Transmission de documents à l’administration : des conséquences en matière de RGPD
Transmission de documents à l’administration : le point sur la notion de « tiers autorisé » et de « RGPD »
Qu’est-ce qu’un tiers autorisé ? Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une Loi l'y autorise expressément.
Exemples. Il peut s’agir de l’administration fiscale, des organismes de sécurité sociale, des administrations de la justice, de la police et de la gendarmerie ou encore des huissiers de justice.
Conditions requises. Pour qu’un « tiers autorisé » puisse obtenir les informations réclamées, il doit respecter les conditions suivantes :
- sa demande doit être écrite et préciser les références du texte législatif qui la justifie ;
- sa demande doit viser des personnes nommément identifiées ou identifiables (il ne peut pas avoir accès à l'intégralité d'un fichier) ;
- sa demande doit être ponctuelle ;
- sa demande doit préciser les catégories de données auxquelles il souhaite accéder.
Qu’est-ce que le RGPD ? Le Règlement Général sur la Protection des Données (RGPD) est le texte législatif, issue de l’Union Européenne (UE), qui protège les données à caractère personnel.
Transmission de documents à l’administration : la protection du RGPD
Tiers autorisé + RGPD : quelles conséquences ? Lorsqu’un « tiers autorisé » sollicite la communication d’un document, il va prendre connaissance de données à caractère personnel protégées par le RGPD. Dans ce cas, au regard de cette règlementation particulière, de quoi faut-il s’assurer ?
Réponse de la CNIL. Pour répondre à cette question, la CNIL a publié un guide pratique, consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf.
Quel objectif ? Au regard du RGPD, l’enjeu principal pour le responsable de traitement de l’entreprise recevant une demande d’un tiers autorisé est de veiller à se conformer aux demandes prévues par les dispositions légales et de garantir la sécurité des données à caractère personnel traitées.
Les étapes à respecter. Pour atteindre son objectif de protection des données à caractère personnel, le responsable de traitement doit respecter 3 étapes :
- étape 1 : identifier une demande de « tiers autorisé » ;
- étape 2 : vérifier la source et le périmètre de la demande ;
- étape 3 : veiller à sécuriser la communication.
Étape 1. 2 scenarii sont ici possibles :
- si la demande mentionne une référence légale ou réglementaire précise, alors le responsable de traitement doit vérifier la réalité des dispositions mentionnées ;
- si la demande ne mentionne aucune disposition particulière, alors le responsable de traitement doit demander au « tiers autorisé » s’il agit en application d’un texte et de préciser la référence légale afin que la vérification précitée puisse être menée.
Attention ! Si le responsable de traitement adresse des données à caractère personnel à un « tiers autorisé » sans qu’une telle vérification n’ait été réalisée, il s’expose à des sanctions de la CNIL.
Quelles sanctions ? Pour rappel, le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d'euros.
Étape 2. À cette étape, le responsable de traitement doit vérifier que l’émetteur de la demande de communication de documents provient effectivement de l’organisme mentionné dans la demande.
Exemples. Il s’agit, par exemple, pour le responsable de traitement d’effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration sur son site web (il ne faut pas utiliser le numéro fourni par le demandeur) ou de vérifier que l’adresse postale communiquée correspond à celle diffusée par le « tiers autorisé » sur son site web.
Bon à savoir. Si un responsable de traitement réalise a posteriori que des données à caractère personnel ont été transmises « à tort », il doit aussitôt envisager de notifier une violation de données à la CNIL.
Vérification juridique. À cette 2e étape, le responsable de traitement doit aussi vérifier que la demande est effectivement autorisée par la disposition légale invoquée. Ainsi, il doit s’assurer que :
- les informations transmises sont effectivement visées par les dispositions invoquées par le « tiers autorisé » ;
- les informations réunies, avant transmission, ne contiennent pas de données à caractère personnel « en trop », c’est-à-dire non demandées par le « tiers autorisé » dans sa requête.
Bon à savoir. Lorsque le « tiers autorisé » sollicite la communication des noms et prénoms des salariés d’un service, le responsable de traitement peut, par commodité, transmettre la copie de l’organigramme correspondant, à condition de masquer les informations « en trop » (photo, adresse de messagerie et numéro de téléphone).
Le point sur le secret professionnel. Le secret professionnel doit être opposé par le responsable de traitement seulement si aucune disposition ne prévoit sa levée. Mais, en pratique, il est rarement possible d’opposer le secret professionnel à un « tiers autorisé » comme l’administration fiscale, par exemple…
Étape 3. Dans cette dernière étape, va se poser la question de la détermination du canal de transmission des informations. Le responsable de traitement doit, à ce titre, privilégier dans la mesure du possible les modalités de communication offrant un niveau de sécurité adapté.
Conseil. Le choix par le « tiers autorisé » de modalités d’échanges jugées peu sûres par le responsable de traitement ne peut pas, en principe l’autoriser à s’opposer à la transmission. Il est cependant conseillé au responsable de traitement d’adresser cette observation à l’organisme tiers autorisé et de conserver tout échange et élément jugé utile sur ce point.
Transmission de documents à l’administration : quelles procédures ?
Un recueil des procédures « tiers autorisés ». La CNIL a rassemblé les procédures « tiers autorisés » en raison de leur fréquence d’utilisation dans un document consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/recueil-procedures-tiers-autorises.pdf.
Découpage du recueil. Le recueil est découpé selon le champ d’intervention du « tiers autorisé », à savoir :
- enquêtes juridictionnelles ;
- enquêtes administratives ;
- enquêtes économiques ;
- enquêtes sociales, travail et santé.
A retenir
La CNIL a publié à un guide à destination des responsables de traitement, dans les entreprises, lorsqu’ils font face à des demandes de communication de documents provenant de « tiers autorisés » (administration fiscale, Urssaf, etc.) Il a également publié un recueil rassemblant les procédures les plus souvent utilisées par ces « tiers autorisés ».
RGPD : comment réagir face à une demande d’un client ?
RGPD et droit d’accès : pour qui ?
Un droit d’accès… à quoi ? Le droit d’accès, prévu dans le cadre du RGPD, est le droit d’une personne physique d’accéder au traitement de ses données à caractère personnel par un professionnel ou une administration.
Concrètement. La personne va recevoir une confirmation écrite que ses données sont traitées et peut obtenir, si elle le souhaite, la copie de ses données traitées.
Qui demande ? La demande peut être formulée par un client à une entreprise, par un salarié à son employeur, par un particulier à l’administration, par un patient à son médecin, etc.
Mandat. La personne qui souhaite accéder à ses données personnelles qui font l’objet d’un traitement peut confier à une autre personne la tâche d’exercer son droit par un mandat.
À noter. La CNIL a récemment publié une recommandation relative à l’encadrement de la mission et du rôle des mandataires chargés d’exercer les droits des personnes dont les données personnelles sont traitées. Pour plus de détail, cliquez ici.
Le saviez-vous ?
Pour les mineurs et les majeurs faisant l’objet de mesures de protection, c’est la personne détentrice de l’autorité parentale ou le tuteur qui s’occupe des démarches d’accès aux données à caractère personnel.
Droit d’accès à ses données. Le droit d’accès d’une personne ne donne le droit d’accéder qu’à ses propres données. Ainsi, une personne ne peut pas demander à accéder aux données à caractère personnel de son conjoint, en l’absence de mandat.
RGPD et droit d’accès : la procédure à suivre
Un délai à respecter. Lorsqu’une personne demande à accéder à ses données à caractère personnel que vous collectez, vous avez 1 mois pour lui répondre.
Un délai prolongeable. Le délai peut être prolongé de 3 mois « compte tenu de la complexité et du nombre de demandes ». Toutefois, il faut en informer la personne qui demande à bénéficier de son droit d’accès (ou son mandataire) dans le délai d’1 mois.
Le saviez-vous ?
En matière de santé, la communication des données de santé doit être effective au plus tard dans les 8 jours qui suivent la formulation de la demande et au plus tôt dans les 48 heures.
Toutefois, si les données collectées datent de plus de 5 ans, le délai est porté à 2 mois.
Un coût ? Par principe, une demande d’accès aux données personnelles est gratuite. Toutefois, il est possible de prévoir des frais, dès lors que ceux-ci sont « raisonnables et basés sur les coûts administratifs », et notamment :
- pour toute copie supplémentaire demandée par le demandeur ;
- si la demande est manifestement infondée ou excessive.
Bon à savoir (1). S’il arrive que le demandeur se déplace dans votre local et si vous n’êtes pas en mesure de lui fournir ses données à caractère personnel, il faut lui remettre un avis de réception daté et signé.
Bon à savoir (2). Si vous envoyez les informations demandées par courrier, il est conseillé de le faire par lettre recommandée avec avis de réception.
Sous-traitant. Le cas échéant, n’hésitez pas à demander de l’aide à votre sous-traitant pour répondre à la demande d’accès d’un client, d’un salarié, etc.
Refuser le droit d’accès ? Vous avez le droit de refuser une demande d’accès si :
- les demandes sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
- les données ne sont plus conservées ou ont été effacées.
À noter. Un refus au droit d’accès doit toujours être motivé. En cas de refus, vous devez également informer le demandeur des voies et délais de recours dont il dispose.
Demande d’accès à vos données personnelles : pensez aux courriers types !
Le contexte. Pour accompagner les personnes désireuses d’interagir avec les organismes qui détiennent leurs données personnelles, la CNIL a mis en ligne divers courriers types aux fins de faciliter leur démarche.
Quels domaines ? Les courriers types proposés ont trait aux domaines suivants :
- internet ;
- travail ;
- banque-crédit ;
- droits ;
- commerce-publicité ;
- télécommunications ;
- santé ;
- transport ;
- logement.
Pour quelles actions ? Les démarches facilitées par ces modèles de courrier sont diverses et touchent notamment :
- à ne plus recevoir de publicités ;
- à exercer son droit d'accès à ses données personnelles ;
- à connaître les informations détenues par un établissement financier ;
- à accéder au fichier central des chèques (FCC) ;
- à rectifier des données incomplètes ou inexactes ;
- etc.
Pour accéder à ces courriers, cliquez ici.
A retenir
Lorsqu’une personne demande à accéder à ses données à caractère personnel, il faut lui répondre dans un délai d'un mois. Il n’est pas possible de demander à accéder aux données à caractère personnel d’un tiers sauf en présence d’un mandat ou d’une personne détentrice de l’autorité parentale ou d’un tuteur. Un refus du bénéfice de droit d’accès doit être refusé.
- Article L 1111-7 du Code de la santé publique
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
- Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
- www.cnil.fr
- Délibération n° 2021-070 du 27 mai 2021 portant adoption d’une recommandation relative à l’exercice des droits par l’intermédiaire d’un mandataire
- Actualité du ministère de l’Économie et des Finances du 15 novembre 2021 relative aux courriers types mis en ligne par la CNIL
Protection du secret des affaires : ce qu’il faut savoir
Protection du secret des affaires : focus sur l’information protégée
Secret des affaires = 3 critères. Pour qu’une information puisse bénéficier de la protection du secret des affaires, il faut que 3 critères cumulatifs soient remplis.
Critère 1. L’information ne doit pas être connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité.
Critère 2. L’information doit avoir une valeur commerciale, effective ou potentielle, du fait de son caractère secret.
Critère 3. L’information doit faire de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.
Détenteur légitime. Cette information ne peut être détenue que par un « détenteur légitime » qui se définit comme celui « qui en a le contrôle de façon licite ».
Obtention par une tierce personne. Outre un détenteur légitime, des personnes tierces peuvent obtenir une information protégée par le secret des affaires. La Loi définit des modes d’obtention licite et illicite d’un secret des affaires.
Obtention licite. Constituent des modes d'obtention licite d'un secret des affaires :
- une découverte ou une création indépendante ;
- l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret.
Obtention illicite. L'obtention d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime et qu'elle résulte :
- d'un accès non autorisé à tout document, objet, matériau, substance ou fichier numérique qui contient le secret ou dont il peut être déduit, ou bien d'une appropriation ou d'une copie non autorisée de ces éléments ;
- de tout autre comportement considéré, compte tenu des circonstances, comme déloyal et contraire aux usages en matière commerciale.
Utilisation et divulgation illicite. L'utilisation ou la divulgation d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime par une personne qui a obtenu le secret dans des conditions illicites ou qui agit en violation d'une obligation de ne pas divulguer le secret ou de limiter son utilisation.
Connaissance de l’illicéité (1). La production, l'offre ou la mise sur le marché, de même que l'importation, l'exportation ou le stockage à ces fins de tout produit résultant de manière significative d'une atteinte au secret des affaires sont également considérés comme une utilisation illicite lorsque la personne qui exerce ces activités savait, ou aurait dû savoir au regard des circonstances, que ce secret était utilisé de façon illicite.
Connaissance de l’illicéité (2). L'obtention, l'utilisation ou la divulgation d'un secret des affaires est aussi considérée comme illicite lorsque, au moment de l'obtention, de l'utilisation ou de la divulgation du secret, une personne savait, ou aurait dû savoir au regard des circonstances, que ce secret avait été obtenu, directement ou indirectement, d'une autre personne qui l'utilisait ou le divulguait de façon illicite.
Protection du secret des affaires : l’inopposabilité du secret des affaires
Inopposabilité du secret des affaires : prévue par un texte législatif. Le secret des affaires n'est pas opposable lorsque l'obtention, l'utilisation ou la divulgation du secret est requise ou autorisée par la réglementation de l'Union européenne, les traités ou accords internationaux en vigueur ou le droit français, notamment dans l'exercice des pouvoirs d'enquête, de contrôle, d'autorisation ou de sanction des autorités juridictionnelles ou administratives.
Inopposabilité du secret des affaires : en justice (1). A l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque son obtention, son utilisation ou sa divulgation est intervenue :
- pour exercer le droit à la liberté d'expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d'information telle que proclamée dans la Charte des droits fondamentaux de l'Union européenne ;
- pour révéler, dans le but de protéger l'intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l'exercice du droit d'alerte ;
- pour la protection d'un intérêt légitime reconnu par la réglementation de l'Union européenne ou le droit français.
Inopposabilité du secret des affaires : en justice (2). Lorsque, à l'occasion d’un litige, il est fait état ou est demandé la communication ou la production d'une pièce dont il est allégué par une partie ou un tiers ou dont il a été jugé qu'elle est de nature à porter atteinte à un secret des affaires, le juge peut, d'office ou à la demande d'une partie ou d'un tiers, si la protection de ce secret ne peut être assurée autrement et sans préjudice de l'exercice des droits de la défense :
- prendre connaissance seul de cette pièce et, s'il l'estime nécessaire, ordonner une expertise et solliciter l'avis, pour chacune des parties, d'une personne habilitée à l'assister ou la représenter, afin de décider s'il y a lieu d'appliquer des mesures de protection au titre du secret des affaires ;
- décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ;
- décider que les débats auront lieu et que la décision sera prononcée en chambre du conseil ;
- adapter la motivation de sa décision et les modalités de la publication de celle-ci aux nécessités de la protection du secret des affaires.
Inopposabilité du secret des affaires : en justice (3). Les personnes ayant eu accès à une pièce protégée par le secret des affaires au cours d’un litige sont tenues par une obligation de confidentialité qui perdure à l’issue de la procédure (sauf décision judiciaire contraire).
Inopposabilité du secret des affaires : lors d’un conflit avec un salarié. À l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque :
- l'obtention du secret des affaires est intervenue dans le cadre de l'exercice du droit à l'information et à la consultation des salariés ou de leurs représentants ;
- la divulgation du secret des affaires par des salariés à leurs représentants est intervenue dans le cadre de l'exercice légitime par ces derniers de leurs fonctions, pour autant que cette divulgation ait été nécessaire à cet exercice.
Le saviez-vous ?
L'information ainsi obtenue ou divulguée demeure protégée au titre du secret des affaires à l'égard des personnes autres que les salariés ou leurs représentants qui en ont eu connaissance.
À retenir
La Loi a instauré une protection du secret des affaires pour que les entreprises puissent protéger les informations sensibles qui sont en leur possession. Ces informations seront protégées par le secret des affaires si elles remplissent les 3 critères édictés par la Loi.
Atteinte à la protection du secret des affaires : les mesures à adopter pour se protéger
Atteinte à la protection des affaires : comment réagir ?
Ça arrive… Il peut arriver qu’une entreprise doive faire face à une atteinte à l’une de ses informations qu’elle estime protégée par le secret des affaires. Dans ce cas, il existe des mesures à prendre pour qu’elle puisse défendre ses intérêts.
Que l’atteinte au secret des affaires soit interne ou externe… La 1re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés.
Faites cesser l’atteinte ! Il faut saisir rapidement le juge pour faire cesser l’atteinte. Le juge peut alors prescrire, y compris sous astreinte, toute mesure proportionnée de nature à empêcher ou à faire cesser une l’atteinte. Il peut notamment :
- interdire la réalisation ou la poursuite des actes d'utilisation ou de divulgation d'un secret des affaires ;
- interdire les actes de production, d'offre, de mise sur le marché ou d'utilisation des produits soupçonnés de résulter d'une atteinte significative à un secret des affaires, ou d'importation, d'exportation ou de stockage de tels produits à ces fins ;
- ordonner la saisie ou la remise entre les mains d'un tiers de tels produits, y compris de produits importés, de façon à empêcher leur entrée ou leur circulation sur le marché.
À noter. Lorsque le juge limite l’une des mesures précitées dans le temps, il faut que cette limite soit suffisante pour éliminer tout avantage commercial ou économique que l'auteur de l'atteinte au secret des affaires aurait pu tirer de l'obtention, de l'utilisation ou de la divulgation illicite du secret des affaires.
Un coût. Sauf circonstances particulières et sans préjudice des dommages-intérêts qui pourraient être réclamés, les mesures précitées sont ordonnées aux frais de l'auteur de l'atteinte.
Versement d’une provision. Le juge peut conditionner la mise en œuvre des mesures précitées au versement d’une somme d’argent par l’entreprise qui se dit victime d’une atteinte au secret des affaires. Cette somme vise à assurer l'indemnisation du préjudice éventuellement subi par la personne accusée à tort ou par un tiers touché par ces mesures, si l’action en justice est par la suite jugée non fondée.
Et en matière administrative ? Le juge des référés en matière administrative peut être saisi afin de prévenir ou faire cesser une atteinte au secret des affaires. Il peut ordonner en urgence des mesures provisoires (listées ci-dessus), et peut assortir celles-ci d’une « astreinte », c’est-à-dire une condamnation pécuniaire dont le montant augmente en fonction du nombre de jours de retard d’exécution.
Le saviez-vous ?
Le cas échéant, le juge peut parfois autoriser la poursuite de l'utilisation illicite alléguée d'un secret des affaires, à la condition que la personne accusée d’atteinte au secret des affaires verse une garantie destinée à assurer l'indemnisation de l’entreprise qui s’estime victime.
Atteinte au secret des affaires : les mesures procédurales
Des pièces protégées placées sous séquestre. Le juge a la possibilité d’ordonner d'office le placement sous séquestre provisoire des pièces demandées afin d'assurer la protection du secret des affaires.
Faire des copies des pièces protégées ? Au nom de la protection du secret des affaires, lorsque le juge restreint l'accès des pièces et autres documents utiles au déroulé de la procédure aux seules personnes habilitées à assister ou représenter les parties, il peut également décider que ces personnes ne peuvent pas en faire de copie ou de reproduction, sauf accord du détenteur de la pièce.
À noter. A peine d'irrecevabilité, la partie ou le tiers à la procédure qui invoque la protection du secret des affaires pour une pièce dont la communication ou la production est demandée remet au juge, dans le délai fixé par celui-ci :
- la version confidentielle intégrale de cette pièce ;
- une version non confidentielle ou un résumé ;
- un mémoire précisant, pour chaque information ou partie de la pièce en cause, les motifs qui lui confèrent le caractère d'un secret des affaires.
Produire une pièce intégralement. Le juge peut ordonner la communication ou la production de la pièce dans sa version intégrale lorsque celle-ci est nécessaire à la solution du litige, alors même qu'elle est susceptible de porter atteinte à un secret des affaires. Dans ce cas, le juge doit désigner la ou les personne(s) pouvant avoir accès à la pièce dans sa version intégrale. Lorsqu'une des parties est une société, il doit désigner, après avoir recueilli son avis, la ou les personne(s) physique(s) pouvant, outre les personnes habilitées à assister ou représenter les parties, avoir accès à la pièce.
Le jugement : une publication occultée ? Une version non confidentielle de la décision, dans laquelle sont occultées les informations couvertes par le secret des affaires, peut être remise aux tiers et mise à la disposition du public sous forme électronique.
Publication de la sanction. Le juge peut ordonner que la décision judiciaire soit publiée (intégralement ou par extraits) dans des journaux ou sur des sites Internet, selon des modalités précisées dans cette décision. Cette publication se fait au frais de l’auteur de l’atteinte.
Procédure abusive. Lorsque la procédure lancée par une personne qui s’estime victime d’atteinte au secret des affaires est manifestement abusive, celle-ci peut être condamnée au paiement d'une amende dont le montant ne peut être supérieur à 20 % du montant de la demande de dommages-intérêts. En l'absence de demande de dommages et intérêts, le montant de l'amende ne peut excéder 60 000 €.
5 ans ! Les actions relatives à une atteinte au secret des affaires sont prescrites par 5 ans à compter des faits qui en sont la cause. La personne qui porte atteinte au secret des affaires engage, en outre, sa responsabilité civile.
Atteinte au secret des affaires : en cas d’atteinte interne
Ça arrive aussi… Dans l’hypothèse où l’atteinte au secret des affaires provient de l’intérieur de l’entreprise, le dirigeant va devoir constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.
Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime d’une atteinte au secret des affaires, le dirigeant doit réagir très rapidement, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).
Attention ! Le dossier doit être constitué rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête est menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.
Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable à un éventuel licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.
À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourrez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.
Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.
=> Pour en savoir plus, consultez notre fiche « Un salarié commet une faute : qualifier la faute »
Lanceurs d’alerte. Lorsque l’atteinte à un secret des affaires provient d’un collaborateur, il faut être vigilant car le juge peut considérer, par la suite, que ce collaborateur est protégé par la réglementation des lanceurs d’alerte.
=> Pour en savoir plus, consultez notre fiche « Lanceurs d’alerte : ce qu’il faut savoir »
À retenir
Lorsqu’une entreprise estime qu’elle est victime d’une atteinte au secret des affaires, elle doit réagir rapidement : elle peut notamment faire appel au juge pour que ce dernier prenne des mesures concrètes pour faire cesser l’atteinte au secret des affaires.
- Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires
- Articles L 1132-1, L 1132-2, L 1152-2 et L 1153-2 du Code du travail
- Décret n° 2018-1126 du 11 décembre 2018 relatif à la protection du secret des affaires
- Décret n° 2019-1502 du 30 décembre 2019 portant application du titre III de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice et autres mesures relatives à la procédure contentieuse administrative (saisine du juge des référés en matière administrative)
Gestion des données personnelles : un guide pratique pour les PME
RGPD : un guide pratique publié par la CNIL
Un guide pratique pour les PME… Le guide pratique publié par la CNIL vise à expliquer en des termes simples le contenu du règlement général sur la protection des données (RGPD) et les nouvelles obligations qui en découlent et que vous devez respecter depuis le 25 mai 2018.
… identifiant les grandes étapes pour vous protéger. Ce guide pratique a identifié plusieurs grandes étapes, que vous devez respecter, afin d’être en règle vis-à-vis de la nouvelle réglementation relative à la protection des données personnelles.
6 parties. Ce guide comporte 6 parties dont les intitulés sont les suivants :
- « Pourquoi ce nouveau règlement ? »
- « Quels sont les 6 avantages pour votre PME ? »
- « Données personnelles, traitements de données : de quoi parle-t-on ? »
- « Comment passer à l’action ? »
- « La sous-traitance »
- « Traitements de données à risques : êtes-vous concerné ? »
=> Consultez le guide pratique de sensibilisation au RGPD pour les PME
RGPD : les grandes étapes identifiées par la CNIL
Les origines du RGPD. Dans un 1er temps, la CNIL explique pourquoi la réglementation a été modifiée. L’objectif est double :
- harmoniser les règles européennes afin d’offrir un cadre juridique unique aux professionnels ;
- mettre fin à la distorsion de concurrence désavantageant parfois les entreprises européennes.
Une exception française ? La CNIL rappelle ensuite qu’il n’existe pas d’exception au RGPD pour les PME françaises. Toutefois, selon leur activité, elles seront plus ou moins impactées par la nouvelle réglementation.
Qui est concerné par le RGPD ? Retenez que le RGPD met sur le même pied d’égalité les entreprises établies au sein de l’UE et celles basées hors de l’UE (dès lors que l’activité de ces entreprises cible des résidents européens).
6 avantages pour votre PME. La CNIL a identifié 6 avantages créés par le RGPD pour votre PME, à savoir :
- renforcer le lien de confiance à votre égard (respecter le RGPD permet de valoriser votre image d’entreprise sérieuse et responsable et d’améliorer votre image de marque) ;
- améliorer votre efficacité commerciale (vos fichiers prospects et clients seront à jour, vous allez donc gagner en efficacité et en productivité) ;
- mieux gérer votre entreprise (la tenue à jour de vos fichiers va vous permettre d’optimiser vos investissements) ;
- améliorer la sécurité des données de votre entreprise (les données personnelles doivent faire l’objet de mesures de sécurité particulières) ;
- rassurer vos clients et vos fournisseurs et ainsi développer votre activité (vos clients et vos fournisseurs seront rassurés si vous respectez le RGPD : vous aurez ainsi un avantage concurrentiel) ;
- créer de nouveaux services (la création de nouveaux droits par le RGPD, comme le droit à la portabilité des données, va permettre de créer de nouveaux services).
Données personnelles. Ensuite, le guide édité par la CNIL explique ce qu’est une donnée personnelle : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».
Exemple.À titre d’illustration, la CNIL donne l’exemple suivant : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achat, est considérée comme un traitement de données personnelles donnant lieu au respect du RGPD.
Traitement de données personnelles. Il peut s’agir de la tenue d’un fichier clients, d’une collecte de coordonnées de prospects via un questionnaire, d’une mise à jour d’un fichier de fournisseurs, etc.
Le saviez-vous ?
La CNIL rappelle dans ce guide qu’un traitement de données personnelles n’est pas nécessairement informatisé. Le papier est également concerné par le RGPD !
Vos actions. La CNIL a identifié 4 actions principales que vous devez mener pour entamer votre mise en conformité au RGPD, à savoir :
- recensez vos fichiers ;
- faites le tri dans vos fichiers ;
- respectez les droits des personnes (droit à la portabilité des données, droit d’accès, etc.) ;
- sécurisez vos données.
Conseil. Dans son guide pratique, la CNIL conseille de demander à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot de passe » chaque année. Si ce taux est faible ou nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante.
Évaluez votre niveau de sécurité. Il faut ici vous poser quelques questions, comme par exemple :
- les comptes utilisateurs sont-ils protégés par des mots de passe suffisamment complexes ?
- les accès aux locaux sont-ils sécurisés ?
- avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
Traitement de données à risques : êtes-vous concerné ? 8 traitements de données à risques font l’objet de dispositions spécifiques. Il s’agit de ceux ayant pour objet ou pour effet :
- l’évaluation d’aspects personnels ou la notation d’une personne (le scoring financier, par exemple) ;
- une prise de décision automatisée ;
- la surveillance systématique de personnes (la télésurveillance, par exemple) ;
- le traitement de données sensibles (la santé ou la biométrie, par exemple) ;
- le traitement de données concernant des personnes vulnérables (les mineurs, par exemple) ;
- le traitement à grande échelle de données personnelles ;
- le croisement d’ensembles de données ;
- l’exclusion du bénéfice d’un droit, d’un service ou d’un contrat.
Attention ! Pour la CNIL, si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez mener une analyse d’impact, avant de commencer les opérations de traitement.
Le point sur la sous-traitance. Un sous-traitant sera, par exemple, un hébergeur de données : ce dernier doit proposer à ses clients de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée convenue avec vous. Le sous-traitant est tenu d’une obligation de conseil à l’égard de ses clients. Par exemple, il doit insister auprès d’eux pour les mises à jour de logiciel. Vous devez impérativement signer un contrat avec votre sous-traitant. Sachez que des exemples de clauses sont disponibles sur le site de la CNIL (https://www.cnil.fr/professionnel).
À retenir
La CNIL a mis en ligne, sur son site (www.cnil.fr), un guide pratique de sensibilisation au RGPD à destination des PME. Il identifie et explicite les grandes étapes pour que les PME protègent les données personnelles qu’elles sont amenées à collecter.
Véhicules connectés et données personnelles : ce qu’il faut savoir
Véhicules connectés : de quelles données personnelles parle-t-on ?
Des données personnelles… Lorsqu’une personne utilise des services en ligne, son activité est associée à des identifiants en ligne (adresses IP, cookies, etc.). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.
… dans les véhicules connectés. Ces données personnelles peuvent provenir de l’utilisation d’une voiture connectée. Ces données peuvent notamment concerner :
- les données « client » : nom, prénom, adresse, numéro de téléphone, mail, etc.) ;
- le numéro de série du véhicule ou tout identifiant unique du véhicule ou d’une pièce (par exemple, le numéro de la plaque d’immatriculation) ;
- les données de géolocalisation ;
- les données techniques liées à l’état du véhicule et de ses pièces ;
- les données biométriques du conducteur ;
- les données liées à l’utilisation du véhicule par le conducteur ou les occupants (par exemple, les données relatives au style de conduite, au kilométrage, à la vie à bord, etc.).
Véhicules connectés… à quoi ? Un véhicule connecté est un véhicule qui communique avec des applications mobiles, d’autres véhicules, etc.
Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.
Véhicules connectés et données personnelles : 3 scénarii à connaître !
3 scenarii. Les professionnels concernés par la technologie des véhicules connectés (constructeurs, assurances, télécoms, etc.) et la CNIL ont élaboré 3 scenarii qui correspondent aux 3 hypothèses qui peuvent être rencontrées en pratique. Ainsi, chaque professionnel pourra déterminer quelles sont ses obligations en matière de collecte ou de conservation des données personnelles.
Scenario 1 : « In/In ». Dans ce scenario, les données collectées restent sous la maîtrise unique du conducteur et ne sortent pas du véhicule. Les entreprises ne sont normalement pas soumises aux obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario « In/In ». Dans ce scenario, 4 finalités sont notamment recherchées, à savoir :
- l’amélioration de l’expérience de conduite ou de la vie à bord (par exemple, le réglage automatique des sièges en fonction de la taille du conducteur) ;
- l’amélioration de la conduite d’un point de vue « sécurité routière » et maintenance préventive (signal sonore ou vibration en cas de dépassement sans clignotant ou alerte sur l’état des plaquettes de frein) ;
- l’assistance automatisée à la conduite (régulation de vitesse adaptive, stationnement automatique, freinage d’urgence automatique, etc.) ;
- le déverrouillage, démarrage et activation de certaines commandes du véhicule grâce aux données biométriques du conducteur.
Scenario 2 : « In/Out ». Ce scenario couvre les situations dans lesquelles les données collectées sont transmises aux fournisseurs de services. Ici, un service fonctionne à distance mais n’entraîne pas d’action automatique dans le véhicule. Les entreprises doivent ici respecter les obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario « In/Out ». Dans ce scenario, 5 finalités sont notamment recherchées, à savoir :
- l’optimisation de modèles et l’amélioration du produit (un fournisseur établit des statistiques sur les paramètres de fonctionnement du véhicule ou l’état d’usure des pièces) ;
- l’étude d’accidentologie (le conducteur participe à des études d’accidentologie qui visent à mieux comprendre les causes des accidents de la route) ;
- l’exploitation commerciale des données du véhicule (par exemple, un contrat « pay as you drive » peut être proposé par les assureurs) ;
- « l’e-call » (en cas d’accident grave, le véhicule déclenche automatiquement un appel vers le 112) ;
- la lutte contre le vol (en cas de vol, la géolocalisation permet de retrouver le véhicule).
Scenario 3 : « In/Out/In ». Ce scenario couvre les cas dans lesquels les données collectées sont transmises au fournisseur de services qui peut alors déclencher à distance une action automatique dans le véhicule. Les entreprises doivent ici respecter les obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario 3 : « In/Out/In ». Dans ce scenario, 2 finalités sont notamment recherchées, à savoir :
- la maintenance à distance (alerte sur l’usage des freins ou rappel de la date de contrôle technique) ;
- l’amélioration de l’expérience de conduite (infotrafic dynamique avec envoi d’un nouveau parcours suite à un incident de route, par exemple).
Le saviez-vous ?
Pour en savoir plus sur ces scenarii et les obligations qu’ils impliquent, n’hésitez pas à vous rendre le site web www.cnil.fr.
À retenir
La CNIL a publié un pack de conformité « véhicules connectés et données personnelles » qui permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données. Ce pack a identifié 3 scenarii que peuvent rencontrer les professionnels du secteur.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- www.cnil.fr
Arnaque au président : comment se protéger ?
Escroquerie aux faux ordres de virement : un mode opératoire identique
Une multiplication de cas d’escroqueries… Depuis quelques années, le nombre d’entreprises victimes d’escroquerie aux faux ordres de virement augmente. La technique des fraudeurs repose toujours sur le même principe : le « social engineering ». C’est une méthode d’escroquerie qui vise à soutirer des informations ou de l’argent sans que la victime ne s’en rende compte.
Quel est mode opératoire des escrocs ? Appliquée à l’escroquerie aux faux ordres de virement, cette méthode prend la forme suivante : l’escroc contacte l’entreprise, souvent une entreprise de grande taille et généralement la personne qui s’occupe de la comptabilité, et se faisant passer pour une personne à haute responsabilité (souvent le président de la société). Une fois la confiance instaurée, l’escroc va demander que soit réalisé un virement international non planifié. Ce virement doit alors être effectué rapidement et confidentiellement.
Typologies d’escroquerie. L’escroquerie aux faux ordres de virement recouvre plusieurs types d’escroquerie, à savoir :
- l’arnaque au président : l’escroc se fait passer pour le président de la société ;
- l’arnaque au « changement de RIB », également appelée « fraude au fournisseur » : l’escroc s’adresse aux services de comptabilité en se faisant passer pour un fournisseur ;
- l’arnaque au faux technicien : l’escroc se fait passer pour un technicien informatique effectuant de prétendues opérations de maintenance ;
- la fraude au faux ministre : l’escroc se fait passer pour un ministre et cherche à convaincre la victime de transférer des fonds à l’étranger prétendument pour lutter contre le terrorisme.
Escroquerie aux faux ordres de virement : protéger son entreprise
Des réflexes sont à adopter ! Pour ne pas être victime d’une escroquerie aux faux ordres de virement ou tout du moins réduire les risques, il existe 2 réflexes à adopter.
Formez vos collaborateurs ! La 1re chose à faire est de former vos collaborateurs : alertez-les sur l’importance de ne pas divulguer d’informations concernant le fonctionnement de l’entreprise et sur la nécessité de faire attention sur les réseaux sociaux.
Instaurez des procédures strictes ! Le 2d réflexe consiste à mettre en place des procédures de vérification et de signatures multiples pour les paiements internationaux. Il est également recommandé de mettre à jour régulièrement le système de sécurité informatique.
Le saviez-vous ?
La vigilance doit être accrue en période de congés scolaires, de jours fériés, les vendredis soir et les week-ends. Ce sont, en effet, à ces périodes que les escrocs agissent généralement.
Faire face à une tentative d’escroquerie. Si votre collaborateur est contacté par une personne qui le presse d’effectuer un virement inhabituel, voici le conseil qu’il faut lui donner : il doit en référer immédiatement à sa hiérarchie. Au moindre doute, il est également conseillé de prendre contact avec l’interlocuteur habituel pour vérifier que l’ordre émane bien de lui.
Vous êtes victime d’escroquerie. Identifiez immédiatement les virements litigieux et si c’est possible, demandez le blocage du virement frauduleux. Dans tous les cas, déposez une plainte auprès des forces de l’ordre et constituez-vous un dossier de preuve le plus conséquent possible.
À retenir
Le nombre d’escroquerie aux faux ordres de virement est en augmentation constante. Le principe de ces escroqueries repose généralement sur le même principe : acquérir la confiance de la victime pour lui demander d’effectuer un virement urgent.
Pour réduire les risques d’escroquerie, mettez en places des mesures strictes et formez vos collaborateurs !
« Cookies » : le point sur la réglementation
Cookies : de quoi parle-t-on ?
Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».
Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».
3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :
- que l’internaute soit informé de la finalité des « cookies » ;
- qu’il consente à l’activation des « cookies » ;
- que l’internaute puisse refuser l’activation des « cookies ».
Le saviez-vous ?
La réglementation des « cookies » vaut aussi bien pour les ordinateurs que pour les téléphones, les tablettes et les consoles de jeux connectées à Internet.
Cookies : recueillir le consentement de l’internaute
Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.
Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :
- de la finalité précise des « cookies » ;
- de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;
Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).
À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».
Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».
Le saviez-vous ?
L’internaute doit toujours avoir la possibilité de refuser les « cookies ».
Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.
Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.
Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :
- les « cookies » liés aux opérations relatives à la publicité ;
- les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
- les « cookies » de mesures d’audience.
Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :
- les « cookies » identifiant de session ;
- les « cookies » d’authentification ;
- certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.
La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.
Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :
- l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
- le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
- le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
- lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?
Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.
Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :
- informer les responsables de traitement de données de leurs droits et obligations ;
- veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
- prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
- prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.
Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.
Cookies : 2 situations à distinguer !
2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.
Cas 1. Dans cette 1re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.
Cas 2. Dans cette 2de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.
Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.
Cookies : de l’importance du design
Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :
- les bannières neutres ;
- les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
- les bannières « bright patterns » qui encouragent la réflexion de l’internaute.
Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles.
Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :
- 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
- 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
- 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).
Cookies : de l’usage par l’écosystème publicitaire
Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.
L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
À retenir
Pour activer les « cookies », il faut, au préalable, recueillir le consentement de l’internaute. Cette obligation légale prend la forme d’un bandeau qui s’affiche sur son écran. Notez que lorsqu’un tiers active des « cookies » sur un site pour son propre usage, il est considéré comme étant celui qui est tenu par les obligations légales relatives aux « cookies ».
- www.cnil.fr
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- Arrêt du Conseil d’Etat, du 6 juin 2018, n° 412589 (l’opposition au dépôt de « cookies » doit être efficace)
- Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs)
- Arrêt du Conseil d’Etat, du 16 octobre 2019, n° 433069
- Arrêt de la Cour de justice de l’Union européenne, du 1er octobre 2019, n° 125/19
- Arrêt du Conseil d’Etat du 19 juin 2020, n°434684
- Actualité de la Cnil du 1er octobre 2020 (CNIL et lignes directrices)
- Arrêt du Conseil d’Etat du 4 mars 2021, n° 449212 (sanction de la CNIL envers un moteur de recherche)
- Communiqué de presse de la CNIL du 2 avril 2021 (rappel de la CNIL, précision sur les « cookie wall » et annonce du renforcement des contrôles)
- Communiqué de presse de la CNIL du 31 mai 2021 (cookies wall et monétisation des données personnelles)
- Communiqué de presse de la CNIL du 16 mai 2022 (cookie walls et critères d’évaluation de leur légalité)
- Publication de la CNIL du 17 janvier 2023 (violation d’une obligation de la loi Informatique et Libertés et sanction de 3 M€)
- Publication de la CNIL du 18 janvier 2023 : « Le CEPD adopte le rapport final de la “task force” dédiée aux bannières cookies (“cookie banner”) »
- Actualité de la CNIL du 15 mai 2023 : « Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action »
- Communiqué de la CNIL du 17 mai 2023 : « Données de santé et utilisation des cookies : DOCTISSIMO sanctionné par une amende de 380 000 euros »
- Rapport du ministère de la Transformation et de la Fonction Publiques du 9 juin 2023 : « La DITP mesure l’impact du design des bannières cookies sur les internautes »
- Publication de la CNIL du 15 juin 2023 : « Voyance en ligne : la société KG COM sanctionnée par une amende de 150 000 euros » (sanction de 150 000 € en raison de la méconnaissance du RGPD)
- Actualité de la CNIL du 17 novembre 2023 : « CEPD : des lignes directrices pour clarifier la notion de « traçage » de la directive ePrivacy »
Pour aller plus loin…
Détournements de fonds dans l’entreprise : comment les empêcher, comment réagir ?
Détournements de fonds : comment les empêcher de survenir ?
Ça arrive... Les détournements sont souvent le fait de personnes extérieures à l’entreprise. Qui n’a pas entendu parler de « l’arnaque au président » qui consiste, pour des escrocs, à convaincre le collaborateur d'une entreprise à effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, ou encore de la « fraude au changement de RIB » qui consiste pour les fraudeurs à envoyer un mail à un salarié du service de comptabilité de l'entreprise en se faisant passer pour un fournisseur, et lui demander de diriger ses versements vers un autre compte bancaire appartenant à des escrocs.
… aussi en interne. Mais les détournements de fonds peuvent aussi être commis par des collaborateurs de l’entreprise, notamment ceux qui sont affectés à la comptabilité de l’entreprise ou en charge de la gestion de la trésorerie.
Le saviez-vous ?
En pratique, et d’une manière générale, il existe 3 types de détournements de fonds commis à l’intérieur de l’entreprise : l’émission de faux chèques ou de faux ordres de virement (généralement plus faciles à détecter), l’émission de fausses factures, la création d’un faux salarié permettant au fraudeur d’émettre de faux salaires (ce type de fraude se retrouve principalement dans les grandes entreprises car il est plus difficile de la détecter, le faux salarié se « diluant » parmi les vrais salariés).
Comment se protéger ? Le dirigeant est responsable des fonds appartenant à l’entreprise. Il doit donc se montrer particulièrement vigilant pour tout ce qui touche à la gestion de trésorerie et aux flux financiers. Il dispose à cet égard de plusieurs outils. Lesquels ?
1re action. En premier lieu, respectez (faites respecter) le principe de la séparation ordonnateur / payeur : il est essentiel que la personne qui ordonne la dépense ne soit pas celle qui procède à son paiement.
2e action. L’entreprise doit maîtriser la gestion des moyens de paiement pour optimiser sa sécurité financière. L’accès à ces moyens de paiement (coordonnées bancaires, accès au chéquier, etc.) doit donc être réservé à un nombre restreint de personnes et conservé en lieu sûr.
3e action. Il faut mettre en place des circuits courts d’ordonnancement de la dépense (validée par le dirigeant ou un responsable qui aura obtenu une délégation à ce titre) et de son paiement : plus les process sont démultipliés, plus les risques de détournements de fonds sont aussi démultipliés. Il y a notamment un risque que chaque échelon se déresponsabilise en pensant que les vérifications nécessaires seront effectuées par l’échelon inférieur ou supérieur.
Le saviez-vous ?
Notez que les fraudes internes sont souvent effectuées par l’homme de confiance du dirigeant qu’est le collaborateur affecté à la comptabilité ou à la gestion de trésorerie de l’entreprise. La mise en place de processus de contrôle de la gestion de trésorerie et des flux financiers, notamment via un tiers vérificateur, doit donc être faite en collaboration avec le ou les collaborateurs concernés, en insistant bien sur le fait qu’il s’agit de moyens de sécurisation du travail de chacun pour éviter que ce soit vu comme un manque de confiance envers eux.
Il peut être opportun de dépersonnaliser ce type d’intervention en faisant appel à son conseil qui saura utilement expliquer les raisons de la mise en place de ces processus de contrôle. Ce pourra aussi être le rôle de la banque ou de l’expert-comptable qui, par leur contrôle, peuvent aussi être à l’origine de la découverte de possibles détournements de fonds.
Détournements de fonds : comment réagir ?
Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime de détournements de fonds, le dirigeant doit réagir très rapidement car les délais sont strictement encadrés, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).
Que le détournement soit interne ou externe… La 1re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés en droit pénal des affaires et en droit social.
En cas de détournement interne… Le dirigeant va constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.
Attention ! Le dossier doit être construit rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête était menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.
Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable au licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.
À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourriez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.
Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.
Quelle faute retenir ? En présence d’un détournement de fonds, la tendance sera de retenir une faute lourde contre le salarié, privative de toute indemnité de rupture (à l’exception de l’indemnité de congés payés qui reste due) et permettant d’obtenir, de la part du salarié, une indemnisation du préjudice subi par l’entreprise. Mais une faute lourde suppose de la part du salarié une réelle intention de nuire à l’entreprise ou à son dirigeant. Or, c’est rarement reconnu comme tel par les juges dans le cas d’un détournement de fonds.
Exemple de faute lourde reconnue. Un salarié a été licencié pour faute lourde suite aux détournements de fonds de l’entreprise. Il occupait un poste de directeur administratif et financier. Il a, notamment, édité de fausses factures et dissimulé des documents pour masquer ses actes (démarches qui caractérisaient, ici, sa volonté de nuire à l’entreprise). L’employeur avait alors appris l’existence de ces détournements à la suite d’un contrôle Urssaf. Le juge a, ici, validé la faute lourde.
Conseil. Retenir une faute lourde, sans apporter la preuve de cette intention de nuire, rendrait le licenciement sans cause réelle et sérieuse. Voilà pourquoi il est souvent préconisé de retenir la faute grave en pareille situation. Mais, comme toujours, cela dépendra des circonstances de l’espèce. Voilà pourquoi il est essentiel de faire appel à son conseil pour que la procédure disciplinaire diligentée à l’encontre d’un salarié coupable de détournement de fonds soit pleinement efficace.
Réclamer des indemnités à la banque ? Il peut être possible de réclamer des indemnités à une banque lorsque les celle-ci a failli dans ses procédures de contrôle. Néanmoins, il faut aussi que la société n’ait pas commis de faute de son côté…
Exemple. Une salariée a falsifié 330 chèques en 5 ans, pour un montant de 20 000 €/an. Pour le juge, la banque n’a commis aucune faute puisque la salariée imitait la signature de son dirigeant et que la société n’avait mis en place aucun contrôle de l’activité de sa salariée.
A retenir
Pour se protéger des détournements de fonds par des collaborateurs de l’entreprise, un dirigeant dispose de nombreux outils : respect du principe de séparation ordonnateur / payeur, mise en place de circuits de paiement courts, maîtrise et sécurisation des moyens de paiement, etc.
- Articles L 1132-1, L 1132-2, L 1152-2 et L 1153-2 du Code du travail
- Article 311-1 du Code pénal
- Arrêt de la Cour de cassation, chambre sociale, du 30 septembre 2014, n° 13-20082 (responsabilité pécuniaire du salarié)
- Arrêt de la Cour de cassation, chambre sociale, du 14 octobre 2015, n° 14-16104 (vol dans l’entreprise sans circonstances atténuantes)
- Arrêt de la Cour de cassation, chambre sociale, du 8 juin 2017, 15-25193 (faute lourde d’un salarié qui a détourné des fonds de l’entreprise)
- Arrêt de la Cour de cassation, chambre commerciale, du 11 décembre 2019, n° 18-16868 (330 chèques falsifiés-absence de faute de la banque)
Protection de l’innovation : brevet ou secret ?
Le brevet : le choix de divulguer pour protéger
La définition. Selon l'Institut National de la Propriété Industrielle (INPI), le brevet est un titre de propriété permettant de protéger une invention technique qui apporte une nouvelle solution à un problème technique. Peuvent être protégés par brevet un produit (ex : un stylo lumineux) ou un procédé (ex : fabriquer en consommant moins d'énergie).
Demander un brevet. Le brevet n'est pas délivré automatiquement. En effet, pour obtenir le titre de propriété industrielle, il faut en faire la demande auprès d'un office national de propriété industrielle, comme l'INPI pour la France.
Comment ? La demande s'effectue sous la forme d'un dépôt de dossier contenant :
- un formulaire de dépôt (il contient notamment des informations sur la demande et son demandeur) ;
- une description de l'invention (elle décrit l'invention et doit être suffisamment exhaustive) ;
- les revendications (ce sont les fonctionnalités que l'inventeur déclare lui appartenir et pour lesquelles il sollicite une protection) ;
- un abrégé (résumé de l'invention) ;
- des dessins (non obligatoires, mais qui permettent de bien comprendre l'invention).
Remarque. Notez que vous pouvez également protéger votre invention avec le brevet européen ou le brevet unitaire européen.
Une procédure spécifique dans le cadre de la crise sanitaire. L’INPI a mis en place une procédure accélérée permettant l’obtention d’un brevet ou d’un certificat d’utilité dans les 24 mois à compter du dépôt, sans frais supplémentaires. Pour en bénéficier, l’innovation doit obligatoirement être liée à des traitements ou des dispositifs anti-COVID.
Validité de la requête. Pour être valide, la requête de délivrance accélérée doit être effectuée par voie électronique, dans les 10 mois suivant la demande de brevet ou de certificat d’utilité déposée initialement auprès de l’INPI. Notez que ces dispositions s’appliquent uniquement aux demandes de brevet déposées à partir du 1er juin 2020.
Champs d’application. L’innovation concernée doit avoir été soumise à une autorité compétente en vue de leur mise sur le marché et ainsi avoir fait l’objet :
- d’une demande d’essai clinique ;
- ou d’une demande d’inscription pour l’évaluation d’un traitement de la COVID-19 ;
- ou d’une demande d’autorisation de mise sur le marché ;
- ou, pour les dispositifs médicaux, d’une demande d’évaluation de conformité auprès d’un organisme notifié en vue d’un marquage CE.
Le saviez-vous ?
Toutes les inventions ne sont pas brevetables ! Une invention ne sera brevetable que si les 3 critères suivants sont réunis :
- l'invention doit être nouvelle (elle ne doit pas porter sur des informations déjà rendues publiques) ;
- elle doit résulter d'une activité inventive (elle ne doit pas être évidente pour un homme du métier) ;
- elle doit être susceptible d'application industrielle (l'invention doit pouvoir être fabriquée ou utilisée).
Notez qu’en Europe, un brevet ne peut pas être déposé par une intelligence artificielle, contrairement à d’autres pays dans le monde comme l’Afrique du Sud.
La protection. Si la demande est acceptée par l'office, le brevet accorde une protection de l'invention en faveur du demandeur pendant 20 ans maximum. Au-delà, l'invention redevient libre de droit et peut être librement reproduite.
La particularité du brevet. Déposer une demande de brevet implique forcément la divulgation de l'invention. En effet, on prend le parti de dévoiler le produit ou le procédé obtenu puisque la description est nécessaire lors du dépôt de la demande.
Les avantages. Le titre de brevet confère à son titulaire une exclusivité et un monopole quant à l'exploitation de l'invention. Il permet notamment d'obtenir des contreparties financières lorsque l'on accorde des licences d'exploitation à des entreprises. Toute fabrication, offre, mise dans le commerce, utilisation, détention ou bien importation de l'invention supposera pour le concurrent de solliciter l'autorisation du titulaire. À défaut, le détenteur du brevet pourra l'assigner en contrefaçon.
Les limites au brevet. Le brevet ne permet pas de tout interdire. Ainsi, la réglementation autorise, entre autres, sans que l'accord du titulaire ne soit nécessaire, les actes accomplis dans la sphère privée, à titre non commercial ou encore à titre expérimental.
Les inconvénients du brevet. Maintenir un brevet suppose obligatoirement de payer des taxes annuelles, qui augmentent d'année en année. À titre informatif, la vingtième annuité coûte en France 800 €. En outre, comme expliqué ci-dessus, déposer un brevet implique nécessairement la divulgation et la description de l'invention. Autrement dit, si le titulaire ne paye plus les annuités, ou à expiration de la protection maximale de 20 ans, il sera aisé pour les concurrents de fabriquer l'invention et de la commercialiser à partir de la description faite dans le formulaire de dépôt.
À noter. Pour aider les dirigeants d’entreprise à élaborer leur stratégie en matière de propriété intellectuelle, l’INPI a publié un guide du management de la PI que vous pouvez télécharger ici.
Le secret : le choix de la confidentialité
La définition. Le secret est l'alternative au brevet. Il s'agit d'une protection de fait qui va reposer sur des mécanismes contractuels instaurés au sein de l'entreprise (ex : clauses de confidentialité, de non-exploitation, etc.) afin de préserver de la concurrence tout ce qui relève de l'invention. C'est une protection qui a une portée relative, puisque cantonnée à la sphère des relations de travail, quand le brevet a lui une portée générale et peut donc être opposé à tous.
Les avantages. Le secret ne nécessite donc pas de formalités particulières, ni aucun paiement d’aucune sorte. C'est un mode de protection qui n'est, ni contraignant, ni onéreux. Il permet, en outre, intrinsèquement et potentiellement de faire durer dans le temps la confidentialité quant à l'obtention d'une invention. En clair, une société qui met en place de solides mécanismes contractuels veillant à la préservation du secret peut conserver son avantage technique de manière indéfinie, à l'inverse du brevet qui oblige à la divulgation de l'invention et dont le monopole est forcément voué à disparaître.
Les inconvénients. Le secret ne fait naître aucun droit ni exclusivité. Alors que le brevet est une source potentielle de revenus avec l'octroi de licences, le secret ne permet pas de générer des contreparties financières. En outre, il ne saurait être suffisant pour interdire l'exploitation par autrui du procédé ou du produit que l'on souhaitait conserver. Par exemple, si une entreprise fait le choix d'utiliser le secret concernant l'obtention d'un procédé et que, par ses propres recherches, une entreprise concurrente parvient à obtenir ce même procédé, la première entreprise n'aura aucun recours contre cette dernière. Les inventions protégées par le secret restent, en définitive, libres de droit.
Le saviez-vous ?
Si le secret ne relève pas à proprement parler de la propriété intellectuelle, la réglementation a toutefois créé un mécanisme protecteur en faveur du secret : une personne qui, à la date de dépôt d'un brevet par un tiers était déjà en possession de l'invention concernée par le brevet, est autorisée à l’exploiter librement l'invention malgré l'existence du brevet.
Cela permet donc de protéger l'inventeur qui aurait mis au point une invention pour laquelle il avait souhaité garder le secret avant qu'un autre inventeur n'arrive au même résultat et décide de breveter l'invention. C'est ce que l'on appelle « la règle de la possession personnelle antérieure ».
Dépôt de brevet : une subvention possible ?
Pourquoi ? Le dépôt d’une marque, d’un brevet, d’un dessin ou d’un modèle engendre des frais. Une subvention européenne a été mise en place pour permettre aux petites et moyennes entreprises (PME) d’obtenir un remboursement partiel des frais liés aux :
- demandes de dépôts de marques, de dessins et modèles au niveau national, régional, de l’Union européenne (UE) ou international, à hauteur de 1 500 € pour l’année 2022 et de 1 000 € pour 2023 ;
- demandes de brevets en Europe au niveau national, à hauteur de 750 € pour l’année 2022 et de 1 500 € pour 2023
Pour qui ? Les entreprises pouvant en bénéficier doivent répondre à la définition officielle d’une PME communautaire, c’est-à-dire qu’elles doivent avoir :
- un chiffre d’affaires inférieur ou égal à 50 M€ ou un total de bilan inférieur ou égal à 43 M€ ;
- un effectif de moins de 250 salariés.
Comment ? Les demandes peuvent être déposées via le formulaire disponible ici.
À retenir
Choisir entre le brevet et le secret pour protéger son invention n'est pas une mince affaire.
Si l'octroi d'un brevet apporte au demandeur une protection réelle grâce à un titre de propriété, le secret n'est lui qu'une protection de fait qui permet d'empêcher autrui de divulguer toute information liée à l'invention.
En conclusion, peut-être est-il finalement stratégique de breveter les produits, qui pourraient se reproduire par la simple observation de l'objet et de conserver le secret sur les procédés qui ne s'expliquent et se comprennent que par une description.
- Articles L 611-1 et suivants du Code de la propriété intellectuelle concernant le brevet
- Article L 613-7 du Code de la propriété intellectuelle
- www.inpi.fr
- Actualité de l’INPI du 22 avril 2021 (procédure accélérée pour les innovations en lien avec la COVID-19)
- Décision de l’INPI du 21 avril 2021(procédure accélérée pour les innovations en lien avec la COVID-19)
- Actualité du site de l’INPI du 30 juin 2021 (information sur DATA INPI)
- Actualité du site de l’INPI du 20 septembre 2021 (guide du management de la PI)
- Décret no 2022-196 du 17 février 2022 relatif au transfert au directeur de l'Institut national de la propriété industrielle des décisions relatives aux autorisations et interdictions de divulgation et de libre exploitation des inventions
- Communiqué de presse de l’INPI, du 8 mars 2022 (subvention européenne)
- Article de l’Office de l’Union européenne pour la propriété intellectuelle : « Fonds pour les PME 2023 »
