Rénovation énergétique des logements : un DPE (enfin) revu et corrigé !

Pour mémoire, afin d’améliorer l’efficacité de la rénovation énergétique des logements, le diagnostic de performance énergétique (DPE) a fait l’objet d’une réforme en 2021 : il s’agissait de fixer un seuil minimum de performance énergétique pour définir ce qu’est un « logement décent ».

Ainsi, pour qu’un logement soit considéré comme décent, il doit :

• depuis le 1^er janvier 2023, avoir une consommation d’énergie exprimée en énergie finale, inférieure à 450 kWhEF/m²/an ;
• à partir du 1^er janvier 2025, atteindre au moins la classe F du DPE ;
• à partir du 1^er janvier 2028, atteindre au moins la classe E du DPE ;
• à partir du 1^er janvier 2034, atteindre au moins la classe D du DPE.

Cette réforme a toutefois eu une conséquence négative imprévue : les logements de petites surfaces se sont retrouvés moins bien classés que la moyenne par le DPE, notamment en raison d’une consommation d’eau chaude sanitaire ramenée au m² plus importante.

De nouveaux aménagements du DPE ont donc été annoncés, visant à corriger les seuils de DPE pour les rendre plus équitables pour les logements d’une surface inférieure à 40 m² qui devaient être définis dans un arrêté ministériel à venir.

Cet arrêté vient de paraître : il est consultable ici. Notez que ces aménagements seront applicables à compter du 1^er juillet 2024.

PAC : un sursis pour les aides découplées

Le versement des aides accordées par la Politique agricole commune (PAC) suppose que les agriculteurs effectuent une télédéclaration à l’occasion de campagnes annuelles.

Effectuer leur télédéclaration en dehors des dates limites de ces campagnes exposent les professionnels à des pénalités de retard.

La campagne de télédéclaration pour 2024 devait prendre fin au 15 mai 2024. Cependant, le ministère de l’Agriculture et de la Souveraineté alimentaire a décidé de jouer les prolongations.

Ainsi, pour les aides liées à la surface, également appelées « aides découplées », la date limite de dépôt des dossiers est portée au 24 mai 2024.

Les autres types d’aides ne sont pas concernés par ce report.

Information des consommateurs : quand le panier est plus léger…

L’inflation ayant eu un impact important sur les prix des produits de consommation commune, les consommateurs deviennent de plus en plus regardants sur le coût de leurs achats.

C’est dans ce contexte que s’est développée la « réduflation » ou « shrinkflation », une pratique consistant à commercialiser un produit ayant subi une réduction peu perceptible de sa quantité tout en maintenant son prix initial.

Cette méthode est critiquée puisqu’elle peut amener le consommateur à penser qu’il achète un produit qu’il connait à un prix habituel sans s’apercevoir que le coût en a augmenté.

C’est pourquoi le Gouvernement a décidé de prendre des mesures pour améliorer l’information des consommateurs quand ce genre de cas se présente.

À partir du 1^er juillet 2024, les acteurs de la distribution de produits de grande consommation qui exploitent un magasin dont la surface de vente est supérieure à 400 m² devront directement avertir les consommateurs lorsqu’un produit sera concerné par la réduflation.

Cette mention devra apparaitre dans une dimension similaire à celle de l’affichage du prix du produit et devra être maintenue pendant 2 mois à compter de la mise en vente du produit dans sa quantité réduite.

Report des congés payés : et en cas d’arrêt de travail « longue durée » ?

De manière générale, la loi dite « DDADUE » a institué une période minimale de report de 15 mois pour les congés payés acquis mais non pris en raison d’un arrêt maladie.

Cette période commence à courir pour les salariés qui reprennent le travail à compter de l’information par l’employeur du nombre de jours à solder et de la date butoir leur permettant de le faire.

Notez toutefois qu’un sort particulier est réservé aux arrêts maladie « longue durée », c’est-à-dire aux arrêts entraînant une suspension du contrat de travail depuis au moins 1 an depuis la fin de période d’acquisition des congés payés.

Dans ce cas de figure, les congés payés acquis au titre de la période d’arrêt de travail font également l’objet d’un report de 15 mois. Néanmoins, ce report débute à compter du terme de la période d’acquisition des congés.

En d’autres termes, dans le cas où le salarié est en arrêt maladie pendant toute la période de référence, le délai de report de 15 mois débutera à la fin de la période de référence au titre de laquelle les droits ont été acquis, et ce, même si le salarié est toujours en arrêt de travail.

Attention : si le salarié reprend le travail avant l’expiration de cette période de report de 15 mois, celle-ci est suspendue jusqu’à ce que l’employeur remplisse son obligation d’information sur les droits à congés payés .

En revanche, si le salarié reprend le travail postérieurement au terme de cette période de 15 mois, il perd définitivement ses droits à congés payés.

Enfin, notez que ces nouvelles règles spécifiques de report des congés payés sont, comme au cas général, d’application rétroactive à compter du 1^er décembre 2009.

Contrôle parental renforcé : de nouvelles obligations juridiques et techniques

Les fonctionnalités et caractéristiques techniques des dispositifs de contrôle parental intégrés aux objets connectés doivent :

• être accessibles sans surcoût ;
• être impérativement proposés dès la première mise en service de l’équipement terminal ;
• permettre le blocage de téléchargement de contenus ou d’applications dont le contenu est légalement interdit aux mineurs, ou susceptible de leur nuire ;
• au minimum, permettre de restreindre ou de bloquer l’accès à certains services en ligne, dès lors que les contenus proposés sont susceptibles de nuire à l’épanouissement physique, mental ou moral du mineur.

En outre, d’un point de vue technique, le dispositif de contrôle parental doit faire l’objet d’un certificat de conformité et d’une documentation technique transmise par le fournisseur du dispositif en question au fabricant de l’équipement informatique (en format papier ou électronique).

Enfin, le dispositif de contrôle parental ne doit pas entraîner de collecte ou de traitement de données à caractère personnel du mineur, à l’exception des données nécessaires au bon fonctionnement du contrôle parental.

Perte d’exploitation et responsabilité : il y a de l’eau dans le gaz !

L’exploitant d’un hypermarché confie à un constructeur la réalisation d’une nouvelle station-service. Dans les mois qui suivent son ouverture, de nombreux automobilistes se plaignent : une analyse est effectuée, et… surprise ! Une concentration d’eau anormalement élevée est retrouvée dans le carburant.

La société de construction intervient alors pour changer un joint défaillant dans la cuve, en précisant à l’exploitant de l’hypermarché qu'aucun contrôle n'est nécessaire avant la remise en fonctionnement de la station-service.

Pourtant, celle-ci va rester en arrêt plus de 4 ans, la teneur en eau du carburant étant toujours anormale…

C’est finalement l’intervention d’un tiers, qui va procéder à la vidange et au nettoyage de tous les compartiments de la cuve, qui va permettre sa remise en service.

Mécontent, l’exploitant de l’hypermarché, qui considère que le constructeur est responsable de cet arrêt, réclame une indemnisation pour l’ensemble des pertes subies pendant les 4 ans de fermeture de la station.

« Non ! », conteste le constructeur, qui rappelle, entre autres arguments, la présence d’une clause limitative de responsabilité jouant ici en sa faveur puisqu’elle exclut sa participation à d'éventuelles pertes d'exploitation si sa responsabilité décennale est engagée.

Sauf qu’une clause excluant ou limitant les responsabilités légales et les garanties prévues pour les constructeurs est illicite, réplique l’exploitant de l’hypermarché…

Ce que confirme le juge : la responsabilité de la société de construction étant bien engagée puisqu’elle a failli à son obligation de fournir une installation apte à délivrer de l'essence non polluée par de l'eau, l’exploitant de l’hypermarché a droit à une indemnisation !

Acte anormal de gestion : à prouver !

Une société par actions simplifiée (SAS) conclu une convention avec son associée majoritaire selon laquelle cette dernière lui met à disposition l’un de ses salariés pour exercer les fonctions de président de la SAS.

Dans ce cadre, l’associée majoritaire facture à la SAS le montant de la rémunération du salarié mis à disposition.

Une situation qui attire l’attention de l’administration fiscale, qui estime que cette prise en charge indirecte de la rémunération du salarié mis à disposition, qui n’a par ailleurs pas été approuvée par l’assemblée générale de la SAS, n’est pas consentie dans l’intérêt de la société et l’assimile, de fait, à un « acte anormal de gestion ». Elle rehausse donc le bénéfice imposable de la SAS.

Pour mémoire, un « acte anormal de gestion » est un acte par lequel une entreprise décide de s’appauvrir à des fins étrangères à son intérêt ce qui, au plan fiscal, est sanctionnable.

Dans cette affaire la SAS conteste la position de l’administration. Elle indique, en effet, que :

• les statuts de la société prévoient que le président est désigné par l’associée majoritaire, qui est également chargée d’en fixer la rémunération ;
• la convention de mise à disposition d’un salarié de l’associée majoritaire prévoit expressément le remboursement, par la SAS, de la rémunération du salarié concerné ;
• des salariés de l’associée majoritaire ont effectivement été détachés auprès de la SAS pour exercer exclusivement leur activité auprès de celle-ci ;
• les sommes facturées au titre de la prise en charge de la rémunération du salarié ne sont pas excessives.

Des arguments suffisants pour convaincre le juge. Puisque l’administration ne prouve pas que la SAS a commis un « acte anormal de gestion », le redressement fiscal est annulé.

Publication d’un outil pour accompagner la création des BCR

Les données à caractère personnel des Européens font l’objet d’une protection exigeante depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018.

Ce texte impose des obligations à toutes les entités traitant ces données sur le territoire de l’Union européenne (UE), mais également dans des États tiers, dès lors que les données traitées sont relatives à des résidents européens.

Ainsi, lorsqu’une entreprise souhaite transférer des données vers une entité établie dans un État tiers à l’UE, elle se doit de vérifier le niveau de protection garanti dans cet État.

S’il est jugé insuffisant, le transfert n’est pas pour autant impossible, mais des précautions supplémentaires doivent être mises en place par l’entreprise.

Une des méthodes pouvant être employées est celle des règles d’entreprise contraignantes (abrégées en BCR pour Binding Corporate Rules). Elle s’adresse aux groupes d’entreprises implantés dans plusieurs États et prend la forme d’un référentiel qui engage toutes les entreprises du groupe concernant le traitement des données personnelles.

Une fois approuvées par les autorités nationales et européennes, les BCR permettent aux entreprises du groupe de transférer entre elles des données personnelles, peu importe leur situation géographique.

La Commission nationale de l’informatique et des libertés (CNIL) propose un nouvel outil pour permettre aux entreprises souhaitant soumettre un dossier d’approbation de BCR d’évaluer la recevabilité et la maturité de leur projet.

Assemblées générales : une lettre qui change tout !

Une SARL a pour objet social l’exploitation de centres de remise en forme, de coaching, de consultation diététique, de vente de produits et accessoires forme et bien-être.

Elle est gérée par son associée majoritaire qui détient 51 % du capital, les 49 % restants étant détenus par 2 autres associés.

La gérante a pour projet de vendre le fonds de commerce. Or les statuts de la SARL prévoient que toute vente de fonds de commerce n’est possible qu’après accord des associés réunis en assemblée générale ordinaire (AGO).

Pour rappel, l’AGO est réunie au minimum une fois par an, notamment pour approuver les comptes de l’exercice écoulé. Comme les décisions sont prises à la majorité simple des associés, une AGO ne peut pas prendre de résolution qui modifie la structure de la société (objet social, capital, forme de la société, etc.).

Ces questions relèvent du domaine de l’assemblée générale extraordinaire (AGE). Puisque les points traités touchent la structure même de la société, les règles de majorité et de quorum (c’est-à-dire le nombre minimal d’associés devant être présents) sont plus strictes que celles d’une AGO.

Dans cette affaire, les statuts prévoient que la vente du fonds de commerce doit être autorisée dans le cadre d’une AGO. Autrement dit, une majorité simple des associés suffit pour obtenir l’autorisation.

La gérante convoque donc une AGO. Sauf que les 2 autres associés s’opposent au projet… Qu’à cela ne tienne, la gérante détient 51 % du capital social : elle obtient donc la majorité simple et l’accord pour vendre le fonds de commerce…

… un accord qui n’a aucun sens, pour les associés minoritaires, qui estiment que cette décision aurait dû être prise non pas en AGO, mais en AGE et donc, être votée à la majorité des ¾ des associés.

Pourquoi ? Parce que, toujours selon eux, cette vente aura pour conséquence de faire disparaître l’objet social de la société et nécessitera donc une modification des statuts de la SARL.

« Non ! », s’oppose la gérante. La vente d’un fonds de commerce relève explicitement, d’après les statuts, de la compétence d’une AGO. De plus, ce n’est pas parce que le fonds est vendu que la société ne pourra pas continuer son activité ! Il n’y a donc ni extinction de son objet social ni modification statutaire à prévoir.

« Vrai ! », tranche le juge en faveur de la gérante. Cette opération n’entraînant pas d’extinction de l’objet social de la SARL, la demande d’accord pour la vente du fonds relève bien de l’AGO (comme le prévoient les statuts) et non de l’AGE !

Violation des données personnelles : rappel de la marche à suivre

Pour permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données personnelles par des tiers, la CNIL a publié un exemple pratique à travers un vol de supports et détournements de services dans le cadre scolaire.

Au-delà de l’illustration pratique, voici la démarche à suivre pour tout entrepreneur victime d’une violation de données.

La violation des données doit être remontée au délégué à la protection des données, le cas échéant, qui doit être notifiée à la CNIL dans les 72 heures qui suivent sa découverte.

Une plainte auprès des forces de l’ordre est également à effectuer.

Les informations collectées à propos de la violation doivent être documentées, notamment à l’aide des prestataires informatiques.

C’est à cette étape que la violation des données auprès de la CNIL est formellement réalisée.

Cette notification est faite grâce aux procédures internes de gestion des incidents.

Il faut rétablir les données si vous disposez de sauvegarde ou d’une journalisation des actions effectuées sur l’espace victime d’une cyberattaque.

Dans certaines situations, il va falloir communiquer auprès des personnes concernées que leurs données personnelles font l’objet d’une violation.

Pour cela, il faut rédiger un message rappelant des informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.

Il faut réunir les collaborateurs pour leur faire part de la situation et les sensibiliser à la protection des données.

Le cas échéant, il faut faire une notification complémentaire auprès de la CNIL pour lui transmettre les nouveaux éléments : la mise à jour du nombre de personnes concernées par la violation, le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.

Une fois ces étapes achevées, il va falloir mettre en place des actions de bonnes pratiques (si ce n’est pas déjà fait) pour éviter que la situation se reproduise :

• sensibiliser régulièrement vos clients et vos collaborateurs aux bonnes pratiques ;
• mettre en place des procédures de gestion des incidents ;
• s’assurer qu’une journalisation fine des accès et des actions est mise en place sur vos applications ;
• proposer une authentification multi-facteur ;
• etc.