RGPD : un point sur l’évolution des violations de données personnelles en France

Adopté en 2016 et entré en application en 2018, le Règlement général sur la protection des données (RGPD) s’est imposé comme un texte majeur. Un texte qui, à l’époque, a suscité beaucoup de discussions et d’inquiétudes.

Mais un texte qui a néanmoins permis de faire prendre conscience au grand public de la valeur des données personnelles et des risques associés.

La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative chargée de la bonne application du RGPD en France a décidé de marquer les 5 ans du règlement en proposant un bilan chiffré des violations de données personnelles dont elle a eu connaissance durant cette période.

La Commission rappelle qu’on entend par violation de données la « perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Ainsi, entre mai 2018 et mai 2023, ce sont 17 483 violations de données qui ont été signalées à la CNIL.

Des signalements qui n’ont pas cessé de croître sur cette période, ce qui laisse entrevoir un nombre important d’atteintes aux données, mais également une meilleure connaissance et prise en compte du RGPD par le grand public.

La CNIL note également que de façon constante depuis 2018, les actes malveillants externes sont à l’origine de près de 55 % des violations de données signalées, alors que les erreurs humaines internes n’en représentent que 20 %. Quant aux violations d’origines inconnues, elles représentent une part importante des cas restants.

L’Observatoire des projets alimentaires territoriaux (PAT) : une mine d’informations !

La plateforme « France PAT », disponible ici, propose un certain nombre d’outils afin d’informer et d’initier de nouveaux projets alimentaires au niveau local. Vous trouverez sur le site :

• une cartographie interactive des projets alimentaires territoriaux (PAT) de France métropolitaine et des outre-mer ;
• une base de données comportant des indicateurs clés et des informations relatives aux actions et thématiques des PAT ;
• un annuaire des acteurs qui recense les parties prenantes des PAT ;
• une boite à outils pour accompagner les PAT dans leurs démarches ou simplement pour s’informer et se former ;
• des actualités.

Notez qu’au 16 janvier 2024, 435 PAT ont été recensés…

Location de biens immobiliers agricoles = activité agricole ?

Un groupement foncier agricole (GFA) loue 5 domaines viticoles à une société qui les exploite. Une activité de location immobilière, selon l’administration fiscale qui lui réclame le paiement de la cotisation sur la valeur ajoutée des entreprises (CVAE).

« Pourquoi ? », s’interroge le GFA, qui rappelle que les exploitants agricoles échappent, par principe, au paiement de la CVAE.

Sauf que pour bénéficier de cette exonération de CVAE, encore aurait-il fallu que le GFA exerce effectivement une activité agricole, rappelle l’administration. Ce qui n’est manifestement pas le cas ici : le GFA se contente de donner en location des domaines viticoles à une société qui en assume seule l’exploitation.

« Faux ! », maintient le GFA : l’activité de location immobilière intervient en amont de l’acte de production du vin. Dans ce cadre, elle constitue une étape indispensable au déroulement de l’activité agricole de production de raisin et donc, son prolongement immédiat.

Par conséquent, l’activité de location immobilière doit être regardée comme agricole.

En outre, le GFA est contraint de prendre à sa charge d’éventuels renouvellements ou replantations du vignoble existant, le cas échéant.

« Ce qui n’en fait pas pour autant un exploitant agricole ! », maintient l’administration, qui ne voit dans cet élément qu’une simple modalité financière résultant de l’activité de location d’immeubles à usage agricole.

Ce que confirme le juge : l’activité de location immobilière du GFA ne peut être regardée ni comme s'insérant dans le cycle biologique de production du raisin ni comme constituant son prolongement. Il ne s’agit donc pas d’une activité agricole, et la CVAE est bel et bien due !

Des normes pour protéger les données personnelles !

En matière de sécurité informatique, il existe 2 normes internationales :

• la norme ISO/IEC 27001, qui certifie un « système de management de la sécurité de l’information » ;
• la norme ISO/IEC 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

Pour compléter ces normes et afin de renforcer la protection des données personnelles, la CNIL recommande la lecture de 2 normes ISO (attention, l’accès est payant).

En premier lieu, la norme ISO/IEC 27701, qui a vu le jour en 2019 et définit :

• un « système de management de la protection de la vie privée » étendu pour inclure les particularités des traitements de données personnelles :
  • détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant) ;
  • gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes, désignation d’un responsable pour la protection de la vie privée ;
  • sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ;
  • conditions des transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ;
  • conformité aux exigences légales et réglementaires, etc. ;
• des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) :
  • principes fondamentaux : finalité de traitement, base légale, recueil et retrait du consentement, inventaire des traitements, évaluation des impacts pour la vie privée ;
  • droits des personnes : information, accès, rectification, suppression, décision automatisée ;
  • protection de la vie privée dès la conception et par défaut (privacy by design and by default) : minimisation, dé-identification et suppression des données, durée de conservation ;
  • contrats de sous-traitance, transferts et partage de données.

En complément, la CNIL recommande la lecture de la norme ISO/IEC 42001, qui a été publiée en décembre 2023, et qui définit un « système de management pour l'intelligence artificielle » destiné aux organismes qui fournissent ou utilisent des systèmes d’intelligence artificielle (IA).

Cette norme s’attache à décrire le processus pour gérer les préoccupations liées à la fiabilité des systèmes d'IA : sécurité, sûreté, équité, transparence, qualité des données et des systèmes tout au long du cycle de vie.

En outre, elle donne des mesures opérationnelles et des recommandations pour les mettre en œuvre.

« Pass’colo » : un soutien financier sous conditions

Le « Pass’colo » est un dispositif mis en place par l’État pour favoriser le départ en colonie de vacances des enfants durant l’année civile de leurs 11 ans (en cette année 2024, l’enfant doit donc être né en 2013).

Pour pouvoir bénéficier de cette aide, il faut choisir une colonie éligible au dispositif… dont la liste sera dévoilée le 15 avril 2024 !

Le montant de l’aide financière est ensuite calculé en fonction de votre quotient familial (QF), selon la grille suivante :

• QF mensuel du foyer inférieur ou égal à 200 € : 350 € ;
• QF mensuel du foyer compris entre 201 et 700 € : 300 € ;
• QF mensuel du foyer compris entre 701 et 1 200 € : 250 € ;
• QF mensuel du foyer compris entre 1 201 et 1 500 € inclus : 200 €.

Concrètement, l’aide sera directement déduite du prix du séjour. Il appartiendra ensuite aux organisateurs des colonies de demander le remboursement de la somme correspondant au « Pass’colo » à la Caisse nationale des allocations familiales dès la fin du séjour de l'enfant et au plus tard le 31 janvier de l'année suivante.

Notez que le Pass'colo ne peut être utilisé qu’une seule fois par enfant et seulement pendant les vacances scolaires. Toutes conditions remplies, il est cumulable avec les autres aides aux vacances.

Enfin, sachez qu’en cas de non-utilisation du Pass’colo l’année des 11 ans, il peut être reporté une fois, pour être mobilisé l’année des 12 ans de l’enfant.

Une revalorisation du RSA applicable depuis le 1^er avril 2024

Pour rappel, dans le cadre d’une saisie sur rémunération, la loi oblige à laisser à disposition du salarié une somme dite « absolument insaisissable ».

Cette fraction correspond au montant forfaitaire du revenu de solidarité active (RSA) pour un allocataire seul.

Et justement ! Le Gouvernement nous fait savoir que ce montant forfaitaire a fait l’objet d’une revalorisation à hauteur de 4,6 % (par rapport à 2023).

Ainsi, depuis le 1^er avril 2024, le montant forfaitaire du RSA pour une personne seule est de 635,71 €.

En conséquence, la part absolument insaisissable s’élève elle aussi désormais à 635,71 €, contre 607,75 € jusqu’alors.

Attention : si ce montant est revalorisé en France et dans les départements d’Outre-mer, notez qu’il diffère à Mayotte où il s’élève désormais à 317,86 €.

Notez que cette revalorisation à hauteur de 4,6 % concerne également d’autres prestations sociales, telles que la prime d’activité, l’allocation aux adultes handicapés ou encore l’allocation de solidarité spécifique…

Guichet d’aide 2024 = guichet d’aide 2023 (ou presque…)

Pour rappel, le guichet d’aide au paiement des factures d’électricité et de gaz apporte un soutien financier aux entreprises de taille intermédiaire (ETI) grandes consommatrices d’énergie particulièrement affectées par les conséquences économiques et financières de la guerre en Ukraine en raison de la hausse des coûts d’approvisionnement de l’électricité.

Éligibilité : une ETI…

Sont éligibles les personnes morales de droit privé qui :

• résident fiscalement en France ;
• emploient moins de 5 000 personnes et ont un chiffre d’affaires n’excédant pas 1,5 milliard d’€ ou un bilan n’excédant pas 2 milliards d’€ : ces conditions sont applicables au groupe auquel appartient, le cas échéant, la société ;
• sont créées au plus tard le 30 juin 2023 ;
• ont au moins un contrat de fourniture d’électricité en vigueur en 2024 signé ou renouvelé avant le 30 juin 2023.

Les associations sont, comme en 2023, éligibles au dispositif à condition d’être assujetties aux impôts commerciaux ou d’employer au moins un salarié.

Notez qu’il existe toujours des critères d’exclusion. Ainsi, les entreprises ne pourront pas se prévaloir du guichet d’aide si elles :

• bénéficient de l’amortisseur électricité ;
• exercent une activité d’établissement de crédits ou financier ou dans le secteur de l’énergie ;
• bénéficient déjà, au niveau du groupe, d’un montant d’aide :
  • supérieur à 2 250 000 € au titre de l’encadrement temporaire de crise et de transition ;
  • 280 000 € pour les entreprises exerçant dans le domaine de la production agricole primaire ;
  • 335 000 € pour les entreprises des secteurs de la pêche et de l’aquaculture ;
• font l’objet de sanctions adoptées par l’Union européenne ou si elles appartiennent à des personnes ainsi sanctionnées ;
• sont en procédure de sauvegarde, de redressement ou de liquidation judiciaire ;
• ont une dette fiscale ou sociale impayée au 30 septembre 2023, à l'exception de celles qui, à la date de dépôt de la demande d'aide, ont été réglées ou sont couvertes par un plan de règlement. Notez qu’il n'est pas tenu compte des dettes fiscales inférieures ou égales à 1 500 € ni de celles dont l'existence ou le montant font l'objet, au 1^er janvier 2024, d'un contentieux toujours en cours.

… grande consommatrice d’électricité

Ce dispositif reste centré sur les ETI grandes consommatrices d’énergie, c’est-à-dire que leurs dépenses d’énergie représentent :

• au moins 3 % soit du chiffre d'affaires réalisé respectivement les mêmes mois de la période de référence ou du chiffre d'affaires réalisé au cours du même mois de la période de référence ;
• au moins 3 % du chiffre d'affaires de la période de référence, ramené respectivement à la durée de la période éligible ou d'un mois.

Quelle aide ?

Le guichet d’aide pour 2024 fonctionne comme celui mis en place pour 2023 : la consommation d’énergie de l’ETI pour une période donnée est comparée à celle d’une période de référence. L’aide correspond à 50 % des surcoûts d’électricité par rapport à 300 € / MWh, à condition que l’excédent brut d'exploitation (EBE), au cours de la période éligible considérée, soit en diminution ou négatif par rapport à la période de référence.

Périodes de référence et périodes éligibles

Les périodes prises en référence sont déterminées en fonction de la date de création de l’ETI :

• du 1^er janvier 2021 au 31 décembre 2021 pour les entreprises créées au plus tard le 31 décembre 2020 ;
• du 1^er janvier 2022 au 31 décembre 2022 pour les entreprises créées entre le 1^er janvier 2021 et le 31 décembre 2021 ;
• du 1^er janvier 2023 au 31 décembre 2023 pour les entreprises créées entre le 1^er janvier 2022 et le 31 décembre 2022 ;
• du 1^er juillet 2023 au 31 décembre 2023 pour les entreprises créées entre le 1^er janvier 2023 et le 30 juin 2023.

Les périodes éligibles correspondent aux trimestres.

Dates de dépôt

Les ETI devront déposer leur dossier par voie dématérialisée selon le calendrier suivant :

• au titre des mois de janvier, février et mars 2024, entre le 15 avril 2024 et le 31 juillet 2024 ;
• au titre des mois d'avril, mai et juin 2024, entre le 15 juillet 2024 et le 31 octobre 2024 ;
• au titre des mois de juillet, août et septembre 2024, entre le 15 octobre 2024 et le 31 janvier 2025 ;
• au titre des mois d'octobre, novembre et décembre 2024, entre le 15 janvier 2025 et le 30 avril 2025 ;
• pour les régularisations des dépenses d'électricité au titre des mois de janvier à décembre 2024, entre le 15 janvier 2025 et le 30 septembre 2025.

IAG et TPE / PME : un besoin d’accompagnement…

Depuis quelques mois, l’intelligence artificielle générative (IAG) fait beaucoup de bruit, des experts attendant d’elle qu’elle aide les entreprises à gagner en productivité et à améliorer leurs performances.

Des gains qui se font attendre pour les TPE / PME… Une enquête menée par Bpifrance révèle, en effet, que seules 3 % en font un usage régulier et 12 % un usage occasionnel.

En outre, l’utilisation (régulière ou occasionnelle) varie fortement selon les secteurs :

• 24 % dans le secteur des services ;
• 12 % dans l’industrie ;
• 11 % pour le commerce ;
• 5 % dans les transports ;
• 4 % dans la construction.

Pourquoi ces chiffres sont-ils aussi bas ?

Les dirigeants qui ont participé à l’enquête ont fait part de leur difficulté à comprendre les usages qu'ils pourraient avoir de cette nouvelle technologie pour développer leur activité et ont souligné la nécessité de les aider à monter en compétences.

Parmi les craintes des dirigeants, il y a celle d’une mauvaise utilisation par leurs collaborateurs (partage de données confidentielles, manque de vérification des réponses données par les outils, etc.).

Pour autant, dans le même temps et selon une étude Ifop / Talan, 68 % des Français qui utilisent l’IAG dans le cadre professionnel ne le déclarent pas à leur supérieur. D’où la nécessité que les salariés et les dirigeants dialoguent sur ce sujet…

Une autre problématique évoquée est la difficulté à imaginer les cas d’usages au sein de l’entreprise. Selon la plupart des dirigeants interrogés, les usages de l’IAG sont cantonnés à des activités qui ne sont pas leur cœur de métier, comme :

• la recherche, la collecte et l’analyse de données ou d'informations ;
• la génération de contenus écrits divers : mails, comptes-rendus, reportings, formations, etc. ;
• la traduction ;
• la génération de contenus visuels divers : posts pour les réseaux sociaux, images, sites internet, etc.

Pour autant, il existe bel et bien des premiers cas d’usages pour les TPE / PME, dont l’enquête se fait l’écho :

• prospection commerciale : vente et génération de prospects, communication et marketing adapté par segment client, etc. ;
• assistance en programmation et codage ;
• relecture et vérification de conformité ;
• aide à la décision : production de reportings décisionnels, reportings de production, etc.

Plateformes de dématérialisation partenaires : des aménagements « temporaires »

Pour émettre, transmettre ou recevoir leurs factures électroniques, les entreprises peuvent choisir de recourir au portail public de facturation ou de passer par une autre plateforme de dématérialisation partenaire (PDP).

Pour pouvoir être qualifiée de PDP, la plateforme doit être immatriculée par l’administration fiscale. Pour obtenir cette immatriculation, l’opérateur de plateforme devra non seulement prouver qu’il respecte ses obligations fiscales (en termes de déclaration et de paiement), mais également déposer un dossier de candidature, par voie électronique, comprenant de nombreuses informations, comme :

• son numéro Siren pour les opérateurs établis en France ; pour les autres, un document équivalent à l’extrait d’immatriculation au registre du commerce et des sociétés de moins de 3 mois ;
• un document précisant les moyens mis en œuvre pour garantir la protection des données personnelles ;
• une attestation de certification ISO/IEC/27001 en cours de validité pour son système d’information ;
• une documentation technique décrivant les dispositifs d’authentification des utilisateurs, d’envoi et de réception des factures électroniques, etc.

Le calendrier de déploiement de la réforme de la facturation électronique ayant été modifié, certains aménagements relatifs à l’immatriculation des PDP viennent d’être publiés.

Ainsi, il est expressément prévu que pour les demandes déposées avant la mise à disposition de l’environnement de test du portail public de facturation, la PDP peut obtenir son numéro d’immatriculation sous réserve de produire ultérieurement les comptes-rendus de tests techniques.

Dans cette hypothèse, ces documents devront être fournis à l’administration dans un délai de 3 mois à compter de la mise à disposition de l’environnement de test.

Notez que cette mise à disposition sera rendue publique sur le site internet de l’administration. Elle en informera également les opérateurs de PDP concernés.

Une fois les comptes-rendus déposés, l’administration disposera d’un délai de 2 mois pour constater leur validité. Si ces documents ne permettent pas d’établir l’interopérabilité de la plateforme avec le portail public de facturation et une autre PDP, l’opérateur sera informé de l’expiration de la validité de son numéro d’immatriculation.

Cette décision prendra effet au terme d’un délai de 2 mois à compter de sa notification.

De même, l’opérateur se verra retirer son numéro d’immatriculation s’il ne produit pas les comptes-rendus de tests techniques dans le délai imparti. Là encore, cette décision prendra effet au terme d’un délai de 2 mois à compter de sa notification.

Pour finir, il est important de préciser que ce régime « transitoire » est applicable aux demandes d’immatriculation présentées avant le 27 mars 2024 et qui n’ont pas encore donné lieu à immatriculation.

TVA : c’est quoi un objet d’occasion ?

Lorsqu’il est question de TVA, certains biens bénéficient de règles particulières. C’est le cas, par exemple, des objets d’occasion.

Dans le cadre d’une mise à jour récente de sa documentation, l’administration fiscale vient de redéfinir ce qu’elle entend par « objet d’occasion ».

Selon elle, il s’agit d’un bien usagé ayant conservé les fonctionnalités qu’il possédait à l’état neuf et qui peut être réutilisé en l’état ou après réparation.

Au regard de la réglementation fiscale, sont donc des objets d’occasion :

• les meubles corporels qui peuvent être réutilisés en l’état ou après réparation, qui proviennent d’un autre bien dans lequel ils étaient incorporés ;
• sous conditions, les véhicules définitivement hors d’usage acquis par une entreprise et destinés à être vendus « pour pièces » ;
• les animaux vivants achetés à un particulier (distinct de l’éleveur) après qu’ils aient été dressés pour une utilisation spécifique.

TVA : c’est quoi une photographie d’art ?

Tout comme les objets d’occasion, les œuvres d’art bénéficient d’un régime spécifique en matière de TVA.

À ce titre les photographies peuvent, sous conditions, être assimilées à des œuvres d’art. Mais qu’est-ce qu’une « photographie d’art » ?

Selon l’administration fiscale, il s’agit des photographies prises par leur auteur, tirées par lui ou sous son contrôle, signées et numérotées dans la limite de 30 exemplaires (tous formats et supports confondus), à l’exclusion de tout autre critère.

Il n’appartiendra donc pas aux autorités d’apprécier le caractère artistique d’une photographie pour que celle-ci puisse être qualifiée de « photographie d’art » !

TVA : c’est quoi un objet de collection ?

Au sens de la réglementation communautaire, un « objet de collection » est un objet qui répond à 2 conditions cumulatives :

• il présente les qualités requises pour être admis au sein d’une collection : il peut s’agir d’un objet rare, d’un objet qui n’est pas normalement utilisé conformément à ce pour quoi il a été conçu, d’un objet d’une valeur élevée et hors du commerce habituel, etc. ;
• il présente un intérêt historique ou ethnographique.

La réglementation fiscale française indique que sont des objets de collection les biens d’occasion suivants :

• les timbres-poste ou analogues (entiers postaux, marques postales, etc.), les enveloppes premier jour, les timbres fiscaux ou analogues, oblitérés ou non, n'ayant pas cours ni destinés à avoir cours en France ;
• les timbres ayant cours ou valeur d'affranchissement en France et vendus à une valeur supérieure à leur valeur faciale ;
• les collections et spécimens pour collections de zoologie, de botanique, de minéralogie et d'anatomie ;
• les objets pour collections présentant un intérêt historique, archéologique, paléontologique ou ethnographique ;
• les collections et spécimens pour collections présentant un intérêt numismatique.

À l’occasion d’une mise à jour de sa base documentaire, l’administration fiscale indique clairement que les cartes à collectionner, comme les cartes « Pokémon », ne constituent pas des « objets de collection » dès lors qu’elles ne répondent pas aux critères établis par la réglementation communautaire.