Guide de la sécurité des données personnelles : l’édition 2024 est parue !
Guide de la sécurité des données personnelles : les nouveautés de l’édition 2024
Le guide de la sécurité des données personnelles édité par la CNIL vient d’être mis à jour pour cette année 2024.
Structuré en 5 parties, il comporte de nouveaux contenus portant sur :
- l’informatique en nuage (cloud) ;
- les applications mobiles ;
- l’intelligence artificielle (IA) ;
- les interfaces de programmation applicative (API) ;
- le pilotage de la sécurité des données.
Les fiches déjà existantes ont été enrichies, notamment celles portant sur l’utilisation d’équipements personnels en environnement professionnel.
Notez que pour mieux prendre connaissance des modifications, la CNIL a publié un journal des modifications.
Les lecteurs ont également consulté…
C’est l’histoire d’une SARL qui aide sa filiale… pour s’aider elle-même (?)…
Pour aider sa filiale, une SARL renonce au remboursement des avances financières qu’elle lui a consenties. Une aide « commerciale » qu’elle déduit de son résultat imposable. Une aide « financière », donc non déductible, conteste l’administration…
… qui rappelle que la convention d’ « abandon de créances » indique clairement que l’aide est destinée à améliorer l’image financière de la filiale auprès des clients et fournisseurs. Sauf qu’un défaut de paiement de la part de sa filiale pourrait compromettre ses relations avec ces mêmes fournisseurs, conteste la SARL qui voit ici tout l’intérêt commercial de l’aide. Une simple « supposition » qui ne prouve rien, selon l’administration. D’autant que les 2 sociétés n’ont qu’un seul fournisseur en commun (représentant un faible chiffre d'affaires) et n’ont ni relation commerciale ensemble ni clients en commun.
Ce que confirme le juge, qui refuse à son tour la déduction fiscale de l’abandon de créances… qui ne constitue pas ici une aide commerciale !
Les lecteurs ont également consulté…
C’est l’histoire d’un dirigeant qui ne s’estime plus « maître » de son affaire…
Les lecteurs ont également consulté…
Salarié détaché à l’étranger : tout travail mérite « exonération fiscale » ?
Salarié envoyé à l’étranger : à qui profite la prospection ?
Un particulier signe un contrat de travail avec une entreprise établie en France, elle-même détenue par une société américaine, en vue de prospecter le marché commercial de la location d’avions à l’étranger.
Une situation qui selon lui, lui permet de bénéficier d’une exonération d’impôt sur le revenu (IR) au titre des salaires perçus dans le cadre de cette activité… Mais pas selon l’administration fiscale, qui lui refuse le bénéfice de cet avantage.
« Pourquoi ? », s’étonne le salarié qui rappelle que les salariés envoyés à l’étranger par un employeur établi en France pour exercer une activité de prospection commerciale pendant plus de 120 jours par an peuvent bénéficier d’une exonération d’IR à raison des salaires perçus en rémunération de cette activité.
Et toutes les conditions requises pour bénéficier de ce dispositif sont ici remplies, maintient le salarié. Pour preuves :
- son employeur est domicilié en France ;
- son activité salariée consiste à prospecter, à l’étranger, un marché commercial ;
- sa mission à l’étranger a duré plus de 120 jours au cours d’une période de 12 mois consécutifs.
Sauf qu’une condition essentielle fait pourtant défaut, constate l’administration : si le salarié a effectivement été envoyé à l’étranger pour exercer une activité de prospection, cette activité a uniquement pour but de développer l’activité de location d’avions commerciaux de la société américaine… et non celle de l’entreprise française.
Ce que confirme le juge : l’exonération d’IR s’applique uniquement si l’activité du salarié a pour but d’assurer le développement des activités ou des marchés à l’étranger d’un employeur français.
L’exonération d’impôt réclamée est donc ici refusée !
- Arrêt du Conseil d’État du 15 mars 2024, no 464216 (NP)
Les lecteurs ont également consulté…
C’est l’histoire d’un dirigeant qui ne s’estime plus « maître » de son affaire…
L’administration rectifie l’impôt d’une société, en tire toutes les conséquences et taxe personnellement son ancien gérant au titre des revenus distribués. Sauf qu'il est « ancien » gérant, donc plus « maître de l’affaire », donc non concerné conteste ce dernier…
« Vous l’étiez ! », estime l’administration qui rappelle que l’ancien dirigeant était associé égalitaire et gérant de droit de la société. « Justement, je l’étais ! », ironise l’ancien gérant, mais plus au cours de l’année concernée par le redressement. Et, pour preuve, il fournit le procès-verbal de l’assemblée générale mettant fin à ses fonctions de gérant. Sauf que ce procès-verbal n’a été enregistré au registre du commerce et des sociétés que l’année suivante : il était donc toujours « légalement » gérant de la société au titre de l’année litigieuse, estime l’administration…
Ce que confirme le juge : l’ancien dirigeant étant le « maître de l’affaire » à l’époque, le redressement fiscal est ici parfaitement justifié !
Les lecteurs ont également consulté…
Un « Legal privilege » pour les juristes d'entreprises ?
Pour protéger les intérêts de son entreprise, un dirigeant demande à son service juridique d'apposer la mention « confidentiel – consultation juridique » sur les consultations rédigées par ses juristes, afin de pouvoir se prévaloir de leur confidentialité pour ne pas les communiquer à des tiers.
Les consultations rédigées par les juristes de l'entreprise bénéficient-elles vraiment de la confidentialité ?
La bonne réponse est... Non
En l'état actuel de la réglementation, la confidentialité des consultations juridiques (ou « Legal privilege ») n'existe pas pour celles faites par les juristes d'entreprises. Cette pratique mise en place par le dirigeant n'a donc ici aucun effet.
Pour autant, sachez que la mise en place d'un « Legal privilege » pour les consultations des juristes d'entreprises est actuellement discutée au Parlement.
Les lecteurs ont également consulté…
Les plateformes numériques utiles aux automobilistes !
Quand la numérisation trace sa route !
Assurance
Pour rappel, à partir du 1er avril 2024, vous n’aurez plus besoin, pour prouver que votre véhicule est assuré, de détenir la carte verte de votre assurance ni d’apposer le « papillon vert » sur votre pare-brise.
La vérification de votre assurance se fera systématiquement via le Ficher des Véhicules Assurés (FVA). Vous pouvez d’ailleurs vérifier que votre véhicule est bien répertorié en vous rendant sur le portail dédié, disponible ici.
Pour information, l’impression et l’envoi des cartes vertes représentent 1 200 tonnes de CO2 par an…
Points de permis de conduire
Parmi les portails numériques avec lesquels les conducteurs vont devoir s’habituer à vivre, on trouve la plateforme « MesPointsPermis ». Cette dernière vient de faire l’objet d’une mise à jour : les utilisateurs peuvent maintenant consulter le relevé intégral des informations relatives à leur permis.
Une information plus complète que le simple solde de points à l’instant T…
- Article economie.gouv.fr du 20 mars 2024 : « Assurance automobile : suppression de la carte verte au 1er avril 2024 »
- Arrêté du 7 mars 2024 portant simplification des modalités de preuve et de contrôle de l'assurance de responsabilité civile automobile obligatoire
- Arrêté du 20 mars 2024 relatif à la liste des organismes pouvant recevoir les informations contenues dans le fichier des véhicules terrestres à moteur assurés
- Arrêté du 15 février 2024 modifiant l'arrêté du 13 novembre 2023 autorisant la création d'un traitement automatisé dénommé « Mes Points Permis »
Les lecteurs ont également consulté…
Modalités de paiement de l’impôt : un choix (ir)révocable ?
Paiement des droits de succession : choisir, c’est renoncer…
Un homme décède, laissant pour lui succéder son épouse et leurs 2 fils. Pour rappel, lorsque les enfants sont tous communs au couple, le conjoint survivant a le droit de choisir entre :
- l’usufruit de la totalité de la succession, laissant aux enfants la nue-propriété ;
- un quart de la succession en pleine propriété.
Une personne ayant la pleine propriété d’un bien a le droit de l’utiliser, le louer, le détruire, le modifier, le vendre ou le donner. Quant à l’usufruit, il s’agit, schématiquement, des droits de profiter du bien et d’en tirer des fruits (les loyers notamment lorsqu’il est placé en location).
Dans cette affaire, l’épouse survivante choisit l’usufruit de la succession. Ces fils se partagent donc la nue-propriété. Se pose alors pour eux la question du paiement des droits de succession.
Pourquoi ? Parce qu’ils ont la possibilité d’aménager le paiement de l’impôt. Concrètement, ils ont le choix entre :
- 1re option : payer des droits de succession calculés sur la valeur de la nue-propriété, avec application d’intérêts ;
- 2e option : payer des droits de succession calculés sur la valeur de la pleine propriété, sans intérêt.
Les 2 fils choisissent la 2e option, ce que l’administration fiscale accepte… avant de changer d’avis ! Ils demandent, finalement, à bénéficier de la 1re option.
Ce que l’administration refuse : les 2 frères ont déjà fait un choix et il est irrévocable !
« Non ! », contestent les fils : la loi n’indique nulle part que le choix entre les 2 modalités de paiement est irrévocable !
« Irrévocable », confirme pourtant le juge, qui précise que cette règle n’est pas un avantage fiscal, mais une modalité de paiement de l’impôt. Par conséquent, ayant déjà fait un choix, les 2 fils ne peuvent pas changer d’avis !
Les lecteurs ont également consulté…
IA Act : une nouvelle étape est passée…
Intelligence artificielle : l’IA Act arrive !
En décembre 2023, les États membres de l’Union européenne (UE) se sont mis d’accord sur le contenu de l’IA Act, texte destiné à encadrer l’intelligence artificielle (IA) en son sein.
Ce texte prévoit d’interdire l’usage de l’IA dans certaines situations : ce sera le cas, par exemple, de la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, de la notation sociale, de la police prédictive (lorsqu’elle est basée uniquement sur le profilage d’une personne ou sur l’évaluation de ses caractéristiques) ou encore de la manipulation du comportement humain ou de l’exploitation des vulnérabilités des personnes.
Notez que si l’utilisation des systèmes d’identification biométrique par les services répressifs est en principe interdite, des exceptions ont toutefois été mises en place.
Ainsi, des systèmes d’identification biométrique « en temps réel » pourront être déployés à condition que des garanties strictes soient respectées. Leur utilisation sera, par exemple, limitée dans le temps et dans l’espace, et soumise à une autorisation judiciaire ou administrative préalable spécifique.
Après les catégories d’IA interdites, vient la catégorie des IA à haut risque (en raison du préjudice potentiel qu’elles peuvent représenter pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit).
Parmi les domaines d’utilisation à haut risque de l’IA, il est possible de citer les infrastructures critiques, l’éducation et la formation professionnelle, l’emploi, les services privés et publics essentiels (par exemple, les soins de santé et les banques), etc.
Pour ces IA, une évaluation et une réduction des risques devront avoir lieu, et elles devront être accompagnées de registres d’utilisation. Des obligations de transparence devront être respectées et une supervision humaine sera obligatoire. Les citoyens pourront déposer une plainte et recevoir des explications sur les décisions basées sur ces IA à haut risque lorsqu’elles auront une incidence sur leurs droits.
Une autre catégorie d’IA sont les IA à usage général (connues sous le nom « d’IA génératives ») : elles devront respecter des exigences de transparence et la réglementation sur les droits d’auteurs. Des résumés détaillés des contenus utilisés pour leur entraînement devront être publiés.
Notez que les IA à usage général les plus puissantes devront respecter des exigences supplémentaires. Par exemple, des évaluations de modèles devront être effectuées, les risques systémiques devront être évalués et atténués et les incidents devront être signalés.
De plus, les images et les contenus audio et vidéo artificiels ou manipulés (« deep fakes ») devront être clairement signalés comme tels.
Par ailleurs, sachez que des « bacs à sable réglementaires » vont voir le jour pour soutenir l’innovation. Pour rappel, ce dispositif permet aux acteurs de tester leur technologie ou service innovant sans devoir nécessairement respecter l’ensemble du cadre réglementaire qui devrait normalement s’appliquer.
Notez que l’IA Act sera définitivement adopté avant la fin de la législature européenne actuelle (les prochaines élections étant fixées au 9 juin 2024).
Il entrera en vigueur 20 jours après sa publication au Journal officiel et sera pleinement applicable 24 mois après son entrée en vigueur, à l’exception :
- des dispositions relatives aux pratiques interdites, qui s’appliqueront 6 mois après la date d’entrée en vigueur ;
- des codes de pratique, qui s’appliqueront 9 mois après l’entrée en vigueur ;
- des règles concernant l’IA à usage général, qui s’appliqueront 12 mois après l’entrée en vigueur ;
- des obligations pour les systèmes à haut risque qui s’appliqueront 36 mois après l’entrée en vigueur.
Affaire à suivre…
Les lecteurs ont également consulté…
Cyberattaque de France Travail : les conseils de la CNIL…
43 millions de personnes concernées par la cyberattaque de France Travail !
Qui est concerné par la cyberattaque ?
France Travail (anciennement Pôle emploi) a été victime d’une cyberattaque entre le 6 février 2024 et le 5 mars 2024 qui a permis l’extraction potentielle de données de 43 millions de personnes.
Ce nombre, encore à confirmer, concerne les personnes inscrites actuellement sur la liste des demandeurs d’emploi ou qui l’ont été au cours des 20 dernières années, ainsi que celles qui ont un espace candidat sur https://www.francetravail.fr/accueil/.
France Travail a informé la CNIL ainsi que Cap Emploi de cette situation.
Vous serez contacté prochainement si vous êtes susceptible d’avoir été touché par cette fuite de données.
Quelles sont les données concernées par la cyberattaque ?
Les données personnelles ayant fuité sont :
Quels sont les conseils de la CNIL ?
La CNIL recommande aux personnes susceptibles d’être concernées par la cyberattaque :
- d’être particulièrement vigilantes aux messages (SMS, mails) qu’elles pourraient recevoir, notamment s’ils invitent à effectuer une action en urgence, telle qu’un paiement ;
- de ne jamais communiquer leurs mots de passe ou coordonnées bancaires par messagerie ;
- en cas de doute, de ne jamais ouvrir les pièces jointes ; ne cliquez jamais sur les liens contenus dans des messages qui vous invitent à vous connecter à un espace personnel et accédez plutôt au site officiel correspondant directement via votre navigateur habituel ;
- de vérifier périodiquement les activités et mouvements sur leurs différents comptes ;
- de se rendre sur le site web cybermalveillance.gouv.fr pour obtenir des conseils pour se prémunir d’actions visant à usurper leur identité ; à ce titre, sachez que vous pouvez déposer une plainte en ligne ici ;
- de s’assurer qu’elles utilisent, pour leurs messagerie, comptes bancaires et autres services importants (impôts, sites de commerce en ligne, etc.), des mots de passe suffisamment robustes.
En raison de la gravité et de l’ampleur de la situation, la CNIL va mener des investigations pour déterminer si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD). Affaire à suivre…