Applications mobiles : attention à ne pas griller les étapes !

La Commission nationale de l’informatique et des libertés (CNIL), autorité de tutelle française pour tout ce qui touche à la protection des données personnelles, tire le constat qu’en France, en moyenne, chaque personne télécharge 30 applications par an sur son téléphone mobile.

Un constat qui en fait donc un sujet de préoccupation majeur pour la Commission, notamment du fait que les téléphones personnels contiennent de très nombreuses informations sensibles sur leur propriétaire.

Après avoir publié en septembre 2024 un dossier complet de recommandations à destination des personnes éditant des applications mobiles, la Commission a décidé de revenir sur un point précis de cette édition : les demandes de permissions.

Les permissions sont toutes les demandes d’accès que va faire une application pour atteindre des données ou des fonctionnalités de l’appareil qui ne lui sont normalement pas accessibles (position, contacts, appareil photo, etc.).

Si la CNIL souligne que ces demandes de permissions ont l’avantage de mettre en évidence, pour l’utilisateur, les données qui sont récoltées par une application, elle fait néanmoins une observation importante.

En effet, il faut garder à l’esprit que la demande de permission émise par l’application ne peut pas suffire à établir le consentement de l’utilisateur pour l’utilisation de ses données personnelles.

La CNIL recommande donc de différencier les deux actions, la demande de permission et le recueil de consentement, qui peuvent se faire dans un n’importe quel ordre, mais sans que cela n’entraîne une confusion pour l’utilisateur.

La commission invite donc les éditeurs d’applications à revoir certains aspects de ses recommandations pour adopter les meilleures pratiques en matière de demandes de permissions, et notamment :

• fournir des outils pour permettre le respect des droits et du consentement des utilisateurs ;
• définir et organiser les permissions et la protection des données dès la conception ;
• participer à la conformité en matière de recueil du consentement.

Titre-restaurant : (à nouveau) utilisable pour tout achat alimentaire !

Pour mémoire, les titres-restaurants sont un avantage social accordé au salarié qui permet initialement l’achat d’un repas par journée travaillée et qui repose sur un cofinancement, auquel participe l’employeur.

Pour rappel, la loi dite « pouvoir d’achat » du 16 août 2022 avait autorisé les salariés à utiliser les titres-restaurant pour payer en tout ou partie le prix de tout produit alimentaire, qu’il soit ou non directement consommable, acheté auprès d’une personne ou d’un organisme habilité à accepter ces titres.

Cette dérogation, en vigueur jusqu’au 31 décembre 2024, devait initialement faire l’objet d’une nouvelle prorogation jusqu’en 2026.

Ce projet, suspendu à la suite de la censure du Gouvernement en décembre 2024, a finalement abouti ce mardi 14 janvier 2025.

Désormais, les salariés bénéficiaires de titres-restaurant pourront donc continuer de les utiliser pour acheter des produits alimentaires, y compris si ces derniers ne sont pas directement consommables, tels que les œufs, le beurre, le riz, etc.

Quant au plafond journalier d’utilisation, il reste fixé, comme depuis le 1^er octobre 2022, à 25 € par jour.

Cette proposition de loi, adoptée par le Sénat le 14 janvier 2025, devrait être promulguée par le Président de la République dans les prochains jours.

Fraude fiscale : un contrôle élargi sur le web

Jusqu’à présent, les agents de l’administration fiscale et douanière étaient autorisés à collecter et exploiter les contenus diffusés sur internet dont l’accès ne nécessite ni saisie d’un mot de passe, ni inscription sur le site en cause. 

Désormais, cette condition liée à l’accès aux sites internet sans mot de passe ou sans inscription est supprimée, de sorte que les agents des administrations fiscale et douanière peuvent désormais collecter et exploiter les contenus sur les réseaux sociaux, par exemple.  

Plus précisément, ces administrations ont désormais la possibilité de créer des comptes officiels sur les réseaux sociaux en vue de lutter contre la fraude fiscale par le biais, par exemple, d’une comparaison entre le train de vie déclaré d’un particulier et ce qu’il diffuse sur internet.

Toutefois, cette faculté est strictement encadrée puisque les agents fiscaux et douaniers :

• ne peuvent exploiter que les contenus se rapportant à la personne qui les a délibérément divulgués ;
• ne sont pas autorisés ni à entrer en relation avec d'autres détenteurs de compte, ni à diffuser des contenus.

En ce qui concerne la recherche d'une activité occulte, des inexactitudes ou omissions découlant d'un manquement aux règles de domiciliation fiscale des particuliers ou d'une minoration ou d'une dissimulation de recettes, des précisions viennent d’être apportées concernant les conditions assurant que les traitements mis en œuvre par les administrations sont proportionnés aux finalités poursuivies et les conditions requises pour que les données personnelles traitées sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est strictement nécessaire.

Ces précisions sont disponibles ici.

Peuvent ainsi être collectées les données suivantes : 

• les données d'identification des titulaires des pages internet analysées ;
• les données susceptibles de caractériser l'exercice d'une activité professionnelle ou d'une activité illicite et l'ampleur de cette activité, notamment les photographies des produits vendus, les données d'expédition de la marchandise et les données permettant de mesurer l'audience de la page, l'ancienneté et l'activité du profil et de l'annonce ;
• les données relatives aux moyens de transport utilisés ;
• les données de localisation ;
• les contenus, lorsqu'ils sont accessibles au moyen de QR-codes ou de tout autre vecteur, des pages se rapportant à l'activité professionnelle ou l'activité illicite qui peuvent notamment être des écrits, des images, des photographies, des sons, des icônes, des vidéos, ainsi que les QR-codes et autres vecteurs eux-mêmes.

Les droits d'accès aux informations collectées, à la rectification et à l'effacement de ces données ainsi qu'à la limitation de leur traitement s'exercent auprès du service d'affectation des agents habilités à mettre en œuvre les traitements.

Notez que les agents habilités sont les agents de la direction générale des finances publiques ayant au moins le grade de contrôleur, ou les fonctionnaires et agents contractuels de niveau équivalent affectés à cette direction, individuellement désignés et spécialement habilités par le directeur général des finances publiques.

Du côté de l’administration des douanes, les agents habilités sont les agents de la direction générale des douanes et droits indirects ayant au moins le grade de contrôleur, ou les fonctionnaires et agents contractuels de niveau équivalent affectés à cette direction, individuellement désignés et spécialement habilités par le directeur général des douanes et droits indirects.

Pour finir, les administrations fiscales et douanières doivent adresser avant la fin de chaque semestre de l'année civile à la Commission nationale de l'informatique et des libertés (CNIL) la liste des opérations de collecte qui seront engagées au semestre suivant. Cette liste devra mentionner les objectifs poursuivis, ainsi que les plateformes en ligne concernées.

La fixation du prix dans une promesse unilatérale de vente à l’épreuve du temps…

Le propriétaire d’un terrain promet la vente de son terrain à un bénéficiaire par le biais d’une promesse unilatérale de vente.

Le document comprend le prix de la vente et le délai de validité de la promesse, à savoir 4 ans, tacitement prorogé jusqu’à un an après la mise en service d’une rocade dont le projet de construction était acté.

Cependant, les travaux de construction de la rocade sont longs et le bénéficiaire et le promettant décèdent, leurs héritiers prenant leur place.

45 ans après la promesse, l’héritier du propriétaire, fait savoir à l’héritier du bénéficiaire qu’il n’entendait pas honorer la promesse faite par son père.

Néanmoins, et ce avant l’ouverture de la rocade, l’héritier du bénéficiaire indique vouloir lever l’option et acheter le terrain.

Conformément à ce qu’il avait annoncé, le nouveau promettant ne donne pas suite à cette demande, ce qui pousse le nouveau bénéficiaire à saisir les juges.

Pour justifier son refus d’honorer la promesse, le promettant fait valoir le caractère vil du prix de vente compris dans la promesse. En effet, s’il pouvait apparaitre cohérent au moment de la promesse en 1971, au moment de la levée d’option en 2016, il apparait déraisonnable avec la réalité du marché.

Selon lui, le décalage justifie à caractériser le prix comme vil et donc à entrainer la caducité de la promesse.

Mais pour le bénéficiaire, c’est justement parce que le prix est cohérent avec le contexte de l’époque qu’il ne peut pas être considéré comme vil.

Ce que confirment les juges, qui rappellent que la promesse unilatérale représente la volonté du promettant à un moment précis, le prix faisant partie des éléments essentiels de l’expression de cette volonté.

Le prix fixé en 1971 est donc valable, malgré son décalage avec le marché de 2016.

Interdiction de location des logements étiquetés G

Pour rappel, toute personne souhaitant donner en location un logement doit fournir au locataire un logement décent, qui doit notamment respecter un critère lié à la performance énergétique.

Ce critère, couplé à la nécessaire sobriété énergétique des modes vie et donc des habitations, a amené le Gouvernement à instaurer un calendrier de retrait progressif des logements les moins bien notés par le DPE du marché locatif.

Ainsi, depuis le 1^er janvier 2025, il est interdit de mettre en location les logements étiquetés G sur le DPE, considérés comme non-décents.

Concrètement, cette interdiction d’applique :

• aux nouveaux contrats signés en 2025 ;
• aux renouvellements ou reconductions tacites des contrats signés avant le 1^er janvier 2025.

Autrement dit, les baux d’habitation en cours pour des logements étiquetés G ont vocation à disparaître à moyen terme.

Notez qu’au 1^er janvier 2028, ce sont les logements étiquetés F qui seront considérés comme non décents, puis les logements E à partir du 1^er janvier 2034.

Enfin, notez aussi que certains territoires d’outre-mer, à savoir la Guadeloupe, la Martinique, la Guyane, La Réunion et Mayotte, ont un calendrier de retrait des passoires thermiques différents :

• les logements étiquetés G ne pourront plus être loués à compter du 1^er janvier 2028 ;
• les logements étiquetés F ne pourront plus être loués à compter du 1^er janvier 2031.

Utilisation des données personnelles accessibles sur les réseaux sociaux : rappel à l’ordre de la CNIL

Une société commercialise une extension de navigateur web qui a pour objectif de permettre à ses utilisateurs d’obtenir les coordonnées des personnes dont ils visitent les profils sur un réseau social.

Plusieurs personnes, ayant été sollicitées après que leurs coordonnées ont été communiquées par cette société, ont décidé de se plaindre auprès de la Commission nationale de l’informatique et des libertés (CNIL) estimant qu’un traitement non conforme était fait de leurs données à caractère personnel.

Cette dernière a donc décidé de mener une enquête afin de vérifier la façon dont cette société constituait sa base de données.

Sur le réseau dont se sert la société pour aspirer des données, les utilisateurs ont plusieurs options quant à la visibilité de leurs coordonnées, à savoir :

• visible uniquement par l’utilisateur ;
• visible par tout le monde ;
• visible par les relations du 1^er niveau ;
• visible par les relations du 1^er et 2^e niveau.

La société se servait justement des informations qu’elle pouvait obtenir concernant les personnes ayant choisi les 2 dernières options pour constituer sa base de données.

Cependant, la CNIL considère que cela ne permet pas de donner une base légale au prélèvement des données.

Il ne faut, en effet, pas considérer que le choix des utilisateurs de rendre leurs coordonnées disponibles à leurs contacts ou aux contacts de leurs contacts donne l’autorisation aux personnes y ayant accès de les prélever pour les utiliser.

La société a donc bien opéré un traitement non conforme des données personnelles des personnes concernées.

Il faut savoir que pour ce manquement et d’autres (durée de conservation des données, respect de l’exercice des droits des personnes), la CNIL a prononcé une amende de 240 000 € à l’encontre de cette société.

Un maintien des taux AT/MP 2024… en attendant

En principe, les taux AT/MP sont fixés par la CARSAT aux termes de tarifications, elles-mêmes publiées dans le cadre de la loi de financement de la Sécurité sociale (LFSS) de l’année, et sont transmis en début d’année aux entreprises pour le calcul de leurs cotisations sociales, nécessaires à l‘établissement des bulletins de paie.

Alors que ces taux sont normalement déterminés annuellement, faute de LFSS pour 2025 pour le moment, les taux 2024 continueront à s’appliquer jusqu’à la publication des nouveaux taux, qui ne seront connus qu’après l’adoption de la LFSS pour 2025.

Pour mémoire, ce taux permet de calculer la cotisation d’accidents du travail et des maladies professionnelles due par l’employeur et couvrant les risques de maladie professionnelle et d’accidents de travail.

Ce taux varie en fonction de l’activité de l’entreprise, de sa taille ou encore de la fréquence et de la gravité des AT/MP survenus et reconnus comme tels.

Précision des obligations des EITI et mise en place d’un cahier des charges

Pour mémoire, les structures d’insertion par l’activité économique (SIAE), créées en 2018, permettent de faciliter l’accès au marché du travail en cas de difficultés sociales et professionnelles particulières.

L’une d’elles, l’entreprise d’insertion par le travail indépendant (EITI) vise à favoriser cet objectif d’insertion via le travail indépendant.

C’est dans ce cadre que les obligations de ces EITI viennent de faire l’objet de précisions.

S’agissant de leur nature, les EITI désignent celles qui accompagnent les travailleurs indépendants rencontrant des difficultés sociales et professionnelles particulières dans le développement et la pérennisation de leur activité, afin d’assurer leur autonomie professionnelle dans le cadre d’une activité indépendante, ou à défaut, dans le cadre du salariat.

Cet accompagnement doit comprendre :

• un soutien dans la résolution des difficultés sociales rencontrées ;
• une mise en relation avec des clients ;
• l’appui à l’acquisition de compétences nécessaires au développement.

Le contenu et les modalités de cet accompagnement sont précisées dans un cahier des charges, lui aussi récemment publié.

Notez qu’en plus des missions et objectifs de l’EITI, ce cahier des charges précise les personnes éligibles à cet accompagnement, ainsi que des indicateurs et mesures de performance visant à évaluer le succès de cette expérimentation.

Du côté de l’aide financière versée à l’EITI, notez que jusqu’au mois de juin 2025 inclus, le montant de l’aide financière versée sera égal au montant forfaitaire de l’aide telle que revalorisée annuellement, et ce, pour tous les travailleurs indépendants sans condition d’embauche de salarié ou d’immatriculation.