Intelligence artificielle (IA) : le plan d’action de la CNIL comporte 4 volets

Depuis quelques mois, l’intelligence artificielle (IA) dite « générative » connait un grand développement avec l’apparition d’outils tels que ChatGPT, Bard, Dall-E, Midjourney, Vall-E, etc.

Pour la petite histoire, sachez que l’IA générative est un système qui crée du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain (le « prompt engineering »).

L’intérêt pour l’IA générative a amené la CNIL à publier un plan d’action, en attendant l’adoption d’un accord européen sur le sujet (le projet de règlement européen dit « IA Act », actuellement en discussion).

Ce plan s’articule autour de 4 axes :

• Axe 1 : appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ;
• Axe 2 : permettre et encadrer le développement d’IA respectueuses des données personnelles ;
• Axe 3 : fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ;
• Axe 4 : auditer et contrôler les systèmes d’IA et protéger les personnes.

L’axe 1 doit amener les particuliers et les professionnels à se poser des questions sur la protection des données, notamment :

• la loyauté et la transparence des traitements de données sous-jacents au fonctionnement de ces outils ;
• la protection des données publiquement accessibles sur le Web face à l’utilisation du moissonnage de données pour la conception des outils ;
• la protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils, allant de leur collecte (via une interface) à leur éventuelle réutilisation, en passant par leur traitement par les algorithmes d’apprentissage automatique ;
• les conséquences sur les droits des personnes sur leurs données, tant en ce qui concerne celles collectées pour l’apprentissage de modèles que celles qui peuvent être fournies par ces systèmes ;
• la protection contre les biais et les discriminations susceptibles de survenir ;
• les enjeux de sécurité inédits de ces outils.

Ces questions sont envisagées par le laboratoire d’innovation numérique de la CNIL (LINC). Notez que le LINC a notamment publié un dossier sur l’IA générative pour mieux comprendre les enjeux spécifiques de ces systèmes.

L’axe 2 vise à anticiper l’application de l’IA Act et à préparer les entreprises et les particuliers à l’impact des systèmes d’IA dans les années à venir. À cet effet, la CNIL a déjà publié des fiches pédagogiques sur le sujet et continuera à publier des documents dans les mois et années à venir.

L’axe 3 se matérialise déjà concrètement par 3 mesures :

• la création d’un « bac à sable » pour accompagner les projets innovants depuis 2021 ;
• la création d’un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » dans le cadre des Jeux olympiques de 2024 ;
• la création d’un programme « d’accompagnement renforcé » pour assister les entreprises innovantes dans leur conformité au RGPD.

Par ailleurs, la CNIL se tient à disposition des entreprises qui souhaitent développer des systèmes d’IA dans une logique de protection des données personnelles. Pour se faire, il est possible de la contacter à l’adresse ia@cnil.fr.

Enfin, l’axe 4 vise à doter la CNIL d’un outillage lui permettant d’auditer les systèmes d’IA. À ce propos, sachez que le LINC a publié un dossier sur les solutions d’audit algorithmique.

Durant l’année 2023, la CNIL va mener des actions concernant :

• le respect, par les entreprises, de sa position sur l’usage de la vidéosurveillance « augmentée » ;
• l’usage de l’IA pour lutter contre la fraude (par exemple la fraude à l’assurance sociale), au regard des enjeux liés à l’usage de tels algorithmes ;
• l’instruction de plaintes déposées auprès de ses services.

Comment relancer la filière pêche en Guyane ?

Le 3 mai 2023, le secrétaire d'État chargé de la Mer, la Collectivité territoriale de Guyane et le Comité régional des pêches ont signé un Pacte tripartite pour la relance de la filière pêche.

Il comprend 5 axes :

• renouvellement des navires de pêche et réappropriation de l’espace maritime ;
• modernisation des infrastructures nécessaires à la pêche ;
• aides économiques à la filière « pêche » (audits, prêts, échelonnement des dettes fiscales et sociales, activité partielle, etc.) ;
• développement de la formation maritime et amélioration des conditions sociales des marins-pêcheurs ;
• mise en place d’une méthode de travail pour une coproduction de l’action publique en faveur du développement de l’économie bleue.

Prévention des accidents routiers du travail : des informations utiles…

La conduite constitue, pour de nombreuses entreprises, l’essence même de leur activité (transport, livraison, BTP, etc.) et s’avère donc être un facteur de risques professionnels pour les travailleurs qui prennent la route (risques physiques, chimiques et psychosociaux).

Mais ce ne sont pas les seules ! Pour les entreprises où les déplacements sont ponctuels, le risque d’accident de trajet reste à prendre en considération.

L’institut national de recherche et de sécurité pour la prévention des accidents du travail et des maladies professionnelles (INRS) rappelle que l’employeur doit évaluer ce risque et l’intégrer au document unique d’évaluation des risques professionnels (DUERP).

À cet effet, il donne les étapes fondamentales de l’évaluation du risque routier, lesquelles consistent à :

• réaliser un état des lieux et une analyse des déplacements, en tenant compte des conditions réelles de conduite (durée de déplacement, amplitudes horaires de travail, types et caractéristiques des véhicules, état du trafic, conditions météos, etc.) ;
• identifier les salariés exposés ;
• examiner les motifs et les caractéristiques des déplacements ;
• analyser les accidents de mission survenus au cours des dernières années.

Qui dit DUERP, dit plan de prévention ! L’INRS propose ainsi de cibler les actions à mener selon 4 axes :

• déplacements : prévoir une organisation en amont ;
• véhicules : maintenance des véhicules, véhicules appropriés et en bon état, avec une traçabilité du suivi et de l’entretien ;
• communications lors des déplacements : instauration d’un protocole, notamment sur l’usage du téléphone portable ;
• compétences : formations des salariés.

Afin de limiter les risques, l’INRS préconise également :

• d’éviter au maximum les déplacements en regroupant les rendez-vous ou réunions hors entreprises, ou bien en préférant des rencontres en visioconférence, par exemple ;
• recourir aux transports collectifs ;
• limiter les distances quotidiennes à parcourir, etc.

Enfin, pour considérer et prévenir les risques dans leur ensemble, l’institut recommande aux entreprises de mettre en place un plan de mobilité, permettant d’améliorer les conditions de déplacements du personnel et de favoriser les modes alternatifs à la voiture individuelle.

Un tel plan présente les avantages de prévenir le risque routier, mais aussi d’agir pour le bien-être au travail et de s’inscrire dans une démarche environnementale.

L’effarouchement : une solution d’exception

Pour rappel, il est interdit de perturber intentionnellement une espèce protégée, sauf si 2 conditions sont réunies :

• il n’existe pas de solution alternative satisfaisante ;
• la dérogation ne nuit pas au maintien des populations de l’espèce en question dans son aire de répartition naturelle.

Un principe qui a soulevé quelques interrogations lorsqu’il a été question de l’effarouchement des ours bruns dans les Pyrénées. Un 1^er arrêté, en effet, avait autorisé la méthode de l’effarouchement, simple ou renforcé, afin de protéger les élevages.

Jugé pas assez protecteur envers les femelles en gestation ou accompagnées de leurs petits, il a été annulé. Il est aujourd’hui remplacé par un nouveau texte, qui apporte de nouvelles précisions :

• l’effarouchement expérimenté est efficace pour protéger les troupeaux ;
• il n’a pas été observé de conséquence négative sur les femelles (séparation avec leurs oursons ou augmentation du risque d’avortement) ;
• la population d’ours continue sa croissance, même avec l’effarouchement.

Le Gouvernement a donc décidé de maintenir cette méthode qui est encadrée par des agents de l’État.

Ainsi, l’effarouchement doit être autorisé par le préfet. Son accord n’est donné que si un troupeau est à proximité d’un ours et que des mesures de protection autres ont déjà été prises, mais se révèlent insuffisantes.

La demande d’autorisation peut être déposée par un éleveur, un groupement pastoral ou un gestionnaire d’estive (pâturage en montagne exploité l’été).

Pour obtenir l’accord du préfet, les intéressés doivent pouvoir justifier d’un certain nombre d’attaques sur l’estive :

• une dans les 12 derniers mois ;
• ou 4 cumulées au cours des 2 dernières années ;
• ou 10 en moyenne par an lors des 3 saisons précédentes.

Dans un 1^er temps, l’effarouchement dit « simple » est autorisé. Il consiste à faire fuir l’ours via des moyens lumineux ou sonores (cloches, pétards, cornes de brume, etc.).

En cas d’échec, l’effarouchement renforcé peut être autorisé par le préfet :

• dès la 2^e attaque intervenue dans un délai inférieur à un mois malgré la mise en œuvre effective d'opérations d'effarouchement simple au cours de cette période ;
• pour les estives ayant subi au moins 4 attaques cumulées sur les 2 années précédentes, dès la 1^re attaque survenue malgré la mise en œuvre effective d'opérations d'effarouchement simple lors de l'estive en cours ;
• pour les estives ayant subi en moyenne plus de 10 attaques par an au cours des 3 saisons d'estive précédentes, ayant mis en œuvre de manière effective l'effarouchement simple durant les 12 derniers mois, et ayant déjà subi une attaque après cette mise en œuvre effective.

L’effarouchement renforcé, qui consiste à tirer en l’air avec des armes non létales, est effectué par des agents de l’Office français de la biodiversité qui doivent respecter un ensemble de règles, par exemple :

• l’opération se déroule de nuit, par binôme, afin d’avoir une personne qui éclaire et une autre qui tire ;
• une absence de munition létale ;
• une obligation de surveiller la présence d’ourson, etc.

Notez que toute opération d’effarouchement, simple ou renforcé, doit faire l’objet d’un rapport adressé au préfet.

Pour finir, retenez que le parc national des Pyrénées bénéficie d’un régime spécial :

• aucune mesure d’effarouchement renforcé ne peut être prononcée ;
• la mise en œuvre d’une mesure d’effarouchement simple nécessite d’obtenir l’autorisation du directeur du parc.

DPO : des contrôles dans toute l’Union européenne

La commission nationale de l’informatique et des libertés (CNIL) avait annoncé en début d’année 2023 les différentes thématiques qui seraient au cœur de ses contrôles pour l’année en cours.

En cohérence avec ces annonces, une série de vérifications va être lancée auprès d’établissements publics, de collectivités territoriales et d’entreprises privées concernant la désignation et les modalités d’exercice de leur Data Privacy Officer (DPO).

La particularité de cette campagne de vérification est qu’elle se fera de façon coordonnée avec le comité européen de la protection des données (CEPD) et les autorités nationales des autres États-membres.

Pour rappel, un Data Privacy Officer (DPO), ou Délégué à la protection des données, doit obligatoirement être désigné au sein :

• des autorités et organismes publics ;
• des organismes assurant un suivi régulier, systématique et à grande échelle de données personnelles ;
• des organismes traitant à grande échelle des données à caractère sensible.

Son rôle est de veiller à la conformité de son organisme aux dispositions du règlement général sur la protection des données (RGPD) et de s’assurer que les droits des personnes concernées par les données traitées sont respectés.

Par ces contrôles, les autorités cherchent à vérifier que des DPO sont bien désignés dans les organismes où leur présence est obligatoire et que ceux-ci disposent de moyens suffisants pour mener à bien leurs missions.

Violation du RGPD : le droit à réparation n’est pas automatique !

Pour rappel, le règlement général sur la protection des données (RGPD) vise, depuis 2018, à protéger les données personnelles à l’échelle de l’Union européenne.

Ce règlement prévoit, notamment, un droit à réparation qui permet à toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD d'obtenir du responsable du traitement de données (ou du sous-traitant) une réparation pour le préjudice subi.

Récemment, la question s’est posée de savoir si ce droit s’applique systématiquement, dès qu’une violation du RGPD est constatée.

Interrogé sur ce point, le juge européen vient de répondre par la négative…

Il rappelle, en effet, que pour bénéficier de ce droit à réparation, il faut nécessairement que 3 conditions soient réunies :

• une violation du RGPD ;
• un dommage matériel ou moral résultant de cette violation ;
• un lien de causalité entre le dommage et la violation.

À toutes fins utiles, notez que le fait de ne pas pouvoir engager une action en réparation n’interdit pas d’utiliser d’autres voies de recours prévues par le RGPD, notamment celles permettant d’infliger des amendes administratives, pour lesquelles l’existence d’un dommage individuel n’a pas à être démontrée.

L’allongement du délai de prévenance du passage de l’agent de contrôle

Par principe, avant de procéder à un contrôle, l’agent de l’Urssaf doit envoyer au cotisant un avis de contrôle.

Jusqu’à présent, cet avis de contrôle devait être envoyé au moins 15 jours avant la date de la première visite de l’agent. Depuis le 14 avril 2023, ce délai passe à 30 jours.

Notez que la Charte du cotisant contrôlé prévoit déjà ce délai minimum de 30 jours entre la transmission de l’avis de contrôle et la première visite de l’agent chargé du contrôle. Il s’agit donc d’une mise en conformité des dispositions légales.

La proposition d’un entretien de fin de contrôle

Depuis le 1^er mai 2023, en fin de contrôle, l’agent vérificateur peut proposer à la personne contrôlée (ou à son représentant légal) une information sous la forme d’un entretien, dont le but est de présenter les constats susceptibles de faire l’objet d’une observation ou d’un redressement.

S’il est proposé, l’entretien aura lieu avant l’envoi de la lettre d’observations.

Notez toutefois qu’il ne pourra pas avoir lieu lorsque le contrôle est réalisé pour rechercher des infractions relatives au travail dissimulé, ou lorsqu’est constatée une situation d’obstacle à contrôle.

Notez que cet entretien de fin de contrôle était déjà prévu par la Charte du cotisant contrôlé…

La réduction du délai de remboursement maximal

À l’issue d’un contrôle, lorsqu’il apparaît un trop-versé, l’organisme doit le notifier à la personne contrôlée et la rembourser dans un délai maximum d’un mois (et non plus de 4 mois) suivant cette notification.

Pour les employeurs relevant du régime général, ce délai s’applique aux contrôles engagés par les Urssaf depuis le 1^er mai 2023.

Pour les employeurs relevant du régime agricole, ce délai s’appliquera à compter d’une date fixée par arrêté, et au plus tard au 1^er janvier 2024.

Notez que la Charte du cotisant contrôlé applique déjà cette réduction du délai de remboursement maximal pour les contrôles ayant débutés depuis le 1^er juillet 2022.

Autres modifications

Notez que d’autres dispositions ont fait l’objet de précisions et/ou d’améliorations. À titre d’exemple, on peut citer :

• les modalités d’appréciation de la réitération d’une erreur ;
• la procédure permettant les traitements automatisés de données et de documents, afin de limiter l’intervention des agents chargés du contrôle sur le matériel de l’entreprise ;
• les règles relatives au contrôle des administrations de l’agence centrale des organismes de sécurité sociale (Acoss) et celles applicables au contrôle des administrateurs des caisses locales et de la caisse centrale de la MSA.

Focus sur le point de départ du délai de la majoration pour absence de mise en conformité

Dans le cadre d’un contrôle en matière de cotisations et contributions sociales, s’il est constaté que l’employeur ne s’est pas mis en conformité avec les observations notifiées par l’Urssaf lors d’un précédent contrôle, il s’expose à une majoration de 10 % du montant du redressement.

Cette majoration s’applique dès lors que les observations non respectées ont été notifiées moins de 6 ans avant la date de notification des nouvelles observations constatant le manquement aux mêmes obligations.

Désormais, il est prévu que ce délai de 6 ans court, selon le cas, à compter :

• soit de la date de la mise en demeure ;
• soit de la date de réception des observations ne conduisant pas à redressement, mais appelant la personne contrôlée à une mise en conformité en vue des périodes postérieures aux exercices contrôlés.

Ces précisions s’appliquent depuis le 14 avril 2023.

Focus sur l’arrêt du décompte des majorations de retard complémentaires

Lorsque l’employeur ne paye pas ses cotisations dans les délais légaux, il s’expose à l’application d’une majoration de retard égale à 5 % du montant des cotisations non réglées à la date prévue.

À cette majoration s’ajoute une majoration complémentaire de 0,2 % du montant des cotisations dues, par mois ou fraction de mois écoulé à compter de la date d’exigibilité des cotisations.

Désormais, il est prévu que cette majoration complémentaire n’est pas due pour la période comprise entre la date de la fin de la période contradictoire et celle de l’envoi de la mise en demeure, dès lors que cet envoi est réalisé plus de 2 mois après la fin de la période contradictoire.

En revanche, cet arrêt de décompte ne s’applique pas si l’employeur fait l’objet, au titre de la période contrôlée, d’une pénalité ou d’une majoration pour absence de mise en conformité, travail dissimulé, abus de droit ou obstacle à contrôle.

Pour les employeurs relevant du régime général, cette précision s’applique aux contrôles engagés par les Urssaf depuis le 1^er mai 2023.

Pour les employeurs relevant du régime agricole, ce délai s’appliquera à compter d’une date fixée par arrêté, et au plus tard au 1^er janvier 2024.

Plus de moyens pour moins de fraudes ! 

45 Mds€ ! C’est la somme récupérée grâce aux contrôles fiscaux entre 2017 et 2021 ! Conscient malgré tout que des fraudeurs passent entre les mailles du filet, le Gouvernement a décidé d’investir pour le resserrer…

Les objectifs

Tout d’abord, le Gouvernement souhaite augmenter de 25 % les contrôles fiscaux d’ici 2027, en visant plus particulièrement les « plus gros patrimoines » et les « plus grands groupes ». 

En parallèle, l’accompagnement des entreprises doit être poursuivi, avec un objectif de 8 500 PME et de 160 grands groupes d’ici 2027.

Pour rappel, cette procédure « d’accompagnement » permet aux entreprises d’obtenir de l’aide pour identifier et résoudre les problèmes rencontrés dans leurs opérations économiques et qui représentent un gros enjeu ou un risque élevé. Elles peuvent ainsi connaître la position de l’administration fiscale sur un sujet et corriger leurs déclarations sans risquer de sanction.

Ensuite, concernant les douanes, des objectifs chiffrés ont également été donnés à l’horizon 2025 :

• démanteler ou entraver 100 filières criminelles chaque année ; 
• relever 32 500 infractions en matière de e-commerce ;
• scanner la totalité des colis postaux venant de pays non européens ;
• réaliser 1 000 transmissions par Tracfin (le service de renseignement chargé de la lutte contre le blanchiment d'argent et le financement du terrorisme).

Les moyens

Le Gouvernement a annoncé un renforcement des effectifs pour le contrôle fiscal de 15 % d’ici 2027, ainsi qu’un doublement de ceux de la police fiscale d’ici 2025. 100 M€ devront également être investis dans les moyens de renseignement économique et financier.

Du côté des institutions, notons la création prochaine du Conseil de l’évaluation des fraudes. Comme son nom l’indique, il sera chargé de « s’assurer de la fiabilité des estimations produites » en matière de fraude. La DGFiP (Direction générale des finances publiques) devra ainsi évaluer, à partir de 2025, la fraude fiscale évitée et présenter un objectif annuel au Parlement. 

Un projet de loi, déposé le 13 avril 2023, a pour objet le renforcement des moyens en matière douanière. Pour le moment, il prévoit :

• la restauration des pouvoirs de la douane en matière de constatation des infractions sur le terrain, et de ses prérogatives d’investigation ;
• le renforcement de l’enquête douanière ;
• une expérimentation pour 3 ans d’un nouveau mode d’utilisation des données des lecteurs automatisés de plaques d’immatriculation (LAPI) ;
• un durcissement des réponses répressives.

Une cellule de renseignement fiscal doit également être créée au sein de la Direction nationale du renseignement et des enquêtes douanières (DNRED) pour rechercher et prévenir les fraudes fiscales les plus complexes et les plus graves.

Le Gouvernement veut aussi impulser un mouvement international en faveur de la transparence fiscale pour, à terme, disposer « d’une connaissance complète de la détention du patrimoine mondial ».

En outre, il souhaite renforcer « la capacité de l’administration à détecter et sanctionner les prix de transfert abusifs des multinationales ». Dans ce cadre, il est envisagé que :

• le seuil déclenchant l’obligation de présenter en permanence une documentation complète de la politique de prix de transfert soit abaissé ;
• cette documentation devienne opposable ;
• l’administration puisse bénéficier d’un délai de reprise plus important pour les transferts d’actifs incorporels ; 
• en contrepartie, le temps de traitement des demandes préalables en matière de prix de transfert (APP) soit diminué, grâce à un renfort des équipes sur ces dossiers.

Le Gouvernement veut également lutter contre les sociétés éphémères, c’est-à-dire les sociétés disparaissant avec l’argent récolté par leurs fraudes. Notons 2 mesures à ce propos :

• afin d’empêcher le détournement frauduleux de la transmission universelle de patrimoine (TUP), le délai d’opposition des créanciers à la dissolution de la société, aujourd’hui de 30 jours, sera doublé ;
• la liquidation amiable d’une société sera conditionnée à l’absence de dettes fiscales et / ou sociales.

Pour lutter contre les fraudes aux finances publiques les plus importantes, le service d’enquêtes judiciaires des finances (SEJF) sera transformé en Office National Anti-Fraude (ONAF) qui pourra s’autosaisir dans certains domaines.

Les sanctions

Le Gouvernement veut des sanctions plus exemplaires avec, notamment :

• des peines de travaux d’intérêt général ;
• la création d’un délit d’incitation à la fraude fiscale pour punir la mise à disposition de schémas de fraude (mise sur internet de « solutions » de fraude, commercialisation d’outils pour dissimuler les revenus, etc.) ;
• la création d’une sanction d’indignité fiscale, qui se traduirait par une privation temporaire des réductions et crédits d’impôts.

Le droit à l’erreur

Des équipes de la DGFiP seront dédiées à l’envoi de courriers de régularisation d’anomalies à faible enjeu et liées à des oublis ou erreurs. Ces courriers ont vocation à éviter le contrôle fiscal, en permettant la correction des erreurs en amont.

Il est également prévu que des intérêts moratoires soient payés au citoyen victime d’une erreur de l’administration fiscale, même sans réclamation.

Référents sécurité des entreprises ultramarines : formez-vous !

Pour rappel, l’employeur doit désigner un ou plusieurs salariés, dits « référents sécurité », pour s'occuper des activités de protection et de prévention des risques professionnels de l'entreprise.

Ces mêmes salariés sont chargés de l'information sur la prévention des risques naturels (inondations, mouvements de terrains, incendies de forêt, tempêtes, séismes, éruptions volcaniques, etc.) au sein des entreprises localisées en Guadeloupe, en Guyane, en Martinique, à Mayotte, à La Réunion, à Saint-Barthélemy, à Saint-Martin et à Saint-Pierre-et-Miquelon.

À cette fin, ils doivent suivre une formation spécifique en prévention des risques naturels, qui doit porter sur :

• la description des risques naturels majeurs auxquels sont exposés les travailleurs sur leur lieu de travail, ainsi que des conséquences prévisibles de leur réalisation pour les personnes, les biens et l'environnement ;
• les mesures de prévention de ces risques ;
• les mesures de protection et de sauvegarde, notamment les réflexes et comportements à tenir en cas de réalisation du risque.

Notez que cette formation doit être renouvelée et complétée aussi souvent que nécessaire pour prendre en compte l'évolution des risques ou des modalités de gestion des conséquences de leur réalisation.

Le référent sécurité doit ensuite relayer auprès de ses collègues les informations utiles à la prévention et à la gestion de la concrétisation du risque, notamment par des présentations théoriques, des exercices et des démonstrations.

À défaut de salarié compétent désigné, et sous réserve de consulter le comité social et économique (CSE) lorsqu’il existe, l’employeur peut faire appel à un intervenant extérieur notamment :

• le service de prévention et de santé au travail ;
• les caisses de sécurité sociale ;
• l’organisme professionnel de prévention du bâtiment et des travaux publics (OPPBTP) ;
• l'Agence nationale pour l'amélioration des conditions de travail (ANACT).

Ces nouveautés concernant la formation des référents sécurité des entreprises situées en outre-mer et leur rôle de relai auprès des autres salariés entrent en vigueur au 1er janvier 2024.