Transferts de données : les USA à nouveau en adéquation

La limitation des transferts de données personnelles dans des pays tiers à l’Union européenne (UE) n’est pas née avec le Règlement général sur la protection des données (RGPD). Depuis 1998, il est interdit de transférer des données personnelles aux entreprises de pays tiers s’il n’est pas établi que ce pays propose un niveau de protection au moins équivalent à celui proposé dans l’UE.

Le Safe Harbor, une politique de gestion des données mise en place par les États-Unis, avait permis la reconnaissance d’un niveau de sécurité suffisant pour que le transfert des données personnelles des Européens puisse être envisagé vers des structures étasuniennes.

Cependant, en 2015, la Cour de Justice de l’Union européenne (CJUE) se prononce contre le Safe Harbor et invalide l’accord en place.

De nouvelles négociations entre l’UE et les États-Unis aboutissent, en 2016, à un nouvel accord : le Privacy Shield.

Cependant, ce nouvel accord ne connaîtra pas une grande longévité puisqu’il est invalidé par la CJUE dès 2020.

Depuis, les entreprises opérant des transferts vers des entités étasuniennes doivent s’assurer individuellement de la bonne protection des données personnelles.

Les Binding corporate rules (BCR) ou « règles d’entreprises contraignantes » peuvent ainsi être utilisées par un groupement d’entreprises engagées dans une activité économique commune, une fois approuvées par le Comité européen de la protection des données (CEPD). Ces règles permettent aux entreprises du groupe de transférer des données entre elles avec l’assurance, pour les personnes concernées, qu’une sécurité équivalente aux règles du RGPD est respectée.

Autre méthode : il est possible de recourir aux clauses contractuelles types (CCT), un corpus de clauses qui, inséré dans les contrats, permet de garantir conventionnellement une sécurité suffisante.

Néanmoins, le 10 juillet 2023, la Commission européenne a adopté une décision reconnaissant comme adéquat la nouvelle politique des États-Unis en matière de protection des données personnelles, et a ainsi ouvert la porte à des transferts simplifiés outre-Atlantique.

Le ministère américain du commerce devra prochainement publier une liste recensant l’ensemble des entreprises étasuniennes offrant des garanties suffisantes aux termes de cette nouvelle politique.

La Commission nationale de l’informatique et des libertés (CNIL) publie une foire aux questions (FAQ) permettant de comprendre en détail les changements apportés par cette décision.

S’il ne sera plus obligatoire d’avoir recours aux BCR et CCT, leur utilisation reste néanmoins possible. D’autant que ce nouvel accord entre l’UE et les États-Unis n’est pas unanimement bien accueilli par les spécialistes.

Le collectif à l’origine de la chute du Privacy Shield a d’ores et déjà annoncé qu’il était prêt à s’opposer à ce dispositif devant la CJUE dès son entrée en vigueur. Affaire à suivre…

Fichier FIBEN : pas de communication systématique aux entreprises !

Le fichier bancaire des entreprises (FIBEN) constitue le fichier de référence des informations financières sur les entreprises. Il est destiné aux établissements bancaires qui l’utilisent pour l’analyse des risques de crédit.

Dans le cadre du FIBEN, il est fait une appréciation globale de la capacité de l'entreprise à honorer ses engagements financiers à l'horizon des 3 prochaines années. Cette appréciation donne lieu à une cotation, qui n'est diffusée qu'auprès de la communauté bancaire, de certains services de la Banque de France, de certains services en charge du contrôle bancaire et de quelques services et organismes publics.

Or cette information est extrêmement importante pour les TPME/PME. Selon un député, elle devrait donc leur être systématiquement transmise.

Mais le Gouvernement n’est pas d’accord, rappelant que le fichier FIBEN couvre moins de 10 % des TPME/PME : celles qui sont cotées via le FIBEN sont celles qui réalisent un CA important… Elles sont donc déjà davantage susceptibles de disposer d'un responsable financier ou d'être accompagnées.

Par ailleurs, la Banque de France mène des entretiens avec les dirigeants d'entreprise, afin d’affiner l’analyse financière. Ces entretiens annuels permettent, le cas échéant, de les sensibiliser aux éventuels déséquilibres financiers de leur entreprise.

Enfin, les dirigeants peuvent aussi, gratuitement, faire une demande pour avoir accès à leur cotation et réclamer des explications sur les motifs de son attribution au cours d'un entretien personnalisé.

Partage de données par API : attention aux données personnelles

Pour rappel, une interface de programmation applicative, plus connue sous le nom d’API pour « application programming interface », permet de connecter des logiciels, des services, etc., et, se faisant, de connecter des données.

La CNIL vient de publier une recommandation technique qui identifie les situations dans lesquelles l’utilisation d’API peut être recommandée.

Elle met également en avant 3 acteurs : les détenteurs de données, les gestionnaires d’API et les réutilisateurs de données, qui doivent tous s’assurer du respect des droits des personnes dès la conception du traitement.

En plus des recommandations générales, chaque acteur trouvera dans ce document une liste de recommandations « particulières » devant faciliter la protection des données personnelles, conformément au Règlement général sur la protection des données (RGPD).

Lutte contre la contrefaçon : demandez l’intervention de la douane !

La demande d’intervention de la douane est une faculté offerte à tout titulaire d’un droit de propriété intellectuelle protégé. Ce mécanisme, gratuit et valable un an renouvelable, permet d’attirer l’attention de la douane sur des produits suspects et facilite leur interception.

Notez que cette démarche est réservée aux personnes ayant protégé leurs droits de propriété intellectuelle au niveau national ou européen.

Retenez également que cette procédure peut être préventive, c’est-à-dire que vous n’avez pas besoin de justifier d’une atteinte ou d’une menace préalables à vos droits.

Peuvent bénéficier de cette protection tous les titulaires des droits de propriété intellectuelle suivants :

• marques ;
• dessins et modèles ;
• droits d’auteur et droits voisins ;
• brevets ;
• topographies de produits semi-conducteurs ;
• modèles d’utilité ;
• certificats complémentaires de protection relatifs aux médicaments et aux produits phytopharmaceutiques ;
• obtentions végétales ;
• appellations d’origine, indications géographiques et dénominations géographiques.

Il existe 2 types de demandes d’intervention : une fondée sur le droit de l’Union européenne et une autre fondée sur le droit français.

• La demande fondée sur le droit de l’Union européenne

Cette demande permet de mettre en place une surveillance douanière en frontière tierce. La retenue porte alors sur des marchandises non dédouanées, c’est-à-dire des marchandises qui n’ont pas encore fait l’objet de déclaration et, le cas échéant, de paiement de taxes. 2 types de demandes sont possibles :

• la demande nationale, adressée aux autorités douanières d’un seul État membre : par conséquent la surveillance douanière ne portera que sur cet État membre ;
• la demande au niveau de l’Union européenne, adressée à plusieurs États membres qui correspondent aux choix de surveillance formulés par le demandeur. Attention, cette demande ne peut être présentée que sur les droits de propriété intellectuelle fondés sur le droit de l’Union produisant des effets dans l’ensemble de l’Union.

• La demande fondée sur le droit français

Ici, la surveillance des marchandises se fait sur le territoire national et potentiellement sur des marchandises dédouanées et en libre circulation.

• Les suites de la demande

Retenez que les 2 types de demandes ne sont pas exclusives. Autrement dit, vous pouvez tout à fait choisir de bénéficier des 2 en même temps !

Une fois la ou les demandes choisies et déposées, quels sont leurs effets ?

En cas de soupçons de contrefaçon sur une marchandise, les douanes peuvent la retenir durant 10 jours (délai raccourci à 3 jours en cas de denrées périssables).

Elles contactent ensuite l’entreprise protégée qui devra leur fournir son expertise pour déterminer s’il y a, ou non, contrefaçon.

S’il y a contrefaçon, 2 solutions sont possibles :

• l’entreprise peut, sans intervention du juge, obtenir la destruction des marchandises, toutes conditions par ailleurs remplies (notamment obtenir l’accord du propriétaire des marchandises problématiques) ;
• l’entreprise peut saisir le juge.

Si elle indique qu’il ne s’agit pas d’une contrefaçon, les marchandises sont restituées à leurs propriétaires.

Pour déposer ce type de demande, le demandeur et son représentant, le cas échéant, doivent être titulaires d’un numéro EORI. Vous pouvez demander ce numéro ici.

Pour en savoir plus sur les modalités de dépôt (formulaires, pièces justificatives, adresses d’envoi), rendez-vous sur le site des douanes, ici.

À vos claviers !

Guichet d’aide au paiement des factures de gaz et d’électricité : des nouveaux délais

Le délai pour déposer les demandes d’aide au paiement des factures de gaz et d’électricité au titre du début de l’année 2023 est prolongé de 2 mois supplémentaires :

• les demandes concernant les mois de janvier et février 2023 pourront être déposées jusqu’au 31 août 2023 (au lieu du 30 juin 2023) ;
• les demandes concernant les mois de mars et avril 2023 pourront être déposées jusqu’au 30 septembre 2023 (au lieu du 31 août 2023).

Concernant la régularisation des dépenses d’énergie, 2 situations sont à distinguer. Ainsi, le guichet de régularisation :

• est déjà ouvert depuis le 16 janvier 2023, et le sera jusqu’au 31 décembre 2023, pour la période de mars à décembre 2022 ;
• sera ouvert du 18 septembre 2023 au 30 avril 2024 pour l’année complète 2023.

Des IJSS sans délai de carence

Il est désormais prévu qu’en cas de constat d’une incapacité de travail faisant suite à une interruption spontanée de grossesse (fausse couche) ayant eu lieu avant la 22^e semaine d’aménorrhée, les indemnités journalières de sécurité sociale (IJSS) sont accordées sans délai de carence.

Cette suppression du délai de carence est applicable aux arrêts de travail prescrits à compter d’une date prévue par décret (à venir) et, au plus tard, du 1^er janvier 2024.

Cette mesure s’applique également aux professionnelles indépendantes et aux non-salariées des professions agricoles.

Une protection contre le licenciement

Depuis le 9 juillet 2023, il est interdit à l’employeur de rompre le contrat de travail d’une salariée pendant les 10 semaines suivant une fausse couche médicalement constatée ayant eu lieu entre la 14^e et la 21^e semaine d’aménorrhée incluses.

Notez toutefois qu’en cas de faute grave de l’intéressée, ou s’il est impossible de maintenir le contrat de travail pour un motif étranger à l’interruption spontanée de grossesse, l’employeur retrouvera la possibilité de rompre le contrat (toutes conditions par ailleurs remplies).

Un soutien psychologique

Les agences régionales de santé (ARS) ont également un rôle à jouer dans l’accompagnement des femmes victimes de fausse couche.

Ainsi, chaque agence régionale de santé (ARS) devra mettre en place un parcours associant des professionnels médicaux et des psychologues hospitaliers et libéraux, dans le cadre d'une approche pluridisciplinaire visant à mieux accompagner les femmes et, le cas échéant, leur partenaire, confrontés à une interruption spontanée de grossesse.

Ce parcours a pour objectifs, notamment :

• de développer la formation des professionnels médicaux sur les conséquences psychologiques des interruptions spontanées de grossesse ;
• d'améliorer l'orientation des femmes et, le cas échéant, de leur partenaire qui y sont confrontés ;
• de faciliter leur accès à un suivi psychologique et d'améliorer le suivi médical des femmes qui ont subi une fausse couche ;
• etc.