de soutien exceptionnel à hauteur de 100 M€ a été mis à disposition des Agences Régionales de Santé (ARS) afin de combler les besoins de trésorerie les plus urgents.

De plus, il rappelle l’existence de l’expérimentation mise en place par la loi de financement de la Sécurité sociale pour 2024, permettant aux départements volontaires de simplifier le mode de financement des EHPAD.

En fonction des résultats de cette expérimentation d’une durée de 4 ans, le Gouvernement réitère son souhait de généralisation de ce mode de financement à l’ensemble des EHPAD dans le but de consolider leur situation financière.

Enfin, il assure qu’une réflexion globale reste en cours, en lien avec les acteurs concernés, s’agissant du modèle économique ou encore des modalités de financement et de transformation de l’offre.

Salarié envoyé à l’étranger : à qui profite la prospection ?

Un particulier signe un contrat de travail avec une entreprise établie en France, elle-même détenue par une société américaine, en vue de prospecter le marché commercial de la location d’avions à l’étranger.

Une situation qui selon lui, lui permet de bénéficier d’une exonération d’impôt sur le revenu (IR) au titre des salaires perçus dans le cadre de cette activité… Mais pas selon l’administration fiscale, qui lui refuse le bénéfice de cet avantage.

« Pourquoi ? », s’étonne le salarié qui rappelle que les salariés envoyés à l’étranger par un employeur établi en France pour exercer une activité de prospection commerciale pendant plus de 120 jours par an peuvent bénéficier d’une exonération d’IR à raison des salaires perçus en rémunération de cette activité.

Et toutes les conditions requises pour bénéficier de ce dispositif sont ici remplies, maintient le salarié. Pour preuves :

• son employeur est domicilié en France ;
• son activité salariée consiste à prospecter, à l’étranger, un marché commercial ;
• sa mission à l’étranger a duré plus de 120 jours au cours d’une période de 12 mois consécutifs.

Sauf qu’une condition essentielle fait pourtant défaut, constate l’administration : si le salarié a effectivement été envoyé à l’étranger pour exercer une activité de prospection, cette activité a uniquement pour but de développer l’activité de location d’avions commerciaux de la société américaine… et non celle de l’entreprise française.

Ce que confirme le juge : l’exonération d’IR s’applique uniquement si l’activité du salarié a pour but d’assurer le développement des activités ou des marchés à l’étranger d’un employeur français.

L’exonération d’impôt réclamée est donc ici refusée !

Quand la numérisation trace sa route !

Assurance

Pour rappel, à partir du 1^er avril 2024, vous n’aurez plus besoin, pour prouver que votre véhicule est assuré, de détenir la carte verte de votre assurance ni d’apposer le « papillon vert » sur votre pare-brise.

La vérification de votre assurance se fera systématiquement via le Ficher des Véhicules Assurés (FVA). Vous pouvez d’ailleurs vérifier que votre véhicule est bien répertorié en vous rendant sur le portail dédié, disponible ici.

Pour information, l’impression et l’envoi des cartes vertes représentent 1 200 tonnes de CO2 par an…

Points de permis de conduire

Parmi les portails numériques avec lesquels les conducteurs vont devoir s’habituer à vivre, on trouve la plateforme « MesPointsPermis ». Cette dernière vient de faire l’objet d’une mise à jour : les utilisateurs peuvent maintenant consulter le relevé intégral des informations relatives à leur permis.

Une information plus complète que le simple solde de points à l’instant T…

Congés payés et arrêt maladie : rappel du contexte

Par une série d’arrêts rendus le 13 septembre 2023, le juge a considéré que certaines dispositions du Code du travail relatives à l’acquisition des congés payés par les salariés en arrêt maladie ne devaient plus être appliquées, car contraires au droit de l’Union européenne (UE).

Pour mémoire, ces dispositions prévoyaient que l’arrêt de travail pour maladie d’origine non professionnelle n’était pas considéré comme du temps de travail effectif.

Le juge a estimé que ces règles ne devaient pas s’appliquer : pour lui, un salarié en arrêt maladie doit pouvoir acquérir des congés payés.

Il rappelait également que le délai de prescription pour le report des congés payés acquis avant ou pendant un arrêt maladie, ne commençait à courir qu’à partir du moment où le salarié était effectivement en mesure de prendre ses congés…

Quelques temps plus tard, interrogé à son tour, le Conseil constitutionnel a rappelé que même si ces dispositions étaient non conformes au droit de l’UE, elles restaient valables au regard de la Constitution.

D’où un flou juridique et un casse-tête pour les entreprises…

En l’état, seul le législateur est donc en mesure d’apporter une réponse aux entreprises quant aux règles applicables à l’acquisition de congés payés en cas d’arrêt de travail.

D’où l’intervention du Conseil d’État, appelé à donner son avis sur un futur projet de loi…

Congés payés et arrêt maladie : quel est l’avis du Conseil d’État ?

Concrètement, 2 questions ont notamment été posées au Conseil d’État :

• la 1^re concernant la mise en place d’une limite quant à l’acquisition des congés payés pendant l’arrêt maladie non professionnel ;
• la 2^de pour régler le droit (et le délai) au report des congés payés acquis avant ou pendant un arrêt maladie, quelle que soit son origine.

Sur le 1^er point, le Conseil d’État estime qu’il est possible de limiter à 4 semaines les congés acquis au cours d’une absence pour maladie non professionnelle, conformément au projet du Gouvernement.

Sur le 2^nd point, il rappelle que lorsque les droits à congés payés expirent alors que le salarié est en arrêt maladie, le début de la période de report devra nécessairement être postérieur à la date de reprise du travail, ainsi qu’à celle où l’employeur aura dûment informé le salarié de ses droits.

Par ailleurs, si les congés payés sont acquis au cours de la période de maladie, la période de report de 15 mois telle que prévue par le Gouvernement pourra débuter à la fin de la période d’acquisition, si le salarié n’a pas repris le travail.

Il précise également qu’il sera possible de prévoir une extinction de ces congés à l’issue d’une période de 15 mois quand bien même l’employeur était dans l’impossibilité de prévenir le salarié.

Notez que si ces éléments permettent d’éclairer le gouvernement quant au projet de loi à venir, ils ne sont que provisoires et ne permettent pas, en l’état, d’apporter une réponse aux besoins opérationnels des entreprises…

La suite au prochaine épisode…

Lobbying et affaires publiques : un guide pour la protection des données personnelles

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité française chargée de la bonne application des réglementations relatives à la protection des données à caractère personnel des Français et, plus largement, des européens, en collaboration avec les autorités des autres pays.

C’est dans le cadre de cette mission que la CNIL a été sollicitée par plusieurs associations professionnelles intervenant dans le secteur des affaires publiques et du lobbying, afin de se faire accompagner dans la mise en place de la conformité du secteur au Règlement général sur la protection des données (RGPD).

En effet, les professionnels de ce secteur sont amenés à collecter de nombreuses données personnelles concernant les personnalités politiques, médiatiques ou issues du monde associatif avec lesquelles elles traitent.

Le travail en commun de la Commission et des associations a permis l’édition d’un guide à destination de l’ensemble des professionnels du secteur.

L’objectif de ce guide est d’apporter les clés de compréhension nécessaires pour que les professionnels puissent exercer leur activité en toute sécurité juridique pour eux, mais aussi pour les personnes dont ils collectent les données.